WordPress có phải là một nguồn đáng tin cậy để nghiên cứu không
WordPress là một hệ thống quản lý nội dung (CMS) tuyệt vời cho các trang web giáo dục. Trên thực tế, một số lượng lớn các trường cao đẳng và đại học trên khắp thế giới đã sử dụng WordPress cho các trang web của họ, bao gồm Trường Luật Harvard, Đại học Cornell, MIT, Duke, Đại học Vanderbilt, Đại học Berlin, Đại học Georgetown và Đại học Texas Show
Các trường này và vô số trường khác đã chọn WordPress do những lợi ích ấn tượng mà nền tảng này mang lại, bao gồm bảo mật cấp doanh nghiệp, khả năng đa ngôn ngữ, quản lý nội dung nhiều trang, v.v. Như đã nói, đây là tám lợi ích lớn nhất của WordPress mang lại lợi thế khác biệt cho các tổ chức giáo dục 1. Tiềm năng tùy chỉnh như một nền tảng phát triển. Wordpress không chỉ là một CMS--đó là một nền tảng phát triển web mạnh mẽ. Các trang web Wordpress có thể được tùy chỉnh hoàn toàn--từ giao diện người dùng đến cấp quản trị viên. Các tổ chức giáo dục có thể làm cho Wordpress dễ dàng thích ứng với nhu cầu của họ. Các nhà phát triển web có thể thêm các tính năng cho Wordpress hoặc mở rộng các tính năng hiện có mà không cần hack hệ thống cốt lõi 2. Khả năng đa trang web. WordPress có thể dễ dàng cung cấp năng lượng cho một mạng lưới các trang web bằng tính năng nhiều trang web của họ, cho phép sử dụng các tên miền phụ, thư mục con và tên miền trong mạng. Điều này cho phép các trường quản lý tập trung bất kỳ số lượng trang web nào khác nhau nhưng có liên quan, bao gồm trang web chính của tổ chức, cổng thông tin cựu sinh viên, trang web nghiên cứu, trang web tuyển sinh, trang web bệnh viện, blog, v.v. 3. trang web đa ngôn ngữ. Là một CMS đa ngôn ngữ, WordPress có sẵn hơn 70 ngôn ngữ. Điều này đặc biệt có lợi cho các trường có chương trình trao đổi tích cực hoặc có lượng lớn ứng viên và sinh viên từ các quốc gia khác 4. Thân thiện với thiết bị di động. Thiết kế đáp ứng của WordPress làm cho nó cực kỳ thân thiện với thiết bị di động và có thể mang lại trải nghiệm xem tối ưu trên mọi thiết bị. Điều này cho phép sinh viên, ứng viên và cựu sinh viên tương tác với nội dung của trang web từ mọi nơi, cuối cùng hỗ trợ các mục tiêu tham gia, ứng dụng và quyên góp của trường 5. Khả năng SEO mạnh mẽ. WordPress là một công cụ SEO có giá trị cao, có liên kết cố định, URL được tạo tự động (từ tiêu đề), kiểm soát dữ liệu Meta, tích hợp với Pingomatic và các plugin quan trọng, chẳng hạn như plugin SEO của Yoast, giúp dễ dàng tối ưu hóa toàn bộ trang web của bạn. Nói cách khác, WordPress có hầu như mọi thứ mà trường học của bạn cần để tăng thứ hạng SEO 6. Công cụ xuất bản ấn tượng. WordPress làm cho việc xuất bản trở nên dễ dàng bằng cách cho phép các trường tạo bản nháp, lên lịch xuất bản và xem xét các bản sửa đổi bài đăng. Tác giả cũng có thể đặt nội dung ở chế độ công khai hoặc riêng tư, đồng thời bảo mật các bài đăng và trang bằng mật khẩu cho đến khi chúng sẵn sàng cho công chúng sử dụng 7. Quản lý vai trò người dùng và quyền. WordPress cho phép các trường dễ dàng quản lý quyền truy cập của người dùng vào trang web. Quản trị viên có thể gán cho người dùng các vai trò và nhiệm vụ cụ thể, bao gồm viết và chỉnh sửa bài đăng, tạo trang web, gắn thẻ, tạo danh mục, kiểm duyệt nhận xét, quản lý plugin, quản lý chủ đề và giám sát người dùng khác 8. Bảo vệ. Bản thân WordPress là một nền tảng cực kỳ an toàn và được các doanh nghiệp, công ty và trường đại học trên toàn thế giới tin tưởng vì tính bảo mật hàng đầu của nó. Tuy nhiên, không có CMS nào là hoàn toàn an toàn và các tổ chức giáo dục vẫn cần thực hiện các biện pháp phòng ngừa để giảm nguy cơ vi phạm. Ví dụ: chúng tôi khuyên bạn nên giới hạn quyền truy cập vào trang web chỉ cho những người dùng quan trọng; Cho đến nay, WordPress là cách phổ biến nhất để xây dựng một trang web. Sự phổ biến đó có tác dụng phụ đáng tiếc là cũng làm cho các trang web WordPress trở thành mục tiêu hấp dẫn cho những kẻ độc hại trên toàn thế giới. Và điều đó có thể khiến bạn tự hỏi liệu WordPress có đủ an toàn để xử lý các cuộc tấn công đó không Đầu tiên - một số tin xấu. Hàng năm, hàng trăm nghìn trang web WordPress cũng như các trang web thương mại điện tử bị tấn công (đó là lý do tại sao chúng tôi có hướng dẫn chuyên sâu về Phòng chống gian lận thương mại điện tử) Nghe có vẻ nghiệt ngã, phải không? Tin tặc không xâm nhập do lỗ hổng trong phần mềm cốt lõi mới nhất của WordPress. Thay vào đó, hầu hết các trang web bị tấn công do các vấn đề hoàn toàn có thể ngăn chặn được, chẳng hạn như không cập nhật mọi thứ hoặc sử dụng mật khẩu không an toàn Do đó, trả lời câu hỏi “WordPress có an toàn không?” . Để làm điều đó, chúng tôi sẽ đề cập đến một vài góc độ khác nhau
Cách các trang web WordPress bị tấn công (Theo dữ liệu)Ok, bạn biết rằng rất nhiều trang web WordPress đang bị tấn công mỗi năm. Nhưng… nó đang xảy ra như thế nào? Xem kế hoạch Đây là lý do tại sao hầu hết các trang web WordPress bị tấn công, theo dữ liệu mà chúng tôi có… Phần mềm cốt lõi lỗi thờiĐây là một mối tương quan không ngạc nhiên từ Báo cáo trang web bị tấn công năm 2017 của Sucuri. Trong số tất cả các trang web WordPress bị tấn công mà Sucuri đã xem xét, 39. 3% đang chạy phần mềm lõi WordPress lỗi thời tại thời điểm xảy ra sự cố Trang web bị tấn công (Nguồn ảnh. sucuri)Vì vậy, ngay lập tức, bạn có thể thấy mối quan hệ khá chặt chẽ giữa việc bị hack và sử dụng phần mềm lỗi thời. Tuy nhiên, đây chắc chắn là một sự cải thiện hơn 61% so với năm 2016. 👏 Theo Cơ sở dữ liệu về lỗ hổng WPScan, ~74% lỗ hổng đã biết mà họ ghi lại nằm trong phần mềm cốt lõi của WordPress. Nhưng đây mới là vấn đề – các phiên bản có nhiều lỗ hổng nhất đều đã quay trở lại trong WordPress 3. X Danh sách các lỗ hổng đã biết của WPScanNhưng – thật không may – chỉ có 62% trang web WordPress đang chạy phiên bản mới nhất, đó là lý do tại sao nhiều trang web vẫn dễ bị tổn thương một cách không cần thiết trước những khai thác đó Sử dụng WordPress theo phiên bản. (Nguồn ảnh. WordPress. tổ chức)Cuối cùng, bạn có thể thấy kết nối này một lần nữa với lỗ hổng WordPress REST API chính từ tháng 2 năm 2017, nơi hàng trăm nghìn trang web đã bị tấn công wordpress 4. 7. 1 chứa nhiều lỗ hổng mà cuối cùng đã được sử dụng để phá hoại các trang web đó. Nhưng… vài tuần trước khi các lỗ hổng được khai thác, WordPress 4. 7. 2 đã được phát hành để sửa tất cả các lỗ hổng đó Tất cả chủ sở hữu trang web WordPress chưa tắt các bản vá bảo mật tự động hoặc cập nhật kịp thời lên WordPress 4. 7. 2 đã an toàn. Nhưng những người không áp dụng bản cập nhật thì không Lấy đi. Nhóm bảo mật WordPress đã làm rất tốt trong việc nhanh chóng khắc phục các sự cố trong phần mềm cốt lõi của WordPress. Nếu bạn nhanh chóng áp dụng tất cả các bản cập nhật bảo mật, thì rất có thể trang web của bạn gặp phải bất kỳ sự cố nào do các lỗ hổng cốt lõi. Nhưng nếu không, bạn sẽ gặp rủi ro khi khai thác được 2. Các plugin hoặc chủ đề lỗi thờiMột trong những điều mọi người yêu thích ở WordPress là vô số plugin và chủ đề có sẵn. Khi viết bài này, có hơn 56.000 trên kho lưu trữ WordPress và hàng nghìn cái cao cấp khác nằm rải rác trên web Mặc dù tất cả các tùy chọn đó đều tuyệt vời để mở rộng trang web của bạn, nhưng mỗi tiện ích mở rộng là một cổng tiềm năng mới cho tác nhân độc hại. Và trong khi hầu hết các nhà phát triển WordPress làm tốt công việc tuân theo các tiêu chuẩn mã và vá bất kỳ bản cập nhật nào khi chúng được biết, thì vẫn có một số vấn đề tiềm ẩn
Vậy vấn đề lớn đến mức nào? Chà, trong một cuộc khảo sát từ Wordfence về chủ sở hữu trang web bị tấn công, hơn 60% chủ sở hữu trang web biết cách tin tặc xâm nhập đã cho rằng đó là lỗ hổng plugin hoặc chủ đề Khảo sát website bị hack Wordfence (Nguồn ảnh. từ)Tương tự, trong báo cáo năm 2016 của Sucuri, chỉ có 3 plugin chiếm hơn 15% số trang web bị tấn công mà họ xem xét Danh sách plugin bị hack SucuriĐây là kicker, mặc dù Các lỗ hổng trong các plugin đó đã được vá từ lâu – chủ sở hữu trang web chưa cập nhật plugin để bảo vệ trang web của họ Lấy đi. Các chủ đề và plugin WordPress giới thiệu một ký tự đại diện và có thể mở trang web của bạn cho các tác nhân độc hại. Phần lớn rủi ro này có thể được giảm thiểu bằng cách làm theo các phương pháp hay nhất, mặc dù. Luôn cập nhật tiện ích mở rộng của bạn và chỉ cài đặt tiện ích mở rộng từ các nguồn có uy tín Chúng tôi cũng phải đề cập đến các câu lạc bộ GPL này mà bạn có thể thấy trôi nổi trên internet, nơi bạn có thể nhận bất kỳ plugin hoặc chủ đề WordPress cao cấp nào chỉ với một vài đô la. Mặc dù WordPress được cấp phép theo GPL, điều này thật tuyệt vời và là một lý do khiến chúng tôi yêu thích nó, nhưng người mua hãy cẩn thận. Đôi khi chúng còn được gọi là plugin nulled Đăng kí để nhận thư mớiBạn muốn biết làm thế nào chúng tôi tăng lưu lượng truy cập của mình hơn 1000%?Tham gia cùng hơn 20.000 người khác nhận bản tin hàng tuần của chúng tôi với các mẹo nội bộ về WordPress Theo dõi ngayMua plugin từ các câu lạc bộ GPL có nghĩa là bạn đang tin tưởng bên thứ ba sẽ lấy các bản cập nhật mới nhất từ nhà phát triển và nhiều khi bạn sẽ không nhận được hỗ trợ. Nhận các bản cập nhật plugin từ nhà phát triển là con đường an toàn nhất. Ngoài ra, tất cả chúng ta đều hỗ trợ các nhà phát triển và công việc khó khăn của họ 3. Thông tin đăng nhập bị xâm phạm cho WordPress, FTP hoặc HostingOk, cái này không thực sự là lỗi của WordPress. Tuy nhiên, một tỷ lệ phần trăm không hề nhỏ các vụ hack là do các tác nhân độc hại lấy được thông tin đăng nhập WordPress hoặc thông tin đăng nhập cho tài khoản lưu trữ hoặc tài khoản FTP của quản trị viên web Cũng trong cuộc khảo sát Wordfence đó, các cuộc tấn công vũ phu chiếm ~16% số trang web bị tấn công, với hành vi trộm cắp mật khẩu, máy trạm, lừa đảo và tài khoản FTP, tất cả đều xuất hiện một cách nhỏ nhưng đáng chú ý. Khi một tác nhân độc hại lấy được chìa khóa ẩn dụ cho cửa trước, thì trang web WordPress của bạn an toàn đến mức nào không quan trọng WordPress thực sự làm rất tốt việc giảm thiểu điều này bằng cách tự động tạo mật khẩu an toàn, nhưng người dùng vẫn phải giữ những mật khẩu đó an toàn và cũng sử dụng mật khẩu mạnh cho lưu trữ và FTP Lấy đi. Thực hiện các bước cơ bản để giữ an toàn cho thông tin xác thực tài khoản có thể ngăn chặn các tác nhân độc hại xâm nhập ngay vào. Sử dụng/thực thi mật khẩu mạnh cho tất cả các tài khoản WordPress và hạn chế số lần đăng nhập để ngăn chặn các cuộc tấn công vũ phu (Kinsta hosting thực hiện việc này theo mặc định 👍) Đối với tài khoản lưu trữ, hãy sử dụng xác thực hai yếu tố nếu có và không bao giờ lưu trữ mật khẩu FTP của bạn ở dạng văn bản gốc (như một số chương trình FTP vẫn làm) Nếu bạn có lựa chọn giữa FTP và SFTP (Giao thức truyền tệp SSH), hãy luôn sử dụng SFTP (tìm hiểu sự khác biệt giữa FTP và SFTP để bạn có thể hiểu tại sao). Nếu máy chủ của bạn chỉ sử dụng FTP, chúng tôi khuyên bạn nên hỏi về hỗ trợ SFTP hoặc chuyển sang máy chủ hỗ trợ SFTP. Điều này đảm bảo rằng không có mật khẩu văn bản rõ ràng hoặc dữ liệu tệp nào được chuyển. Tại Kinsta, chúng tôi chỉ hỗ trợ SFTP để truyền tệp 4. Tấn công chuỗi cung ứngGần đây, đã có một số trường hợp tin tặc truy cập vào các trang web thông qua một thủ thuật khó chịu được gọi là tấn công chuỗi cung ứng. Về cơ bản, diễn viên độc hại sẽ
Wordfence có giải thích sâu hơn nếu bạn quan tâm. Mặc dù các kiểu tấn công này không có nghĩa là phổ biến, nhưng chúng khó ngăn chặn hơn vì chúng là kết quả của việc bạn nên làm (cập nhật plugin) Đấu tranh với thời gian chết và các vấn đề về WordPress? . Kiểm tra các tính năng của chúng tôi Như đã nói, WordPress. nhóm tổ chức thường nhanh chóng phát hiện ra những sự cố này và xóa phần bổ trợ khỏi thư mục Lấy đi. Điều này có thể khó ngăn chặn vì tốt nhất là luôn cập nhật lên phiên bản mới nhất. Để trợ giúp, các plugin bảo mật như Wordfence có thể cảnh báo bạn khi một plugin bị xóa khỏi WordPress. org để bạn giải quyết nhanh chóng. Và một chiến lược sao lưu tốt có thể giúp bạn quay trở lại mà không bị thiệt hại vĩnh viễn 5. Môi trường lưu trữ kém và công nghệ lỗi thờiNgoài những gì đang xảy ra trên trang web WordPress của bạn, môi trường lưu trữ của bạn và các công nghệ mà bạn sử dụng cũng tạo nên sự khác biệt. Ví dụ: mặc dù PHP 7 cung cấp nhiều cải tiến bảo mật so với PHP 5, nhưng chỉ có ~33% trang web WordPress đang sử dụng PHP 7 trở lên Trang web WordPress sử dụng PHP. (Nguồn ảnh. WordPress. tổ chức)PHP5. Hỗ trợ bảo mật của 6 chính thức hết hạn vào cuối năm 2018. Và các phiên bản trước của PHP 5 đã không có hỗ trợ bảo mật trong nhiều năm Điều đó có nghĩa là sử dụng môi trường lưu trữ bằng PHP 5. 6 trở xuống sẽ sớm mở ra cho bạn tiềm năng của các lỗ hổng bảo mật PHP chưa được vá Bất chấp thực tế đó, một con số khổng lồ ~28% trang web WordPress vẫn đang sử dụng các phiên bản PHP dưới 5. 6, đây là một vấn đề lớn khi bạn cho rằng gần đây chúng ta đã chứng kiến nhiều năm kỷ lục về số lượng lỗ hổng PHP được phát hiện Ngoài việc cung cấp cho bạn quyền truy cập vào các công nghệ mới nhất, việc sử dụng dịch vụ lưu trữ WordPress an toàn cũng có thể giúp bạn tự động giảm thiểu nhiều lỗ hổng bảo mật tiềm ẩn khác với
Lấy đi. Sử dụng môi trường lưu trữ an toàn và các phiên bản gần đây của các công nghệ quan trọng như PHP giúp đảm bảo hơn nữa rằng trang web WordPress của bạn luôn an toàn Ai chịu trách nhiệm giữ an toàn cho WordPress?Bây giờ bạn có thể tự hỏi, ai chịu trách nhiệm giải quyết tất cả các vấn đề trên? Về mặt chính thức, trách nhiệm đó thuộc về Nhóm bảo mật WordPress (mặc dù những người đóng góp và nhà phát triển cá nhân từ khắp nơi trên thế giới cũng đóng một vai trò to lớn trong việc giữ an toàn cho WordPress) Nhóm bảo mật WordPress là “50 chuyên gia bao gồm các nhà phát triển chính và nhà nghiên cứu bảo mật”. Khoảng một nửa số chuyên gia này làm việc tại Automattic. Những người khác làm việc trong lĩnh vực bảo mật web và nhóm cũng tham khảo ý kiến của các nhà nghiên cứu bảo mật và công ty lưu trữ Nếu bạn quan tâm đến cái nhìn chi tiết về cách thức hoạt động của Nhóm bảo mật WordPress, bạn có thể xem bài nói chuyện dài 48 phút của Aaron Campbell từ WordCamp Europe 2017. Nhưng nói chung, Nhóm bảo mật WordPress
Nhóm bảo mật WordPress có chính sách tiết lộ, điều đó có nghĩa là sau khi họ đã vá thành công lỗi và phát hành bản sửa lỗi bảo mật, họ sẽ tiết lộ công khai vấn đề (đây là một phần lý do tại sao rất nhiều trang web đã bị xóa trong năm 2017 – họ vẫn chưa' Điều mà Nhóm bảo mật WordPress không làm là kiểm tra tất cả các chủ đề và plugin tại WordPress. tổ chức. Các chủ đề và plugin tại WordPress. org được các tình nguyện viên xem xét thủ công. Nhưng đánh giá đó không phải là "sự đảm bảo rằng họ không có lỗ hổng bảo mật" Vậy – WordPress có an toàn nếu bạn tuân theo các phương pháp hay nhất không?Nếu bạn nhìn vào tất cả các dữ liệu và sự kiện ở trên, bạn sẽ thấy xu hướng chung này Mặc dù không có hệ thống quản lý nội dung nào an toàn 100%, nhưng WordPress có một bộ máy bảo mật chất lượng dành cho phần mềm cốt lõi và hầu hết các vụ hack là kết quả trực tiếp của việc quản trị viên web không tuân theo các phương pháp hay nhất về bảo mật cơ bản Nếu bạn làm những việc như…
…thì WordPress sẽ an toàn và trang web của bạn sẽ không bị hack cả hiện tại và trong tương lai. Nếu bạn là khách hàng của Kinsta, bạn cũng không cần phải lo lắng. Nếu chẳng may trang web của bạn bị hack, chúng tôi sẽ sửa nó miễn phí Nhận tất cả các ứng dụng, cơ sở dữ liệu và trang web WordPress của bạn trực tuyến và dưới một mái nhà. Nền tảng đám mây hiệu suất cao, đầy đủ tính năng của chúng tôi bao gồm
Hãy tự kiểm tra với $20 trong tháng đầu tiên của Lưu trữ ứng dụng hoặc Lưu trữ cơ sở dữ liệu. Khám phá kế hoạch của chúng tôi hoặc nói chuyện với bộ phận bán hàng để tìm thấy sự phù hợp nhất của bạn Nhược điểm của việc sử dụng WordPress là gì?Nhược điểm của Wordpress . Bạn cần nhiều plugin để có các tính năng bổ sung. . Cập nhật chủ đề và plugin thường xuyên. . Tốc độ trang chậm. . Xếp hạng SEO kém. . Lỗ hổng trang web. . Trang web có thể ngừng hoạt động mà không cần thông báo. . Kết thúc Dữ liệu trên WordPress an toàn như thế nào?WordPress là một nền tảng an toàn . Tuy nhiên, bạn có thể giảm thiểu hơn nữa rủi ro về lỗ hổng và các cuộc tấn công bằng cách làm theo các biện pháp bảo mật tốt nhất. Do đó, chúng tôi khuyên bạn nên sử dụng máy chủ lưu trữ web an toàn, thực thi chính sách mật khẩu mạnh, bảo vệ trang đăng nhập của bạn, v.v. |