創(chuàng)建十九年后,WordPress 仍然是萬維網(wǎng)上最受歡迎和使用最廣泛的內(nèi)容管理系統(tǒng) (CMS) 之一�。從數(shù)字上看����,超過 60% 的互聯(lián)網(wǎng)網(wǎng)站都是基于 WordPress 構(gòu)建的!
這種受歡迎程度帶來了很多優(yōu)勢(shì)�����,例如大型開發(fā)者社區(qū)�����、廣泛的工具以及大量的教程和指南�����。但它也有一些缺點(diǎn)��。其中之一是對(duì)黑客攻擊的敏感性增加。
黑客喜歡攻擊 WordPress���。事實(shí)上����,在所有被黑客攻擊的基于 CMS 的網(wǎng)站中�,83% 都是基于 WordPress 構(gòu)建的。他們喜歡尋找漏洞來利用����,不幸的是,WordPress 有一些這樣的漏洞���。
在本文中��,我將介紹八個(gè)常見的 WordPress 漏洞�,并解釋如何緩解每個(gè)漏洞��。請(qǐng)隨意使用以下鏈接跳轉(zhuǎn)到每個(gè)漏洞部分����。
- 托管環(huán)境較差
- 隨機(jī)主題和插件
- 過時(shí)的插件和主題
- 弱密碼
- 惡意軟件注入
- 網(wǎng)絡(luò)釣魚
- 拒絕服務(wù)攻擊
- 跨站腳本 (XSS)
1.托管環(huán)境差
主機(jī)是互聯(lián)網(wǎng)上的服務(wù)器計(jì)算機(jī),用于存儲(chǔ)為您的網(wǎng)站提供支持的文件。如果您希望您的 WordPress 網(wǎng)站可以通過互聯(lián)網(wǎng)訪問�,則必須將其放在網(wǎng)絡(luò)主機(jī)上。
WordPress 網(wǎng)站遭到黑客攻擊的主要原因之一是糟糕的托管環(huán)境����。據(jù)Kinsta統(tǒng)計(jì),這一數(shù)字約為41%���。因此,近一半的 WordPress 網(wǎng)站黑客攻擊事件是由于托管環(huán)境不佳而發(fā)生的���。
從上述統(tǒng)計(jì)數(shù)據(jù)中您可以得出結(jié)論����,使用信譽(yù)良好且安全的托管提供商會(huì)自動(dòng)顯著降低您的網(wǎng)站被黑客攻擊的幾率����。
WordPress 網(wǎng)站的一些頂級(jí)托管提供商包括 SiteGround、WP Engine���、Hostinger 和 Bluehost���。在為您的網(wǎng)站選擇托管提供商之前,請(qǐng)確保進(jìn)行徹底的研究,以了解他們的服務(wù)交付質(zhì)量以及客戶滿意度水平���。
2.隨機(jī)主題和插件
WordPress 主題決定了您網(wǎng)站的外觀�,而插件則用于向您的網(wǎng)站添加額外的功能����。兩者都是文件的集合,包括 PHP 腳本�����。
由于主題和插件都是由代碼組成的��,因此它們可能會(huì)充滿錯(cuò)誤�����。這是黑客用來非法訪問受影響的 WordPress 網(wǎng)站的一種非常流行的方法���。
事實(shí)上�����,根據(jù) Kinsta 的說法���,52% 的漏洞與插件有關(guān)��,11% 是由主題引起的�。
黑客可以將惡意代碼插入主題或插件中�,并將其發(fā)布到互聯(lián)網(wǎng)上的市場(chǎng)。如果它被毫無戒心的用戶安裝在 WordPress 網(wǎng)站上���,該網(wǎng)站就會(huì)自動(dòng)受到損害�����,而所有者通常并不知情。
避免這些問題的最佳方法是僅安裝來自受信任且可靠來源的主題和插件��。
3.過時(shí)的插件和主題
除了避免隨機(jī)使用插件和主題之外��,您還應(yīng)該使 WordPress 網(wǎng)站上安裝的插件和主題保持最新�。
這是因?yàn)楹诳徒?jīng)常搜索已知存在漏洞的特定主題或插件(或特定版本)。然后他們尋找使用此類主題或插件的網(wǎng)站并嘗試破解它們����。如果成功,他們可以在網(wǎng)站上執(zhí)行有害操作�,例如在數(shù)據(jù)庫中查找數(shù)據(jù)�����,甚至向網(wǎng)站注入惡意內(nèi)容��。
要從管理面板訪問已安裝的主題����,請(qǐng)導(dǎo)航至側(cè)邊欄上的外觀 > 主題。要訪問插件��,請(qǐng)導(dǎo)航至插件 > 安裝的插件�����。
通常�����,當(dāng)需要更新網(wǎng)站上使用的任何主題或插件時(shí)����,您會(huì)在 WordPress 儀表板中收到警報(bào)通知����。除非有充分的理由�����,否則切勿忽略這些警報(bào)��。
4.弱密碼
弱且易于猜測(cè)的登錄憑據(jù)是黑客訪問 WordPress 后端的最簡(jiǎn)單途徑之一�。大約 8% 的 WordPress 網(wǎng)站因密碼組合較弱或密碼被盜而遭到黑客攻擊
黑客經(jīng)常使用暴力腳本在盡可能多的 WordPress 網(wǎng)站上迭代測(cè)試常見的用戶名和密碼組合���。他們這樣做���,直到找到匹配項(xiàng),然后登錄目標(biāo)站點(diǎn)并將憑據(jù)轉(zhuǎn)售給其他黑客����。
因此,您應(yīng)始終避免使用 user��、admin�、administrator 和 user1 等術(shù)語作為您的登錄用戶名�。相反,創(chuàng)建一個(gè)不太通用且更個(gè)性化的用戶名���。
為了創(chuàng)建強(qiáng)而安全的密碼�����,請(qǐng)記住以下一些規(guī)則:
- 切勿使用個(gè)人信息(姓名�、生日、電子郵件等)�。
- 創(chuàng)建更長(zhǎng)的密碼。
- 使您的密碼盡可能晦澀且毫無意義��。
- 不要使用常用詞�����。
- 包含數(shù)字和特殊字符�。
- 切勿重復(fù)密碼。
為了保護(hù)您的網(wǎng)站���,您必須在首次設(shè)置 WordPress 時(shí)指定一個(gè)強(qiáng)的用戶名和密碼組合���。
此外,您應(yīng)該設(shè)置雙因素身份驗(yàn)證 (2FA)��,為您的 WordPress 網(wǎng)站添加另一層安全保護(hù)��。
最后���,考慮使用 Wordfence 或 Sucuri Security 等安全插件來阻止暴力攻擊(和其他惡意攻擊)訪問您的 WordPress 網(wǎng)站����。
5.惡意軟件注入
惡意軟件是一種惡意軟件,黑客可以將其插入您的網(wǎng)站并在想要執(zhí)行其計(jì)劃時(shí)執(zhí)行���。
惡意軟件可以通過多種方式插入��。它可以通過像 WordPress 網(wǎng)站上格式良好的評(píng)論這樣簡(jiǎn)單的東西注入����,也可以通過像在服務(wù)器上上傳可執(zhí)行文件這樣復(fù)雜的東西注入����。
在最好的情況下,惡意軟件不會(huì)造成任何問題��,并且可能會(huì)執(zhí)行一些無害的操作���,例如向客戶展示產(chǎn)品廣告。在這種情況下�,可以使用 Wordfence Security 等惡意軟件掃描儀插件來刪除惡意軟件。
但在極端情況下�,惡意軟件會(huì)在服務(wù)器上執(zhí)行危險(xiǎn)操作����,這可能會(huì)導(dǎo)致數(shù)據(jù)庫中的數(shù)據(jù)丟失或類似的后果��,例如在 WordPress 網(wǎng)站上創(chuàng)建帳戶�。
解決這種最壞的情況通常需要從干凈的備份中恢復(fù)您的網(wǎng)站,然后再弄清楚黑客如何進(jìn)入您的系統(tǒng)并修補(bǔ)漏洞�����。這就是為什么定期備份您的網(wǎng)站非常重要�。
6.網(wǎng)絡(luò)釣魚
在網(wǎng)絡(luò)釣魚攻擊中,攻擊者會(huì)使用看似來自您的服務(wù)器的地址發(fā)送電子郵件�����。攻擊者通常會(huì)要求您的網(wǎng)站用戶或客戶單擊鏈接來執(zhí)行某些操作����,用戶可能會(huì)這樣做,但不知道它實(shí)際上不是來自您的服務(wù)器����。
網(wǎng)絡(luò)釣魚攻擊有多種不同的風(fēng)格,名稱包括貓式網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚等��。無論哪種類型����,網(wǎng)絡(luò)釣魚總是涉及虛假(但看起來很原始)的電子郵件地址和惡意頁面的鏈接。
攻擊者通常會(huì)顯示一個(gè)偽造的表單��,該表單看起來與您網(wǎng)站的真實(shí)登錄表單相同�����。如果用戶沒有及時(shí)跟進(jìn)�����,他們可能會(huì)向惡意網(wǎng)站提交一個(gè)或多個(gè)不同的登錄憑據(jù)����。
結(jié)果是,黑客現(xiàn)在擁有不同的用戶名和密碼來對(duì)其他網(wǎng)站進(jìn)行暴力攻擊���,以及準(zhǔn)確的登錄憑據(jù)來訪問用戶的后端���。
由于電子郵件最初的設(shè)計(jì)方式�,很容易偽造電子郵件的“發(fā)件人”地址����,從而使網(wǎng)絡(luò)釣魚攻擊更難以阻止�����。
但是�,如今,SPF�����、DKIM 和 DMARC 等技術(shù)都使電子郵件服務(wù)器能夠檢查電子郵件的來源并驗(yàn)證源域�。只要這些設(shè)置正確,所有網(wǎng)絡(luò)釣魚電子郵件都會(huì)被收件人服務(wù)器檢測(cè)到���,并被標(biāo)記為垃圾郵件或從用戶的收件箱中完全刪除��。
如果您不確定 SPF�、DKIM 和 DMARC 是否設(shè)置正確�����,請(qǐng)?jiān)儐柲木W(wǎng)絡(luò)托管服務(wù)商。大多數(shù)頂級(jí)網(wǎng)絡(luò)主機(jī)都有關(guān)于如何設(shè)置這些內(nèi)容的簡(jiǎn)單說明���。
7.拒絕服務(wù)攻擊(DoS 和 DDoS)
當(dāng)犯罪者向網(wǎng)站服務(wù)器發(fā)送大量錯(cuò)誤請(qǐng)求����,導(dǎo)致服務(wù)器無法處理合法用戶的正常請(qǐng)求時(shí)���,就會(huì)發(fā)生拒絕服務(wù)攻擊�����。
在 WordPress 中��,緩存服務(wù)有助于減輕 DDoS 攻擊����。您可以在網(wǎng)站上使用 WP Fastest Cache 等 WordPress 插件來檢查 DDoS 攻擊����。此外,大多數(shù)頂級(jí)主機(jī)都在其基礎(chǔ)設(shè)施中內(nèi)置了 DDoS 緩解系統(tǒng)��。
8. 跨站腳本 (XSS)
跨站腳本攻擊是另一種代碼注入攻擊�����,它與我們之前了解的惡意軟件注入類似。
但是�,在 XSS 攻擊中,攻擊者會(huì)將惡意客戶端腳本 (JavaScript) 注入網(wǎng)站前端的網(wǎng)頁中����,供瀏覽器執(zhí)行�����。
攻擊者可能會(huì)利用此機(jī)會(huì)冒充您網(wǎng)站的訪問者(使用他們的數(shù)據(jù))或?qū)⑺麄儼l(fā)送到他們創(chuàng)建的另一個(gè)惡意網(wǎng)站來欺騙用戶��。
阻止 WordPress 網(wǎng)站上的 XSS 攻擊的最有效方法之一是安裝功能強(qiáng)大的防火墻插件(例如 Sucuri)���,您還可以使用它來掃描網(wǎng)站是否存在 XSS 漏洞����。
結(jié)論
要確保您的 WordPress 網(wǎng)站安全�����,您需要采取主動(dòng)措施來發(fā)現(xiàn)攻擊者可以利用的漏洞��。在本文中,我們介紹了八個(gè)漏洞并為每個(gè)漏洞提供了解決方案��。
請(qǐng)記住���,緩解 WordPress 網(wǎng)站漏洞的最佳方法是使網(wǎng)站的所有組件保持最新�。這包括插件�����、主題��,甚至 WordPress 本身����。不要忘記也升級(jí)您的 PHP 版本。
蘇公網(wǎng)安備32058302003559 
