你知道哪些关键的WordPress安全问题吗?

Apple苹果ID教程 GV号码网 2年前 (2023-04-01) 139次浏览

WordPress是世界上最流行的内容管理系统(CMS),为目前超过三分之一的网站提供了支持。它的受欢迎程度也使它成为网络攻击的一个吸引人的目标,而且它也有自己的安全漏洞。虽然WordPress可能有自己的安全问题,但它并不是唯一被网络犯罪分子盯上的平台,窃取数据已经成为一项非常有利可图的业务。从个人博客到大型商业网站,没有人能够免受恶意行为者带来的潜在威胁。无论你的网站是一个小博客还是一个大公司,你都需要知道如何保护你的网站,不管它的目的是什么。在任何列表的顶部应该安装UpdraftPlus备份插件-世界上最流行和最高评级的备份插件。如果您发现自己成为攻击的受害者,您至少可以放心,因为您有一个安全的备份,可以恢复您的站点。这里有一些你应该知道的WordPress安全问题以及如何解决它们;

1。插件系统

WordPress如此受欢迎的部分原因是它的模块化。借助插件系统,您可以快速、轻松地扩展基本功能。不幸的是,并不是所有的插件都是按照UpdraftPlus的高标准创建的,而且有些插件会给你的WordPress网站带来新的漏洞。

例如,“WP & AMP的PWA”插件暴露了超过20,000个WordPress网站的访问控制漏洞。由于允许任意文件上传,攻击者可以远程执行代码并接管运行该插件的网站。从这个示例中,用户应该注意两件事。首先是尽可能限制你的WordPress站点上使用的插件数量。第二是确保你所有的应用程序——包括插件和WordPress版本——定期更新。更新有时会添加新功能,但它们的主要目的是解决新发现的漏洞。

2。数据是一种新的、非常有价值的商品,攻击者攻击网站的一个原因是窃取数据库中的信息。SQL注入是一种流行的方法,攻击者在网站上嵌入SQL命令,可能危及敏感信息。如果您想知道这是如何发生的,请考虑一下您在许多WordPress网站上看到的平均表单。它允许用户提供登录的用户名和密码等信息。如果攻击者在这些字段中插入SQL代码,底层数据库可能会处理该代码并执行意外操作。有几种方法可以防止SQL注入攻击,但最常见的方法是实现严格的输入验证。例如,您可以将以下代码添加到您的.htaccess文件中,以确保SQL查询排除所有输入;#允许重写引擎

RewriteEngine

RewriteRule” ^(.*)$ – [ F、L]

#块MySQL注射

RewriteCond % {QUERY_STRING} [a-zA-Z0-9_] = https://[或]

RewriteCond % {QUERY_STRING} [a-zA-Z0-9 _]=(\.\.//?)+ [ 或]

RewriteCond % {QUERY_STRING} [a-zA-Z0-9_] = / ([a-z0-9 _.]//?)+ [ 数控或]

RewriteCond % {QUERY_STRING} \ PHP (0-9a-f) = {8} – {4} [0-9a-f] – [0-9a-f] {4} – {4} [0-9a-f] – [0-9a-f]{12}[数控或]

RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]

RewriteCond %{QUERY_STRING} ftp\: [NC,OR]

RewriteCond %{QUERY_STRING} http\: [NC,OR]

RewriteCond %{QUERY_STRING} https\:数控或

RewriteCond % {QUERY_STRING} \ = w \ \ | |(数控或)

RewriteCond % {QUERY_STRING} ^(. *) /自/(. *)美元[数控或]

RewriteCond % {QUERY_STRING} ^ (. *) cPath = https ://(.*)$ [ 数控或]

RewriteCond % {QUERY_STRING} (\ | % 3 e)[数控或]

RewriteCond % {QUERY_STRING} ( | % 3 e)[数控或]

RewriteCond % {QUERY_STRING} (\ | % 3 e)[数控或]

RewriteCond % {QUERY_STRING} ( | % 3 e)[数控或]

RewriteCond % {QUERY_STRING}全局(= | \ [| \ % [0-9A-Z]{0, 2})[或]

RewriteCond % {QUERY_STRING} _REQUEST (= | \ [| \ % [0-9A-Z]{0, 2})[或]

RewriteCond % {QUERY_STRING } ^.*(\[|\]|\(|\)|).*(数控或)

RewriteCond % {QUERY_STRING}(零|输出文件| LOAD_FILE)[或]

RewriteCond % {QUERY_STRING } (\./|\../|\…/)+( 公告|等)|本[数控或]

RewriteCond % {QUERY_STRING} (localhost |回送| 127 \ 0 \ 0 \ 1。)[数控或]

RewriteCond % {QUERY_STRING } (|’|% | 0 | % d % 27 | % 3 c | % 3 e | % 00)[数控或]

RewriteCond % {QUERY_STRING} concat [^\(]*\( [ 数控或]

RewriteCond % {QUERY_STRING}联盟([^ s] * s) +选举[数控或]

RewriteCond”% {QUERY_STRING}联盟([^]*)+ ll ([^ s] * s) +选举[数控或]

RewriteCond % {QUERY_STRING} (sp_executesql) (NC)

RewriteRule” ^(.*)$ – [ F、L]

3。跨站点脚本攻击

XSS攻击的工作原理(来源:Imperva)

与SQL注入攻击一样,跨站脚本(XSS)试图将恶意代码注入易受攻击的网站。一个例子是,发布信息将网站用户引导到另一个网站,然后试图窃取个人数据。这种情况可能是潜在的危险,因为其他网站甚至可能不需要用户的输入。它可以简单地扫描用户标识数据,如cookie、会话令牌等。一般情况下,可以使用Web Application Firewall (WAF)来防止XSS攻击。这个有用的工具可以阻止网站上的特定流量。大多数顶级的WordPress安全插件,如All In One WP security & Firewall都有这个功能。如果你更愿意专注于运行你的WordPress网站,并想把安全问题留给专家,一个WP安全&防火墙是一个很好的方法。它不仅可以帮助你阻止大多数类型的攻击,还可以扫描你的WordPress网站的漏洞,你可能没有意识到。

4。暴力攻击

WordPress利用一个凭证系统,允许管理员和其他授权用户访问它的控制功能。不幸的是,许多用户倾向于使用弱而明显的密码。蛮力密码使用脚本进行持续的多次登录尝试,直到成功。该脚本使用一个数据库,该数据库包含常用用户名和密码(如Admin和Password1)的字典,希望您在不考虑任何风险的情况下选择这些组合之一。然而,你可以做几件事来限制暴力攻击的有效性;

使用复杂和唯一的密码禁止访问WordPress管理目录增加2FA(双因素认证)禁止目录浏览限制登录失败次数5.使用

。分布式拒绝服务攻击

DDoS攻击试图通过模仿访问者流量的大量请求来克服一个网站。(来源:dnsstuff)

分布式拒绝服务(DDoS)攻击由针对网站的大量请求组成。这次洪水的目的是瘫痪一个网站,使其无法正常访问,因为它无法处理大量的请求。虽然DDoS不是WordPress独有的,但基于CMS的网站可能特别脆弱,因为它比常规静态网站需要更多的资源来处理请求。然而,防范DDoS攻击泛滥可能是不可能的,但即使是最著名的组织也已屈服于这些攻击。其中一个例子是2018年的GitHub攻击,他们的网站遭受了20分钟的DDoS flood攻击。一般来说,较小的网站不会有这么大的流量。然而,要缓解较小的DDoS波,请确保您使用内容分发网络(CDN)。这些服务器网络可以帮助平衡传入的负载,并帮助iN服务内容更快。

6。跨站请求伪造攻击

跨站请求伪造(CSRF)攻击是攻击者迫使像WordPress这样的web应用程序识别虚假身份的另一种方式。WordPress特别容易受到攻击,因为这些网站通常拥有许多用户凭证。CSRF攻击在许多方面与前面讨论的XSS攻击相似。主要的区别是,CSRF需要身份验证会话,而XSS不需要。无论如何,最终目的是将访问者转移到另一个地点,以窃取数据。

CSRF预防在大多数情况下需要在插件级别实现。开发人员通常使用反csrf令牌将会话与特定用户链接起来。WordPress网站所有者只能依靠插件更新和一般的网站加固技术来帮助防止CSRF攻击。一些可能有效的加固操作包括;禁用文件编辑器PHO执行的目标块2FA实现对WordPress安全问题的最后思考有时人们误解WordPress是一个高度脆弱的web应用程序。然而,这并不是一个完全公平的说法。部分原因是由于WordPress的广泛使用,但更重要的原因是网站所有者未能采取必要的适当预防措施。我们常常认为安全性是理所当然的,而没有考虑选择简单密码的后果。然而,网站所有者不仅要为网站的完整性负责,还要为用户数据的安全负责。

作者简介

裴文贝是WebRevenue的数字营销人员。

喜欢 (0)