การโจมตีแบบแฮ็ก WordPress แบบกำหนดเป้าหมายและไม่กำหนดเป้าหมายคืออะไร

เผยแพร่แล้ว: 2014-07-08

หากคุณเคยอ่านเกี่ยวกับความปลอดภัยของ WordPress และกำลังมองหาการแฮ็กและปรับแต่งความปลอดภัยของ WordPress เพื่อนำไปใช้กับปลั๊กอินความปลอดภัย WordPress หรือ WordPress ของคุณ เพื่อป้องกันการโจมตีจากแฮ็กเกอร์ คุณจะสังเกตเห็นว่ามีการโจมตีสองประเภท แฮ็ค WordPress แบบกำหนดเป้าหมายและไม่ได้กำหนดเป้าหมาย การโจมตี

อะไรคือความแตกต่างระหว่างการโจมตี WordPress แบบกำหนดเป้าหมายและไม่ใช่เป้าหมาย และคุณจะปกป้อง WordPress ของคุณจากการโจมตีทั้งสองแบบนี้ได้อย่างไร บทความนี้จะอธิบายความแตกต่างระหว่างการโจมตีแบบแฮ็กทั้งสองประเภทนี้ และอธิบายว่าเหตุใดการปรับแต่งและการแฮ็กของ WordPress บางส่วนหรือบางส่วนจึงสามารถปกป้องคุณจากการโจมตีประเภทหนึ่ง ไม่ใช่อีกประเภทหนึ่ง และในทางกลับกัน

การโจมตีแฮ็ค WordPress ที่ไม่กำหนดเป้าหมาย

การโจมตีของแฮ็กเกอร์ WordPress ที่ไม่ได้กำหนดเป้าหมายเป็นการโจมตีอัตโนมัติและไม่ได้เปิดตัวเฉพาะกับเว็บไซต์ WordPress เท่านั้น ตัวอย่างเช่น หากแฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ที่ทราบใน WordPress เวอร์ชันเก่า พวกเขาจะไม่ค้นหาเว็บไซต์ WordPress ด้วยตนเอง ตรวจสอบเวอร์ชันของพวกเขาและดูว่ามีความเสี่ยงต่อช่องโหว่ดังกล่าวหรือไม่

แต่พวกเขาจะใช้เครื่องมืออัตโนมัติเพื่อส่งคำขอ HTTP เฉพาะที่ใช้เพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวไปยังไซต์จำนวนหนึ่ง ซึ่งโดยทั่วไปแล้วจะเป็นช่วงของที่อยู่ IP ขึ้นอยู่กับการตอบสนองของ HTTP ที่ได้รับกลับมา เครื่องมือจะกำหนดว่าเว็บไซต์เป้าหมายเป็นการติดตั้ง WordPress ที่มีช่องโหว่หรือไม่

ปกป้อง WordPress จากการโจมตีที่ไม่ได้กำหนดเป้าหมาย

ดังนั้น หากคุณซ่อน WordPress เวอร์ชันของคุณ หรือแม้แต่ซ่อนความจริงที่ว่าคุณกำลังใช้ WordPress สำหรับไซต์ของคุณ คุณจะไม่ได้ปกป้องไซต์ของคุณจากการแฮ็ก WordPress ที่ไม่ได้กำหนดเป้าหมาย เพื่อป้องกัน WordPress จากการถูกแฮ็กที่ไม่ได้กำหนดเป้าหมาย ให้ทำตามคำแนะนำด้านล่าง:

  1. ปรับปรุงซอฟต์แวร์ทั้งหมดของคุณให้ทันสมัยอยู่เสมอ ใช้ WordPress ปลั๊กอินและธีมเวอร์ชันล่าสุดและปลอดภัยที่สุดเสมอ นอกจากนี้ยังใช้กับ MySQL, Apache และซอฟต์แวร์อื่น ๆ ที่ทำงานบนสภาพแวดล้อมเว็บของคุณ
  2. ถอนการติดตั้งและลบปลั๊กอิน ธีมที่ไม่จำเป็น รวมถึงส่วนประกอบและไฟล์อื่นๆ ที่ไม่ได้ใช้เสมอ
  3. อย่าใช้ชื่อผู้ใช้ทั่วไป เช่น ผู้ดูแลระบบ ผู้ดูแลระบบ และรูทสำหรับบัญชีผู้ดูแลระบบ WordPress ของคุณ หากคุณเปลี่ยนชื่อบัญชีผู้ดูแลระบบ WordPress
  4. ปกป้องหน้าเข้าสู่ระบบและผู้ดูแลระบบของ WordPress โดยเพิ่มชั้นการตรวจสอบสิทธิ์เพิ่มเติม อ่านปกป้องหน้าเข้าสู่ระบบ WordPress ด้วยการตรวจสอบสิทธิ์ HTTP สำหรับข้อมูลเพิ่มเติม
  5. ใช้รหัสผ่านที่รัดกุม สิ่งนี้ใช้ไม่ได้กับ WordPress เท่านั้น แต่กับบริการหรือเว็บไซต์อื่น ๆ ที่คุณใช้ออนไลน์ หากคุณมีผู้ใช้หลายคนที่ใช้ WordPress ให้ใช้ปลั๊กอินเพื่อสร้างนโยบายรหัสผ่าน WordPress เพื่อให้แน่ใจว่าผู้ใช้ใช้รหัสผ่านที่รัดกุม

กำหนดเป้าหมาย WordPress Hack Attack

การโจมตีแบบเจาะจงเป้าหมายนั้นกำหนดเป้าหมายไปยังเว็บไซต์และบล็อกของคุณโดยเฉพาะ มีหลายสาเหตุที่ไซต์ WordPress ของคุณอาจตกเป็นเหยื่อของการโจมตีแบบกำหนดเป้าหมาย และสาเหตุที่ WordPress ของคุณตกเป็นเหยื่อของการโจมตีแบบกำหนดเป้าหมายนั้นไม่สำคัญ สิ่งสำคัญคือการทำความเข้าใจว่าเกิดอะไรขึ้นในการโจมตีแบบกำหนดเป้าหมาย เพื่อให้คุณสามารถปกป้องเว็บไซต์และบล็อก WordPress ของคุณได้ดียิ่งขึ้น

การโจมตีแบบกำหนดเป้าหมายนั้นอันตรายกว่าการโจมตีที่ไม่ได้กำหนดเป้าหมายเพียงเพราะแทนที่จะมีเครื่องมืออัตโนมัติจำนวนหนึ่งสแกนเว็บไซต์แบบสุ่ม มีมนุษย์ที่วิเคราะห์ทุกรายละเอียดเกี่ยวกับเว็บไซต์ของคุณโดยหวังว่าจะพบบางสิ่งที่สามารถใช้ประโยชน์ได้

กายวิภาคของการโจมตี WordPress ที่กำหนดเป้าหมาย

ในตอนแรกผู้โจมตีจะใช้เครื่องมืออัตโนมัติเพื่อตรวจสอบว่า WordPress เวอร์ชันของคุณมีช่องโหว่ที่รู้จักหรือไม่ เนื่องจากมีการใช้เครื่องมืออัตโนมัติ การซ่อนเวอร์ชันของ WordPress จึงไม่ช่วยในสถานการณ์ดังกล่าว

ผู้โจมตีจะพยายามระบุด้วยว่าปลั๊กอินใดกำลังทำงานอยู่บน WordPress ของคุณและหากมีปลั๊กอินใดที่เสี่ยงต่อการเกิดช่องโหว่ งานเหล่านี้ส่วนใหญ่ทำโดยใช้เครื่องมืออัตโนมัติอีกครั้ง

ลิงก์ที่อ่อนแอที่สุดในความปลอดภัยของ WordPress มักเป็นข้อมูลประจำตัว ดังนั้นการใช้เครื่องมืออัตโนมัติ ผู้โจมตีจะพยายามระบุผู้ใช้ WordPress ทั้งหมดและเปิดพจนานุกรมรหัสผ่านเพื่อโจมตี WordPress

มีหลายวิธีและวิธีการแฮ็คบล็อก WordPress หรือเว็บไซต์และการโจมตีแบบกำหนดเป้าหมายไม่ได้ใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยใน WordPress หรือองค์ประกอบอย่างใดอย่างหนึ่งโดยเฉพาะ นอกจากนี้ยังอาจเป็นช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์เว็บเซิร์ฟเวอร์หรือการกำหนดค่า ฯลฯ แต่สามข้อข้างต้นเป็นจุดเริ่มต้นการโจมตีแฮ็คที่พบบ่อยที่สุด

ปกป้อง WordPress จากการโจมตีแบบกำหนดเป้าหมาย

มีการแฮ็กและปรับแต่ง WordPress มากมายที่คุณสามารถนำไปใช้เพื่อป้องกัน WordPress จากการถูกแฮ็กเป้าหมายตามที่เน้นในรายการด้านล่าง:

  1. เริ่มต้นด้วย ทั้งหมดที่ใช้เพื่อป้องกัน WordPress ของคุณจากการโจมตี WordPress ที่ไม่ได้กำหนดเป้าหมายจะนำไปใช้กับการโจมตีแบบกำหนดเป้าหมายด้วย
  2. รักษาความปลอดภัยและปกป้องบัญชีผู้ดูแลระบบ WordPress ของคุณ
  3. เปิดใช้งาน WordPress SSL เพื่อเข้าถึงหน้าเข้าสู่ระบบ WordPress และหน้าผู้ดูแลระบบบนเลเยอร์การสื่อสารที่เข้ารหัสเพื่อหลีกเลี่ยงไม่ให้ชื่อผู้ใช้และรหัสผ่าน WordPress ของคุณถูกแย่งชิง
  4. ใช้ปลั๊กอินตรวจสอบความปลอดภัยของ WordPress เพื่อติดตามทุกสิ่งที่เกิดขึ้นบน WordPress ของคุณและระบุกิจกรรมที่น่าสงสัยก่อนที่จะกลายเป็นปัญหาด้านความปลอดภัย
  5. ใช้บทบาทของผู้ใช้ WordPress เพื่อปรับปรุงความปลอดภัยของ WordPress โดยทำให้แน่ใจว่าผู้ใช้ทุกคนมีสิทธิ์ขั้นต่ำที่จำเป็นในการทำงาน
  6. ใช้เครื่องสแกนกล่องดำความปลอดภัย WPScan WordPress และเครื่องมืออื่นๆ เพื่อสแกนและตรวจสอบเว็บไซต์ WordPress ของคุณเป็นประจำ

ปกป้อง WordPress จากการโจมตีของแฮ็กเกอร์ทุกประเภท

ในบางครั้ง คุณอาจอ่านเกี่ยวกับการปรับแต่งความปลอดภัยของ WordPress ที่บางคนบอกว่าใช้ได้ผล ในขณะที่บางคนบอกว่าไม่ได้ผล เช่น การซ่อนเวอร์ชัน WordPress ของคุณ ในกรณีเช่นนี้ เราทราบดีว่าการซ่อนเวอร์ชันของ WordPress ไม่ได้ปรับปรุงความปลอดภัย ดังนั้นเหตุใดจึงต้องใช้ tweak ดังกล่าวตั้งแต่แรก หากคุณสงสัยเกี่ยวกับการปรับแต่งใดเป็นพิเศษ หากการปรับแต่งนั้นไม่ส่งผลต่อประสิทธิภาพของ WordPress ของคุณและง่ายต่อการใช้งาน ให้ดำเนินการต่อไป ปลอดภัยไว้ก่อนดีกว่าเสียใจ!

นอกจากคำแนะนำข้างต้นแล้ว ยังมีวิธีอื่นๆ อีกมากมายในการปรับปรุงความปลอดภัยของบล็อกและเว็บไซต์ WordPress ของคุณและปกป้องพวกเขาจากการถูกแฮ็ก WordPress ทั้งแบบกำหนดเป้าหมายและไม่ได้กำหนดเป้าหมาย ตามหลักการแล้ว คุณควรอัปเดตตัวเองอยู่เสมอโดยสมัครรับบล็อกความปลอดภัยของ WordPress ที่มีการเผยแพร่เคล็ดลับการรักษาความปลอดภัย การแฮ็ก และการปรับแต่งของ WordPress เป็นประจำ