最常见的 WP 安全和漏洞问题

已发表: 2022-06-07

WP 安全问题
如果您正在寻找 CMS 来创建网站,那么 WordPress 可能是您最好的选择。 它灵活、开源且易于设置。 WP 还支持大量插件和主题,以最大限度地发挥任何网站的功能。

有这么多网站使用 WordPress,它成为了最受攻击的内容管理平台。 当你启动一个新站点的那一刻,它就开始受到机器人的攻击,这些机器人会扫描它以查找配置错误和安全漏洞。

虽然 WordPress Core 会定期更新,而且很难破解,但第三方组件有时很容易受到攻击。 根据 VPNBrains 的安全专家的说法,主题和插件是 WP 生态系统中最薄弱的部分。 网络骗子使用它们来接管网站。

以下文章反映了与 WP 安全性相关的几个挑战。 它旨在拓宽您的安全视野,并可能鼓励您重新考虑一些保护方法。

不要让“一劳永逸”的原则欺骗你

“一劳永逸”的原则是一个很大的误解,可能会把你引向错误的方向。 许多“一刀切”的安全插件声称可以立即提供终极保护。 不幸的是,这种营销口号经常引诱一些网站管理员。

这些产品可能会给您一种虚假的安全感,但无法消除网站被黑的主要原因。 此类产品采用反应式保护方法,主要检测主流病毒和漏洞。 这种方法可以对抗已知的恶意代码,但不能帮助解决 0-day 威胁。

另一个错误的假设与几种安全解决方案可以提高您网站的安全性的想法有关。 这次数量不等于质量。 此外,这种策略会引起冲突。 安全插件实现了重叠的配置调整并降低了网站的性能。

与其依赖一键式 WordPress 安全解决方案或多种服务的混合,不如专注于主动防御。 例如,您可以利用 Web 应用程序防火墙来监控异常流量并防止利用 0-day 漏洞的攻击。

被病毒攻击的 WP 网站

在 WordPress 网站上存放恶意代码的黑客有几个原因。 他们可能希望窃取敏感的财务数据、注入脚本来展示广告或挖掘加密货币。

最近的几起恶意软件爆发表明,犯罪分子如何成功地重新利用知名和合法的插件来传播有害的有效载荷。

在许多情况下,过时的、不受开发人员支持的、或粗制滥造的主题和插件成为病毒的主要入口点。 这里最好的建议是定期更新所有这些组件。 在安装新主题或插件之前,检查开发人员的声誉至关重要。 您还应该仔细研究用户的评论和反馈。 卸载您没有积极使用的插件。

选择主题时,请坚持使用受信任的提供商,例如原始 WordPress 主题目录、TemplateMonster 或 Themeforest。 使用带有病毒扫描选项的安全插件是有意义的,但不要认为它是万能的。

SQL 注入仍然是一个重大问题

SQL 注入在数据库中为零。 通过执行特殊的 SQL 命令,骗子可以查看、更改或删除 WP 数据库中的数据。 他们可以创建具有管理员权限的新用户帐户,并将其用于各种流氓活动。 通常,SQL 注入是通过为用户输入创建的各种表单(如联系表单)来实现的。

为了防止 SQL 注入,最好在您的网站上列出用户提交类型。 例如,您可以过滤和阻止包含特定 Web 表单不需要的特殊字符的请求。

在输入过程中添加某种人工验证(如良好的旧验证码)也很好,因为其中许多攻击是由机器人执行的。

跨站点脚本会导致严重的安全问题

XSS 攻击的主要目标是用会导致访问者浏览器运行恶意命令的代码使网站变得混乱。 由于这些脚本来自受信任的站点,Chrome 和其他浏览器允许它们访问敏感信息,例如 cookie。

黑客还利用这种方法改变网站的外观并嵌入导致网络钓鱼的虚假链接和表单。

另一种利用向量涉及需要最少或不需要用户交互来启动的路过式攻击。

未经身份验证的对手可以执行这种形式的滥用,使犯罪分子能够自动化和重现攻击以达到他们的邪恶目标。

同样,易受攻击的主题和插件经常被指责为跨站点脚本入侵。 明智地选择这些组件并定期修补它们。

应尽一切办法避免弱身份验证

黑客不断用蛮力攻击轰炸网站。 这些攻击使用数百万个用户名和密码组合来查找匹配项。 如今,正确的 WP 密码卫生至关重要。 默认用户名和弱密码可能会导致在几个小时内被黑客入侵。

使用密码管理器生成强密码并安全存储。 请注意,如今许多行业的网站都必须使用多因素身份验证。 MFA 使蛮力尝试徒劳无功。 同时,如果有人窃听手机,MFA 可能会失败。 因此,请务必确保您的手机安全。

另请注意,攻击者可以找出您的网站使用的登录页面。 不再使用 /wp-admin.php 或 /wp-login.php 是不明智的。 强烈建议更改它。 此外,请务必限制不成功的登录尝试。

WP 网站正遭受 DDoS 攻击

是的,这不是 WP 独有的问题。 同时,在 WP 的统治下,DDoS 运营商一直在对 WordPress 网站发起攻击。 这种 DDoS 攻击的原理是用大量流量淹没服务器。 此方法可能会使目标站点脱机或使其无法访问来自合法用户的大多数请求。

为了最大限度地减少损失,WordPress 网站所有者可以外包 DDoS 缓解。 Cloudflare、Sucuri 和其他公认的解决方案可能会有所帮助。 一个好的托管服务提供商也应该能够提供帮助。

结论

请务必使用主动方法,消除对持续病毒清除的依赖并涉及态势感知。 使您的插件和主题保持最新。 仅在您真正需要时才安装第三方组件。 将 WP 安全性视为一个过程。