什么是有针对性和无针对性的 WordPress 黑客攻击

已发表: 2014-07-08

如果您一直在阅读有关 WordPress 安全的信息并寻找 WordPress 安全黑客和调整以应用于您的 WordPress 或 WordPress 安全插件以保护其免受黑客攻击,您会注意到有两种类型的攻击,目标和非目标 WordPress hack攻击。

有针对性的和非有针对性的 WordPress 攻击有什么区别?如何保护您的 WordPress 免受这两种攻击? 本文解释了这两种类型的黑客攻击之间的区别,并解释了为什么某些或 WordPress 调整和黑客可以保护您免受一种类型的攻击而不是另一种类型的攻击,反之亦然。

非目标 WordPress 黑客攻击

非目标 WordPress 黑客攻击是自动攻击,并不是专门针对 WordPress 网站发起的。 例如,如果黑客试图利用旧版本 WordPress 中的已知漏洞,他们不会手动查找 WordPress 网站,检查其版本并查看它们是否容易受到此类漏洞的攻击。

相反,他们使用自动化工具向多个站点(通常是 IP 地址范围)发送用于利用该漏洞的特定 HTTP 请求。 根据收到的 HTTP 响应,该工具确定目标网站是否是易受攻击的 WordPress 安装。

保护 WordPress 免受非目标攻击

因此,如果您隐藏您的 WordPress 版本,甚至隐藏您在网站上使用 WordPress 的事实,您将无法保护您的网站免受非目标 WordPress 黑客攻击。 为了保护 WordPress 免受非目标黑客攻击,请遵循以下建议:

  1. 使您的所有软件保持最新状态; 始终使用您使用的最新、最安全的 WordPress、插件和主题版本。 这也适用于 MySQL、Apache 和在您的 Web 环境中运行的任何其他软件。
  2. 始终卸载并删除任何不必要的插件、主题和任何其他未使用的组件和文件。
  3. 不要为您的 WordPress 管理员帐户使用典型的用户名,例如 admin、administrator 和 root。 如果您确实重命名了 WordPress 管理员帐户。
  4. 通过添加额外的身份验证层来保护 WordPress 登录和管理页面。 阅读使用 HTTP 身份验证保护 WordPress 登录页面以获取更多信息。
  5. 使用强密码; 这不仅适用于 WordPress,还适用于您在线使用的任何其他服务或网站。 如果您有多个用户使用 WordPress,请使用插件创建 WordPress 密码策略,以确保用户使用强密码。

有针对性的 WordPress 黑客攻击

有针对性的黑客攻击专门针对您的网站和博客。 您的 WordPress 网站可能成为定向攻击的受害者有几个原因,而您的 WordPress 成为定向攻击的受害者的原因并不重要。 重要的是了解有针对性的攻击会发生什么,这样您就可以更好地保护您的 WordPress 网站和博客。

有针对性的攻击比非有针对性的攻击更危险,因为不是让许多自动化工具随机扫描网站,而是有人分析您网站的每一个细节,希望找到可以被利用的东西。

有针对性的 WordPress 攻击剖析

首先,攻击者将使用自动化工具检查您的 WordPress 版本是否容易受到任何已知漏洞的影响。 由于使用了自动化工具,因此隐藏 WordPress 的版本在这种情况下无济于事。

攻击者还将尝试确定您的 WordPress 上正在运行哪些插件,以及它们中的任何一个是否容易受到特定漏洞的影响。 同样,大多数这些任务都是使用自动化工具完成的。

WordPress 安全性中最薄弱的环节通常是凭据。 因此,使用自动化工具,攻击者将尝试枚举所有 WordPress 用户,甚至对 WordPress 发起密码字典攻击。

还有许多其他方法和手段可以破解 WordPress 博客或网站,而有针对性的攻击并没有专门利用 WordPress 或其组件之一的安全漏洞。 它也可能是 Web 服务器软件或配置等中的安全漏洞,但以上三个是最常见的黑客攻击入口点。

保护 WordPress 免受有针对性的攻击

您可以应用许多 WordPress 黑客和调整来保护您的 WordPress 免受有针对性的黑客攻击,如下面的列表中突出显示的:

  1. 首先,所有适用于保护您的 WordPress 免受非目标 WordPress 攻击的方法也适用于目标攻击
  2. 保护您的 WordPress 管理员帐户
  3. 启用 WordPress SSL 以通过加密通信层访问您的 WordPress 登录页面和管理页面,以避免您的 WordPress 用户名和密码被劫持
  4. 使用 WordPress 安全监控和审核插件来跟踪 WordPress 上发生的一切,并在任何可疑活动成为安全问题之前识别它
  5. 使用 WordPress 用户角色通过确保每个用户仅具有完成工作所需的最低权限来提高 WordPress 的安全性
  6. 使用 WPScan WordPress 安全黑盒扫描器和其他工具来频繁扫描和审核您的 WordPress 网站。

保护 WordPress 免受所有类型的黑客攻击

有时,您可能会读到某个特定的 WordPress 安全调整,有人说它有效,而另一些人则说无效,例如隐藏您的 WordPress 版本。 在这种情况下,我们知道隐藏 WordPress 的版本并不能提高其安全性,那么为什么要首先实施这样的调整呢? 如果您对某个特定的调整有疑问,如果该调整不会影响您的 WordPress 的性能并且易于实施,请继续实施。 安全总比后悔好!

除了上述提示之外,还有许多其他方法可以提高 WordPress 博客和网站的安全性,并保护它们免受目标和非目标 WordPress 黑客攻击。 理想情况下,您应该通过订阅 WordPress 安全博客来保持更新,该博客经常发布 WordPress 安全提示、黑客和调整。