什么是密码泄露?
已发表: 2022-06-10什么是密码泄露? 您应该采取哪些措施来防止在您的 WordPress 网站上发生这种情况?
自从互联网和网站登录表单问世以来,我们都被教导要使用安全、牢不可破的密码来保护我们的在线隐私。 但作为 WordPress 网站所有者,它比以往任何时候都更加重要。 由于持续存在网络安全威胁,您需要采取措施避免可能导致黑客接管您的网站的密码泄露。
在本指南中,我们将深入探讨密码泄露的风险以及如何使用它们来完全控制您的 WordPress 网站。 我们还将准确地向您展示您需要采取哪些措施来保护您的网站免受密码泄露。 让我们来看看。
什么是密码泄露?
简而言之,密码泄露是指有人未经您的许可访问您的密码。 由于大量用户名和密码组合遭到破坏,密码泄露通常会大规模发生。 密码泄露通常会导致泄漏和数据库转储。 这些数据库转储在暗网上被披露,甚至被出售。
出于多种原因,密码泄露是一个大问题。 首先,很明显,黑客可以访问您的在线帐户。 一旦您的密码被包含在数据泄露中,您的在线安全性就会大大降低。
更糟糕的是,如果您为多个帐户重复使用密码,那么所有这些帐户都会受到威胁。 在最近的 Verizon 数据泄露调查报告中,超过 70% 的员工在工作场所重复使用密码。 但 Verizon 报告中最重要的统计数据是,81% 的与黑客相关的违规行为利用了被盗密码或弱密码。
什么是中间人 (MITM) 攻击?
当涉及密码泄露时,了解 MITM 或中间人攻击非常重要。 中间人攻击是任何网络攻击的总称,黑客将自己定位在信息或数据的发送者和接收者之间的中间位置。
这方面的一个例子是黑客在用户的网络浏览器和他们当前访问的网站之间。 通过将自己定位在中间,它允许攻击者窃听并在很多情况下修改目标内容,因为它在两个不同位置之间发送和接收。
当黑客能够捕获站点用户的登录凭据时,他们有时可以使用该信息来获得对您的 WordPress 站点的特权访问。 如果他们能够获取您网站的管理员凭据,他们将能够对您的网站做任何他们喜欢的事情,包括将其重定向到完全不同的位置。
黑客如何窃取用于登录的密码和凭据
黑客使用多种技术窃取您的密码,包括网络钓鱼、窃取您的身份验证 cookie 以及监视不安全或未加密的连接。
要完全了解密码泄露是如何发生的以及凭据是如何被盗的,您需要首先查看一个不安全的 HTTP 请求,该请求包含使用浏览器的内置开发人员工具提交的凭据。
请记住,这不是中间人攻击,但仍然是密码泄露。 此信息将有助于说明您在此过程稍后需要查找的内容。
现在,我们需要看看黑客在检查未加密的 HTTP 流量时看到了什么。 对于此示例,我们使用了一个名为 Wireshare 的工具。 这是任何人都可以使用的流行且免费的网络分析工具。 与您在同一个 WiFi 网络上的恶意用户可以使用此类工具获取未通过 HTTPS 加密的敏感信息。
Cookie 与网站身份验证有何关系?
除了简单地窃取您的登录凭据和密码之外,知识渊博的黑客还能够窃取您的身份验证 cookie 并使用它在您的网站上完全冒充您。
重要的是要了解 HTTP 是所谓的无状态协议。 换句话说,在 HTTP 中,服务器不会为通过相同 TCP 套接字到达的请求附加任何单独的含义。
这意味着,除非您每次在网站上请求页面时都想输入完整密码,否则浏览器需要存储一个临时令牌,以便在您浏览网站时跟随您。
此令牌称为会话令牌。 浏览器会在您在网站上提出的每个请求中自动发送此令牌。 幸运的是,网络浏览器有一个内置的机制来实现这个确切的功能。 机制是cookies。
这就是为什么当您删除存储在浏览器中的所有 cookie 时,您将退出之前登录的所有网站。
这告诉我们,黑客和恶意攻击者甚至不需要知道您的密码即可完成密码泄露并冒充您。 他们需要做的就是拿到您的会话令牌,然后他们就可以直接登录您的网站。
在我们之前的 WordPress 密码泄露示例中,您会看到使用 Wireshark 的攻击者现在可以访问相同的信息。
然后,使用 Cookie-Editor 等完全免费的浏览器扩展程序,黑客将能够轻松地使用他们在 Web 浏览器中窃取的 cookie 的值,并开始像您一样在您的 WordPress 管理仪表板中导航。 对于您自己或您的网站来说,这不会带来任何好处。
如何保护自己免受密码泄露
请记住,某些类型的密码泄露攻击对于熟练的黑客来说是非常容易实现的。 在安全性较差或公共网络(例如公共 WiFi 位置)上尤其如此。
幸运的是,保护您的 WordPress 网站免受密码泄露非常简单。 这是每个负责任的 WordPress 网站所有者都需要立即专注于做的事情,以避免可能破坏整个网站的攻击。
首先,确保在您管理的任何和所有 WordPress 网站上启用并强制实施 HTTPS。 这是任何类型的 WordPress 网站的绝对要求,无论大小 - 即使您的用户没有被授予登录该网站的权限。
简单地说,HTTPS 加密浏览器和您的站点服务器之间的所有流量。 如果攻击者试图读取使用 HTTPS 加密的流量内容,他们最终只会看到乱码、无意义的加密文本。
您的密码将是安全的。
当然,您需要拥有 SSL 安全证书才能在您的站点上强制执行 HTTPS。 如今,许多 WordPress 主机都提供免费的 SSL 证书,这让它变得轻而易举。
使用 iThemes Security Pro 插件来避免 WordPress 网站上的密码泄露
与包含登录表单的所有其他网站应用程序类似,当您或其他用户登录时,WordPress 内容管理系统会在 HTTP 请求中提交用户名和密码。而且,您可能知道,HTTP 不是加密协议。
这意味着,如果您没有使用 HTTPS 安全地运行您的网站,那么您的用户和您的 Web 服务器之间的所有通信都可能被黑客和恶意攻击者窃听。
黑客随后能够轻松拦截并修改您的 WordPress 站点的明文 HTTP(未加密)流量。 当然,黑客寻找的最有价值的信息是站点管理员的登录凭据,包括您的密码。 这就是为什么始终为您的 WordPress 网站使用 HTTPS 如此重要的原因。 这是有关 HTTP 与 HTTPS 含义的快速指南。
如果您有 WordPress 网站,最好的防线之一就是 iThemes Security Pro 插件。 iThemes Security 是一个强大的 WordPress 安全插件,具有旨在保护用户帐户和强化 WordPress 的功能。
例如,iThemes Security Pro 中的密码要求功能不仅是您的密码策略,还是您的密码强制工具。
使用密码要求功能,您将能够轻松地强制仪表板中任何 WordPress 用户组的成员:
- 使用强密码
- 为每个组内的用户选择密码过期和重置的分配时间
- 拒绝已泄露的密码(这会强制用户使用未出现在 Have I Been Pwned 跟踪的任何密码泄露事件中的密码)
- 强制更改整个站点范围的密码,以确保站点上的每个人都遵守您正在实施的新的强密码策略。
iThemes Security Pro 密码要求功能将保护您的 WordPress 登录凭据免受我们刚刚在本指南中讨论过的密码泄露攻击,以及更多其他内容。
事实上,它是一个完整的 WordPress 安全套件,如果保护您的网站免受各种恶意攻击对您来说很重要,那么任何 WordPress 网站所有者都不应该没有它。
此外,它使您只需单击一个按钮即可强制执行您的密码策略。 事实是,大多数人更愿意走阻力最小的道路。 通过删除使用弱密码或泄露密码的选项,您可以帮助自己和使用您网站的每个人充分保护他们的帐户免受密码泄露的损害。
额外的密码预防措施
毫无疑问,您需要立即在 WordPress 网站上启用 HTTPS,然后安装安全套件以保护其免受密码泄露攻击,但您还需要采取一些与 WordPress 安全和强化相关的额外措施:
- 添加 2FA(双因素身份验证)以提高 WordPress 站点身份验证机制的安全性。 iThemes Security Pro 插件将帮助您解决这个问题。
- 通过 iThemes Security 的蛮力保护,限制您网站上的失败登录尝试,以帮助阻止密码猜测攻击和 DDoS 攻击等黑客攻击。
- 打开安全日志以帮助您监控对 WordPress 管理仪表板的任何未经授权的访问。
- 确保在您的 WordPress 网站上激活文件更改检测,以发现任何未经授权或可疑的文件更改。
总结:避免 WordPress 网站上的密码泄露
成功的密码泄露是 WordPress 网站所有者可能发生的最具破坏性的事情之一。 即使是世界上最大的网站也不能幸免于它们的危险。
然而,在学习了本指南之后,您现在可以在您的网站上使用这些工具来帮助您远离这种毁灭性的打击。
在正确工具的帮助下,如本文所述,您将顺利运行更安全的 WordPress 网站。
保护和保护 WordPress 的最佳 WordPress 安全插件
WordPress 目前为超过 40% 的网站提供支持,因此它已成为恶意黑客的轻松目标。 iThemes Security Pro 插件消除了 WordPress 安全性的猜测,使保护您的 WordPress 网站变得容易。 这就像拥有一个全职的安全专家,他们不断地为您监控和保护您的 WordPress 网站。
Kristen 自 2011 年以来一直在编写教程来帮助 WordPress 用户。作为 iThemes 的营销总监,她致力于帮助您找到构建、管理和维护有效 WordPress 网站的最佳方法。 克里斯汀还喜欢写日记(看看她的业余项目,转型之年!)、远足和露营、有氧运动、烹饪以及与家人的日常冒险,希望过上更真实的生活。