為什麼 WordPress 惡意軟件掃描程序毫無價值

Snicco、WeWatchYourWebsite、Automattic 支持的 GridPane 和 PatchStack 的最新研究表明，在受感染環境中作為插件運行的 WordPress 惡意軟件掃描程序存在根本性缺陷。 惡意軟件掃描儀充其量只是針對已受損站點的清理工具。 它們不是堅固的防線，而且現在正在被惡意軟件主動擊敗。 將惡意軟件檢測留給優質主機。 將安全策略重點放在登錄身份驗證強化、用戶管理、適當的權限委派和警惕的版本管理上。

2000 年及後期：惡意軟件掃描程序已經不再有用

WordPress 的惡意軟件檢測插件可以追溯到 2011 年左右，當時 SQL 注入攻擊很常見且有效。 當時使用 WordPress 的任何人都會記得一個廣泛使用的圖像編輯庫，名為 TimThumb。 它遭受了零日漏洞攻擊，給數百萬個網站帶來了可怕的後果。

WordPress 安全插件就是在這種緊急情況下誕生的——作為一種反應。 今天的一些安全插件看起來仍然像 Norton Security 和 McAfee Anti-Virus。 這些是 20-30 年前流行的 Windows 安全應用程序。 但正如約翰·邁克菲在離開他創建的公司後所說，他的防病毒掃描儀已經變成了“臃腫軟件”。 在他看來，這是“世界上最糟糕的軟件”。

今天，根據幾位 WordPress 安全研究人員的最新發現，可以對 WordPress 惡意軟件掃描程序得出類似的結論。

安全錯覺：WordPress 惡意軟件掃描程序經受考驗

在名為“惡意軟件瘋狂：為什麼您所知道的有關 WordPress 惡意軟件掃描程序的一切都是錯誤的”系列的第一部分中，WordPress 安全研究員 Calvin Alkan（安全公司 Snicco 的創始人）分享了他的一些工作。 Alkan 與 Patrick Gallagher（GridPane 首席執行官兼聯合創始人）和 Thomas Raef（WeWatchYourWebsite.com 所有者）合作，看看是否可以擊敗惡意軟件掃描程序。 毫不奇怪，事實證明他們可以被擊敗——而且非常容易。 Patchstack 對 Alkan 的結果進行了獨立確認。

本地掃描儀：電話來自屋內

在測試中，阿爾坎和他的合作者首先查看了本地掃描儀。 Wordfence、WPMU Defender、All-In-One Security (AIOS) 的免費版本和 NinjaScanner 在與其安裝的 WordPress 站點相同的服務器上完成所有工作。 這意味著惡意軟件掃描程序使用與 WordPress 和感染它的惡意軟件相同的 PHP 進程。 沒有什麼可以阻止惡意軟件與掃描儀主動交互。 該惡意軟件可以禁用它檢測到的任何安全插件，將其本身列入白名單（2018 年報告），或操縱掃描儀，使它們無法檢測到入侵。

接下來，阿爾坎和他的合作夥伴製作了有效的概念驗證來擊敗惡意軟件掃描程序。 （他們還主動與安全研究人員和供應商私下分享他們的漏洞利用工具包。）根據 Patchstack 首席執行官 Oliver Sild 的說法，漏洞利用工具包僅包含幾行代碼。

Alkan 還發現，“使用 PHP 動態構建自身”的“渲染”惡意軟件無法被本地惡意軟件掃描程序檢測到。 最後，本地掃描儀未能檢測到“進程內”惡意軟件。 這種類型的惡意軟件“執行一次，然後從系統中刪除自身，不留下任何存在的痕跡”。

遠程掃描儀：被篡改證據和清理犯罪現場所擊敗

在遠程服務器上執行分析的掃描儀包括 Malcare、Virusdie、All-In-One Security (AIOS) Pro、Sucuri 和 JetPack Scan。 這些較新的遠程掃描方法具有多個優點，包括減少佔用空間以及對本地服務器性能的影響。 本地掃描程序使用您站點的服務器資源來完成其工作，這會產生性能成本。 遠程惡意軟件分析也不會受到操縱，因為它不會與活動惡意軟件感染髮生在同一 PHP 進程中。

遠程掃描儀容易受到惡意軟件的攻擊，這些惡意軟件會操縱發送回遠程服務器進行分析的數據。 Alkan 構建了另一個概念驗證，證明遠程掃描儀可以通過這種方式被擊敗 - 通過隱藏惡意軟件感染的“證據”。 Oliver Sild 也證實了這一結果：

“從概念上講，可以通過將本地插件作為欺騙目標來實現數據篡改。 我們收到了一個概念驗證，清楚地證明了這一點。”

稍微不同的惡意軟件策略可能涉及“清理犯罪現場”並且不留下任何感染痕跡可供掃描。 阿爾坎認為這是可能的，但沒有提供概念證明。

請務必注意，當您嘗試檢測惡意軟件感染時，用於查找未經授權的更改的文件完整性掃描可能會很有幫助。 這種類型的掃描將本地文件與受保護的遠程代碼存儲庫進行比較，以檢測 WordPress 核心或插件和主題文件中的非官方更改。 不幸的是，如果該過程被惡意軟件篡改，則更改檢測可能會失敗。

不僅僅是假設：惡意軟件已經在野外禁用 WordPress 安全掃描程序

繼 Alkan 的漏洞利用工具包之後，Snicco 報告中最大的披露來自 We Watch Your Website 的首席執行官 Thomas Raef，該公司檢測並清理被黑的 WordPress 網站：

“在過去 60 天內，有 52,848 個網站因在感染前安裝了 WordFence 而遭到黑客攻擊。 在 14% 的情況下（7,399），安裝的惡意軟件篡改了 WordFence 文件。 其他受歡迎的服務的比例甚至更高； MalCare 佔 22%，VirusDie 佔 24%。”

有關“We Watch Your Website”分析的詳細說明，請參閱 Thomas Raef 的報告“我們如何在 60 天內識別近 150K 個被黑客入侵的 WordPress 網站”。

惡意軟件掃描插件的遊戲就結束了。 它告訴我們，WordPress 惡意軟件掃描是純粹的安全劇場——“採取安全措施的做法被認為可以提供安全性提高的感覺，但幾乎不採取任何行動來實現這一目標。”

毫無疑問，這種情況也已經持續了很長時間。

安全行業資深人士、Kadence 營銷總監 Kathy Zant 告訴 Alkan：

“在大約 18 個月的時間裡，我在 WordPress 中為一家知名公司清理 WordPress 網站，在我任職期間從 2,000 多個網站中刪除了惡意軟件。 我看到的最早的時間範圍[惡意軟件擊敗惡意軟件掃描]是在 2017 年中後期。[...]我確信它仍然存在。 而且很可能還有其他變體執行類似的操作，甚至更糟糕。”

這是壞消息：惡意軟件掃描程序不可信。 好消息是他們從未提供過真正的防守。 如果你失去的只是一種安全感的幻覺，那麼這實際上是邁向獲得真正安全感的一步。

如何正確保護您的 WordPress 網站

繼 Snicco 等報告之後，最大的問題是：“WordPress 網站如何才能獲得對其安全性的高度信心？”

Alkan 認為，安全方法必須針對每個服務器堆棧進行定制，而主機執行的服務器端惡意軟件掃描是網站所有者唯一有價值的掃描類型。

“WordPress 安全插件應該只做那些最好在應用程序/PHP 層完成的事情，”他強調道。

Alkan 表示，強大的用戶登錄安全性（例如雙因素身份驗證和密碼以及會話安全性）是 WordPress 插件可以提供幫助的領域（例如 iThemes Security 等插件）。 這一直是我們開發團隊的指導理念——安全插件最適合強化站點並減少攻擊面。

強化 WordPress 網站防禦的其他重要方法包括遵循最小權限原則的仔細用戶管理：永遠不要向用戶授予不必要的權力。 對於特權用戶來說，他們需要更高的安全標準——2FA、密鑰、可信設備以及從未出現在已知漏洞中的強密碼。

當今的攻擊趨勢是通過密碼填充、網絡釣魚和魚叉式網絡釣魚來智能地針對中小型企業。 這些攻擊媒介利用弱登錄身份驗證和人為錯誤。 他們使用暴力和巧妙的社會工程策略來破壞個人用戶帳戶。 有了被黑的用戶帳戶，攻擊者就可以造成很大的破壞。 如果他們還發現有漏洞的插件可供利用，他們可能會造成更大的傷害。 一旦進入您的系統，攻擊者就可以創建後門以便隨時溜回來。

強調惡意軟件掃描的安全插件並不能阻止它們。

用於保護 WordPress 的最佳 WordPress 安全插件

目前，超過 40% 的網站均由 WordPress 提供支持，這使其成為網絡犯罪分子熟悉的大型目標。 iThemes Security Pro 插件消除了 WordPress 安全性中的猜測，使您可以輕鬆保護您的 WordPress 網站。 這就像擁有一名全職安全專家，持續為您監控和保護您的 WordPress 網站。

獲取 iThemes Security Pro

丹·諾斯

Dan Knauss 是 StellarWP 的技術內容通才。 他是一名作家、教師和自由職業者，自 2004 年以來一直從事開源工作，自 2004 年以來一直從事開源工作。