常见的WordPress攻击以及如何阻止它们

常见的WordPress攻击以及如何阻止它们

十多年来,WordPress一直是领先的内容管理系统(CMS)之一。互联网上许多大型博客以及许多小型个人站点都在WordPress框架上运行,以将文本,图像和视频内容发布到万维网上.


WordPress网站同时具有前端和后端界面。前端提供了外部访客在加载网页时将看到的视图。负责起草,设计和发布内容的站点管理员和贡献者可以访问后端.

像其他所有基于Internet的系统一样,WordPress是黑客攻击和其他形式的网络犯罪的目标。现在考虑的不仅仅是 32% 互联网在WordPress上运行。在本文中,我们将介绍针对该软件的一些最常见的WordPress攻击,然后提供有关如何防御它们并保护您的网站安全的建议.

常见WordPress攻击方法

首先让我们看一下WordPress网站所有者可能遇到的常见攻击.

1. SQL注入

常见的WordPress攻击:SQL注入

WordPress CMS平台依赖于存储元数据信息和其他管理信息的数据库层。例如,典型的基于SQL的WordPress数据库将包含用户信息,内容信息和站点配置数据.

黑客进行SQL注入攻击时,他们通过输入字段或URL使用请求参数来运行自定义的数据库命令。 “选择”查询将允许黑客查看数据库中的其他信息,而“更新”查询将允许黑客实际更改数据.

2011年,一家名为梭子鱼网络的网络安全公司成为 SQL注入攻击. 黑客在整个梭子鱼网站上运行了一系列命令,最终发现了一个易受攻击的页面,该页面可用作公司主要数据库的门户.

2.跨站点脚本

跨站点脚本攻击(也称为XSS)类似于SQL注入,只是它针对网页上的JavaScript元素(而不是应用程序背后的数据库)进行攻击。成功的攻击可能会导致外部访客的私人信息遭到破坏.

借助XSS攻击,黑客通过注释字段或其他文本输入将JavaScript代码添加到网站,然后在其他用户访问该页面时运行该恶意脚本。流氓JavaScript通常会将用户重定向到欺诈网站,该网站将尝试窃取其密码或其他标识数据.

甚至像eBay这样的流行网站也可能成为XSS攻击的目标。过去,黑客已成功添加 恶意代码到产品页面 并说服客户登录到欺骗性网页.

3.命令注入

诸如WordPress之类的平台在三个主要层上运行:Web服务器,应用程序服务器和数据库服务器。但是这些服务器中的每一个都在具有特定操作系统的硬件上运行,例如Microsoft Windows或开源Linux,这代表了一个单独的潜在漏洞区域.

通过命令注入攻击,黑客将在文本字段或URL中输入恶意信息,类似于SQL注入。区别在于代码中将包含只有操作系统才能识别的命令,例如“ ls”命令。如果执行,将显示主机服务器上所有文件和目录的列表.

发现某些连接互联网的摄像机特别容易受到命令注入攻击。当发出恶意命令时,它们的固件可能会不正确地将系统配置公开给外部用户.

4.文件包含

常见的WordPress攻击:文件包含

诸如PHP和Java之类的通用Web编码语言允许程序员从其代码中引用外部文件和脚本。 “ include”命令是此类活动的通用名称.

在某些情况下,黑客可以操纵网站的URL来破坏代码的“包含”部分,并获得对应用程序服务器其他部分的访问权限。已经发现WordPress平台的某些插件容易受到攻击 文件包含攻击. 发生此类黑客攻击时,渗透者可以访问主应用程序服务器上的所有数据.

保护提示

现在您知道了要寻找的东西,这里有一些简单的方法可以增强WordPress的安全性。显然,保护您的网站的方法比下面提到的要多,但是这些是相对简单的方法,可以让受挫的黑客获得可观的回报.

1.使用安全主机和防火墙

WordPress平台可以从本地服务器运行,也可以通过云托管环境进行管理。为了维护安全的系统,首选托管选项。市场上顶级的WordPress主机将提供SSL加密和其他形式的安全保护.

常见的WordPress攻击:防火墙

在配置托管WordPress环境时,启用内部防火墙以保护您的应用程序服务器与其他网络层之间的连接至关重要。防火墙将检查层之间所有请求的有效性,以确保仅允许处理合法请求.

2.不断更新主题和插件

WordPress社区中充斥着第三方开发人员,他们不断致力于开发新主题和插件,以利用CMS平台的功能。这些附加组件可以免费或付费。插件和主题应始终从WordPress.org网站直接下载.

外部插件和主题可能会有风险,因为它们包含将在您的应用程序服务器上运行的代码。仅信任来自信誉良好的来源和开发人员的加载项。此外,由于开发人员将发布安全性改进,因此您应定期更新插件和主题.

WordPress管理控制台, “更新”标签可在“仪表板”菜单列表的顶部找到.

3.安装病毒扫描程序和VPN

如果您在本地环境中运行WordPress或通过托管服务提供商具有完全的服务器访问权限,则需要确保在操作系统上运行可靠的病毒扫描程序。像Virus Total一样免费的工具来扫描您的WordPress网站将检查所有资源以查找漏洞.

从远程位置连接到WordPress环境时,您应始终使用虚拟专用网络(VPN)客户端,这将确保本地计算机和服务器之间的所有数据通信均已完全加密.

4.阻止暴力攻击

WordPress最受欢迎和最常见的攻击之一是所谓的蛮力攻击形式。这无非是黑客在“前门”放松的自动化程序。它坐在那里,尝试了成千上万种不同的密码组合,并偶然发现正确的密码组合,足以使其值得.

好消息是,有一种简单的方法可以消除暴力。坏消息是太多的网站所有者没有应用此修复程序。查看All in One WP安全性和防火墙。它是免费的,可让您为登录尝试设置硬性限制。例如,在尝试了三次之后,插件会将该网站锁定该IP地址,以阻止该IP地址在预设的时间长度内进一步登录。您还会收到一封电子邮件通知,说明已触发锁定功能.

5.两方面身份验证

这种保护网站安全的好方法是,黑客可能无法同时控制两个设备。例如,一台电脑和一部手机。两因素身份验证(2FA)将登录到您的网站网站分为两个步骤。和往常一样,您以常规方式登录,但随后会发现提示您输入发送到手机的其他代码.

聪明吧?通过将登录分为不同的步骤,这一额外的步骤以指数方式提高了站点的安全性。检查一下 免费插件列表 这将帮助您设置2FA。那些正试图弄乱您网站的黑客可能已经改变了主意.

结论

虽然没有100%安全的网站之类的东西,但是您可以采取许多步骤来保护您的网站。使用好的防火墙,让您的主题和插件保持最新状态,并定期运行病毒扫描,可以带来很大的不同.

将网站安全性视为永恒的迭代过程可能会有所帮助。当您退后一步并认为它是“完整的”时,永远都不会有任何意义,因为黑客和网站防御者之间的游戏将永远不会停止,甚至官方认可的在线玩家也将进入游戏。 在线监控 业务。只有保持对最新威胁以及如何应对的了解,您才能维护网络安全和在线隐私.

世界必须这样走,但是接受并继续前进,这太糟糕了。如果您从未做过,那么现在将是查找一些著名的网络安全新闻站点的好时机。订阅他们的新闻通讯或至少定期访问。通过运行Google(或您选择的搜索引擎)搜索“网络安全新闻”来开始使用。

有疑问或需要补充的更多提示?发表评论,让我们知道.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map