创建十九年后,WordPress 仍然是万维网上最受欢迎和使用最广泛的内容管理系统 (CMS) 之一。从数字上看,超过 60% 的互联网网站都是基于 WordPress 构建的!
这种受欢迎程度带来了很多优势,例如大型开发者社区、广泛的工具以及大量的教程和指南。但它也有一些缺点。其中之一是对黑客攻击的敏感性增加。
黑客喜欢攻击 WordPress。事实上,在所有被黑客攻击的基于 CMS 的网站中,83% 都是基于 WordPress 构建的。他们喜欢寻找漏洞来利用,不幸的是,WordPress 有一些这样的漏洞。
在本文中,我将介绍八个常见的 WordPress 漏洞,并解释如何缓解每个漏洞。请随意使用以下链接跳转到每个漏洞部分。
- 托管环境较差
- 随机主题和插件
- 过时的插件和主题
- 弱密码
- 恶意软件注入
- 网络钓鱼
- 拒绝服务攻击
- 跨站脚本 (XSS)
1.托管环境差
主机是互联网上的服务器计算机,用于存储为您的网站提供支持的文件。如果您希望您的 WordPress 网站可以通过互联网访问,则必须将其放在网络主机上。
WordPress 网站遭到黑客攻击的主要原因之一是糟糕的托管环境。据Kinsta统计,这一数字约为41%。因此,近一半的 WordPress 网站黑客攻击事件是由于托管环境不佳而发生的。
从上述统计数据中您可以得出结论,使用信誉良好且安全的托管提供商会自动显着降低您的网站被黑客攻击的几率。
WordPress 网站的一些顶级托管提供商包括 SiteGround、WP Engine、Hostinger 和 Bluehost。在为您的网站选择托管提供商之前,请确保进行彻底的研究,以了解他们的服务交付质量以及客户满意度水平。
2.随机主题和插件
WordPress 主题决定了您网站的外观,而插件则用于向您的网站添加额外的功能。两者都是文件的集合,包括 PHP 脚本。
由于主题和插件都是由代码组成的,因此它们可能会充满错误。这是黑客用来非法访问受影响的 WordPress 网站的一种非常流行的方法。
事实上,根据 Kinsta 的说法,52% 的漏洞与插件有关,11% 是由主题引起的。
黑客可以将恶意代码插入主题或插件中,并将其发布到互联网上的市场。如果它被毫无戒心的用户安装在 WordPress 网站上,该网站就会自动受到损害,而所有者通常并不知情。
避免这些问题的最佳方法是仅安装来自受信任且可靠来源的主题和插件。
3.过时的插件和主题
除了避免随机使用插件和主题之外,您还应该使 WordPress 网站上安装的插件和主题保持最新。
这是因为黑客经常搜索已知存在漏洞的特定主题或插件(或特定版本)。然后他们寻找使用此类主题或插件的网站并尝试破解它们。如果成功,他们可以在网站上执行有害操作,例如在数据库中查找数据,甚至向网站注入恶意内容。
要从管理面板访问已安装的主题,请导航至侧边栏上的外观 > 主题。要访问插件,请导航至插件 > 安装的插件。
通常,当需要更新网站上使用的任何主题或插件时,您会在 WordPress 仪表板中收到警报通知。除非有充分的理由,否则切勿忽略这些警报。
4.弱密码
弱且易于猜测的登录凭据是黑客访问 WordPress 后端的最简单途径之一。大约 8% 的 WordPress 网站因密码组合较弱或密码被盗而遭到黑客攻击
黑客经常使用暴力脚本在尽可能多的 WordPress 网站上迭代测试常见的用户名和密码组合。他们这样做,直到找到匹配项,然后登录目标站点并将凭据转售给其他黑客。
因此,您应始终避免使用 user、admin、administrator 和 user1 等术语作为您的登录用户名。相反,创建一个不太通用且更个性化的用户名。
为了创建强而安全的密码,请记住以下一些规则:
- 切勿使用个人信息(姓名、生日、电子邮件等)。
- 创建更长的密码。
- 使您的密码尽可能晦涩且毫无意义。
- 不要使用常用词。
- 包含数字和特殊字符。
- 切勿重复密码。
为了保护您的网站,您必须在首次设置 WordPress 时指定一个强的用户名和密码组合。
此外,您应该设置双因素身份验证 (2FA),为您的 WordPress 网站添加另一层安全保护。
最后,考虑使用 Wordfence 或 Sucuri Security 等安全插件来阻止暴力攻击(和其他恶意攻击)访问您的 WordPress 网站。
5.恶意软件注入
恶意软件是一种恶意软件,黑客可以将其插入您的网站并在想要执行其计划时执行。
恶意软件可以通过多种方式插入。它可以通过像 WordPress 网站上格式良好的评论这样简单的东西注入,也可以通过像在服务器上上传可执行文件这样复杂的东西注入。
在最好的情况下,恶意软件不会造成任何问题,并且可能会执行一些无害的操作,例如向客户展示产品广告。在这种情况下,可以使用 Wordfence Security 等恶意软件扫描仪插件来删除恶意软件。
但在极端情况下,恶意软件会在服务器上执行危险操作,这可能会导致数据库中的数据丢失或类似的后果,例如在 WordPress 网站上创建帐户。
解决这种最坏的情况通常需要从干净的备份中恢复您的网站,然后再弄清楚黑客如何进入您的系统并修补漏洞。这就是为什么定期备份您的网站非常重要。
6.网络钓鱼
在网络钓鱼攻击中,攻击者会使用看似来自您的服务器的地址发送电子邮件。攻击者通常会要求您的网站用户或客户单击链接来执行某些操作,用户可能会这样做,但不知道它实际上不是来自您的服务器。
网络钓鱼攻击有多种不同的风格,名称包括猫式网络钓鱼、鱼叉式网络钓鱼等。无论哪种类型,网络钓鱼总是涉及虚假(但看起来很原始)的电子邮件地址和恶意页面的链接。
攻击者通常会显示一个伪造的表单,该表单看起来与您网站的真实登录表单相同。如果用户没有及时跟进,他们可能会向恶意网站提交一个或多个不同的登录凭据。
结果是,黑客现在拥有不同的用户名和密码来对其他网站进行暴力攻击,以及准确的登录凭据来访问用户的后端。
由于电子邮件最初的设计方式,很容易伪造电子邮件的“发件人”地址,从而使网络钓鱼攻击更难以阻止。
但是,如今,SPF、DKIM 和 DMARC 等技术都使电子邮件服务器能够检查电子邮件的来源并验证源域。只要这些设置正确,所有网络钓鱼电子邮件都会被收件人服务器检测到,并被标记为垃圾邮件或从用户的收件箱中完全删除。
如果您不确定 SPF、DKIM 和 DMARC 是否设置正确,请询问您的网络托管服务商。大多数顶级网络主机都有关于如何设置这些内容的简单说明。
7.拒绝服务攻击(DoS 和 DDoS)
当犯罪者向网站服务器发送大量错误请求,导致服务器无法处理合法用户的正常请求时,就会发生拒绝服务攻击。
在 WordPress 中,缓存服务有助于减轻 DDoS 攻击。您可以在网站上使用 WP Fastest Cache 等 WordPress 插件来检查 DDoS 攻击。此外,大多数顶级主机都在其基础设施中内置了 DDoS 缓解系统。
8. 跨站脚本 (XSS)
跨站脚本攻击是另一种代码注入攻击,它与我们之前了解的恶意软件注入类似。
但是,在 XSS 攻击中,攻击者会将恶意客户端脚本 (JavaScript) 注入网站前端的网页中,供浏览器执行。
攻击者可能会利用此机会冒充您网站的访问者(使用他们的数据)或将他们发送到他们创建的另一个恶意网站来欺骗用户。
阻止 WordPress 网站上的 XSS 攻击的最有效方法之一是安装功能强大的防火墙插件(例如 Sucuri),您还可以使用它来扫描网站是否存在 XSS 漏洞。
结论
要确保您的 WordPress 网站安全,您需要采取主动措施来发现攻击者可以利用的漏洞。在本文中,我们介绍了八个漏洞并为每个漏洞提供了解决方案。
请记住,缓解 WordPress 网站漏洞的最佳方法是使网站的所有组件保持最新。这包括插件、主题,甚至 WordPress 本身。不要忘记也升级您的 PHP 版本。
