ช่องโหว่ WordPress 5 อันดับแรกและวิธีแก้ไข

ในบทความนี้ ฉันได้ระบุช่องโหว่ 5 อันดับแรกของ WordPress และวิธีแก้ไข ดังนั้นให้อ่าน

ไม่มีซอฟต์แวร์ เว็บแอปพลิเคชัน หรืออะไรก็ตามที่มีพื้นฐานมาจากโค้ดหลายบรรทัดที่คงกระพัน ช่องโหว่เป็นส่วนหนึ่งของทุกสิ่งในโลกของคอมพิวเตอร์ ไม่สามารถกำจัดได้ แต่สามารถแก้ไขได้

กระบวนการบรรเทาช่องโหว่ในซอฟต์แวร์หรือเว็บแอปพลิเคชันโดยการแก้ไขหรือแก้ไขช่องโหว่นั้นเรียกว่าการแก้ไขช่องโหว่

ช่องโหว่ของ WordPress และวิธีแก้ไข

WordPress ได้ปฏิวัติวิธีการทำงานของอินเทอร์เน็ตอย่างแท้จริง เป็นแพลตฟอร์มที่ทำให้ทุกคนสามารถสร้างเว็บไซต์ได้ อย่างไรก็ตาม WordPress จะดีแค่ไหน แต่ก็ยังไม่มีช่องโหว่

มาดูช่องโหว่ 5 อันดับแรกของ WordPress และกระบวนการแก้ไขช่องโหว่สำหรับพวกเขา

1. การฉีด SQL และการแฮ็ก URL

WordPress เป็นแพลตฟอร์มที่ใช้ฐานข้อมูล มันทำงานโดยรันสคริปต์ฝั่งเซิร์ฟเวอร์ใน PHP เนื่องจาก "ข้อบกพร่อง" ของการออกแบบโดยธรรมชาตินี้ จึงมีความเสี่ยงที่จะถูกโจมตีโดยการแทรก URL ที่เป็นอันตราย เนื่องจากคำสั่งไปยัง WordPress ถูกส่งโดยพารามิเตอร์ URL แฮกเกอร์จึงสามารถใช้ประโยชน์จากคุณลักษณะนี้ได้ พวกเขาสามารถสร้างพารามิเตอร์ที่ WordPress ตีความได้ และสามารถดำเนินการได้โดยไม่ได้รับอนุญาต

ส่วนอื่นของช่องโหว่นี้ขึ้นอยู่กับการฉีด SQL

WordPress ใช้ฐานข้อมูล MySQL ที่ทำงานบนภาษาโปรแกรม SQL แฮกเกอร์สามารถฝังคำสั่งที่เป็นอันตรายใดๆ ลงใน URL ซึ่งอาจทำให้ฐานข้อมูลดำเนินการในลักษณะที่ไม่ควรทำ การทำเช่นนี้อาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อนเกี่ยวกับฐานข้อมูล ซึ่งจะทำให้แฮกเกอร์สามารถเข้าและแก้ไขเนื้อหาของเว็บไซต์ได้

แฮ็กเกอร์บางคนสามารถโจมตีโดยทำให้เว็บไซต์รันคำสั่ง PHP ที่เป็นอันตราย ซึ่งสามารถให้ผลลัพธ์เช่นเดียวกัน

กระบวนการแก้ไขช่องโหว่สำหรับการแฮ็ก URL และการฉีด SQL

ทฤษฎีที่อยู่เบื้องหลังการป้องกันไม่ให้สิ่งนี้เกิดขึ้นคือการกำหนดกฎการเข้าถึงที่เข้มงวด เพื่อความปลอดภัย คุณต้องโฮสต์แอปพลิเคชัน WordPress ของคุณบนเซิร์ฟเวอร์ Apache จากนั้นคุณสามารถใช้ไฟล์ที่ Apache จัดเตรียมไว้ให้ที่เรียกว่า .htaccess เพื่อกำหนดกฎการเข้าถึง การกำหนดชุดกฎที่ถูกต้องคือการแก้ไขจุดอ่อนสำหรับจุดอ่อนนี้

2. การเข้าถึงไฟล์ที่มีความละเอียดอ่อน

โดยทั่วไปในการติดตั้ง WordPress จะมีไฟล์จำนวนหนึ่งที่คุณไม่สามารถอนุญาตให้บุคคลภายนอกเข้าถึงได้ ไฟล์เหล่านี้รวมถึงไฟล์กำหนดค่า WordPress สคริปต์การติดตั้ง และแม้แต่ "readme" และไฟล์เหล่านี้ต้องถูกเก็บไว้เป็นความลับและเป็นส่วนตัว การออกแบบโดยกำเนิดของ WordPress มีการป้องกันเพียงเล็กน้อยสำหรับไฟล์เหล่านี้ ทำให้เสี่ยงต่อการถูกโจมตี

จะป้องกันสิ่งนี้จากการถูกเอารัดเอาเปรียบได้อย่างไร?

ทฤษฎีในที่นี้เหมือนกับป้องกันการแฮ็ก URL และการฉีด SQL ไม่มากก็น้อย คุณต้องเพิ่มคำสั่งดังกล่าวลงในไฟล์ Apache .htaccess เนื่องจากจะบล็อกการเข้าถึงไฟล์การติดตั้งที่มีความละเอียดอ่อนโดยไม่ได้รับอนุญาต คุณสามารถใช้รหัสต่อไปนี้เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น

ตัวเลือก ทั้งหมด -ดัชนี

สั่งอนุญาต ปฏิเสธ
ปฏิเสธทั้งหมด

สั่งอนุญาต ปฏิเสธ
ปฏิเสธทั้งหมด

สั่งอนุญาต ปฏิเสธ
ปฏิเสธทั้งหมด

สั่งอนุญาต ปฏิเสธ
ปฏิเสธทั้งหมด

สั่งอนุญาต ปฏิเสธ
ปฏิเสธทั้งหมด

สั่งอนุญาต ปฏิเสธ
ปฏิเสธทั้งหมด

สั่งอนุญาต ปฏิเสธ
ปฏิเสธทั้งหมด

สั่งอนุญาต ปฏิเสธ
ปฏิเสธทั้งหมด

3. บัญชีผู้ใช้ผู้ดูแลระบบเริ่มต้น

ช่องโหว่อื่นของ WordPress ที่แฮ็กเกอร์มักใช้ประโยชน์คือการคาดเดาข้อมูลประจำตัวสำหรับบัญชีผู้ดูแลระบบ WordPress มาพร้อมกับบัญชีผู้ดูแลระบบเริ่มต้นที่มีชื่อผู้ใช้ “admin” หากไม่มีการเปลี่ยนแปลงในระหว่างขั้นตอนการติดตั้ง บุคคลอื่นสามารถใช้เพื่อรับสิทธิ์ผู้ดูแลระบบของเว็บไซต์

การป้องกันช่องโหว่นี้จากการถูกเอารัดเอาเปรียบ

ไม่ควรมีอะไรในไซต์ WordPress ที่แฮกเกอร์สามารถคาดเดาได้ สิ่งนี้ทำให้พวกเขาเริ่มต้นได้และคุณไม่ต้องการสิ่งนั้น เป็นความจริงที่แฮ็กเกอร์ยังคงต้องเดาหรือใช้กำลังดุร้ายเพื่อเลิกทำรหัสผ่าน แต่การเปลี่ยนชื่อผู้ใช้ "ผู้ดูแลระบบ" จะทำให้เว็บไซต์มีความเสี่ยงน้อยลง

วิธีที่ดีที่สุดคือสร้างบัญชีผู้ใช้ใหม่ด้วยชื่อผู้ใช้และรหัสผ่านที่คาดเดาไม่ได้ และกำหนดสิทธิ์ของผู้ดูแลระบบให้กับบัญชี จากนั้นคุณสามารถลบบัญชีผู้ดูแลระบบเริ่มต้นเพื่อป้องกันไม่ให้ใครก็ตามเข้าถึงบัญชีของคุณได้

4. คำนำหน้าเริ่มต้นสำหรับตารางฐานข้อมูล

ฐานข้อมูล WordPress ทำงานโดยใช้ตารางจำนวนหนึ่ง คำนำหน้าเริ่มต้นสำหรับการติดตั้ง WordPress คือ "wp_" และหากคุณใช้ตามที่เป็นอยู่ อาจเป็นจุดเริ่มต้นสำหรับแฮกเกอร์ นี่เป็นกรณีของการคาดเดาที่สะดวกสำหรับตัวอย่างก่อนหน้านี้ของช่องโหว่ของ WordPress

จะป้องกันช่องโหว่นี้จากการถูกเอารัดเอาเปรียบได้อย่างไร?

เมื่อคุณติดตั้ง WordPress คุณมีตัวเลือกในการเลือกคำนำหน้าตารางฐานข้อมูลที่คุณต้องการ หากคุณต้องการทำให้การติดตั้ง WordPress แข็งแกร่งขึ้น ขอแนะนำให้ใช้บางอย่างที่ไม่เหมือนใคร

แฮกเกอร์ส่วนใหญ่ใช้รหัสที่บรรจุไว้ล่วงหน้าเพื่อแฮ็กเข้าสู่เว็บไซต์ WordPress และใช้คำนำหน้าสำหรับตารางที่ไม่ใช่ค่าเริ่มต้น หมายความว่ารหัสดังกล่าวจะไม่ทำงานบนเว็บไซต์ของคุณ อย่างไรก็ตาม แฮ็กเกอร์ที่มีทักษะยังสามารถหาวิธีแก้ไขปัญหานี้ได้ แต่สามารถหยุดพวกเขาส่วนใหญ่ได้

5. ความพยายามในการเข้าสู่ระบบ Brute-Force

แฮกเกอร์มักใช้สคริปต์อัตโนมัติเพื่อแฮ็กเว็บไซต์ WordPress สคริปต์เหล่านี้ทำงานโดยอัตโนมัติและพยายามรวมชื่อผู้ใช้และรหัสผ่านเป็นพันๆ หรือแม้แต่ล้านเพื่อเข้าถึงบัญชีผู้ดูแลระบบ การทำเช่นนี้อาจทำให้เว็บไซต์ช้าลงและอาจนำไปสู่การแฮ็กเว็บไซต์ได้

จะป้องกันการโจมตีแบบ Brute-Force ได้อย่างไร?

แนวป้องกันแรกสำหรับเว็บไซต์ WordPress ของคุณจากการโจมตีด้วยกำลังดุร้ายคือรหัสผ่านของคุณ รหัสผ่านที่ยาวซึ่งมีทั้งตัวอักษร ตัวเลข และอักขระผสมกันนั้นยากต่อการถอดรหัส อย่างไรก็ตาม บางครั้งมัลแวร์อาจทำให้รหัสผ่านไม่มีประสิทธิภาพ

ขั้นตอนการแก้ไขอื่นสำหรับช่องโหว่นี้คือการติดตั้งตัวจำกัดการเข้าสู่ระบบบนเว็บไซต์ WordPress ของคุณ วิธีนี้จะช่วยป้องกันไม่ให้ที่อยู่ IP และ/หรือชื่อผู้ใช้ลองใช้รหัสผ่านใหม่หลังจากพยายามไม่สำเร็จตามจำนวนที่กำหนดไว้

บทสรุป

WordPress สามารถถูกแฮ็กเกอร์บุกรุกได้อย่างง่ายดายโดยใช้ประโยชน์จากช่องโหว่จำนวนมากที่สร้างขึ้นในการออกแบบโดยกำเนิดของแพลตฟอร์ม เพื่อความปลอดภัยของเว็บไซต์ของคุณ เป็นสิ่งสำคัญยิ่งที่จะไม่ใช้สิ่งใดที่สามารถคาดเดาได้และเพื่อจำกัดการเข้าถึงทรัพยากรที่มีความละเอียดอ่อน ซึ่งรวมถึงฐานข้อมูลและข้อมูลอื่นๆ

นอกจากนี้ หากคุณชอบบทความนี้เกี่ยวกับช่องโหว่ 5 อันดับแรกของ WordPress และวิธีแก้ไข โปรดแชร์กับเพื่อนและผู้ติดตามโซเชียลมีเดียของคุณ