您知道哪些重要的 WordPress 安全問題?

已發表: 2022-03-04

WordPress 是全球最受歡迎的內容管理系統 (CMS),為當今所有網站的三分之一以上提供支持 它的受歡迎程度也使其成為網絡攻擊的一個有吸引力的目標,並且它也存在安全漏洞。

雖然 WordPress 可能有其自身的安全問題,但它並不是網絡犯罪分子所針對的唯一平台,竊取數據成為一項非常有利可圖的業務。 從個人博客到大型商業網站,沒有人能免受惡意行為者帶來的潛在威脅。 無論您的網站是小型博客還是大型企業,您都需要知道如何保護您的網站,無論其目的如何。 最重要的應該是安裝 UpdraftPlus 備份插件——世界上最受歡迎和評價最高的備份插件。 如果您發現自己成為攻擊的受害者,您至少可以高枕無憂,因為您知道自己擁有安全備份以恢復您的網站。

以下是您應該了解的一些 WordPress 安全問題以及如何解決它們;

1.插件系統

使 WordPress 如此受歡迎的部分原因在於它的模塊化。 借助插件系統,您可以快速輕鬆地擴展基本功能。 不幸的是,並非所有插件都是按照 UpdraftPlus 的高標準創建的,有些插件可能會給您的 WordPress 網站帶來新的漏洞。

例如,“PWA for WP & AMP”插件將超過 20,000 個 WordPress 網站暴露在訪問控制漏洞中。 由於允許任意文件上傳,攻擊者可以遠程執行代碼並接管運行此插件的網站。 用戶應該注意此示例中的兩件事。 首先是盡可能限制在您的 WordPress 網站上使用的插件數量。 第二個是確保您的所有應用程序(包括插件和 WordPress 版本)定期更新。 更新有時會添加新功能,但其主要目的是解決新發現的漏洞。

2. SQL注入攻擊

數據是一種新的高價值商品,攻擊者瞄準網站的一個原因是竊取數據庫中的信息。 SQL 注入是一種流行的方法,攻擊者將 SQL 命令嵌入可能危及敏感信息的網站上。

如果您想知道這是如何發生的,請考慮一下您在許多 WordPress 網站上可以找到的平均表單。 它允許用戶提供諸如用戶名和密碼等信息以進行登錄。 如果攻擊者在這些字段中插入 SQL 代碼,底層數據庫可能會處理該代碼並執行意外操作。 有幾種方法可以防止 SQL 注入攻擊,但最常見的是實施嚴格的輸入驗證。 例如,您可以將以下代碼添加到您的 .htaccess 文件中,以確保從 SQL 查詢中排除所有輸入;

# 啟用重寫引擎

重寫引擎開啟

重寫規則 ^(.*)$ – [F,L]

# 阻止 MySQL 注入

RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]

RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(..//?)+ [OR]

RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]

RewriteCond %{QUERY_STRING} =PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4} -[0-9a-f]{12} [NC,OR]

RewriteCond %{QUERY_STRING} (../|..) [OR]

RewriteCond %{QUERY_STRING} ftp: [NC,OR]

RewriteCond %{QUERY_STRING} http: [NC,OR]

RewriteCond %{QUERY_STRING} https: [NC,OR]

重寫條件 %{QUERY_STRING} =|w| [NC,或]

RewriteCond %{QUERY_STRING} ^(.*)/self/(.*)$ [NC,OR]

RewriteCond %{QUERY_STRING} ^(.*)cPath=http://(.*)$ [NC,OR]

RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} (<|%3C).*iframe.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} (<|%3C)([^i]*i)+frame.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>).* [NC,OR]

RewriteCond %{QUERY_STRING} (NULL|OUTFILE|LOAD_FILE) [OR]

RewriteCond %{QUERY_STRING} (./|../|…/)+(motd|etc|bin) [NC,OR]

RewriteCond %{QUERY_STRING} (localhost|loopback|127.0.0.1) [NC,OR]

RewriteCond %{QUERY_STRING} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]

RewriteCond %{QUERY_STRING} concat[^(]*( [NC,OR]

RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]

RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]

RewriteCond %{QUERY_STRING} (sp_executesql) [NC]

重寫規則 ^(.*)$ – [F,L]

3. 跨站腳本攻擊

XSS 攻擊的工作原理(來源:Imperva)

與 SQL 注入攻擊一樣,跨站點腳本 (XSS) 嘗試將惡意代碼注入易受攻擊的網站。 一個例子是發布信息,將網站用戶引導至另一個網站,然後試圖竊取個人數據。 這種情況可能具有潛在危險,因為其他網站甚至可能不需要用戶的輸入。 它可以簡單地掃描用戶識別數據,例如 cookie、會話令牌等。

您通常可以使用 Web 應用程序防火牆 (WAF) 來防止 XSS 攻擊。 這個有用的工具允許您阻止網站上的特定流量。 大多數頂級 WordPress 安全插件,如All In One WP Security & Firewall都將提供此功能。 如果您更願意專注於運行您的 WordPress 網站並希望將安全性留給專家,那麼One WP Security & Firewall是一種很好的方式。 它不僅可以幫助您阻止大多數類型的攻擊,還可以掃描您的 WordPress 網站以查找您可能不知道的漏洞。

4.蠻力攻擊

WordPress 使用允許管理員和其他授權用戶訪問其控制功能的憑據系統。 不幸的是,許多用戶傾向於使用弱而明顯的密碼。 蠻力密碼利用腳本進行持續和多次登錄嘗試到 WordPress 站點,直到成功。 該腳本適用於包含常用用戶名和密碼(例如 Admin 和 Password1)字典的數據庫,希望您選擇其中一種組合而不考慮風險。

但是,您可以做幾件事來限制暴力攻擊的有效性;

  • 使用複雜且唯一的密碼
  • 阻止訪問 WordPress 管理目錄
  • 添加兩因素身份驗證 (2FA)
  • 禁用目錄瀏覽
  • 限制登錄嘗試次數

5.分佈式拒絕服務攻擊

DDoS 攻擊試圖通過大量模仿訪問者流量的請求來克服網站。 (來源:dnsstuff)

分佈式拒絕服務 (DDoS) 攻擊包含大量針對網站的請求。 這種洪水旨在破壞網站,使其無法應對常規訪問者的請求量。 雖然 DDoS 並非 WordPress 獨有,但基於此 CMS 的網站可能特別容易受到攻擊,因為它需要比常規靜態網站更多的資源來處理請求。 然而,要防範確定的 DDoS 洪水是不可能的,但即使是最知名的組織也已屈服於這些攻擊。 其中一個例子是2018 年的 GitHub 攻擊,其中他們的網站遭受了 20 分鐘的 DDoS 洪水攻擊。

通常較小的網站不是如此龐大數量的目標。 但是,要緩解較小的 DDoS 波,請確保使用內容分發網絡 (CDN)。 這些服務器網絡可以幫助平衡傳入負載並幫助更快地提供內容。

6.跨站請求偽造攻擊

跨站點請求偽造 (CSRF) 攻擊是攻擊者強制 WordPress 等 Web 應用程序識別虛假身份驗證的另一種方式。 WordPress 尤其容易受到攻擊,因為這些網站通常擁有許多用戶憑據。 CSRF 攻擊在很多方面與前面討論的 XSS 攻擊相似。 主要區別在於 CSRF 需要身份驗證會話,而 XSS 不需要。 無論如何,最終目的是將訪問者轉移到另一個位置以竊取數據。

在大多數情況下,CSRF 預防需要在插件級別實現。 開發人員通常使用反 CSRF 令牌將會話與特定用戶聯繫起來。 WordPress 網站所有者只能依靠插件更新和一般網站加固技術來幫助防止 CSRF 攻擊。

一些可能有效的強化措施包括:

  • 禁用文件編輯器
  • PHO 執行的目標塊
  • 2FA實施

關於 WordPress 安全問題的最終想法

有時有一種誤解,認為 WordPress 是一個高度易受攻擊的 Web 應用程序。 然而,這並不是一個完全公平的說法。 部分原因在於 WordPress 的廣泛使用,但更重要的原因是網站所有者未能採取必要的適當預防措施。

我們經常認為安全是理所當然的,而不考慮選擇簡單密碼的後果。 然而,網站所有者不僅要對其網站的完整性負責,還要對其用戶數據的安全負責。

作者簡介

Pui Mun Beh 是WebRevenue的數字營銷人員

帖子您知道哪些重要的 WordPress 安全問題? 首次出現在 UpdraftPlus 上。 UpdraftPlus – WordPress 的備份、恢復和遷移插件。