dark

5種最常見的WordPress攻擊及其預防方法

2020年4月20日
5-Most-Common-WordPress-Attacks-and-How-To-Prevent-Them

您擔心黑客會攻擊您的WordPress網站嗎?我們希望我們可以告訴您不要擔心,但事實是WordPress網站經常成為黑客的攻擊目標。這主要是由於它的流行,因為WordPress為互聯網上所有網站的三分之一提供了動力。

儘管WordPress本身是一個安全的網站構建平台,但它不能單獨運行。您需要插件和主題才能運行WordPress網站。插件和主題通常會開發出漏洞,黑客會利用這些漏洞來入侵網站。

一旦訪問了您的網站,他們就會進行各種惡意活動,例如竊取敏感信息,欺騙客戶和顯示非法內容。同時,您可能會被Google列入黑名單,甚至可能會被您的虛擬主機暫停。所有這些導致訪客和收入的損失。

儘管WordPress開發人員儘可能保持平台安全,但WordPress網站所有者還需要自行採取措施。在本文中,我們討論了對WordPress網站的最常見攻擊以及您可以針對它們採取的預防措施。

TL; DR

如果您擔心黑客會攻擊您的WordPress網站,則可以立即採取網站保護措施。您可以安裝我們的WordPress安全插件MalCare。它將每天掃描和監視您的網站,並阻止黑客試圖入侵。

為什麼WordPress會成為黑客的熱門目標?

WordPress是一個網站構建平台,任何人都可以在不知道如何編碼的情況下構建網站。而且,WordPress是免費的。

結果,該平台今天為超過13億個活動站點提供了動力。

所有這一切的不利之處在於,WordPress網站比在任何其他平台上構建的網站更具有針對性。

現在,黑客可以通過多種方式侵入您的網站。我們將其範圍縮小到最常見的5種。我們將說明會發生什麼,以及如何保護WordPress網站免受其侵害。

WordPress網站上的5種最常見攻擊

1.脆弱的插件和主題

WordPress網站是使用三個元素創建的-核心安裝,主題和插件。這三個因素都有可能使網站容易受到黑客攻擊。

多年以來,WordPress核心一直沒有任何重大漏洞。它由一組經驗豐富且合格的開發人員維護。他們會努力確保平台完全安全,因此您不必為此擔心。

但是,WordPress插件和主題是由第三方開發人員創建的,它們往往會經常開發WordPress漏洞

當開發人員發現任何漏洞時,他們會立即對其進行修復並發布更新的版本。

 

wordpress-update

 

您(網站所有者)需要更新到最新版本,您的網站將是安全的。立即安裝此類安全更新很重要。這是因為開發人員發布更新時,也會發布更新原因。因此,該漏洞已向公眾宣布。

這意味著黑客現在知道存在漏洞。他們還知道並非所有的網站所有者都會立即更新其網站。因此,一旦他們發現某個插件或主題容易受到攻擊,就對機器人和掃描程序進行編程,以爬網並查找正在使用它們的網站。確切知道漏洞是什麼,使他們易於利用和侵入。

如何保護您的網站免受易受攻擊的插件和主題的侵害

    • 僅使用在WordPress信息庫或ThemeForest和Code Canyon等市場中找到的受信任主題和插件。
    • 定期檢查您的插件列表,並僅保留您使用的插件列表。刪除不需要或不活動的任何內容。
    • 理想情況下,您應該只保留您正在使用的主題。
    • 切勿使用盜版主題和插件。它們通常包含會感染您網站的惡意軟體。
    • 確保您識別網站上的所有插件和主題。有時,黑客會安裝自己的插件和安裝了網站後門程序的主題。這使他們可以秘密訪問您的網站。

2.蠻力攻擊

要登錄到WordPress網站,您需要輸入登錄憑據,即用戶名和密碼。

很多時候,WordPress網站所有者使用易於記憶的用戶名和密碼。許多WordPress用戶保留默認用戶名「 admin」。常見密碼包括「 password123」或「 1234567」。

黑客對此很清楚,並攻擊WordPress網站的登錄頁面。

 

wordpress-login-page-1

 

他們創建了常用用戶名和密碼的資料庫。接下來,他們將機器人編程為以WordPress網站為目標,並嘗試在其資料庫中存在不同的組合。

如果您的登錄憑據薄弱,則機器人很可能會猜測它並闖入您的站點。這就是所謂的「蠻力攻擊」,估計成功率為10%!

如何保護您的網站免受暴力破解

您可以採取幾個步驟來保護您的站點免受暴力攻擊:

    1. 默認情況下,您的WordPress用戶名是admin。您可以將其從admin更改為更獨特的名稱。
    2. 使用安全的WordPress密碼。我們建議將密碼短語與數字和符號(例如Birdsofafeather123 $)結合使用。
    3. 使用您未在其他網站上使用過的唯一憑據
    4. 限制您網站上的登錄嘗試次數。這意味著WordPress用戶只有有限的機會輸入正確的憑據,例如3次嘗試或5次嘗試。此後,他們將需要使用「忘記密碼」選項。您可以在您的站點上安裝我們的MalCare安全插件,它將自動為您實施此登錄保護。
    5. 使用雙因素身份驗證,其中WordPress用戶必須輸入其憑據以及在其智能手機上生成或發送到其註冊電子郵件地址的一次性密碼。

3.注射攻擊

幾乎每個網站都有一個輸入欄位,例如聯繫表單,網站搜索欄或允許訪問者輸入數據的評論部分。一些網站還允許訪問者上載文檔和圖像文件。

通常,此數據被接受並發送到您的資料庫進行處理和存儲。這些欄位需要適當的配置,以在數據進入資料庫之前驗證和清除數據。這將確保僅接受有效數據。如果缺少這些措施,則黑客會利用它並輸入惡意代碼。

讓我們以一個帶有聯繫表的WordPress網站為例。理想情況下,此表格應接受姓名,電子郵件地址和電話號碼。

 

contact-form-1

 

    1. 名稱欄位應僅接受字母。
    2. 電子郵件地址欄位應接受有效的電子郵件地址格式,例如example@mysite.com。
    3. 電話號碼欄位應僅包含數字。

現在,如果沒有適當的配置,黑客可以插入惡意腳本,例如:


String userLoginQuery =

 "SELECT user_id, username, password_hash FROM users WHERE username = '"

 + request.getParameter("user") + "'";

這是一個命令資料庫執行某些功能的代碼。這樣,黑客就可以在您的網站上運行惡意腳本,他們可以使用這些腳本來完全控制您的網站。

WordPress網站上最流行的注入攻擊包括SQL注入攻擊Cross-Site Scripting

如何保護您的網站免受注入攻擊

    1. 許多注入攻擊源於主題和插件,可讓訪問者在您的網站上輸入信息。我們建議僅使用受信任的主題和插件。接下來,始終保持插件和主題為最新。
    2. 控制欄位條目和數據提交。這是技術性的,需要開發人員的幫助。
    3. 使用WordPress防火牆。如果您在站點上安裝了MalCare,它將自動建立一個強大的防火牆,以保護站點免受黑客攻擊。

4.網路釣魚和數據盜竊

訪問者以不同方式與您的網站互動。其中一些只是閱讀您的博客文章,其他一些則通過您的聯繫人與您聯繫,依此類推。如果您經營一個電子商務網站,那麼許多訪問者會從您的網站上購買商品。這意味著他們需要登錄到您的網站並輸入信用卡信息。

當有人將信用卡信息輸入到您的站點時,它會將信息傳輸並存儲在您的站點伺服器上。該信息可以在傳輸過程中被截獲。此外,信用卡數據可能被盜。

他們也可能闖入您的網站並冒充您。他們發送電子郵件或將訪問者重定向到其他網站,並誘使他們泄露個人數據和付款信息。

如何保護您的網站免受網路釣魚和數據盜竊

    1. 使用SSL證書。這將加密從您的站點和向您的站點傳輸的數據。即使黑客攔截了它,他們也無法使用它,因為他們將無法解密它。請參閱有關使用SSL和HTTPS的指南。
    2. 如果您的網站上有任何可疑活動,請使用WordPress安全插件 接收警報。該插件還將阻止黑客嘗試。

5. Cookie竊取

您是否注意到登錄到網站時,瀏覽器要求「記住我」或「保存密碼」?這樣做是為了您不必每次都要訪問網站時都輸入登錄憑據。您可以選擇允許瀏覽器保存您的登錄詳細信息。

 

username-and-password

 

瀏覽器可以通過Cookie保存此類數據。Cookies是記錄訪問者與網站互動的微小數據。例如,如果您經營一家在線商店,則您的站點可能會跟蹤客戶的旅程,例如他們搜索的產品和購買的產品。此數據用於分析,廣告商也可以根據訪問者的喜好定製廣告。現在,Cookie還可以存儲銀行詳細信息和個人信息。

如果黑客能夠竊取您網站的Cookie,則他們可以訪問您的企業和訪問者的敏感數據。他們可以利用這些數據來執行其惡意行為,例如通過使用其信用卡信息來欺騙客戶。

您可以在我們的Cookie竊取和會話劫持簡易指南中閱讀更多內容。

如何保護您的網站免受Cookie竊取和會話劫持

    • 定期更改您的WordPress密鑰和鹽。密鑰和鹽提供了對存儲在瀏覽器cookie中的信息的安全加密。該措施本質上是技術性的。我們建議使用MalCare的WordPress強化功能來更改您的密鑰和鹽。從MalCare儀錶板中,訪問「 安全性」>「 WordPress強化」>「更改WordPress安全密鑰和鹽」。

 

malcare-site-hardening-1

 

    • 同樣,在這裡,我們建議安裝SSL證書來保護您的網站數據。

這使我們結束了最常見的WordPress攻擊。在總結之前,我們想向您展示一些WordPress強化措施,這些措施將使您的網站更強大,以抵抗此類攻擊。

如何強化WordPress網站免受攻擊

儘管您可以採取一些特定的措施來保護您的網站免受某些攻擊,但是您可以在您的網站上實施一些總體安全措施,以提供更好的保護。這些稱為WordPress強化措施。我們已經在此處進行了簡要說明,但是您可以閱讀有關WordPress強化的深入指南以獲取更詳細的說明。

1.禁用文件編輯器

WordPress具有一項功能,使您可以直接從儀錶板編輯主題和插件文件。許多網站所有者不需要此功能,它主要由開發人員使用。但是,如果黑客闖入您的wp-admin儀錶板,則他們可以將惡意代碼注入您的主題和插件文件。因此,如果您不需要此功能,可以將其禁用。

2.禁用插件或主題安裝

當黑客可以訪問您的網站時,他們將安裝自己的插件或主題。這些插件和主題通常是惡意的,並且包含後門。這使黑客可以秘密進入您的站點。

另外,正如我們提到的那樣,易受攻擊的主題和插件是網站遭到黑客入侵的主要原因。如果您的網站上有多個用戶,他們可能會安裝不安全的插件或主題。這樣可以向黑客開放您的網站。如果要避免這種情況,可以在站點上禁用插件和主題安裝。

如果您不定期在網站上安裝插件和主題,則可以禁用安裝選項。

3.限制登錄嘗試

如前所述,您可以限制WordPress用戶輸入正確的登錄憑據才能進入站點的機會。這消除了暴力攻擊的風險。

4.更改安全密鑰和鹽

密鑰和鹽會加密瀏覽器中存儲的信息。因此,即使黑客設法竊取了您的Cookie,他們也無法解密它。但是,如果黑客訪問了這些密鑰和鹽,他們可以使用它來解密Cookie。定期更換鑰匙和鹽可以幫助避免Cookie失竊。

5.在未知文件夾中阻止PHP執行

WordPress網站上只有某些執行代碼的文件和文件夾。其他文件夾僅存儲信息,例如存儲圖像和視頻的Uploads文件夾。

但是,當黑客獲得對您網站的訪問許可權時,他們會將php代碼插入隨機文件夾,甚至創建自己的文件夾。

您可以通過在未知文件夾中禁用PHP執行來阻止此類活動。

實施這些措施需要專業技術知識。我們不建議手動執行此操作。使用MalCare這樣的插件更加安全,容易,只需單擊幾下便可以執行此操作。

 

malcare-site-hardening-2

 

有了這一點,我們相信您的WordPress網站是安全的,並且受到黑客的保護。

最後的想法

黑客有多種入侵您的WordPress網站的方法,而且他們經常提出新的方法!

您需要採取安全措施來保護您的網站,並確保它不受黑客攻擊的危害。

我們建議使用我們的MalCare安全插件來保護您的WordPress網站。它將阻止黑客和惡意機器人訪問您的網站。您可以放心,您的網站正在受到監視和保護。

相關文章