dark

5种最常见的WordPress攻击及其预防方法

2020年4月20日
5-Most-Common-WordPress-Attacks-and-How-To-Prevent-Them

您担心黑客会攻击您的WordPress网站吗?我们希望我们可以告诉您不要担心,但事实是WordPress网站经常成为黑客的攻击目标。这主要是由于它的流行,因为WordPress为互联网上所有网站的三分之一提供了动力。

尽管WordPress本身是一个安全的网站构建平台,但它不能单独运行。您需要插件和主题才能运行WordPress网站。插件和主题通常会开发出漏洞,黑客会利用这些漏洞来入侵网站。

一旦访问了您的网站,他们就会进行各种恶意活动,例如窃取敏感信息,欺骗客户和显示非法内容。同时,您可能会被Google列入黑名单,甚至可能会被您的虚拟主机暂停。所有这些导致访客和收入的损失。

尽管WordPress开发人员尽可能保持平台安全,但WordPress网站所有者还需要自行采取措施。在本文中,我们讨论了对WordPress网站的最常见攻击以及您可以针对它们采取的预防措施。

TL; DR

如果您担心黑客会攻击您的WordPress网站,则可以立即采取网站保护措施。您可以安装我们的WordPress安全插件MalCare。它将每天扫描和监视您的网站,并阻止黑客试图入侵。

为什么WordPress会成为黑客的热门目标?

WordPress是一个网站构建平台,任何人都可以在不知道如何编码的情况下构建网站。而且,WordPress是免费的。

结果,该平台今天为超过13亿个活动站点提供了动力。

所有这一切的不利之处在于,WordPress网站比在任何其他平台上构建的网站更具有针对性。

现在,黑客可以通过多种方式侵入您的网站。我们将其范围缩小到最常见的5种。我们将说明会发生什么,以及如何保护WordPress网站免受其侵害。

WordPress网站上的5种最常见攻击

1.脆弱的插件和主题

WordPress网站是使用三个元素创建的-核心安装,主题和插件。这三个因素都有可能使网站容易受到黑客攻击。

多年以来,WordPress核心一直没有任何重大漏洞。它由一组经验丰富且合格的开发人员维护。他们会努力确保平台完全安全,因此您不必为此担心。

但是,WordPress插件和主题是由第三方开发人员创建的,它们往往会经常开发WordPress漏洞

当开发人员发现任何漏洞时,他们会立即对其进行修复并发布更新的版本。

 

wordpress-update

 

您(网站所有者)需要更新到最新版本,您的网站将是安全的。立即安装此类安全更新很重要。这是因为开发人员发布更新时,也会发布更新原因。因此,该漏洞已向公众宣布。

这意味着黑客现在知道存在漏洞。他们还知道并非所有的网站所有者都会立即更新其网站。因此,一旦他们发现某个插件或主题容易受到攻击,就对机器人和扫描程序进行编程,以爬网并查找正在使用它们的网站。确切知道漏洞是什么,使他们易于利用和侵入。

如何保护您的网站免受易受攻击的插件和主题的侵害

    • 仅使用在WordPress信息库或ThemeForest和Code Canyon等市场中找到的受信任主题和插件。
    • 定期检查您的插件列表,并仅保留您使用的插件列表。删除不需要或不活动的任何内容。
    • 理想情况下,您应该只保留您正在使用的主题。
    • 切勿使用盗版主题和插件。它们通常包含会感染您网站的恶意软件。
    • 确保您识别网站上的所有插件和主题。有时,黑客会安装自己的插件和安装了网站后门程序的主题。这使他们可以秘密访问您的网站。

2.蛮力攻击

要登录到WordPress网站,您需要输入登录凭据,即用户名和密码。

很多时候,WordPress网站所有者使用易于记忆的用户名和密码。许多WordPress用户保留默认用户名“ admin”。常见密码包括“ password123”或“ 1234567”。

黑客对此很清楚,并攻击WordPress网站的登录页面。

 

wordpress-login-page-1

 

他们创建了常用用户名和密码的数据库。接下来,他们将机器人编程为以WordPress网站为目标,并尝试在其数据库中存在不同的组合。

如果您的登录凭据薄弱,则机器人很可能会猜测它并闯入您的站点。这就是所谓的“蛮力攻击”,估计成功率为10%!

如何保护您的网站免受暴力破解

您可以采取几个步骤来保护您的站点免受暴力攻击:

    1. 默认情况下,您的WordPress用户名是admin。您可以将其从admin更改为更独特的名称。
    2. 使用安全的WordPress密码。我们建议将密码短语与数字和符号(例如Birdsofafeather123 $)结合使用。
    3. 使用您未在其他网站上使用过的唯一凭据
    4. 限制您网站上的登录尝试次数。这意味着WordPress用户只有有限的机会输入正确的凭据,例如3次尝试或5次尝试。此后,他们将需要使用“忘记密码”选项。您可以在您的站点上安装我们的MalCare安全插件,它将自动为您实施此登录保护。
    5. 使用双因素身份验证,其中WordPress用户必须输入其凭据以及在其智能手机上生成或发送到其注册电子邮件地址的一次性密码。

3.注射攻击

几乎每个网站都有一个输入字段,例如联系表单,网站搜索栏或允许访问者输入数据的评论部分。一些网站还允许访问者上载文档和图像文件。

通常,此数据被接受并发送到您的数据库进行处理和存储。这些字段需要适当的配置,以在数据进入数据库之前验证和清除数据。这将确保仅接受有效数据。如果缺少这些措施,则黑客会利用它并输入恶意代码。

让我们以一个带有联系表的WordPress网站为例。理想情况下,此表格应接受姓名,电子邮件地址和电话号码。

 

contact-form-1

 

    1. 名称字段应仅接受字母。
    2. 电子邮件地址字段应接受有效的电子邮件地址格式,例如example@mysite.com。
    3. 电话号码字段应仅包含数字。

现在,如果没有适当的配置,黑客可以插入恶意脚本,例如:


String userLoginQuery =

 "SELECT user_id, username, password_hash FROM users WHERE username = '"

 + request.getParameter("user") + "'";

这是一个命令数据库执行某些功能的代码。这样,黑客就可以在您的网站上运行恶意脚本,他们可以使用这些脚本来完全控制您的网站。

WordPress网站上最流行的注入攻击包括SQL注入攻击Cross-Site Scripting

如何保护您的网站免受注入攻击

    1. 许多注入攻击源于主题和插件,可让访问者在您的网站上输入信息。我们建议仅使用受信任的主题和插件。接下来,始终保持插件和主题为最新。
    2. 控制字段条目和数据提交。这是技术性的,需要开发人员的帮助。
    3. 使用WordPress防火墙。如果您在站点上安装了MalCare,它将自动建立一个强大的防火墙,以保护站点免受黑客攻击。

4.网络钓鱼和数据盗窃

访问者以不同方式与您的网站互动。其中一些只是阅读您的博客文章,其他一些则通过您的联系人与您联系,依此类推。如果您经营一个电子商务网站,那么许多访问者会从您的网站上购买商品。这意味着他们需要登录到您的网站并输入信用卡信息。

当有人将信用卡信息输入到您的站点时,它会将信息传输并存储在您的站点服务器上。该信息可以在传输过程中被截获。此外,信用卡数据可能被盗。

他们也可能闯入您的网站并冒充您。他们发送电子邮件或将访问者重定向到其他网站,并诱使他们泄露个人数据和付款信息。

如何保护您的网站免受网络钓鱼和数据盗窃

    1. 使用SSL证书。这将加密从您的站点和向您的站点传输的数据。即使黑客拦截了它,他们也无法使用它,因为他们将无法解密它。请参阅有关使用SSL和HTTPS的指南。
    2. 如果您的网站上有任何可疑活动,请使用WordPress安全插件 接收警报。该插件还将阻止黑客尝试。

5. Cookie窃取

您是否注意到登录到网站时,浏览器要求“记住我”或“保存密码”?这样做是为了您不必每次都要访问网站时都输入登录凭据。您可以选择允许浏览器保存您的登录详细信息。

 

username-and-password

 

浏览器可以通过Cookie保存此类数据。Cookies是记录访问者与网站互动的微小数据。例如,如果您经营一家在线商店,则您的站点可能会跟踪客户的旅程,例如他们搜索的产品和购买的产品。此数据用于分析,广告商也可以根据访问者的喜好定制广告。现在,Cookie还可以存储银行详细信息和个人信息。

如果黑客能够窃取您网站的Cookie,则他们可以访问您的企业和访问者的敏感数据。他们可以利用这些数据来执行其恶意行为,例如通过使用其信用卡信息来欺骗客户。

您可以在我们的Cookie窃取和会话劫持简易指南中阅读更多内容。

如何保护您的网站免受Cookie窃取和会话劫持

    • 定期更改您的WordPress密钥和盐。密钥和盐提供了对存储在浏览器cookie中的信息的安全加密。该措施本质上是技术性的。我们建议使用MalCare的WordPress强化功能来更改您的密钥和盐。从MalCare仪表板中,访问“ 安全性”>“ WordPress强化”>“更改WordPress安全密钥和盐”。

 

malcare-site-hardening-1

 

    • 同样,在这里,我们建议安装SSL证书来保护您的网站数据。

这使我们结束了最常见的WordPress攻击。在总结之前,我们想向您展示一些WordPress强化措施,这些措施将使您的网站更强大,以抵抗此类攻击。

如何强化WordPress网站免受攻击

尽管您可以采取一些特定的措施来保护您的网站免受某些攻击,但是您可以在您的网站上实施一些总体安全措施,以提供更好的保护。这些称为WordPress强化措施。我们已经在此处进行了简要说明,但是您可以阅读有关WordPress强化的深入指南以获取更详细的说明。

1.禁用文件编辑器

WordPress具有一项功能,使您可以直接从仪表板编辑主题和插件文件。许多网站所有者不需要此功能,它主要由开发人员使用。但是,如果黑客闯入您的wp-admin仪表板,则他们可以将恶意代码注入您的主题和插件文件。因此,如果您不需要此功能,可以将其禁用。

2.禁用插件或主题安装

当黑客可以访问您的网站时,他们将安装自己的插件或主题。这些插件和主题通常是恶意的,并且包含后门。这使黑客可以秘密进入您的站点。

另外,正如我们提到的那样,易受攻击的主题和插件是网站遭到黑客入侵的主要原因。如果您的网站上有多个用户,他们可能会安装不安全的插件或主题。这样可以向黑客开放您的网站。如果要避免这种情况,可以在站点上禁用插件和主题安装。

如果您不定期在网站上安装插件和主题,则可以禁用安装选项。

3.限制登录尝试

如前所述,您可以限制WordPress用户输入正确的登录凭据才能进入站点的机会。这消除了暴力攻击的风险。

4.更改安全密钥和盐

密钥和盐会加密浏览器中存储的信息。因此,即使黑客设法窃取了您的Cookie,他们也无法解密它。但是,如果黑客访问了这些密钥和盐,他们可以使用它来解密Cookie。定期更换钥匙和盐可以帮助避免Cookie失窃。

5.在未知文件夹中阻止PHP执行

WordPress网站上只有某些执行代码的文件和文件夹。其他文件夹仅存储信息,例如存储图像和视频的Uploads文件夹。

但是,当黑客获得对您网站的访问权限时,他们会将php代码插入随机文件夹,甚至创建自己的文件夹。

您可以通过在未知文件夹中禁用PHP执行来阻止此类活动。

实施这些措施需要专业技术知识。我们不建议手动执行此操作。使用MalCare这样的插件更加安全,容易,只需单击几下便可以执行此操作。

 

malcare-site-hardening-2

 

有了这一点,我们相信您的WordPress网站是安全的,并且受到黑客的保护。

最后的想法

黑客有多种入侵您的WordPress网站的方法,而且他们经常提出新的方法!

您需要采取安全措施来保护您的网站,并确保它不受黑客攻击的危害。

我们建议使用我们的MalCare安全插件来保护您的WordPress网站。它将阻止黑客和恶意机器人访问您的网站。您可以放心,您的网站正在受到监视和保护。

相关文章