首页 » Wordpress教程 » 常见的WordPress攻击以及如何阻止它们

常见的WordPress攻击以及如何阻止它们

WPJAM TOC

十多年来,WordPress一直是领先的内容管理系统(CMS)之一。互联网上许多最大的博客以及许多小型个体网站都在WordPress框架上运行,以将文本,图像和视频内容发布到万维网上。WordPress网站同时具有前端和后端界面。前端提供了外部访客在加载网页时将看到的视图。负责起草,设计和发布内容的站点管理员和贡献者可以访问后端。

像其他所有基于Internet的系统一样,WordPress是黑客攻击和其他形式的网络犯罪的目标。考虑到现在超过32%的Internet运行在WordPress上,这是有道理的。在本文中,我们将介绍对该软件的一些最常见的WordPress攻击,然后提供有关如何防御它们并保护你的网站安全的建议。

常见WordPress攻击方法

首先让我们看一下WordPress网站可能遇到的常见攻击。

1.SQL注入

WordPress CMS平台依赖于存储元数据信息和其他管理信息的数据库层。例如,典型的基于SQL的WordPress数据库将包含用户信息,内容信息和站点配置数据。黑客进行SQL注入攻击时,他们通过输入字段或URL使用请求参数来运行自定义的数据库命令。“选择”查询将允许黑客查看数据库中的其他信息,而“更新”查询将允许黑客实际更改数据。

SQL注入

SQL注入

2.跨站点脚本

跨站点脚本攻击(也称为XSS)类似于SQL注入,只是它针对网页上的JavaScript元素(而不是应用程序背后的数据库)进行攻击。成功的攻击可能导致外部访问者的私人信息受到破坏。借助XSS攻击,黑客通过注释字段或其他文本输入将JavaScript代码添加到网站,然后在其他用户访问该页面时运行该恶意脚本。流氓JavaScript通常会将用户重定向到一个诈骗网站,该网站将尝试窃取其密码或其他用户数据信息。甚至像eBay这样的流行网站也可能成为XSS攻击的目标。过去,黑客已经成功地将恶意代码添加到产品页面,并说服客户登录到欺骗性网页。

3.命令注入

诸如WordPress之类的平台在三个主要层上运行:Web服务器,应用程序服务器和数据库服务器。但是,这些服务器中的每一个都在具有特定操作系统的硬件上运行,例如Microsoft Windows或开源Linux,这代表了一个单独的潜在漏洞区域。

通过命令注入攻击,黑客将在文本字段或URL中输入恶意信息,类似于SQL注入。区别在于代码中将包含只有操作系统才能识别的命令,例如“ ls”命令。如果执行,它将显示主机服务器上所有文件和目录的列表。发现某些连接互联网的主机特别容易受到命令注入攻击。当发出恶意命令时,它们的固件可能会将系统配置暴露给外部用户。

4.文件包含

诸如PHP和Java之类的通用Web编码语言允许程序员从其代码中引用外部文件和脚本。“include”命令是此类活动的通用名称。在某些情况下,黑客可以操纵网站的URL来破坏代码的“ include”部分,并获得对应用程序服务器其他部分的访问权限。已经发现WordPress平台的某些插件容易受到文件包含攻击。当发生此类黑客攻击时,渗透者可以访问主应用程序服务器上的所有数据。

如何保护你的网站免受入侵

现在你知道了要寻找的东西,这里有一些简单的方法可以增强WordPress的安全性。显然,保护你的网站的方法比下面提到的要多得多,但是这些方法相对简单,从一开始就可以为遭受挫败的黑客带来可观的回报。

1.使用安全主机和防火墙

WordPress平台可以从本地服务器运行,也可以通过云托管环境进行管理。为了维护安全的系统,首选托管选项。在顶部的WordPress主机市场将提供SSL加密和其他形式的安全保护。在配置托管WordPress环境时,启用内部防火墙以保护你的应用程序服务器与其他网络层之间的连接至关重要。防火墙将检查层之间所有请求的有效性,以确保仅允许处理合法请求。

2.保持更新主题和插件

WordPress社区中充斥着第三方开发人员,他们不断致力于开发新主题和插件,以利用CMS平台的功能。这些附加组件可以免费或付费。插件和主题始终应直接从WordPress.org网站下载。外部插件和主题可能会有风险,因为它们包含将在你的应用程序服务器上运行的代码。仅信任来自信誉良好的来源和开发人员的加载项。此外,由于开发人员将发布安全性改进,因此你应定期更新插件和主题。

3.安装病毒扫描程序

如果你在本地环境中运行WordPress或通过托管服务提供商具有完全的服务器访问权限,则需要确保在操作系统上运行可靠的病毒扫描程序。像Virus Total这样的免费工具可以扫描你的WordPress网站,它将检查所有资源以查找漏洞。

4.阻止暴力攻击

WordPress最受欢迎和最常见的攻击之一是所谓的蛮力攻击形式。这无非是黑客在“前门”松开的自动化程序。它坐在那里,尝试了数千种不同的密码组合,并偶然发现正确的密码组合,足以使它值得。好消息是,有一种简单的方法可以消除暴力。坏消息是太多的网站所有者没有应用此修复程序。查看All in One WP安全性和防火墙。它是免费的,允许你对登录尝试设置硬性限制。例如,在尝试了三次之后,插件会将该网站锁定该IP地址,以阻止该IP地址在预设的时间长度内进一步登录。你还将收到一封电子邮件通知,说明锁定功能已触发。

5.启用双重身份验证

这种保护网站安全的好方法是,黑客可能无法同时控制两个设备。例如,一台电脑和一部手机。两因素身份验证(2FA)将登录到你的网站网站分为两个步骤。和往常一样,你以常规方式登录,但是随后会发现提示你输入发送到手机的其他代码。通过将登录分为不同的步骤,这一额外的步骤以指数方式提高了站点的安全性。


虽然没有100%安全的网站之类的东西,但是你可以采取许多步骤来保护你的网站。使用好的防火墙,让你的主题和插件保持最新状态,并定期运行病毒扫描,可以带来很大的不同。将网站安全性视为永恒的迭代过程可能会有所帮助。当你退后一步并认为它是“完整的”时,绝对不会有任何意义,因为黑客与网站防御者之间的游戏将永远不会停止,甚至官方认可的在线玩家也将进入在线监控业务。只有让你对最新威胁以及如何应对它们有所了解,你才能维护网络安全和在线隐私。

Yahoooooooo!

Aini99

Yahoooooooo!

相关推荐

微信扫一扫,分享到朋友圈

常见的WordPress攻击以及如何阻止它们
返回顶部

显示

忘记密码?

显示

显示

获取验证码

Close