首页 » Wordpress教程 » 常见的WordPress攻击以及如何阻止它们

常见的WordPress攻击以及如何阻止它们

十多年来,WordPress一直是领先的内容管理系统(CMS)之一。互联网上许多最大的博客以及许多小型个体网站都在WordPress框架上运行,以将文本,图像和视频内容发布到万维网上。WordPress网站同时具有前端和后端界面。前端提供了外部访客在加载网页时将看到的视图。负责起草,设计和发布内容的站点管理员和贡献者可以访问后端。

像其他所有基于Internet的系统一样,WordPress是黑客攻击和其他形式的网络犯罪的目标。考虑到现在超过32%的Internet运行在WordPress上,这是有道理的。在本文中,我们将介绍对该软件的一些最常见的WordPress攻击,然后提供有关如何防御它们并保护你的网站安全的建议。

常见WordPress攻击方法

首先让我们看一下WordPress网站可能遇到的常见攻击。

1.SQL注入

WordPress CMS平台依赖于存储元数据信息和其他管理信息的数据库层。例如,典型的基于SQL的WordPress数据库将包含用户信息,内容信息和站点配置数据。黑客进行SQL注入攻击时,他们通过输入字段或URL使用请求参数来运行自定义的数据库命令。“选择”查询将允许黑客查看数据库中的其他信息,而“更新”查询将允许黑客实际更改数据。

SQL注入

SQL注入

2.跨站点脚本

跨站点脚本攻击(也称为XSS)类似于SQL注入,只是它针对网页上的JavaScript元素(而不是应用程序背后的数据库)进行攻击。成功的攻击可能导致外部访问者的私人信息受到破坏。借助XSS攻击,黑客通过注释字段或其他文本输入将JavaScript代码添加到网站,然后在其他用户访问该页面时运行该恶意脚本。流氓JavaScript通常会将用户重定向到一个诈骗网站,该网站将尝试窃取其密码或其他用户数据信息。甚至像eBay这样的流行网站也可能成为XSS攻击的目标。过去,黑客已经成功地将恶意代码添加到产品页面,并说服客户登录到欺骗性网页。

3.命令注入

诸如WordPress之类的平台在三个主要层上运行:Web服务器,应用程序服务器和数据库服务器。但是,这些服务器中的每一个都在具有特定操作系统的硬件上运行,例如Microsoft Windows或开源Linux,这代表了一个单独的潜在漏洞区域。

通过命令注入攻击,黑客将在文本字段或URL中输入恶意信息,类似于SQL注入。区别在于代码中将包含只有操作系统才能识别的命令,例如“ ls”命令。如果执行,它将显示主机服务器上所有文件和目录的列表。发现某些连接互联网的主机特别容易受到命令注入攻击。当发出恶意命令时,它们的固件可能会将系统配置暴露给外部用户。

4.文件包含

诸如PHP和Java之类的通用Web编码语言允许程序员从其代码中引用外部文件和脚本。“include”命令是此类活动的通用名称。在某些情况下,黑客可以操纵网站的URL来破坏代码的“ include”部分,并获得对应用程序服务器其他部分的访问权限。已经发现WordPress平台的某些插件容易受到文件包含攻击。当发生此类黑客攻击时,渗透者可以访问主应用程序服务器上的所有数据。

如何保护你的网站免受入侵

现在你知道了要寻找的东西,这里有一些简单的方法可以增强WordPress的安全性。显然,保护你的网站的方法比下面提到的要多得多,但是这些方法相对简单,从一开始就可以为遭受挫败的黑客带来可观的回报。

1.使用安全主机和防火墙

Aini99

Yahoooooooo!

相关推荐

微信扫一扫,分享到朋友圈

常见的WordPress攻击以及如何阻止它们
返回顶部

显示

忘记密码?

显示

显示

获取验证码

Close