最常見的 WordPress 安全問題發(fā)生在您的網(wǎng)站受到威脅之前或之后。黑客的目標(biāo)是從前端(您的 WordPress 儀表板)或服務(wù)器端(通過插入腳本或惡意文件)在管理員級別獲得對您的 WordPress 網(wǎng)站的未授權(quán)訪問。
以下是您應(yīng)該了解的 5 個最常見的 WordPress 安全問題:
1. 蠻力攻擊
WordPress暴力攻擊是指反復(fù)輸入多個用戶名和密碼組合直到發(fā)現(xiàn)成功組合的試錯法。暴力攻擊方法利用最簡單的方式訪問您的網(wǎng)站:您的WordPress 登錄頁面。
默認(rèn)情況下,WordPress 不限制登錄嘗試,因此機器人可以使用暴力攻擊方法攻擊您的 WordPress 登錄頁面。即使暴力攻擊不成功,它仍然會對您的服務(wù)器造成嚴(yán)重破壞,因為登錄嘗試會使您的系統(tǒng)超載并降低您的網(wǎng)站速度。當(dāng)您受到暴力攻擊時,由于系統(tǒng)過載,一些主機可能會暫停您的帳戶,特別是如果您使用的是共享主機計劃。
2.跨站腳本(XSS)
2021 年披露的所有 WordPress 安全漏洞中有 54.4% 被稱為跨站點腳本或 XSS 攻擊。跨站點腳本漏洞是 WordPress 插件中最常見的漏洞。
跨站點腳本的基本機制是這樣的:攻擊者找到一種方法讓受害者加載帶有不安全 javascript 腳本的網(wǎng)頁。這些腳本在訪問者不知情的情況下加載,然后用于從他們的瀏覽器中竊取數(shù)據(jù)。跨站攻擊的一個示例是似乎駐留在您網(wǎng)站上的被劫持表單。如果用戶將數(shù)據(jù)輸入該表單,則該數(shù)據(jù)將被盜。
3. 文件包含漏洞利用
在暴力攻擊之后,WordPress 網(wǎng)站的 PHP 代碼中的漏洞是攻擊者可以利用的下一個最常見的安全問題。(PHP 是運行您的 WordPress 網(wǎng)站以及您的插件和主題的代碼。)
當(dāng)易受攻擊的代碼用于加載允許攻擊者訪問您的網(wǎng)站的遠(yuǎn)程文件時,就會發(fā)生文件包含攻擊。文件包含漏洞利用是攻擊者獲取 WordPress 網(wǎng)站的 wp-config.php 文件訪問權(quán)限的最常見方式之一,該文件是 WordPress 安裝中最重要的文件之一。
4.SQL注入
您的 WordPress 網(wǎng)站使用 MySQL 數(shù)據(jù)庫進行操作。當(dāng)攻擊者獲得對您的 WordPress 數(shù)據(jù)庫和所有網(wǎng)站數(shù)據(jù)的訪問權(quán)限時,就會發(fā)生SQL 注入。
通過 SQL 注入,攻擊者可以創(chuàng)建一個新的管理員級別用戶帳戶,然后可以使用該帳戶登錄并獲得對您的 WordPress 網(wǎng)站的完全訪問權(quán)限。SQL 注入也可用于將新數(shù)據(jù)插入數(shù)據(jù)庫,包括惡意網(wǎng)站或垃圾網(wǎng)站的鏈接。
5.惡意軟件
惡意軟件是一種用于未經(jīng)授權(quán)訪問網(wǎng)站以收集敏感數(shù)據(jù)的代碼。被黑的 WordPress 網(wǎng)站通常意味著惡意軟件已注入您網(wǎng)站的文件中,因此如果您懷疑網(wǎng)站上有惡意軟件,請查看最近更改的文件。
盡管 Web 上有數(shù)千種類型的惡意軟件感染,但 WordPress 并非對所有這些都容易受到攻擊。四種最常見的 WordPress 惡意軟件感染是:
- 后門
- 路過式下載
- 制藥黑客
- 惡意重定向
這些類型的惡意軟件中的每一種都可以通過手動刪除惡意文件、安裝新版本的 WordPress 或從以前未受感染的備份恢復(fù)您的 WordPress 站點來輕松識別和清除。
