本文概述
- WordPress表前缀
- 默认登录URL
- PHP和Web服务器版本
- 登录尝试次数
- HTTP与HTTPS
【WordPress安装中的前5个安全漏洞】对WordPress安全的关注和抱怨并不是什么新鲜事。
如果你需要CMS, 并且碰巧咨询了WordPress以外的服务提供商, 那么安全性就是你会听到的第一件事。这是否意味着每个人都应该放弃WordPress并切换到静态网站生成器或无头CMS?
不, 因为就像生活中的每个真理一样, 这个真理也有很多方面。
WordPress是否高度不安全?
![WordPress安装中的前5个安全漏洞](http://www.srcmini.com/wp-content/uploads/2020/04/yes-no.gif)
文章图片
让我们看一下一些基于WordPress构建的大型网站:
- TechCrunch
- 纽约客
- 英国广播公司
- 彭博社
- MTV新闻
- PlayStation博客
他们的工程师肯定知道他们在做什么, 并且没有发现WordPress根本无法解决的安全问题吗?
甚至我也有幸管理一个WordPress安装, 该安装每月能吸引3.5-4百万访问者。过去八年的安全漏洞总数?零!
所以。 。 WordPress安全吗?
很抱歉, 好像要拖钓, 但这是我的答案:
我这样说是因为, 就像生活中的每个真理一样, 它很复杂。为了得到一个合理的答案, 我们必须首先了解WordPress(或其他任何预建的CMS)不像是一个永久固定在某个地方然后完成的橱柜。
这是一个复杂的软件, 具有许多依赖性:
- PHP, 它是内置的语言
- 托管安装的公开可见计算机
- 用于处理访问者的Web服务器(Apache, Nginx等)
- 使用的数据库(MySQL / MariaDB)
- 主题(捆绑的PHP, CS和JS文件)
- 插件(捆绑的PHP, CS和JS文件)
- 还有更多, 取决于安装目标要完成多少
如果服务器的root密码是admin123并且被泄露, 这是WordPress安全漏洞吗?
如果PHP版本存在安全漏洞;或者你购买并安装的新插件包含明显的安全漏洞;等等。总结一下:子系统故障, 这是WordPress安全故障。
顺便说一句, 也不要给人这样的印象, 即PHP, MySQL和Apache不安全。每个软件都有漏洞, 在开源的情况下, 漏洞的数量是惊人的(因为每个人都可以查看和分析)。
![WordPress安装中的前5个安全漏洞](http://www.srcmini.com/wp-content/uploads/2020/04/security-vulnerabilities.png)
文章图片
有人说” 安全” 吗? ????
有关此数据和其他令人沮丧的统计信息的来源, 请检查一下。
我们从所有这些练习中学到的是:
没有任何东西本身是安全的或不安全的。形成链中链接的是不同的组件, 当然, 链的强度和最弱的一样强。从历史上看, WordPress的” 不安全” 标签是旧PHP版本, 共享托管以及从不受信任来源添加插件/主题的组合。
同时, 一些非常常见的疏忽使你的WordPress安装易受那些知道如何利用它们并决心的人的攻击。这就是这篇文章的主题。因此, 事不宜迟(和循环争论), 让我们开始吧。
黑客可以利用的顶级WordPress漏洞
WordPress表前缀 著名的5分钟安装是WordPress最好的事情, 但是像所有安装向导一样, 它使我们变得懒惰, 并且默认情况下保持不变。
![WordPress安装中的前5个安全漏洞](http://www.srcmini.com/wp-content/uploads/2020/04/wp-5-minute-install.png)
文章图片
这意味着你的WordPress表的默认前缀是wp_, 从而导致任何人都可以猜测的表名:
- wp用户
- wp选项
- wp帖子
尽管WordPress具有内置的机制来处理这些类型的攻击, 但没有人可以保证不会发生这种攻击。
因此, 如果通过某种方式, 攻击者设法运行了诸如DROP TABLE wp_users之类的查询; DROP TABLE wp_posts ; , 你的所有帐户, 个人资料和帖子都将立即消失, 没有恢复的机会(除非你有适当的备份方案, 但即便如此, 自从上次备份以来, 你肯定会丢失数据)。
在安装过程中仅更改前缀是一件很重要的事情(这需要零工作量)。
建议使用诸如sdg21g34_之类的随机字符, 因为它是无稽之谈且难以猜测(前缀越长越好)。最好的部分是, 该前缀不必令人难忘。该前缀是WordPress将保存的内容, 你无需再担心它(就像你不必担心默认的wp_前缀!)。
默认登录URL 你如何知道一个网站正在WordPress上运行?一种明显的迹象是, 当你在网站地址上添加” /wp-login.php” 时, 你会看到WordPress登录页面。
以我的网站为例(http://ankushthakur.com)。是在WordPress上吗?好吧, 继续并添加登录部分。如果你太懒了, 会发生以下情况:
![WordPress安装中的前5个安全漏洞](http://www.srcmini.com/wp-content/uploads/2020/04/checking-if-site-runs-on-wordpress-1200x622.png)
文章图片
ˉ\_(ツ)_/ˉ
WordPress, 对不对?
一旦知道了这么多, 攻击者就可以挥舞双手, 然后开始按字母顺序从” Bag-O’-Doom” 中应用讨厌的把戏。可怜的我!
解决方案是更改默认登录URL, 并将其仅提供给受信任的人员。
例如, 该网站也使用WordPress, 但是如果你访问http://geekflare.com/wp-login.php, 你将会感到非常失望。登录URL是隐藏的, 只有管理员?知道。
更改登录URL也不是火箭科学。只要抓住这个插件。
恭喜, 你刚刚添加了另一层阻止暴力攻击的令人沮丧的安全性。
PHP和Web服务器版本 我们已经讨论过, 曾经编写(和编写)的每个软件都充满了等待被利用的错误。
PHP也是如此。
即使你使用的是最新版本的PHP, 也无法确定存在哪些漏洞, 并且可能在一夜之间被发现。解决方案是在浏览器与其连接时隐藏你的Web服务器发送的特定标头(从未听说过标头吗?请读此!):x-powered-by。
如果你检查自己喜欢的浏览器的开发工具, 则外观如下:
![WordPress安装中的前5个安全漏洞](http://www.srcmini.com/wp-content/uploads/2020/04/php-exposed.png)
文章图片
正如我们在此处看到的那样, 该网站告诉我们该网站正在Apache 2.4上运行, 并使用PHP 5.4.16版本。
现在, 我们已经无故传递了许多信息, 可以帮助攻击者缩小工具范围。
这些(和类似的)标题需要隐藏。
幸运的是, 它可以很快完成。不幸的是, 你需要深入的技术知识, 因为你需要深入了解系统的内容并弄乱重要的文件。因此, 我的建议是请你的网站托管提供商为你执行此操作;如果他们看不到顾问是否可以完成任务, 尽管这在很大程度上取决于你的网站托管者是否可以进行设置。
如果不起作用, 可能是时候切换托管服务提供商或转到VPS并聘请顾问解决安全和管理问题。
这值得么?只有你可以决定。 ????
哦, 如果你想呆在安全标头上, 这里就是你的解决方法!
登录尝试次数 黑客手册中最古老的技巧之一就是所谓的字典攻击。
这样做的想法是, 除非密码中的一个成功, 否则你尝试使用大量的密码(如果可能, 数百万)的组合。由于计算机的运行速度非常快, 因此这种愚蠢的方案是明智的, 并且可以在合理的时间内得出结果。
一种常见(且极为有效)的防御措施是在显示错误之前增加延迟。这会使收件人等待, 这意味着, 如果该脚本是黑客使用的脚本, 则需要很长时间才能完成。这就是为什么你的计算机或喜爱的应用程序弹起一点然后说” 糟糕, 密码错误!” 的原因。
无论如何, 关键是, 你应该限制WordPress网站的登录尝试次数。
除了设定的尝试次数(例如5次)外, 该帐户应被锁定并且只能通过该帐户持有人的电子邮件进行恢复。
![WordPress安装中的前5个安全漏洞](http://www.srcmini.com/wp-content/uploads/2020/04/wrong-passsword-num-tries.png)
文章图片
值得庆幸的是, 如果你遇到了一个不错的插件, 那么完成此工作将是步履蹒跚。
HTTP与HTTPS 你的供应商一直在困扰你的SSL证书比你想象的要重要。
在浏览器中显示” 安全” 的绿色锁定图标不仅是一种信誉工具, 相反, 仅安装SSL证书并强制所有URL在” https” 上运行就足以使你的网站从打开的书变成一个神秘的卷轴。
![WordPress安装中的前5个安全漏洞](http://www.srcmini.com/wp-content/uploads/2020/04/https-3.jpg)
文章图片
如果你不了解这种情况如何发生, 请阅读有关中间人攻击的信息。
拦截从计算机到服务器的流量的另一种方法是数据包嗅探, 这是一种被动的数据收集方式, 甚至无需费劲就可以将自己定位在中间。
对于运行纯HTTP的网站(拦截网络流量的人), 你的密码和信用卡号显示为纯文本。
![WordPress安装中的前5个安全漏洞](http://www.srcmini.com/wp-content/uploads/2020/04/plain-http.jpg)
文章图片
资料来源:comparitech.com
害怕?非常!
但是, 一旦安装了SSL证书, 并且所有URL都转换为” https” , 此敏感信息就会显示为乱码, 只有服务器才能解密。换句话说, 一年不要花那么多钱。 ????
总结
将控制这五件事可以很好地保护你的网站吗?
一点都不。正如无数安全文章所述, 你永远不会100%安全, 但是可以通过合理的努力消除这类问题。你可以考虑使用SUCURI cloud WAF全面保护你的站点。
推荐阅读
- 扫描500多个安全漏洞以保护网站安全
- 13种最佳安全做法,以保护你的WordPress网站
- 顶级4高级WordPress安全插件和服务
- 防止安全威胁的8个WordPress WAF
- 使用X-Frame-Options和HTTPOnly Cookie保护WordPress
- 如何保护WordPress免受蛮力攻击()
- 5个加强和保护WordPress网站的实时提示
- 如何使用WPScan在WordPress网站上查找安全漏洞()
- Android位置已被弃用()