本文概述
- WordPress表前缀
- 默认登录URL
- PHP和Web服务器版本
- 登录尝试次数
- HTTP与HTTPS
【WordPress安装中的前5个安全漏洞】对WordPress安全的关注和抱怨并不是什么新鲜事。
如果你需要CMS, 并且碰巧咨询了WordPress以外的服务提供商, 那么安全性就是你会听到的第一件事。这是否意味着每个人都应该放弃WordPress并切换到静态网站生成器或无头CMS?
不, 因为就像生活中的每个真理一样, 这个真理也有很多方面。
WordPress是否高度不安全?
文章图片
让我们看一下一些基于WordPress构建的大型网站:
- TechCrunch
- 纽约客
- 英国广播公司
- 彭博社
- MTV新闻
- PlayStation博客
他们的工程师肯定知道他们在做什么, 并且没有发现WordPress根本无法解决的安全问题吗?
甚至我也有幸管理一个WordPress安装, 该安装每月能吸引3.5-4百万访问者。过去八年的安全漏洞总数?零!
所以。 。 WordPress安全吗?
很抱歉, 好像要拖钓, 但这是我的答案:
我这样说是因为, 就像生活中的每个真理一样, 它很复杂。为了得到一个合理的答案, 我们必须首先了解WordPress(或其他任何预建的CMS)不像是一个永久固定在某个地方然后完成的橱柜。
这是一个复杂的软件, 具有许多依赖性:
- PHP, 它是内置的语言
- 托管安装的公开可见计算机
- 用于处理访问者的Web服务器(Apache, Nginx等)
- 使用的数据库(MySQL / MariaDB)
- 主题(捆绑的PHP, CS和JS文件)
- 插件(捆绑的PHP, CS和JS文件)
- 还有更多, 取决于安装目标要完成多少
如果服务器的root密码是admin123并且被泄露, 这是WordPress安全漏洞吗?
如果PHP版本存在安全漏洞;或者你购买并安装的新插件包含明显的安全漏洞;等等。总结一下:子系统故障, 这是WordPress安全故障。
顺便说一句, 也不要给人这样的印象, 即PHP, MySQL和Apache不安全。每个软件都有漏洞, 在开源的情况下, 漏洞的数量是惊人的(因为每个人都可以查看和分析)。
文章图片
有人说” 安全” 吗? ????
有关此数据和其他令人沮丧的统计信息的来源, 请检查一下。
我们从所有这些练习中学到的是:
没有任何东西本身是安全的或不安全的。形成链中链接的是不同的组件, 当然, 链的强度和最弱的一样强。从历史上看, WordPress的” 不安全” 标签是旧PHP版本, 共享托管以及从不受信任来源添加插件/主题的组合。
同时, 一些非常常见的疏忽使你的WordPress安装易受那些知道如何利用它们并决心的人的攻击。这就是这篇文章的主题。因此, 事不宜迟(和循环争论), 让我们开始吧。
黑客可以利用的顶级WordPress漏洞
WordPress表前缀 著名的5分钟安装是WordPress最好的事情, 但是像所有安装向导一样, 它使我们变得懒惰, 并且默认情况下保持不变。
文章图片
这意味着你的WordPress表的默认前缀是wp_, 从而导致任何人都可以猜测的表名:
- wp用户
- wp选项
- wp帖子
尽管WordPress具有内置的机制来处理这些类型的攻击, 但没有人可以保证不会发生这种攻击。
因此, 如果通过某种方式, 攻击者设法运行了诸如DROP TABLE wp_users之类的查询; DROP TABLE wp_posts ; , 你的所有帐户, 个人资料和帖子都将立即消失, 没有恢复的机会(除非你有适当的备份方案, 但即便如此, 自从上次备份以来, 你肯定会丢失数据)。
在安装过程中仅更改前缀是一件很重要的事情(这需要零工作量)。
建议使用诸如sdg21g34_之类的随机字符, 因为它是无稽之谈且难以猜测(前缀越长越好)。最好的部分是, 该前缀不必令人难忘。该前缀是WordPress将保存的内容, 你无需再担心它(就像你不必担心默认的wp_前缀!)。
默认登录URL 你如何知道一个网站正在WordPress上运行?一种明显的迹象是, 当你在网站地址上添加” /wp-login.php” 时, 你会看到WordPress登录页面。
以我的网站为例(http://ankushthakur.com)。是在WordPress上吗?好吧, 继续并添加登录部分。如果你太懒了, 会发生以下情况:
文章图片
ˉ\_(ツ)_/ˉ
WordPress, 对不对?
一旦知道了这么多, 攻击者就可以挥舞双手, 然后开始按字母顺序从” Bag-O’-Doom” 中应用讨厌的把戏。可怜的我!
解决方案是更改默认登录URL, 并将其仅提供给受信任的人员。
例如, 该网站也使用WordPress, 但是如果你访问http://geekflare.com/wp-login.php, 你将会感到非常失望。登录URL是隐藏的, 只有管理员?知道。
更改登录URL也不是火箭科学。只要抓住这个插件。
恭喜, 你刚刚添加了另一层阻止暴力攻击的令人沮丧的安全性。
PHP和Web服务器版本 我们已经讨论过, 曾经编写(和编写)的每个软件都充满了等待被利用的错误。
PHP也是如此。
即使你使用的是最新版本的PHP, 也无法确定存在哪些漏洞, 并且可能在一夜之间被发现。解决方案是在浏览器与其连接时隐藏你的Web服务器发送的特定标头(从未听说过标头吗?请读此!):x-powered-by。
如果你检查自己喜欢的浏览器的开发工具, 则外观如下:
文章图片
正如我们在此处看到的那样, 该网站告诉我们该网站正在Apache 2.4上运行, 并使用PHP 5.4.16版本。
现在, 我们已经无故传递了许多信息, 可以帮助攻击者缩小工具范围。
这些(和类似的)标题需要隐藏。
幸运的是, 它可以很快完成。不幸的是, 你需要深入的技术知识, 因为你需要深入了解系统的内容并弄乱重要的文件。因此, 我的建议是请你的网站托管提供商为你执行此操作;如果他们看不到顾问是否可以完成任务, 尽管这在很大程度上取决于你的网站托管者是否可以进行设置。
如果不起作用, 可能是时候切换托管服务提供商或转到VPS并聘请顾问解决安全和管理问题。
这值得么?只有你可以决定。 ????
哦, 如果你想呆在安全标头上, 这里就是你的解决方法!
登录尝试次数 黑客手册中最古老的技巧之一就是所谓的字典攻击。
这样做的想法是, 除非密码中的一个成功, 否则你尝试使用大量的密码(如果可能, 数百万)的组合。由于计算机的运行速度非常快, 因此这种愚蠢的方案是明智的, 并且可以在合理的时间内得出结果。
一种常见(且极为有效)的防御措施是在显示错误之前增加延迟。这会使收件人等待, 这意味着, 如果该脚本是黑客使用的脚本, 则需要很长时间才能完成。这就是为什么你的计算机或喜爱的应用程序弹起一点然后说” 糟糕, 密码错误!” 的原因。
无论如何, 关键是, 你应该限制WordPress网站的登录尝试次数。
除了设定的尝试次数(例如5次)外, 该帐户应被锁定并且只能通过该帐户持有人的电子邮件进行恢复。
文章图片
值得庆幸的是, 如果你遇到了一个不错的插件, 那么完成此工作将是步履蹒跚。
HTTP与HTTPS 你的供应商一直在困扰你的SSL证书比你想象的要重要。
在浏览器中显示” 安全” 的绿色锁定图标不仅是一种信誉工具, 相反, 仅安装SSL证书并强制所有URL在” https” 上运行就足以使你的网站从打开的书变成一个神秘的卷轴。
文章图片
如果你不了解这种情况如何发生, 请阅读有关中间人攻击的信息。
拦截从计算机到服务器的流量的另一种方法是数据包嗅探, 这是一种被动的数据收集方式, 甚至无需费劲就可以将自己定位在中间。
对于运行纯HTTP的网站(拦截网络流量的人), 你的密码和信用卡号显示为纯文本。
文章图片
资料来源:comparitech.com
害怕?非常!
但是, 一旦安装了SSL证书, 并且所有URL都转换为” https” , 此敏感信息就会显示为乱码, 只有服务器才能解密。换句话说, 一年不要花那么多钱。 ????
总结
将控制这五件事可以很好地保护你的网站吗?
一点都不。正如无数安全文章所述, 你永远不会100%安全, 但是可以通过合理的努力消除这类问题。你可以考虑使用SUCURI cloud WAF全面保护你的站点。
推荐阅读
- 扫描500多个安全漏洞以保护网站安全
- 13种最佳安全做法,以保护你的WordPress网站
- 顶级4高级WordPress安全插件和服务
- 防止安全威胁的8个WordPress WAF
- 使用X-Frame-Options和HTTPOnly Cookie保护WordPress
- 如何保护WordPress免受蛮力攻击()
- 5个加强和保护WordPress网站的实时提示
- 如何使用WPScan在WordPress网站上查找安全漏洞()
- Android位置已被弃用()