WordPress 可以通過許多不同的方式被黑客入侵 – 黑客在追蹤目標(biāo)方面可以非常有創(chuàng)意。這使得列出 WordPress 網(wǎng)站可能被黑客攻擊的所有方式變得不可能和危險,因為它可能會提供一種錯誤的安全感。但是,我們可以看一個示例來說明黑客通常可能采取的入侵 WordPress 網(wǎng)站的過程。
由于使用它的人數(shù)眾多,WordPress 是惡意黑客的常見目標(biāo)。有人估計互聯(lián)網(wǎng)上的 WordPress 網(wǎng)站總數(shù)為 4.55 億。這意味著WordPress 運(yùn)行著互聯(lián)網(wǎng)上所有網(wǎng)站的 43.1%。
找出有多少網(wǎng)站被黑是很棘手的。有幾個原因。眾所周知,黑客事件的報道不足。除非法律強(qiáng)制披露事件,否則許多管理員和網(wǎng)站所有者都不愿意這樣做。許多人不知道他們已被黑客入侵,因此無法報告。
考慮到這些警告,網(wǎng)絡(luò)風(fēng)險和隱私管理解決方案提供商IT Governance僅在 2021 年就報告了約 51 億次(B 級)違規(guī)事件。該數(shù)字包括所有違規(guī)行為。查看另一份報告,這次是 Sophos,每天有 30,000 個網(wǎng)站(平均)被黑客入侵。這相當(dāng)于每年有 1100 萬個網(wǎng)站遭到黑客攻擊。我們知道 43% 的網(wǎng)站運(yùn)行 WordPress,這讓我們可以做出有根據(jù)的猜測,即每年有 470 萬個 WordPress 網(wǎng)站遭到黑客攻擊。每天有近 13,000 個 WordPress 網(wǎng)站遭到黑客攻擊。
這是一個非常大的數(shù)字——這引出了一個問題,為什么 WordPress 被黑客攻擊的次數(shù)如此之多?這正是我們將在本文中看到的——基于事實和統(tǒng)計數(shù)據(jù)。
WordPress——它有多安全,真的嗎?
WordPress 是一個開源項目,全世界有許多人積極致力于此。WordPress 社區(qū)非常強(qiáng)大,其中包括一些您將遇到的最聰明、最忠誠的人。有這么多人參與并忽視了開發(fā)過程,WordPress 往往非常安全。
WordPress 的優(yōu)勢也可能是它的垮臺,當(dāng)我們深入研究 WordPress 網(wǎng)站是如何被黑客入侵時,統(tǒng)計數(shù)據(jù)就會告訴我們。
WordPress 最大的優(yōu)點和缺點
沒有系統(tǒng)是完美的,這也適用于 WordPress 核心。WordPress 核心代表在進(jìn)行任何更改(例如插件、主題和配置)之前的核心文件。事實上,根據(jù)Sucuri 的 WordPress 黑客統(tǒng)計報告, WordPress Core 占 2021 年所有漏洞的 0.58% 。這僅占所有事件的百分之一的一半多一點。
接下來是主題和插件 – 按此順序。事實上,主題占所有漏洞的 6.61%,而插件占高達(dá) 92.81%。
Sucuri 根據(jù)主題和插件是免費(fèi)的還是付費(fèi)的進(jìn)一步細(xì)分。雖然付費(fèi)主題和插件占所有第 3 方漏洞的 8.62%,但免費(fèi)的主題和插件占 91.38%。
為什么好的插件要花錢
出現(xiàn)這種情況的原因有很多。插件和主題有各種形狀和大小——從信譽(yù)良好的開發(fā)人員到陰暗的開發(fā)人員。事情的真相是,如果做得好,插件開發(fā)并不便宜。全職專業(yè)開發(fā)人員需要在維護(hù)良好的基礎(chǔ)設(shè)施的同時獲得報酬,測試設(shè)施也會增加費(fèi)用。
這并不是說所有免費(fèi)插件都會構(gòu)成安全威脅——遠(yuǎn)非如此。許多開發(fā)人員將他們的空閑時間用于制作高質(zhì)量的免費(fèi)插件。但是,如果您想要一個經(jīng)過廣泛測試和支持的插件,那么高級插件可能是您的不二之選。
WordPress 漏洞——數(shù)字
已知的 WordPress 漏洞數(shù)量每年呈上升趨勢。事實上,WPScan 在其數(shù)據(jù)庫中添加了 1,437 個新漏洞,而前一年為 514 個。僅在 2022 年 11 月,就新增了 64 個漏洞。
考慮到我們之前討論的漏洞分布,這些數(shù)字在查看可用的 WordPress 插件數(shù)量時是成立的。在撰寫本文時,WordPress.org 存儲庫列出了超過 60,000 個可用的插件,并且每天都會添加更多插件。插件也可以直接從開發(fā)人員處購買或從非官方來源下載。
由于不斷變化的 WordPress 漏洞情況,有針對性的攻擊是例外而不是規(guī)則。隨著舊漏洞得到修補(bǔ)并引入新漏洞,黑客會發(fā)現(xiàn)很難跟上。它還使有針對性的攻擊非常耗時,這就是為什么大多數(shù)攻擊都是自動化的。
自動攻擊使用一種工具來自動掃描許多網(wǎng)站,并在發(fā)現(xiàn)漏洞時發(fā)出警報。正因為如此,大多數(shù)攻擊都是不分青紅皂白的,而不是出于怨恨。但是黑客使用什么工具來進(jìn)行這種自動攻擊呢?讓我們找出來。
WordPress 網(wǎng)站是如何被黑客入侵的
WordPress 可以通過許多不同的方式被黑客入侵——黑客在追蹤目標(biāo)方面可以非常有創(chuàng)意。這使得列出 WordPress 網(wǎng)站可能被黑客攻擊的所有方式變得不可能和危險,因為它可能會提供一種錯誤的安全感。但是,我們可以看一個示例來說明黑客通常可能采取的入侵 WordPress 網(wǎng)站的過程。
WPScan – 一個 WordPress 漏洞掃描器
黑客經(jīng)常使用的一種常用工具稱為 WPScan。它是一個免費(fèi)工具,可以在線輕松獲得。它是一個漏洞掃描器,可以掃描 WordPress 網(wǎng)站并識別已知問題和不安全的配置。使用 WPScan 啟動默認(rèn)的 WordPress 安全掃描時,您會立即發(fā)現(xiàn):
- WordPress 版本
- 安裝的插件,它們的版本,以及它們的安裝路徑
- 已安裝的主題、它們的版本以及它們的安裝路徑
WPScan 包括其他功能,例如 WordPress 用戶枚舉掃描。這些掃描識別并枚舉在 WordPress 網(wǎng)站上注冊的所有用戶,讓黑客深入了解您的 WordPress 的功能。有了這些信息,黑客就可以發(fā)起二次攻擊,例如 WordPress 密碼暴力攻擊來獲得對您系統(tǒng)的訪問權(quán)限。
在這里,重要的是要注意為什么WordPress 密碼安全對 WordPress 網(wǎng)站的整體安全性如此重要。弱密碼使得暴力攻擊相對容易突破。同樣,確保所有帳戶都使用強(qiáng)密碼也很重要。受感染的貢獻(xiàn)者帳戶可能無法造成太大的損害,但通過在受感染的網(wǎng)站上提升權(quán)限,攻擊者可以獲得管理權(quán)限以造成嚴(yán)重破壞。
黑客為什么要入侵
一旦壞人設(shè)法獲得了對您的 WordPress 網(wǎng)站的訪問權(quán)限,他們就可以采取多種措施,例如:
- 創(chuàng)建一個具有管理員權(quán)限的新帳戶
- 重置現(xiàn)有帳戶的密碼以確保其他用戶無法重新獲得對其 WordPress 的訪問權(quán)限
- 更改現(xiàn)有休眠帳戶的角色
- 更改內(nèi)容以注入惡意代碼
- 篡改 WordPress 源代碼文件以添加惡意代碼,例如后門程序
- 在 htaccess 文件中添加重定向
保護(hù)您的 WordPress 免受攻擊
正如我們所見,不良行為者可以采取多種方法來破壞 WordPress 網(wǎng)站。因此,按理說,保護(hù) WordPress 網(wǎng)站需要更全面的方法,而不是簡單地確保用戶擁有密碼。
- 研究——無論您是在尋找 WordPress 托管服務(wù)提供商還是新插件,請務(wù)必先花時間檢查一下。論壇可以幫助您快速了解客戶對產(chǎn)品或服務(wù)的感受,而插件應(yīng)該有頻繁的更新和強(qiáng)大的客戶支持。
- 測試– 為您的 WordPress 選擇最好的插件不一定是猜謎游戲。大多數(shù)信譽(yù)良好的插件提供商都提供免費(fèi)試用其高級插件。這允許您在提交之前測試它們。
一旦你弄清楚了你的設(shè)置,你需要確保它被正確配置以獲得最大的安全性。配置安全的 WordPress 不是一次性的工作,而是一個持續(xù)的過程,包括:
- 強(qiáng)密碼– 強(qiáng)密碼策略可以幫助您確保暴力攻擊在成功之前耗盡時間。使用大小寫字母、數(shù)字和特殊字符的健康組合。此外,設(shè)置密碼過期策略以確保經(jīng)常更改密碼。
- 2FA – 2FA,雙因素身份驗證的縮寫,為您的 WordPress 登錄添加額外的身份驗證層。使用 2FA 時,即使暴力破解成功,如果無法訪問您的智能手機(jī),黑客也無法登錄。
- 更新——讓 WordPress、插件和主題始終保持最新。正如最近的調(diào)查所示,可以通過不同的方式實施 WordPress 更新。這可以幫助您在不費(fèi)吹灰之力的情況下平衡管理和安全需求。
- 監(jiān)控——使用 WP 活動日志等安全插件密切關(guān)注用戶和系統(tǒng)活動。這將幫助您盡早發(fā)現(xiàn)可疑行為并在造成損害之前將其關(guān)閉。
這絕不是一個詳盡的清單,但它是一個很好的起點。WordPress 安全性是一個不斷發(fā)展的話題,需要不斷維護(hù)。關(guān)注WordPress 安全博客是了解最新信息的一種方式,也是您可以在早上喝咖啡時閱讀的內(nèi)容。
確保 WordPress 安全
WordPress 安全性是一個循環(huán),而不是一個有始有終的過程。它需要持續(xù)關(guān)注和調(diào)整以應(yīng)對不斷變化的威脅。雖然這聽起來像是工作量太大,但通常情況下,維護(hù)總比修理好。通過每月投入幾個小時,您可以大大降低安全風(fēng)險,幫助您確保您的網(wǎng)站持續(xù)發(fā)展。
拓展閱讀:
- 讓你的WordPress網(wǎng)站更安全的15個基本步驟
- 為什么您的WordPress網(wǎng)站會容易被黑客攻擊
- 保護(hù)您的WordPress網(wǎng)站免受蠻力攻擊
- WordPress網(wǎng)站如何被黑客入侵
- 如何強(qiáng)化您的 WordPress 網(wǎng)站以防止黑客入侵
- 當(dāng)您的 WordPress 網(wǎng)站被黑客入侵時該怎么辦?
- 如何保護(hù)您的 WordPress 網(wǎng)站管理后臺
- 如何修復(fù) WordPress 中的“您的網(wǎng)站出現(xiàn)嚴(yán)重錯誤”
- 網(wǎng)站進(jìn)入Google網(wǎng)址黑名單的解決辦法
