WordPress在内容管理系统领域占据主导地位是众所周知的事实。在WordPress上运行的网站数量远远超过其竞争对手,总计约占所有已知网站的三分之一。
当然,这种无处不在伴随着严重的网络威胁。不幸的是,就黑客而言,WordPress也是无可争议的赢家。DataProt对WordPress的研究表明,高达90%的WP用户要求进行恶意软件清除(而只有4%的Joomla或Magento用户需要这样做)。
显然,WordPress占据了网络危险的绝大部分。但是,其网站上最常见的攻击是哪种?了解更多有关最常用的网络攻击类型的信息,可以帮助WP网站所有者为之做好准备。
为此,让我们看一下2020年最常见的WordPress攻击,以及如何防范它们。
1.跨站点脚本
跨站点脚本(简称XSS)是一种注入攻击,其中黑客将恶意代码片段插入网站。他们通常通过需要用户输入才能产生其输出的应用程序来做到这一点。
一旦那段邪恶的代码爬进了网站,就可以以多种方式使用它。黑客可能获取会话cookie并模拟用户,访问连接到其他应用程序的API,传播蠕虫等。就是说,最常用的方法是将人们重定向到黑客可以窃取其数据的网站。
针对XSS入侵的防护取决于您的情况。这里有一些建议供您考虑:
将值列入白名单,使攻击者更难以插入有害代码(例如,不要让人们键入其生日;请他们从下拉列表中进行选择)。
使用HTML清理库来阻止黑客将脚本注入HTML提交中。
将Cookie专门设置为HTML,以使其无法在JavaScript中读取或更改。
2. SQL注入
与XSS攻击非常相似,SQL注入涉及将恶意代码字符串插入网站。攻击者通过将结构化语言查询塞入Cookie,论坛,HTTP标头或其他Web输入页面中来实现。
两者之间的区别在于效用。XSS的目的是将不知情的用户发送到恶意网站。同时,SQL攻击将倾向于针对目标网站的数据库,从而允许修改和未经授权的数据访问。
除了清理输入外,防止SQL注入的最佳预防措施之一就是坚持在代码中准备好语句。这些字符串在执行用户查询之前为其设置参数,以便拒绝任何不需要的输入。
3. URL黑客
URL hack的工作原理与SQL或XSS注入基本相同。此处,黑客可以通过URL栏转发恶意代码段。因此,他们可以显示敏感数据并编辑代码。
从那里,攻击者可能会选择多种不同的方式来破坏您的站点。例如,他们可以创建重定向到他们的网站之一。也许他们会将恶意软件插入您的网站或泄露敏感信息。
从逻辑上讲,针对此威胁的补救措施与前两次相同。清理(也称为转义)用户输入并依赖于参数化语句将对确保攻击者无法成功实施URL黑客大有帮助。
4.蛮力攻击
对于努力寻找您的用户名和密码的黑客来说,蛮力攻击是一种非常方便的工具。这是一个非常简单的主意:只需通过反复试验就猜出正确的字符串或短语,直到正确为止。
如您所料,此方法需要数以千计的尝试来支付股息。这就像通过遍历存在的每个单词来猜测一个人的想法。自然,黑客使用计算机程序使此过程更快,但是仍然需要大量时间,有时甚至是数年。
尽管需要付出努力,但蛮力攻击仍然是一个非常现实的威胁。幸运的是,您可以采取一些实际步骤来阻止这种攻击死灰复燃。以下是一些有用的建议:
保持密码安全(长密码,带有数字,不仅是一个单词,而且与您没有直接关系)。
利用Captcha来捕获攻击您网站的机器人。
实现需要人工响应的两步身份验证(例如,将一次性密码发送到电话)。
限制登录尝试的次数,以使漫游器无法继续猜测您的登录详细信息。
5. DDoS攻击
DDoS(分布式拒绝服务)攻击是一种非常常见的网络犯罪策略,可导致您的网站无法正常运行。该计划是要以您的方式发送大量流量,以使您的站点无法处理它收到的所有请求,从而有效地将其关闭。
攻击者使用一组(有时是大量的)恶意软件携带计算机(称为僵尸网络)来完成此任务。他们可能出于多种原因进行攻击,从经济利益到简单的吹牛权利。但是,DDoS入侵往往与其他形式的攻击并驾齐驱,通常在进行实际操作时会分散注意力。
采取适当的安全措施可以预防DDoS攻击。一个内容分发网络(CDN),为一,可以分布在服务器的大量流量。还有入侵防御系统(IPS)或Web应用程序防火墙(WAF),用于监视传入流量并查找指示DDoS操作的异常情况。
6.恶意软件
恶意软件是一种笼统的术语,描述了各种软件。他们的共同点是他们的目的。他们的总体目标是以某种方式破坏,操纵或破坏数据库或系统。
为此,黑客将利用一系列令人担忧的创造性程序和策略。特洛伊木马,蠕虫,间谍软件,勒索软件,广告软件–清单还在继续,这种恶意软件可以做任何事情,从监视您到窃取您的数据或对其进行加密,并要求资金将其还给您。
考虑到危险的范围很广,还有很多方法可以抵御恶意软件的威胁:
备份您的网站。
定期重置您的密码。
保持所有插件和软件更新。
运行例行病毒扫描。
7.特权升级攻击
通过特权升级攻击,黑客将采取所有可能的步骤来积累他们在您的网站上拥有的特权。他们的目标是获得尽可能多的信息,并不断尝试获得更高的授权。例如,他们可以通过操纵访问令牌或绕过用户帐户控制(UAC)来解决此问题。
存在两种类型的特权升级攻击。纵向关注于获得尽可能多的间隙,越高越好。另一方面,Horizontal利用分布在多个帐户中的较低特权级别的优势。
这种攻击的问题在于它可能来自网络中的任何位置(通常是其最薄弱的地方)。抵制特权ho积者的最佳方法是不断监视您的系统(此处的MalCare会有所帮助)。删除旧的插件和主题也将使黑客更容易进入。
综上所述,这些是困扰WordPress用户的最常见攻击:
跨站脚本
SQL注入
URL黑客
蛮力攻击
DDoS攻击
恶意软件
特权升级攻击
尽管肯定有许多人要担心,但它们在很大程度上都是可以预防的。只要您采取正确的预防措施,您就不必担心这些攻击。