Sembilan belas tahun selepas penciptaannya, WordPress kekal sebagai salah satu sistem pengurusan kandungan (CMS) yang paling popular dan digunakan secara meluas di World Wide Web. Mengikut angka, lebih 60% tapak web di internet dibina di WordPress!
Kepopularan ini membawa banyak kelebihan, seperti komuniti pembangun yang besar, pelbagai alatan dan sejumlah besar tutorial dan panduan. Tetapi ia juga mempunyai beberapa kelemahan. Salah satunya ialah peningkatan kerentanan terhadap serangan penggodam.
Penggodam suka menyerang WordPress. Malah, 83% daripada semua tapak web berasaskan CMS yang digodam telah dibina di WordPress. Mereka suka mencari kelemahan untuk dieksploitasi, dan malangnya, WordPress mempunyai beberapa daripadanya.
Dalam artikel ini, saya akan membincangkan lapan kelemahan WordPress biasa dan menerangkan cara untuk mengurangkan setiap satu. Sila berasa bebas untuk menggunakan pautan di bawah untuk melompat ke setiap bahagian kerentanan.
1.Persekitaran pengehosan yang lemah
Hos ialah komputer pelayan di internet yang menyimpan fail yang memberi kuasa kepada tapak web anda. Jika anda mahu laman web WordPress anda boleh diakses melalui internet, anda mesti mengehoskannya pada hos web.
Salah satu sebab utama laman WordPress digodam ialah persekitaran pengehosan yang buruk. Menurut Kinsta, jumlah ini adalah kira-kira 41%. Akibatnya, hampir separuh daripada semua penggodaman laman web WordPress berlaku disebabkan persekitaran pengehosan yang lemah.
Daripada statistik di atas, anda boleh membuat kesimpulan bahawa menggunakan penyedia pengehosan yang bereputasi dan selamat secara automatik mengurangkan peluang tapak web anda digodam dengan ketara.
Beberapa penyedia pengehosan teratas untuk laman web WordPress termasuk SiteGround, WP Engine, Hostinger dan Bluehost. Sebelum memilih penyedia pengehosan untuk tapak web anda, pastikan anda melakukan penyelidikan menyeluruh untuk memahami kualiti penyampaian perkhidmatan mereka serta tahap kepuasan pelanggan mereka.
2.Tema dan pemalam rawak
Tema WordPress menentukan rupa dan rasa tapak web anda, manakala pemalam digunakan untuk menambah fungsi tambahan pada tapak web anda. Kedua-duanya adalah koleksi fail, termasuk skrip PHP.
Memandangkan tema dan pemalam diperbuat daripada kod, ia boleh diisi dengan pepijat. Ini adalah kaedah yang sangat popular digunakan oleh penggodam untuk mendapatkan akses haram ke tapak WordPress yang terjejas.
Malah, menurut Kinsta, 52% daripada kelemahan adalah berkaitan dengan pemalam dan 11% disebabkan oleh tema.
Penggodam boleh memasukkan kod berniat jahat ke dalam tema atau pemalam dan menerbitkannya ke pasaran di Internet. Jika ia dipasang pada tapak WordPress oleh pengguna yang tidak curiga, tapak tersebut secara automatik terjejas, selalunya tanpa pengetahuan pemilik.
Cara terbaik untuk mengelakkan masalah ini adalah dengan hanya memasang tema dan pemalam daripada sumber yang dipercayai dan boleh dipercayai.
3.Pemalam dan tema lapuk
Selain mengelakkan pemalam dan tema rawak, anda juga harus memastikan pemalam dan tema dipasang pada tapak WordPress anda dikemas kini.
Ini kerana penggodam sering mencari tema atau pemalam tertentu (atau versi tertentu) yang diketahui mempunyai kelemahan. Mereka kemudian mencari tapak web yang menggunakan tema atau pemalam tersebut dan cuba menggodamnya. Jika berjaya, mereka boleh melakukan tindakan berbahaya di tapak web, seperti mencari data dalam pangkalan data atau menyuntik kandungan berniat jahat ke dalam tapak web.
Untuk mengakses tema anda yang dipasang dari panel pentadbir, navigasi ke Penampilan > Tema pada bar sisi. Untuk mengakses pemalam, navigasi ke Pemalam > Pemalam Dipasang.
Biasanya, anda akan menerima pemberitahuan makluman dalam papan pemuka WordPress anda apabila tiba masanya untuk mengemas kini sebarang tema atau pemalam yang digunakan di tapak web anda. Jangan sekali-kali mengabaikan makluman ini melainkan anda mempunyai sebab yang kukuh.
4.Kata laluan lemah
Kelayakan log masuk yang lemah dan mudah diteka ialah salah satu cara paling mudah untuk penggodam mendapatkan akses ke bahagian belakang WordPress anda. Kira-kira 8% tapak web WordPress telah digodam kerana gabungan kata laluan yang lemah atau kata laluan yang dicuri
Penggodam sering menggunakan skrip brute force untuk menguji secara berulang nama pengguna dan gabungan kata laluan pada seberapa banyak tapak WordPress yang mungkin. Mereka melakukan ini sehingga mereka menemui padanan, kemudian log masuk ke tapak sasaran dan menjual semula bukti kelayakan kepada penggodam lain.
Oleh itu, anda harus sentiasa mengelak daripada menggunakan istilah seperti pengguna, admin, pentadbir dan pengguna1 sebagai nama pengguna log masuk anda. Sebaliknya, buat nama pengguna yang kurang generik dan lebih peribadi.
Untuk mencipta kata laluan yang kukuh dan selamat, berikut adalah beberapa peraturan yang perlu diingat:
- Jangan sekali-kali menggunakan maklumat peribadi (nama, hari lahir, e-mel, dll.).
- Buat kata laluan yang lebih panjang.
- Jadikan kata laluan anda sebagai kabur dan tidak bermakna yang mungkin.
- Jangan gunakan perkataan biasa.
- Mengandungi nombor dan aksara khas.
- Jangan ulang kata laluan anda.
Untuk melindungi tapak web anda, anda mesti menentukan gabungan nama pengguna dan kata laluan yang kukuh apabila anda mula-mula menyediakan WordPress.
Selain itu, anda perlu menyediakan pengesahan dua faktor (2FA) untuk menambah satu lagi lapisan keselamatan pada tapak web WordPress anda.
Akhir sekali, pertimbangkan untuk menggunakan pemalam keselamatan seperti Wordfence atau Sucuri Security untuk menghentikan serangan kekerasan (dan serangan berniat jahat lain) daripada mengakses tapak WordPress anda.
5.Suntikan Perisian Hasad
Hasad ialah sejenis perisian berniat jahat yang boleh dimasukkan oleh penggodam ke dalam tapak web anda dan dilaksanakan apabila mereka mahu melaksanakan rancangan mereka.
Hasad boleh dimasukkan dalam pelbagai cara. Ia boleh disuntik melalui sesuatu yang semudah komen yang diformat dengan baik di laman WordPress, atau sekompleks seperti memuat naik fail boleh laku pada pelayan.
Dalam senario terbaik, perisian hasad tidak akan menyebabkan sebarang masalah dan mungkin melakukan sesuatu yang tidak berbahaya, seperti memaparkan iklan produk kepada pelanggan. Dalam kes ini, anda boleh menggunakan pemalam pengimbas perisian hasad seperti Wordfence Security untuk mengalih keluar perisian hasad.
Tetapi dalam kes yang melampau, perisian hasad boleh melakukan tindakan berbahaya pada pelayan, yang boleh menyebabkan kehilangan data dalam pangkalan data atau akibat yang serupa, seperti mencipta akaun di tapak web WordPress.
Menyelesaikan senario terburuk ini biasanya memerlukan memulihkan tapak web anda daripada sandaran bersih, kemudian memikirkan cara penggodam masuk ke dalam sistem anda dan menampal kelemahan. Itulah sebabnya penting untuk membuat sandaran tapak web anda dengan kerap.
6.Pancingan data
Dalam serangan pancingan data, penyerang menghantar e-mel menggunakan alamat yang nampaknya datang dari pelayan anda. Penyerang selalunya akan meminta pengguna tapak web atau pelanggan anda untuk mengklik pautan untuk melakukan beberapa tindakan, yang pengguna mungkin lakukan tanpa mengetahui bahawa ia sebenarnya bukan datang dari pelayan anda.
Serangan pancingan data datang dalam pelbagai gaya, dengan nama termasuk pancingan data kucing, pancingan data lembing dan banyak lagi. Tidak kira jenisnya, pancingan data sentiasa melibatkan alamat e-mel palsu (tetapi kelihatan asli) dan pautan ke halaman berniat jahat.
Seorang penyerang biasanya akan memaparkan borang palsu yang kelihatan sama dengan borang log masuk sebenar tapak web anda. Jika pengguna tidak membuat susulan dengan segera, mereka boleh menyerahkan satu atau lebih bukti kelayakan log masuk yang berbeza ke tapak web berniat jahat.
Hasilnya ialah penggodam kini mempunyai nama pengguna dan kata laluan yang berbeza untuk melakukan serangan kekerasan di tapak web lain, serta bukti kelayakan log masuk yang tepat untuk mengakses bahagian belakang pengguna.
Disebabkan cara e-mel direka bentuk pada asalnya, mudah untuk memalsukan alamat "daripada" e-mel, menjadikan serangan pancingan data lebih sukar untuk dihentikan.
Walau bagaimanapun, hari ini, teknologi seperti SPF, DKIM dan DMARC semuanya membolehkan pelayan e-mel menyemak asal e-mel dan mengesahkan domain sumber. Selagi tetapan ini betul, semua e-mel pancingan data akan dikesan oleh pelayan penerima dan ditandakan sebagai spam atau dipadamkan sepenuhnya daripada peti masuk pengguna.
Jika anda tidak pasti sama ada SPF, DKIM dan DMARC disediakan dengan betul, tanya hos web anda. Kebanyakan hos web teratas mempunyai arahan mudah tentang cara menyediakannya.
7.Penolakan Serangan Perkhidmatan (DoS dan DDoS)
Serangan penafian perkhidmatan berlaku apabila penjenayah menghantar sejumlah besar permintaan yang salah kepada pelayan laman web, menyebabkan pelayan tidak dapat mengendalikan permintaan biasa daripada pengguna yang sah.
Dalam WordPress, perkhidmatan caching membantu mengurangkan serangan DDoS. Anda boleh menggunakan pemalam WordPress seperti WP Fastest Cache di tapak web anda untuk menyemak serangan DDoS. Selain itu, kebanyakan hos teratas mempunyai sistem mitigasi DDoS terbina dalam infrastruktur mereka.
8. Skrip silang tapak (XSS)
Serangan skrip merentas tapak ialah satu lagi jenis serangan suntikan kod, yang serupa dengan suntikan perisian hasad yang kami pelajari sebelum ini.
Walau bagaimanapun, dalam serangan XSS, penyerang menyuntik skrip sisi klien (JavaScript) yang berniat jahat ke dalam halaman web di hujung hadapan tapak web untuk dilaksanakan oleh penyemak imbas.
Seorang penyerang boleh menggunakan peluang ini untuk menipu pengguna dengan menyamar sebagai pelawat ke tapak anda (menggunakan data mereka) atau menghantar mereka ke tapak berniat jahat lain yang mereka cipta.
Salah satu cara paling berkesan untuk menyekat serangan XSS pada tapak WordPress anda ialah memasang pemalam firewall yang berkuasa seperti Sucuri, yang boleh anda gunakan untuk mengimbas tapak anda untuk mengesan kelemahan XSS.
Kesimpulan
Untuk memastikan tapak web WordPress anda selamat, anda perlu mengambil langkah proaktif untuk menemui kelemahan yang boleh dieksploitasi oleh penyerang. Dalam artikel ini, kami memperkenalkan lapan kelemahan dan menyediakan penyelesaian untuk setiap kelemahan.
Ingat, cara terbaik untuk mengurangkan kelemahan laman web WordPress adalah dengan memastikan semua komponen tapak web anda dikemas kini. Ini termasuk pemalam, tema, dan juga WordPress itu sendiri. Jangan lupa untuk menaik taraf versi PHP anda juga.
Atas ialah kandungan terperinci 8 Cara untuk Memperbaiki Isu dan Kerentanan WordPress Biasa. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
