作为内容管理平台,WordPress非常易于使用,因此在用户中非常受欢迎。 事实是,它也是犯罪分子和攻击者的普遍目标。 如果您拥有WordPress网站,则需要采取一些基本步骤来保护您的网站。
WordPress的DDoS
尽管始终担心您的WordPress网站可能会被黑客入侵,以向您的网站访问者提供恶意软件,或将他们重定向到Web上其他位置不明的网站,但您也不想发现您的网站已被用来对其他站点发起攻击。 本周早些时候,安全公司Sucuri报告称,有超过162, 000个WordPress网站被欺骗参与了对另一个网站的分布式拒绝服务攻击。
问题是,这些站点没有被劫持或感染以形成僵尸网络。 攻击者滥用了WordPress中一项完全合法的功能Pingbacks,使目标网站受到不必要的流量攻击。 WordPress站点使用Pingbacks通知链接到其他站点的其他站点。 在Sucuri观察到的攻击中,攻击者诱骗网站向同一目标URL发送Pingback请求,这很容易做到,因为WordPress默认情况下启用了Pingback。 目标站点突然遭到Pingback请求的轰炸,该请求实际上是DDoS攻击的发源地。
如果您运行的是WordPress,则应考虑关闭Pingbacks,以确保您的网站不能被用来攻击其他网站。 该功能会在其他人在谈论您时通知您,这是一个不错的自我提升者,但是值得保留它以备滥用吗? Sucuri对如何阻止其站点上的pingback提供了一些建议。
泄漏的WordPress
Akamai Technologies的高级安全倡导者Dave Lewis使用Google查找了超过111, 000个WordPress网站,这些网站的数据库备份可从Internet访问。 刘易斯在他的CSO博客上写道,该列表包括“从独立音乐网站到医生办公室甚至是某些政府网站的所有形式的网站”。 转储包含有关数据库的详细信息,攻击者可使用该信息来发起其他攻击,但也可能导致数据泄漏。
显然,不应从Internet访问备份。 刘易斯说,如果备份是在安装了WordPress的同一台服务器上本地运行的,则Wordfence或Sucuri的插件会阻止未经授权的访问。
过时的WordPress
对于WordPress管理员而言,最重要的任务是始终关注软件更新,不仅是核心平台的更新,还包括站点上运行的每个插件的更新。 WordPress的过时版本一直受到攻击,尤其是插件。 安全顾问说:“恶意黑客一直在寻找感染计算机用户的方法,还有什么比入侵现有合法网站并破坏它的方式更好的技术,从而可以在计算机用户访问时悄悄地感染计算机用户。”格雷厄姆·克鲁利(Graham Cluley)。
攻击者可以利用未修补的漏洞来执行SQL注入或跨站点脚本攻击。 这些漏洞也可以被利用来感染恶意软件。 在大多数情况下,这些问题通常是插件问题的结果,而不是核心软件平台的问题,这使得定期更新插件变得更加关键。
重要的是要注意WordPress.com上托管的站点与其他服务器上运行的WordPress站点之间的区别。 WordPress背后的团队使WordPress.com上的软件保持最新状态,因此个人用户不必这样做。 自托管网站要求网站所有者掌握补丁和更新的最新信息,以确保该软件保持最新。
如果您要运行WordPress,请通过定期更新站点来领先于攻击者。