5 lỗ hổng bảo mật hàng đầu trong cài đặt WordPress

Cài đặt WordPress của bạn có thể an toàn hoặc không an toàn như bạn muốn. Tìm hiểu năm điều quan trọng nhất khi nói đến bảo mật.


Mối quan tâm và khiếu nại về bảo mật WordPress không có gì mới.

Nếu bạn cần một CMS và tình cờ hỏi ý kiến ​​nhà cung cấp dịch vụ không có trong WordPress, bảo mật là con số một mà bạn sẽ nghe thấy. Điều đó có nghĩa là mọi người nên bỏ WordPress và chuyển sang các trình tạo trang tĩnh hoặc CMS không đầu?

Không, vì giống như mọi sự thật trong cuộc sống, điều này cũng có nhiều mặt.

WordPress có kém an toàn không?

Hãy cùng xem một số trang web lớn được xây dựng trên WordPress:

  • TechCrunch
  • Người New York
  • BBC Mỹ
  • Bloomberg
  • Tin tức MTV
  • Blog PlayStation

Vì vậy, điều gì làm cho các công ty này với các túi sâu vô lý và lực lượng lao động có đầu óc không thể chuyển đổi từ WordPress? Nếu bạn nghĩ câu trả lời là mã kế thừa, hãy nghĩ lại: đối với những tên này, bảo mật dữ liệu và hình ảnh công cộng vô cùng quan trọng hơn một di chuyển đơn giản sẽ có giá (ước tính I )m) dưới 200.000 đô la.

Chắc chắn các kỹ sư của họ biết những gì họ làm và không thấy vấn đề bảo mật cơ bản, không thể giải quyết được với WordPress?

Ngay cả tôi cũng có may mắn được quản lý một bản cài đặt WordPress nhìn thấy 3,5-4 triệu khách truy cập mỗi tháng. Tổng số vi phạm an ninh trong tám năm qua? Số không!

Vì thế . . . WordPress có an toàn không?

Tôi xin lỗi nếu nó có vẻ như là trolling, nhưng đây là câu trả lời của tôi:

Tôi nói vậy bởi vì, giống như mọi sự thật trong cuộc sống, nó phức tạp. Để đi đến một câu trả lời hợp pháp, trước tiên chúng ta phải hiểu rằng WordPress (hoặc bất kỳ CMS dựng sẵn nào, đối với vấn đề đó) không giống như một cái tủ mà bạn gắn ở đâu đó vĩnh viễn và được thực hiện với nó.

Nó là một phần mềm phức tạp với nhiều phụ thuộc:

  • PHP, ngôn ngữ mà nó được xây dựng với
  • Một máy hiển thị công khai lưu trữ cài đặt
  • Máy chủ web được sử dụng để xử lý khách truy cập (Apache, Nginx, v.v.)
  • Cơ sở dữ liệu đang được sử dụng (MySQL / MariaDB)
  • Chủ đề (gói tệp PHP, CS và JS)
  • Plugin (gói tệp PHP, CS và JS)
  • Và nhiều hơn nữa, tùy thuộc vào mức độ cài đặt của bạn nhằm hoàn thành

Nói cách khác, vi phạm bảo mật tại bất kỳ đường nối nào trong số này sẽ bị gọi là vi phạm WordPress.

Nếu mật khẩu root máy chủ là admin123 và nó bị xâm phạm, đó có phải là lỗi bảo mật của WordPress không?

Nếu phiên bản PHP có lỗ hổng bảo mật; hoặc nếu plugin mới mà bạn đã mua và cài đặt có lỗ hổng bảo mật rõ ràng; và như thế. Tóm lại: Một hệ thống con thất bại và nó là một lỗi bảo mật WordPress.

Bên cạnh đó, xin vui lòng don don hãy để điều này mang lại cho bạn ấn tượng rằng PHP, MySQL và Apache không an toàn. Mọi phần mềm đều có lỗ hổng, số lượng đáng kinh ngạc trong trường hợp nguồn mở (vì nó có sẵn cho mọi người xem và phân tích).

Có ai nói nói an toàn không? ��

Đối với nguồn dữ liệu này và các số liệu thống kê khác, kiểm tra này.

Những gì chúng ta học được từ tất cả các bài tập này là:

Không có gì là an toàn hoặc không an toàn trên chính nó. Nó có các thành phần khác nhau được sử dụng tạo thành các liên kết trong chuỗi, chuỗi, tất nhiên, mạnh như yếu nhất trong số chúng. Trong lịch sử, nhãn hiệu WordPress không bảo mật của WordPress là sự kết hợp của các phiên bản PHP cũ, lưu trữ được chia sẻ và thêm các plugin / chủ đề từ các nguồn không đáng tin cậy.

Đồng thời, một số lỗi quá mức khá phổ biến làm cho cài đặt WordPress của bạn dễ bị tổn thương đối với những người biết cách khai thác chúng và quyết tâm. Và đó là những gì bài viết này là về. Vì vậy, không cần phải quảng cáo thêm (và các đối số vòng tròn), hãy để bắt đầu.

Các lỗ hổng WordPress hàng đầu mà tin tặc có thể khai thác

Tiền tố bảng WordPress

Cài đặt nổi tiếng trong 5 phút là điều tốt nhất xảy ra với WordPress, nhưng giống như tất cả các trình hướng dẫn cài đặt, nó khiến chúng ta lười biếng và để mọi thứ mặc định.

Điều này có nghĩa là tiền tố mặc định cho các bảng WordPress của bạn là wp_, dẫn đến tên bảng mà bất kỳ ai cũng có thể đoán:

  • người dùng wp
  • tùy chọn wp
  • bài viết wp

Bây giờ, hãy xem xét một cuộc tấn công được gọi là SQL Injection, trong đó các truy vấn cơ sở dữ liệu độc hại được chèn khéo léo và được thực hiện để chạy bên trong WordPress (xin lưu ý – đây không phải là một cuộc tấn công dành riêng cho WordPress / PHP).

Mặc dù WordPress có các cơ chế tích hợp để xử lý các loại tấn công này, nhưng không ai có thể đảm bảo rằng nó đã thắng xảy ra.

Vì vậy, nếu bằng cách nào đó, bằng cách nào đó, kẻ tấn công quản lý để chạy một truy vấn như DROP TABLE wp_users; DROP TABLE wp_posts;, tất cả tài khoản, hồ sơ và bài đăng của bạn sẽ bị xóa ngay lập tức mà không có cơ hội khôi phục (trừ khi bạn có sơ đồ sao lưu tại chỗ, nhưng ngay cả khi đó, bạn sẽ bị mất dữ liệu kể từ lần sao lưu cuối cùng ).

Đơn giản chỉ cần thay đổi tiền tố trong quá trình cài đặt là một vấn đề lớn (phải mất không nỗ lực).

Một cái gì đó ngẫu nhiên như sdg21g34_ được khuyến nghị bởi vì nó vô nghĩa và khó đoán (tiền tố càng dài thì càng tốt). Phần tốt nhất là tiền tố này không cần phải ghi nhớ; tiền tố là thứ mà WordPress sẽ lưu lại và bạn sẽ không bao giờ phải lo lắng về điều đó nữa (giống như bạn không lo lắng về tiền tố wp_ mặc định!).

URL đăng nhập mặc định

Làm thế nào để bạn biết một trang web đang chạy trên WordPress? Một trong những dấu hiệu nhận biết là bạn thấy trang đăng nhập WordPress khi bạn thêm Tấn /wp-login.php để vào địa chỉ trang web.

Lấy ví dụ, hãy để lấy trang web của tôi (http://ankushthakur.com). Có phải trên WordPress? Vâng, đi trước và thêm phần đăng nhập. Nếu bạn cảm thấy quá lười biếng, thì đây là những gì xảy ra:

¯ \ _ (ツ) _ /

WordPress, phải?

Một khi điều này được biết đến nhiều, kẻ tấn công có thể xoa tay vui vẻ và bắt đầu áp dụng các thủ đoạn khó chịu từ Bag-Oith-Doom của họ trên cơ sở bảng chữ cái. Tội nghiệp tôi!

Giải pháp là thay đổi URL đăng nhập mặc định và chỉ cung cấp cho những người đáng tin cậy.

Ví dụ: trang web này cũng có trên WordPress, nhưng nếu bạn truy cập http://geekflare.com/wp-login.php thì tất cả những gì bạn sẽ nhận được là sự thất vọng sâu sắc. URL đăng nhập bị ẩn và chỉ được quản trị viên biết ?.

Thay đổi URL đăng nhập cũng là khoa học tên lửa. Chỉ cần lấy cái này cắm vào.

Xin chúc mừng, bạn vừa thêm một lớp bảo mật bực bội chống lại các cuộc tấn công vũ phu.

Phiên bản máy chủ PHP và web

Chúng tôi đã thảo luận rằng mọi phần mềm từng được viết (và được viết) đều chứa đầy lỗi đang chờ khai thác.

Điều tương tự cũng xảy ra với PHP.

Ngay cả khi bạn sử dụng phiên bản PHP mới nhất, bạn có thể chắc chắn rằng lỗ hổng nào tồn tại và có thể bị phát hiện qua đêm. Giải pháp là ẩn một tiêu đề cụ thể được gửi bởi máy chủ web của bạn (chưa bao giờ nghe thấy các tiêu đề? Đọc điều này!) khi trình duyệt kết nối với nó: x-Powered-by.

Ở đây, bạn sẽ trông như thế nào nếu bạn kiểm tra các công cụ phát triển của trình duyệt yêu thích của mình:

Như chúng ta có thể thấy ở đây, trang web đang nói với chúng ta rằng nó đang chạy trên Apache 2.4 và sử dụng phiên bản PHP 5.4.16.

Giờ đây, mà Lừa đã có rất nhiều thông tin mà chúng tôi đang sử dụng mà không có lý do, giúp kẻ tấn công thu hẹp lựa chọn công cụ của họ.

Những tiêu đề (và tương tự) này cần được ẩn đi.

May mắn thay, nó có thể được thực hiện nhanh chóng; Thật không may, kiến ​​thức kỹ thuật phức tạp là cần thiết vì bạn sẽ cần phải đi sâu vào hệ thống và làm rối tung các tập tin quan trọng. Do đó, lời khuyên của tôi là yêu cầu nhà cung cấp dịch vụ lưu trữ trang web của bạn làm điều này cho bạn; nếu họ không xem liệu một nhà tư vấn có thể hoàn thành nó hay không, mặc dù điều này sẽ phụ thuộc phần lớn vào máy chủ trang web của bạn cho dù thiết lập của họ có khả năng như vậy hay không.

Nếu nó không hoạt động, có lẽ đã đến lúc chuyển đổi nhà cung cấp dịch vụ lưu trữ hoặc chuyển sang VPS và thuê một chuyên gia tư vấn về các vấn đề bảo mật và quản trị.

Nó có đáng không? Chỉ bạn mới có thể quyết định điều đó. ��

Ồ, và nếu bạn muốn tìm hiểu về các tiêu đề bảo mật, thì đây là cách khắc phục!

Số lần đăng nhập

Một trong những thủ thuật lâu đời nhất trong cẩm nang hacker hacker là cái gọi là Từ điển tấn công.

Ý tưởng là bạn thử một số lượng lớn các kết hợp lố bịch (hàng triệu, nếu có thể) cho một mật khẩu trừ khi một trong số chúng thành công. Vì máy tính nhanh như chớp với những gì chúng làm, một sơ đồ ngu ngốc như vậy là hợp lý và có thể mang lại kết quả trong một thời gian hợp lý.

Một biện pháp phòng thủ phổ biến (và cực kỳ hiệu quả) là thêm độ trễ trước khi hiển thị lỗi. Điều này làm cho người nhận chờ đợi, điều đó có nghĩa là nếu nó LẬP một kịch bản được sử dụng bởi tin tặc, sẽ mất quá nhiều thời gian để hoàn thành. Đó là lý do tại sao máy tính hoặc ứng dụng yêu thích của bạn bị trả lại một chút và sau đó nói, Oops, mật khẩu sai!.

Dù sao, vấn đề là, bạn nên giới hạn số lần thử đăng nhập cho trang web WordPress của mình.

Ngoài số lần thử đã đặt (giả sử là năm), tài khoản sẽ bị khóa và chỉ có thể được phục hồi thông qua email của chủ tài khoản.

Rất may, hoàn thành công việc này là một cuộc dạo chơi nếu bạn gặp một người đẹp cắm vào.

HTTP so với HTTPS

Chứng chỉ SSL mà nhà cung cấp của bạn đã làm phiền bạn về việc này quan trọng hơn bạn nghĩ.

Nó không chỉ đơn thuần là một công cụ danh tiếng để hiển thị biểu tượng khóa màu xanh lá cây trong trình duyệt có nội dung mà nói Secure Secure; thay vào đó, việc cài đặt chứng chỉ SSL và buộc tất cả các URL hoạt động trên, https https là đủ để đưa trang web của bạn trở thành một cuốn sách mở thành một cuộn giấy khó hiểu.

Nếu bạn không hiểu điều này xảy ra như thế nào, xin vui lòng đọc về một cái gì đó được gọi là người đàn ông giữa cuộc chiến.

Một cách khác để chặn lưu lượng truy cập từ máy tính của bạn đến máy chủ là đánh hơi gói, đây là một hình thức thu thập dữ liệu thụ động và thậm chí không cần phải chịu đau để đặt chính nó vào giữa.

Đối với các trang web chạy trên HTTP HTTP đơn giản, người bị chặn lưu lượng truy cập mạng, mật khẩu và số thẻ tín dụng của bạn xuất hiện rõ ràng, văn bản đơn giản.

Nguồn: soitech.com

Đáng sợ? Rất!

Nhưng một khi bạn cài đặt chứng chỉ SSL và tất cả các URL được chuyển đổi thành Mạnh https, thì thông tin nhạy cảm này hiển thị là vô nghĩa mà chỉ máy chủ mới có thể giải mã. Nói cách khác, don lồng mồ hôi vài đô la một năm. ��

Phần kết luận

Sẽ kiểm soát được năm điều này an toàn trang web của bạn độc đáo?

Không hoàn toàn không. Như vô số bài báo bảo mật đã nói, bạn không bao giờ bảo mật 100%, nhưng nó có thể loại bỏ một nhóm lớn các vấn đề này với nỗ lực hợp lý. Bạn có thể cân nhắc sử dụng SUCURI đám mây WAF để bảo vệ trang web của mình một cách toàn diện.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map