WordPress 的安全问题

时间：2021-12-29 作者：电脑狂魔

WordPress 内容管理系统 (CMS) 因其灵活性和对各种用例的支持而受到社区、电子商务商店、教育网站和博客的欢迎。免费的开源 CMS 还得到高级插件的支持，这些插件使用户能够自定义其网站的外观。

除此之外，WordPress 得到全球志愿者社区的支持，他们开发插件和主题，使其易于学习、适应和快速扩展。虽然它对于大多数网站项目来说既方便又可靠，但 WordPress 需要严格遵守最佳实践以确保网站安全。此外，由于 WordPress 在开源代码上运行，成千上万的贡献者需要时间来查找、识别和修复 WordPress 安全问题。

然而，大多数情况下，解决 WordPress 安全问题的固有挑战需要深入分析、采用最佳实践并采用正确的工具来降低风险。

本文深入探讨了 WordPress 常见的安全问题以及避免这些问题的最佳方法。

WordPress 安全漏洞和风险

WordPress 广受欢迎，截至 2021 年，为全球约40% 的网站提供支持。尽管该平台是为了安全而构建的，但由于用户的行为或站点管理员的不当行为，通常会发现并出现安全漏洞。由于漏洞通常存在于主题和插件中，因此保护 WordPress 网站通常不仅仅是保护核心 WordPress 源代码。

暴力破解

每个 WordPress 站点都有一个管理员帐户的默认登录页面 (http://域名/wp-admin)。攻击者通过尝试获得网站的管理员权限来利用这一点。暴力攻击被认为是最常见的 WordPress 攻击形式之一，由黑客发起，试图使用复杂的技术和自动化来猜测用户密码。由于它们不依赖于现有的漏洞，因此暴力攻击是获取用户帐户和密码的最简单方法之一。一些管理员使用弱密码，这样可以轻松地对机器人进行编程以帮助他们获取用户角色。

在成功的暴力 WordPress 攻击中，攻击者可以窃取用户数据、安装恶意软件或删除关键应用程序的服务。即使他们没有成功登录帐户，进行暴力攻击的黑客也可以通过尝试数千次同时登录来发起拒绝服务。这些攻击也很难识别，因为机器人使用不同的位置和 IP 地址进行登录尝试，这使得它们可以在不被发现的情况下持续存在。虽然它是一种反复试验的方法，但蛮力攻击广泛流行，并且参与了2018 年80% 以上的WordPress 网站攻击。

跨站脚本

在 XSS 攻击中，黑客利用现有的 WordPress 漏洞将恶意代码注入网站。这些攻击的主要目的是通过劫持其他用户的会话，然后在客户端执行不需要的脚本来窃取其他用户的身份信息。在典型的 XSS 攻击中，黑客利用用户输入表单将恶意 URL/字符串插入网站数据库。当受害者从站点请求页面时，Web 服务器的响应包括发送到受害者浏览器的恶意脚本。当浏览器执行此脚本时，它会将用户的会话 cookie 发送到黑客的机器。

WordPress XSS 漏洞仍然是 Web 安全团队面临的重大挑战，因为它们的利用方式不同，因此难以及时识别和缓解。为此，您可以使用多种工具来检测 XSS 攻击并对其采取措施。

各种类型的 XSS 漏洞包括：

存储跨站脚本，也称为持久性 XSS，是最令人担忧的 XSS 类型，它依赖于将恶意脚本永久存储在网站的数据库中。这意味着每当任何用户请求网站页面时，恶意负载都会作为 HTML 响应的一部分发送到用户的浏览器。
反射跨站点脚本，也称为非持久性 XSS，涉及与用户请求一起发送的恶意脚本。成功的攻击通常需要攻击者分别向每个用户发送恶意脚本。然后脚本被“反射”回来，这样 Web 服务器的 HTTP 响应包括作为请求的一部分发送的恶意负载。在这种情况下，攻击者使用伏击社会工程来欺骗用户将恶意脚本发送到网络服务器。
在基于 DOM 的 XSS 攻击中，如果网站的客户端脚本可以写入文档对象模型 (DOM) 提供的数据，黑客就会注入恶意负载。此漏洞的一个常见原因是当开发人员不包括额外的安全措施来正确处理数据时。一旦注入，恶意负载就会在 Web 服务器从 DOM 读回数据时执行。

文件包含漏洞

WordPress 文件包含漏洞会影响利用脚本运行时的网站，允许黑客将文件上传到 WordPress 服务器、提交文件输入或修改文件权限。为此，攻击者使用配置文件来枚举系统、提供下载功能并允许访问未定义的用户角色。在缺乏足够的用户输入验证的情况下，攻击者还使用动态文件包含功能在服务器上包含文件。

WordPress 文件包含漏洞被分类为：

本地文件包含 (LFI) – 这些漏洞使黑客能够使用其 Web 浏览器将文件包含在服务器上。LFI 漏洞很容易在接受文件的网站上执行，而无需正确清理用户输入。攻击者可以修改输入，以便将特殊字符注入路径并访问托管在网络服务器上的其他文件。在大多数 WordPress 应用程序中，由于在请求 Ajax 短代码域名脚本时对 Ajax 路径参数的验证不足，因此会发生 LFI 攻击。
远程文件包含 (RFI) – 攻击者利用 RFI 漏洞将远程文件包含在网络服务器上。这些攻击不太常见，并且在动态包含外部脚本和文件的网站上进行。如果应用程序通过未净化的路径接收任意文件，则会创建攻击面，从而导致信息窃取、XSS 攻击和远程代码执行攻击。

恶意软件攻击

随着 WordPress 的流行，出现了大量破坏用户与网站交互方式的恶意软件。WordPress 网站常见的恶意软件变体包括：

病毒 – 通过将恶意代码注入其他应用程序进行复制的软件。攻击者使用病毒来影响网站的核心功能或添加降低用户体验的垃圾邮件内容。
特洛伊木马 – 黑客使用特洛伊木马对 WordPress 网站执行各种恶意操作，包括破坏 wp-域名文件、FTP 文件和利用系统资源。
勒索软件 – 某些攻击，例如WannaCry 攻击，会导致 WordPress 网站无法访问，直到黑客获得移除恶意软件的报酬。这可能会产生灾难性的影响，包括收入损失、声誉受损以及合规当局的处罚。

用于破坏 WordPress 网站的其他恶意软件包括加密货币挖掘机器人、广告软件和间谍软件。

WordPress 站点需要考虑的主要安全问题

攻击者可以使用恶意 SQL 语句来破坏 WordPress 网站的数据库，从而策划 SQL 注入攻击。他们通过从网站接受和传输的数据以隐身模式注入 SQL 代码。这通常涉及使用输入字段来提供包含特殊字符的屏蔽查询。SQL 解释器在执行外部命令时使用这些字符。WordPress SQLi 攻击的常见入口点包括反馈字段、搜索栏、购物车和登录表单、注册或联系提交。

WordPress CMS 使用基于 SQL 的数据库，使 SQLi 攻击成为一种标准的利用模式。由于所有的论坛、博客、网站都有接受用户数据的输入接口；大多数 WordPress 站点至少有一个已知的 SQL 注入点。此外，许多可用的 SQLi 漏洞扫描工具在线，使攻击者很容易上手利用。在成功的 SQLi 攻击中，黑客获得了对数据库的完全控制，从而导致系统更深的渗透和敏感数据的暴露。

为企业寻找 WordPress 安全问题的重要性

作为一个开源平台，几乎任何人都可以为核心 WordPress 软件做出贡献。虽然这种开放性提供了灵活性，但它也引发了对平台整体结构安全性的担忧。在将漏洞投入生产之前识别并修复漏洞可帮助安全团队避免与从漏洞中恢复相关的费用。企业还避免了合规当局因泄露私人信息而收取的巨额罚款和罚款。

解决 WordPress 安全问题还有助于保护公司的声誉，因为众所周知，保护客户数据可以保持竞争优势。此外，随着每一项额外的安全措施到位，管理员可以在不影响业务关系的情况下操作网站。除了保护访问凭证外，解决 WordPress 漏洞主要需要管理强大的实践以防止所有平台层，包括核心 WordPress 功能、外部主题和插件以及底层基础设施。

为什么 WordPress 网站存在漏洞？

各种因素使 WordPress 网站容易受到攻击。这些包括：

使用过时的主题、插件或核心

使用过时的版本会增加成功利用的机会，因为版本更新包括对代码中已知漏洞的修复。WordPress 每三个月推出新版本，因此检查稳定版本更新列表以确保网站的组件是最新的非常重要。

常用密码和弱密码的使用

WordPress 管理员登录是最具针对性的威胁媒介之一，因为它授予了尽可能高的权限。一些 WordPress 用户使用常见的密码设置管理门户，这些密码很容易猜到，自然更容易受到攻击。在 admin 用户 ID 为admin 的情况下，很容易暴力登录系统，因为机器人进行的登录尝试较少。受感染的管理员帐户可以轻松策划网站上的数据泄露，并且是最常见的全面攻击的第一级渗透。

用于安全问题的 WordPress 插件

WordPress 安全插件可帮助管理员管理 WordPress 安全的复杂方面，并简化安全措施、合规性和审计。一些流行的 WordPress 安全插件包括：

iThemes 安全插件

iThemes是 WordPress 网站最受欢迎的安全插件之一，因为它提供了多级安全增强功能，以实现强大的威胁管理。iThemes 平台包括高级控制，例如多因素身份验证、无密码登录和自动管理强密码要求，以减少通过特权帐户进行黑客攻击的可能性。该平台还通过跟踪登录活动来帮助防止自动暴力登录，然后在出现可疑登录尝试时阻止登录屏幕。iThemes 插件还记录 WordPress 网站的重要安全事件，突出显示不需要的更改以指示违规。

Sucuri

Sucuri是一个基于云的网站安全平台，可帮助保护 WordPress 网站免受黑名单、恶意软件、DDoS 和常见攻击媒介的侵害。使用 Sucuri，所有网站流量都通过 Sucuri 云代理 Web 应用程序防火墙 (WAF) 路由，然后再转到 WordPress Web 服务器。防火墙阻止所有非法请求，只允许经过身份验证的用户进入。虽然 Sucuri 提供免费服务，但它还提供专业版，该版提供高级功能，例如：

所有网站更改的实时备份
一键恢复
事件和活动日志
所有用户输入界面的垃圾邮件保护
站点不可用的电子邮件警报

文字围栏

Wordfence是两种风格的开源 WordPress 安全插件；提供基本保护的基本版本和具有高级安全控制的企业版本。该平台有一个直观的仪表板，可以轻松地可视化和导航安全的不同方面。此外，Wordfence 提供全面的 WordPress 安全管理，包括以下功能：

WordPress 防火墙 – 一种用于检测和阻止恶意流量的 WAF
WordPress 安全扫描器 – 调查核心代码、主题和插件以识别任何安全问题
登录安全 – 启用不同的身份验证机制，同时通过泄露的密码阻止管理员登录
安全工具——实时流量监控、IP 和国家/地区封锁

检查 WordPress 漏洞的其他方法

WordPress 安全扫描器

WordPress 安全扫描器是帮助全面评估托管环境、Web 服务器、WordPress 插件和主题以分析任何妥协点的工具。虽然标准安全插件提供了创新机制来警告和阻止正在进行的攻击，但安全扫描器主要从主动的角度使用，通过识别系统级漏洞来防止未来的攻击。

WordPress 安全扫描器的一些标准功能包括：

使用脚本检测 WordPress 插件版本、用户和主题
利用主题和插件枚举来映射攻击面
指纹主题和插件版本以查明已知漏洞
枚举网站用户名

WordPress 安全问题常见问题解答

Woocommerce 安全问题

Woocommerce 是一个用于开发电子商务网站的 WordPress 插件。鉴于电子商务交易的敏感性，此类网站的安全问题不容忽视。虽然 Woocommerce 提供现成的安全性并且本身被认为是一个安全平台，但暴力登录和黑客攻击等外部威胁并不少见。任何 Woocommerce 商店都使用典型的登录屏幕，攻击者倾向于通过暴力登录访问该屏幕。尽管该平台得到了积极主动的开发社区的支持，该社区不断添加增强功能和安全补丁，但潜在的威胁形势需要一种有针对性的方法来保护 Woocommerce 站点的安全。保护 Woocommerce 网站的一些最佳做法包括：

选择安全的网络主机
利用 2FA 进行管理员登录
采用强大的防火墙机制
使用正确的安全插件
为强用户名和密码强制执行策略
定期审计和全栈扫描
定期备份

WordPress 网站被黑

由于其持续流行，WordPress CMS 仍然是攻击者的常见目标，超过 74%的网站攻击都是在 WordPress 上执行的。黑客利用堆栈的所有层和组件中的漏洞，包括核心平台、插件或主题。根据最近的一份报告，大约 75% 的 WordPress 攻击是通过第三方插件进行的，14% 是针对核心功能的，11% 的攻击是针对过时的主题进行的。