網(wǎng)絡安全是一個永恒的熱門話題，今天比以往任何時候都更是如此。作為 WordPress 網(wǎng)站所有者，加強安全性并盡最大努力保護您的網(wǎng)站免受現(xiàn)在或?qū)砣魏涡问降?a href="http://m.qzkangyuan.com/tag/%e6%94%bb%e5%87%bb" target="_blank">攻擊非常重要。

WordPress本質(zhì)上是一個高度安全的平臺。安全團隊由多位專家組成，他們在每次更新時努力處理安全問題。但是，沒有網(wǎng)站是完全安全的，這意味著您仍然容易遇到漏洞。在本文中，我們將考慮五種最常見的 WordPress 安全威脅以及如何使用最佳實踐來防止它們。我們走吧！

我們?nèi)绾芜x擇最常見的 WordPress 攻擊

出于本文的目的，我們的建議將基于開放 Web 應用程序安全項目 (OWASP)排名。自 2001 年以來，OWASP 一直是促進在線安全性和可信度的重要組成部分。他們是一個非盈利基金會，致力于提高互聯(lián)網(wǎng)上的軟件完整性。

該項目設定了全面數(shù)據(jù)收集的明確目標，并通過利用 OWASP Azure云基礎設施收集、分析和存儲貢獻的數(shù)據(jù)來實現(xiàn)這一目標。從本質(zhì)上講，志愿者可以通過電子郵件發(fā)送 CSV/Excel 文件或?qū)⑵渖蟼鞯截暙I文件夾來簡單地貢獻數(shù)據(jù)。

OWASP 使用此數(shù)據(jù)收集和分析系統(tǒng)編制了一份網(wǎng)站經(jīng)常遇到的十大安全風險列表。該項目在全球擁有約 275 個地方分會，在幫助組織開發(fā)和維護可信賴的軟件應用程序方面享有盛譽。

5 種最常見的 WordPress 攻擊（以及如何預防）

如果您的 WordPress 站點的安全性是重中之重，此列表將幫助您了解需要注意的攻擊以及如何預防它們。讓我們開始！

1. 注塑缺陷

您可能在 WordPress 網(wǎng)站上遇到的最突出的漏洞是代碼注入漏洞。當您的站點允許用戶通過易受攻擊的入口點（例如聯(lián)系人或登錄表單）輸入數(shù)據(jù)時，您通常會遇到注入。

當輸入的數(shù)據(jù)未經(jīng)“驗證”時，您可能容易受到這種攻擊。SQL 注入是最常見的，但其他類型（例如 NoSQL、操作系統(tǒng)和 LDAP 注入）也可能是一個問題。

注入缺陷通常會導致訪問被拒絕、數(shù)據(jù)丟失和損壞、向未授權方泄露信息，甚至導致主機完全接管。防止注入的最佳方法是將命令與站點上的查詢分開。WordPress 開發(fā)人員可以使用某些 SQL 控件（例如LIMIT）來防止這種情況發(fā)生。網(wǎng)站所有者還可以利用安全插件（例如Malcare）來保護他們的網(wǎng)站。

2. 破損的認證

當身份和會話控制的實施存在漏洞時，就會發(fā)生身份驗證失效。站點身份驗證控制的強度高度依賴于會話管理。如果未正確實施，黑客可能會破壞您的密鑰、密碼和會話令牌。在大多數(shù)情況下，您最終可能會遭受身份盜用、社會保障欺詐和高度敏感信息的泄露。

如果您想將身份驗證失敗的風險降至最低，您應該在您的網(wǎng)站上實施多重身份驗證。更重要的是，在創(chuàng)建新的 WordPress 站點時，尋找替換您提供的默認憑據(jù)。弱密碼檢查也不應成為一種選擇，尤其是對于管理員用戶。

3. 跨站腳本（XSS）攻擊

與注入攻擊非常相似，XSS 攻擊發(fā)生在站點的入口點——例如用戶輸入字段。當自動化應用程序在您的站點上檢測到任何形式的 XSS 時，就會發(fā)生這些攻擊。可以利用它通過用戶輸入的數(shù)據(jù)將不受信任的數(shù)據(jù)潛入缺乏適當驗證的新頁面或現(xiàn)有頁面。

跨站點腳本讓攻擊者可以在受害者的瀏覽器中遠程執(zhí)行代碼。這樣，他們就可以竊取他們的憑據(jù)或提供惡意軟件。您可以使用兩種策略來防止 XSS 攻擊。

第一個策略是確保從一個頁面生成的網(wǎng)絡請求不會訪問另一個頁面上的數(shù)據(jù)。同樣，您的網(wǎng)站必須能夠區(qū)分常規(guī)輸入和惡意代碼。React JS 等框架通過設計逃避了這種攻擊。通常，防止 XSS 攻擊始于良好的開發(fā)實踐。對于網(wǎng)站所有者來說，選擇一個強大、安全的主題至關重要。

4. 敏感數(shù)據(jù)暴露

敏感數(shù)據(jù)泄露可視為數(shù)據(jù)泄露。當敏感數(shù)據(jù)在您的站點上傳輸或存儲時，您必須采取適當?shù)拇胧┮源_保黑客無法對其進行干預。否則，如果暴露，攻擊者可以竊取密碼、信用卡詳細信息、會話令牌等等。

除了將您自己的敏感數(shù)據(jù)置于危險之中之外，您的網(wǎng)站訪問者也可能成為受害者。這就是為什么您必須盡最大努力確保您網(wǎng)站上的數(shù)據(jù)安全。

為了避免此類攻擊，切勿以純文本形式存儲數(shù)據(jù)或接受通過非 HTTPS 連接發(fā)送的數(shù)據(jù)，這一點很重要。對于站點所有者，合適的 SSL 證書可以幫助您加密跨網(wǎng)絡的最敏感數(shù)據(jù)。

5. XML 外部實體 (XXE)

這種類型的攻擊是由于舊的或管理不善的可擴展標記語言 (XML) 處理器引起的。這些評估對 XML 文檔中的外部實體的引用。在此過程中，攻擊者可以利用配置不正確的 XML 解析器直接或通過 XML 上傳接受 XML。換句話說，他們現(xiàn)在可以訪問任何引用外部實體的 XML 輸入。

XXE 可用于執(zhí)行拒絕服務 (DOS) 攻擊、提取您的數(shù)據(jù)，甚至還可以從您的服務器執(zhí)行遠程請求。開發(fā)人員的專業(yè)知識在識別和處理 XML 外部實體方面大有幫助。

作為最終用戶，為了防止這種攻擊，您需要使您的核心 WordPress 安裝保持最新。XXE 問題通常在基礎代碼級別，并在核心軟件的版本更新期間進行修補。

結論

雖然核心 WordPress 軟件不斷更新以減輕主要安全威脅，但插件和主題可能是用戶關注的主要來源 - 特別是如果它們編碼不當。從本質(zhì)上講，您對站點安全的關注越多，處理這些問題的可能性就越小。