作为世界上最受欢迎的网络发布平台和内容管理系统,WordPress拥有许多网页设计师,开发人员和管理员喜爱的功能,但是这种广泛流行带来了一些重大的安全问题。
涉及WordPress的安全问题类似于困扰Microsoft Windows的问题。
在Windows中,我们拥有一个由世界上一些最好的工程师开发的非常流行的操作系统,然而,它似乎每天都在其中发现一个新的安全漏洞。
对此有一个很好的解释,它与操作系统的巨大市场份额直接相关。黑客们知道全世界有数百万台计算机在Windows上运行,这使它成为一个非常大的目标。在任何特定时刻,无数的网络犯罪团体都在积极研究针对Windows的新安全漏洞,对WordPress也是如此。
WordPress是26.4%的互联网发布平台。每六个月,就会注册一百多万个新的WordPress域名。在CMS市场份额方面,WP享有近60%的市场份额,远远高于其竞争对手 !.
最近的WordPress安全失败
历史告诉我们,像WordPress这样具有很高使用率和市场份额的系统为黑客提供了一个有吸引力的目标。最新消息也有助于证明这一点:
在其2018年的网络入侵报告中,信息安全公司CrowdStrike描述了一台受损的笔记本电脑如何打倒一个着名服装品牌的整个网络。该漏洞利用了一个特定编码影响WP站点的漏洞。
2018年11月,反病毒开发人员Sophos报告说,为遵守欧盟通用保护数据规则(GDPR)而开发的WP插件是通过admin-ajax.php攻击进行攻击的。通过这种攻击,黑客不仅可以注入恶意软件,还可以创建WP管理员帐户,以获得对后端的完全控制。
已知的WordPress漏洞
在2019年,WP管理员和开发人员应该记住,安全风险将继续提升。将定期发现新的漏洞,因此管理员必须通过解决已知问题来保护其站点安全。
本节的其余部分介绍了一些需要注意的已知漏洞。
WP SEO Spy Plugin
插件组件负责WP黑客使用的最常见漏洞,一些最古老的插件是最严重的攻击者。SEO Spy插件值得一提,因为它包含一个自2009年以来一直被弃用的Flash库。由于其固有的安全问题,Flash已经不再使用了。遵循这一趋势,SEO Spy插件的制造商放弃了它并停止提供更新。确保您的网站上没有安装这个久已遗忘但危险的插件。
GandCrab Ransomware
在过去的两年里,勒索软件攻击成为令人震惊的新闻头条,这种网络犯罪趋势必将在2019年继续发展.GandCrab勒索软件最早于2018年7月被发现,并被发现感染了不少WordPress网站。
安全研究人员已将许多GandCrab攻击追踪到俄罗斯网络犯罪组织。犯罪分子的策略涉及在收到赎金付款后发出无效密钥作为撤销文件加密的方式。针对勒索软件攻击的最佳保护是拥有可靠的数据备份策略。
PHP对象注入
此身份验证和序列化攻击与一些漏洞有关,其中一个漏洞涉及Google Forms插件,另一个漏洞是恶意PHP代码的注入。
值得庆幸的是,这些问题在Black Hat USA 2018会议上得到了广泛讨论。当WordPress版本5.0.1于当年晚些时候发布时,它们得到了及时的解决。在2019年,针对WP的PHP对象注入攻击的最佳防御是更新到5.0.1版。
PHPMailer远程执行代码
通过仅使用最新版本的CMS并确保所有插件组件都是最新的,可以避免影响WordPress的相当多的安全风险。PHPMailer的弱点可以追溯到2016年,并且因为它影响了数千个网站而臭名昭着。
安全漏洞已得到修复,但是,现在,有类似的WP插件可以获得比PHPMailer更好的评论,所以你也可以避免这个有问题的插件。
黑客WP登录凭据
这个弱点不能归咎于WordPress。这是管理员和内容创建者之间安全性差的结果。如前所述,黑客一直在寻找打入WP网站的方法,他们通过监控公共甚至私有的Wi-Fi网络来实现这一目标。
通过个人计算机或公司网络管理站点后端CMS的网站管理员应在远程管理会话期间通过虚拟专用网络(VPN)加密流量。未使用基本加密会使您的连接暴露于基本的网络攻击,这意味着黑客可以访问您的CMS。
Pike Firewall
这是另一个插件,如果配置不正确可能会有问题。Pike Firewall没有任何根本性的错误; 当用户无意中修改其设置以允许匿名流量访问管理面板时,会出现问题。
绝不应将WP防火墙视为传统服务器防火墙的替代品。它们可用作流量阻塞插件,但需要仔细配置才能获得所需的结果。
使用恶意代码注入的内部攻击
虽然此漏洞与WordPress核心没有直接关系,但系统开发人员已采取措施在5.0.1版本中解决此问题。即使使用新增加的安全措施,管理员防止内部恶意代码注入的最佳方式是与同事,合作伙伴和内容创建者建立良好的关系。
了解谁有权访问您的系统,以及他们有权访问您的系统。例如,一个精通PHP的CMS用户,其凭据允许他们执行与删除图像缩略图一样少的操作,但仍然可以注入恶意代码,并且您永远不会知道是谁做的。
底线
虽然看起来WordPress的安全漏洞比其公平的安全漏洞更多,但它是内容管理中最大的参与者,而且,与Windows一样,黑客倾向于定位拥有最多用户的系统。
最重要的是,没有理由担心WordPress中的安全漏洞。系统代码中的安全漏洞可以快速找到并在发现时修补。如果网站所有者在发布时立即应用这些修补程序,他们可以期望享受安全的WordPress体验。
相关内容:14个用于web漏洞扫描的开源工具