我們上一篇文章 您絕對需要知道的加強WordPress網站安全性11種方法 提供了11種方法去加強您的WordPress網站安全性,今次我們來談討比較常見的WordPress漏洞及應對方案!
1. SQL資料隱碼攻擊 (SQL injection)
通過將惡意代碼注入易受攻擊的SQL請求中來執行SQL資料隱碼攻擊。黑客透過在網站發送到數據庫的消息中添加特製的請求。
成功的攻擊將會修改數據庫的查詢,以便它將返回攻擊者所需的信息,而不是網站期望的信息。依情況將會返回管理員的帳戶及密碼給黑客。
SQL資料隱碼攻擊不僅是偷偷摸摸的,而且如果黑客設法將其註入您的站點也可能非常危險。通常,這些注入是通過您用於從站點訪問者收集信息的Web表單進行的。
如果您沒有對Web表單上的所有字段提交必要的約束,則黑客將能夠插入代碼,這些代碼反過來又使他們能夠入侵您的數據庫並竊取任何可用的機密信息。
為了保護您的網站免受這些攻擊,您要做的就是永久使用參數化查詢。您的網站將具有特定的參數,以防止黑客訪問您的數據並輸入其惡意代碼。
2. 跨網站指令碼 (Cross-site scripting)
跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。
XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使用戶載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript,但實際上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些操作)、私密網頁內容、對談和cookie等各種內容。
為防止XSS攻擊,請確保訪問者沒有特權(或機會)在您網站的任何位置插入JavaScript或腳本標籤。
3. 暴力破解
暴力破解是一種利用嘗試和錯誤嘗試進入網站,是最常見的黑客手段。黑客使用自動化軟件將大量請求發送到目標。對於每個請求,該軟件都會嘗試猜測獲得訪問權限所需的信息,例如密碼或PIN碼。這些工具將能夠使用不同的IP地址和位置來偽裝,從而使目標系統難以識別和阻止這些可疑活動。
如果並沒有任何會員系統的WordPress網站最理想的做法就是開啟 2FA (Two-factor Authentication) 功能。
但一產需要會員系統的網站怎麼辦,為免令用戶體驗降低可以參考:
每三個月至少更改一次密碼並且密碼使用隨機密碼產生器去隨機產生16位包含英文大小寫、數字及符號的密碼 (記得存放到安全的位置)
密碼產生器可以使用EBuildHost的 隨機密碼產生器
結論:
以上3款是比較常見的漏洞及修補方法,除了上面的當然還有其他的漏洞,雖然WordPress開發團隊不斷更新及修補漏洞,但總會有一些漏網之魚的來不及修補,所以使用者都需要注意網路安全。
如果你喜歡這篇文章,請記得分享給你的好友,或是用電子郵件訂閱本網站,有新教學文章發佈時,我們會在第一時間通知你,也別忘了到我們的粉絲專頁幫我們點個讚。