最近有网友咨询刘哥关于wordpress的问题 , 一个企业站很不稳定 , 经常无法加载页面 。我的第一反应是有可能被DDOS攻击了 , 也有可能是被装了后门 , 被黑客装了挖矿程序 , 或者成了肉鸡都有可能 。于是对他的站首先进行了一下安全扫描 。
收集到的以下信息有:
版本:WordPress version 5.2.2 (Released on 2019-06-18)
路径:/robots.txt、/readme.html、/wp-login.php
主题:spacious – v1.6.3 , the latest version is 1.6.6
其它:SERVER: Apache/2.4.39 (Unix) OpenSSL/1.0.2k-fips PHP/7.3.7
发现如下漏洞
插件存在 XSS漏洞 , 通过收集到的网站信息 , 黑客可以检索 Apache、PHP 版本是否存在可利用的漏洞 , 后台的默认登陆路径为 /wp-login.php ,结合默认系统管理员用户名Admin,可以尝试构造字典进行爆破,爆出常见字母+数字组合的弱口令.
【刘哥提示:如果你没有专门的网络安全人员帮你维护wordpress站点 , 至少做到以下几点来提高你的网站安全性
1.修改默认登陆路径 。
2.修改管理员密码采用字母+数字+特殊字符的组合 。
3.及时更新wordpress到最新版本
4.关闭用不到的功能和服务
5.测试插件的安全性 , 以及及时更新插件的版本
6.当爆出新的漏洞后要及时修补 , 每当新的漏洞爆出 , 会有大批网站遭殃 。】
之前看过一篇报道 , 说的是黑客利用了超过 162000 家 WordPress 网站 , 向目标网站进行了 DDoS 攻击 , 所有请求都是随机值(比如?4137049=643182?) , 因而绕过了缓存 , 迫使每回页面重新加载 , 于是目标服务器很快就挂了 , 并且宕机了好几个小时 。这次攻击者是使用的 WordPress 的 XML-RPC 的 pingbacks 端口进行攻击的 , XML-RPC 是 WordPress 用于第三方客户端(如 WordPress iPhone 和安卓客户客户端 , Windows Writer 等)的 API 接口 , XML-RPC 还可以用于 pingbacks 和 trackbacks 端口 , 这个都可以用于站点之间的通讯 , 但是被误用 , 就可能被攻击者用来进行 DDoS 攻击 。
以上这段话 , 有很多专业名词 , 如果看不懂可以忽略 , 说简单点就是黑客控制了162000台安装了wordpress的电脑 , 远程发送指令 , 让他们同时访问被攻击的站点 , 造成大量的请求 , 目标网站接待不过来 , 就被搞死了 。
有人说白宫的网站也是用wordpress搭建的啊 , 为啥他的安全 , 我的就不安全呢?
一个站点的安全性由几个方面构成:
使用的建站程序 ,
服务器的安全性[window or liunx],
Web服务器软件的安全性 ,
操作人员的安全意识 ,
任何一个环节 , 都有可能导致站点的安全爆出致命问题 。如果你的竞争对手盯上你 , 你就要当心了 , 轻则页面被改 , 重则私密数据被下载 , 如果用来做电商站 , 黑客甚至可以偷换收款账号来达到他的目的 。
理论上讲 , 市面上大部分的wordpress站都可以被拿下 , 只是时间问题 , 信息差在这里起了决定作用 , 当0day漏洞被发现 , 到你知道这个漏洞来修补这段时间 , 你的站点完全暴露在外 。举个简单的例子 , 目前最新wordpress版本是5.2.4(2019.10.14),假设5.2.3之前的版本都存在一通用漏洞可以直接获得管理员权限访问后台 , 这个时候只需要在google里搜索Powered by WordPress,就可以找到大量的可被攻击的网站 。
所以根据丛林法则 , 不被发现才能最大限度的保护自己 , 需要把页脚的这行字符Powered by WordPress删掉 。说个真实案例 , 最近刘哥站群中的一个wordpress站也被搞过 , 应该就是被扫描后自动上传了攻击文件 , 之后通过chrome浏览器访问该站点 , 就会跳出一个红红的窗口 , 提示不安全 , 不要访问 。后来搞了很久才解决掉 , 流量肯定是受了影响了 , 吃一堑长一智 , 及时更新 , 记住哦……
对于建站 , 我现在一直推荐用的是Saas系统的Shopify , 最近帮客户建的站也是基于Shopify的 。不为别的 , 就是因为省心和安全 , 因为漏洞就像一颗雷 , 随时有可能会引爆 。至今为止还没听过Shopify爆出过什么严重的漏洞 , 而且Saas系统一般会自动在后端及时更新 。写这篇文章 , 纯属有感而发 , 我知道仍然会有大量的人选择wordpress建站 , 特别是企业站 。刘哥在这里给你提个醒 , 关注一下网络安全 , 降低风险!
另外最近Shopify站建的多了 , 很有兴趣想做一套适合企业站的Shopify模板,如果能做出来那真是解决大问题了 。因为Shopify可以做到一次搭建 , 终身免费 , 无服务器费用 , 无人工维护费用 , 天然抗ddos攻击 。
最后 , 如果你的身边有朋友在用wordpress建企业站 , 请把这篇文章转发给他 。
【震惊!一键即可破解独立站后台密码,外贸电商做好以下6点防止被黑】 (来源:跨境电商悉尼刘哥)
以上内容属作者个人观点 , 不代表搜淘网立场!本文经原作者授权转载 , 转载需经原作者授权同意 。
-- 展开阅读全文 --
推荐阅读
- 腊肠微波炉加热多久
- 厦门自贸委经济发展局局长林珍雅:雨果网将成为厦门自贸区品牌出海计划重要的一部分
- 早上好问候语 早上好问候语有哪些
- Daraz推出即时沟通工具Instant Messaging,可大幅提升沟通效率
- 代表男性的符号是什么
- 晚安温馨句子给女朋友 给女友晚安的暖心短句
- 天啊!这么多海外品牌官网都开启了“海淘”模式!
- 大闸蟹绑着绳子放水里会死吗
- 【亚马逊新手开店】卖家最关心的亚马逊秒杀常见问题解答