最近有网友咨询刘哥关于wordpress的问题,一个企业站很不稳定,经常无法加载页面。我的第一反应是有可能被DDOS攻击了,也有可能是被装了后门,被黑客装了挖矿程序,或者成了肉鸡都有可能。于是对他的站首先进行了一下安全扫描。收集到的以下信息有:版本:WordPressversion5.2.2(Releasedon-06-18)路径:/robots.txt、/readme.html、/wp-login.php主题:spacious-v1.6.3,thelatestversionis1.6.6其它:SERVER:Apache/2.4.39(Unix)OpenSSL/1.0.2k-fipsPHP/7.3.7发现如下漏洞插件存在XSS漏洞,通过收集到的网站信息,黑客可以检索Apache、PHP版本是否存在可利用的漏洞,后台的默认登陆路径为/wp-login.php,结合默认系统管理员用户名Admin,可以尝试构造字典进行爆破,爆出常见字母+数字组合的弱口令.之前看过一篇报道,说的是黑客利用了超过家WordPress网站,向目标网站进行了DDoS攻击,所有请求都是随机值(比如?=?),因而绕过了缓存,迫使每回页面重新加载,于是目标服务器很快就挂了,并且宕机了好几个小时。这次攻击者是使用的WordPress的XML-RPC的pingbacks端口进行攻击的,XML-RPC是WordPress用于第三方客户端(如WordPressiPhone和安卓客户客户端,WindowsWriter等)的API接口,XML-RPC还可以用于pingbacks和trackbacks端口,这个都可以用于站点之间的通讯,但是被误用,就可能被攻击者用来进行DDoS攻击。以上这段话,有很多专业名词,如果看不懂可以忽略,说简单点就是黑客控制了台安装了wordpress的电脑,远程发送指令,让他们同时访问被攻击的站点,造成大量的请求,目标网站接待不过来,就被搞死了。有人说白宫的网站也是用wordpress搭建的啊,为啥他的安全,我的就不安全呢?一个站点的安全性由几个方面构成:使用的建站程序,服务器的安全性[windoworliunx],Web服务器软件的安全性,操作人员的安全意识,任何一个环节,都有可能导致站点的安全爆出致命问题。如果你的竞争对手盯上你,你就要当心了,轻则页面被改,重则私密数据被下载,如果用来做电商站,黑客甚至可以偷换收款账号来达到他的目的。理论上讲,市面上大部分的wordpress站都可以被拿下,只是时间问题,信息差在这里起了决定作用,当0day漏洞被发现,到你知道这个漏洞来修补这段时间,你的站点完全暴露在外。举个简单的例子,目前最新wordpress版本是5.2.4(.10.14),假设5.2.3之前的版本都存在一通用漏洞可以直接获得管理员权限访问后台,这个时候只需要在google里搜索PoweredbyWordPress,就可以找到大量的可被攻击的网站。所以根据丛林法则,不被发现才能最大限度的保护自己,需要把页脚的这行字符PoweredbyWordPress删掉。说个真实案例,最近刘哥站群中的一个wordpress站也被搞过,应该就是被扫描后自动上传了攻击文件,之后通过chrome浏览器访问该站点,就会跳出一个红红的窗口,提示不安全,不要访问。后来搞了很久才解决掉,流量肯定是受了影响了,吃一堑长一智,及时更新,记住哦......对于建站,我现在一直推荐用的是Saas系统的Shopify,最近帮客户建的站也是基于Shopify的。不为别的,就是因为省心和安全,因为漏洞就像一颗雷,随时有可能会引爆。至今为止还没听过Shopify爆出过什么严重的漏洞,而且Saas系统一般会自动在后端及时更新。写这篇文章,纯属有感而发,我知道仍然会有大量的人选择wordpress建站,特别是企业站。刘哥在这里给你提个醒,
转载请注明:http://blog.hzbdfjk.com/sszl/6306.html
联系电话: