免费参与·100+跨境活动 
免费下载·4000+跨境资料 
免费学习·2000+直播课程 
免费加入·15万+卖家交流群 
2019-11-25 14:22
最近有网友咨询刘哥关于wordpress的问题,一个企业站很不稳定,经常无法加载页面。我的第一反应是有可能被DDOS攻击了,也有可能是被装了后门,被黑客装了挖矿程序,或者成了肉鸡都有可能。于是对他的站首先进行了一下安全扫描。
收集到的以下信息有:
版本:WordPress version 5.2.2 (Released on 2019-06-18)
路径:/robots.txt、/readme.html、/wp-login.php
主题:spacious - v1.6.3 , the latest version is 1.6.6
其它:SERVER: Apache/2.4.39 (Unix) OpenSSL/1.0.2k-fips PHP/7.3.7
发现如下漏洞
插件存在 XSS漏洞 ,通过收集到的网站信息,黑客可以检索 Apache、PHP 版本是否存在可利用的漏洞,后台的默认登陆路径为 /wp-login.php ,结合默认系统管理员用户名Admin,可以尝试构造字典进行爆破,爆出常见字母+数字组合的弱口令.
【刘哥提示:如果你没有专门的网络安全人员帮你维护wordpress站点,至少做到以下几点来提高你的网站安全性
1.修改默认登陆路径。
2.修改管理员密码采用字母+数字+特殊字符的组合。
3.及时更新wordpress到最新版本
4.关闭用不到的功能和服务
5.测试插件的安全性,以及及时更新插件的版本
6.当爆出新的漏洞后要及时修补,每当新的漏洞爆出,会有大批网站遭殃。】
之前看过一篇报道,说的是黑客利用了超过 162000 家 WordPress 网站,向目标网站进行了 DDoS 攻击,所有请求都是随机值(比如?4137049=643182?),因而绕过了缓存,迫使每回页面重新加载,于是目标服务器很快就挂了,并且宕机了好几个小时。这次攻击者是使用的 WordPress 的 XML-RPC 的 pingbacks 端口进行攻击的,XML-RPC 是 WordPress 用于第三方客户端(如 WordPress iPhone 和安卓客户客户端,Windows Writer 等)的 API 接口,XML-RPC 还可以用于 pingbacks 和 trackbacks 端口,这个都可以用于站点之间的通讯,但是被误用,就可能被攻击者用来进行 DDoS 攻击。
以上这段话,有很多专业名词,如果看不懂可以忽略,说简单点就是黑客控制了162000台安装了wordpress的电脑,远程发送指令,让他们同时访问被攻击的站点,造成大量的请求,目标网站接待不过来,就被搞死了。
有人说白宫的网站也是用wordpress搭建的啊,为啥他的安全,我的就不安全呢?
一个站点的安全性由几个方面构成:
使用的建站程序,
服务器的安全性[window or liunx],
Web服务器软件的安全性,
操作人员的安全意识,
任何一个环节,都有可能导致站点的安全爆出致命问题。如果你的竞争对手盯上你,你就要当心了,轻则页面被改,重则私密数据被下载,如果用来做电商站,黑客甚至可以偷换收款账号来达到他的目的。
理论上讲,市面上大部分的wordpress站都可以被拿下,只是时间问题,信息差在这里起了决定作用,当0day漏洞被发现,到你知道这个漏洞来修补这段时间,你的站点完全暴露在外。举个简单的例子,目前最新wordpress版本是5.2.4(2019.10.14),假设5.2.3之前的版本都存在一通用漏洞可以直接获得管理员权限访问后台,这个时候只需要在google里搜索Powered by WordPress,就可以找到大量的可被攻击的网站。
所以根据丛林法则,不被发现才能最大限度的保护自己,需要把页脚的这行字符Powered by WordPress删掉。说个真实案例,最近刘哥站群中的一个wordpress站也被搞过,应该就是被扫描后自动上传了攻击文件,之后通过chrome浏览器访问该站点,就会跳出一个红红的窗口,提示不安全,不要访问。后来搞了很久才解决掉,流量肯定是受了影响了,吃一堑长一智,及时更新,记住哦......
对于建站,我现在一直推荐用的是Saas系统的Shopify,最近帮客户建的站也是基于Shopify的。不为别的,就是因为省心和安全,因为漏洞就像一颗雷,随时有可能会引爆。至今为止还没听过Shopify爆出过什么严重的漏洞,而且Saas系统一般会自动在后端及时更新。写这篇文章,纯属有感而发,我知道仍然会有大量的人选择wordpress建站,特别是企业站。刘哥在这里给你提个醒,关注一下网络安全,降低风险!
另外最近Shopify站建的多了,很有兴趣想做一套适合企业站的Shopify模板,如果能做出来那真是解决大问题了。因为Shopify可以做到一次搭建,终身免费,无服务器费用,无人工维护费用,天然抗ddos攻击。
最后,如果你的身边有朋友在用wordpress建企业站,请把这篇文章转发给他。
(来源: 跨境电商悉尼刘哥)
以上内容属作者个人观点,不代表雨果网立场!本文经原作者授权转载,转载需经原作者授权同意。
