WordPress ban đầu được ra mắt như một nền tảng blog mà sau này trở thành giải pháp web hoàn chỉnh như ngày nay, cho các cửa hàng thương mại điện tử, blog, tin tức và các ứng dụng cấp doanh nghiệp. Sự phát triển này của WordPress mang lại nhiều thay đổi cho cốt lõi của nó và làm cho nó ổn định và an toàn hơn so với các phiên bản trước đó..


Bởi vì WordPress là một nền tảng nguồn mở, có nghĩa là bất kỳ ai cũng có thể đóng góp cho các chức năng cốt lõi của nó. Tính linh hoạt này đã mang lại lợi ích cho cả các nhà phát triển đã phát triển các chủ đề và plugin và người dùng cuối sử dụng chúng để thêm chức năng vào các trang web WordPress của họ.

Các lỗ hổng WordPress phổ biến nhất (Và cách khắc phục chúng)

Tuy nhiên, sự cởi mở này đặt ra một số câu hỏi nghiêm trọng liên quan đến bảo mật của nền tảng không thể bỏ qua. Đây không phải là một lỗ hổng trong chính hệ thống mà là cấu trúc mà nó xây dựng và xem xét tầm quan trọng của nó, nhóm bảo mật WordPress làm việc cả ngày lẫn đêm để giữ an toàn cho nền tảng cho người dùng cuối của nó.

Phải nói rằng với tư cách là người dùng cuối, chúng tôi không thể đơn giản dựa vào cơ chế bảo mật mặc định của mình vì chúng tôi thực hiện nhiều thay đổi bằng cách cài đặt nhiều plugin và chủ đề khác nhau cho trang web WordPress của chúng tôi có thể tạo ra lỗ hổng để bị tin tặc khai thác.

Trong bài viết này, chúng tôi sẽ khám phá khác nhau Lỗ hổng bảo mật WordPress và sẽ học cách tránh và sửa chúng để giữ an toàn!

Lỗ hổng WordPress & Vân đê bảo mật

Chúng ta sẽ thấy từng vấn đề và giải pháp của nó từng cái một.

  1. Tấn công vũ phu
  2. Tiêm SQL
  3. Phần mềm độc hại
  4. Cross-Site Scripting
  5. Tấn công DDoS
  6. Các phiên bản WordPress và PHP cũ

1. Tấn công vũ phu

Trong nhiệm kỳ của Layman, Tấn công vũ phu liên quan đến nhiều cách tiếp cận thử và lỗi bằng cách sử dụng hàng trăm kết hợp để đoán đúng tên người dùng hoặc mật khẩu. Điều này được thực hiện bằng cách sử dụng các thuật toán và từ điển mạnh mẽ để đoán mật khẩu bằng cách sử dụng một số loại ngữ cảnh.

Kiểu tấn công này rất khó thực hiện nhưng nó vẫn là một trong những cuộc tấn công phổ biến được thực hiện trên các trang web WordPress. Theo mặc định, WordPress không chặn người dùng thử nhiều lần thử thất bại, điều đó cho phép con người hoặc bot thử hàng ngàn kết hợp mỗi giây.

Cách phòng ngừa và khắc phục các cuộc tấn công của Brute Force

Tránh Brute Force khá đơn giản. Tất cả những gì bạn phải làm là tạo một mật khẩu mạnh bao gồm chữ in hoa, chữ thường, số và ký tự đặc biệt vì mỗi ký tự có các giá trị ASCII khác nhau và rất khó đoán mật khẩu dài và phức tạp. Tránh sử dụng mật khẩu như johnny123 hoặc whatsmypassword.

Ngoài ra, tích hợp Xác thực hai yếu tố để xác thực người dùng đăng nhập vào trang web của bạn hai lần. Xác thực hai yếu tố là một plugin tuyệt vời để sử dụng.

2. SQL tiêm

Một trong những vụ hack lâu đời nhất trong cuốn sách hack web là tiêm truy vấn SQL để thực hiện hoặc phá hủy hoàn toàn cơ sở dữ liệu bằng bất kỳ biểu mẫu web hoặc trường nhập liệu nào.

Khi xâm nhập thành công, một hacker có thể thao túng cơ sở dữ liệu MySQL và hoàn toàn có thể có quyền truy cập vào quản trị viên WordPress của bạn hoặc chỉ cần thay đổi thông tin đăng nhập của nó để gây thiệt hại thêm. Cuộc tấn công này thường được thực hiện bởi các tin tặc nghiệp dư đến tầm thường, những người chủ yếu kiểm tra khả năng hack của họ.

Cách phòng ngừa và sửa lỗi SQL Injection

Bằng cách sử dụng plugin, bạn có thể xác định xem trang web của mình có phải là nạn nhân của SQL Injection hay không. Bạn có thể sử dụng WPScan hoặc Sucuri SiteCheck để kiểm tra xem.

Ngoài ra, hãy cập nhật WordPress của bạn cũng như bất kỳ chủ đề hoặc plugin nào mà bạn nghĩ có thể gây ra sự cố. Kiểm tra tài liệu của họ và truy cập diễn đàn hỗ trợ của họ để báo cáo các vấn đề như vậy để họ có thể phát triển một bản vá.

3. Phần mềm độc hại

Mã độc được đưa vào WordPress thông qua một chủ đề bị nhiễm, plugin hoặc tập lệnh lỗi thời. Mã này có thể trích xuất dữ liệu từ trang web của bạn cũng như chèn nội dung độc hại có thể không được chú ý do tính chất kín đáo của nó.

Phần mềm độc hại có thể gây ra thiệt hại từ nhẹ đến nghiêm trọng nếu không được xử lý đúng hạn. Đôi khi toàn bộ trang web WordPress cần được cài đặt lại vì nó đã ảnh hưởng đến cốt lõi. Điều này cũng có thể thêm chi phí vào chi phí lưu trữ của bạn vì một lượng lớn dữ liệu được chuyển hoặc đang được lưu trữ bằng trang web của bạn.

Cách phòng ngừa và khắc phục Phần mềm độc hại

Thông thường, phần mềm độc hại thực hiện theo cách thông qua các plugin bị nhiễm và các chủ đề null. Bạn chỉ nên tải xuống các chủ đề từ các tài nguyên đáng tin cậy không có nội dung độc hại.

Các plugin bảo mật như Succuri hoặc WordFence có thể được sử dụng để chạy quét toàn bộ và sửa phần mềm độc hại. Trong trường hợp xấu nhất, hãy tham khảo ý kiến ​​chuyên gia WordPress.

4. Kịch bản chéo trang web

Một trong những cuộc tấn công phổ biến nhất là Cross-Site Scripting còn được gọi là tấn công XSS. Trong kiểu tấn công này, kẻ tấn công tải mã JavaScript độc hại, khi được tải ở phía máy khách bắt đầu thu thập dữ liệu và có thể chuyển hướng đến các trang web độc hại khác ảnh hưởng đến trải nghiệm người dùng.

Cách phòng ngừa và sửa lỗi Script Cross-Site

Để tránh kiểu tấn công này sử dụng xác thực dữ liệu phù hợp trên trang web WordPress. Sử dụng khử trùng đầu ra để đảm bảo đúng loại dữ liệu được chèn. Các plugin như Ngăn chặn lỗ hổng XSS cũng có thể được sử dụng.

5. Tấn công DDoS

Bất kỳ ai đã duyệt mạng hoặc quản lý một trang web đều có thể gặp phải cuộc tấn công DDoS khét tiếng. Từ chối dịch vụ phân tán (DDoS) là phiên bản nâng cao của Từ chối dịch vụ (DoS) trong đó một khối lượng lớn yêu cầu được gửi đến một máy chủ web khiến nó chậm và cuối cùng gặp sự cố.

DDoS được thực thi bằng cách sử dụng một nguồn trong khi DDoS là một cuộc tấn công có tổ chức được thực hiện thông qua nhiều máy trên toàn cầu. Mỗi năm, hàng triệu đô la bị lãng phí do cuộc tấn công bảo mật web khét tiếng này.

Cách ngăn chặn và khắc phục các cuộc tấn công DDoS

Các cuộc tấn công DDoS rất khó để ngăn chặn bằng cách sử dụng các kỹ thuật thông thường. Máy chủ web đóng một phần quan trọng trong việc bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công như vậy. Ví dụ: nhà cung cấp dịch vụ lưu trữ đám mây được quản lý trên nền tảng đám mây quản lý bảo mật máy chủ và gắn cờ mọi thứ đáng ngờ trước khi nó có thể gây ra bất kỳ thiệt hại nào cho trang web của khách hàng.

WordPress lỗi thời & Phiên bản PHP

Các phiên bản WordPress lỗi thời dễ bị ảnh hưởng bởi một mối đe dọa an ninh. Theo thời gian, tin tặc tìm cách khai thác cốt lõi của nó và cuối cùng thực hiện cuộc tấn công vào các trang web vẫn sử dụng các phiên bản lỗi thời.

Vì lý do tương tự, nhóm WordPress phát hành các bản vá và các phiên bản mới hơn với các cơ chế bảo mật được cập nhật. Đang chạy phiên bản cũ hơn của PHP có thể gây ra vấn đề không tương thích. Khi WordPress chạy trên PHP, nó yêu cầu một phiên bản cập nhật để hoạt động đúng.

Theo thống kê chính thức của WordPress, 42,6% người dùng vẫn đang sử dụng các phiên bản cũ hơn của WordPress.

thống kê phiên bản wordpress

Trong khi đó chỉ có 2,3% trang web WordPress đang chạy trên phiên bản PHP mới nhất 7.2.

Số liệu thống kê phiên bản php

Cách ngăn chặn và sửa lỗi WordPress lỗi thời & Phiên bản PHP

Đây là một trong những dễ dàng. Bạn phải luôn cập nhật cài đặt WordPress của mình lên phiên bản mới nhất. Đảm bảo bạn luôn sử dụng phiên bản mới nhất (nhớ luôn luôn sao lưu trước khi nâng cấp). Đối với việc nâng cấp PHP, một khi bạn đã kiểm tra trang web WordPress của mình về tính tương thích, bạn có thể thay đổi phiên bản PHP.

Suy nghĩ cuối cùng!

Chúng tôi đã làm quen với các lỗ hổng WordPress khác nhau và các giải pháp khả thi của chúng. Điều đáng chú ý là bản cập nhật đóng vai trò thiết yếu trong việc giữ nguyên bảo mật của WordPress. Và khi bạn nhận thấy bất kỳ hoạt động bất thường nào, hãy tập trung và bắt đầu đào cho đến khi bạn tìm thấy vấn đề vì những rủi ro bảo mật này có thể gây ra thiệt hại trong hàng ngàn $$.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me