如何防止 WordPress 文件上传漏洞
即使是您的 WordPress 网站上最小的漏洞也可以很容易地被黑客利用并用来劫持您的整个网站。 这可能会通过窃取数据、发送垃圾邮件甚至破坏页面的行为造成严重损害。 更不用说如果确定您的网站受到严重损害,您的网站可能会被 Google 列入黑名单。
这就是为什么让您的网站远离黑客并防止任何文件上传漏洞应该是您的首要任务。 采取措施,例如检查您的网站是否受到威胁,以提高您网站的整体安全性。
在本文中,我们将深入探讨一些有关如何防止 WordPress 网站安全性上的文件上传漏洞的重要提示。
什么是文件上传漏洞?
文件上传漏洞作为一个整体是 WordPress 网站目前面临的最常见的安全风险之一。
上传漏洞的主要形式是本地和远程。 本地漏洞 是指应用程序存在安全漏洞,允许恶意用户上传和执行恶意文件。 同时, 远程漏洞 当应用程序的用户输入用于从 Internet 获取远程文件,然后将该文件存储在本地时。
本地文件上传漏洞的一个例子是最近的 Contact Form 7 Vulnerability,它是 2020年底发现. Contact 7 是一个非常流行的 WordPress 插件,它使用户能够将多个不同的联系表单添加到一个站点或博客中。
但是,发现了一个本地文件上传漏洞,假设插件启用了文件上传,黑客可以在 5.3.1 和任何旧版本的 Form 7 中上传恶意文件。 幸运的是,任何运行最新版本的 WordPress 站点(到目前为止)都受到了 From 7 漏洞的保护)。
远程文件上传漏洞的一个例子是 TimThumb 漏洞,这是 2011 年到 2014 年的一个主要问题。 TimThumb 是一个 PHP 脚本,通常用于调整 WordPress 网站上的图像大小。 该漏洞允许网络犯罪分子使用该插件将 PHP 文件上传到网站或博客,然后允许他们在网站上创建缩略图。 每次请求缩略图文件时,都可以执行恶意 PHP 代码。
本地和远程文件上传漏洞都是对您网站的主要威胁,因为它们可以让黑客上传恶意软件、接管您的博客或网站、上传垃圾邮件或彻底破坏您的网站。 此类攻击不仅会破坏您的商业声誉,还会造成巨大的经济损失。 当您考虑到针对中小型企业的网络攻击的平均成本是 超过 235 万美元,采取行动来防止网络安全威胁(例如远程或本地文件上传漏洞)并不需要太多说服力。
考虑到这一点,您可以采取以下三项措施来防止文件上传漏洞,从而更有效地保护您的网站。
1. 始终运行最新版本的 WordPress
网站所有者遇到黑客或一般网络攻击问题的最大原因之一是因为他们运行的是旧版本的 WordPress。 通过尽可能将您的 WordPress 更新到最新版本,您可以让黑客更难渗透您的网站。
让您的 WordPress 网站保持最新是改善网站各个方面(例如速度)的一般经验法则。 例如,额外一秒的加载时间会导致转化率下降 7%,页面浏览量下降 11%,客户满意度下降 16%。
事实上,不将您的 WordPress 网站更新到最新版本只会损害您成功和防止网络攻击的机会。
每次发布新的 WordPress 更新时,都会修补漏洞并提高整体安全性。 但是,运行旧版本的 WordPress 意味着您正在运行黑客已经习惯的版本。
网络攻击之所以能够发生,是因为那些对它们负责的人会花时间探查网站的弱点。 不幸的是,并非所有这些弱点都是由于您在站点上安装的插件造成的。 其中一些弱点是 完全不受你控制,这就是 WordPress 不断推出新版本的原因。 这些版本解决了您无法控制的弱点并对其进行了修补,这样您就不必担心网站的完整性。
2.更新插件和主题
与将 WordPress 更新到最新版本一样,您需要确保所有插件或主题也得到更新。 过时的插件通常可以用作本地文件上传漏洞的一种方法。 对于允许前端提交的联系表单、评论和其他插件尤其如此。
插件和主题开发人员花费大量时间探索他们自己的工作以确定是否存在安全问题。 如果他们找到一个,他们将通过更新修补问题。 通过保持与您的站点相关的所有插件和主题的安全,您可以显着降低文件上传漏洞的风险。
在对 1,386 个最受欢迎的 WordPress 插件的研究中,发现 104 收到更新 研究前不到一周,有 244 人在不到一个月前收到了更新。 开发人员一直在努力改进他们的插件,因此请利用这些更新。
除了更新站点上现有的插件和主题之外,您还可以采取的一项附加操作是检查审核日志以查看谁访问了您的站点。 如果您发现安全漏洞,这样做是帮助您识别黑客针对哪些插件以进一步保护您的网站的最有效策略之一。 从那里,您可以完全删除插件,或者查看是否有更新可以在问题变得更糟之前纠正问题。
至于主题,更新它们也可以保护您的整体安全。 另一个好处是,您甚至不必担心大多数主题的更新会丢失自定义。 保护您的网站免受黑客攻击的最简单但最有效的方法之一就是尽可能更新您网站的所有方面。
3. 安装顶级 WordPress 安全插件
插件是 WordPress 网站的一个特定漏洞区域。 你知道吗 每百个网站之一 在任何一周内最有可能感染恶意软件? 造成这种情况的一个主要原因是缺乏安全插件。
WordPress 安全插件充当防火墙,保护您网站上的其他插件并防止数据泄露。 例如, WordFence 其中包括内置防火墙,可阻止恶意流量到达您的站点。 您使用的插件中可能存在许多潜在漏洞,但如果黑客无法通过安全屏障,他们将永远无法利用这些漏洞。
一些插件提供了一些好处,例如扫描仪或清洁器,可以在问题变得严重之前检测和预防问题。 一个很好的例子是 MalCare,它提供了一个强大的站点扫描程序,不会减慢您的站点速度。 这些类型的安全插件完全自动化扫描和清理过程。 因此,您可以坐下来专注于运行您的网站,而不必花时间担心黑客。 还要确保为您用来帮助运行 WordPress 网站的移动设备添加插件。 特别是许多新手网站所有者都高度忽视了这一点。 一种新的移动设备攻击是 每 39 秒发射一次,这凸显了保护您使用的任何个人或企业移动设备的紧迫性。
对于桌面和移动设备,请注意不要安装低质量、过时的插件或具有重复功能的插件。 例如,多个 SEO 插件弊大于利。 这是因为每次您有一个新插件时,您都会发送新的数据库查询和 HTTPS 请求,这可能会影响您网站的速度和性能。 因此,对于您选择下载的特定插件要非常谨慎。 确保每个新插件都能解决您现有插件无法解决的特定问题。
WordPress 网站本身是相当安全的,但是安全插件可以是您需要将安全性提升到一个新级别所需的附加缓冲区。 毕竟,没有太多的安全性,只要它不影响您网站的性能和用户体验。 最值得注意的是,文件上传插件特别弱,但一个强大的安全插件可以在问题被利用之前弥补这个缺陷。
互联网上总会有黑客。 网络攻击是永远需要被反击的东西,但让您的 WordPress 网站保持最新可以减少这些攻击。 幸运的是,您可以提高网站某些方面的安全性,例如添加可以保护您网站运行的支付系统的 WooCommerce 插件。 文件上传是一个特定的漏洞来源,但使用上述技巧可以修补一些潜在的漏洞。
