根据一份关于 WordPress 安全性的新报告,WordPress 网站越来越多地受到来自盗版主题和插件的恶意软件的感染。
安全公司 Wordfence 发布了一份关于针对 WordPress 网站的威胁和攻击的报告,其中的数据来自安装了其软件的 400 万客户。
WordPress 网站面临的主要威胁分为三类:
- 来自盗版主题和插件的恶意软件
- 恶意登录尝试
- 漏洞利用
以下是报告中主要亮点的摘要。
来自盗版主题和插件的恶意软件
对 WordPress 安全性最普遍的威胁是来自盗版(无效)主题和插件的恶意软件。
Wordfence 在过去一年中在 120 万个 WordPress 网站上检测到超过 7000 万个恶意文件。 超过 17% 的受感染网站包含来自无效插件或主题的恶意软件。
WP-VCD 恶意软件是 WordPress 最常见的威胁,占 2020 年所有受感染网站的 154,928 个或 13%。
当插件或主题被盗版时,其许可证检查功能会被禁用或删除,这使得黑客很容易获得后门访问权限。
保护您的 WordPress 网站免受此类攻击的最佳方法是合法购买您的插件和主题并保持更新。
如果您的预算不允许购买高级主题,那么来自信誉良好的提供商的免费替代方案是最安全的选择。
恶意登录尝试
Wordfence 检测(并阻止)来自超过 5700 万个唯一 IP 地址的超过 900 亿次恶意登录尝试。 这是针对 WordPress 网站的每秒 2,800 次攻击的速度。
据说这些尝试包括使用被盗凭证列表的凭证填充攻击、字典攻击和传统的暴力攻击。
WordPress 网站所有者可以通过设置多重身份验证来保护自己免受恶意登录尝试。 这将确保没有人可以在没有密码的情况下进入 和 只有您可以访问的特殊代码。
漏洞利用
根据 Wordfence 的报告,2020 年有 43 亿次尝试利用来自超过 970 万个唯一 IP 地址的漏洞。
一年中最常见的 5 次攻击包括:
- 目录遍历:占所有漏洞利用尝试(18 亿次攻击)的 43%。
- SQL 注入:占所有攻击尝试(9.094 亿次攻击)的 21%。
- 恶意文件上传:占所有攻击尝试(4.548 亿次攻击)的 11%。
- 跨站脚本(XSS):占所有尝试的 8%(3.3 亿次攻击)。
- 身份验证绕过漏洞:占所有攻击尝试(1.408 亿次攻击)的 3%。
作为本报告一部分跟踪的所有 400 万个站点都至少经历了上述每种攻击尝试中的一种。
WordPress 网站所有者可以使用防火墙保护自己免受漏洞利用。
有关保持 WordPress 网站安全的更多提示,请参阅下一节中的资源。
如何确保您的 WordPress 网站安全
有关保持 WordPress 网站安全的最新建议,请参阅 Search Engine Journal 的 Roger Montti 几个月前编写的本指南:
每天都有新的 WordPress 漏洞暴露出来。 密切关注 Montti 的报道,因为他经常率先发布有关最新威胁以及如何保持安全的新闻。
资源: 文字围栏
