從前我們較少聽到一些大型、針對網站的攻擊,主要原因是以往黑客的數量比現時少;同時以往開發網站很多時都是由零開始,幾乎沒有任何CMS(Content Management System)系統協助,網站欠缺統一性,增加了黑客進行大型攻擊的難度。CMS 系統很多時是一些開源方案,最知名的Wordpress便是其一。
根據Wikipedia的資料,截至2015年1月全球首1000 萬排名的網站中,高達 23.3% 以 WordPress 為基礎;而 Wikipedia 更估計全球有高達 6000 萬個網站使用或以Wordpress為開發基礎。因此當 WordPress 本身出現漏洞,黑客便可一次過針對使用 WordPress 平台的網站,使用相同手法進行攻擊 ,從而達致大範圍的影響;幸好現時 WordPress 社群已擁有非常專業且為數極多的人員協助發現漏洞及修補,某程度上能減少漏洞所造成的影響。
除了漏洞外,作為管理員亦可在日常提高警覺,以下是一些安全小 Tips 供參考,通過落實以下方法將有助減低受影響的機會。
1. 嚴格遵守更改密碼原則
所有採用Wordpress平台的用戶,包括管理員、編輯及作者,都需要於Wordpress中建立帳戶。很多時管理員會為Admin級數的帳戶建立複雜密碼,然而卻會忽略較低層級例如是作者的權限,變相為黑客大開中門。一個強而有力的密碼應包括恰當的密碼組合,要同時由數字、大小英文字母、符號組成,而且在長度方面亦必須多於8個位,這樣要被攻破亦並非數十年可完成的事情。
2. 選擇可信任的插件
很多插件,不論是免費還是收費,當中都有機會帶有一定程度的漏洞;更甚者是由黑客建立的一個虛假插件;萬一使用了這些插件的話,網站便很自然的被成功入侵到,因此建議大家在安裝不同的插件前先多看看網上的評論;請不要只看插件的評分,事關評分是可以通過一些手段來達成的,所以作為管理員應在決定使用某些插件前花時間於網絡上搜尋一下,看看曾使用過有關插件的開發者評論,從而提高安全性。
3. 加入驗證碼防暴力破解法撞密碼
另一個最簡單的入侵方法就是暴力破解法(brute force attack)。通過採用不同的工具從而對目標網站進行「撞密碼」;這種方法很多時只需經過一段時間便會成功。要預防這種攻擊,用戶可考慮安裝一些 CAPTCHA 的認證方法,從而讓每一次登入請求發出前,均需輸入特定的驗證碼,這樣對於預防暴力破解法有很大的功效。
4. 增加進入 wp-admin 的難度
另一個最簡單的入侵方法就是暴力破解法(brute force attack)。通過採用不同的工具從而對目標網站進行「撞密碼」;這種方法很多時只需經過一段時間便會成功。要預防這種攻擊,用戶可考慮安裝一些 CAPTCHA 的認證方法,從而讓每一次登入請求發出前,均需輸入特定的驗證碼,這樣對於預防暴力破解法有很大的功效。
5. 禁止顯示版本資訊
最後一個方法就是禁止於Wordpress中顯示版本資訊;儘管黑客可通過檢查關鍵的更新檔案從而推測到你正在使用的 WordPress 版本,然而此舉卻已能大大減少黑客向你發動攻擊或進行入侵;事關黑客假如不知道你的Wordpress是甚麼版本的話,往往便較難針對該版本進行最有效的漏洞入侵、攻擊,簡單來說就是無法對症下藥作出攻擊,因此黑客很多時都會放棄針對這類未能檢查到版本資訊的 WordPress 平台,正所謂「取易不取難」,這亦正正就是黑客心態。
總結
其實針對 WordPress 的攻擊方法有很多,而上述的預防方式亦不能 100% 防止針對 WordPress 平台的攻擊;然而只需按上述所提及的方式提升整體的保安水平,那麼你的 WordPress 將會比起大部份的安全得多,大家不妨多以黑客的思維想想各種防禦方式,這才是應對黑客攻擊的致勝之道。
