毫無疑問WordPress已經成為世界最受歡迎的內容管理系統,其開發者表示全球超過40%網站建立於WordPress之上,可惜帶來的後果就是吸引了網絡犯罪份子的興趣,其中有五種最常出現的威脅,使用者應該特別加以注意。
插件、佈景主題和WordPress核心的安全漏洞
在所有互聯網上關於WordPress的保安事故中,XXS(cross-site scripting)、SQLi(SQL injection)和CSRF(cross-site request forgery)的出現頻率最高,這些攻擊及其他各種攻擊,都是由於WordPress核心軟件、插件或佈景主題的漏洞所致。雖然在統計上,在WordPress核心找到的安全漏洞只有很少收,例如2022年全年,只有23個安全漏洞在WordPress核心軟件上被發現,在全年總共1779個安全漏洞中只佔1.3%,97(5.45%)個臭蟲在佈景主題內被發現,而在插件中被發現的安全漏洞則高達1659個(93.25%)之多。
不過即使安全漏洞數量有點嚇人,用戶也無需因此而敬而遠之,因為安全漏洞其實無處不在,越受歡迎就越多人主動去尋找,而提升保安的方法是:
- 經常及時更新WordPress核心,儘管並非經常安全漏洞,但被利用的密度頗高,讓漏洞存在越耐風險越高。
- 謹記佈景主題也需要更新,尤其插件。
- 避免安裝不需要的WordPress插件,可顯著降低潛在風險。
- 及時停用或完全不需要的插件
管理密碼過弱和缺乏雙重認證
第二種WordPress主要的安全事故,是因為簡單的密碼被暴力破解(brute-forcing)或用戶名稱和密碼從第三方務外洩,如果擁有高級權限的帳號遭入侵,攻擊者就能取得WordPress網站的控制權用來進行自己的目的,例如盜取資料、偷偷在文字中加入推廣連結、安裝惡意程式或製作釣魚網頁等等,因此同樣需要改善保安:
- 確保所有人的WordPress網站密碼由強力的組合而成,可以設立良好的密碼設立方針,有相關插件能協助。
- 限制嘗試登入次數,可以利用相關插件實施。
- 啟動雙重認認配合提供一次性密碼的應用程式,同樣有相應的插件可以使用。
不良管理用戶和權限
這個事故與上述的問題相連,很多WordPress網站沒有小心管理用戶的權限,大大增加帳號被入侵的風險,如果一個擁有高存取權限的帳號被入侵,後果也如上文提到的一樣,被加入有害的內容、資料外洩和變成網絡釣魚的幫兇。而改良的方法有:
- 極度小心分配用戶權限,遵循最少權限的原則,只有必需的人士才持有相應的權限。
- 定期檢視WordPress用戶清單,把不再需要的帳號移除。
- 如果用戶不再需要高級的權限,便應該移到較低的組別。
- 使用強力的密碼組合和雙重登入認證
惡意插件
除了插件的安全漏洞之外,也存在著故意含有惡意的插件,在不久前有研究人員發現了後門程式偽裝的插件,主要功能是創建非法管理員帳號,從而取得受感染網站的完全控制。在今年初另一款原本是合法的WordPress插件由於被開發者遺棄十多年,結果被有心人檢來把它變成後門程式,令它從數千個WordPress網站中取得控制權,所以必需嚴防:
- 避免安裝不必要的WordPress插件,只安裝真正重要的插件。
- 安裝插件前小心閱讀用戶評論,如果插件有可疑河動,可能有人會在評論中提及。
- 停止或移除不再使用的插件
- 雖然有插件能掃瞄WordPress網站的惡意程式,但並非100%,很多新的惡意程式能逃過偵測。
- 如發現WordPress有奇怪活動懷疑受到感染,應尋找專家進行保安審計。
無限制的XML-RPC協議
另一款WordPress專門的安全漏洞XML-RPC協議,原意是令WordPress與第三方程式進行溝通,而在2015年WordPress開始支援現時較多人使用的REST API,但XML-RPC在WordPress仍然預設啟動,當中的問題是它能讓攻擊者有兩種方法攻擊網站,第一種是暴力破解用戶帳號的密碼,通過XML-RPC,攻擊者可以在一次訪問中結合複數的嘗試登入,簡快和加速了入侵過程,第二種是可以配合DDoS攻擊WordPress網站,所以必需嚴加防範:
- 如果在不久將來都沒有打算使用XML-RPC,就應該在WordPress中停用它,到有真實需要時再重新啟動也十分容易。
- 如果有意使用XML-RPC,便應該對它設定限制,有插件能加以協助。
- 如上文提到,使用強力的密碼組合和雙重認證去防止帳號被暴力破解。
資料來源:Kaspersky Blog
