2020年在WordPress上發現了582個保安問題
今天跟大家講Wordpress。最近見到有些朋友的Wordpress網站被入侵或者遇到一些問題。
想講一下wordpress那些層面容易被入侵,是否真的那麼容易被入侵呢?
2020年在Wordpress上發現了582個保安問題
看到一篇文章,2020年在Wordpress上發現了582個和保安有關的問題,當中96%來自third-party extension,也就是plugin。
風險大是因為很多人可以參與寫plugin,plugin可能有漏洞,也可能不是漏洞,而是有很多更新版本,plugin版本更新了但網主又不跟著更新,令安全性降低。
網路上永遠有更多新型攻擊和入侵網站的方法,plugin不斷出優化的新版本,如果網主自己不更新,那就沒有辦法了。
全世界有41%的網站都在用Wordpress
所以就成為一個最大的攻擊對象,比起其他例如drupal 、magento、 joomla,Wordpress的用戶最多,論經濟效益當然是攻擊最大目標。
2017年有一個資料列出哪一些網站容易成為黑客入侵目標,看到wordpress遠遠超過其他剛才曾提過的幾個。
WordPress通常被hack或者被搗亂的部分就是plugin,圖表顯示超過55%都是plugin的問題,相比剛才我們看過的whitepaper,2020年超過96%都是plugin的問題。
brute force 企圖暴力闖入
除了plugin的問題,第二個就是brute force,就是hacker嘗試去admin不斷是密碼,企圖暴力闖入。
很多人設定密碼都很重複性,黑客就會先是這些。
此外還有幾個百分比是core,這就是wordpress本身,如果一年半載都不去更新wordpress,有些更新是改正漏洞或者加強保安的,不作更新就有機會被入侵。
再其次就是關於theme和hosting,但所佔百分率相對很小。
最大問題還是plugin
所以講來講去最大問題還是plugin,要考慮幾方面,如果你網站有很多plugin,你要想想是否全部plugin都有用,不用的是否可以拿走。
第二,plugin是需要更新的,新版本除了功能和效益的優化之外,也會優化安全性。
如果真的不幸網站被入侵,會出現什麼症狀?常見的deface,網站被改頭換面;
有些會利用被入侵的網站發出spam message;
有些會發出SEO spam,因為網站提升需要backlink,SEO spam是取得backlink的一個方法;
有些會放一篇文章在你的網站,嘗試利用你的網站在Google取得較高排名,然後如果有人點按,可能就直接去了他的網店,或者是一個affiliate的做法;
有些用redirection,不是改你的網站,而是點進你的網站就直接轉去他的網站,常見會去一些賣假藥假錶的網站。
總括來說,Wordpress最多人用,也是最大攻擊目標,Wordpress網主切記要更新你的Wordpress,尤其是plugin。
如果大家有任何意見或疑問,歡迎在comment告訴我。