wordpress为什么被墙-Wordpress教程-爱模板网

wordpress为什么被墙

2024-04-24 15:48:25

如何保护WordPress网站免受网络攻击？采取安全措施至关重要

如果您拥有WordPress网站，那么本文适合您，因为它解决了WordPress的安全性并防止了网络攻击。WordPress是一个广泛使用的CMS（内容管理系统），为所有可用网站的很大一部分提供支持。不幸的是，它也吸引了利用平台安全漏洞的网络犯罪分子，超级科技提醒您采取安全措施至关重要。

1、避免使用“管理员”用户名

披露用户名可能看起来并不特别有害。尽管如此，它仍然可能会引发安全漏洞的连锁反应，从而导致帐户身份盗用，劫持或财务损害。

如果您已将站点的管理员指定为管理员，则建议对其进行更改，因为网络犯罪分子擅长利用具有默认设置的平台。他们了解“管理员”经常被用作管理员帐户。他们可能会在“蛮力”攻击中利用该用户名。避免使用“管理员”用户名，并保存您的WordPress网站免受此类攻击。

2、WordPress必须定期更新

WordPress定期发布软件更新，以提高安全性和速度。这些升级还有助于保护您的网站免受网络攻击。提高WordPress网站安全性的最直接方法是更新WordPress版本。

要查看您是否拥有最新的WordPress版本，请转到仪表板，然后单击“更新”。

保持更新以确保您的网站没有运行旧的WordPress版本。此外，尝试更新WordPress网站上的插件和主题。较旧的插件和主题可能会导致与新更新的WordPress软件发生冲突，从而导致问题和安全漏洞。

3、限制登录次数

网络犯罪分子可能会试图通过暴力攻击猜测您的管理员密码，或使用泄露的凭据登录该网站。您可以通过限制他们尝试登录的次数来降低他们获胜的机会。因此，如果有人不断输入不正确的密码，他们将被阻止数小时，数月甚至数年，具体取决于您选择的选项。

因此，限制登录尝试是一个插件，您可以使用它来保护您的网站。它的工作原理是允许您设置大量错误的密码，这些密码可能会在输入错误密码的人的IP地址被锁定之前输入。

4、应禁用所有热链接

热链接或内链是一种链接到存储在另一个站点上的文件的技术。它最常用于图像，但也可用于视频，音乐文件，Flash动画和其他数字内容。

如果你想保持你的WordPress网站安全，应该禁用热链接。否则，您会注意到加载时间变慢，服务器费用增加的可能性以及被黑客入侵的风险增加。

尽管有几种手动方法可以避免热链接，但最直接的解决方案是使用WordPress安全插件。例如，一体化WP安全和防火墙插件具有用于防止所有热链接的内置解决方案。

5、使用双重身份验证

双因素身份验证（通常称为 2FA、双因素身份验证或两步验证）是一种安全方法，其中用户使用两个独立的身份验证因素验证其身份。这是包含在安全策略中的另一个明智步骤。

身份验证可以是常规密码，或跟安全问题、字母组合、隐藏代码或向手机提供密码的 Google 身份验证器应用。拥有您手机的人可以登录您的网站。它用于保护用户的凭据和他们有权访问的信息。

通过遵循上述推荐的提示和黑客攻击，您可以保护您的WordPress网站免受网络犯罪分子的侵害，或者至少降低受到攻击的风险。

原文转自hackread，超级科技译，合作站点转载请注明出处和原文译者为超级科技！

Hi，我是超级科技

超级科技是信息安全专家，能无上限防御DDos攻击和CC攻击，阿里云战略合作伙伴！

许多在线服务上可能遭受帐户劫持攻击，用户如何防护

在线帐户被劫持和滥用是每天发生的事情，但您是否知道帐户劫持前攻击也是可能的？受以前关于通过单点登录（SSO）技术进行抢先式帐户劫持的研究的启发，研究人员Avinash Sudhodanan和Andrew Paverd希望了解攻击者在受害者创建帐户之前执行的操作是否允许前者在受害者创建/恢复帐户后获得访问权限。

令人沮丧的是，他们发现不仅有几种方法可以发起帐户劫持前攻击，而且在他们测试的75个流行网站和在线服务中，至少有35个容易受到一个或多个变体的攻击。其中包括Instagram，LinkedIn，Dropbox，Zoom和 WordPress.com。

是什么使帐户劫持攻击成为可能？

出现可利用的安全漏洞的部分原因是许多服务支持（至少）两种不同的帐户创建路由：“经典”（用户选择用户名/密码）和联合路由（通过身份提供商进行SSO，例如，“使用Microsoft/Google/LinkedIn/等登录”

“从根本上说，帐户预劫持漏洞的根本原因是服务未能在允许使用帐户之前验证用户是否实际拥有提供的标识符（例如电子邮件地址或电话号码），”Paverd解释说。

“尽管许多服务需要标识符验证，但它们通常是异步进行的，允许用户（或攻击者）在验证标识符之前使用帐户的某些功能。虽然这可能会提高可用性，但它为劫持前攻击创造了一个漏洞窗口。

研究人员确定了五种类型的劫持前攻击：

经典联合合并攻击：

使用受害者的电子邮件地址，攻击者通过“经典”路由创建帐户 -> 受害者稍后通过“联合”路由（使用相同的电子邮件地址）创建帐户 -> 服务将这两个帐户合并不安全，攻击者仍然可以访问该帐户。

未过期会话标识符攻击：

攻击者使用受害者的电子邮件地址，通过“经典”路由创建一个帐户，并维护一个长时间运行的活动会话 -> 受害者使用相同的电子邮件地址“恢复”帐户 -> 如果密码重置未使攻击者的会话失效，则攻击者将保留对该帐户的访问权限。

木马标识符攻击：

攻击者使用受害者的电子邮件地址，通过“经典”路由创建一个帐户 -> 攻击者向帐户添加特洛伊木马标识符（例如攻击者的联合身份或其他攻击者控制的电子邮件地址或电话号码） -> 当受害者重置密码时，攻击者可以使用此木马标识符重新获得对帐户的访问权限（例如，通过重置密码）。

未过期的电子邮件更改攻击：

攻击者使用受害者的电子邮件地址创建一个帐户，并开始将帐户的电子邮件地址更改为攻击者自己的电子邮件地址的过程 - >该服务向攻击者的电子邮件地址发送验证URL，但攻击者仅在受害者恢复帐户并开始使用它后才确认更改。

非验证 IdP 攻击：

攻击者利用的 IdP 在创建联合身份时不验证电子邮件地址的所有权 -> 攻击者在目标服务中创建一个帐户，并等待受害者使用“经典”路由创建帐户 -> 如果服务根据电子邮件地址错误地合并了两个帐户，攻击者可以访问受害者的帐户。

对于所有这些攻击，攻击者必须知道/发现目标的电子邮件地址 - 在这个数字时代这是一个相对容易的壮举 - 并确定受害者没有帐户的服务（但将来可能会创建一个帐户）。

“攻击者可能会观察到服务（例如，当人们需要在家工作时的视频会议服务）的受欢迎程度普遍增加，并使用通过网站抓取或凭据转储找到的电子邮件地址为该服务预劫持帐户，”他解释说。

或者，作为另一个例子，攻击者可能会针对在一个平台上具有强大影响力的社交媒体“影响者”，并在另一个社交媒体平台上预先劫持他们的帐户，该平台正在迅速成为“下一件大事”。

在线服务和最终用户可以做什么？

研究人员已经将他们发现的漏洞通知了35个在线服务，并确认指定的在线服务已经修复了它们。希望其他人也已经或正在这样做。

“但是，除了我们分析的75个网站和在线服务之外，其他网站和在线服务也极有可能容易受到这些攻击，”Paverd说，并详细说明了他们可能实施的几种针对帐户创建的纵深防御安全措施，以确保无法执行这些攻击。

最终用户还可以采取一些措施来保护自己免受劫持前攻击：他们可以在创建帐户后立即对其帐户启用多重身份验证（MFA）。

“正确实现的MFA将防止攻击者在受害者开始使用此帐户后对预劫持的帐户进行身份验证。该服务还必须使激活MFA之前创建的任何会话无效，以防止未过期会话攻击。”Paverd总结道。

原文转自csoonline，超级科技译，合作站点转载请注明出处和原文译者为超级科技！

Hi，我是超级科技

超级科技是信息安全专家，能无上限防御DDos攻击和CC攻击，阿里云战略合作伙伴！