WordPress là một nền tảng nội dung nguồn mở và miễn phí phổ biến, nơi người dùng có thể chọn các chủ đề khác nhau dựa trên sở thích của người dùng. Đây là một “hệ thống quản lý nội dung nguồn mở được viết bằng PHP và được ghép nối với cơ sở dữ liệu MySQL hoặc MariaDB” [Wikipedia]. Một nền tảng phổ biến có nghĩa là có nhiều khả năng kẻ tấn công hack các trang web WordPress này. Để giúp bạn hiểu đâu là điểm yếu, đây là năm lỗ hổng và lỗ hổng phổ biến của WordPress có thể khiến một trang web WordPress gặp nguy hiểm.
Các thủ thuật Wordpress phổ biến
- Tấn công vũ phu
- Tập lệnh chéo trang [XSS]
- Mã độc
- tiêm SQL
- Tấn công DDoS
1. Tấn công vũ phu
Các cuộc tấn công vũ phu là các cuộc tấn công đơn giản nhất để giành quyền truy cập vào một trang web bằng cách nhập tên người dùng và mật khẩu nhiều lần cho đến khi kẻ tấn công có thể vào được. Một cách phổ biến mà những kẻ tấn công sử dụng tấn công vũ phu trong WordPress là “đập vào wp-login. php lặp đi lặp lại cho đến khi chúng vào được hoặc máy chủ chết” [WordPress].
Thông thường, mọi người sử dụng 'admin' làm tên người dùng của họ, điều này khiến các trang web WordPress rất dễ bị tấn công.
Làm thế nào để ngăn chặn các cuộc tấn công Brute Force?
- Không sử dụng ‘admin’ làm tên người dùng của bạn - đó sẽ là dự đoán đầu tiên của kẻ tấn công và cách trang web WordPress của bạn bị tấn công nhanh chóng
- Thực hiện một mật khẩu mạnh bao gồm các số, ký tự viết hoa và viết thường, dấu cách, ký tự đặc biệt và dài khiến cho một cuộc tấn công vũ phu khó có thể thành công
- Kích hoạt xác thực hai yếu tố
2. Tập lệnh chéo trang [XSS]
Một cách hack Wordpress phổ biến khác là Cross-Site Scripting. Cross-site scripting là “lỗ hổng cho phép mã JavaScript trái phép được thực thi trên một trang web” [MalCare]. Một cuộc tấn công Wordpress XSS thường được thực hiện bằng cách khai thác lỗ hổng XSS thường tồn tại trên các plugin Wordpress. Có hai phương pháp mà một XSS có thể được thực thi
- Đầu tiên, tập lệnh độc hại được thực thi trên trình duyệt phía máy khách và
- Thứ hai là nơi các tập lệnh độc hại được lưu trữ và thực thi trên máy chủ sau đó được trình duyệt phục vụ
Trong cả hai phương pháp, tin tặc sử dụng tấn công XSS để đánh cắp hoặc thao túng dữ liệu, đó là cách các trang Wordpress bị tấn công. Kết quả là nó ảnh hưởng đến trải nghiệm của người dùng trên trang Wordpress. Các cuộc tấn công XSS phổ biến trên các Trang web WordPress do các plugin;
Làm thế nào để ngăn chặn XSS?
Để ngăn chặn một cuộc tấn công XSS xảy ra, bạn nên sử dụng vệ sinh dữ liệu trên toàn bộ trang web WordPress để đảm bảo rằng chỉ các biến thích hợp được chèn vào.
3. Mã độc
Mã độc có thể được đưa vào Wordpress thông qua chủ đề bị nhiễm, plugin hoặc tập lệnh lỗi thời. Khi mã đã được tiêm, nó có thể gây ra thiệt hại từ nhẹ đến nghiêm trọng nếu không được xử lý kịp thời.
Làm thế nào để ngăn chặn mã độc?
Cách tốt nhất để ngăn mã độc xâm nhập là đảm bảo rằng bạn chỉ tải xuống các chủ đề và plugin WordPress từ các nguồn đáng tin cậy. Điều quan trọng nữa là kiểm tra xem plugin WordPress có được cập nhật không vì phần mềm độc hại thường xâm nhập thông qua các chủ đề bị nhiễm và các plugin lỗi thời.
4. tiêm SQL
SQL injection là một “lỗ hổng bảo mật web cho phép kẻ tấn công can thiệp vào các truy vấn mà ứng dụng thực hiện đối với cơ sở dữ liệu của nó” [PortSwigger]. Thực hiện một cuộc tấn công SQL injection sẽ cho phép kẻ tấn công xem dữ liệu từ cơ sở dữ liệu mà thông thường chúng không thể truy xuất được. Nếu truy vấn SQL được nhập thành công, thì kẻ tấn công đã hack thành công trang web WordPress. Sau đó, tin tặc có thể thao túng cơ sở dữ liệu MySQL và có khả năng giành được quyền truy cập của quản trị viên vào tài khoản WordPress của bạn để thay đổi thông tin đăng nhập. Đây chỉ là một cách mà các trang web WordPress bị tấn công thông qua sql injection.
Làm cách nào để ngăn chặn một cuộc tấn công SQL injection?
- Sử dụng xác thực đầu vào để xác thực dữ liệu do người dùng gửi
- Cập nhật và vá lỗi thường xuyên - đảm bảo rằng các chủ đề và plugin WordPress được cập nhật thường xuyên để ngăn chặn mọi khả năng thực hiện một cuộc tấn công sql injection
- Triển khai tường lửa - điều này có thể bổ sung như một mức bảo mật bổ sung chống lại cuộc tấn công SQL injection
- Giới hạn đặc quyền truy cập chỉ cho những người cần truy cập vào trang web WordPress
- Kích hoạt plugin Sucuri Security - plugin phổ biến và miễn phí cho phép bạn theo dõi ai đăng nhập vào trang web của bạn và loại thay đổi nào đã được thực hiện
5. Tấn công DDoS
Hack Wordpress cuối cùng của chúng tôi là Tấn công DDoS. Từ chối dịch vụ phân tán là khi một khối lượng lớn yêu cầu được gửi đến máy chủ khiến máy chủ bị chậm và cuối cùng bị sập. Kiểu tấn công này là một cách dễ dàng khác khiến các trang web WordPress bị tấn công làm giảm hiệu suất web.
Làm cách nào để ngăn chặn các cuộc tấn công DDoS?
- Kích hoạt plugin Sucuri Security vì nó là tường lửa của trang web;
- Đảm bảo rằng WordPress của bạn được cập nhật
- Kiểm tra nhật ký - bạn có thể biết lưu lượng truy cập đến từ đâu
Suy nghĩ cuối cùng về Wordpress Hacks và lỗ hổng
Vì WordPress là một nền tảng phổ biến mà mọi người sử dụng để tạo trang web của riêng họ, điều rất quan trọng là đảm bảo rằng bạn thực hiện tất cả các biện pháp bảo mật để giữ an toàn cho trang web của mình. Đây là những lỗ hổng được giải thích ở đây cho thấy cách các trang web WordPress bị tấn công. Tôi chắc chắn rằng còn nhiều lỗ hổng tồn tại, tuy nhiên đây chỉ là một số lỗ hổng phổ biến mà bạn nên để ý và cách ngăn chặn chúng xảy ra.