Video: Hướng dẫn làm website bán hàng chuyên nghiệp bằng Wordpress kết hợp WooCommerce | Kiemtiencenter (Tháng Chín 2024)
Là một nền tảng quản lý nội dung, WordPress rất phổ biến đối với người dùng vì nó rất dễ sử dụng. Vấn đề là, nó cũng là một mục tiêu phổ biến cho bọn tội phạm và kẻ tấn công. Nếu bạn có một trang web WordPress, bạn cần thực hiện một số bước cơ bản để bảo mật trang web của mình.
DDoS với WordPress
Mặc dù luôn có mối lo ngại rằng trang web WordPress của bạn có thể bị hack để phục vụ phần mềm độc hại cho khách truy cập trang web của bạn hoặc chuyển hướng chúng đến một trang web tinh ranh ở nơi khác trên Web, bạn cũng không muốn biết rằng trang web của mình đang được sử dụng để khởi động các cuộc tấn công chống lại các trang web khác. Đầu tuần này, công ty bảo mật Sucuri đã báo cáo rằng hơn 162.000 trang web WordPress đã bị lừa tham gia vào một cuộc tấn công từ chối dịch vụ phân tán chống lại một trang web khác.
Vấn đề là, các trang web không bị tấn công hoặc bị nhiễm để tạo thành một mạng botnet. Những kẻ tấn công đã lạm dụng Pingbacks, một tính năng hoàn toàn hợp pháp trong WordPress, để tràn ngập trang web được nhắm mục tiêu với lưu lượng truy cập không mong muốn. Pingbacks được sử dụng bởi một trang web WordPress để thông báo cho các trang web khác khi một bài đăng được liên kết với chúng. Trong cuộc tấn công được Sucuri quan sát, kẻ tấn công đã lừa các trang web gửi yêu cầu Pingback đến cùng một URL mục tiêu, điều này rất dễ thực hiện do Pingback được bật theo mặc định trong WordPress. Trang web được nhắm mục tiêu đột nhiên bị bắn phá với các yêu cầu Pingback, về cơ bản gắn liền với một cuộc tấn công DdoS.
Nếu bạn đang chạy WordPress, bạn nên xem xét tắt Pingbacks để đảm bảo trang web của bạn không thể được sử dụng để tấn công các trang web khác. Tính năng này thông báo cho bạn khi người khác đang nói về bạn, đó là một công cụ hỗ trợ bản ngã tốt đẹp, nhưng nó có đáng để giữ nó bị lạm dụng không? Sucuri có đề xuất về cách chặn pingback trên trang web của mình.
WordPress rò rỉ
Dave Lewis, một người ủng hộ bảo mật cao cấp của Akamai Technologies, đã sử dụng Google để tìm hơn 111.000 trang web WordPress có bản sao lưu cơ sở dữ liệu có thể truy cập được từ Internet. Danh sách bao gồm "tất cả các loại trang web từ các trang web âm nhạc độc lập đến văn phòng bác sĩ và thậm chí một số trang web của chính phủ", Lewis viết trên blog CSO của mình. Các bãi chứa thông tin chi tiết về cơ sở dữ liệu, những kẻ tấn công có thể sử dụng để khởi động các cuộc tấn công khác, nhưng cũng có khả năng rò rỉ dữ liệu của bạn.
Rõ ràng, không thể truy cập các bản sao lưu từ Internet. Nếu các bản sao lưu đang chạy cục bộ trên cùng một máy chủ mà WordPress được cài đặt, thì các plugin từ Wordfence hoặc Sucuri có thể chặn truy cập trái phép, Lewis nói.
WordPress lỗi thời
Nhiệm vụ quan trọng nhất đối với các quản trị viên WordPress là luôn cập nhật các bản cập nhật phần mềm, không chỉ cho nền tảng cốt lõi mà còn cho từng plugin chạy trên trang web. Các phiên bản lỗi thời của WordPress liên tục bị tấn công, đặc biệt là các plugin. "Các tin tặc độc hại luôn tìm mọi cách để lây nhiễm cho người dùng máy tính Graham Cluley.
Những kẻ tấn công có thể khai thác các lỗ hổng chưa được vá để thực hiện các cuộc tấn công kịch bản lệnh SQL hoặc cross-site. Các lỗ hổng cũng có thể bị khai thác để lây nhiễm trang web bằng phần mềm độc hại. Đối với hầu hết các phần, những vấn đề này thường là kết quả của các vấn đề với plugin, không phải nền tảng phần mềm cốt lõi, khiến cho các plugin thường xuyên được cập nhật thường xuyên hơn.
Điều quan trọng cần lưu ý là sự khác biệt giữa các trang web được lưu trữ trên WordPress.com và các trang web WordPress chạy trên các máy chủ khác. Đội ngũ đằng sau WordPress luôn cập nhật phần mềm trên WordPress.com để người dùng cá nhân không phải làm vậy. Các trang web tự lưu trữ yêu cầu chủ sở hữu trang web luôn cập nhật các bản vá và cập nhật để đảm bảo phần mềm vẫn hiện hành.
Nếu bạn định chạy WordPress, hãy theo dõi những kẻ tấn công bằng cách cập nhật trang web của bạn thường xuyên.
