安全威脅有各種形式和大小,但有一條始終相關(guān)的建議:安裝最新更新。但是,有時(shí)沒(méi)有可用的安全補(bǔ)丁,因?yàn)槟蛙浖?yīng)商會(huì)同時(shí)收到漏洞警報(bào)。
幸運(yùn)的是,仍有一些方法可以確保您的網(wǎng)站安全。通過(guò)實(shí)施一些最佳實(shí)踐,您可以強(qiáng)化您的 WordPress 網(wǎng)站以抵御各種攻擊,包括可怕的零日漏洞。
在這篇文章中,我們將仔細(xì)研究這種安全威脅,以及為什么它在 WordPress 社區(qū)中受到如此重視。然后,我們將向您展示如何實(shí)現(xiàn)幾乎不可能的目標(biāo)并保護(hù)您的站點(diǎn)免受尚未發(fā)現(xiàn)的漏洞的影響。讓我們開(kāi)始吧!
零日漏洞簡(jiǎn)介
零日漏洞因其獨(dú)特的名稱而立即脫穎而出。我們可以將“零日”一詞追溯到 1990 年代,當(dāng)時(shí)盜版者通過(guò)公告板非法共享商業(yè)軟件。
社區(qū)按天對(duì)這個(gè)盜版軟件進(jìn)行了分類。例如,如果某個(gè)特定軟件已公開(kāi)提供 50 天,他們將其稱為 50 天軟件。
零日是指尚未正式向公眾發(fā)布的軟件。通常,零日代碼是通過(guò)侵入供應(yīng)商的網(wǎng)絡(luò)并竊取未發(fā)布的程序而獲得的。有時(shí),內(nèi)部人員會(huì)泄露代碼。
安全行業(yè)已重新使用該術(shù)語(yǔ)來(lái)表示供應(yīng)商已知但尚未提供補(bǔ)丁的漏洞。換句話說(shuō),安全漏洞將用戶置于風(fēng)險(xiǎn)之中,供應(yīng)商有零天的時(shí)間來(lái)解決問(wèn)題。
“漏洞窗口 (WoV)”是我們經(jīng)常與零日一起使用的另一個(gè)術(shù)語(yǔ)。這是供應(yīng)商了解漏洞和他們向公眾發(fā)布補(bǔ)丁之間的時(shí)間段。
通常與零日漏洞相關(guān)的最后一個(gè)相關(guān)術(shù)語(yǔ)是“永久日漏洞”。在這里,每個(gè)人都知道一個(gè)安全漏洞,原始開(kāi)發(fā)人員無(wú)意修復(fù)它。
這通常是因?yàn)椴辉俜e極維護(hù)軟件。如果有問(wèn)題的項(xiàng)目是開(kāi)源的,那么可能有一些范圍可以深入研究代碼并自己解決問(wèn)題。但是,作為一般規(guī)則,尋找仍在積極開(kāi)發(fā)中的軟件是明智的。
零日漏洞的生命周期
社區(qū)發(fā)現(xiàn)和管理漏洞的方式可能會(huì)有所不同。但是,它通常始于研究人員或惡意第三方發(fā)現(xiàn)安全問(wèn)題。此時(shí),該漏洞被認(rèn)為是零日漏洞,因?yàn)樗且阎模珱](méi)有可用的修復(fù)程序。這也是 WoV 的開(kāi)始。
供應(yīng)商可能并不總是公開(kāi)承認(rèn)存在影響其軟件的零日漏洞。雖然這可能會(huì)讓使用該程序的人感到擔(dān)憂,但這是一個(gè)有助于保護(hù)盡可能多的人的戰(zhàn)術(shù)決定。
如果供應(yīng)商宣布他們的軟件易受攻擊并且目前沒(méi)有可用的修復(fù)程序,他們實(shí)際上是在提醒黑客注意一個(gè)嚴(yán)重的安全問(wèn)題。這可能會(huì)導(dǎo)致攻擊激增。
希望供應(yīng)商能夠在創(chuàng)紀(jì)錄的時(shí)間內(nèi)開(kāi)發(fā)出修復(fù)程序。然后,他們可以發(fā)布補(bǔ)丁作為定期更新的一部分,或者作為緊急修復(fù)。
至此,WoV 結(jié)束。假設(shè)您安裝了安全更新,您的網(wǎng)站將不再面臨此特定漏洞的風(fēng)險(xiǎn)。
為什么保護(hù)您的 WordPress 網(wǎng)站很重要
WordPress 現(xiàn)在為超過(guò) 40% 的網(wǎng)絡(luò)提供支持。雖然這種受歡迎程度充分說(shuō)明了它作為內(nèi)容管理系統(tǒng) (CMS) 的實(shí)力,但它也使 WordPress 成為黑客的主要目標(biāo)。如果惡意第三方設(shè)法發(fā)現(xiàn) WordPress 中的零日漏洞,它可能會(huì)利用這個(gè)單一的弱點(diǎn)來(lái)攻擊數(shù)百萬(wàn)個(gè)網(wǎng)站。
有大量證據(jù)表明黑客正在積極瞄準(zhǔn) WordPress 漏洞。事實(shí)上,Wordfence 在一年內(nèi)記錄了43 億次利用這些漏洞的嘗試。可悲的是,其中許多攻擊都是成功的。當(dāng) Patchstack 與 WordPress 社區(qū)討論安全問(wèn)題時(shí),它發(fā)現(xiàn)25% 的受訪者最近處理過(guò)一個(gè)被黑的網(wǎng)站。
如果惡意第三方確實(shí)設(shè)法未經(jīng)授權(quán)訪問(wèn)您的網(wǎng)站,后果可能是災(zāi)難性的。攻擊者可能會(huì)破壞您的網(wǎng)站,誘騙您的訪問(wèn)者下載病毒,或?qū)⑺麄冎囟ㄏ虻嚼W(wǎng)站。所有這些行為都會(huì)損害您的聲譽(yù)。在您解決了黑客問(wèn)題之后,它們甚至可能會(huì)繼續(xù)影響您的流量和轉(zhuǎn)化率。
更糟糕的是,攻擊者可能會(huì)刪除甚至竊取您的數(shù)據(jù)。如果您經(jīng)營(yíng)電子商務(wù)網(wǎng)站,這可能包括您客戶的信用卡或借記卡詳細(xì)信息。這種公共關(guān)系 (PR) 災(zāi)難可能會(huì)產(chǎn)生巨大的財(cái)務(wù)影響,數(shù)據(jù)泄露的平均總成本為 386 萬(wàn)美元。
根據(jù)您的地理位置和違規(guī)的性質(zhì),它甚至可能使您陷入合法的熱水中。如果法院裁定您沒(méi)有采取足夠的措施來(lái)保護(hù)受眾的數(shù)據(jù),則可能會(huì)被處以巨額罰款。
如何保護(hù)您的網(wǎng)站免受零日漏洞的影響(7 個(gè)提示)
當(dāng)供應(yīng)商宣布新的零日漏洞時(shí),速度就是一切。為了幫助您采取行動(dòng),這里有七個(gè)技巧可幫助您加強(qiáng)網(wǎng)站免受可怕的零日漏洞的影響。
1.檢查更新
一旦開(kāi)發(fā)人員發(fā)現(xiàn)漏洞,時(shí)鐘就會(huì)開(kāi)始滴答作響。好消息是負(fù)責(zé)任的供應(yīng)商和開(kāi)發(fā)人員非常重視安全威脅,他們中的大多數(shù)人將立即著手修復(fù)。
每當(dāng)您聽(tīng)到零日威脅時(shí),明智的做法是確保您運(yùn)行的是受影響軟件的最新版本。您甚至可能會(huì)發(fā)現(xiàn)補(bǔ)丁已經(jīng)可用。
要檢查WordPress 核心的更新,請(qǐng)導(dǎo)航到儀表板 > 更新。如果有新版本可用,您可以按照屏幕上的說(shuō)明下載并安裝它。
即使儀表板確認(rèn)您完全是最新的,仍然值得再次單擊 Check,以驗(yàn)證您正在運(yùn)行最新版本:
要檢查您的插件,請(qǐng)從 WordPress 儀表板中選擇插件,然后安裝任何可用的更新。您還可以使用批量操作下拉列表更新您的插件:
即使補(bǔ)丁不可用,修復(fù)也很可能迫在眉睫。因此,您可能需要考慮啟用自動(dòng)更新。
要自動(dòng)更新 WordPress 核心,請(qǐng)導(dǎo)航至儀表板 > 更新。然后您可以選擇以下鏈接:為所有新版本的 WordPress 啟用自動(dòng)更新。現(xiàn)在,WordPress 將自動(dòng)下載并安裝所有次要和主要版本。
要自動(dòng)更新您的插件,請(qǐng)導(dǎo)航至Plugins > Installed Plugins。然后您可以選擇插件復(fù)選框。接下來(lái),打開(kāi)批量操作下拉菜單并選擇啟用自動(dòng)更新 > 應(yīng)用。
最后,您可以為您的 WordPress 主題啟用自動(dòng)更新。要進(jìn)行此更改,請(qǐng)導(dǎo)航至外觀 > 主題。然后將鼠標(biāo)懸停在您的活動(dòng)主題上,然后選擇Theme Details:
在隨后的屏幕上,選擇啟用自動(dòng)更新。現(xiàn)在,一旦有新版本可用,您的主題就會(huì)自動(dòng)更新。
2.禁用主題或插件
零日威脅可以影響任何項(xiàng)目,包括 WordPress 核心。但是,主題和插件更容易受到安全問(wèn)題的影響。
WP White Security 在其 2021 年報(bào)告中發(fā)現(xiàn)了近 4,000 個(gè) WordPress 插件漏洞。Patchstack 支持這一發(fā)現(xiàn),他們的報(bào)告得出結(jié)論,超過(guò) 7000 萬(wàn)個(gè) WordPress 網(wǎng)站正在運(yùn)行易受攻擊的插件和主題。
幸運(yùn)的是,與 WordPress 核心的問(wèn)題相比,主題和插件中的零日威脅通常更容易管理。如果原始開(kāi)發(fā)者尚未發(fā)布補(bǔ)丁,您始終可以選擇刪除包含漏洞的主題或插件。
值得注意的是,禁用此軟件并不總是足夠的。即使插件或主題被停用,惡意第三方仍可能訪問(wèn)和利用敏感文件。出于這個(gè)原因,我們始終建議禁用然后刪除有問(wèn)題的軟件:
一些主題和插件對(duì)業(yè)務(wù)至關(guān)重要。如果您的站點(diǎn)依賴于特定的軟件,那么刪除它可能并不總是那么簡(jiǎn)單。
但是,WordPress 擁有龐大的第三方軟件社區(qū),因此多個(gè)主題和插件提供相同的最終結(jié)果的情況并不少見(jiàn)。即使您不準(zhǔn)備放棄特定程序,您也可以暫時(shí)將其刪除,然后將其替換為等效的WordPress 插件或類似主題。
3.使用防火墻
許多安全程序依靠模式匹配來(lái)成功識(shí)別和阻止漏洞。然而,他們需要知道他們?cè)趯ふ沂裁础<词故亲詈玫能浖部赡茈y以抵御新發(fā)現(xiàn)的威脅。
這并不意味著您的網(wǎng)站沒(méi)有防御能力。您的安全軟件仍然可以阻止由于某人利用零日漏洞而產(chǎn)生的攻擊。特別是,防火墻可以保護(hù)您的 WordPress 網(wǎng)站免受許多常見(jiàn)攻擊,包括結(jié)構(gòu)化查詢語(yǔ)言 (SQL) 注入和跨站點(diǎn)腳本 (XSS) 攻擊。
談到防火墻,您有多種選擇。如果您有非托管虛擬專用服務(wù)器 (VPS)、云 VPS或非托管專用服務(wù)器,則可以使用高級(jí)策略防火墻 (APF)保護(hù)您的系統(tǒng)。這使您能夠根據(jù) IP 地址授予和拒絕訪問(wèn)。
或者,您可以使用 iptables創(chuàng)建基于 IP 的訪問(wèn)規(guī)則。您還可以使用 iptables 實(shí)用程序來(lái)授予和拒絕對(duì)選定設(shè)備的訪問(wèn)權(quán)限。這使您可以完全控制進(jìn)出服務(wù)器的所有內(nèi)容,包括傳輸控制協(xié)議 (TCP) 和安全外殼 (SSH) 連接。
另一種選擇是使用諸如 Wordfence Security 之類的插件。此 Web 應(yīng)用程序防火墻 (WAF) 檢查您網(wǎng)站的核心文件、主題和插件是否存在惡意軟件。它還監(jiān)視您的站點(diǎn)是否存在惡意重定向和代碼注入,這可能表明存在潛在的零日漏洞:
為了防止誤報(bào),在激活防火墻后將Wordfence 置于學(xué)習(xí)模式至少一周非常重要。這允許插件收集保護(hù)您的網(wǎng)站所需的所有數(shù)據(jù),而不會(huì)錯(cuò)誤地將合法行為標(biāo)記為可疑。
4. 監(jiān)控您的網(wǎng)站是否存在可疑行為
與防火墻類似,安全日志無(wú)法直接保護(hù)您的站點(diǎn)免受零日漏洞的影響。但是,它可以幫助您識(shí)別可疑行為和流量。
WP Activity Log是一個(gè)流行的插件,可以記錄各種活動(dòng)。每次有人更改您的 WordPress 設(shè)置、主題、插件或數(shù)據(jù)庫(kù)時(shí),此插件都會(huì)將其添加到您的活動(dòng)日志中:
WP Activity Log 插件還將記錄任何多站點(diǎn)網(wǎng)絡(luò)更改。這包括添加、刪除或歸檔站點(diǎn),以及刪除用戶。
如果有人創(chuàng)建、修改或刪除您的任何 WordPress 文件,這也會(huì)出現(xiàn)在您的活動(dòng)日志中。如果您使用的是免費(fèi)版本,您可以通過(guò)導(dǎo)航到WP 活動(dòng)日志 > 日志視圖隨時(shí)查看活動(dòng)日志:
但是,這依賴于您手動(dòng)檢查日志視圖。這可能會(huì)導(dǎo)致發(fā)生可疑行為與您意識(shí)到存在潛在安全威脅之間的延遲。
如果您升級(jí)到高級(jí)版,每當(dāng)有人對(duì)您的網(wǎng)站進(jìn)行重要更改時(shí),WP 活動(dòng)日志都會(huì)向您發(fā)送短信或電子郵件通知。這使您處于更有利的位置,可以在攻擊發(fā)生時(shí)立即做出響應(yīng)。
5. 及時(shí)了解最新的安全新聞
每當(dāng)供應(yīng)商發(fā)現(xiàn)安全威脅時(shí),他們都會(huì)通過(guò)漏洞披露通知受影響的各方。這個(gè)過(guò)程是有爭(zhēng)議的,也是經(jīng)常爭(zhēng)論的主題,因?yàn)楸WC大多數(shù)用戶的安全通常意味著推遲發(fā)布,直到修復(fù)可用。
這可以最大限度地減少意識(shí)到安全漏洞的潛在黑客的數(shù)量。但是,這也意味著您可能在不知不覺(jué)中在您的網(wǎng)站上運(yùn)行了不安全的軟件。
還有安全研究人員的問(wèn)題,他們通常是發(fā)現(xiàn)這些漏洞的人。公開(kāi)宣布他們發(fā)現(xiàn)了一個(gè)安全漏洞對(duì)他們來(lái)說(shuō)是一個(gè)很好的廣告。盡管有這種激勵(lì)措施,大多數(shù)負(fù)責(zé)任的安全研究人員仍會(huì)與供應(yīng)商達(dá)成協(xié)議。這通常涉及延遲發(fā)布他們的報(bào)告,直到找到解決方案。
但是,一些零日漏洞會(huì)在補(bǔ)丁發(fā)布之前公布。更糟糕的是,有時(shí)安全漏洞會(huì)在沒(méi)有提前通知供應(yīng)商的情況下成為公眾所知。當(dāng)惡意第三方最先發(fā)現(xiàn)漏洞時(shí),這種情況尤其常見(jiàn)。這些人通常希望盡可能多的黑客從他們的發(fā)現(xiàn)中獲利。
無(wú)論您對(duì)該主題的立場(chǎng)如何,如果漏洞確實(shí)成為常識(shí),那么您會(huì)想知道它。為了讓您掌握 WordPress 安全的脈搏,請(qǐng)關(guān)注熱門博客,例如Sucuri WordPress 安全、官方 WordPress 博客和Wordfence 博客:
對(duì)于最新的更新,在社交媒體上關(guān)注這些網(wǎng)站也可能會(huì)有所幫助,或者您可以訂閱WP Security Blogger 聚合器。另一種選擇是為與 WordPress 安全相關(guān)的單詞和短語(yǔ)創(chuàng)建Google 警報(bào)。
6. 加入披露郵件列表
有許多不同的郵件列表專門用于共享漏洞披露,但最廣為人知的郵件列表之一是Full Disclosure。通過(guò)加入此郵件列表,您將收到有關(guān)最新安全威脅的電子郵件通知:
但是,完全披露不是 WordPress 特定的列表,因此您可能會(huì)被更新所淹沒(méi)。假設(shè)您只對(duì) WordPress 平臺(tái)的威脅感興趣,我們建議您設(shè)置一些電子郵件過(guò)濾器。這可以確保當(dāng)您收到完全披露通知時(shí),您將能夠立即采取行動(dòng)。同樣,您可能還想訂閱Wordfence 的 WordPress 安全郵件列表。
7. 選擇安全托管服務(wù)提供商
沒(méi)有托管服務(wù)提供商可以承諾讓您的網(wǎng)站免受尚未發(fā)現(xiàn)的漏洞的影響。但是,好的主機(jī)將具有安全功能,使攻擊者更難以利用這些弱點(diǎn)。
讓我們看一個(gè)例子。黑客可能會(huì)嘗試使用零日漏洞對(duì)您的網(wǎng)站發(fā)起 XSS 攻擊。您的托管服務(wù)提供商可能完全沒(méi)有意識(shí)到這個(gè)全新的安全漏洞。但是,他們可能仍然能夠阻止 XSS 攻擊。這將防止黑客破壞您的網(wǎng)站或竊取您的數(shù)據(jù)。
我們所有的主機(jī)包都有一系列內(nèi)置的安全功能,包括HackScan 保護(hù)。這有助于在惡意第三方對(duì)您的網(wǎng)站造成嚴(yán)重?fù)p害之前阻止他們:
我們還提供 KernelCare 無(wú)重啟更新和雙防火墻,并提供 Cloudflare 作為標(biāo)準(zhǔn) CDN。Cloudflare 尤其可以識(shí)別和阻止惡意請(qǐng)求。這包括可能試圖利用零日漏洞的請(qǐng)求。
結(jié)論
預(yù)測(cè)未來(lái)是不可能的,這意味著為零日漏洞做好準(zhǔn)備并不容易。幸運(yùn)的是,現(xiàn)在通過(guò)遵循一些安全最佳實(shí)踐,您可以使您的網(wǎng)站更不容易受到各種攻擊,包括難以捉摸的零日威脅。
記錄器和防火墻等安全工具會(huì)使黑客更難利用尚未發(fā)現(xiàn)的弱點(diǎn)來(lái)攻擊您。我們還建議通過(guò)關(guān)注流行的 WordPress 博客并訂閱諸如Full Disclosure之類的專業(yè)郵件列表,了解最新的核心、主題和插件新聞。
借助可供您使用的正確工具、技術(shù)和資源,可以抵御嚴(yán)重的零日威脅。但是,您選擇的托管服務(wù)提供商也很重要。我們提供了多種安全功能,以幫助您確保您的網(wǎng)站可以應(yīng)對(duì)任何事情,包括未知!
