Thứ nhất, WordPress là hệ thống quản lý nội dung [CMS] phổ biến nhất trên thế giới, cho đến nay. Gần 40 phần trăm tất cả các trang web trên thế giới chạy trên WordPress
BuildWith theo dõi hơn 27 triệu trang web trang web WordPress trực tiếp. Đó là một con số đáng kinh ngạc, một ảnh hưởng tương tự như việc Google nắm giữ các công cụ tìm kiếm
Tuy nhiên, không giống như Google, WordPress là mã nguồn mở và đã giúp hầu hết mọi người tạo trang web một cách dễ dàng. Điều này không có nghĩa là chỉ những thương hiệu nhỏ và blog cá nhân mới sử dụng nền tảng này
Rolling Stones, The Walt Disney Company, TechCrunch và The New Yorker đều chạy trên WordPress, cũng như gần 40 phần trăm trong số một triệu trang web hàng đầu trên thế giới.
Tất nhiên, nếu bạn là một blog tạo nội dung về các vấn đề gây tranh cãi, bạn luôn có khả năng trở thành mục tiêu. Tin tặc có phương tiện để phá vỡ dịch vụ của bạn
Cuối cùng, nghe có vẻ ngớ ngẩn, nhưng hacker cũng phải rèn luyện kỹ năng của mình. Họ thường tạo các chương trình để kiểm tra lỗ hổng WordPress
Họ có thể không làm bất cứ điều gì với trang web của bạn, nhưng sẽ không bao giờ tốt nếu trang web của bạn nằm dưới sự kiểm soát của người khác
Một trang web dễ bị tấn công có thể ảnh hưởng đến hàng triệu người dùng
Là CMS phổ biến nhất có nghĩa là các lỗ hổng sẽ có tác động rất lớn. Chỉ một vài trang web dễ bị tổn thương có thể ảnh hưởng đến hàng nghìn hoặc hàng triệu người dùng
Theo WordPress, người dùng của nó tạo 70 triệu bài đăng mới mỗi tháng. Điều đó chuyển thành rất nhiều lưu lượng truy cập
WordPress cũng chiếm 43% trong số một triệu trang web phổ biến nhất trên thế giới. Khoảng 409 triệu người truy cập 20 tỷ trang WordPress mỗi tháng
Với những con số như vậy để nhắm mục tiêu, sẽ hiệu quả hơn nếu chọn các trang web WordPress. Tin tặc thường không nhắm mục tiêu vào một trang web cụ thể. Họ thường viết một chương trình xác định các lỗ hổng trong trang web WordPress.
Khi họ biết có một cách để hack một trang web vì một lỗ hổng phổ biến, họ nhắm mục tiêu vào một số lượng lớn các trang web cùng một lúc. Nó giống như thả một tấm lưới rộng và bất cứ thứ gì bị bắt trong đó đều là giải thưởng
Tại sao có quá nhiều lỗ hổng trong các trang web WordPress?
Chà, bản thân nó không phải cốt lõi của WordPress. Các plugin và chủ đề thường khiến các trang web dễ bị tấn công
Tất nhiên, sử dụng các phiên bản WordPress cũ hơn cũng có thể khiến bạn dễ bị tấn công. Các phiên bản mới thường sửa các lỗ hổng đồng thời thêm các tính năng mới. Theo WordPress, chỉ 37. 5 phần trăm người dùng đã cập nhật lên phiên bản 5. 5, mới nhất của họ.
Ít nhất 79. 2 phần trăm đã cập nhật lên phiên bản 5 hoặc mới hơn. Điều đó vẫn khiến hàng triệu trang web chạy các phiên bản cũ hơn
Quay trở lại năm 2012, có báo cáo rằng Reuters đang sử dụng phiên bản lỗi thời của WordPress khi trang web bị tấn công. Đó là một sự vi phạm lớn của một công ty lớn
Người dùng thường từ chối cập nhật vì nó có thể làm hỏng trang web của họ. Chà, tất cả những gì bạn cần làm là sao lưu trang web của mình. Bất cứ khi nào có điều gì đó xảy ra, bạn luôn có thể khôi phục bản sao lưu. Đó cũng là một biện pháp phòng ngừa an ninh tốt
Giờ đây, WordPress luôn khuyến khích các nhà phát triển tương tác với hệ thống mã nguồn mở của mình
Điều này đã dẫn đến một số lượng đáng kinh ngạc các plugin [57.870] và chủ đề [7.906], giúp CMS trở nên hữu ích hơn rất nhiều cho những người muốn xây dựng trang web
Các trang web WordPress bị tấn công vì lỗ hổng trong plugin và chủ đề
Tính bảo mật của plugin không phải lúc nào cũng ở cấp độ chuyên gia, nhà phát triển plugin không phải là chuyên gia bảo mật. Họ không cần phải là
Lỗ hổng bảo mật thường không có mục đích xấu, nhưng những lỗ hổng này là lý do khiến hầu hết các vụ hack xảy ra trên các trang web WordPress. Nó phổ biến đến mức các ước tính cho thấy 98% lỗ hổng WordPress có liên quan đến plugin
Một lỗ hổng trong plugin trở thành kiến thức phổ biến khá nhanh vì đó là một hệ sinh thái mã nguồn mở. Nếu tin tặc có thể khai thác lỗ hổng trước khi bản vá được phát hành, thì bất kỳ ai đã cài đặt plugin đều gặp rủi ro. Một plugin phổ biến có thể có hàng nghìn người dùng trở lên.
Thật không may, thường thì một bản vá để bảo vệ lỗ hổng không giúp được gì. Người dùng WordPress hoặc nhà phát triển WordPress đôi khi không phải là nhà phát triển, mà là các chuyên gia hơn, những người đã ghép các trang web WordPress lại với nhau
Kiến thức về cách quản lý bảo mật đi kèm với kinh nghiệm và do đó, các nhiệm vụ như cập nhật có thể không được ưu tiên ngay từ đầu
Hãy nhớ rằng các bản cập nhật là rất quan trọng. Các plugin và chủ đề lỗi thời là lý do số một khiến các trang web bị tấn công
Một ví dụ phổ biến từ những ngày đầu là TimThumb, một plugin để thay đổi kích thước hình ảnh. Một lỗ hổng trong plugin cho phép tin tặc tải các tệp PHP độc hại lên các trang web
Vấn đề trở nên nghiêm trọng hơn vì TimThumb được đóng gói với nhiều chủ đề. Một số người dùng thậm chí không biết trang web của họ dễ bị tấn công vì họ không biết tất cả các công cụ đi kèm với chủ đề của họ
Duy trì bất kỳ trang web nào cũng cần có nhận thức về hệ sinh thái WordPress. Theo dõi những gì đang xảy ra, đặc biệt là tin tức về hack và cập nhật
Cũng giống như cập nhật WordPress, đôi khi người dùng quyết định không cập nhật chủ đề hoặc plugin vì nó có thể phá vỡ thiết lập hiện tại của họ. Điều đó không có nghĩa là bạn có thể tiếp tục sử dụng các phiên bản không được hỗ trợ
Tốt nhất là tìm hiểu cách kiểm tra các bản cập nhật mà không làm hỏng trang web của bạn. Nếu plugin hoặc chủ đề bạn sử dụng đã ngừng nhận hỗ trợ từ nhà phát triển, hãy tìm một giải pháp thay thế
Các plugin và chủ đề “mồ côi” đã không còn được nhà phát triển quan tâm và có thể sẽ không bao giờ được cập nhật. Nếu bạn không nhận được bản cập nhật trong sáu tháng hoặc lâu hơn, hãy cẩn thận
Làm cách nào để giữ an toàn cho một trang web WordPress?
Các trang web WordPress bị tấn công, đó là sự thật, nhưng bạn nên làm gì với nó?
Sử dụng mật khẩu yếu là một vấn đề lớn. Mật khẩu, giống như mọi dịch vụ kỹ thuật số, là tuyến phòng thủ đầu tiên cho trang web WordPress của bạn
Mật khẩu yếu có thể cấp cho ai đó đặc quyền quản trị viên. Nghe có vẻ ngớ ngẩn, nhưng có quá nhiều người sử dụng mật khẩu yếu. Đọc thêm về cách quản lý mật khẩu tại đây
Nhận tường lửa ứng dụng web [WAF]. Đây là một bước tiến lớn trong việc đảm bảo tăng cường an ninh. WAF được quản lý luôn cập nhật các bản phát hành phần mềm mới nhất và các bản sửa lỗi
Các lỗ hổng trong các plugin và chủ đề WordPress là lý do số một khiến các trang web bị tấn công. Ví dụ: tường lửa ứng dụng web Patchstack được cập nhật tự động để ngăn chặn lỗ hổng plugin và chủ đề
Xác thực hai yếu tố. Cố gắng thiết lập xác thực hai yếu tố WordPress. Nó thêm một lớp bảo mật thứ hai
Giữ nhật ký hoạt động WordPress. Đó là một thực hành đơn giản nhưng hữu ích. Nhật ký hoạt động sẽ có tất cả các thay đổi lớn trên trang web của bạn. Hãy xem nhanh nó mỗi khi bạn đăng nhập. Đọc thêm về nhật ký tại đây
Sao lưu trang web của bạn trực tuyến. Sao lưu cho phép bạn khôi phục trang web của mình trong trường hợp có điều gì đó xảy ra. Một lần nữa, có các plugin để làm điều này
Đây là những biện pháp cơ bản. Nếu bạn muốn bảo mật hơn, tốt nhất nên tiếp cận các chuyên gia. Bản chất mã nguồn mở của WordPress cũng có nghĩa là chuyên môn về an ninh mạng có sẵn cho trang web WordPress của bạn. Patchstack chuyên bảo vệ lỗ hổng plugin để giữ an toàn cho trang web của bạn
Các câu hỏi thường gặp về cách các trang web WordPress bị tấn công
Các trang web WordPress bị tấn công thường xuyên như thế nào?
Câu hỏi này khó trả lời vì không có dữ liệu chính xác về điều đó. Nhiều trang web bị tấn công ngay cả khi chủ sở hữu hoặc người quản lý trang web không hề hay biết. Điều có thể nói về thống kê hack WordPress là trung bình cứ sau 39 giây lại có một cuộc tấn công trên web, nhưng một cuộc tấn công không phải lúc nào cũng có nghĩa là một trang web bị tấn công
Trung bình có 30.000 trang web mới bị tấn công mỗi ngày và cách phổ biến nhất mà các trang web bị tấn công là bởi một công cụ tự động
Làm thế nào để các trang web WordPress bị tấn công?
Tại sao các trang web WordPress bị tin tặc nhắm mục tiêu?
Các trang web WordPress là mục tiêu hàng đầu của tin tặc vì cơ sở người dùng khổng lồ của họ. BuildWith theo dõi hơn 30 triệu trang web trang web WordPress trực tiếp [dữ liệu từ tháng 3 năm 2022]
Mối đe dọa chính đối với các trang web WordPress là gì?
Mối đe dọa không nằm ở bản thân WordPress, mà là nhiều plugin của bên thứ ba được người dùng WordPress sử dụng. Mặc dù WordPress liên tục cập nhật lõi của nó, nhưng khả năng bảo mật được cải thiện không áp dụng cho các plugin do các nhà phát triển bên thứ ba xây dựng