我們都知道 WordPress 歷來非常容易受到各種黑客攻擊。所以大多數(shù)優(yōu)秀的網(wǎng)絡(luò)主機(jī)都會(huì)練習(xí)良好的WordPress 安全性安全措施，以避免成為黑客攻擊的受害者。但是，很難跟蹤所有風(fēng)險(xiǎn)并開發(fā)真正保護(hù)您網(wǎng)站的安全解決方案。在這里，我們將討論最危險(xiǎn)的入侵之一是如何發(fā)生的。通過 SQL 進(jìn)行代碼注入。繼續(xù)閱讀以了解什么是SQL 注入，它是如何發(fā)生的，以及您可以采取哪些措施來確保您的 WordPress 網(wǎng)站不會(huì)成為注入攻擊的受害者。

了解數(shù)據(jù)庫注入

將代碼注入數(shù)據(jù)庫的黑客并不少見。事實(shí)上，將惡意代碼推送到 WordPress SQL 數(shù)據(jù)庫中是一種常用的方法來獲得對(duì)站點(diǎn)的未經(jīng)授權(quán)的訪問。這一切都?xì)w結(jié)為 WordPress 對(duì) SQL 數(shù)據(jù)庫的依賴。這對(duì) WordPress 的安全性有很大影響。

WordPress 如何存儲(chǔ)內(nèi)容

每個(gè) WordPress 網(wǎng)站都有一個(gè)專用的 MySQL 數(shù)據(jù)庫——WordPress 網(wǎng)站使用的標(biāo)準(zhǔn) DBMS。每當(dāng)請(qǐng)求頁面時(shí)，WordPress 都會(huì)生成一個(gè) SQL 查詢。它查詢數(shù)據(jù)庫的內(nèi)容。然后將數(shù)據(jù)庫內(nèi)容插入頁面主題以呈現(xiàn)用戶友好的內(nèi)容版本。

在 PHP SQL 的幫助下，向系統(tǒng)提供查詢以對(duì) WordPress 數(shù)據(jù)庫進(jìn)行更改。包括添加、刪除或更改數(shù)據(jù)庫本身。但是，黑客不一定通過 WordPress 或控制面板連接數(shù)據(jù)庫。事實(shí)上，代碼可以通過很多不同的方式插入到 WordPress 數(shù)據(jù)庫中。

黑客如何將代碼注入 WordPress SQL 數(shù)據(jù)庫

形式。是的，黑客使用您的網(wǎng)站表單將代碼注入您的 WordPress SQL 數(shù)據(jù)庫。接收到用戶輸入的任何東西都可能成為最糟糕形式的安全問題的入口： SQL 注入。聯(lián)系表單、登錄框、注冊(cè)框甚至搜索欄之類的任何東西

表單的問題在于，在許多情況下，提交是在數(shù)據(jù)庫中捕獲的。在提交中添加流氓代碼，代碼存儲(chǔ)在 SQL 數(shù)據(jù)庫中。因此，黑客需要做的就是將這個(gè)流氓 SQL 代碼輸入到表單中，而不是真正的表單響應(yīng)。

一個(gè)示例是應(yīng)該只接受有效電話詳細(xì)信息的表單字段。是的，您應(yīng)該限制表單回復(fù)的格式為 XXX-XXX-XXXX。但是，如果您將該字段保留為自由格式，則黑客可以輕松地使用該字段注入 SQL 代碼。

那么，在 SQL hack 之后會(huì)發(fā)生什么？

黑客可以通過兩種方式將代碼插入您的 SQL 數(shù)據(jù)庫。這樣做的經(jīng)典方法包括將數(shù)據(jù)返回到黑客使用的網(wǎng)絡(luò)瀏覽器。實(shí)際上，這與您在網(wǎng)站上使用表單的方式相同。

像這樣的查詢可能會(huì)導(dǎo)致您的數(shù)據(jù)庫返回?cái)?shù)據(jù)庫內(nèi)的信息。而這個(gè) WordPress 安全黑客的目的是竊取敏感信息，包括可能導(dǎo)致進(jìn)一步黑客攻擊的 SQL 結(jié)構(gòu)。

另一種插入代碼的方法是使用盲 SQL 注入。這里的注入不涉及數(shù)據(jù)的返回。但相反，黑客將使用插入的代碼在您的數(shù)據(jù)庫上運(yùn)行代碼。此代碼可能會(huì)造成各種損害，包括刪除所有數(shù)據(jù)庫數(shù)據(jù)。

WordPress 安全不能阻止 SQL 注入嗎？

是的，WordPress 已經(jīng)竭盡全力嘗試阻止這些常見的 SQL 注入攻擊。WP 安全性涉及驗(yàn)證和清理通過表單提交的數(shù)據(jù)。

例如，驗(yàn)證確保表單上接收的數(shù)據(jù)符合指定的條件。就像將輸入到電話號(hào)碼字段中的數(shù)據(jù)與真實(shí)電話號(hào)碼的性質(zhì)進(jìn)行匹配一樣。另一個(gè)例子是 WordPress 從輸入中刪除多余和受限字符的方式。

盡管如此，仍有一些問題是當(dāng)前 WordPress 安全策略無法解決的。這意味著 WordPress 無法完全防止操縱 SQL 代碼的數(shù)據(jù)庫注入。

例如，2017 年，WordPress 發(fā)布了一個(gè)安全更新，修復(fù)了 WordPress 團(tuán)隊(duì)檢測到的已知 SQL 漏洞。這保護(hù)了 WordPress 的核心。然而，該更新并未保護(hù)易受攻擊的主題和插件。總體而言，主題和插件在使用表單時(shí)很容易受到利用。

這些 WordPress 插件背后的開發(fā)人員需要非常了解 WordPress 安全實(shí)踐。這樣數(shù)據(jù)庫注入就不會(huì)給 Web 主機(jī)帶來問題。從本質(zhì)上講，最好采取額外的緩解措施。因?yàn)橥耆芾?WordPress 或插件開發(fā)人員所做的事情是不可能的。

讓我們看看您可以采取哪些措施來管理您的WordPress 安全性，以避免由于 SQL 漏洞導(dǎo)致的黑客攻擊。

防止 SQL 漏洞利用

WordPress 本身有一些技巧。但最終，優(yōu)秀的系統(tǒng)管理員會(huì)添加額外的措施來確保他們的 WordPress 網(wǎng)站不會(huì)遭受 SQL 攻擊。以下是您需要實(shí)施的實(shí)踐的簡短列表：

1.信任是關(guān)鍵

您應(yīng)該非常小心使用插件和主題的原因有很多。但 SQL 注入風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)之一。僅使用來自可靠、合格和值得信賴的開發(fā)人員的插件和主題。

2.定期更新

還記得我們之前提到的 2017 WordPress 修復(fù)嗎？它對(duì)很多人都不起作用。原因很簡單，這些用戶禁用了自動(dòng) WordPress 更新。因此，更新從未推廣到他們的 WordPress 實(shí)例。

在更新方面，您需要非常警惕。因?yàn)椴粌H僅是 WordPress 核心需要頻繁和定期更新。您還需要確保您的 MySQL 數(shù)據(jù)庫軟件已更新。此外，始終將您的 PHP 保持在最新版本。通常，您的網(wǎng)站管理控制臺(tái)可以輕松地使您網(wǎng)站的所有這些方面保持最新。

跨多個(gè)站點(diǎn)管理更新可能很困難。但是您可以嘗試使用WordPress Toolkit之類的工具，它可以通過儀表板界面管理許多站點(diǎn)的更新。因此，它會(huì)自動(dòng)執(zhí)行更新過程。金票？您無需登錄數(shù)百個(gè)網(wǎng)站即可管理網(wǎng)站、插件和主題的更新。

3.控制字段條目和數(shù)據(jù)提交

我們已經(jīng)解釋了 SQL 注入是如何工作的。想要一個(gè)簡單的 WordPress 安全技巧來阻止它們嗎？控制可以通過表單字段提交的數(shù)據(jù)類型。

名稱字段應(yīng)該只允許輸入字母，因?yàn)闆]有理由讓數(shù)字字符出現(xiàn)。同樣，電話或支付卡數(shù)據(jù)不應(yīng)包含字母或特殊字符。此外，考慮部署 sanitize_text_field() 以便阻止不正確或簡單危險(xiǎn)的條目。

4.不要使用默認(rèn)的WordPress數(shù)據(jù)庫名稱

這是一個(gè)非常簡單的 WordPress 安全技巧：更改標(biāo)準(zhǔn) WordPress 數(shù)據(jù)庫名稱。默認(rèn)情況下，您的 WordPress 數(shù)據(jù)庫將具有前綴“wp-”。因此，使黑客更容易使用您的數(shù)據(jù)庫憑據(jù)，尤其是使用機(jī)器人和自動(dòng)腳本。更改此默認(rèn)名稱會(huì)使他們更加困難。

5.跟蹤誰使用數(shù)據(jù)庫

永遠(yuǎn)不要訪問您的 MySQL 憑據(jù)。如果無法避免，請(qǐng)記錄憑據(jù)的使用和整體 SQL 活動(dòng)。如果進(jìn)行了未經(jīng)請(qǐng)求的更改，您可以更快地檢測到問題。包括WordPress Toolkit在內(nèi)的 WordPress 安全工具可以幫助您做到這一點(diǎn)。

6.使用網(wǎng)站應(yīng)用防火墻

是的，您可以為您的網(wǎng)站安裝防火墻。網(wǎng)站應(yīng)用程序防火墻或 WAF 可以通過代表您分析表單輸入來檢測 SQL 注入嘗試。WAF 還會(huì)阻止來自您網(wǎng)站的已知不良 IP，因此他們甚至無法進(jìn)行嘗試。市場上有很多WAF，請(qǐng)查看。

最終阻止 SQL 注入

數(shù)據(jù)庫注入是一種非常常見的入侵網(wǎng)站的方法，但幸運(yùn)的是它們是可以預(yù)防的。良好的WordPress 安全實(shí)踐可以使即使是最堅(jiān)定的黑客也難以將代碼注入您的數(shù)據(jù)庫。它可以幫助您進(jìn)行 WordPress 安全工作。它還提供了一系列其他 WP 工具，使管理和維護(hù) WordPress 應(yīng)用程序變得更加容易。