WordPress 作為全球最受歡迎的內容管理系統 (CMS) (W3Techs),其受歡迎程度也讓它容易成為網路攻擊的目標。本文說明如何利用免費弱點掃描工具,加強 WordPress 網站的安全性。
 |
| Photo by Tycho Atsma on StockSnap |
問題狀況
收到公司網管寄來的網站弱點掃描報告,內容提到 XSS、SQL injection 等多種漏洞,一下子無法確定問題原因,但又必須在短時間找到解決方式。有幾款免費工具和服務可以幫助辨識潛在的安全問題。確認安全問題後,才能掌握修復漏洞的方式。
解決方式
弱點掃描服務或軟體可以區分線上掃描服務或軟體、安全相關標頭、黑名單檢查:
1. 線上掃描服務:
如 wprecon.com 提供線上的 WordPress 測試工具,可以用來發現安全相關的資訊和網站配置的問題。
- 檢查 WordPress 網站的版本:,以避免核心版本過於老舊,而可能存在安全漏洞。
- 檢查 WordPress 的外掛和佈景主題:報表會顯示可能存在潛在漏洞的外掛和佈景主題。但是由於無法偵測當前安裝的版本,因此需要進行手動版本比較。
- 檢查使用者帳號清單 (User Enumeration)
- 檢查目錄索引 (Directory Indexing):避免錯誤的設定導致目錄可以直接瀏覽檔案清單
- 檢查外連的 JavaScript:如果外連第三 JavaScript 函示庫版本過於老舊,而可能存在安全漏洞。
Pentest-Tools.com 提供的 WordPress Vulnerability Scanner with WPScan 提供 WordPress 安全掃描的類似服務。
2. 安全掃描軟體:
WPScan 軟體可以掃描線上或離線的 WordPress 網站,可以測試還沒上線網站的安全性。該軟體需到 WPScan.com 申請 API key 取得弱點資料庫。與線上掃描服務比較比起來,整體掃描比較花時間,個人經驗需要花一晚時間讓資料庫比對。
3. 安全相關標頭 (security header) 掃描服務:
Analyse your HTTP response headers 偵測 WordPress 是否設定以下安全相關標頭 (security header)
- Strict-Transport-Security:透過讓使用者代理程式,強制使用 HTTPS 來加強 TLS 傳輸。推薦設定值 Strict-Transport-Security: max-age=31536000; includeSubDomains。
- Content-Security-Policy:內容安全政策是保護網站免受 XSS 攻擊的有效措施。透過白名單列出可信任的內容來源,可以防止瀏覽器載入其他惡意檔案 (asset)。
- X-Frame-Options:告訴瀏覽器是否允許你的網站被嵌入到第三方的網站內容裡 (frame or not)。透過防止瀏覽器嵌入您的網站,可以防禦像點擊劫持 (clickjacking) 這樣的攻擊。推薦設定值 X-Frame-Options: SAMEORIGIN。
- X-Content-Type-Options: 阻止瀏覽器嘗試自動偵測 (MIME-sniff) 內容類型,並強制使用指定的內容類型。此標頭的唯一有效值是 X-Content-Type-Options: nosniff。
- Referrer-Policy:允許網站控制瀏覽器在離開文件時包含多少資訊。
- Permissions-Policy:允許網站控制哪些功能和 API 可以在瀏覽器中使用。
4. 檢查網站是否被列入黑名單:
如 Website Security Checker | Malware Scan | Sucuri SiteCheck 可以檢查是否存在惡意軟體,而被知名搜尋引擎列入黑名單。
透過上述工具,交叉確認 WordPress 網站使用的佈景主題版本有漏洞。先備份 WordPress 資料庫與舊版外掛,確認更新後再度掃描就沒有問題。如果是自行維護 WordPress 網站,需要定期使用專業工具來檢查和修復潛在問題。透過上述提及的免費安全掃描服務和工具,可以有效提高網站的安全防護能力,減少被網路攻擊的風險。
留言
張貼留言