震惊！一键即可破解独立站后台密码，外贸电商做好以下6点防止被黑

最近有网友咨询刘哥关于wordpress的问题，一个企业站很不稳定，经常无法加载页面。我的第一反应是有可能被DDOS攻击了，也有可能是被装了后门，被黑客装了挖矿程序，或者成了肉鸡都有可能。于是对他的站首先进行了一下安全扫描。

收集到的以下信息有：

版本：WordPress version 5.2.2 (Released on 2019-06-18)

路径：/robots.txt、/readme.html、/wp-login.php

主题：spacious - v1.6.3 , the latest version is 1.6.6

其它：SERVER: Apache/2.4.39 (Unix) OpenSSL/1.0.2k-fips PHP/7.3.7

发现如下漏洞

插件存在 XSS漏洞 ，通过收集到的网站信息，黑客可以检索 Apache、PHP 版本是否存在可利用的漏洞，后台的默认登陆路径为 /wp-login.php ,结合默认系统管理员用户名Admin,可以尝试构造字典进行爆破,爆出常见字母+数字组合的弱口令.

之前看过一篇报道，说的是黑客利用了超过 162000 家 WordPress 网站，向目标网站进行了 DDoS 攻击，所有请求都是随机值（比如?4137049=643182?），因而绕过了缓存，迫使每回页面重新加载，于是目标服务器很快就挂了，并且宕机了好几个小时。这次攻击者是使用的 WordPress 的 XML-RPC 的 pingbacks 端口进行攻击的，XML-RPC 是 WordPress 用于第三方客户端（如 WordPress iPhone 和安卓客户客户端，Windows Writer 等）的 API 接口，XML-RPC 还可以用于 pingbacks 和 trackbacks 端口，这个都可以用于站点之间的通讯，但是被误用，就可能被攻击者用来进行 DDoS 攻击。

以上这段话，有很多专业名词，如果看不懂可以忽略，说简单点就是黑客控制了162000台安装了wordpress的电脑，远程发送指令，让他们同时访问被攻击的站点，造成大量的请求，目标网站接待不过来，就被搞死了。

有人说白宫的网站也是用wordpress搭建的啊，为啥他的安全，我的就不安全呢？

一个站点的安全性由几个方面构成，

使用的建站程序，

服务器的安全性[window or liunx],

Web服务器软件的安全性，

操作人员的安全意识，

任何一个环节，都有可能导致站点的安全爆出致命问题。如果你的竞争对手盯上你，你就要当心了，轻则页面被改，重则私密数据被下载，如果用来做电商站，黑客甚至可以偷换收款账号来达到他的目的。

理论上讲，市面上大部分的wordpress站都可以被拿下，只是时间问题，信息差在这里起了决定作用，当0day漏洞被发现，到你知道这个漏洞来修补这段时间，你的站点完全暴露在外。举个简单的例子，目前最新wordpress版本是5.2.4(2019.10.14),假设5.2.3之前的版本都存在一通用漏洞可以直接获得管理员权限访问后台，这个时候只需要在google里搜索Powered by WordPress,就可以找到大量的可被攻击的网站。

所以根据丛林法则，不被发现才能最大限度的保护自己，需要把页脚的这行字符Powered by WordPress删掉。说个真实案例，最近刘哥站群中的一个wordpress站也被搞过，应该就是被扫描后自动上传了攻击文件，之后通过chrome浏览器访问该站点，就会跳出一个红红的窗口，提示不安全，不要访问。后来搞了很久才解决掉，流量肯定是受了影响了，吃一堑长一智，及时更新，记住哦......

对于建站，我现在一直推荐用的是Saas系统的Shopify，最近帮客户建的站也是基于Shopify的。不为别的，就是因为省心和安全，因为漏洞就像一颗雷，随时有可能会引爆。至今为止还没听过Shopify爆出过什么严重的漏洞，而且Saas系统一般会自动在后端及时更新。写这篇文章，纯属有感而发，我知道仍然会有大量的人选择wordpress建站，特别是企业站。刘哥在这里给你提个醒，关注一下网络安全，降低风险！

另外最近Shopify站建的多了，很有兴趣想做一套适合企业站的Shopify模板,如果能做出来那真是解决大问题了。因为Shopify可以做到一次搭建，终身免费，无服务器费用，无人工维护费用，天然抗ddos攻击。有兴趣的联系刘哥。

最后，如果你的身边有朋友在用wordpress建企业站，请把这篇文章转发给他。