WordPress 網站建設中常見的安全漏洞有哪些？

隨着互聯網的發展，網絡安全問題越來越受到大家重視，一個企業的網站如果出現安全問題，對企業的品牌形象和多用户信任度影響非常大，那如何保障網站的安全問題呢？我們能做的就是在出現問題前做好預防，今天 SEO 站羣來分享一些網站建設中常見的安全漏洞。

　　1 、明文傳輸

　　問題描述：對系統多用户口令保護不足，攻擊者可以利用攻擊工具，從網絡上竊取合法的多用户口令資料。

　　修改建議：傳輸的密碼必須加密。

　　注意：所有密碼要加密。要複雜加密。不要用 base64 或 md5 。

　　2 、 sql 注入

　　問題描述：攻擊者利用 sql 注入漏洞，可以獲取資料庫中的多種資訊，如：管理後台的密碼，從而脱取資料庫中的內容（脱庫）。

　　修改建議：對輸入引數進行過濾、校驗。採用黑白名單方式。

　　注意：過濾、校驗要覆蓋系統內所有的引數。

　　3 、跨站指令碼攻擊

　　問題描述：對輸入資訊沒有進行校驗，攻擊者可以通過巧妙的方法注入惡意指令代碼到網頁。這種代碼通常是 JavaScript，但實際上，也可以包括 Java 、 VBScript 、 ActiveX 、 Flash 或者普通的 HTML 。攻擊成功之後，攻擊者可以拿到更高的許可權。

　　修改建議：對多用户輸入進行過濾、校驗。輸出進行 HTML 實體編碼。

　　注意：過濾、校驗、 HTML 實體編碼。要覆蓋所有引數。

　　4 、檔案上傳漏洞

　　問題描述：沒有對檔案上傳限制，可能會被上傳可執行檔案，或指令碼檔案。進一步導致服務器淪陷。

　　修改建議：嚴格驗證上傳檔案，防止上傳 asp 、 aspx 、 asa 、 php 、 jsp 等危險指令碼。同事知名加入檔案頭驗證，防止多用户上傳非法檔案。

　　5 、敏感資訊泄露

　　問題描述：系統暴露內部資訊，如：網站的絕對路徑、網頁原始碼、 SQL 語句、中介軟件版本、程序異常等資訊。

　　修改建議：對多用户輸入的異常字元過濾。遮蔽一些錯誤回顯，如自定義 404 、 403 、 500 等。

　　6 、命令執行漏洞

　　問題描述：指令碼程序呼叫如 php 的 system 、 exec 、 shell_exec 等。

　　修改建議：打補丁，對系統內需要執行的命令要嚴格限制。

　　7 、 CSRF（跨站請求偽造）

　　問題描述：使用已經登陸多用户，在不知情的情況下執行某種動作的攻擊。

　　修改建議：新增 token 驗證。時間戳或這圖片驗證碼。

　　8 、 SSRF 漏洞

　　問題描述：服務端請求偽造。

　　修改建議：打補丁，或者解除安裝無用的包

　　9 、預設口令、弱口令

　　問題描述：因為預設口令、弱口令很容易讓人猜到。

　　修改建議：加強口令強度不適用弱口令

　　注意：口令不要出現常見的單詞。如：root123456 、 admin1234 、 qwer1234 、 p ssw0rd 等。

　　當然以上這些並不是所有可能出現的漏洞，企業網站在運營過程中一定要經常檢測維護，知名有專門的負責人對企業網站定期檢測維護，確保網站安全。