การปลอมแปลงคำขอข้ามไซต์ (เรียกว่า CSRF หรือ XSRF) เป็นหนึ่งในการแฮ็กที่ร้ายแรงที่สุดที่เว็บไซต์ WordPress เผชิญ การแฮ็กนี้เกิดขึ้นเนื่องจากมีช่องโหว่ในปลั๊กอิน WordPress ที่ติดตั้งบนเว็บไซต์
ที่นี่ แฮ็กเกอร์หลอกให้ผู้ใช้เว็บไซต์ดำเนินการที่เป็นอันตราย ที่เป็นอันตรายต่อทั้งเจ้าของเว็บไซต์และผู้ใช้ การโจมตี CSRF อาจส่งผลกระทบร้ายแรงต่อทั้งสองฝ่ายและจำเป็นต้องป้องกันไม่ให้เกิดการโจมตี!
เมื่อใช้ CSRF แฮ็กเกอร์จะสามารถควบคุมเว็บไซต์ของคุณได้อย่างเต็มที่และใช้เพื่อเรียกใช้กิจกรรมที่เป็นอันตรายใดๆ ที่พวกเขาต้องการ พวกเขาสามารถเปลี่ยนเส้นทางผู้เยี่ยมชมของคุณไปยังไซต์ที่เป็นอันตรายอื่น ๆ หรือหลอกล่อให้ดาวน์โหลดมัลแวร์ พวกเขายังสามารถไปถึงขอบเขตของการขโมยเงินจากคุณและลูกค้าของคุณ!
ไม่ใช่แค่นั้น สิ่งต่างๆ อาจเป็นก้อนหิมะมากขึ้น และ Google อาจลงบัญชีดำไซต์ของคุณและผู้ให้บริการโฮสติ้งของคุณสามารถระงับไซต์ของคุณได้
หากคุณตกเป็นเหยื่อของการแฮ็กนี้หรือต้องการป้องกัน เราพร้อมช่วยเหลือคุณ ในบทความนี้ เราจะแสดงวิธีแก้ไขการโจมตี CSRF และวิธีป้องกัน
TL;DR: หากเว็บไซต์ของคุณถูกแฮ็ก คุณต้องแก้ไขทันที เราขอแนะนำให้ดาวน์โหลดและติดตั้ง CSRF Attack Removal Plugin บนเว็บไซต์ของคุณเพื่อเรียกใช้การสแกนเว็บไซต์ของคุณอย่างละเอียดและทำความสะอาดทันที เมื่อเว็บไซต์ของคุณสะอาดแล้ว ปลั๊กอินจะปกป้องเว็บไซต์ของคุณจากการพยายามแฮ็คในอนาคต
สารบัญ
→ การโจมตี CSRF คืออะไร (การปลอมแปลงคำขอข้ามไซต์)?
→ ช่องโหว่ของ WordPress CSRF เกิดขึ้นได้อย่างไรบนไซต์ของคุณ?
→ จะป้องกันการโจมตี CSRF บนเว็บไซต์ WordPress ได้อย่างไร
→ มาตรการป้องกัน CSRF สำหรับนักพัฒนาปลั๊กอิน
→ มาตรการป้องกัน CSRF สำหรับเจ้าของเว็บไซต์ WordPress
การโจมตี CSRF คืออะไร ( การปลอมแปลงคำขอข้ามไซต์ )?
การโจมตี CSRF WordPress นั้นซับซ้อนเล็กน้อยที่จะเข้าใจ แต่เราจะทำลายมันให้มากที่สุด
บนเว็บไซต์ที่มีการสมัครสมาชิก สมาชิก หรือการเข้าสู่ระบบ ผู้ใช้แต่ละคนมีสิทธิพิเศษในการเข้าถึงบัญชีของตนเองบนไซต์ ตัวอย่างเช่น บัญชี Amazon, บัญชี Gmail หรือแม้แต่บัญชีธนาคารออนไลน์
เว็บไซต์ดังกล่าวให้ข้อมูลรับรองการเข้าสู่ระบบแก่ผู้ใช้ – ชื่อผู้ใช้และรหัสผ่าน สิ่งนี้ทำเพื่อตรวจสอบสิทธิ์ผู้ใช้ ดังนั้น เมื่อผู้ใช้ต้องการเข้าสู่ระบบ ให้ป้อนชื่อผู้ใช้และรหัสผ่านเพื่อยืนยันตัวเอง ด้วยวิธีนี้ เว็บไซต์จะสามารถสร้างความไว้วางใจกับผู้ใช้และเบราว์เซอร์ได้
ในการโจมตี CSRF แฮ็กเกอร์จะหลอกผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์นี้ให้ดำเนินการที่เป็นอันตราย
1. ทำความเข้าใจ 'ข้ามไซต์'
เพื่ออธิบายว่าสิ่งนี้เกิดขึ้นได้อย่างไร ลองใช้ตัวอย่าง สมมติว่าผู้ใช้ลงชื่อเข้าใช้ไซต์ A และเปิดทิ้งไว้บนแท็บในเบราว์เซอร์ (โปรดจำไว้ว่าไซต์ A นี้เข้าสู่ระบบ – เป็นสิ่งสำคัญ)
ตอนนี้ สมมติว่าแฮ็กเกอร์มีที่อยู่อีเมลของผู้ใช้ พวกเขาส่งอีเมลถึงผู้ใช้เกี่ยวกับส่วนลดที่เหลือเชื่อที่จะหมดอายุในอีกไม่กี่ชั่วโมงข้างหน้า ผู้ใช้ถูกหลอกให้คลิกลิงก์ในอีเมล นี่เป็นการเปิดเว็บไซต์ที่เรียกว่าไซต์ B (ซึ่งดำเนินการโดยแฮ็กเกอร์)
ในไซต์ B พวกเขาจะต้องกรอกแบบฟอร์มหรือป้อนที่อยู่อีเมลเพื่อขอรับส่วนลด ผู้ใช้คลิกปุ่มที่ดูเหมือนปกติเพื่อ "ส่ง" แบบฟอร์ม
แต่เบื้องหลังของปุ่ม "ส่ง" นี้ในไซต์ B แฮกเกอร์ได้แทรกสคริปต์ที่เป็นอันตรายของตน
ตอนนี้จำไซต์ A ที่เปิดอยู่บนแท็บอื่น สคริปต์นี้ส่งคำขอไปยังไซต์ A และเรียกใช้การดำเนินการที่เป็นอันตราย นี่คือเหตุผลที่เรียกว่า 'ข้ามไซต์'
2. ทำความเข้าใจคำขอ
สคริปต์แฮกเกอร์ส่งคำขอจากไซต์ B ไปยังไซต์ A ในนามของผู้ใช้ การกระทำที่เป็นอันตรายที่ไม่พึงประสงค์อาจเป็นอะไรก็ได้ตั้งแต่การเปลี่ยนรหัสผ่านของผู้ดูแลระบบไปจนถึงการโอนเงินออกจากบัญชีธนาคาร!
3. ทำความเข้าใจ 'การปลอมแปลง'
สุดท้ายนี้ เนื่องจากแฮ็กเกอร์ใช้การรับรองความถูกต้องของผู้ใช้เพื่อหลอกไซต์ A จึงเป็น 'การปลอมแปลง' ดังนั้นชื่อ 'Cross-site Request Forgery'
โดยสรุป แฮ็กเกอร์ทำให้ไซต์ A คิดว่าคำสั่งที่เป็นอันตรายของพวกเขาเป็นคำขอที่ถูกต้องตามกฎหมายที่ส่งจากผู้ใช้ที่ตรวจสอบสิทธิ์ แต่เป็นไปได้อย่างไรที่ไซต์ B จะส่งคำขอไปยังไซต์ A? เราจะเจาะลึกลงไปว่าสิ่งนี้จะเกิดขึ้นได้อย่างไรในหัวข้อถัดไป
หมายเหตุ: ส่วนนี้เป็นหัวข้อทางเทคนิคและเหมาะสำหรับผู้ใช้ WordPress หรือนักพัฒนาที่มีประสบการณ์ หากคุณต้องการข้ามและไปที่การป้องกันการโจมตี CSRF ในเว็บไซต์ของคุณโดยตรง ให้ข้ามไปที่ มาตรการป้องกัน CSRF สำหรับเจ้าของเว็บไซต์ WordPress
[กลับไปด้านบน↑]
ช่องโหว่ CSRF ของ WordPress เกิดขึ้นได้อย่างไรบนไซต์ของคุณ
เพื่ออธิบายว่าช่องโหว่เกิดขึ้นได้อย่างไร เราต้องเข้าใจว่าเบราว์เซอร์ของผู้ใช้และเว็บไซต์สื่อสารกันอย่างไร
1. ทำความเข้าใจคำขอของเบราว์เซอร์
เราจะพูดถึงคำขอ HTTP และคุกกี้ของเบราว์เซอร์สองประเภท:
ก. คำขอ HTTP GET
เมื่อคุณเยี่ยมชมเว็บไซต์ คุณจะส่งคำขอ HTTP GET ไปยังเซิร์ฟเวอร์ของเว็บไซต์นั้น คำขอนี้จะขอข้อมูลที่จำเป็นสำหรับการแสดงส่วนหน้าของไซต์ เว็บเซิร์ฟเวอร์จะตอบกลับและส่งข้อมูลที่ร้องขอ จากนั้นเนื้อหาของเว็บไซต์จะโหลดขึ้นบนเบราว์เซอร์ของคุณ
เมื่อบุคคลไม่ได้ลงชื่อเข้าใช้ไซต์ แสดงว่าเป็นผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์ ดังนั้นเมื่อมีการส่งคำขอ GET และ POST จะไม่มีการใช้คุกกี้ ไม่มีปัญหาด้านความปลอดภัยในสถานการณ์นี้ แต่เมื่อผู้ใช้เข้าสู่ระบบ ตอนนี้พวกเขากลายเป็นผู้ใช้ที่ตรวจสอบสิทธิ์แล้ว
เว็บไซต์ใช้คุกกี้เพื่อจดจำและตอบสนองผู้ใช้รายนี้ สามารถใช้คุกกี้เหล่านี้เพื่อสร้างข้อมูลที่เกี่ยวข้องกับ ID ที่ไม่ซ้ำกันเท่านั้น ช่วยให้ผู้ใช้เข้าสู่ระบบได้อย่างง่ายดาย แสดงโฆษณาที่ปรับแต่งตามความต้องการของผู้ใช้ หรือแสดงผลิตภัณฑ์ที่ผู้ใช้ชอบ ฯลฯ
ii. กระบวนการ CSRF
ตอนนี้กลับมาที่จุดอ่อนของ CSRF ที่จะเกิดขึ้น เพื่อให้การโจมตีครั้งนี้มีประสิทธิภาพ แฮ็กเกอร์จำเป็นต้องใช้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ซึ่งใช้คุกกี้
เราจะอธิบายสิ่งนี้ด้วยตัวอย่าง ในที่นี้ เราจะแสดงให้คุณเห็นว่าแฮ็กเกอร์สามารถควบคุมบัญชีของผู้ใช้ได้อย่างไร จากนั้นจึงใช้เพื่อแฮ็กเว็บไซต์ของคุณโดยใช้ช่องโหว่ของ CSRF
→ จะเกิดอะไรขึ้นกับผู้ใช้
- ผู้ใช้เข้าสู่ระบบ targetwebsite.com บนเบราว์เซอร์
- ขั้นต่อไป แฮ็กเกอร์จะหลอกล่อผู้ใช้รายนี้ให้คลิกที่ trickwebsite.com โดยการส่งอีเมลที่บอกให้พวกเขาเยี่ยมชมไซต์นี้และลงทะเบียนเพื่อรับ $50 ในบัญชีของพวกเขา (ลิงก์เหล่านี้สามารถแทรกลงใน targetwebsite.com ได้โดยใช้ช่องโหว่อื่นๆ)
- เราจะถือว่าเหยื่อคิดว่าเว็บไซต์หลอกลวงนี้ถูกต้องตามกฎหมายและ ตกเป็นเหยื่อหลอกลวง . ที่นี่ พวกเขากรอกแบบฟอร์มพร้อมรายละเอียดและคลิก "ส่ง"
- ใน trickwebsite.com แฮกเกอร์ได้วางโค้ด HTML ไว้ข้างหลังปุ่ม "ส่ง" นี้แล้ว เมื่อคลิกแล้ว จะส่งคำขอ POST ไปยัง targetwebsite.com (ที่ผู้ใช้เข้าสู่ระบบอยู่แล้ว) ในนามของผู้ใช้รายนี้
→ จะเกิดอะไรขึ้นกับเว็บไซต์
- การใช้คุกกี้ targetwebsite.com ตรวจสอบผู้ใช้ (และเบราว์เซอร์) และ อนุญาตคำขอ . คำขอนี้จะดูถูกต้องเนื่องจากมาจากผู้ใช้ที่ตรวจสอบสิทธิ์
- แต่คำขอ POST ที่ส่งมีสคริปต์อันตรายที่อาจเป็นอันตรายต่อเว็บไซต์ ตัวอย่างเช่น สคริปต์อาจมีคำสั่งให้ เปลี่ยนรหัสผ่านบัญชีปัจจุบันเป็น “newpassword123” .
- เมื่อคำขอได้รับการยอมรับจาก targetwebsite.com , รหัสจะทำงานและเปลี่ยนรหัสผ่าน จากนั้น แฮ็กเกอร์จะสามารถลงชื่อเข้าใช้บัญชีได้ โดยใช้รหัสผ่านใหม่และควบคุมอย่างเต็มที่
- ขั้นต่อไป แฮ็กเกอร์สามารถโจมตีเพิ่มเติมบนเว็บไซต์ได้แล้ว ขึ้นอยู่กับสิทธิ์ที่มอบให้กับผู้ใช้รายนี้ พวกเขาอาจสามารถเข้าถึง targetwebsite.com's ฐานข้อมูลและ ควบคุมการทำงาน เช่นกัน
นี่เป็นเพียงตัวอย่างหนึ่งของสิ่งที่แฮ็กเกอร์สามารถทำได้โดยใช้การโจมตี CSRF มีสถานการณ์อื่นอีกมากมายที่สามารถเกิดขึ้นได้ แต่ทั้งผู้ใช้และเว็บไซต์จะได้รับผลกระทบจากการแฮ็กนี้
[กลับไปด้านบน↑]
วิธีป้องกัน CSRF โจมตีเว็บไซต์ WordPress หรือไม่
เว็บไซต์ WordPress ถูกโจมตีโดย CSRF เนื่องจากปลั๊กอินมีช่องโหว่ที่ทำให้เกิดขึ้นได้
ตามรายงานการเปิดเผยข้อมูลฉบับสมบูรณ์โดย PluginVulnerabilities.com ปลั๊กอินยอดนิยมหลายตัวที่พวกเขาตรวจสอบมีปัญหาด้านความปลอดภัยซึ่งทำให้เว็บไซต์เสี่ยงต่อการโจมตี CSRF เพื่อป้องกันการแฮ็ก CSRF ผู้พัฒนาปลั๊กอินจำเป็นต้องใช้มาตรการรักษาความปลอดภัยบางอย่าง เราจะพูดถึงมาตรการเหล่านี้โดยสังเขปแล้วบอกคุณว่าในฐานะเจ้าของไซต์ WordPress จะทำอะไรได้บ้างเพื่อหยุดการโจมตี CSRF
- มาตรการป้องกัน CSRF สำหรับนักพัฒนาปลั๊กอิน
- มาตรการป้องกัน CSRF สำหรับเจ้าของเว็บไซต์ WordPress
ม. มาตรการป้องกัน CSRF สำหรับนักพัฒนาปลั๊กอิน
หากคุณเป็นนักพัฒนาปลั๊กอิน ต่อไปนี้เป็นมาตรการบางประการที่คุณสามารถใช้เพื่อช่วยป้องกันการโจมตี CSRF:
1. โทเค็นต่อต้าน CSRF
โทเค็นต่อต้าน CSRF เป็นค่าที่ซ่อนอยู่ซึ่งส่งพร้อมกับคุกกี้และคำขอของผู้ใช้รายใดรายหนึ่ง นี่คือวิธีการทำงาน:
- เว็บเซิร์ฟเวอร์สร้างโทเค็นนี้และ วางเป็นฟิลด์ที่ซ่อนอยู่ ในแบบฟอร์ม
- เมื่อผู้ใช้กรอกและส่งแบบฟอร์ม โทเค็นจะรวมอยู่ในคำขอ POST .
- เซิร์ฟเวอร์จะ เปรียบเทียบ โทเค็นที่สร้างและโทเค็นที่ผู้ใช้ส่ง
หากตรงกัน คำขอจะถูกต้อง หากไม่ตรงกัน จะถือว่าคำขอนั้นไม่ถูกต้อง ซึ่งจะช่วยป้องกันการโจมตี CSRF ไม่ให้เกิดขึ้น
นักพัฒนาสามารถเพิ่มโทเค็นเหล่านี้ได้ในขณะที่สร้างหรืออัปเดตปลั๊กอิน
2. ใช้ Nonces
แม้ว่าจะใช้แทนกันได้ แต่ Anti-CSRF Token และ Nonces นั้นแตกต่างกัน ค่า nonce (ตัวเลขที่ใช้ครั้งเดียว) เป็นเหมือนรหัสผ่านแบบใช้ครั้งเดียวที่สร้างขึ้นสำหรับคำขอ
เมื่อส่งคำขอ HTTP ระบบจะสร้าง nonce เพื่อยืนยันคำขอ แต่เมื่อใช้แล้ว nonce จะถูกยกเลิกและผู้ใช้ไม่สามารถส่งแบบฟอร์มอีกครั้งโดยใช้ค่า nonce เดิม
3. คุกกี้ไซต์เดียวกัน
การโจมตี CSRF เป็นไปได้เนื่องจากคำขอข้ามไซต์ที่ทำโดยใช้คุกกี้เดียวกัน คุกกี้ไซต์เดียวกันหมายความว่าสามารถส่งคุกกี้ได้ก็ต่อเมื่อมีการร้องขอจากเว็บไซต์เดียวกันกับที่สร้างคุกกี้
ปัญหาของวิธีนี้คือ Chrome และ Firefox และเบราว์เซอร์อื่นๆ บางเบราว์เซอร์อาจใช้คุกกี้ของไซต์เดียวกันไม่ได้ทุกเบราว์เซอร์
สามารถใช้เป็นชั้นป้องกันเพิ่มเติมได้ แต่ไม่ควรใช้เพียงอย่างเดียวเพื่อป้องกันการโจมตี CSRF
เราจะไม่ลงรายละเอียดเพิ่มเติมเกี่ยวกับมาตรการป้องกันเหล่านี้ เพราะทุกวันนี้แฮ็กเกอร์สามารถหลีกเลี่ยงมาตรการเหล่านี้เกือบทั้งหมดได้ แฮกเกอร์เริ่มฉลาดขึ้นในแต่ละวันและพัฒนาเทคนิคใหม่ๆ เพื่อเอาชนะมาตรการป้องกันที่เราใช้
เราจะไปยังมาตรการเชิงรุกและเชิงโต้ตอบที่คุณสามารถใช้ในฐานะเจ้าของไซต์ WordPress เพื่อป้องกันตัวเองจากการโจมตี CSRF เหล่านี้
[กลับไปด้านบน↑]
ii. มาตรการป้องกัน CSRF สำหรับเจ้าของเว็บไซต์ WordPress
ดังที่เราได้กล่าวไว้ข้างต้น ผู้สร้างปลั๊กอินควรใช้มาตรการเพื่อทำให้แอปพลิเคชันของตนปลอดภัย แต่ถ้าพวกเขาไม่ทำล่ะ? คุณจะทราบได้อย่างไรว่าปลั๊กอินใดใช้มาตรการต่อต้าน CSRF
WordPress ไม่ค่อยยืนหยัดในตัวเอง ปลั๊กอินมีบทบาทสำคัญในการทำงานและการออกแบบเว็บไซต์ ดังนั้นในขณะที่ไซต์ WordPress จำเป็นต้องมีปลั๊กอิน คุณเพียงแค่สุ่มสี่สุ่มห้าเชื่อหรือไม่ว่าปลั๊กอินเหล่านี้ใช้มาตรการรักษาความปลอดภัยที่เหมาะสม
ไม่! เจ้าของเว็บไซต์ต้องระมัดระวังและใช้มาตรการรักษาความปลอดภัยของตนเอง แม้ว่านักพัฒนาปลั๊กอินจะไม่ทำเช่นนั้นก็ตาม
สิ่งที่คุณทำได้เพื่อป้องกันตัวเองจากการโจมตี CSRF:
1. ใช้ปลั๊กอิน Anti-CSRF
มีปลั๊กอินไม่มากนักในที่เก็บ WordPress ที่มีไว้สำหรับการโจมตี CSRF โดยเฉพาะ เราพบสองสิ่งนี้:
(ก) การป้องกัน CSRF แบบฟอร์มแสดงความคิดเห็น – ปลั๊กอิน WordPress นี้เพิ่มโทเค็นต่อต้าน CSRF ลงในแบบฟอร์มความคิดเห็นของคุณ โทเค็นมีค่าที่ไม่ซ้ำกันซึ่งถูกเก็บเป็นความลับและไม่สามารถคาดเดาได้ ดังนั้นหากผู้ใช้ส่งแบบฟอร์ม โทเค็นลับจะถูกส่งไปพร้อมกับแบบฟอร์ม เฉพาะในกรณีที่ตรงกัน คำขอส่งแบบฟอร์มจะได้รับการยอมรับ
(B) คุกกี้ไซต์เดียวกัน – ปลั๊กอินนี้ทำงานบนเบราว์เซอร์ที่รองรับซึ่งรวมถึง Chrome, Firefox, IE และ Edge ช่วยให้มั่นใจได้ว่าเมื่อมีการส่งคำขอ HTTP คุกกี้ที่ส่งมาจากไซต์เดียวกัน ซึ่งจะบล็อกคำขอข้ามไซต์ใดๆ ดังนั้นจึงบล็อกการโจมตี CSRF ทั้งหมด
2. ติดตั้งปลั๊กอินความปลอดภัย WordPress ทุกรอบ
มีปลั๊กอินความปลอดภัยมากมาย ใช้ได้กับเว็บไซต์ WordPress ปลั๊กอินเหล่านี้ช่วยให้ไซต์ของคุณปลอดภัยจากแฮกเกอร์ทุกประเภท รวมถึงประเภท CSRF แต่ปลั๊กอินความปลอดภัยบางตัวไม่ได้ให้ระดับความปลอดภัยเท่ากัน
นอกจากนี้ การโจมตี CSRF ยังหาได้ยาก แฮกเกอร์ปลอมตัวจากเจ้าของไซต์และผู้ใช้ได้ดี ดังนั้นจึงไม่มีใครสังเกตเห็น คุณต้องมีปลั๊กอินที่สามารถตรวจจับมัลแวร์ที่ปลอมแปลงได้
ขณะเลือกปลั๊กอินความปลอดภัย คุณต้องตรวจสอบให้แน่ใจว่าปลั๊กอินทำสิ่งต่อไปนี้เพื่อป้องกันการโจมตี CSRF:
- สแกนเป็นประจำ เว็บไซต์ของคุณสำหรับสคริปต์ที่เป็นอันตราย
- รวมไฟล์และฐานข้อมูลทั้งหมด ของเว็บไซต์ของคุณ
- มีความสามารถในตรวจจับมัลแวร์ทุกชนิด - รวมทั้งใหม่ ซ่อนหรือปลอมแปลง (ปลั๊กอินบางตัวค้นหาเฉพาะมัลแวร์ที่ค้นพบแล้วเท่านั้น)
- แจ้งเตือนคุณ หากมีกิจกรรมที่น่าสงสัยบนเว็บไซต์ของคุณ
- ให้แดชบอร์ดอิสระ เพื่อให้คุณสามารถทำความสะอาดเว็บไซต์ของคุณได้แม้ว่าแฮ็กเกอร์จะล็อกคุณออกจากบัญชีผู้ดูแลระบบของคุณเอง
ปลั๊กอินที่ให้การป้องกันและคุณสมบัติดังกล่าวแก่คุณคือ MalCare เมื่อคุณติดตั้งปลั๊กอินบนเว็บไซต์ WordPress ของคุณแล้ว ปลั๊กอินดังกล่าวจะช่วยให้คุณสามารถกำจัดการโจมตี CSRF ได้ นอกจากนี้ยัง กำจัดมัลแวร์ WordPress แฮ็กเกอร์อาจเพิ่มลงในไซต์ของคุณในระหว่างการแฮ็ก
เว็บไซต์ของคุณจะได้รับการป้องกันด้วยไฟร์วอลล์เชิงรุกที่จะบล็อกที่อยู่ IP ที่เป็นอันตรายและบอทที่ไม่ดีไม่ให้เข้าชมเว็บไซต์ของคุณ
หากแฮ็กเกอร์จัดการแฮ็กเว็บไซต์ของคุณโดยใช้คำขอข้ามไซต์ที่เป็นอันตราย ปลั๊กอินความปลอดภัย WordPress นี้จะแจ้งเตือนคุณทันที จากนั้นคุณสามารถดำเนินการได้ทันทีโดยใช้ปลั๊กอินเดียวกัน
3. ทำให้เว็บไซต์ของคุณแข็งแกร่ง
WordPress ขอแนะนำให้คุณใช้มาตรการบางอย่างเพื่อทำให้เว็บไซต์ของคุณแข็งแกร่งขึ้น ซึ่งจะทำให้แฮ็กเกอร์เจาะระบบได้ยากมาก เราได้กล่าวถึงมาตรการบางอย่างโดยสังเขป แต่ เราแนะนำให้อ่านคำแนะนำโดยละเอียดเกี่ยวกับการแข็งตัวของ WordPress .
เนื่องจากหลายประเด็นเหล่านี้เป็นข้อมูลทางเทคนิคเล็กน้อย คำแนะนำโดยละเอียดจะช่วยให้คุณเข้าใจเรื่องนี้มากขึ้น มาตรการเสริมความแข็งแกร่งบางประการเพื่อป้องกันหรือลดความเสียหายที่เกิดจากการโจมตี CSRF ได้แก่:
ก. ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย
การตรวจสอบสิทธิ์แบบสองปัจจัยจะเพิ่มการตรวจสอบผู้ใช้อีกชั้นหนึ่ง ผู้ใช้จะต้องป้อนข้อมูลรับรองการเข้าสู่ระบบหลังจากนั้นจะต้องใช้รหัสผ่านที่สอง ซึ่งอาจเป็นรหัสผ่านแบบใช้ครั้งเดียวที่ส่งไปยังอีเมลหรือหมายเลขโทรศัพท์ที่ลงทะเบียนไว้ของผู้ใช้ นอกจากนี้ยังอาจเป็นหมายเลขการตรวจสอบสิทธิ์ที่สร้างโดยแอป เช่น Google Authenticator
ข. บล็อกการดำเนินการ PHP ในโฟลเดอร์ที่ไม่น่าเชื่อถือ
หากการโจมตี CSRF ทำให้แฮ็กเกอร์สามารถเข้าถึงไฟล์ในเว็บไซต์ของคุณ พวกเขาสามารถเรียกใช้ฟังก์ชัน PHP เพื่อทำงานที่เป็นอันตรายได้ (ฟังก์ชัน PHP คือบล็อกของโค้ดที่เขียนในโปรแกรม) คุณยังสามารถปิดการทำงานของ PHP ได้ในที่ที่ไม่จำเป็นต้องเกิดขึ้น
ค. ปิดการใช้งานตัวแก้ไขไฟล์
หากแฮ็กเกอร์เข้าถึงบัญชีผู้ดูแลระบบ WordPress ของคุณ พวกเขาก็จะสามารถควบคุมเว็บไซต์ของคุณได้อย่างเต็มที่ บนแดชบอร์ด พวกเขาสามารถเข้าถึง "ตัวแก้ไข" ภายใต้ปลั๊กอินหรือธีมของคุณ ที่นี่ พวกเขาสามารถแก้ไขหรืออัปโหลดสคริปต์ของตนเองเพื่อแสดงเนื้อหา ทำให้ไซต์ของคุณเสียหาย SEO สแปมผู้ใช้ของคุณ ฯลฯ
ง. เปลี่ยนคีย์ความปลอดภัย
คุณอาจสังเกตเห็นว่าคุณไม่จำเป็นต้องป้อนข้อมูลรับรองการเข้าสู่ระบบทุกครั้งที่คุณต้องการเข้าถึงบัญชี WordPress ของคุณ มีอยู่แล้วในฟิลด์ที่กำหนด เพื่อให้แน่ใจว่าข้อมูลนี้จะปลอดภัยจากแฮ็กเกอร์ WordPress จะใช้คีย์ความปลอดภัยที่เข้ารหัสและจัดเก็บข้อมูลนี้ หากแฮ็กเกอร์บุกเข้าไปในไซต์ของคุณโดยใช้การโจมตี CSRF พวกเขาอาจเข้าถึงข้อมูลนี้ . จากนั้นพวกเขาสามารถเปลี่ยนเป็นอย่างอื่นและใช้เพื่อลงชื่อเข้าใช้บัญชีผู้ดูแลระบบของเว็บไซต์ของคุณเมื่อต้องการ
- คุณใช้มาตรการชุบแข็งเหล่านี้ได้ด้วยตนเองตามที่อธิบายไว้ในคู่มือที่เราแนะนำ หรือคุณสามารถใช้ MalCare เพื่อติดตั้งได้ในไม่กี่คลิก
4. ลบธีมและปลั๊กอินที่ไม่ได้ใช้ทั้งหมด
ยิ่งคุณติดตั้งปลั๊กอินและธีมบนเว็บไซต์มากเท่าไร แฮกเกอร์ก็ยิ่งมีโอกาสใช้ประโยชน์จากมันมากขึ้นเท่านั้น ทางที่ดีควรลบปลั๊กอินและธีมที่ไม่ได้ใช้และเก็บเฉพาะตัวที่คุณใช้
นอกจากนี้ คุณยังสามารถใช้มาตรการรักษาความปลอดภัยเพิ่มเติมอีกสองสามอย่าง เช่น การย้ายไซต์ของคุณจาก HTTP เป็น HTTPS การติดตั้งปลั๊กอินความปลอดภัย และการปกป้องหน้าเข้าสู่ระบบ
[กลับไปด้านบน↑]
ความคิดสุดท้าย
การโจมตี CSRF มีผลกระทบร้ายแรงต่อทั้งผู้ใช้และเว็บไซต์
หากแฮ็กเกอร์ประสบความสำเร็จในการเรียกใช้สคริปต์ผ่านคำขอ HTTP พวกเขาสามารถเข้าควบคุมเว็บไซต์ของคุณได้ หลังจากนี้ไม่มีใครบอกว่าพวกเขาทำอะไรได้บ้าง พวกเขาอาจทำให้เว็บไซต์ของคุณเสียหายเพื่อแสดงโฆษณาชวนเชื่อของตนเองหรือขายผลิตภัณฑ์หรือยาผิดกฎหมาย พวกเขายังเปลี่ยนเส้นทางผู้เยี่ยมชมเว็บไซต์ของคุณไปยังเว็บไซต์ของตนเองได้อีกด้วย
ไซต์เหล่านี้มักจะเป็นไซต์สำหรับผู้ใหญ่ ไซต์ที่ขายผลิตภัณฑ์ที่ผิดกฎหมาย หรือไซต์ที่หลอกล่อผู้เยี่ยมชมให้ดาวน์โหลดมัลแวร์
- ในฐานะเจ้าของเว็บไซต์ คุณต้องใช้มาตรการเพื่อให้แน่ใจว่าคุณจะปลอดภัยจากการโจมตีเหล่านี้ เราขอแนะนำให้คุณเก็บปลั๊กอินความปลอดภัยไว้ เช่น MalCare ที่ทำงานอยู่บนไซต์ WordPress ของคุณ เนื่องจากจะให้การป้องกันแบบรอบด้าน
- เราขอแนะนำให้ใช้มาตรการเสริมความแข็งแกร่งของเว็บไซต์ เพื่อทำให้แฮกเกอร์เจาะระบบได้ยาก
- สุดท้ายนี้ โปรดใช้ความระมัดระวังในขณะที่ใช้ปลั๊กอินและธีม ติดตั้งธีมและปลั๊กอินที่เชื่อถือได้ จากพื้นที่เก็บข้อมูล WordPress หรือตลาดกลาง เช่น ThemeForest และ CodeCanyon
เรามั่นใจว่าเมื่อคุณใช้มาตรการเหล่านี้บนเว็บไซต์ WordPress คุณจะปลอดภัยจากแฮกเกอร์!
ปกป้องไซต์ WordPress ของคุณด้วย MalCare!