Cách tin tặc đánh cắp email quản trị viên WordPress (và cách ngăn chặn chúng)

Chúng ta hãy bắt đầu với một sự thật khó chịu:

Địa chỉ email quản trị WordPress của bạn có lẽ được công khai nhiều hơn bạn nghĩ.
Còn tin tặc thì sao? Chúng rất thích điều đó.

Đối với họ, email quản trị của bạn không chỉ là hộp thư đến. Nó là một chiếc chìa khóa—một chiếc chìa khóa mở ra các cuộc tấn công spam, các nỗ lực lừa đảo, các cuộc đăng nhập bằng phương pháp tấn công vét cạn mật khẩu, và đôi khi là cả những sự cố "Đặt lại mật khẩu" lúc 3 giờ sáng.

Nếu bạn điều hành một WordPress trang web, biết Làm sao Việc tin tặc tìm ra email quản trị viên—và cách đóng các cổng đó—là điều cơ bản để sinh tồn.

Vì sao tin tặc lại ám ảnh về email quản trị của bạn?

Các hacker không thức dậy với suy nghĩ, "Hôm nay mình sẽ chiêm ngưỡng thiết kế website."“
Họ thức dậy và nghĩ, "Mình có thể làm hỏng cái gì đây?"“

Địa chỉ email quản trị của bạn giúp họ làm chính xác điều đó:

• Tấn công chiếm đoạt thông tin đăng nhập
  Bạn vô tình để lộ mật khẩu trên mạng? Tin tặc sẽ thử dùng chúng ở đây.
• Lừa đảo qua mạng
  Các email giả mạo "cảnh báo bảo mật WordPress" gây ảnh hưởng nghiêm trọng hơn khi được gửi đến người quản trị thực sự.
• Thư rác và phần mềm độc hại
  Một khi địa chỉ email của bạn đã bị lộ, hãy tận hưởng những thư rác kỹ thuật số.
• các nỗ lực chiếm đoạt tài khoản
  Email đặt lại mật khẩu là một công cụ mạnh mẽ—nếu rơi vào tay kẻ xấu.

Tóm lại: nếu họ biết địa chỉ email quản trị của bạn, nghĩa là bạn đã nằm trong tầm ngắm của họ rồi.

Cách tin tặc tìm ra địa chỉ email quản trị viên WordPress

Không có phép thuật. Không có cảnh hack máy tính kiểu Hollywood. Chủ yếu chỉ là do lười biếng… được tự động hóa một cách rất hiệu quả.

1. Trang tác giả: Sự chia sẻ quá mức ngoài ý muốn

WordPress tạo các trang tác giả rất hữu ích, ví dụ như:

yoursite.com/author/username

Nghe có vẻ vô hại. Nhưng:

• Nhiều giao diện hiển thị thông tin tác giả công khai.
• Ảnh Gravatar được liên kết với email.
• Tên người dùng có thể được đối chiếu với các cơ sở dữ liệu rò rỉ thông tin.

Chúc mừng—phần giới thiệu trên blog của bạn vừa được đưa vào danh sách tìm kiếm trên dark web.

2. Phần bình luận: Lời nói thiếu thận trọng sẽ làm hỏng trang web.

Những bình luận có thể âm thầm lan truyền nhiều thông tin hơn cả ý kiến.

• Một số giao diện xuất ra siêu dữ liệu ẩn.
• Các plugin cũ vô tình làm lộ email dưới dạng HTML.
• Các hacker thích chức năng "Xem mã nguồn" hơn cả cà phê.

Nếu phần bình luận không được khóa lại, chúng sẽ trở thành những cỗ máy phát thông tin.

3. Trang Liên hệ: Tiệc buffet được yêu thích nhất trên Internet

Lời nhắn thân thiện “Liên hệ với chúng tôi tại…” [email protected]”?

Các bot hiểu điều đó như sau:
“ĐÃ XÁC ĐỊNH ĐƯỢC MỤC TIÊU.”

Ngay cả những cách ngụy trang khéo léo như “admin [at] site [dot] com” cũng không phải lúc nào cũng hiệu quả. Bot thông minh hơn chúng ta tưởng.

4. API REST: Hữu ích cho nhà phát triển, cũng hữu ích cho tin tặc.

API REST của WordPress có thể cung cấp:

• Tên người dùng
• Mã băm Gravatar
• Dữ liệu người dùng công khai

Và từ mã băm của Gravatar, tin tặc đôi khi có thể phân tích ngược lại địa chỉ email.

Không lý tưởng.

5. XML-RPC: Cánh cửa phụ không ai khóa

Giao thức XML-RPC không trực tiếp làm rò rỉ email, nhưng một khi tin tặc có được email của bạn, nó sẽ trở thành con đường tấn công ưa thích của chúng.

Hãy tưởng tượng những lần đăng nhập tự động. Hàng nghìn lần. Rất nhanh.

6. Giao diện & Plugin: Điểm yếu nhất

Các plugin lỗi thời và giao diện được lập trình kém có thể:

• Email bị rò rỉ trong các mẫu
• Hiển thị dữ liệu quản trị trong nhật ký lỗi
• Nếu bị khai thác, hãy công khai bảng thông tin người dùng.

Tin tặc quét các phiên bản trước. Khai thác lỗ hổng sau. Không bao giờ ngủ.

Cách ngăn chặn tin tặc xâm nhập vào email quản trị của bạn

Tin tốt: bạn không cần phải đa nghi thái quá—chỉ cần thiết lập thông minh là được.

1. Hãy ngừng đăng bài với tư cách quản trị viên (Nghiêm túc đấy!)

Hãy tạo một tài khoản Tác giả hoặc Biên tập viên riêng biệt cho nội dung công khai.

• Tên chung
• Email chung
• Quản trị viên vẫn ẩn danh

Tài khoản quản trị của bạn nên đơn giản, riêng tư và ít khi được sử dụng.

2. Bảo mật API REST

Nếu không cần thiết phải công khai, hãy hạn chế việc sử dụng nó.

• Giới hạn quyền truy cập chỉ cho người dùng đã đăng nhập.
• Hoặc vô hiệu hóa các điểm cuối được hiển thị.

Ít dữ liệu hơn = ít rắc rối hơn.

3. Xóa hoặc ẩn kho lưu trữ tác giả

Nếu bạn không cần /tác giả/tên người dùng trang:

• Noindex hoặc vô hiệu hóa chúng thông qua các plugin SEO.
• Chuyển hướng họ đến trang chủ
• Hãy giả vờ như họ chưa từng tồn tại.

Tin tặc sẽ không để ý đến những gì chúng không tìm thấy.

4. Dọn dẹp cài đặt bình luận

• Không nên để lộ địa chỉ email trong mã HTML.
• Sử dụng các plugin chống thư rác an toàn
• Giữ kín dữ liệu bình luận

Phần bình luận của bạn nên khơi gợi thảo luận, chứ không phải rò rỉ dữ liệu.

5. Hãy loại bỏ email công khai, thay vào đó sử dụng biểu mẫu.

Nếu người dùng cần liên hệ với bạn:

• Sử dụng biểu mẫu liên hệ
• Làm mờ email bằng JavaScript
• Không bao giờ hiển thị email quản trị viên ở phần chân trang.

Các biểu mẫu không bị thu thập dữ liệu. Chỉ có email mới bị thu thập.

6. Vô hiệu hóa XML-RPC (nếu có thể)

Nếu bạn không sử dụng nó:

• Tắt nó đi
• Hoặc hạn chế nó một cách nghiêm ngặt.

Loại bỏ một hướng tấn công. Không hề hối tiếc.

7. Luôn luôn cập nhật mọi thứ.

Hầu hết các vụ rò rỉ xảy ra qua:

• Các plugin cũ
• Các chủ đề bị bỏ rơi
• Đã bỏ qua các bản cập nhật WordPress

Nếu bạn không dùng đến thứ gì đó nữa thì hãy xóa nó đi.
Sự lộn xộn kỹ thuật số thu hút tội phạm mạng.

8. Sử dụng plugin bảo mật thực sự

Các plugin bảo mật tốt không chỉ ngăn chặn các cuộc tấn công mà còn ngăn ngừa rò rỉ thông tin.

• Phát hiện bot
• bảo vệ chống lạm dụng API
• Giám sát đăng nhập

Hãy coi chúng như những người bảo vệ cho trang web của bạn.

Lời kết: Quyền riêng tư là một tính năng hiệu suất.

Việc bảo vệ email quản trị WordPress của bạn không phải là "biện pháp bảo mật bổ sung".“
Đó là vệ sinh cơ bản.

Tin tặc thường dựa vào các thiết lập mặc định lười biếng.
Bạn thắng bằng cách thông minh hơn một chút so với mức mặc định.

Tại AIRSANG, Tư duy này đã ăn sâu vào mọi việc chúng tôi làm.
Chúng tôi chuyên về thương mại điện tử xuyên biên giới., WordPress & Shopify Thiết kế website và tính ổn định lâu dài của website—không chỉ là hình ảnh đẹp mắt vào ngày ra mắt.

Nếu bạn đang xây dựng một trang web toàn cầu, thiết kế lại cửa hàng trực tuyến hoặc tăng cường bảo mật trước khi mở rộng quy mô, chúng tôi rất sẵn lòng hỗ trợ.
Chúng tôi không chỉ thiết kế website—chúng tôi thiết kế các hệ thống có thể phát triển an toàn.

Theo AIRSANG Để có thêm những hiểu biết thực tiễn về thiết kế web, hiệu suất và tăng trưởng xuyên biên giới.