今天是 Tonny 大大,來教大家資安,
資安是標準配備,就像車子的煞車一樣,這句話說的非常好阿!
另外就是從事資安這個行業道德一定要夠。

Health Check & Troubleshooting
https://tw.wordpress.org/plugins/health-check/
官方出的,建議安裝,可以檢查核心檔案有沒有被修改過,可是今天晚上測試他一直說有幾個有變動過,打開來卻是一片空白。

Security Ninja,
會寫出你該要修正的問題,免費版本會寫解法,再自己去手動處理,pro 版本可以自動修正,
這個免費版本的解法就寫的蠻詳細的了,而且還蠻多都是要你去改function.php,可以自己寫一次,之後就複製貼上就好。
看了一下一些簡單的東西,如下,其他來不及看,就自己裝起來掃描一次看內容拉。

  1. 啟用兩階段認證
  2. 資料表前綴不要用 wp_
  3. 移除 /wp-admin/install.php
  4. 移除 /wp-admin/upgrade.php
  5. define(‘DISALLOW_FILE_EDIT’, true);

NinjaScanner
看起來好像也是掃描檔案有沒有變動過,看介紹還有資料庫的快照,總之就是讓你看你的WordPress 有沒有被入侵植入奇怪的程式。

Content Security Policy Pro
阻止跨站攻擊的防護,但是這些是什麼我不太懂,下面找了兩篇很久之前的文章參考,不過還沒看。
https://devco.re/blog/2014/03/10/security-issues-of-http-headers-1/
https://devco.re/blog/2014/04/08/security-issues-of-http-headers-2-content-security-policy/

Feature Policy
google 出的,看起來像是一些功能權限的政策。

一些小聚提到的網址
Critical zero-day vulnerability fixed in WordPress Easy WP SMTP plugin.
https://blog.nintechnet.com/critical-0day-vulnerability-fixed-in-wordpress-easy-wp-smtp-plugin/

駭客開採WordPress外掛程式漏洞以進行技術支援詐騙
https://www.ithome.com.tw/news/129525

Analyse your HTTP response headers
https://securityheaders.com/

HGET.IO – Analyse your HTTP response headers
https://hget.io/

hackertarget.com 檢查弱點
https://hackertarget.com/

可以用下面的關鍵字去google,就可以找到最近WordPress 有沒有什麼弱點,或是套件有問題,如果自己有用到的話就要去想辦法補起來。
WordPress exploit
Joomla exploit

https://www.exploit-db.com/google-hacking-database
這個超不妙阿….
搜尋一下 wordpress
出來的字串丟 google ,就會找到有這個弱點的網站
隨便找了一個字串丟了之後,還真的有看到DB的帳號密碼,而且是 .com.tw 的網站,這時候要怎麼辦?
還記得最上面說的要有道德嗎?所以我默默的關掉了。

大致上就是這樣的拉。