WordPress攻击
概述
WordPress 是目前最受欢迎的开源内容管理系统(CMS),为全球近三分之一的网站提供支持。它可以用于多种用途,例如博客托管、论坛、电子商务、项目管理、文档管理等等。
WordPress 具有高度的可定制性,同时对搜索引擎优化(SEO)友好,这使得它深受企业青睐。它拥有一个庞大的扩展库,称为主题和插件,这些都可以免费或付费添加以增强网站功能。
一些插件的例子包括 WPForms(一个功能强大的联系表单)、MonsterInsights(与 Google Analytics 接口)以及 Constant Contact(一个流行的电子邮件营销服务)。
然而,其可定制性和可扩展性也使其容易受到第三方主题和插件的漏洞影响。WordPress 是用 PHP 编写的,通常在 Apache 服务器上运行,以 MySQL 作为后端。许多主机公司提供 WordPress 作为创建新网站时的选项,甚至协助进行安全更新等后台任务。
CMS内容管理系统
一个内容管理系统(CMS)是一个强大的工具,它帮助人们建立网站,而无需从头开始编写所有代码(甚至根本不需要知道如何编写代码)。
CMS 在基础设施方面承担了大部分“重活”,以便将更多精力集中在网站的设计和展示方面,而不是后端结构。
大多数 CMS 都提供了一个丰富的所见即所得(WYSIWYG)编辑器,用户可以像在 Microsoft Word 等文字处理工具中一样编辑内容。用户可以直接从媒体库界面上传媒体,而不是通过管理门户或 FTP 或 SFTP 与 Web 服务器交互
一个 CMS 由两个关键组件组成:
- 一个内容管理应用(CMA)- 用于添加和管理内容的界面。
- 一个内容交付应用(CDA)- 后端,它接收 CMA 中输入的内容并将代码组装成一个功能完善、视觉吸引人的网站。
一个好的 CMS 将提供可扩展性,允许您在不需要处理网站代码的情况下为网站添加功能和设计元素,提供丰富的用户管理以提供对访问权限和角色的细粒度控制,媒体管理允许用户轻松上传和嵌入照片和视频,以及正确的版本控制。在寻找 CMS 时,我们也应该确认它得到了良好的维护,定期接收更新和升级,并且具有足够的内置安全设置来加固网站免受攻击者侵害。
Wordpress结构
默认wordpress文件结构
WordPress 可以安装在 Windows、Linux 或 Mac OSX 主机上。对于本模块,我们将专注于在 Ubuntu Linux Web 服务器上安装默认的 WordPress。
在 Linux 主机上安装 WordPress 之前,需要完全安装和配置 LAMP 堆栈(Linux 操作系统、Apache HTTP 服务器、MySQL 数据库和 PHP 编程语言)。安装后,所有 WordPress 支持的文件和目录都将可在位于 /var/www/html 的 Web 根目录中访问。
以下是默认 WordPress 安装的目录结构,显示了网站正常运行所必需的关键文件和子目录。
