WordPress 惡意軟件掃描程序到底有沒有用呢？

學(xué)習(xí)NO.1

nicco、WeWatchYourWebsite、Automattic 支持的 GridPane和PatchStack的最新研究表明，在受感染環(huán)境中作為插件運(yùn)行的 wordpress 惡意軟件掃描程序存在根本缺陷。惡意軟件掃描儀充其量只是針對(duì)已受損站點(diǎn)的清理工具。它們不是堅(jiān)固的防線，而且現(xiàn)在正在被惡意軟件主動(dòng)擊敗。將惡意軟件檢測留給優(yōu)質(zhì)主機(jī)。將安全策略重點(diǎn)放在登錄身份驗(yàn)證強(qiáng)化、用戶管理、適當(dāng)?shù)臋?quán)限委派和警惕的版本管理上。

2000 年及后期：惡意軟件掃描程序已經(jīng)不再有用

WordPress 的惡意軟件檢測插件可以追溯到 2011 年左右，當(dāng)時(shí) SQL 注入攻擊很常見且有效。當(dāng)時(shí)使用 WordPress 的任何人都會(huì)記得一個(gè)廣泛使用的圖像編輯庫，名為TimThumb。它遭受了零日漏洞攻擊，給數(shù)百萬個(gè)網(wǎng)站帶來了可怕的后果。

WordPress 安全插件就是在這種緊急情況下誕生的——作為一種反應(yīng)。今天的一些安全插件看起來仍然像 Norton Security 和 McAfee Anti-Virus。這些是 20-30 年前流行的 Windows 安全應(yīng)用程序。但正如約翰·邁克菲在離開他創(chuàng)建的公司后所說，他的防病毒掃描儀已經(jīng)變成了“臃腫軟件”。在他看來，這是“世界上最糟糕的軟件”。

今天，根據(jù)幾位 WordPress 安全研究人員的最新發(fā)現(xiàn)，可以對(duì) WordPress 惡意軟件掃描程序得出類似的結(jié)論。

安全錯(cuò)覺：WordPress 惡意軟件掃描程序經(jīng)受考驗(yàn)

在名為“惡意軟件瘋狂：為什么你所知道的有關(guān) WordPress 惡意軟件掃描程序的一切都是錯(cuò)誤的”系列的第一部分中，WordPress 安全研究員 Calvin Alkan（安全公司 Snicco 的創(chuàng)始人）分享了他的一些工作。Alkan 與 Patrick Gallagher（GridPane 首席執(zhí)行官兼聯(lián)合創(chuàng)始人）和 Thomas Raef（WeWatchYourWebsite.com 所有者）合作，看看是否可以擊敗惡意軟件掃描程序。毫不奇怪，事實(shí)證明他們可以被擊敗——而且非常容易。Patchstack 對(duì) Alkan 的結(jié)果進(jìn)行了獨(dú)立確認(rèn)。

本地掃描儀：電話來自屋內(nèi)

在測試中，阿爾坎和他的合作者首先查看了本地掃描儀。Wordfence、WPMU Defender、All-In-One Security (AIOS) 的免費(fèi)版本和 NinjaScanner 在與其安裝的 WordPress 站點(diǎn)相同的服務(wù)器上完成所有工作。這意味著惡意軟件掃描程序使用與 WordPress 和感染它的惡意軟件相同的 PHP 進(jìn)程。沒有什么可以阻止惡意軟件與掃描儀主動(dòng)交互。該惡意軟件可以禁用它檢測到的任何安全插件，將其自身列入白名單，或操縱掃描儀，使它們無法檢測到入侵。

1. “惡意軟件掃描程序和惡意軟件都在同一個(gè) PHP 進(jìn)程中運(yùn)行。這意味著惡意軟件可以操縱或篡改掃描儀的功能 –等效的情況是被告在法庭審判中擔(dān)任自己的法官。”

復(fù)制代碼

阿爾坎和他的合作伙伴制作了一個(gè)有效的概念驗(yàn)證來擊敗惡意軟件掃描程序，并與安全研究人員和供應(yīng)商私下共享他們的漏洞利用工具包。Patchstack 首席執(zhí)行官 Oliver Sild 表示，這些套件僅包含幾行代碼。

Alkan 還發(fā)現(xiàn)，“使用 PHP 動(dòng)態(tài)構(gòu)建自身”的“渲染”惡意軟件無法被本地惡意軟件掃描程序檢測到。最后，本地掃描儀未能檢測到“進(jìn)程內(nèi)”惡意軟件。這種類型的惡意軟件“執(zhí)行一次，然后從系統(tǒng)中刪除自身，不留下任何存在的痕跡”。

遠(yuǎn)程掃描儀：被篡改證據(jù)和清理犯罪現(xiàn)場所擊敗

在遠(yuǎn)程服務(wù)器上執(zhí)行分析的掃描儀包括 Malcare、Virusdie、All-In-One Security (AIOS) Pro、Sucuri 和 JetPack Scan。這些較新的遠(yuǎn)程掃描方法具有多個(gè)優(yōu)點(diǎn)，包括減少占用空間以及對(duì)本地服務(wù)器性能的影響。本地掃描程序使用您站點(diǎn)的服務(wù)器資源來完成其工作，這會(huì)產(chǎn)生性能成本。遠(yuǎn)程惡意軟件分析也不會(huì)受到操縱，因?yàn)樗�不�?huì)與活動(dòng)惡意軟件感染發(fā)生在同一 PHP 進(jìn)程中。

遠(yuǎn)程掃描儀容易受到惡意軟件的攻擊，這些惡意軟件會(huì)操縱發(fā)送回遠(yuǎn)程服務(wù)器進(jìn)行分析的數(shù)據(jù)。Alkan 構(gòu)建了另一個(gè)概念驗(yàn)證，證明遠(yuǎn)程掃描儀可以通過這種方式被擊敗 – 通過隱藏惡意軟件感染的“證據(jù)”。Oliver Sild 也證實(shí)了這一結(jié)果：

“從概念上講，可以通過將本地插件作為欺騙目標(biāo)來實(shí)現(xiàn)數(shù)據(jù)篡改。我們收到了一個(gè)概念驗(yàn)證，清楚地證明了這一點(diǎn)�！�

稍微不同的惡意軟件策略可能涉及“清理犯罪現(xiàn)場”并且不留下任何感染痕跡可供掃描。阿爾坎認(rèn)為這是可能的，但沒有提供概念證明。

請(qǐng)務(wù)必注意，當(dāng)您嘗試檢測惡意軟件感染時(shí)，用于查找未經(jīng)授權(quán)的更改的文件完整性掃描可能會(huì)很有幫助。這種類型的掃描將本地文件與受保護(hù)的遠(yuǎn)程代碼存儲(chǔ)庫進(jìn)行比較，以檢測 WordPress 核心或插件和主題文件中的非官方更改。不幸的是，如果該過程被惡意軟件篡改，則更改檢測可能會(huì)失敗。

不僅僅是假設(shè)：惡意軟件已經(jīng)在野外禁用 WordPress 安全掃描程序

繼 Alkan 的漏洞利用工具包之后，Snicco 報(bào)告中最大的披露來自WeWatchYourWebsite的首席執(zhí)行官 Thomas Raef ，該公司跟蹤被黑的 WordPress 網(wǎng)站：

“在過去 60 天內(nèi)，有 52,848 個(gè)網(wǎng)站因在感染前安裝了 WordFence 而遭到黑客攻擊。在 14% 的情況下（7,399），安裝的惡意軟件篡改了 WordFence 文件。其他受歡迎的服務(wù)的比例甚至更高；MalCare 占 22%，VirusDie 占 24%�！�

惡意軟件掃描插件的游戲就結(jié)束了。它告訴我們，WordPress 惡意軟件掃描是純粹的安全劇場——“采取安全措施的做法被認(rèn)為可以提供安全性提高的感覺，但幾乎不采取任何行動(dòng)來實(shí)現(xiàn)這一目標(biāo)�！�

毫無疑問，這種情況也已經(jīng)持續(xù)了很長時(shí)間。

安全行業(yè)資深人士、Kadence營銷總監(jiān)Kathy Zant告訴 Alkan：

“在大約 18 個(gè)月的時(shí)間里，我在 WordPress 中為一家知名公司清理 WordPress 網(wǎng)站，在我任職期間從 2,000 多個(gè)網(wǎng)站中刪除了惡意軟件。我看到的最早的時(shí)​​間范圍[惡意軟件擊敗惡意軟件掃描]是在 2017 年中后期。[…]我確信它仍然存在。而且很可能還有其他變體執(zhí)行類似的操作，甚至更糟糕�！�

這是壞消息：惡意軟件掃描程序不可信。好消息是他們從未提供過真正的防守。如果你失去的只是一種安全感的幻覺，那么這實(shí)際上是邁向獲得真正安全感的一步。

如何正確保護(hù)您的 WordPress 網(wǎng)站

繼 Snicco 等報(bào)告之后，最大的問題是：“WordPress 網(wǎng)站如何才能獲得對(duì)其安全性的高度信心？”

Alkan 認(rèn)為，安全方法必須針對(duì)每個(gè)服務(wù)器堆棧進(jìn)行定制，而主機(jī)執(zhí)行的服務(wù)器端惡意軟件掃描是網(wǎng)站所有者唯一有價(jià)值的掃描類型。

“WordPress 安全插件應(yīng)該只做那些最好在應(yīng)用程序/PHP 層完成的事情，”他強(qiáng)調(diào)道。

“WordPress 社區(qū)需要將其安全方法從檢測轉(zhuǎn)向預(yù)防，同時(shí)保持惡意軟件掃描的重要性，以驗(yàn)證‘更高層’安全的有效性�！�

Alkan 表示，強(qiáng)大的用戶登錄安全性（例如雙因素身份驗(yàn)證和密碼以及會(huì)話安全性）是 WordPress 插件可以提供幫助的領(lǐng)域（例如iThemes Security等插件） 。這一直是我們開發(fā)團(tuán)隊(duì)的指導(dǎo)理念——安全插件最適合強(qiáng)化站點(diǎn)并減少攻擊面。

強(qiáng)化 WordPress 網(wǎng)站防御的其他重要方法包括遵循最小權(quán)限原則的仔細(xì)用戶管理：永遠(yuǎn)不要向用戶授予不必要的權(quán)力。對(duì)于更有特權(quán)的用戶來說，他們需要更高的安全標(biāo)準(zhǔn)——2FA、密鑰、可信設(shè)備以及從未出現(xiàn)在已知漏洞中的強(qiáng)密碼。

當(dāng)今的攻擊趨勢是通過密碼填充、網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚來智能地針對(duì)中小型企業(yè)。這些攻擊媒介利用弱登錄身份驗(yàn)證和人為錯(cuò)誤。他們使用暴力和巧妙的社會(huì)工程策略來破壞個(gè)人用戶帳戶。有了被黑的用戶帳戶，攻擊者就可以造成很大的破壞。如果他們還發(fā)現(xiàn)有漏洞的插件可供利用，他們可能會(huì)造成更大的傷害。一旦進(jìn)入您的系統(tǒng)，攻擊者就可以創(chuàng)建后門以便隨時(shí)溜回來。

強(qiáng)調(diào)惡意軟件掃描的安全插件并不能阻止它們。

道勤主機(jī)提供365天*24小時(shí)全年全天無休、實(shí)時(shí)在線、零等待的售后技術(shù)支持。竭力為您免費(fèi)處理您在使用道勤主機(jī)過程中所遇到的一切問題! 如果您是道勤主機(jī)用戶，那么您可以通過QQ【792472177】、售后QQ【59133755】、旺旺【詮釋意念】、微信：q792472177免費(fèi)電話、后臺(tái)提交工單這些方式聯(lián)系道勤主機(jī)客服！ 如果您不是我們的客戶也沒問題，點(diǎn)擊頁面最右邊的企業(yè)QQ在線咨詢圖標(biāo)聯(lián)系我們并購買后，我們?yōu)槟�免費(fèi)進(jìn)行無縫搬家服務(wù)，讓您享受網(wǎng)站零訪問延遲的遷移到道勤主機(jī)的服務(wù)！