常見攻擊類型解析(Common Attack Types)
本文為「防火牆配置(WAF)」的重要延伸文件,系統性整理 WordPress 網站最常遭受的攻擊類型,並說明這些攻擊如何導致後門、SEO Spam、惡意重導向與資源濫用。
為什麼一定要理解「攻擊類型」?
許多網站管理者在設定防火牆時,常有一個誤區:
「反正開啟 WAF 就安全了。」
實際上,若不了解攻擊者的手法:
- 防火牆規則可能開錯重點
- 誤封正常流量、卻放行真正的攻擊
- 網站仍會反覆被嘗試入侵
👉 理解攻擊類型,是正確配置 WAF 與安全策略的基礎。
1️⃣ 暴力破解攻擊(Brute Force Attack)
攻擊方式
- 對
wp-login.php、/wp-admin/進行大量帳密嘗試 - 常搭配字典檔與自動化工具
可能後果
- 管理者帳號被盜用
- 後門程式被直接植入
防護重點
- WAF 限制登入嘗試次數
- 啟用 2FA
- 重新命名或限制登入入口
2️⃣ XML-RPC 攻擊
攻擊方式
- 利用
xmlrpc.php進行放大式暴力破解 - 單一請求可嘗試多組密碼
可能後果
- 伺服器資源被大量消耗
- 成功入侵後植入後門
防護重點
- 關閉不必要的 XML-RPC
- 僅允許特定 IP 或應用存取
3️⃣ SQL Injection(SQL 注入)
攻擊方式
- 透過不安全的參數注入資料庫指令
- 常見於老舊或品質不良的外掛
可能後果
- 資料外洩
- 管理者帳號被建立
- SEO Spam 批量注入
防護重點
- WAF 阻擋異常參數
- 移除高風險外掛
4️⃣ XSS(跨站腳本攻擊)
攻擊方式
- 注入惡意 JavaScript 到頁面中
- 影響訪客瀏覽器行為
可能後果
- 惡意重導向
- 植入挖礦腳本
防護重點
- WAF 過濾可疑腳本
- 嚴格限制前端輸入來源
5️⃣ 漏洞掃描與自動化攻擊
攻擊方式
- 大量掃描外掛、主題版本
- 尋找已知漏洞
可能後果
- 快速批量入侵
- 植入後門程式
防護重點
- WAF 阻擋掃描行為
- 定期漏洞掃描與更新
6️⃣ 惡意檔案上傳攻擊
攻擊方式
- 上傳偽裝圖片的 PHP 檔案
- 常發生於 uploads 目錄
可能後果
- 後門程式長期潛伏
- 持續控制網站
防護重點
- uploads 目錄禁止執行程式
- WAF 檢查檔案類型
攻擊類型與惡意軟體的關聯
| 攻擊類型 | 常見後果 |
|---|---|
| 暴力破解 | 後門程式 |
| SQL Injection | SEO Spam / 資料外洩 |
| XSS | 惡意重導向 |
| 漏洞掃描 | 全面入侵 |
| 惡意上傳 | 長期控制 |
👉 所有攻擊,最終都指向「控制網站」。
結語:防火牆規則,應該對應攻擊行為
有效的網站安全策略不是「裝了什麼工具」,而是:
- 清楚知道攻擊者怎麼打
- 針對行為設計防護規則
- 持續監控與調整
這正是 WP Securely 在防火牆配置與安全架構中的核心思維。
🔗 延伸閱讀:
- 防火牆配置(WAF)實務指南
- 惡意軟體防護總覽
- WordPress 漏洞掃描實戰