密码泄露是指有人在未经您许可的情况下访问了您的密码。由于大量用户名和密码组合遭到破坏,因此密码泄露通常会大规模发生。密码泄露通常会导致泄漏和数据库转储。这些数据库转储在暗网上公开甚至出售。
黑客如何窃取登录密码和凭据
黑客使用多种技术来窃取您的密码,包括网络钓鱼、窃取您的身份验证 cookie 以及监视不安全或未加密的连接。
要完全了解密码泄露是如何发生的以及凭据是如何被盗的,您需要首先查看一个不安全的 HTTP 请求,其中包含使用浏览器的内置开发人员工具提交的凭据。
请记住,这不是中间人攻击,但仍然是密码泄露。此信息将有助于说明您稍后在此过程中需要查找的内容。
现在,我们需要看看黑客在检查未加密的 HTTP 流量时看到了什么。对于这个例子,我们使用了一个名为Wireshare 的工具。这是一种流行的免费网络分析工具,任何人都可以使用。与您使用同一 WiFi 网络的恶意用户可以使用此类工具获取未通过 HTTPS 加密的敏感信息。
如何保护自己免受密码泄露
请记住,某些类型的密码泄露攻击对于熟练的黑客来说是非常容易的。在安全性差或公共网络(例如公共 WiFi 位置)上尤其如此。
幸运的是,保护您的 WordPress 网站免受密码泄露非常简单。这是每个负责任的 WordPress 网站所有者需要立即集中精力做的事情,以避免可能毁掉整个网站的攻击。
首先,确保在您管理的所有 WordPress 网站上启用并强制执行 HTTPS。对于任何类型的 WordPress 网站,无论大小,这都是绝对要求 - 即使您的用户没有被授予登录该网站的权限。
简单地说,HTTPS 加密浏览器和站点服务器之间的所有流量。如果攻击者试图读取使用 HTTPS 加密的流量内容,他们最终只会看到乱码、无意义的加密文本。
您的密码将是安全的。
当然,您需要拥有 SSL 安全证书才能在您的站点上强制执行 HTTPS。如今,许多 WordPress 主机都提供免费的 SSL 证书,这使它变得轻而易举。
