不少網站都會使用 WordPress 平台製作及管理網站,但有雲端服務供應商就發現,近來兩個有關連的黑客組織 Clearfake 及 Clickfix 已成功入侵 6000 個 WordPress 帳戶,並在網站的 HTML 碼中偷偷加入惡意功能,只要有人訪問網站,就會彈出虛假的錯誤及修復訊息建議,誘導網民安裝資訊盜竊器。雖然需要網民手動執行多個步驟,未必容易成功,但專家亦強調網站管理員必須小心提防中招。 想知最新科技新聞?立即免費訂閱! WordPress 一直是黑客的熱門攻擊對象,因為使用其服務的企業或個人用家極多,而憑著擁有大量功能插件,WordPress 亦成為最多人使用的網站管理平台之一。根據官方最新公布的數字,全球約有 4.78 億個網站都是使用其平台建立及管理,在所有網站中佔 43.5%,有如此龐大的用戶群及影響力,難怪會成為黑客頭號攻擊目標,過往就有不少網絡攻擊事件發生,當中以盜取管理員身份憑證、編寫帶有惡意功能的插件,以及濫用平台或插件的零日或已知漏洞佔最多數。…
Search Results: 外掛 (9)
網站作為企業與外界溝通交流的重要橋樑,承載著大量的敏感資訊和使用者資料。然而,與此同時,網路安全威脅也層出不窮,資料洩露事件時有發生,給企業和個人帶來了巨大的風險和潛在損失。本文將介紹兩種快速檢查網站資料洩露風險的方法,包括檢查網站後門檔案、查看伺服器日誌異常記錄。這些方法能夠幫助網站管理員及時發現並應對潛在的安全風險。 想睇更多專家見解?立即免費訂閱! 方法一:檢查網站是否存在後門檔案 後門檔案通常是黑客為了再次入侵或控制網站而留下的文件。您可以通過檢查網站伺服器上的目錄,例如查看網站根目錄、主題目錄、外掛程式目錄等地方,查找是否存在異常的檔案或程式碼。您可以使用網站管理後台進行查看和對比原始版本的網站源碼。如果發現可疑檔案,建議立即進行審查並刪除。 方法二:檢查伺服器日誌是否存在異常記錄 伺服器日誌記錄了網站運行的各種資訊,包括使用者連接、系統錯誤、安全事件等。通過查看伺服器日誌,您可以發現是否有異常的連接或攻擊記錄。透過查看安全相關的日誌,如訪問日誌、錯誤日誌和安全性記錄檔。舉例說,如果發現大量來自同一 IP 位址的請求、或是從未知 IP 的未授權訪問或異常的錯誤資訊,可能意味著網站遭受了攻擊或存在資料洩露的風險。 網站程式會因業務需要存放大量資料。敏感資料外泄因而很多時候與網站漏洞有關,檢查這些漏洞並修復它們,對於保障網站資料安全至關重要。但要注意的是,這些方法只能提供初步的資料洩露風險檢查,並不能完全保證網站的安全性。為確保網站資料的安全,建議定期進行全面的安全檢測和風險評估,並學習發現與修復網站漏洞。 此外,為了進一步提升網站的安全性,建議採取以下措施: 1. 定期更新和升級網站及伺服器軟件,確保使用最新版本,以修復已知的安全性漏洞。 2. 使用複雜的密碼,並定期更換密碼,避免使用容易猜測的密碼。 3. 限制對網站敏感區域的存取權限,確保只有授權的用戶才能訪問敏感性資料和功能。 4. 部署防火牆和安全防護軟硬件,阻止惡意攻擊。…
黑客又有新招數,反網絡釣魚安全公司 Cofense 研究人員發現,在剛過去的七月濫用 Google Accelerated Mobile Pages(AMP)功能的釣魚攻擊有暴升趨勢,由於使用了 Google 的 URL,所以可以繞過電子郵件安全措施的攔截政策,更容易讓企業員工接觸得到,好難對付。 想知最新科技新聞?立即免費訂閱 ! Google AMP 是甚麼? 要了解這次黑客採用的手段,首先要知道 Google AMP 的來龍去脈。原來 AMP…
Minecraft的開放式遊戲玩法,不單瘋魔全球數以千萬計玩家,更吸引不少黑客搵食,通過不同方法感染玩家的電腦及手機,暗中進行非法行為。網絡安全公司McAfee的手機安全研究團隊就發現,Google Play 上曾有 38 款總下載量超過 3,000 萬的 Minecraft 抄襲遊戲內存惡意廣告軟件,而且因為惡意行為隱藏在遊戲後面,令玩家更難發現。 想知最新科技新聞?立即免費訂閱 ! 據微軟遊戲部門領導人估計,現時 Minecraft 遊戲每月約有 1.4 億活躍玩家,相較他們在 2014 年收購遊戲時的 3,000 萬,數字上升近四倍,認真誇張,難怪有不少遊戲開發商都抄襲它的玩法及畫風,希望可以分一杯羮。…
2023 年甫開始不久,AI 大戰隨即白熱化,Adobe Creative Cloud 產品總監兼執行副總裁 Scott Belsky 對今年科技作出九大預測,不少都跟 AI 有關。他認為 AI 將大舉影響 SEO、教育、醫療等範疇,又估計新一代專門瀏覽器即將面世,開始與應用程式展開競爭。1) 網絡瀏覽器將轉向專門化隨著 Web App、公共瀏覽器和去中心化技術的不斷發展,瀏覽器對於未來的 Web app 而言,已經變得過於普遍和過時,令…
「有外國人面孔都幾好,去外國、歐遊亦不怕,又有點像吉卜賽人,(別人)不敢偷我的東西。」頂着一頭長曲髮、貌似外國人的梁栢謙(Issac)用「安全」形容自己外貌,他在大學實習時視察工地卻「險死」,該段經歷推動他研究工地安全,設計出全新人工智能系統,當偵測到工地人員有潛在危險就發警報,配合數碼工程監督系統作大數據安全分析和風險評估,目標將學界研究結果帶入業界。 24 歲的 Issac 在中學時代,未有機會接觸 STEM 課程,但他打機時,喜歡「開外掛」、改遊戲參數,「例如(打 GTA)改個數值令架車行快啲,咁就玩得易啲」,這是他最初接觸編碼的體驗,直至升讀科技大學土木工程系學士課程時,終有機會接觸相關課程,課餘亦自學編程。 險被挖泥機倒車撞倒 升讀大學四年級前的暑假,Issac 到一間工程顧問公司實習,某次到建築工地視察,他前方的挖泥機突然倒車,在場 4 名工友大聲喝止,挖泥機手卻聽不到,Issac 後方就是斜坡,走投無路險被撞倒之際,幸好挖泥機壓到他前面一台小型運貨手推車後停下。這次驚險遭遇,令他更關注工地安全,畢業論文亦以此為題。 大部分土木工程學系畢業生,以考工程師牌為目標,但 Issac 在 2019 年大學畢業短暫加入大型承建商公司後,即重返校園修讀土木工程哲學碩士至今。他解釋,因為發現部分工作流程缺乏效率,掣肘多、不夠新穎,公司投放很多時間和人手視察地盤、拍攝工地環境、 寫報告,而他認為流程應可適度自動化,望將新技術帶入建築業。…
網絡安全公司 Akamai 最近在自設的 WordPress 蜜壼中,捕捉到一個新的 PayPal 釣魚攻擊,攻擊的目的是於已感染的 WordPress 網站中加入 PayPal 套件,通過不同手法掩飾其惡意行為,最終盜取網民的 PayPal 帳戶及各種個人私隱情報,對網民造成極大危機。 PayPal 網上付款工具在全球擁有 4 億用家,不少網民都會使用它作電子支付,因此不時有黑客瞄準這些用家發動攻擊。網絡安全公司 Akamai 為了監測最新的攻擊,因此特別設置了存在漏洞的 WordPress…
超過 300 個 WordPress 網站被勒索集團攻擊,當網主登入 WordPress 網站時,突然發現所有內容消失得一乾二淨,而且更顯示一個勒索告示,要求網主支付 0.1 個 Bitcoin 作為解鎖費。不過,網絡安全專家指出網站實際上並未有被加密,只是犯罪集團的掩眼法…… 網絡安全公司 Sucuri 的發言人表示,公司早前受到一個客戶求助,指自己的 WordPress 網站受到上述的加密攻擊,由於網站內容一夜之間蒸發,唯有找尋專家幫忙,希望不用支付贖金去回復網站正常運作。經專家調查後,便發現勒索集團原來並沒有對網站內容進行加密,他們只是借助一個 WordPress 的外掛程式 Directorist,製造出一個網站已被加密的假象。專家解釋,Directorist 本身是一個協助網主於網站建立網上業務目錄的外掛程式,因此擁有一定修改網站內容的權限。…
日前,Google 呼籲所有 Windows、Mac 及 Linux 用戶立即更新 Google Chrome 至 77.0.3865.90 版本,以修補一個嚴重及 3 個高危威脅,涉及 use-after-free 使用已釋放記憶體漏沮,黑客可以遙距於目標系統執行任意程式碼及阻斷服務,受害用戶只須開啟或被引導至特定網頁,即可以觸發攻擊而毋須再有任何互動。 唔單只 Chrome 出事,擴充套件亦有問題。近日,網絡安全公司 Adguard 研究員發現兩款極之衰格嘅喬裝外掛,竟然冒充非常多人用嘅廣告封鎖套件…