什么是Cookie劫持以及如何防护WordPress网站

Cookies让网站在你上网时识别你的身份，它们对那些有回头客的网站最有利。如果你曾经去过一个天气网站，它根据你上次的访问记住了你的位置，这就是一个Cookie发挥作用的例子。

当你登录一个网络应用程序或网站时，如社交媒体账户或你在零售网站上的个人资料，你的浏览器知道你已经登录，这要感谢服务器设置的临时会话cookies。该会话意味着你可以在浏览网站和点击不同页面时保持登录状态。如果没有cookies，你就必须在每次打开该网站的新页面时重新登录。

这很方便，但它让你更容易受到cookie劫持者的攻击。如果黑客获得了你的会话ID，他们可以访问你在网站上的同样的地方，假装是你。

什么是Cookie劫持？

Cookie劫持，也称为会话劫持，是黑客访问和窃取你的个人数据的一种方式，他们还可能阻止你访问某些账户。

劫持cookie与找出你的密码一样厉害，有时甚至更厉害。有可能通过劫持cookie，黑客可以获得对你所有资源的无限制访问。例如，攻击者可能窃取你的身份或公司机密数据；购买物品；或从你的银行账户中窃取。

Cookie劫持是如何工作的？

当一个恶意软件程序等待用户登录网站时，就会发生Cookie劫持。然后，恶意软件窃取会话cookie并将其发送给攻击者。

当攻击者向用户发送一个假的登录信息时，通常会启动cookie攻击。受害者点击假链接，让攻击者窃取cookie–实际上，用户输入的任何内容都可以被攻击者捕获。然后，攻击者将该cookie放在他们的浏览器中，并能够像你一样行事。

有时，甚至不需要一个假链接。如果用户在一个不安全的公共Wi-Fi连接上进行会话，黑客可以很容易地窃取通过该连接传输的数据。即使该网站是安全的，而且你的用户名和密码是加密的，这种情况也会发生。

一旦攻击者拥有用户的会话cookie，他们就可以登录网站，做几乎所有你能做的事情，包括改变你的密码。而这通常是自动化的，所以它只需几秒钟就能发生。如果攻击者随后对受害者启用多因素认证（MFA），他们可能永远不会再获得对其账户的访问。

Firesheep

Firesheep是一个很好的例子，说明cookie劫持有时是如何运作的。这个火狐浏览器扩展程序由编码员埃里克-巴特勒于2010年10月创建，它窃听共享Wi-Fi热点上的用户的浏览会话，以留意会话cookie。当它检测到一个cookie时，它将拦截它以接管属于该会话的人的身份。这种劫持cookie的方法被称为数据包嗅探。

Firesheep并不是恶意的；它的目的是要证明，当只有登录过程而不是cookie被加密时，劫持流行网站的cookie会话是多么容易。巴特勒表明，通过基本的cookie检查，一个正在访问同一热点的黑客可以冒充另一个人。

更多Cookie劫持方法

还有一些其他的cookie劫持方法需要注意。用蛮力攻击malware注入；如果恶意软件感染了你的电脑或你运行的网站，它可以监视你并记录浏览器会话。

如何防止Cookie被劫持

对这种类型的黑客的预防包括利用先进的安全技术，以及向你的员工（和其他人）传授有关cookie劫持的威胁。

MFA保护

不幸的是，先进的MFA保护和先进的cookie劫持方法是循环的。随着一个的改进，另一个也必须改进。对于企业和网站所有者来说，实施更多的MFA保护并不总是能提高安全性–它可能只是使cookie劫持攻击更加先进。

这并不意味着完全不要使用MFA–它在某些情况下确实能减少攻击。最大的问题是，人们仍然点击那些假链接，这就是为什么教育在这里如此重要（稍后会有更多内容）。

另外，某些MFA形式比其他形式更强大。例如，基于文本的认证码很弱，而受时间限制的一次性使用密码则更强。

教育

每个人都应该知道如何识别一个假的链接。通常，网站地址会有一个拼写错误，如果你不注意，很容易错过。例如，它可能被拼成 “Facebok “而不是 “Facebook”。如果你注意到这样的情况，不要点击链接。

另外，不同类型的MFA解决方案有不同的风险。这就需要企业的IT部门来识别这些风险。同样，教育是关键。

更多数字防护提示

还有一些方法可以限制饼干劫持企图的风险。

• 检查URL。一个安全的网站应该使用HTTPS来加密所有流量。查看URL，看它是否以HTTPS开头。
• 只使用安全连接。避开免费的公共Wi-Fi，特别是那些甚至没有密码保护的Wi-Fi。
• 做完后再注销。无论何时，当你在一个网站上做完后，都要注销。如果你是因工作需要而上网，并且每天必须多次访问相同的网站，请将你的浏览器设置为在你关闭时自动注销。
• 删除Cookies。定期清除你的cookies，以确保任何残留的浏览活动数据都消失。
• 使用VPN。为了获得更高级的保护，你可以使用虚拟专用网络，它可以隐藏你的IP地址，并通过一个加密的通道重新分配你的流量。

WordPress用户需要了解的Cookie劫持问题

在网上浏览时保持安全是一回事。如果你拥有或经营一个WordPress网站，你也必须保持你自己的网站不被Cookie劫持，更不用说保护你的访客。

可以通过安装本站提供的安全防护插件解决WordPress网站安全问题【SecuPress Pro完美汉化中文版|专业WordPress漏洞扫描及安全插件介绍】

如果你的网站成为cookie劫持的受害者，攻击者可能会获取你和你的客户的登录凭证。他们还可以窃取信用卡信息，以及其他个人信息。从本质上讲，如果你的网站上有一个cookie劫持，每个人和每件事都会有风险。除了MFA之外，还要优先考虑以下几点。

安装一个SSL认证

确保你的虚拟主机为你的网站提供一个SSL证书。当数据在用户的浏览器和网络服务器之间传输时，SSL会对数据进行加密，因此不容易被读取。

使用HTTPS

你不想访问没有HTTPS的其他网站，你的网站也应该遵循同样的标准。你需要HTTPS的地方不仅仅是你的网站的登录页面，它也应该在你的整个网站上。

使用反恶意软件解决方案

每个WordPress网站都应该有一个可靠的安全插件。反恶意软件解决方案将使窃取cookie的软件远离。我们有一个最好的WordPress安全插件列表，供你的网站使用。

保持你的网站更新

你的网站的每一部分都应该保持最新，从WordPress安装本身到你所安装的任何主题和插件。每当你运行过时的软件，就很容易受到攻击。

Cookie劫持的常见问题

黑客能利用cookies做什么？

很多。想想你在网站上填写的任何个人信息–你的用户名和密码，你的信用卡信息，你的地址，等等。一旦黑客获得了对你的会话cookie的访问权，他们基本上可以像你一样行事。例如，如果你登录了你的银行账户，他们可以设置一个转账，以耗尽你的账户，并将资金转移到他们自己的账户，然后他们可以改变密码，使你根本无法访问银行账户。

如果你接受cookies，你会被劫持吗？

有时。当你使用不安全的公共Wi-Fi时，你是最脆弱的，比如在咖啡馆或商场。Wi-Fi连接上没有任何安全保障，无法阻止黑客访问任何他们可以访问的东西。如果你不得不在这种环境下上网，至少要使用浏览器的隐私或隐身模式。

我如何清除cookies？

大多数浏览器都有一个删除历史记录和数据的选项。你应该能够删除所有内容，或者你可以选择只删除你的cookies和网站数据–这取决于你。你可能还可以将其设置为自动发生。

关于Cookie劫持的最终想法

保护自己的网络不仅仅是拥有难以猜测的密码和在你完成一天的工作后删除你的浏览历史。你也必须保护你的会话cookie，尽管大多数人甚至没有意识到这让他们多么脆弱。Cookies存储了大量有价值的信息–所有这些信息你都在努力用其他方式来保护。

如果你经营一个任何规模的组织，它肯定应该利用MFA – 但也有必要知道，这不是一个万无一失的选择。你需要几层安全保障来保持对cookie劫持的安全，而MFA只是其中的一层。当涉及到WordPress网站的所有者时，重要的是建立一个尽可能安全的网站来保护你自己、你的员工和你的访客。

对于防止cookie劫持企图，最重要的是教育。让员工、用户和管理人员意识到威胁，包括要注意什么和不要做什么，是至关重要的。