اتفاقات روزمره ، اخبار مهم و دیگر مطالب میهن وب هاست را می توانید در این قسمت مطالعه کنید

اگر از هک شدن مداوم سایت وردپرسی خود متعجب شده اید و قصد دارید امنیت سایت خود را افزایش دهید، در این مقاله برخی از روش های نفوذ به سایت وردپرسی گردآوری شده است تا با دلایل محبوبیت وردپرس برای هکرها، آشنا شوید. وردپرس یکی از رایج ترین سیستم های مدیریت محتوا در بین کاربران می باشد. در حال حاضر بیش از 445 میلیون وب سایت از وردپرس استفاده می کنند.

یک مهاجم ابتدا سعی می کند تا حد امکان اطلاعات بیشتری را در مورد مجموعه خاصی از سایت ها در یک سرور یا CMS جمع آوری نماید. هنگامی که هدف را شناسایی کرد، از ابزارهای مختلف برای نفوذ و بهره برداری از سایت وردپرسی استفاده می کند.

روش‌های متعددی برای هک کردن سایت‌های وردپرسی وجود دارند که در ادامه بیشتر توضیح داده می شوند.

بسیاری از مدیران وب سایت ها، از اینکه هدف یکی از این حملات قرار گرفته اند، تعجب می کنند. دلیل اصلی نفوذ به سایت ها توسط هکر ها معمولاً کسب درآمد می باشد، اما انگیزه برخی هکرها از نفوذ به سایت وردپرسی، متفاوت است و حتی می تواند به عنوان بخشی از یک پروژه بزرگتر، صورت گیرد.

تصویر(1)

به عنوان مثال، یک مهاجم می‌تواند بدافزاری را به سایت شما تزریق کند که از روش drive-by-download استفاده کرده و کاربران سایت شما را مورد حمله سایبری قرار دهد. بنابراین وقتی بازدیدکنندگان به سایت دسترسی پیدا می‌کنند به آنها توصیه می‌شود یک نرم‌افزار جعلی را دانلود نمایند که می‌تواند سیستم آنها را آلوده کرده و به مهاجم دسترسی کامل به سیستم قربانی را بدهد.

سرقت اطلاعات کارت اعتباری که سودآورترین نوع حمله است و همچنین روش های اسپم سئو، که در آن مهاجمان، سایت‌های دارویی تقلبی و مقالات نامناسب را تبلیغ می‌کنند، از مهم ترین انگیزه های هکرها برای نفوذ به سایت های وردپرسی می باشد.

دلیل دیگر آن hacktivism است که عمدتاً سازمان های سیاسی یا مذهبی را هدف قرار می دهد.

Predictable Login Credentials

یک روش نفوذ مانند Brute Force می باشد که از صفحات wp-admin با امنیت پایین، سو استفاده می کند. پنل مدیریتی به کاربران امکان دسترسی به اقدامات مختلفی را در وب سایت وردپرس می دهد و در صورتی که هکر حتی به بخشی از آن دسترسی داشته باشد می تواند عملیات خرابکارانه زیادی روی سایت انجام دهد.

تصویر(2)

این نوع حملات از ابزارهای Brute Force، برای تشخیص رمز عبور استفاده می کنند که از طریق لیست رمزهای فاش شده، سعی در پیش بینی رمزهای عبور ضعیف دارند. این حمله می تواند به wp-admin، کنترل پنل هاست، حساب های FTP، پایگاه داده SQL یا اکانت های ایمیل مرتبط با مدیر سایت وردپرسی، انجام گیرد.

با وجود گزینه های بسیار متنوعی که یک هکر می تواند برای نفوذ به سایت وردپرسی انتخاب کند، مهمترین نکته این است که هرگز از نام های کاربری مانند "admin" استفاده نکنید. برای دسترسی به بخش مدیریت وردپرس باید تدابیر امنیتی بیشتری در نظر بگیرید، مانند فعال کردن ورود دو مرحله ای یا 2FA یا ورود به پیامک که می تواند ورود غیرمجاز به مدیریت سایت را تا حد زیادی کاهش دهد.

همچنین تنظیم رمزهای عبور قوی برای تمامی کاربران سایت، بسیار مهم است. اگر از افزونه فایروال در وردپرس استفاده می کنید، لایه حفاظتی ایجاد شده توسط آن، می تواند درخواست های ارسال شده به wp-admin به جز IP هایی که از قبل در لیست مجاز قرار داده اید را مسدود کند.

تصویر(3)

محیط میزبانی ناامن

برخی از ارائه دهندگان هاست، خدمات ارزان قیمتی را ارائه می دهند که ممکن است بسیار عالی به نظر برسد اما گاهی اوقات، صرفه جویی در هزینه ها باعث کاهش امنیت سرویس می شود. یک ارائه دهنده هاست باید به طور منظم روی شبکه خود نظارت داشته باشد، همچنین نرم افزارها و سخت افزارهای امنیتی را بروز کرده و دسترسی به زیرساخت خود را محدود نماید. ارائه پشتیبانی SSL و خدمات امنیتی اضافی مانند مانیتورینگ پیشرفته و فایروال نیز به بالا رفتن امنیت سایت ها و سرور کمک خواهد کرد.

برای مشاهده امکانات امنیتی سرویس های میهن وب هاست می توانید به لینک زیر مراجعه کنید:

امکانات امنیتی سرویس های میهن وب هاست

از آنجایی که یافتن یک ارائه دهنده هاست ایمن با قیمت مناسب کمی سخت به نظر می رسد، بسیاری از کاربران وردپرسی به هاست های مدیریت شده روی می آورند. در سرویس های مدیریت شده، پشتیبانی ویژه ارائه می گردد که در آن تمام جنبه های فنی، مانند خط تماس و تیکت پشتیبانی ویژه، ارائه حساب کاربری کنترل پایداری سرویس (Uptime Checks)، نصب انواع سیستم مدیریت محتوا استاندارد بدون هزینه اضافی، ارائه مشاوره در زمینه خطاها و مشکلات اسکریپت وب سایت و غیره، در نظر گرفته می شود.

ارائه دهندگان هاست کلمه "مدیریت شده" را به روش های مختلفی تفسیر می کنند، بنابراین قبل از خرید این گونه سرویس ها، پیشنهاد می شود با بخش فروش شرکت هاستینگ تماس بگیرید و مطمئن شوید که برای مدیریت سایت و هاست، به شما کمک خواهند کرد.

تصویر(4)

سطح دسترسی نادرست برای فایل ها و FTP نا امن

سطح دسترسی فایل ها، مجموعه قوانینی هستند که وب سرور برای کنترل دسترسی به فایل های سایت، از آنها استفاده می کند. اگر سطح دسترسی فایل ها به درستی تنظیم نشده باشد، می تواند به هکرها اجازه دهد تا تغییرات موردنظر خود را روی فایل ها اعمال و سپس اجرا کنند. به‌طور پیش‌فرض، این مقدار برای تمام فایل‌های وردپرس باید روی 644 و پوشه‌ها 755 تنظیم شود، تا بتوانید از نفوذ به سایت وردپرسی جلوگیری کنید. در صورتی که سطح دسترسی بالاتری به فایل ها و پوشه ها داده اید، این مورد یک خطر برای امنیت سایت شما خواهد بود. در یک محیط ایمن، وب سرور باید اجازه دسترسی به فایل ها و پوشه ها را صرفا به مالک وب سایت ارائه کند.

استفاده از نسخه قدیمی سیستم مدیریت محتوا، قالب ها و افزونه ها

نسخه قدیمی سیستم مدیریت محتوا، قالب ها و افزونه ها، یکی از عوامل رایج هک و نفوذ به سایت وردپرسی هستند. هر چه نسخه آنها قدیمی تر باشد، سایت آسیب پذیرتر خواهد بود. یکی از دلایل اصلی انتشار بروزرسانی‌ها، رفع باگ‌ها و آسیب‌پذیری‌های امنیتی است. اگر این بروزرسانی‌ها را نادیده بگیرید، هکرها می توانند از آنها سو استفاده کنند. شاید بروز رسانی دستی و به موقع افزونه ها و قالب خیلی وقت‌گیر به نظر برسد، خوشبختانه وردپرس مجهز به بروزرسانی خودکار افزونه ها و قالب شده است و می توانید از گزینه بروزرسانی خودکار در وردپرس، بهره ببرید.

برخی از مدیران وب سایت ها، نگران بهم ریختگی سایت خود پس از بروزرسانی هستند. در این صورت می توانید قبل از اعمال تغییرات در سایت، از اطلاعات فعلی پشتیبان تهیه کنید تا در صورت بروز مشکل، امکان بازگردانی آن وجود داشته باشد.

پیشنهاد می شود جهت پشتیبان گیری از اطلاعات هاست و سایت خود به آموزش های زیر مراجعه کنید:

پشتیبان گیری از وردپرس و انتقال به Dropbox

معرفی 7 پلاگین کاربردی بکاپ گیری در وردپرس

نحوه گرفتن نسخه پشتیبان در سی پنل

نحوه گرفتن نسخه پشتیبان در دایرکت ادمین

قالب ها و افزونه های آسیب پذیر

همانطور که همواره در بحث امنیت مطرح می شود، هیچ چیز 100% امن نیست. حتی محبوب ترین قالب ها و افزونه های موجود نیز شامل این مورد می شوند. توجه داشته باشید که هر چند وقت یکبار توسعه‌دهنده افزونه یا قالب، توضیحات مربوط به پچ های ارائه شده را منتشر می‌کند. گاهی اوقات توسعه‌دهندگان، محصول ارائه شده را رها می‌کنند و آن افزونه یا قالب که توسط افراد زیادی نصب شده است، مرتباً مورد سوء استفاده قرار می‌گیرد.

همواره مهم است که افزونه ها و قالب ها را تا حد امکان بروز نگه دارید و همچنین از آنها صرفا در موارد ضروری استفاده نمایید. هرچه تعداد افزونه های نصب شده در سایت بیشتر باشد، نقاط بیشتری را می توان مورد نفوذ قرار داد. همچنین هرگز نباید افزونه ها یا قالب ها را از منابع غیرقابل اعتماد دانلود کنید، زیرا می توانند برای به خطر انداختن امنیت سایت یا حتی سرقت داده های حساس استفاده شوند.

تصویر(5)

دسترسی به فایل wp-config.php

wp-config.php حاوی اطلاعات حساسی است که برای ورود به پایگاه داده وردپرس استفاده می شوند. اکثر شرکت های هاستینگ، مدیریت پایگاه داده از راه دور را مسدود می کنند، مگر اینکه IP درخواست کننده از طریق cPanel یا WHM در لیست مجاز قرار گرفته باشد. جزئیات موجود در wp-config.php بسیار حساس هستند و به بهترین وجه می بایست محافظت شوند. افزودن یک لایه حفاظتی اضافی برای ممانعت از دسترسی به این فایل، جهت کاهش خطرات امنیتی مفید است. برای انجام این کار، کد زیر را به فایل htaccess. اضافه کنید:

<files wp-config.php>

order allow,deny

deny from all

</files>

سخن پایانی

وردپرس یکی از محبوب ترین CMS های موجود در جهان است و دلایلی مختلفی نیز برای این ادعا وجود دارد. وردپرس به مدیر سایت اجازه می دهد تا وب سایتی را فراتر از آنچه که یک طراح معمولی قادر به انجام آن است راه اندازی کرده و تجربه بصری جذابی را به بازدیدکنندگان ارائه دهد. استفاده آسان از این سیستم مدیریت محتوا توسط طیف وسیعی از کاربران که بیشتر آن ها نیز دانش کمی در خصوص امنیت سایت دارند، می تواند با خطراتی همراه باشد، بنابراین همواره مهم است که در کنار توجه به سادگی کار با وردپرس، بحث امنیت را نیز به طور جدی پیگیری کنید. انجام موارد جزئی مانند حذف فایل های نصبی قالب بعد از راه اندازی سایت، حذف افزونه های بلا استفاده، بروزرسانی منظم وردپرس، قالب و افزونه های نصب شده، نصب یک افزونه امنیتی قدرتمند و … می توانند تا حد بسیار زیادی از نفوذ به سایت وردپرسی جلوگیری کنند.