سلام دوستان عزیز وردپرسی؛ در حال حاظر بیش از 25 درصد از وب‌سایت‌های موجود در وب توسط سیستم مدیریت محتوای وردپرس مدیریت می‌شوند. و این مسئله باعث شده تا بیشتر هکرها برای یافتن آسیب پذیری های امنیتی وردپرس و نفوذ حداکثری به بیشتر وب‌سایت‌های موجود در وب این سیستم مدیریت محتوا را به طور کامل و دقیق مورد بررسی قرار دهند.

متاسفانه 5 مسئله امنیتی در وردپرس وجود دارد که بیشتر هکرها برای نفوذ به وب‌سایت‌های وردپرسی از آن استفاده می‌کنند. شاید وجود این آسیب پذیری‌ها در وردپرس سوال زیر را در ذهن کاربران ایجاد کند که آیا وردپرس امن است؟ در پاسخ به این سوال باید گفت که در واقع وردپرس بسیار امن است به شرطی که شما از بهترین شیوه‌ها برای رفع آسیب پذیری های امنیتی وردپرس و ارتقا امنیت آن استفاده نمایید.

آسیب پذیری های امنیتی وردپرس

امروز ما در این مطلب از وب‌سایت پشتیبان وردپرس، قصد داریم به طور کامل این 5 مسئله امنیتی را شرح داده و به شما کمک کنیم تا بتوانید به راحتی این آسیب پذیری های امنیتی را رفع کرده و سطح امنیت وب‌سایت خود را ارتقا دهید. پس تا انتهای این مطلب همراه ما باشید.

آسیب پذیری های امنیتی وردپرس

1- حملات Brute Force (بروت فورس)

یکی از مهم‌ترین آسیب پذیری های امنیتی وردپرس، ضعف در مقابله با حملات از نوع Brute Force است. در این دسته از حملات هکرها با آزمون و خطا میلیارد‌ها مسلیارد رمزعبور و نام‌کاربری سعی در کشف اطلاعات ورود صحیح به پیشخوان مدیریت وب‌سایت شما را دارند. کشف اطلاعات ورود به سایت توسط روبات‌های خاصی صورت می‌گیرد که اگر محدود نشوند توانایی آن را دارند که در ثانیه صدها ترکیب حرف و عدد را تا زمان رسیدن به اطلاعات ورود صحیح تکرار کنند. شاید باور نکنید، اما اگر تدبیری برای مقابله با این نوع حملات نیاندیشیده باشید کشف اطلاعات ورود به وب‌سایت قطعی است.

در وردپرس متاسفانه، به طور پیشفرض تلاش‌های زیاد ورود به پیشخوان مدیریت مسدود نمی‌شود، به همین دلیل روبات‌ها به سادگی توانایی آن را دارند تا به صفحات ورود وب‌سایت شما حملات گسترده‌ای را برای کشف رمزعبور و نام‌کاربری تحت عنوان حملات Brute Force انجام دهند. توجه داشته باشید حتی اگر روبوت نتواند اطلاعات ورود را کشف کند، فشار زیادی را متحمل سرور میزبانی شما کرده و قطعا مشکلاتی را برای وب‌سایت شما به وجود خواهد آورد.

2- File Inclusion Exploits

پس از حملات Brute Force، آسیب پذیری های امنیتی وردپرس از طریق کدهای php وب‌سایت وردپرسی شما مهم‌ترین مسئله امنیتی است که توسط هکر‌ها مورد استفاده قرار می‌گیرد.

File Inclusion Exploits زمانی رخ می‌دهد که کد آسیب پذیری برای بارگذاری فایل‌ها استفاده می‌شود که اجازه دسترسی هکر‌ها را به وب‌سایت شما می‌دهد. سوء استفاده از فایل‌ها یکی از رایج‌ترین روش‌ها است که مهاجم می‌تواند به فایل wp-config.php وب‌سایت وردپرس شما که یکی از مهم ترین فایل ها در نصب وردپرس است دسترسی یابد.

3- SQL injection (تزریق SQL)

هر وب‌سایت وردپرسی از یک پایگاه‌داده MySQL استفاده می‌کند. در واقع تزریق به پایگاه‌داده روشی است که در آن هکر با استفاده SQL query سعی در تزریق یک داده یا کد آلوده به سمت نرم‌افزار کابردی وب‌سایت شما را دارد.

تزریق SQL نیز یکی از مهم‌ترین آسیب پذیری های امنیتی وردپرس است و باید حتما برای مقابله با این نوع حمله تدابیری را در نظر گرفته باشید. این نوع حمله اگر موفقیت‌آمیز باشد، هکر این توانایی را دارد تا کنترل کامل وب‌سایت وردپرسی شما را در دست گرفته و توانایی خواندن و تغییر تمام داده‌های حساس پایگاه داده و همچنین انجام عملیات‌های مدیریتی بر روی آن را دارد. همچنین ممکن است مهاجم یک حساب کاربری جدید در سطح مدیریت ایجاد کند که بعدا می‌توند برای ورود به سیستم و دسترسی کامل وب‌سایت وردپرس شما استفاده کند.

4- (Cross Site Scripting (XSS

84 درصد از تمامی آسیب پذیری‌های امنیتی در کل اینترنت به نام Cross-Site Scripting یا حملات XSS نامیده شده‌اند. آسیب پذیری‌های XSS رایج‌ترین آسیب پذیری در افزونه‌های وردپرس می‌باشد. روش حمله در Cross-Site Scripting به این صورت است که ابتدا مهاجم راهی را برای بارگذاری صفحات وب با اسکریپ‌های جاوا اسکریپت نا امن پیدا می‌کند. برای مثال کاربر با باز کردن یک صفحه وب‌سایت، یا کلیک بر روی یک لینک و یا باز کردن یک ایمیل، کدی مخرب بدون آن که کاربر متوجه شود، در کامپیوتر او اجرا شده و توانایی آن را دارد تا اطلاعات مهم کاربران را به سرقت ببرد. یک نمونه از حملات XSS یک فرم ربوده شده است که ظاهرا در وب‌سایت شما وجود دارد. اگر یک کاربر اطلاعاتی را در آن وارد کند، این اطلاعات به سرقت خواهند رفت.

5- Malware

Malware مخفف کلمه (malicious software) است و به کدهای مخربی گفته می‌شود که در تلاش هستند تا با دسترسی غیر مجاز به وب‌سایت و جمع‌آوری اطلاعات حساس، کنترل وب‌سایت شما را دست گیرند. سایت وردپرس هک شده معمولا به این معناست که بدافزاری به فایل‌های وب سایت شما تزریق شده است، اگر شما نیز مشکوک به وجود نرم افزار مخربی در وب سایت خود هستید، فایل‌هایی که اخیرا در وب‌سایت قرار داده‌اید را بررسی نمایید.

هزاران نوع کد‌های مخرب در جهان وب وجود دارند، اما وردپرس تنها در مقابل چهار نوع از آن‌ها آسیب‌‌پذیر می‌باشد.

  1. Backdoors
  2. Drive-by downloads
  3. Pharma hacks
  4. Malicious redirects

شناسایی این نوع بدافزارها نیز چندان کار سختی نیست، برنامه‌های مخرب بالا که جزء رایج‌ترین آسیب پذیری های امنیتی وردپرس هستند را می‌توان به راحتی شناسایی کرده و بصورت دستی آن‌ها را از وب‌سایت پاکسازی کنید. نصب نسخه تازه‌ای از وردپرس یا بازگرداندن سایت وردپرسی خود از یک نسخه پشتیبان تهیه شده بدون آلوده قبلی نیز می‌تواند کمک کند.

با انجام 8 اقدام زیر، به راحتی از وب‌سایت وردپرسی خود محافظت کنید

مسائل متعددی می‌توانند وب‌سایت شما را در برابر آسیب پذیری‌ها محافظت کنند از جمله:

1- از رمز‌های عبور قوی استفاده کنید

استفاده از رمزهای کوتاه و ساده یکی از بزرگترین آسیب پذیری های امنیتی وردپرس است که شما تنها با کمی طولانی‌تر و پیچیده‌تر کردن رمزعبور به راحتی می‌توانید این مشکل را حل نمایید. برای اطلاعات ورود به پیشخوان مدیریت وردپرس باید از رمزعبور بسیار قوی استفاده کنید. رمزعبور قوی باید ترکیبی از حروف، اعداد، کاراکترها و علامت‌ها بوده و همچنین منحصر به فرد باشد، یعنی این رمزعبور را در جاهای دیگر نیز استفاده نکرده باشید.

برای تولید رمزعبور قوی می‌توانید از ابزار تولید رمز قوی خود وردپرس استفاده کنید.

2- یک افزونه افزایش امنیت وردپرس نصب کنید

یک راه ساده و عالی برای افزایش سطح امنیت وردپرس نصب افزونه‌های امنیتی وردپرس است که به راحتی می‌توانید یکی از آن‌ها را از مخزن وردپرس دانلود و نصب نمایید.

افزونه‌های iThemes Security و Wordfence Security می‌توانند گزینه‌های بسیار خوبی برای پوشش آسیب پذیری های امنیتی وردپرس شما باشند.

3- تایید دو مرحله‌ای وردپرس را فعال کنید

احراز هویت دو مرحله‌ای یک لایه اضافی حفاظت ورود به وردپرس شما اضافه می‌کند که علاوه بر گذرواژه شما، برای ورود به سیستم، از یک دستگاه دیگر مانند گوشی هوشمند یک کد احراز هویت مورد نیاز است.

4- نسخه وردپرس خود را همیشه به آخرین نسخه موجود ارتقا دهید

یکی دیگر از مواردی که می‌تواند وب‌سایت شما را در مقابل آسیب پذیری های امنیتی وردپرس محافظت کند، به‌روز نگه داشتن وردپرس به اخرین نسخه موجود آن است. زیرا در هر به روز رسانی برخی از مشکلات امنیتی نسخه قبل بهبود یافته است.

5- مجوز‌های سرور را به طور صحیح تنظیم نمایید

از اینکه مجوزهای مناسب بر روی تمام دایرکتوری‌ها سرور شما تنظیم شده‌اند اطمینان حاصل کنید. مجوزهای مناسب مجاز به خواندن فایل‌ها، ایجاد و ویرایش آنها هستند.

6- یک برنامه اسکن زمان‌بندی شده داشته باشید

با استفاده از بعضی از افزونه‌های امنیتی مانند iThemes Security Pro می‌توانید به طور منظم و زمان‌بندی شده یک گزارش از بد‌افزار‌های موجود در وب‌سایت خود تهیه کرده و در جهت پاکسازی آن‌ها اقدام کنید.

7- به طور منظم از وردپرس خود پشتیبان تهیه کنید

داشتن یک برنامه پشتیبان‌گیری از وردپرس جزء مهم‌ترین استراتژی امنیت وردپرس و نیز آخرین امید شما برای مقابله با آسیب پذیری های امنیتی وردپرس است. تنظیم برنامه‌ریزی شده پشتیبان‌ گیری را فعال کنید و مطمئن شوید که پشتیبان گیری خود را با خیال راحت خارج از سایت در یک مکان ایمن ذخیره ‌کرده‌اید. همچنین مطمئن شوید که پشتیبان شما یک کامپوننت بازگردانی را در صورت نیاز به بازگردانی نسخه پشتیبان داشته باشید. افزونه UpdraftPlus به منظور بک آپ و پشتیبان گیری در وردپرس بسیار مناسب است.

8- حفاظت Brute Force وردپرس را فعال کنید

با چند اقدام ساده به راحتی می‌تواند وب‌سایت وردپرسی خود را از آسیب‌پذیری در مقابل حملات Brute Force محافظت کنید. برای مقابله با این نوع حملات می‌تواید از افزونه‌های محدود کننده تلاش ورود به پیشخوان مدیریت و همچنین افزونه Google reCAPTCHA استفاده کنید.

مسائل امنیتی همیشه وجود دارند و شما در هر زمان باید بهترین روش‌ها را برای مقابله با آن‌ها در نظر داشته باشید. امروز ما شایع‌ترین آسیب پذیری های امنیتی وردپرس را خدمت شما عزیزان عرض کرده و نیز توضیح دادیم که چگونه با انجام 8 اقدام ساده وب‌سایت وردپرس خود را در مقابل این گونه آسیب پذیری‌ها محافظت نمایید.

همچنین مسلط بودن به دانش و استراتژی برای محافظت از سایت وردپرسی خود، می تواند تا حد زیادی آسیب پذیری در برابر حمله هکرها را کاهش داده و سایت خود را ایمن نگه دارید. در ادامه شما را به مطالعه مقاله ۹ توصیه برای جلوگیری از مشکلات و بهبود عملکرد وردپرس دعوت می کنیم.

موفق باشید.

افزایش امنیت و پاکسازی کدهای مخرب وردپرس