سلام دوستان عزیز وردپرسی؛ در حال حاظر بیش از 25 درصد از وبسایتهای موجود در وب توسط سیستم مدیریت محتوای وردپرس مدیریت میشوند. و این مسئله باعث شده تا بیشتر هکرها برای یافتن آسیب پذیری های امنیتی وردپرس و نفوذ حداکثری به بیشتر وبسایتهای موجود در وب این سیستم مدیریت محتوا را به طور کامل و دقیق مورد بررسی قرار دهند.
متاسفانه 5 مسئله امنیتی در وردپرس وجود دارد که بیشتر هکرها برای نفوذ به وبسایتهای وردپرسی از آن استفاده میکنند. شاید وجود این آسیب پذیریها در وردپرس سوال زیر را در ذهن کاربران ایجاد کند که آیا وردپرس امن است؟ در پاسخ به این سوال باید گفت که در واقع وردپرس بسیار امن است به شرطی که شما از بهترین شیوهها برای رفع آسیب پذیری های امنیتی وردپرس و ارتقا امنیت آن استفاده نمایید.
آسیب پذیری های امنیتی وردپرس
امروز ما در این مطلب از وبسایت پشتیبان وردپرس، قصد داریم به طور کامل این 5 مسئله امنیتی را شرح داده و به شما کمک کنیم تا بتوانید به راحتی این آسیب پذیری های امنیتی را رفع کرده و سطح امنیت وبسایت خود را ارتقا دهید. پس تا انتهای این مطلب همراه ما باشید.
1- حملات Brute Force (بروت فورس)
یکی از مهمترین آسیب پذیری های امنیتی وردپرس، ضعف در مقابله با حملات از نوع Brute Force است. در این دسته از حملات هکرها با آزمون و خطا میلیاردها مسلیارد رمزعبور و نامکاربری سعی در کشف اطلاعات ورود صحیح به پیشخوان مدیریت وبسایت شما را دارند. کشف اطلاعات ورود به سایت توسط روباتهای خاصی صورت میگیرد که اگر محدود نشوند توانایی آن را دارند که در ثانیه صدها ترکیب حرف و عدد را تا زمان رسیدن به اطلاعات ورود صحیح تکرار کنند. شاید باور نکنید، اما اگر تدبیری برای مقابله با این نوع حملات نیاندیشیده باشید کشف اطلاعات ورود به وبسایت قطعی است.
در وردپرس متاسفانه، به طور پیشفرض تلاشهای زیاد ورود به پیشخوان مدیریت مسدود نمیشود، به همین دلیل روباتها به سادگی توانایی آن را دارند تا به صفحات ورود وبسایت شما حملات گستردهای را برای کشف رمزعبور و نامکاربری تحت عنوان حملات Brute Force انجام دهند. توجه داشته باشید حتی اگر روبوت نتواند اطلاعات ورود را کشف کند، فشار زیادی را متحمل سرور میزبانی شما کرده و قطعا مشکلاتی را برای وبسایت شما به وجود خواهد آورد.
2- File Inclusion Exploits
پس از حملات Brute Force، آسیب پذیری های امنیتی وردپرس از طریق کدهای php وبسایت وردپرسی شما مهمترین مسئله امنیتی است که توسط هکرها مورد استفاده قرار میگیرد.
File Inclusion Exploits زمانی رخ میدهد که کد آسیب پذیری برای بارگذاری فایلها استفاده میشود که اجازه دسترسی هکرها را به وبسایت شما میدهد. سوء استفاده از فایلها یکی از رایجترین روشها است که مهاجم میتواند به فایل wp-config.php وبسایت وردپرس شما که یکی از مهم ترین فایل ها در نصب وردپرس است دسترسی یابد.
3- SQL injection (تزریق SQL)
هر وبسایت وردپرسی از یک پایگاهداده MySQL استفاده میکند. در واقع تزریق به پایگاهداده روشی است که در آن هکر با استفاده SQL query سعی در تزریق یک داده یا کد آلوده به سمت نرمافزار کابردی وبسایت شما را دارد.
تزریق SQL نیز یکی از مهمترین آسیب پذیری های امنیتی وردپرس است و باید حتما برای مقابله با این نوع حمله تدابیری را در نظر گرفته باشید. این نوع حمله اگر موفقیتآمیز باشد، هکر این توانایی را دارد تا کنترل کامل وبسایت وردپرسی شما را در دست گرفته و توانایی خواندن و تغییر تمام دادههای حساس پایگاه داده و همچنین انجام عملیاتهای مدیریتی بر روی آن را دارد. همچنین ممکن است مهاجم یک حساب کاربری جدید در سطح مدیریت ایجاد کند که بعدا میتوند برای ورود به سیستم و دسترسی کامل وبسایت وردپرس شما استفاده کند.
4- (Cross Site Scripting (XSS
84 درصد از تمامی آسیب پذیریهای امنیتی در کل اینترنت به نام Cross-Site Scripting یا حملات XSS نامیده شدهاند. آسیب پذیریهای XSS رایجترین آسیب پذیری در افزونههای وردپرس میباشد. روش حمله در Cross-Site Scripting به این صورت است که ابتدا مهاجم راهی را برای بارگذاری صفحات وب با اسکریپهای جاوا اسکریپت نا امن پیدا میکند. برای مثال کاربر با باز کردن یک صفحه وبسایت، یا کلیک بر روی یک لینک و یا باز کردن یک ایمیل، کدی مخرب بدون آن که کاربر متوجه شود، در کامپیوتر او اجرا شده و توانایی آن را دارد تا اطلاعات مهم کاربران را به سرقت ببرد. یک نمونه از حملات XSS یک فرم ربوده شده است که ظاهرا در وبسایت شما وجود دارد. اگر یک کاربر اطلاعاتی را در آن وارد کند، این اطلاعات به سرقت خواهند رفت.
5- Malware
Malware مخفف کلمه (malicious software) است و به کدهای مخربی گفته میشود که در تلاش هستند تا با دسترسی غیر مجاز به وبسایت و جمعآوری اطلاعات حساس، کنترل وبسایت شما را دست گیرند. سایت وردپرس هک شده معمولا به این معناست که بدافزاری به فایلهای وب سایت شما تزریق شده است، اگر شما نیز مشکوک به وجود نرم افزار مخربی در وب سایت خود هستید، فایلهایی که اخیرا در وبسایت قرار دادهاید را بررسی نمایید.
هزاران نوع کدهای مخرب در جهان وب وجود دارند، اما وردپرس تنها در مقابل چهار نوع از آنها آسیبپذیر میباشد.
- Backdoors
- Drive-by downloads
- Pharma hacks
- Malicious redirects
شناسایی این نوع بدافزارها نیز چندان کار سختی نیست، برنامههای مخرب بالا که جزء رایجترین آسیب پذیری های امنیتی وردپرس هستند را میتوان به راحتی شناسایی کرده و بصورت دستی آنها را از وبسایت پاکسازی کنید. نصب نسخه تازهای از وردپرس یا بازگرداندن سایت وردپرسی خود از یک نسخه پشتیبان تهیه شده بدون آلوده قبلی نیز میتواند کمک کند.
با انجام 8 اقدام زیر، به راحتی از وبسایت وردپرسی خود محافظت کنید
مسائل متعددی میتوانند وبسایت شما را در برابر آسیب پذیریها محافظت کنند از جمله:
1- از رمزهای عبور قوی استفاده کنید
استفاده از رمزهای کوتاه و ساده یکی از بزرگترین آسیب پذیری های امنیتی وردپرس است که شما تنها با کمی طولانیتر و پیچیدهتر کردن رمزعبور به راحتی میتوانید این مشکل را حل نمایید. برای اطلاعات ورود به پیشخوان مدیریت وردپرس باید از رمزعبور بسیار قوی استفاده کنید. رمزعبور قوی باید ترکیبی از حروف، اعداد، کاراکترها و علامتها بوده و همچنین منحصر به فرد باشد، یعنی این رمزعبور را در جاهای دیگر نیز استفاده نکرده باشید.
برای تولید رمزعبور قوی میتوانید از ابزار تولید رمز قوی خود وردپرس استفاده کنید.
2- یک افزونه افزایش امنیت وردپرس نصب کنید
یک راه ساده و عالی برای افزایش سطح امنیت وردپرس نصب افزونههای امنیتی وردپرس است که به راحتی میتوانید یکی از آنها را از مخزن وردپرس دانلود و نصب نمایید.
افزونههای iThemes Security و Wordfence Security میتوانند گزینههای بسیار خوبی برای پوشش آسیب پذیری های امنیتی وردپرس شما باشند.
3- تایید دو مرحلهای وردپرس را فعال کنید
احراز هویت دو مرحلهای یک لایه اضافی حفاظت ورود به وردپرس شما اضافه میکند که علاوه بر گذرواژه شما، برای ورود به سیستم، از یک دستگاه دیگر مانند گوشی هوشمند یک کد احراز هویت مورد نیاز است.
4- نسخه وردپرس خود را همیشه به آخرین نسخه موجود ارتقا دهید
یکی دیگر از مواردی که میتواند وبسایت شما را در مقابل آسیب پذیری های امنیتی وردپرس محافظت کند، بهروز نگه داشتن وردپرس به اخرین نسخه موجود آن است. زیرا در هر به روز رسانی برخی از مشکلات امنیتی نسخه قبل بهبود یافته است.
5- مجوزهای سرور را به طور صحیح تنظیم نمایید
از اینکه مجوزهای مناسب بر روی تمام دایرکتوریها سرور شما تنظیم شدهاند اطمینان حاصل کنید. مجوزهای مناسب مجاز به خواندن فایلها، ایجاد و ویرایش آنها هستند.
6- یک برنامه اسکن زمانبندی شده داشته باشید
با استفاده از بعضی از افزونههای امنیتی مانند iThemes Security Pro میتوانید به طور منظم و زمانبندی شده یک گزارش از بدافزارهای موجود در وبسایت خود تهیه کرده و در جهت پاکسازی آنها اقدام کنید.
7- به طور منظم از وردپرس خود پشتیبان تهیه کنید
داشتن یک برنامه پشتیبانگیری از وردپرس جزء مهمترین استراتژی امنیت وردپرس و نیز آخرین امید شما برای مقابله با آسیب پذیری های امنیتی وردپرس است. تنظیم برنامهریزی شده پشتیبان گیری را فعال کنید و مطمئن شوید که پشتیبان گیری خود را با خیال راحت خارج از سایت در یک مکان ایمن ذخیره کردهاید. همچنین مطمئن شوید که پشتیبان شما یک کامپوننت بازگردانی را در صورت نیاز به بازگردانی نسخه پشتیبان داشته باشید. افزونه UpdraftPlus به منظور بک آپ و پشتیبان گیری در وردپرس بسیار مناسب است.
8- حفاظت Brute Force وردپرس را فعال کنید
با چند اقدام ساده به راحتی میتواند وبسایت وردپرسی خود را از آسیبپذیری در مقابل حملات Brute Force محافظت کنید. برای مقابله با این نوع حملات میتواید از افزونههای محدود کننده تلاش ورود به پیشخوان مدیریت و همچنین افزونه Google reCAPTCHA استفاده کنید.
مسائل امنیتی همیشه وجود دارند و شما در هر زمان باید بهترین روشها را برای مقابله با آنها در نظر داشته باشید. امروز ما شایعترین آسیب پذیری های امنیتی وردپرس را خدمت شما عزیزان عرض کرده و نیز توضیح دادیم که چگونه با انجام 8 اقدام ساده وبسایت وردپرس خود را در مقابل این گونه آسیب پذیریها محافظت نمایید.
همچنین مسلط بودن به دانش و استراتژی برای محافظت از سایت وردپرسی خود، می تواند تا حد زیادی آسیب پذیری در برابر حمله هکرها را کاهش داده و سایت خود را ایمن نگه دارید. در ادامه شما را به مطالعه مقاله ۹ توصیه برای جلوگیری از مشکلات و بهبود عملکرد وردپرس دعوت می کنیم.
موفق باشید.
[button text=”افزایش امنیت و پاکسازی کدهای مخرب وردپرس” color=”alert” radius=”10″ expand=”true” link=”https://wphelper.ir/wordpress-malware-removal-service/” target=”_blank”]