۱۰ اشتباهی که باعث هک سایت وردپرسی شما می شود

در این مطلب می خواهیم مسائل مربوط به هک سایت وردپرسی را مرور کنیم .

سیستم مدیریت محتوای وردپرس یکی از محبوب ترین CMS هایی است که جایگاه خوبی بین طراحان و برنامه نویسان سایت بدست آورده است بطوری که از هر ۱۰ سایتی که منتشر میشود حداقل یکی از آنها وردپرسی است ؛ وردپرس یک سیستم متن باز و یا Open Source است یعنی برنامه نویسان میتوانند بصورت مستقیم کد های آن را ویرایش و طبق سلیقه شان دستکاریش کنند اما همین محبوبیت و متن باز بودن مشکلات امنیتی را برای کاربران این سیستم بوجود آورده است که در این مقاله به ۱۰ راه نفوذ در وردپرس و روش مقابله با آن را عرض میکنیم.

۱-الف : استفاده از نام دیتابیس نامناسب :

اولین مشکل امنیتی که وردپرس شما را قبل از راه اندازی تهدید می کند استفاده از نام دیتابیس نامناسب و نام کاربری دیتابیس نامناسب است.

خیلی از کاربران در زمان نصب اولیه وردپرس یک دیتابیس با نام های ساده مانند : wp, wordpress,website,site,word_press و … می سازند همین امر به هکری که در حال دستیابی به اطلاعات دیتابیس شما است کمک کند و در ابتدا نام دیتابیس شما را تشخیص دهد .

برای رفع این مشکل حتما از یک نام غیرقابل تشخیص برای دیتابیستان انتخاب کنید که حدس زدن آن غیرممکن باشد

۱-ب : استفاده از نام کاربری نامناسب :

بعد از اینکه یک نام مناسب و غیرقابل تشخیص برای دیتابیس خودتان انتخاب کردید ، حال وقت آن است که نام کاربری مناسبی برای دیتابیستان در نظر بگیرید

اشتباه رایجی که بیشتر کاربران وردپرس در زمان نصب انجام می دهند از نام های کاربری ساده و قابل تشخیصی مانند : hostusername_wp , hostusername_wordpress , hostusername_site و … است .

برای اینکه این مشکل را حل کنید حتما از یک نام کاربری مناسب و غیرقابل تشخیص استفاده کنید .

۱-ج : استفاده از رمزعبور نامناسب :

استفاده از رمز عبور قوی و غیرقابل تشخیص توسط هکر عملیات هک کردن را به مدت های طولانی میسپارد و هکر از این مرحله اگر نتواند رمز عبور را تشخیص دهد می گذرد و به راه های دیگری جهت نفوذ می پردازد .

همانطور که در قبل برای موارد ۱-الف و ۱-ب گفته شد برای رمز عبور هم باید یک رمز مناسب و غیرقابل تشخیص برای دیتابیس در نظر بگیریم و یا از همان پیشنهادی که هاست به ما می دهد استفاده کنیم

۲- استفاده از پیشوند جداول نامناسب :

دومین مشکلی که در زمان نصب و راه اندازی وردپرس ما را تهدید می کند استفاده از پیشوند جداول قابل حدس توسط هکر است ،

اگر به روند نصب وردپرس در ابتدای کار دقت کنید در قسمتی به نام : پیشوند جداول بصورت خودکار وردپرس wp در نظر گرفته است و این امر به هکری که با وردپرس آشنایی دارد کمک میکند که جداول شما را بدون روش یک هک کند و اطلاعات کاربران شما را بدست آورد .

برای این منظور حتما پیشوند جداول را به یک نام غیرقابل حدس تغییر دهید که روند نفوذ به وب سایت شما دیرتر صورت گیرد

۳- استفاده از نام کاربری نامناسب برای مدیر سایت :

سومین مشکلی که باعث هک سایت وردپرسی میشود و می تواند مشکل ساز باشد ، استفاده از نام های کاربری است که بیشتر افراد با آن ها آشنایی دارند ، به عنوان مثال نام های کاربری : admin, administrator, wp, wordpress و حتی نام خودتان است که در ادامه این مقاله به آن می پردازیم ؛ استفاده از این نام های کاربری قابل تشخیص در زمان تست یوزر های سایت بصورت تصادفی در زمان نفوذ به هکر کمک میکند که یوزر ادمین را خیلی سریع شناسایی کند برای رفع این مشکل حتما از نام های کاربری مناسب و غیرقابل تشخیص استفاده کنید

۴- آپدیت نکردن وردپرس و افزونه ها و هک سایت وردپرسی:

هر چند وقت یکبار در پنل ادمین سایت وردپرسی یک بخشی به نام به روزرسانی ها یک عدد در کنارش پدیدار میشود ، اغلب افراد این نکته را بیهوده در نظر می گیرند و کاری به آن ندارند همانطور که برای ویندوز هایی که ما در دست داریم هر چند وقت یکبار یک آپدیت منتشر می شود و ما باید بروزرسانی رو انجام بدیم اما تا به الان به این فکر کردید چرا ویندوز از سمت مایکروسافت دائم آپدیت می شود ، ۵۰ درصد همگی شما از این موضوع مطلع هستید اما ۵۰ درصد دیگر خیر دلیل این بروزرسانی از سمت مایکروسافت رفع باگ (مشکلات) های امنیتی است ؛ سیستم وردپرس هم دقیقا همین کار را برای انجام می دهد یعنی هر چند وقت یکبار یک آپدیت برای رفع شدن مشکلات امنیتیش ارائه می دهد که باید حتما آن نسخه بروزرسانی شود و برای افزونه ها هم دقیقاً همین روند باید پیش گرفته شود

۵- استفاده نکردن از تصویر امنیتی :

در حالت کلی فرم های ورود و نام نویسی کاربران در وردپرس بدون تصویر امنیتی هستند ، استفاده از تصاویر امنیتی در تمامی فرم هایی که طراحی میکنیم به ما کمک می کند که از اسمپر ها جلوگیری و حملات شدید به فرم های مد نظر صورت نگیرد ؛ افزونه های زیادی در این زمینه به کمک کاربران وردپرسی می آیند که بهترین آن Google reCaptcha است که یکی از قوی ترین سیستم تصویر امنیتی برای جلوگیری از حملات ربات ها و آی پی های مخرب را می گیرد

ابتدا افزونه فوق را دانلود کرده و سپس بر روی وب سایت وردپرسی تان نصب کنید سپس به این لینک بروید و در حساب Gmail خود لاگین کرده و برای سایت خود یک کلید امنیتی بسازید و در افزونه فوق قرار دهید و بصورت خودکار این افزونه بر روی فرم های ورود و ثبت نام فعال است و کاربر باید حتما ریکپچای گوگل را قبول کند تا بتواند لاگین و یا ثبت نام کند

۶- نگرفتن پک آپ از وب سایت وردپرسی :

خیلی از اشتباهات رایجی که کاربران وب سایت های وردپرسی انجام می دهند بک آپ نگرفتن از وب سایت شان است ، عملیات بک آپ گیری در زمانی که سایت ما مورد حملات هکر ها قرار گرفته است و توسط آن ها وب سایت به اصطلاح متلاشی شده است به کمک ما بیاید ، هر چند هکر سایت ما را نابود و از بین برده است اما ما هنوز یک بک آپ جدید از وب سایت مان داریم و میتوانیم برای بار دیگر آن را بازیابی کنیم ؛ بهترین افزونه ایی که در این مقاله در زمینه بک آپ گیری در وردپرس خدمتتان ارائه میکنیم افزونه updraftplus است این افزونه قابلیت ساخت بک آپ از کل وب سایت و یا چندین بخش آن را به همراه ذخیره سازی آن در مکان های دلخواه شما و امکان بازیابی آن ها را به شما می دهد

۷-چک نکردن امنیت سایت :

بررسی امنیت سایت های وردپرسی با استفاده از افزونه های متعددی صورت می گیرد و حتما باید هر روز توسط آن ها اسکن شود تا به حفره امنیتی در وب سایتتان نخورید ، در این بخش دو افزونه کاربردی و مهم در زمینه امنیت وب سایت های  وردپرسی خدمتتان عرض میکنیم که این افزونه مانند افزونه های معرفی شده قبلی نصبشان الزامی است

۷-الف : افزونه Wordfence :

با استفاده از این افزونه می توانید حملات اخیر به وب سایتتان را چک نمائید

همچنین قابلیت دیوار آتشین یا همان Firewall را برای کل وب سایت فعال می کند و از حملات جلو گیری میکند و تا حدودی مانع هک سایت وردپرسی می شود .

۷-ب : افزونه Anti Malware :

با استفاده از این افزونه می توانید کلیه دایرکتوری وب سایت خودتون رو اسکن و فایل های مخرب رو از داخلش حذف نمائید و همچنین دیوار آتشین را برای دایرکتوری فعال کنید

۸- بررسی نکردن دایرکتوری وب سایت :

یکی از معدود مشکلاتی که اکثرا کاربران و برنامه نویسان و همچنین وردپرس کاران با آن مواجه هستند باز بودن دایرکتوری ها و دسترسی به فایل ها است ، برای اینکه بتوانید دایرکتوری ها را در وب سایتتان ببندید چندین افزونه کاربردی وجود دارد اما برای آنان که میخواهند کدنویسی یاد بگیرند و با سرویس Apache آشنا شوند قطعه کد زیر را در فایلی مخفی در پوشه public_html هاست به نام htaccess قرار دهند با اینکار تنها دسترسی به پوشه ها بسته می شود و کاربر دیگر نمی تواند به عنوان مثال به آدرس : http://server/wp-content/uploads دسترسی پیدا کند و قطعه کد زیر برای تمامی وب سایت ها طراحی شده است و فقط مخصوص سیستم وردپرس نیست

# Enable / Disable directory Listing/Browsing
Options -Indexes
IndexOptions -FancyIndexing
ServerSignature Off

۹- تغییر ندادن آدرس ورود به پنل ادمین وردپرس :

یکی از معدود کار هایی که امنیت وب سایت های وردپرسی که بخش نام نویسی کاربران را ندارند و هیچ گونه ثبت نامی در سایت صورت نمی گیرد تغییر ندادن آدرس ورود به پنل مدیریت است ، یکی از افزونه های بسیار خوبی که اینکار را برای ما بصورت کاملا خوب و بدون نقص انجام می دهد افزونه Lockdown WP Admin است ، با استفاده از این افزونه قادر خواهید بود که آدرس : http://server/wp-admin را بطور دلخواه تغییر دهید

۱۰- اهمیت ندادن به خطای وارد کردن اشتباه رمز عبور کاربران :

یکی از مشکلات اساسی سیستم وردپرس این است که اگر برای یک یوزر که در سایت وجود دارد پسورد اشتباهی وارد شود با یک خطا با عنوان : رمز عبوری که برای کاربر [یوزر کاربر] وارد کردید اشتباه است و این امر نصف راه را برای هکر مورد نظر حل می کند راه های متعددی برای رفع این مشکل وجود دارد که بهترین آن اضافه کردن قطعه کد زیر به فایل Functions.php پوسته تان است

function wlr_no_wordpress_errors()
{
    return 'نام کاربری و یا رمز عبور شما اشتباه است';
}
add_filter( 'login_errors', 'wlr_no_wordpress_errors' );

اگر به دلیل عدم توجه به مسائل بالا سایت وردپرسی شما هک شد و کدهای ویروسی و مخرب در آن گذاشته شده می توانید از خدمات پاکسازی سایتهای وردپرسی ما استفاده نمایید.