دانلود PDF مقاله با یک کلیک.
اگر شما یک وب سایت با وردپرس دارید یا می خواهید از WordPress به عنوان CMS استفاده کنید، ممکن است نگران مسائل امنیتی رایج در آن باشید. در این مطلب قصد داریم چند مورد از رایج ترین آسیب پذیری های امنیتی وردپرس را به شما معرفی کنیم، همچنین مراحلی که می توانید برای ایمن سازی و محافظت از سایت وردپرسی خود انجام دهید.
آیا وردپرس یک CMS امن است؟
وردپرس تا زمانی که از بهترین روش های امنیتی پیروی کند بسیار امن است. از آنجایی که 25 درصد کلیه وبسایت ها بر پایه ووردپرس کار می کنند، آسیب پذیری های امنیتی اجتناب ناپذیر هستند زیرا همه کاربران در مراقبت و امنیت وب سایت های خود دقیق نیستند. اگر یک هکر بتواند راهی برای یکی از 700 میلیون وب سایت وردپرس در وب پیدا کند، می تواند وب سایت های دیگری را که در آن نسخه های ناامن یا نسخه های قدیمی وردپرس اجرا می شوند را جستجو کند و این موارد را نیز هک کند.
وردپرس با کد منبع باز اجرا می شود و تیمی به طور خاص به پیدا کردن، شناسایی و رفع مسائل امنیتی WordPress که در کد اصلی بوجود می آیند، اختصاص دارد. آنها با آشکار ساختن آسیب پذیری های امنیتی، برای رفع این مشکلات جدید اقدامات لازم را انجام میدهند. به همین دلیل به روزرسانی وردپرس به جدیدترین نسخه برای امنیت کلی وب سایت شما بسیار مهم است.
توجه به این نکته ضروری است که آسیب پذیری های امنیتی WordPress فراتر از هسته وردپرس، به درون قالب یا افزونه هایی که در سایت خود نصب می کنید ارتباط دارد.
طبق گزارشی که اخیراً توسط wpscan.org انجام شده است، از 3،972 آسیب پذیری امنیتی شناخته شده در WordPress:
• 52٪ از افزونه های WordPress هستند.
• 37٪ از هسته وردپرس هستند.
• 11٪ از قالب های وردپرس هستند.
5 مشکل یا ضعف امنیتی وردپرس
رایج ترین مسائل امنیتی وردپرس قبل یا بعد از به خطر انداختن سایت شما رخ می دهند. هدف هک، دستیابی غیرمجاز به سایت وردپرس شما در سطح سرپرست، یا از قسمت جلویی (پیشخوان وردپرس شما) یا از طرف سرور (با وارد کردن اسکریپت ها یا پرونده ها) است.
اینفوگرافی ضعفهای امنیتی وردپرس
در ادامه می توانید توضیحات تکمیلی هرمورد را نیز بخوانید
1. حملات نفوذی بی رحمانه Brute Force Attacks
حملات brute force وردپرس به روش های آزمون و خطا در وارد کردن چندین ترکیب نام کاربری و رمز عبور تا زمان کشف پسوورد مناسب اشاره دارد. روش حمله نفوذی بی رحمانه از ساده ترین راه برای دسترسی به وب سایت شما استفاده می کند: صفحه ورود به سیستم WordPress.
WordPress، به طور پیش فرض، تلاش های مکرر برای ورود به سیستم را محدود نمی کند. بنابراین ربات ها می توانند با استفاده از این روش، به صفحه ورود به WordPress شما حمله کنند.
حتی اگر این حمله ناموفق باشد باز هم می تواند سرور شما را خراب کند، زیرا تلاش های پیاپی برای ورود به سیستم می تواند بار شما بر روی سرور را بیش از حد معمول کند. در حالی که شما در معرض حمله شدید قرار دارید، برخی از شرکتهای هاستینگ ممکن است حساب شما را به دلیل اضافه بار سیستم در میزبانی های مشترک به حالت تعلیق درآورند.
2. سوء استفاده از گنجاندن پرونده ها File Inclusion Exploits
پس از حملات نفوذی بی رحمانه، آسیب پذیری در کد PHP وب سایت وردپرس شما رایج ترین مسئله امنیتی است که می تواند توسط مهاجمان مورد سوءاستفاده قرار بگیرد. (PHP کدی است که وب سایت وردپرس شما را به همراه افزونه ها و قالب شما اجرا می کند.)
سوء استفاده از گنجاندن پرونده ها هنگامی اتفاق می افتد که از کدهای آسیب پذیر برای بارگذاری پرونده های از راه دور استفاده می شود که به مهاجمان امکان دسترسی به وب سایت شما را می دهد. این روش یکی از رایج ترین راه هایی است که یک مهاجم می تواند به پرونده wp-config.php وب سایت شما دسترسی پیدا کند که یکی از مهم ترین پرونده های نصب وردپرس شما محسوب می شود.
3. نفوذ به پایگاه داده SQL Injections
وب سایت وردپرس شما برای اداره کردن از یک پایگاه داده (MySQL) استفاده می کند. نفوذ به SQL زمانی رخ می دهد که یک مهاجم به پایگاه داده WordPress شما و تمام داده های وب سایت شما دسترسی پیدا کند.
با روش نفوذ به SQL، یک مهاجم می تواند یک حساب کاربری جدید در سطح سرپرست ایجاد کند که از آن پس برای ورود به سیستم و دسترسی کامل به وب سایت وردپرس شما از آن استفاده می کند. همچنین می توان از این روش برای قرار دادن داده های جدید در پایگاه داده، از جمله پیوند به وب سایت های مخرب یا اسپم استفاده کرد.
4. کد نویسی متقابل سایت (XSS Cross-Site Scriptting)
84٪ از کل آسیب پذیری های امنیتی در کل اینترنت، Cross-Site Scriptting یا حملات XSS نامیده می شوند. این نوع آسیب پذیری، رایج ترین آسیب پذیری است که در افزونه های وردپرس مشاهده می شود.
ساز و کار اصلی کدنویسی متقابل سایت اینگونه عمل می کند: یک مهاجم به دنبال راهی است که یک قربانی را برای بارگیری صفحات وب با اسکریپت های ناامن جاوا اسکریپت پیدا کند. این کدها بدون اطلاع بازدید کننده بارگیری می شوند و سپس برای سرقت داده ها از مرورگرهای خود استفاده می کنند. نمونه ای از این سرقت ها می تواند در افزونه های ساخت فرم ایجاد شود. اگر کاربری، داده های خود را به آن فرم وارد کند، آن داده ها به سرقت می رود.
5. بد افزار Malware
بدافزار، كدی مختص به نرم افزارهای مخرب است كه برای دستیابی به اطلاعات غیر مجاز وب سایت و جمع آوری داده های حساس استفاده می شود. یک سایت وردپرس هک شده معمولاً به این معنی است که بدافزار به پرونده های وب سایت شما تزریق شده است. بنابراین اگر به ورود بدافزار در سایت خود مشکوک هستید، به پرونده های تغییر یافته اخیر دقت کنید.
اگرچه هزاران نوع بدافزار در وب وجود دارد اما وردپرس در برابر همه آنها آسیب پذیر نیست. چهار مورد از شایع ترین عفونت های بدافزاری موجود در نرم افزار وردپرس عبارتند از:
درهای پشتی Backdoors
با استفاده از دانلودها Drive-by downloads
فارما هک Pharma hacks
تغییر مسیرهای مخرب Malicious redirects
هر یک از این نوع بدافزارها را می توان به راحتی با حذف دستی از پرونده مخرب، نصب نسخه جدید وردپرس یا با بازیابی سایت وردپرس از یک نسخه پشتیبان تهیه شده قبلی غیر آلوده، به راحتی شناسایی و پاک کرد.
چه چیزی باعث می شود سایت وردپرس شما در معرض مشکلات امنیتی باشد؟
چندین عامل می توانند سایت وردپرس شما را در برابر حملات گوناگون آسیب پذیرتر کنند:
1. رمزهای عبور ضعیف
استفاده از رمز عبور ضعیف یکی از بزرگترین آسیب پذیری های امنیتی است که می توانید به راحتی از آن جلوگیری کنید. رمز عبور سرور وردپرس شما باید قوی و شامل انواع مختلفی از حروف، نمادها یا اعداد باشد. علاوه بر این، رمز عبور شما باید مخصوص سایت وردپرس شما باشد و در هیچ جای دیگری استفاده نشود.
2. به روزرسانی نکردن وردپرس، افزونه ها یا قالب ها
اجرای نسخه های قدیمی وردپرس، افزونه ها و قالب ها می تواند راه را برای حملات افراد سودجو باز کند. به روزرسانی نسخه ها اغلب شامل رفع مشکلات امنیتی در کد ها هستند. بنابراین مهم است که همیشه آخرین نسخه تمام نرم افزارهای نصب شده در وب سایت وردپرس خود را اجرا کنید.
به روز رسانی ها به محض دسترسی، در پیشخوان وردپرس شما ظاهر می شوند. هر بار که به سایت وردپرس خود وارد می شوید، برای اجرای نسخه پشتیبان و سپس اجرای تمام به روزرسانی های موجود اقدام کنید. شاید انجام به روزرسانی ها ناخوشایند یا خسته کننده به نظر برسد اما توجه داشته باشید که این بهترین عملکرد مهم امنیتی وردپرس است.
اگر بیش از یک وب سایت WordPress را مدیریت کنید، ابزاری مانند iThemes Sync می تواند با ارائه یک پیشخوان برای مدیریت چندین سایت وردپرس به شما کمک کند.
3. استفاده از پلاگین ها و قالب ها از منابع غیر قابل اعتماد
کدهای نادرست، ناامن یا قدیمی و منسوخ شده یکی از رایج ترین راه هایی است که مهاجمان می توانند از وب سایت وردپرس شما سوءاستفاده کنند. از آنجا که افزونه ها و قالب ها منبع بالقوه آسیب پذیری های امنیتی هستند، به عنوان بهترین روش امنیتی باید فقط افزونه ها و قالب های وردپرسی را از منابع معتبری مانند WordPress.org یا از شرکت های پریمیوم که مدتی در این زمینه فعالیت داشته اند، دانلود و نصب کنید.
4. استفاده از سرویس میزبانی ضعیف یا اشتراکی
از آنجا که سرور وب سایت وردپرس شما می تواند هدفی برای حمله ی مهاجمان باشد، استفاده از هاست بی کیفیت یا مشترک می تواند سایت شما را در معرض خطر قرار دهد. در حالی که اکثر میزبان ها برای اطمینان از سرورهای خود اقدامات احتیاطی را انجام می دهند اماهمه ی آنها به اندازه کافی هوشیار نیستند که آخرین اقدامات امنیتی را برای محافظت از وب سایت ها در سطح سرور اجرا کنند.
هاست اشتراکی نیز می تواند یک نگرانی باشد زیرا اطلاعات چندین وب سایت در یک سرور واحد ذخیره می شوند. در صورت هک شدن یک وب سایت، ممکن است مهاجمان به وب سایت های دیگر و داده های آنها نیز دسترسی پیدا کنند. با اینکه استفاده از VPS یا سرور خصوصی مجازی گران تر است، می توان اطمینان داشت که وب سایت شما در هاست اختصاصی خودش ذخیره شده است.
8 اقدامی که می توانید امروز برای محافظت از سایت وردپرس خود انجام دهید
1. از یک رمز عبور قوی استفاده کنید.
اگر در حال حاضر از گذرواژه ای استفاده می کنید که حاوی کمتر از 6 کاراکتر است اکنون آن را تغییر دهید. اگر در حال حاضر از یک گذرواژه در بیش از یک ورود استفاده می کنید، اکنون آن را تغییر دهید. اگر بیش از شش ماه است که از یک کلمه عبور استفاده می کنید ، اکنون آن را تغییر دهید.
2. یک افزونه امنیتی WordPress نصب کنید.
استفاده از افزونه امنیتی WordPress مانند iThemes Security یک روش عالی برای مراقبت از حملات هکرها به وب سایت وردپرس شما است. با این ابزار و تنها با یک کلیک می توانید مهمترین و توصیه شده ترین تنظیمات امنیتی WordPress را فعال کنید.
3. تأیید هویت دو مرحله ای وردپرس را فعال کنید.
تأیید هویت دو مرحله ای یک لایه ی اضافی از محافظت را در ورود به WordPress شما ایجاد می کند. با این روش علاوه بر رمزعبور، برای ورود به سیستم، یک کد حساس به زمان اضافی، از دستگاه دیگری مانند تلفن هوشمند شما نیز لازم است. تأیید هویت دو مرحله ای یکی از بهترین راه ها برای ایجاد قفل در ورود به سیستم وردپرس شماست و تقریباً به طور کامل پتانسیل حملات هکرها را به حداقل می رساند.
4. سایت وردپرس خود را به روزرسانی کنید.
لازم است باز هم یادآور شویم که به روزرسانی سایت وردپرس یکی از بهترین راه هایی است که می توانید از مشکلات احتمالی امنیتی آن جلوگیری کنید. هم اکنون به سایت وردپرس خود وارد شوید و هرگونه درخواست بروزرسانی در هسته وردپرس، قالب یا افزونه های وبسایت که دارید را انجام دهید.
5. مجوزهای مناسب را روی سرور خود تنظیم کنید.
اطمینان حاصل کنید که مجوزهای مناسب در تمام دایرکتوری های سرور شما تنظیم شده است. این مجوزها به افراد اجازه ی دسترسی به فایل ها، خواندن یا ویرایش آنها را می دهد.
6. اسکن های زمان بندی شده برای جلوگیری از ورود بدافزارها را اجرا کنید.
با این اسکن های برنامه ریزی شده، می توانید وبسایت خود را از خرابکاری های احتمالی بدافزارها حفظ کنید. بیشتر این سرویس ها، مانند اسکن بدافزارها در افزونه iThemes Security Pro ، گزارشی از وضعیت بدافزارها بر روی وب سایت شما به همراه چندین وضعیت لیست سیاه دیگر را ارائه می دهند.
7. یک برنامه پشتیبانی وردپرس قابل اعتماد داشته باشید.
داشتن یک برنامه ی پشتیبان گیری از وردپرس می تواند یک مؤلفه مهم استراتژیک و امنیتی در وبسایت شما باشد. برای ایجاد نسخه پشتیبان در یک بازه ی زمانی مشخص برنامه ریزی کنید و اطمینان حاصل کنید که فایل های پشتیبانی وبسایت شما در یک مکان امن و غیر قابل دسترس در حال ذخیره سازی است. همچنین، در صورت نیاز به بازیابی نسخه پشتیبان، اطمینان حاصل کنید که استراتژی تهیه نسخه پشتیبان شما دارای یک عنصر بازیابی است.
8. برنامه ی محافظت از حملات نفوذی بی رحمانه (WordPress Brute Force Protection) را فعال کنید.
محافظت از وبسایت در برابر حملات بی رحمانه روش دیگری برای کاهش هرگونه آسیب پذیری احتمالی یا اضافه بارهای سرور است. از خدماتی استفاده کنید که هم محافظت از حملات محلی و هم شبکه ای را شامل می شود تا کاربرانی که سعی در ورود به سایت های دیگر دارند نیز از این طریق منع شوند.