5 مشکل امنیتی وردپرس

اگر شما یک وب سایت  وردپرس دارید یا می خواهید از وردپرس به عنوان CMS خود استفاده کنید ، ممکن است نگران مسائل بالقوه امنیتی وردپرس باشید. در این پست ، ما به شرح برخی از رایج ترین نقاط ضعف امنیتی وردپرس خواهیم پرداخت ، همراه با مراحلی که می توانید برای امنیت و محافظت از سایت وردپرس خود انجام دهید.

فهرست مطالب

آیا وردپرس امن است؟

پاسخ به سوال “آیا وردپرس امن است؟” بستگی دارد وردپرس به شرط رعایت بهترین شیوه های امنیتی وردپرس ، از امنیت بالایی برخوردار است.

با توجه به آخرین استفاده از داده های سیستم های مدیریت محتوا از W3Techs ، وردپرس 39٪ در همه وب سایت ها را دارد. بنابراین آسیب پذیری های امنیتی وردپرس اجتناب ناپذیر است زیرا همه کاربران مراقب ، دقیق و دارای امنیت وب سایت های خود نیستند.

اگر یک هکر بتواند به یکی از صدها میلیون وب سایت وردپرس در وب راه پیدا کند ، می تواند وب سایت های دیگری را که همچنین از نصب نسخه های نا امن نسخه های قدیمی و ناامن وردپرس استفاده می کنند ، جستجو کند و آنها را نیز هک کند.

وردپرس با کد منبع باز اجرا می شود و تیمی به طور خاص به پیدا کردن ، شناسایی و رفع مشکلات امنیتی وردپرس اختصاص دارد که در کد اصلی بوجود می آیند.

با آشکار شدن آسیب پذیری های امنیتی ، بلافاصله رفع مشکلات برای رفع مشکلات امنیتی جدیدی که در وردپرس کشف شده اند ، برطرف می شوند. به همین دلیل بروزرسانی وردپرس به آخرین نسخه برای امنیت کلی وب سایت شما فوق العاده مهم است.

لازم به ذکر است که آسیب پذیری های امنیتی وردپرس فراتر از هسته وردپرس به درون قالب  یا افزونه هایی که شما در سایت خود نصب می کنید ، گسترش می یابد.

براساس گزارش اخیر wpvulndb.com ، از 2837 آسیب پذیری امنیتی وردپرس شناخته شده در پایگاه داده آنها:

  • 75٪ از افزونه های وردپرس است : WordPress plugins
  • 14٪ از هسته وردپرس هستند : core WordPress
  • 11٪ از قالب وردپرس هستند : WordPress themes

 

مشکلات امنیتی وردپرس

5 مورد مشکل امنیتی وردپرس

رایج ترین مسائل امنیتی وردپرس قبل یا درست بعد از به خطر افتادن سایت شما رخ می دهد. هدف از هک ، دستیابی غیرمجاز به سایت وردپرس شما در سطح سرپرست است ، یا از جلو (داشبورد وردپرس) یا از سمت سرور (با درج اسکریپت ها یا پرونده های مخرب).

در اینجا 5 مورد رایج امنیتی وردپرس وجود دارد که باید در مورد آنها بدانید:

1. حملات Brute Force

حملات brute force attack  وردپرس به روش آزمایش و خطا برای وارد کردن چندین نام کاربری و رمز عبور به طور مکرر تا کشف یک ترکیب موفقیت آمیز اشاره دارد. روش brute force attack  ساده ترین راه برای دسترسی به وب سایت شما را به کار می گیرد:

صفحه ورود به سیستم وردپرس.

وردپرس ، به طور پیش فرض ، تلاش برای ورود را محدود نمی کند ، بنابراین ربات ها می توانند با استفاده از روش حمله بی رحمانه به صفحه ورود وردپرس شما حمله کنند. حتی اگر حمله brute force ناموفق باشد ، باز هم می تواند ویرانگر سرور شما باشد ، زیرا تلاش برای ورود به سیستم می تواند سیستم شما را بیش تحت فشار و لود های مکرر قرار دهد  و سایت شما را کند کند.

در حالی که تحت حمله brute force attack قرار دارید ، ممکن است برخی از میزبان ها حساب شما را به حالت تعلیق درآورند ، به ویژه اگر در یک برنامه میزبانی مشترک هستید ، به دلیل اضافه بار سیستم

2. فایل های همراه File Inclusion Exploits

بعد از حملات بی رحمانه ، آسیب پذیری در کد PHP وب سایت وردپرس شما آخرین مورد امنیتی است که می تواند توسط مهاجمان مورد سو استفاده قرار بگیرد. (PHP کدی است که وب سایت وردپرس شما را همراه با افزونه ها و مضامین شما اجرا می کند.)

سو استفاده از درج پرونده زمانی اتفاق می افتد که از کد آسیب پذیر برای بارگذاری پرونده های از راه دور استفاده می شود که به مهاجمان اجازه می دهد به وب سایت شما دسترسی پیدا کنند. سو استفاده از گنجاندن پرونده یکی از رایج ترین راه هایی است که مهاجم می تواند به پرونده wp-config.php وب سایت وردپرس شما ، یکی از مهمترین پرونده ها در نصب وردپرس شما ، دسترسی پیدا کند.

3. تزریق اس کیو ال SQL Injections :

وب سایت وردپرس شما از یک پایگاه داده MySQL برای کار استفاده می کند. تزریق SQL زمانی اتفاق می افتد که یک مهاجم به پایگاه داده وردپرس شما و به تمام داده های وب سایت شما دسترسی پیدا کند.

با تزریق SQL ، یک مهاجم می تواند یک حساب کاربری جدید در سطح مدیر ایجاد کند که سپس می تواند برای ورود به سیستم و دسترسی کامل به وب سایت وردپرس شما استفاده شود. تزریق SQL همچنین می تواند برای قرار دادن داده های جدید در پایگاه داده شما ، از جمله پیوند به وب سایت های مخرب یا هرزنامه ، استفاده شود.

4. اسکریپت نویسی بین سایت : Cross-Site Scripting (XSS)

84٪ از تمام آسیب پذیری های امنیتی در کل اینترنت Cross-Site Scripting یا حملات XSS نامیده می شوند. آسیب پذیری های Cross-Site Scripting رایج ترین آسیب پذیری موجود در افزونه های وردپرس است.

مکانیسم اصلی اسکریپت نویسی Cross-Site به این شکل عمل می کند: یک مهاجم راهی پیدا می کند تا یک قربانی صفحات وب را با اسکریپت های ناامن javascript بارگیری کند. این اسکریپت ها بدون اطلاع بازدید کننده بارگیری می شوند و سپس برای سرقت اطلاعات از مرورگرهای آنها استفاده می شوند. نمونه ای از حمله Cross-Site Scripting یک فرم ربوده شده است که به نظر می رسد در وب سایت شما قرار دارد. اگر کاربر داده ای را به آن فرم وارد کند ، آن داده به سرقت می رود.

5. بدافزار : Malware

بدافزار ، مخفف نرم افزار مخرب ، کدی است که برای بدست آوردن دسترسی غیرمجاز به یک وب سایت برای جمع آوری داده های حساس استفاده می شود. سایت هک شده وردپرس معمولاً به معنای تزریق بدافزار به پرونده های وب سایت شما است ، بنابراین اگر به بدافزار موجود در سایت خود مشکوک هستید ، نگاهی به پرونده های اخیراً تغییر یافته بیندازید.

اگرچه هزاران نوع آلودگی به بدافزار در وب وجود دارد ، اما وردپرس در برابر همه آنها آسیب پذیر نیست. چهار رایج ترین بدافزار وردپرس عبارتند از:

  • درهای پشتی : Backdoors
  • بارگیری درایو : Drive-by downloads
  • هک های دارویی : Pharma hacks
  • تغییر مسیرها: Malicious redirects
  • و …

با حذف دستی فایل مخرب ، نصب نسخه جدید وردپرس یا بازیابی سایت وردپرس خود از نسخه پشتیبان تهیه شده و غیر آلوده ، می توان به راحتی هر یک از این نوع بدافزارها را شناسایی و پاک سازی کنید .

چه چیزی سایت وردپرس شما را نسبت به مسائل امنیتی وردپرس آسیب پذیر می کند؟

چندین عامل می تواند سایت وردپرس شما را در برابر حملات موفق آسیب پذیرتر کند.

1. رمزهای عبور ضعیف

استفاده از رمز عبور ضعیف یکی از بزرگترین آسیب پذیری های امنیتی است که می توانید به راحتی از آن جلوگیری کنید. رمز ورود مدیر وردپرس شما باید قوی باشد ، شامل انواع مختلفی از شخصیت ها ، نمادها یا اعداد باشد. علاوه بر این ، رمز ورود شما باید مختص سایت وردپرس شما باشد و در جای دیگری استفاده نشود.

 

2. به روزرسانی نکردن وردپرس ، پلاگین ها یا قالب ها

به زبان ساده: اگر نسخه های قدیمی WordPress ، پلاگین ها و طرح زمینه ها را در وب سایت خود اجرا نکنید ، در معرض خطر حمله خواهید بود. به روزرسانی های نسخه معمولاً شامل وصله هایی برای مشکلات امنیتی در کد هستند ، بنابراین مهم است که همیشه آخرین نسخه از همه نرم افزارهای نصب شده در وب سایت وردپرس خود را اجرا کنید.

به روزرسانی ها به محض دسترسی در داشبورد WordPress شما ظاهر می شوند. هر بار که وارد سایت وردپرس خود می شوید ، یک نسخه پشتیبان تهیه کنید و سپس همه به روزرسانی های موجود را اجرا کنید. اگرچه ممکن است کار اجرای به روزرسانی ها ناخوشایند یا خسته کننده باشد ، اما این یک روش مهم امنیتی وردپرس است.

اگر بیش از یک وب سایت وردپرس را مدیریت کنید ، می توانید از یک ابزار صرفه جویی در وقت مانند iThemes Sync Pro برای مدیریت بهتر به روزرسانی ها استفاده کنید. به جای ورود به هر سایت جداگانه ، یک داشبورد به شما می دهد تا بتوانید به روزرسانی چندین سایت وردپرس را از یک مکان مدیریت کنید.

 

3. استفاده از پلاگین ها و قالب های از منابع غیر قابل اعتماد

کد ضعیف ، ناامن یا منسوخ شده یکی از متداول ترین روش هایی است که مهاجمان می توانند از وب سایت وردپرس شما سو استفاده کنند. از آنجا که افزونه ها و مضامین منابع بالقوه آسیب پذیری های امنیتی هستند ، به عنوان بهترین روش امنیتی ، فقط افزونه ها و مضامین وردپرس را از منابع معتبر مانند مخزن WordPress.org یا شرکت های برتر که مدتی در تجارت بوده اند بارگیری و نصب کنید. . همچنین ، از نسخه های بوتلگ یا تورنت شده “رایگان” مضامین و پلاگین های برتر خودداری کنید ، زیرا ممکن است پرونده ها تغییر داده شده باشند تا شامل بدافزار شوند. هزینه این افزونه ها و مضامین “رایگان” می تواند به هزینه امنیت سایت شما تمام شود.

4. استفاده از میزبانی بی کیفیت یا مشترک

از آنجا که سروری که وب سایت وردپرس شما در آن قرار دارد ، هدف حمله کنندگان است ، استفاده از میزبانی مشترک بی کیفیت یا مشترک می تواند سایت شما را در معرض خطر قرار دهد. در حالی که همه میزبان ها برای ایمن سازی سرورهای خود اقدامات احتیاطی انجام می دهند ، همه هوشیار نیستند و یا آخرین اقدامات امنیتی را برای محافظت از وب سایت ها در سطح سرور انجام نمی دهند.

میزبانی مشترک نیز می تواند نگران کننده باشد زیرا چندین وب سایت در یک سرور ذخیره می شوند. اگر یک وب سایت هک شود ، مهاجمان همچنین می توانند به وب سایت های دیگر و داده های آنها دسترسی پیدا کنند. گرچه استفاده از VPS یا سرور خصوصی مجازی گران تر است ، اما به شما اطمینان می دهد که وب سایت شما در سرور خود ذخیره شده است.

 

8 اقدامی که امروز می توانید برای محافظت از سایت وردپرس خود انجام دهید

1. برای هر حساب آنلاین از یک رمز عبور قوی استفاده کنید.

اگر در حال حاضر از رمز عبوری استفاده می کنید که کمتر از 6 حرف دارد ، اکنون آن را تغییر دهید. اگر در حال حاضر از بیش از یک ورود به سیستم رمز عبور استفاده می کنید ، اکنون آن را تغییر دهید. اگر بیش از شش ماه رمز عبور یکسانی دارید ، اکنون آن را تغییر دهید. اگر از گذرواژه خود برای چندین حساب آنلاین استفاده مجدد می کنید ، اکنون آن را تغییر دهید.

2. یک افزونه امنیتی وردپرس نصب کنید.

استفاده از افزونه امنیتی وردپرس راهی عالی برای مراقبت از اقدامات امنیتی اضافی در وب سایت وردپرس شماست. iThemes Security یک بررسی امنیتی وردپرس را با یک کلیک انجام می دهد که مهمترین و توصیه شده ترین تنظیمات امنیتی وردپرس را فعال می کند. یک افزونه امنیتی خوب وردپرس می تواند جنبه های فنی بیشتری از امنیت سایت شما را کنترل کند ، بنابراین برای استفاده از آن نیازی نیست که یک متخصص امنیت باشید.

3. احراز هویت دو عاملی وردپرس  two-factor authentication را فعال کنید.

احراز هویت دو عاملی ، یک لایه محافظت اضافی به ورود وردپرس شما اضافه می کند. برای ورود به سیستم ، علاوه بر گذرواژه خود ، از دستگاه دیگری مانند تلفن هوشمند خود یک کد حساس به زمان اضافی نیز لازم است. احراز هویت دو عاملی یکی از بهترین راه ها برای قفل کردن ورود وردپرس است و تقریباً به طور کامل احتمال موفقیت حملات بی رحمانه را به حداقل می رساند.

 

4. سایت وردپرس خود را به روز نگه دارید: WordPress site updated.

باز هم: به روز نگه داشتن سایت وردپرس خود یکی از بهترین راه هایی است که می توانید از مشکلات احتمالی وردپرس جلوگیری کنید. اکنون به سایت وردپرس خود وارد شوید و هرگونه به روزرسانی موجود را برای هسته وردپرس ، مضامین یا افزونه های خود اجرا کنید. اگر از افزونه ها یا تم های برتر WordPress استفاده می کنید ، مطمئن شوید که مجوز فعلی را دارید تا اطمینان حاصل کنید که به روزرسانی می کنید و نسخه های منسوخ را اجرا نمی کنید.

 

5- مجوزهای permissions  مناسب را بر روی سرور خود تنظیم کنید.

اطمینان حاصل کنید که مجوزهای مناسب در همه فهرستهای سرور شما تنظیم شده است. مجوزهای مناسب کسی را مجاز به خواندن پرونده ، ایجاد و ویرایش پرونده می کند.

 

6. اسکن های بدافزار برنامه ریزی شده را اجرا کنید.

با اسکن برنامه ریزی شده بدافزار ، برگه های مربوط به عفونت های احتمالی بدافزار را نگه دارید. اکثر سرویس ها مانند اسکن بدافزار ارائه شده در افزونه iThemes Security Pro ، گزارشی از وضعیت بدافزار وب سایت شما را به همراه چندین وضعیت در لیست سیاه دیگر به شما ارائه می دهند.

7. یک برنامه پشتیبان وردپرس قابل اعتماد داشته باشید.

داشتن برنامه پشتیبان گیری از وردپرس یکی از مولفه های مهم استراتژی امنیتی وردپرس است. پشتیبان گیری برنامه ریزی شده را برای اجرا تنظیم کنید و مطمئن شوید که پشتیبان خود را با خیال راحت خارج از سایت به یک مکان پشتیبان وردپرس امن و از راه دور ارسال می کنید. همچنین ، درصورت نیاز به بازیابی سایت خود از یک نسخه پشتیبان پاک ، مطمئن شوید که استراتژی پشتیبان شما دارای یک جز restore بازگرداندن است.

 

8. وردپرس Brute Force Protection را فعال کنید.

محافظت از خود در برابر حملات brute force روش دیگری برای کاهش هرگونه آسیب پذیری احتمالی یا اضافه بار سرور است. با استفاده از سرویسی که شامل محافظت از نیروی بی رحم محلی و محلی باشد ، کاربرانی که سعی کرده اند به سایت های دیگر نفوذ کنند از ورود به سایت شما منع می شوند.

 

 

 

 

منبع : https://ithemes.com/wordpress-security-issues

دیدگاهتان را بنویسید