Learning, Wordpress

امنیت وردپرس

وقتی صحبت از امنیت وردپرس می شود، کارهای زیادی وجود دارد که می توانید برای قفل کردن سایت خود انجام دهید تا از نفوذ هکرها و آسیب پذیری ها به فروشگاه اینترنتی یا وبلاگ خود جلوگیری کنید. آخرین اتفاقی که می خواهید بیفتد این است که یک روز صبح از خواب بیدار شوید و سایت خود را درهم و برهم کشف کنید. بنابراین امروز قصد داریم نکات، استراتژی‌ها و تکنیک‌های زیادی را به اشتراک بگذاریم که می‌توانید برای بهبود امنیت وردپرس خود و محافظت از آنها استفاده کنید.

آیا وردپرس امن است؟

اولین سوالی که احتمالاً از خود می پرسید، آیا وردپرس امن است ؟ در اکثر موارد، بله. با این حال، وردپرس معمولاً به دلیل مستعد بودن به آسیب‌پذیری‌های امنیتی و ذاتاً یک پلتفرم امن برای استفاده برای یک تجارت نیست، و امتیاز بدی دریافت می‌کند. بیشتر اوقات این موضوع به این دلیل است که کاربران بدترین شیوه های امنیتی اثبات شده را دنبال می کنند.

استفاده از نرم‌افزار قدیمی وردپرس، پلاگین‌های نال شده، مدیریت ضعیف سیستم، مدیریت اعتبارنامه‌ها و فقدان دانش لازم وب و امنیت در میان کاربران غیرمتخصص وردپرس، هکرها را در رأس بازی‌های جرایم سایبری خود نگه می‌دارد. حتی رهبران صنعت همیشه از بهترین شیوه ها استفاده نمی کنند. مثال بارز این موضوع این است که رویترز به  دلیل استفاده از نسخه قدیمی وردپرس هک شد.

اساساً، امنیت مربوط به سیستم های کاملاً ایمن نیست. یافتن و/یا نگهداری چنین چیزی ممکن است غیرعملی یا غیرممکن باشد. اما آنچه امنیت است کاهش ریسک است نه حذف ریسک. این در مورد به کارگیری تمام کنترل های مناسب در دسترس شما است که به شما امکان می دهد وضعیت کلی خود را بهبود ببخشید و احتمال اینکه خود را هدف قرار دهید و متعاقباً هک شوید را کاهش دهید.  

کدکس امنیتی وردپرس

حال، این بدان معنا نیست که آسیب‌پذیری‌ها وجود ندارند. طبق یک مطالعه سه ماهه سوم سال 2017 توسط Sucuri، یک شرکت امنیتی چند پلتفرمی، وردپرس همچنان رهبر وب سایت های آلوده ای که روی آنها کار می کردند (با 83٪) است.  این در مقایسه با 74 درصد در سال 2016 افزایش یافته است.

آسیب پذیری های امنیتی وردپرس

وردپرس بیش از 43.3 درصد از تمام وب‌سایت‌های موجود در اینترنت را در اختیار دارد، و با صدها هزار ترکیب تم و افزونه، جای تعجب نیست که آسیب‌پذیری‌ها وجود داشته باشند و دائماً در حال کشف شدن هستند. با این حال، همچنین یک جامعه عالی در اطراف پلتفرم وردپرس وجود دارد تا اطمینان حاصل شود که این موارد در اسرع وقت اصلاح می شوند. از سال 2022، تیم امنیتی وردپرس متشکل از تقریباً 50 متخصص (از 25 نفر در سال 2017) از جمله توسعه دهندگان اصلی و محققان امنیتی است – حدود نیمی از کارکنان Automattic هستند و تعدادی در زمینه امنیت وب کار می کنند.

آسیب پذیری های وردپرس

برخی از انواع مختلف آسیب پذیری های امنیتی وردپرس را در زیر بررسی کنید.

Backdoors

آسیب‌پذیری Backdoor به هکرها با عبور از رمزگذاری امنیتی، گذرگاه‌های مخفی را برای دسترسی به وب‌سایت‌های وردپرس از طریق روش‌های غیرعادی – wp-Admin ، SFTP ، FTP، و غیره در اختیار هکرها قرار می‌دهد. پس از بهره‌برداری، درب‌های پشتی به هکرها این امکان را می‌دهند که سرورهای میزبان را با آلودگی بین سایت‌ها خراب کنند. حملات – به خطر انداختن چندین سایت میزبانی شده روی یک سرور. در سه ماهه سوم سال 2017 ، Sucuri گزارش داد که درهای پشتی همچنان یکی از بسیاری از اقدامات مهاجمان پس از هک هستند، به طوری که 71٪  از سایت های آلوده به نوعی تزریق درب پشتی دارند.

توزیع خانواده بدافزار

درهای پشتی اغلب به گونه‌ای رمزگذاری می‌شوند که مانند فایل‌های سیستم وردپرس قانونی به نظر برسند و با استفاده از ضعف‌ها و باگ‌های نسخه‌های قدیمی پلتفرم، به پایگاه‌های داده وردپرس راه پیدا می‌کنند. شکست TimThumb نمونه  بارز آسیب‌پذیری درب پشتی بود که از اسکریپت‌های سایه‌دار و نرم‌افزار قدیمی استفاده می‌کرد که میلیون‌ها وب‌سایت را به خطر انداخت.

خوشبختانه، پیشگیری و درمان این آسیب پذیری نسبتاً ساده است. شما می توانید سایت وردپرس خود را با ابزارهایی مانند  SiteCheck اسکن کنید که به راحتی می تواند درهای پشتی رایج را شناسایی کند. احراز هویت دو مرحله ای، مسدود کردن IP ها، محدود کردن دسترسی ادمین و جلوگیری از اجرای غیرمجاز فایل های PHP به راحتی از تهدیدات درب پشتی متداول مراقبت می کند که در ادامه به آنها بیشتر خواهیم پرداخت. Canton Becker همچنین یک مقاله عالی در مورد تمیز کردن آشفتگی درب پشتی در نصب های وردپرس شما دارد.

Pharma Hacks

اکسپلویت Pharma Hack برای درج کدهای تقلبی در نسخه‌های قدیمی وب‌سایت‌ها و افزونه‌های وردپرس استفاده می‌شود که باعث می‌شود موتورهای جستجو تبلیغات محصولات دارویی را هنگام جستجوی یک وب‌سایت در معرض خطر بازگردانند. این آسیب پذیری بیشتر از بدافزارهای سنتی یک تهدید اسپم است، اما به موتورهای جستجو دلیل کافی برای مسدود کردن سایت به اتهام توزیع هرزنامه می دهد.

بخش‌های متحرک یک هک فارما شامل درهای پشتی در افزونه‌ها و پایگاه‌های داده است که می‌توان آن‌ها را طبق دستورالعمل‌های این وبلاگ Sucuri پاک کرد . با این حال، اکسپلویت‌ها تزریق به دیتابیس رمزگذاری شده هستند که در پایگاه‌های داده پنهان شده‌اند و برای رفع آسیب‌پذیری به یک فرآیند پاکسازی کامل نیاز دارند . با این وجود، می توانید به راحتی با استفاده از ارائه دهندگان میزبانی وردپرس با سرورهای به روز و به روز رسانی منظم نصب ها، تم ها و افزونه های وردپرس خود، از هک های فارما جلوگیری کنید. 

Brute-force Login Attempts

تلاش‌های بی‌رحمانه برای ورود به سیستم از اسکریپت‌های خودکار برای سوء استفاده از رمزهای عبور ضعیف و دسترسی به سایت شما استفاده می‌کنند. احراز هویت دو مرحله ای، محدود کردن تلاش برای ورود به سیستم، نظارت بر ورودهای غیرمجاز، مسدود کردن IP و استفاده از رمزهای عبور قوی برخی از ساده ترین و بسیار موثرترین راه ها برای جلوگیری از حملات brute-force هستند. اما متأسفانه، تعدادی از دارندگان وب سایت وردپرسی در انجام این اقدامات امنیتی ناکام هستند، در حالی که هکرها به راحتی می توانند تا 30000 وب سایت را در یک روز با استفاده از حملات brute-force به خطر بیاندازند.

Malicious Redirects

تغییر مسیرهای مخرب با استفاده از پروتکل‌های FTP، SFTP، wp-admin و سایر پروتکل‌ها، درهای پشتی را در نصب‌های وردپرس ایجاد می‌کنند و کدهای تغییر مسیر را به وب‌سایت تزریق می‌کنند. ریدایرکت ها اغلب در فایل htaccess. و سایر فایل های اصلی وردپرس به صورت کدگذاری شده قرار می گیرند و ترافیک وب را به سمت سایت های مخرب هدایت می کنند. ما در مراحل امنیتی وردپرس خود راه هایی را برای جلوگیری از این موارد بررسی خواهیم کرد.

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) زمانی است که یک اسکریپت مخرب به یک وب سایت یا برنامه قابل اعتماد تزریق می شود. مهاجم از این برای ارسال کدهای مخرب، معمولاً اسکریپت های سمت مرورگر، برای کاربر نهایی بدون اینکه او بداند استفاده می کند. هدف معمولاً گرفتن کوکی یا داده های نشست یا شاید حتی بازنویسی HTML در یک صفحه است.

طبق گفته WordFence ، آسیب‌پذیری‌های Cross-Site Scripting رایج‌ترین آسیب‌پذیری هستند که با اختلاف قابل توجهی در افزونه‌های وردپرس یافت می‌شوند.

Denial of Service

شاید خطرناک‌ترین آنها، آسیب‌پذیری Denial of Service (DoS) باشد که از خطاها و باگ‌های کد سوء استفاده می‌کند تا حافظه سیستم‌عامل‌های وب‌سایت را تحت تأثیر قرار دهد. هکرها با سوء استفاده از نسخه های قدیمی و باگ نرم افزار وردپرس با حملات DoS میلیون ها وب سایت را به خطر انداخته و  میلیون ها دلار به دست آورده اند. اگرچه مجرمان سایبری با انگیزه مالی کمتر شرکت‌های کوچک را هدف قرار می‌دهند، اما تمایل دارند تا وب‌سایت‌های آسیب‌پذیر قدیمی را در ایجاد زنجیره‌های بات‌نت برای حمله به مشاغل بزرگ به خطر بیاندازند.

حتی آخرین نسخه‌های نرم‌افزار وردپرس نیز نمی‌توانند به طور جامع در برابر حملات DoS با مشخصات بالا دفاع کنند ، اما حداقل به شما کمک می‌کنند تا در آتش متقابل بین مؤسسات مالی و مجرمان سایبری پیچیده خودداری کنید. و 21 اکتبر 2016 را فراموش نکنید. این روزی بود که اینترنت به دلیل حمله DNS DDoS قطع شد.

منبع:

https://kinsta.com/blog/wordpress-security/


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *