وقتی صحبت از امنیت وردپرس می شود، کارهای زیادی وجود دارد که می توانید برای قفل کردن سایت خود انجام دهید تا از نفوذ هکرها و آسیب پذیری ها به فروشگاه اینترنتی یا وبلاگ خود جلوگیری کنید. آخرین اتفاقی که می خواهید بیفتد این است که یک روز صبح از خواب بیدار شوید و سایت خود را درهم و برهم کشف کنید. بنابراین امروز قصد داریم نکات، استراتژیها و تکنیکهای زیادی را به اشتراک بگذاریم که میتوانید برای بهبود امنیت وردپرس خود و محافظت از آنها استفاده کنید.
فهرست محتوا
آیا وردپرس امن است؟
اولین سوالی که احتمالاً از خود می پرسید، آیا وردپرس امن است ؟ در اکثر موارد، بله. با این حال، وردپرس معمولاً به دلیل مستعد بودن به آسیبپذیریهای امنیتی و ذاتاً یک پلتفرم امن برای استفاده برای یک تجارت نیست، و امتیاز بدی دریافت میکند. بیشتر اوقات این موضوع به این دلیل است که کاربران بدترین شیوه های امنیتی اثبات شده را دنبال می کنند.
استفاده از نرمافزار قدیمی وردپرس، پلاگینهای نال شده، مدیریت ضعیف سیستم، مدیریت اعتبارنامهها و فقدان دانش لازم وب و امنیت در میان کاربران غیرمتخصص وردپرس، هکرها را در رأس بازیهای جرایم سایبری خود نگه میدارد. حتی رهبران صنعت همیشه از بهترین شیوه ها استفاده نمی کنند. مثال بارز این موضوع این است که رویترز به دلیل استفاده از نسخه قدیمی وردپرس هک شد.
اساساً، امنیت مربوط به سیستم های کاملاً ایمن نیست. یافتن و/یا نگهداری چنین چیزی ممکن است غیرعملی یا غیرممکن باشد. اما آنچه امنیت است کاهش ریسک است نه حذف ریسک. این در مورد به کارگیری تمام کنترل های مناسب در دسترس شما است که به شما امکان می دهد وضعیت کلی خود را بهبود ببخشید و احتمال اینکه خود را هدف قرار دهید و متعاقباً هک شوید را کاهش دهید.
کدکس امنیتی وردپرس
حال، این بدان معنا نیست که آسیبپذیریها وجود ندارند. طبق یک مطالعه سه ماهه سوم سال 2017 توسط Sucuri، یک شرکت امنیتی چند پلتفرمی، وردپرس همچنان رهبر وب سایت های آلوده ای که روی آنها کار می کردند (با 83٪) است. این در مقایسه با 74 درصد در سال 2016 افزایش یافته است.
وردپرس بیش از 43.3 درصد از تمام وبسایتهای موجود در اینترنت را در اختیار دارد، و با صدها هزار ترکیب تم و افزونه، جای تعجب نیست که آسیبپذیریها وجود داشته باشند و دائماً در حال کشف شدن هستند. با این حال، همچنین یک جامعه عالی در اطراف پلتفرم وردپرس وجود دارد تا اطمینان حاصل شود که این موارد در اسرع وقت اصلاح می شوند. از سال 2022، تیم امنیتی وردپرس متشکل از تقریباً 50 متخصص (از 25 نفر در سال 2017) از جمله توسعه دهندگان اصلی و محققان امنیتی است – حدود نیمی از کارکنان Automattic هستند و تعدادی در زمینه امنیت وب کار می کنند.
آسیب پذیری های وردپرس
برخی از انواع مختلف آسیب پذیری های امنیتی وردپرس را در زیر بررسی کنید.
Backdoors
آسیبپذیری Backdoor به هکرها با عبور از رمزگذاری امنیتی، گذرگاههای مخفی را برای دسترسی به وبسایتهای وردپرس از طریق روشهای غیرعادی – wp-Admin ، SFTP ، FTP، و غیره در اختیار هکرها قرار میدهد. پس از بهرهبرداری، دربهای پشتی به هکرها این امکان را میدهند که سرورهای میزبان را با آلودگی بین سایتها خراب کنند. حملات – به خطر انداختن چندین سایت میزبانی شده روی یک سرور. در سه ماهه سوم سال 2017 ، Sucuri گزارش داد که درهای پشتی همچنان یکی از بسیاری از اقدامات مهاجمان پس از هک هستند، به طوری که 71٪ از سایت های آلوده به نوعی تزریق درب پشتی دارند.
درهای پشتی اغلب به گونهای رمزگذاری میشوند که مانند فایلهای سیستم وردپرس قانونی به نظر برسند و با استفاده از ضعفها و باگهای نسخههای قدیمی پلتفرم، به پایگاههای داده وردپرس راه پیدا میکنند. شکست TimThumb نمونه بارز آسیبپذیری درب پشتی بود که از اسکریپتهای سایهدار و نرمافزار قدیمی استفاده میکرد که میلیونها وبسایت را به خطر انداخت.
خوشبختانه، پیشگیری و درمان این آسیب پذیری نسبتاً ساده است. شما می توانید سایت وردپرس خود را با ابزارهایی مانند SiteCheck اسکن کنید که به راحتی می تواند درهای پشتی رایج را شناسایی کند. احراز هویت دو مرحله ای، مسدود کردن IP ها، محدود کردن دسترسی ادمین و جلوگیری از اجرای غیرمجاز فایل های PHP به راحتی از تهدیدات درب پشتی متداول مراقبت می کند که در ادامه به آنها بیشتر خواهیم پرداخت. Canton Becker همچنین یک مقاله عالی در مورد تمیز کردن آشفتگی درب پشتی در نصب های وردپرس شما دارد.
Pharma Hacks
اکسپلویت Pharma Hack برای درج کدهای تقلبی در نسخههای قدیمی وبسایتها و افزونههای وردپرس استفاده میشود که باعث میشود موتورهای جستجو تبلیغات محصولات دارویی را هنگام جستجوی یک وبسایت در معرض خطر بازگردانند. این آسیب پذیری بیشتر از بدافزارهای سنتی یک تهدید اسپم است، اما به موتورهای جستجو دلیل کافی برای مسدود کردن سایت به اتهام توزیع هرزنامه می دهد.
بخشهای متحرک یک هک فارما شامل درهای پشتی در افزونهها و پایگاههای داده است که میتوان آنها را طبق دستورالعملهای این وبلاگ Sucuri پاک کرد . با این حال، اکسپلویتها تزریق به دیتابیس رمزگذاری شده هستند که در پایگاههای داده پنهان شدهاند و برای رفع آسیبپذیری به یک فرآیند پاکسازی کامل نیاز دارند . با این وجود، می توانید به راحتی با استفاده از ارائه دهندگان میزبانی وردپرس با سرورهای به روز و به روز رسانی منظم نصب ها، تم ها و افزونه های وردپرس خود، از هک های فارما جلوگیری کنید.
Brute-force Login Attempts
تلاشهای بیرحمانه برای ورود به سیستم از اسکریپتهای خودکار برای سوء استفاده از رمزهای عبور ضعیف و دسترسی به سایت شما استفاده میکنند. احراز هویت دو مرحله ای، محدود کردن تلاش برای ورود به سیستم، نظارت بر ورودهای غیرمجاز، مسدود کردن IP و استفاده از رمزهای عبور قوی برخی از ساده ترین و بسیار موثرترین راه ها برای جلوگیری از حملات brute-force هستند. اما متأسفانه، تعدادی از دارندگان وب سایت وردپرسی در انجام این اقدامات امنیتی ناکام هستند، در حالی که هکرها به راحتی می توانند تا 30000 وب سایت را در یک روز با استفاده از حملات brute-force به خطر بیاندازند.
Malicious Redirects
تغییر مسیرهای مخرب با استفاده از پروتکلهای FTP، SFTP، wp-admin و سایر پروتکلها، درهای پشتی را در نصبهای وردپرس ایجاد میکنند و کدهای تغییر مسیر را به وبسایت تزریق میکنند. ریدایرکت ها اغلب در فایل htaccess. و سایر فایل های اصلی وردپرس به صورت کدگذاری شده قرار می گیرند و ترافیک وب را به سمت سایت های مخرب هدایت می کنند. ما در مراحل امنیتی وردپرس خود راه هایی را برای جلوگیری از این موارد بررسی خواهیم کرد.
Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) زمانی است که یک اسکریپت مخرب به یک وب سایت یا برنامه قابل اعتماد تزریق می شود. مهاجم از این برای ارسال کدهای مخرب، معمولاً اسکریپت های سمت مرورگر، برای کاربر نهایی بدون اینکه او بداند استفاده می کند. هدف معمولاً گرفتن کوکی یا داده های نشست یا شاید حتی بازنویسی HTML در یک صفحه است.
طبق گفته WordFence ، آسیبپذیریهای Cross-Site Scripting رایجترین آسیبپذیری هستند که با اختلاف قابل توجهی در افزونههای وردپرس یافت میشوند.
-
افزونه وردفنس، پلاگین امنیتی وردپرس | Wordfence Premiumمحصول تخفیف خورده90,625 تومان
Denial of Service
شاید خطرناکترین آنها، آسیبپذیری Denial of Service (DoS) باشد که از خطاها و باگهای کد سوء استفاده میکند تا حافظه سیستمعاملهای وبسایت را تحت تأثیر قرار دهد. هکرها با سوء استفاده از نسخه های قدیمی و باگ نرم افزار وردپرس با حملات DoS میلیون ها وب سایت را به خطر انداخته و میلیون ها دلار به دست آورده اند. اگرچه مجرمان سایبری با انگیزه مالی کمتر شرکتهای کوچک را هدف قرار میدهند، اما تمایل دارند تا وبسایتهای آسیبپذیر قدیمی را در ایجاد زنجیرههای باتنت برای حمله به مشاغل بزرگ به خطر بیاندازند.
حتی آخرین نسخههای نرمافزار وردپرس نیز نمیتوانند به طور جامع در برابر حملات DoS با مشخصات بالا دفاع کنند ، اما حداقل به شما کمک میکنند تا در آتش متقابل بین مؤسسات مالی و مجرمان سایبری پیچیده خودداری کنید. و 21 اکتبر 2016 را فراموش نکنید. این روزی بود که اینترنت به دلیل حمله DNS DDoS قطع شد.
منبع:
https://kinsta.com/blog/wordpress-security/