امنیت وردپرس را چگونه تامین کنیم ؟

av_timer ۱۳۹۶/۰۵/۲۴
1 Star2 Stars3 Stars4 Stars5 Stars
Loading...

امنیت وردپرس را چگونه تامین نماییم؟

در این مقاله می آموزید :

  • چه کسانی به سایت وردپرس حمله می کنند؟
  • چرا به سایت وردپرس هجوم می آورند؟
  • چگونه به سایت وردپرس حمله می کنند؟
  • چگونه از وب سایتمان در برابر هکر ها محافظت کنیم؟

 

امنیت وردپرس

وردپرس یک سیستم مدیریت محتوا جهانی می باشد که بیش از ۲۴% از وب سایت های جهان از این سیستم مدیریت محتوا (cms) استفاده می کنند. این سیستم متن باز می باشد ، به این صورت که کد های نوشته شده وردپرس برای هر فرد قابل مشاهده می باشد و همین عامل سبب شده است سایت های بزرگی که از این سیستم استفاده می نمایند مورد هجوم هکرها قرار گیرند . هکر ها معمولا توسط آلوده کردن و یا از دسترس خارج کردن ، سایت ها را مورد هدف قرار می دهند.

اینگونه فکر کنید که اگر یک هکر باشید و بخواهید بسیاری از وب سایت ها را آلوده کنید ، می توانید با ایجاد یک شکاف امنیتی در نرم افزار شخصی و یا عمومی خود که قابل اجرا در هر وب سایت می باشد آنها را آلوده کنید.

هکرها معمولا در نسخه های بتا و یا نسخه هایی که تازه عرضه شده اند به دنبال شکاف های امنیتی می باشند . این بهترین نوع شکاف های امنیتی برای هکر ها می باشد زیرا زمانیکه جدیدترین نسخه نرم افزار را اجرا میکنید ، شکاف امنیتی بدون هیچ مشکلی در دسترس است و هکر می تواند به آن نرم افزار نفوذ نماید.

 

 

چه کسانی به وب سایت وردپرس حمله می کنند؟

به طور کلی سه دسته از اشخاص به وب سایت های وردپرس هجوم می آورند :

  • Humans(حملات انسانی) : در صورتیکه مشاهده کردید شخصی با استفاده از صفحه کلید به صورت دستی ، مداوم در حال جست و جو می باشد بدانید که در حال نفوذ به وب سایت شما می باشد.
  • Single bot (تک ربات) : یک برنامه ی اتوماتیک و یا یک فایل که توسط هکر ها ساخته می شود و به صورت اتوماتیک توسط این ربات ها به سایت های آسیب پذیر نفوذ میکنند.
  • Botnet (شبکه ای از بات ها) : گروهی از ماشین ها با سرور مرکزی به صورت اتوماتیک برای هک وب سایت های زیادی  هماهنگ شده اند.

حملات انسانی

پیچیدگی حملات زمانی که به وسیله ی یک شخص مورد هدف باشید خیلی بیشتر از زمانی است که به وسیله ی یک ربات هک شوید. هکر می تواند به سرعت اطلاعاتی را که از سایت شما جمع آوری میکند ، کنترل کند . آن ها می توانند چندین حمله به سایتتان داشته باشند و مراقب باشند که به شما و سیستم هایی که از سایتتان محافظت می کنند ، هشداری نرسد . همچنین می توانند نتیجه ی تزریقات خود را ببینند و در مورد نتایج آن تصمیم بگیرند . این نوع حملات بیشتر به وب سایت های مالی صورت میگیرد ، این نوع سایت ها دارای اطلاعات سودمندی برای هکر ها خواهند بود.

Bot  وBotnet ها

بوت ها برنامه هایی هستند که توسط هکر ها نوشته می شوند و به بسیاری از وب سایت های شناخته شده مانند  وردپرس حمله می کنند . نوشتن برنامه ای که با اجرایش صد ها هزار وب سایت را به سرعت بررسی کند ، نسبتاً آسان است و با اجرای آن روی نسخه ای از وردپرس که شکاف امنیتی دارد ، سایت را به راحتی هک می کنند .

اکثرحملات به سایت های وردپرس به وسیله ی بوت ها انجام می شوند ، البته این نوع حملات پیچیده تر از حملات انسانی نیستند و امکان تشخیص آن ها ساده تر می باشد . بیشتر این حملات روی نسخه های بتا wordpress و یا پلاگین ها اتفاق می افتد و به وسیله این بوت ها سریعا وبسایت مذکور را مورد حمله قرار می دهند. این نوع حملات خودکار ، امنیت سایت های فراوانی را به خطر می اندازد .

  • نکته ی مهم : اکثر حملات توسط ربات ها یا ماشین های اتوماتیک انجام می شوند . از آن جایی که ربات ها بسیار سریع هستند و در حمله به سایت ها تاثیر گذارند ، بستن  شکاف های امنیتی در وب سایت WordPress ، بسیار مهم است .

 

چرا به وب سایت های وردپرس حمله می شود؟

 

چرا به وب سایت های وردپرس حمله می شود؟

هدف از حملات ، مدیریت و کنترل وب سایت و خواندن فایل ها و اطلاعات آن هاست . بدین معنا که می توانند فایل ها و اطلاعات وب سایت شما را تغییر دهند و محتوای سرور را عوض کنند . برخی از اهداف هکر ها به شرح زیر است :

فرستادن هرزنامه :  فرستادن هرزنامه (محتوای اسپم) از طرف وب سایت شما. زمانی که هکر ها وب سایتتان را کنترل می کنند می توانند ایمیل هایی از طرف وب سایتتان ارسال نمایند .با توجه به سابقه دامنه و آدرس ایمیل اختصاصی شما می توانند از فیلتر هرزنامه سرویس های ایمیل عبور نمایند.

انتشار محتوای غیر اخلاقی : هکر ها ممکن است از سایت شما برای زمینه هایی مثل فروش غیر قانونی مواد مخدر ،  محتوای غیر اخلاقی یا سایر محتوا های هرز استفاده نمایند .

سرقت اطلاعات وب سایت شما : دسترسی و برداشتن اطلاعات در وب سایت ، شامل آدرس ایمیل و نام کاربری اعضا و سایر اطلاعات دیگر . سرقت هزاران آدرس ایمیل اعضای وب سایت شما ، برای هکرها هدف جدیدی برای فرستادن هرزنامه و ایمیل های مخرب فراهم می کند .

Spamvertize : استفاده از آمار بازدید وب سایتتان برای هدایت ترافیک به دیگر وب سایت های مخرب یا هرزنامه . هکر با وارد کردن آدرس وب سایت خود در ایمیل های هرز ، از فیلترهای هرزنامه رد می شوند . سپس هر فرد با دریافت ایمیل و کلیک بر روی لینک مربوطه ، به وب سایت مخرب هدایت می شوند که “spamvertizing” نامیده می شود .

برای حمله به وب سایت های دیگر: زمانی که امنیت وب سایتتان به خطر افتاده باشد ، هکر می تواند از سایت شما برای اجرای حمله ی ربات استفاده کند .  ممکن است وب سایت شما بخشی از یک گروه ماشینی شود و برای فعالیت های مخرب استفاده شود  که Botnet نامیده می شود .

  • نکته ی مهم : هنگامی که امنیت وب سایت شما در خطر باشد ، احتمالاً برای فعالیت های مخرب استفاده می شود و ممکن است اعتبار وب سایتتان خراب شود و مرور گر ها سایت شما را به عنوان سایت مخرب مسدود سازند ، بنابراین مهم است ابتدا هک را شناسایی کرده و سریعا آن را برطرف کنید .

 

 

چگونه به وب سایت وردپرس حمله می کنند؟

معمولا دو مرحله برای حمله به وب سایت وجود دارد . در مرحلهه نخست ربات یا هکر ها ، شروع به جمع آوری اطلاعات وب سایت شما می کنند و در مرحله ی دوم شروع به سوءاستفاده از اطلاعات بدست آمده می نمایند و با اطلاعات جمع آوری شده جهت دسترسی و نفوذ به وب سایت استفاده می نمایند .

 

شناسایی

در این مرحله هکر شروع به جمع آوری اطلاعات می نماید ، هکر تلاش می کند اطلاعات مفید وب سایت شما را به دست آورد تا از آسیب هایی که  بتوان از آنها سوءاستفاده کرد ، را مطلع شود . هکر به دنبال نوع و نسخه ی نرم افزاری که روی وب سایتتان اجرا است می باشد . علت آن این است که زمانیکه سیستم وردپرس در یک نسخه ی خاص باگ پیدا می نماید همزمان اطلاعات و یا اخبار باگ در سراسر اینترنت پخش خواهد شد برای مثال هکر متوجه خواهد شد که شما از WordPress استفاده می نمایید و نسخه سایتتان ۴.۲.۲ است . همین عامل سبب می شود که به سایت شما نفوذ نماید.

ممکن است هکر قبل از هک ،  به اطلاعات دیگری درباره ی وب سایت شما نیازمند باشد . دانستن نوع پلاگین و نسخه ی آن که اجرا  می کنید ، بسیار ارزشمند است . به همین دلیل هکر ها زمان شناسایی و هک وب سایت تان ،  plugin وب سایت را بررسی می نمایند . بهتراست یک بکاپ (فایل پشتیبان) از ساییتان داشته باشید و زمانی که  تحت هر شرایطی نیاز به بکاپ داشتید به سرعت اینکار انجام شود.

  • نکته ی مهم : دانستن نرم افزار و نسخه ی آن که روی سیستمتان اجرا می شود برای هکر بسیار ارزشمند است چون برایشان لیست هدفمندی ، جهت سوءاستفاده فراهم می کند . خدماتی شامل wordnece که به مخفی ماندن نسخه ی نرم افزار شما کمک می کند و ممکن است تعداد مهاجمان را کم کند . اگرچه ، پنهان کردن ورژن نرم افزارتان کاربردی می آید اما نباید صرفاً با انجام این عمل به امنیت سایتتان اکتفا کنید . بهترین راه برای تأمین امنیت سایت ، اجرای سایت با یک نرم افزار آسیب ناپذیر با امنیت بالا می باشد .

سوءاستفاده از اطلاعات

سوءاستفاده از اطلاعات سایت شما کاری است که هکر ها در وب انجام می دهند. تصور کنید آسیب پذیری های بزرگی توسط انواع نرم افزار ها و نسخه های عرضه شده وردپرس در اینترنت وجود داشته باشد که شامل تمام جزئیات فنی در مورد نحوه ی نفوذ و اطلاعات دیگر باشد ، در این صورت با سوءاستفاده و نفوذ از طریق آن اطلاعات به راحتی سایت شما هک خواهد شد ! پیدا کردن سایت ها و نرم افزار های آسیب پذیر در مرحله شناسایی صورت میگیرد.

زمانی که به سایت وردپرس تان حمله شود ، از چندین بخش سوءاستفاده می شود :

صفحه ی ورود : رایج ترین نوع حمله ، حمله به صفحه ورود سایت است . اینجا جایی است که بیشترین حملات با استفاده از هشدار هایی که به هکر داده می شود رخ می دهد . هکرها ، ربات های اتوماتیکی دارند که سعی در حدس زدن پسورد وب سایتتان برای ورود به سایتتان دارند.

کد php سایت  : دومین راه رایج برای حمله به سایت کدهای PHP می باشد . هکر ها تلاش می کنند از کد های آسیب پذیر php که روی سایت WordPress  اجرا می کنید ، سوءاستفاده کنند که شامل کد های هسته ی WordPress، موضوعات و plugin ها و هر چیز دیگری که ممکن است اجرا کنید ، می شود. روش های سوء استفاده از کد php بسیار سریع و متنوع است.

افزایش امتیاز : یکی دیگر از راه های محبوب که ممکن است  مهاجم از آن استفاده کند دسترسی به سایت شما با استفاده از یک حساب کاربر معمولی است که هیچ دسترسی خاصی ندارد. اگر در وب سایتتان قابلیت ثبت نام را فعال کرده باشید آنها می توانند  به سادگی ثبت نام کنند.

برنامه های قدیمی یا کاربردی در هاست سایت :ممکن است شما تمامی کارهای امنیت سایت وردپرسی خود را به نحوا احسن انجام دهید اما هکر ها زمانیکه نتوانند از طریق سایت وردپرس تان نفوذ نمایند به سراق محتویات هاست شما می روند ، ممکن است شما هم زمان از یک اسکریپت و یا سیستم دیگر در هاست خود داشته باشید ، هکرها می توانند از طریق این برنامه ها فایل ها وردپرس سایتتان را آلوده نمایند ، حتی اگر بسیار ایمین باشند !

سرویس XMLRPC : این سرویس اجازه ی حدس زدن پسورد را به مهاجم می دهد . این آسیب پذیری در گذشته بوده است و در نسخه های جدید وردپرس رفع شده است با این حال می توانید آن را غیر فعال نمایید.

دسترسی از طریق سایت های موقت : اگر فایلی را در وب سایتتان با استفاده از ابزار هایی مثل “vim” ویرایش کنید ، ممکن است فایل های موقتی در سیستم شما ایجاد شود که حاوی اطلاعات حساسی مانند اطلاعات ورود به سایت باشند . برای مثال ممکن است با ویرایش فایل ‘wp-config.php’  یک فایل موقت ایجاد شود که موجب دسترسی به اطلاعات به صورت عمومی می شود . مهاجمان به دنبال این فایل ها با امید یافتن اطلاعات حساس  برای دسترسی به سایت شما هستند .

فایل های پیکربندی متن باز : ابزار های کنترلی  ‘Subversion’ و ‘git’ سبب ایجاد راهنماها و فایل هایی می شوند که اطلاعات حساسی دارند . اگر این فایل ها را به صورت عمومی در دسترس قرار دهید ، مهاجم می تواند از داده های و راهنمایی ها برای دستیابی به سایت شما استفاده کند . موارد دیگر نیز وجود دارد که صاحبان وب سایت ، کد منبع خود را در یک GitHub یا مخزن قابل دسترس ذخیره می کند و این یک منبع طلایی برای مهاجمانی است که دنبال اطلاعات حساس جهت سوءاستفاده هستند.

حمله از طریق میزبانی مشترک (shared hosting) : اغلب وب سایت های کم درآمد میزبانی وب سایت ها را در هاست های اشتراکی قرار می دهند. امنیت در این محیط ها متفاوت است البته در میزبان های معتبر وب به طور کلی خوب است. با این حال ممکن است در یک محیط مشترک قرار داشته باشید که در آن مجوز تغییر در فایل های وب سایت شما را فراهم کند و شخص دیگری در همان سرور امکان خواندن و نوشتن در آن فایل ها را داشته باشد. اگر چنین اتفاقی بیفتد کسی که به محیط مشترک شما دسترسی دارد می تواند از مجوز خواندن برای خواندن فایل هایی مثل ‘wp-config.php’ تان استفاده کند و به اطلاعات شما دسترسی داشته باشند.

هجوم از طریق وب سرور و سیستم عامل : مجوز های فایل شما یا کد های php ممکن است امن باشد اما وب سرورتان مانند ضربان قلب آسیب پذیر باشد و مورد سوءاستفاده قرار گیرد.همچنین ممکن است سیستم عاملتان که میزبان وب سرور است مثل ShellShock آسیب پذیر باشد.در یک محیط میزبانی مشترک یا مدیریت شده، معمولاً امکان استفاده از سیستم های کرک شده را خواهید داشت و مسئولیت آن نیز با خودتان است.

  • نکته ی مهم : ممکن است تعداد راه های زیادی برای دستیابی هکر به وب سایت شما باشد و این عملکرد غافلگیر کننده باشد اما شما می توانید با ساخت یک وب سایت امن ، از نسخه های به روز پلاگین ها و وردپرس استفاده نمایید . مطمئن شوید امنیت نرم افزار و سرویس های خود را به خوبی تأمین می کنید و آن ها را با جدیدترین هشدارهای امنیتی به روز رسانی می نمایید .

 

چگونه از وب سایتمان در برابر هکر ها محافظت کنیم؟

در این مقاله مفاهیم اساسی امنیت معرفی شدند و مشخص شد که چه کسانی به WordPress حمله می کنند، چرا حمله می کنند و این حملات چگونه انجام می شوند. مشخص است برای حفاظت از وب سایت ها باید آن ها را به روز نگه دارید و از جدیدترین آسیب های WordPress مطلع شوید و باید زمانی که یک آسیب پذیری ظاهر می شود سریعا به روز رسانی نمایید . همچنین توسط پلاگین wordfence می توانید تا حدودی راه های نفوذ به سایت خود را پیدا نمایید و آن ها را رفع نمایید. Wordfence قابلیت تشخیص به خطر افتادن سایتتان را دارد و در برابر حملات PHP از سایت شما محافظت می نماید طوری که اگر plugin آسیب پذیری را نصب کرده باشید و تا به حال آن را بروز رسانی نکرده باشید wordfence از آسیب پذیری آن جلوگیری می کند.

 

 

چند قاعده ی کلیدی برای حفظ امنیت وب سایت شما وجود دارد :

  •  استفاده از رمز های قوی بر تمام حساب های کاربری
  • انتخاب یک میزبان معتبر که در آن وب سایت ها و سرورهای مشترک از هم جدا باشند
  • به روز بودن هسته ی WordPress و plugin ها
  • استفاده از یک سیستم تشخیص نفوذ و پیشگیری مثل wordfence به عنوان لایه ای برای امنیت بیشتر
  • پاک کردن تمام برنامه های کاربردی قدیمی که شامل نسخه ی پشتیبان قدیمی از وب سایت می شود
  • اطمینان از نبود فایل های حساس موقت در وب سایت
  • اطمینان از دسترس نبودن عمومی فایل های کش شده و یا git یا سایر مخازن

 

امیدواریم این مقاله به عنوان یک مقدمه مفید برای امنیت WordPress مورد توجه شما  قرار گرفته باشد.

 

در صورتیکه تمایل به تامین امنیت سایت خود دارید ما به صورت حرفه ای این امر را برای شما انجام می دهیم.


مهندس احمدوند