وردپرس امن نیست! احتمالا این جمله را تا بحال شنیدهاید. اگر بخواهیم در یککلام راحتتان کنیم آنچه سبب به خطر افتادن وبسایتهای وردپرسی میشود، نابلدی ادمین سایت و عدم کانفیگ تنظیمات امنیتی سایت است. چون سایت وردپرسی هم مانند هر سایت دیگری اگر امنیت آن حفظ نشود به خطر میافتد و این ارتباطی به سیستم مدیریت محتوا ندارد.
امروزه حدود 40 الی %43 از سایتهای کل دنیا با وردپرس ساخته شدهاند که همین مساله باعث شده این CMS بیشتر در معرض هک و نفوذ هکرها (Hackers) قرار بگیرد؛ این مساله برای متخصصان امنیت تبدیل به یک چالش شده است. البته وردپرس بهصورت مدوام آپدیت میشود و باگها و ایرادات آن خیلی سریع رفع میشود اما برای جلوگیری از هک وردپرس در ادامه روشهای مقابله با هکرها را معرفی میکنیم.
هک شدن سایت چیست؟
هک شدن به این معنی است که شخصی یا چیزی بدون اجازه شما به فایل های وب سایت شما دسترسی پیدا کند؛ به عبارت دیگر هککردن وبسایت به معنای نفوذ به کل سیستم و یا برنامههای مرتبط با سیستم بهمنظور بهدستآوردن اطلاعات از سایت و انجام فعالیتهای مخرب در سایت است. هکر یا نفوذگر پس از ورود به وب سایت شما کارهایی مانند سرقت اطلاعات شخصی مانند اطلاعات مشتری و جزئیات کارت بانکی، تغییر فایلها را انجام میدهد. سایر فعالیتهای Hacker شامل دسترسی غیرمجاز به پایگاهداده، نصب بدافزارها (Malware)، ارسال ایمیلهای اسپم، ایجاد تغییرات در محتوای سایت، ایجاد لینکهای مخرب در سایت، انجام فعالیتهای سیاسی در سایت و حتی تحت کنترل گرفتن کامل سایت و سرور میشوند.
این فعالیتها معمولاً توسط افرادی با دانش فنی و مهارتهای کدنویسی بالا انجام میگیرد و اهداف مختلفی دارند. گروهی ممکن است تنها باگهای سایت را به شما معرفی کنند و در ازای برطرفکردن آنها هزینهای از شما دریافت کنند؛ گروهی نیز هدفشان تنها آسیب به اعتبار، امنیت و کسبوکار شماست.
آیا سایت نوپا هم هک میشود؟
همیشه هدف هکرها سرقت اطلاعات سایت نیست. ممکن است آنها به دنبال استفاده از منابع سایت شما برای ارسال لینک و ایمیلهای اسپم و موارد دیگر باشند. گاهی هم هدفی مثل استخراج بیتکوین توسط مرورگر بازدیدکنندگان سایت را دارند. پس در هر مرحلهای که هستید توجه ویژهای افزایش امنیت وردپرس خود داشته باشید.
آیا هک وردپرس امکان پذیر است؟
بله صددرصد. در ابتدای مقاله ما به این موضوع اشاره کردیم که لفظ اینکه وردپرس به طور کل ناامن است اشتباه است. چرا که سایت وردپرس هم مشابه هر سایت دیگری، آسیبپذیریهای امنیتی دارد که ممکن است توسط هکرها مورداستفاده قرار گیرد. این آسیبپذیریها میتوانند نقاط ضعف در کدهای سایت، پلاگینها، تمها و یا حتی تنظیمات امنیتی اشتباه باشند. با استفاده از این باگها، هکرها قادرند تا با دستیابی به اطلاعات حساس سایت مثل نام کاربری و کلمه عبور ادمین وارد وبسایت شوند؛ ازاینرو برقراری امنیت در وبسایتهای وردپرسی بسیار حیاتی است و بهرهگیری از تمامی ابزارها و روشهای ممکن برای پیشگیری از این حملات بسیار مهم است.
علل هک شدن سایت وردپرسی
یکی از دلایل هک شدن سایت وردپرسی استفاده گسترده از آن در سراسر جهان است و به همین دلیل مورد علاقه هکرها است. علل اصلی هک شدن سایت وردپرسی را در ادامه آوردهایم.
- استفاده از پسوردهای ضعیف
- هاست غیر ایمن
- دسترسی بدون محافظت به داشبورد وردپرس
- مجوزهای دسترسی اشتباه به فایلها
- آپدیت نبودن وردپرس
- آپدیت نبود پلاگینها و قالبهای وردپرسی
- استفاده از نام کاربری ساده مثل Admin
- استفاده از افزونهها و قالبهای نال شده
- فایل wp-config.php غیر ایمن
- عدم تغییر پیشوند جداول پایگاه داده
چرا افزایش امنیت وردپرس اهمیت زیادی دارد؟
سیستم مدیریت محتوای وردپرس به دلیل محبوبیت و سرعت بالایی که دارد یکی از انتخابهای اصلی افراد برای مدیریت محتوای وبسایتشان به شمار میرود و به همین دلیل نیز مورد توجه هکرها است. اولین گام برای هر شخصی که مدیریت سایت وردپرسی را بر عهده دارد، بالابردن امنیت سایت است. امنیت پایین یک سایت وردپرسی باعث دسترسی غیرمجاز هکرها به اطلاعات سایت و در نتیجه اختلال در سایت میشود.
انواع روشهای هک سایت وردپرس
هک سایت وردپرس میتواند از طریق روشهای مختلفی انجام شود. برخی از اصلیترین روشهای هک وردپرس عبارتاند از:
- حمله Brute force: در این نوع حمله، هکرها با ترکیبهای مختلف از نام کاربری و رمز عبور سعی دارند تا به سایت دسترسی پیدا کنند.
- حمله XSS: در این نوع حمله، کدهای مخرب جاوا اسکریپت به صفحات وردپرسی تزریق میشود تا اطلاعات حساس کاربران را بدزدند یا کنترل سایت را به دست بگیرند.
- حملات دستور SQL: در این نوع حمله، دستورهای مخرب به فیلدهای ورودی سایت تزریق میشود تا دادهها را دزدیده، حذف و یا خراب کند.
- تزریق درب پشتی (Backdoor): هکرها ممکن است دربهای پنهان در سایت شما ایجاد کنند تا بتوانند بهصورت مخفی به سایت دسترسی پیدا کنند.
- فیشینگ (Phishing): در این نوع حمله، هکرها از طریق ارسال ایمیلهای فریبنده یا صفحات متقلب به اطلاعات حساس کاربران دسترسی پیدا میکنند.
- بدافزار: در این نوع حمله، نرمافزارهای مخرب برای ربودن اطلاعات یا کنترل سایت استفاده میشود.
نکته: در صورتی که سایت شما به بدافزارها و ویروسها آلوده شده است پاک سازی سایت وردپرس ویروسی شده به شما کمک میکند تا به سرعت و در 8 گام سایت خود را نجات دهید.
شناخت انواع حملات وردپرسی و انجام اقدامات برای جلوگیری از آنها، برای امنیت سایت وردپرسی شما بسیار حیاتی است.
چطور بفهمیم وبسایتمان هک شده است؟
هک شدن وبسایت وردپرس اتفاق بسیار ناخوشایندی است. اما چطور باید تشخیص داد که وبسایتمان هک شده است یا خیر؟ بیایید به برخی از این نکات اشاره کنیم:
- تغییرات ناگهانی در ظاهر یا محتوای سایت
- کاهش ناگهانی ترافیک سایت
- اخطارهای امنیتی از گوگل یا شرکت هاستینگ
- عدم دسترسی به پنل مدیریت سایت
- وجود حسابهای کاربری و بازدیدهای مشکوک
- مشاهده فایلهای ناشناس در سرور
- پنالتی شدن سایت توسط گوگل
- عدم امکان دریافت یا ارسال ایمیل از سایت
در صورت مشاهده هر یک از این علائم، باید بلافاصله اقدام به بررسی و رفع مشکل کنید.
پاکسازی وب سایتهای آلوده هزینه بالا و در شرایطی خسارات جبران ناپذیری به همراه دارد، دوره امنیت وردپرس به شما کمک میکند تا بتوانید قدم به قدم امنیت سایت را به صورت 100% تضمین کنید.
چگونه میتوان از هک شدن وردپرس جلوگیری کرد؟
برای داشتن یک وبسایت امن و محافظت از اطلاعات حساس سایت و کاربران یک سری اقداماتی باید صورت گیرد که در ادامه به آنها اشاره خواهیم کرد.
1. بهروزرسانی هسته وردپرس
همواره به نسخه وردپرس سایت خود توجه داشته باشید و هسته آن را بهروزرسانی کنید تا از آسیبپذیریهای امنیتی پیشگیری شود. همچنین گاهی ممکن است پس از آپدیت نسخه وردپرس، مشکلات امنیتی در آن نسخه وجود داشته باشد که وردپرس آن را اصلاحکرده و نسخه جدید را برای دانلود ارائه دهد که شما هم باید سریعاً نسخه وردپرس خود را آپدیت کنید تا هکرها به سایت نفوذ نکنند.
2. استفاده از رمز عبور قوی و غیرتکراری و تغییر مداوم آن:
از رمز عبورهای پیچیده، قوی و غیرتکراری برای حساب کاربری خود استفاده کنید و به طور منظم آنها را تغییر دهید. معمولاً سعی کنید هر 2 الی 3 ماه پسورد خود را تغییر داده و آن را به خاطر بسپارید.
3. استفاده از نام کاربری قوی و غیر قابل حدس:
نام کاربری نیز بهاندازه پسورد اهمیت دارد. از نامهای کاربری admin، administrator، نام سایت و… که قابل حدسزدن هستند استفاده نکنید.
4. استفاده از پلاگینهای امن و بهروز
پلاگینها همواره یکی از نقاط ضعف بزرگ در سایتهای وردپرسی هستند، بنابراین اطمینان حاصل کنید که از پلاگینهای معتبر در سایت خود استفاده کرده و همه این پلاگینها بهروز هستند.
5. استفاده از قالبهای امن
هر قالبی را از هر جای ناشناختهای دانلود کردید در وبسایت خود برای تست هم که شده نصب نکنید! سعی کنید قالب سایتتان را به شکل اورجینال خریداری کنید و اگر این امکان برایتان مقدور نیست از وبسایتهای رسمی و معتبر فارسیزبان که این قالبها و افزونهها را ترجمه کرده و برای فروش قرار میدهند استفاده کنید.
6. استفاده از تأیید هویت دومرحلهای
با فعالسازی این ویژگی، امنیت ورود بهحساب کاربریها افزایش مییابد. میتوانید این قابلیت را هم برای مدیریت سایت و هم کاربران خود فعال کنید تا از ورود به پنل کاربری و سرقت اطلاعات جلوگیری شود. این موضوع میتواند با استفاده از تولید کدهای سفارشی با Google Authenticator یا ارسال پیامک یکبارمصرف برای ورود بهصورت دومرحلهای باشد. فعالسازی احراز هویت دو عاملی به شما کمک میکند تا از حملات بروت فورس جلوگیری کنید.
7. استفاده از افزونههای امنیتی و فایروالها
افزونههای امنیتی و فایروالها میتوانند تا حد زیادی از نفوذ هکرها به سایت شما جلوگیری کنند. برخی افزونههای امنیتی مانند Wordfence یا All In One WP Security را نصب کنید تا به افزایش امنیت سایت کمک کنند.
8. پنهانکردن ورود به وردپرس
با استفاده از پلاگینهای امنیتی و با تغییر آدرس پیشخوان وردپرس از حملات brute force جلوگیری کنید.
9. تغییر پیشوند پایگاهداده
پایگاهداده وبسایت بهعنوان یکی از اهداف اصلی حملات تزریق SQL شناخته میشود. این نوع حملات باعث اجرای کدهای مخرب در پایگاهداده میشود و به هکرها اجازه میدهد تا دادهها را به طور غیرمجاز تغییر داده یا حذف کنند. استفاده از پیشوند پیشفرض wp_ باعث افزایش احتمال حملات SQL میشود؛ زیرا این پیشوند، به هکرها امکان حدسزدن نام جداول را میدهد و در نتیجه نفوذ آسانتری به پایگاهداده را فراهم میکند؛ بنابراین، تغییر پیشوند پایگاهداده وردپرس بهشدت توصیه میشود تا از این تهدیدات امنیتی جلوگیری شود.
10. حذف شماره نسخه وردپرس
در اولین قدم اشاره کردیم که حتماً باید وردپرس خود را آپدیت نگه دارید. اما گاهی ممکن است برای چند روز به سایت خود دسترسی نداشته باشید؛ پس نباید اجازه دهید هکرها تشخیص دهند که نسخه وردپرس شما چیست تا از طریق آن به سایت نفوذ پیدا کنند.
11. مراقبت از فایلها و دسترسیها
دسترسی به فایلها و پوشههای سایت را محدود کرده و فایلهای غیرضروری را حذف کنید. توجه داشته باشید که برخی قسمتهای حساس مثل ویرایش فایل قالب وردپرس از پیشخوان را غیرفعال کنید تا پس از هک شدن سایت، هکر اقدام به تزریق کدهای مخرب در قالب سایت نکند.
12. جدیگرفتن نقش هاستینگ
انتخاب یک هاستینگ معتبر برای بالابردن امنیت سایت وردپرسی بسیار مهم است. سرویسهای هاستینگ مناسب، ابزارها و ویژگیهای امنیتی مختلفی را ارائه میدهند؛ از جمله کنترل بیوقفه شبکه، مقابله با حملات DDOS، بهروز نگهداشتن نرمافزارها و سختافزارها، و برنامههای ریکاوری. به همین جهت بهخاطر پرداخت هزینه کمتر برای خرید هاست هیچگاه امنیت سایت خود را به خطر نیندازید.
13. نصب گواهینامه SSL
جهت افزایش امنیت وبسایت خود، توصیه میشود گواهینامه امنیتی SSL را نصب کنید. این گواهینامه باعث ارتقای قابل توجهی در امنیت وبسایت شما میشود. با این پروتکل، حتی در صورتی که هکرها به اطلاعات وبسایت شما دسترسی پیدا کنند، قادر به درک محتوای آن نخواهند بود. اگر دوست دارید بدانید SSL چیست و استفاده از آن چه مزیت هایی دارد بهتر است سری به مقاله SSL چیست بزنید، در این مقاله به صورت جامع به این مورد پرداخته شده است.
14. تحتنظر داشتن فعالیتهای درون سایت
یک طرز فکر اشتباه وجود دارد که بعضی از افراد تصور میکنند که هکرها فقط یکبار وارد وبسایت میشوند و با نصب یک بدافزار و سرقت اطلاعات به کار خود خاتمه میدهند. این هکرها ممکن است با ساختن یک حساب کاربری در سایت شما به طور مرتب و هر زمان که بخواهند وارد سایت شما شوند و تغییرات دلخواه را در سایت شما ایجاد کنند. به همین دلیل مراقب اکانتهای مدیریتی سایت خود باشید و تمام مسائل مربوط به سایت را زیر نظر بگیرید.
15. جلوگیری از دسترسی به فایل wp-config.php
با اعمال یکلایه جدید امنیتی، میتوانید از دسترسی به فایل wp-config.php در وبسایت خود جلوگیری کنید. این کار با استفاده از فایل .htaccessصورت میگیرد و میتواند از هک وردپرس از طریق فایل wp-config.php جلوگیری کند. به این منظور، کافی است کد زیر را به فایل .htaccess اضافه کنید:
<files wp-config.php>
Order allow,deny
Deny from all
</files>
16. پشتیبانگیری منظم
پشتیبانگیری از دادهها و فایلهای سایت را بهطور منظم انجام دهید تا در صورت بروز مشکل، بتوانید اطلاعات را بازیابی کنید.
جمعبندی
اگر بخواهیم همه نکاتی که باید برای جلوگیری از هک وردپرس رعایت کنید بپردازیم احتمالاً لیست بلندبالایی از آن را باید به شما ارائه دهیم که قطعاً برایتان خستهکننده خواهد بود. در این مقاله به مهمترین موارد برای جلوگیری از هک شدن وبسایتهای وردپرسی پرداختیم. با خرید و نصب یک افزونه امنیتی مثل Wordfence بهراحتی قادر خواهید بود وبسایت خود را تا حد زیادی ایمن کنید. بهطورکلی به پوشههای سایت مثل wp-config، wp-admin، .htaccess و… توجه ویژهای داشته باشید تا در دسترس هکرها نباشند و نتوانند تغییراتی در آنها ایجاد کنند.