روش های جلوگیری از هک وردپرس
هک‌ سایت وردپرس و ازدست‌رفتن اطلاعات سایت بسیار تلخ و به عبارتی برای هر کسب و کار اینترنتی کمرشکن است! اگر به‌تازگی سایت وردپرسی خود را راه اندازی کرده‌اید و یا حتی احتمال می‌دهید وب‌سایتتان هک شده است این مقاله را از دست ندهید.

وردپرس امن نیست! احتمالا این جمله را تا بحال شنیده‌اید. اگر بخواهیم در یک‌کلام راحتتان کنیم آنچه سبب به‌ خطر افتادن وب‌سایت‌های وردپرسی می‌شود، نابلدی ادمین سایت و عدم کانفیگ تنظیمات امنیتی سایت است. چون سایت وردپرسی هم مانند هر سایت دیگری اگر امنیت آن حفظ نشود به خطر می‌افتد و این ارتباطی به سیستم مدیریت محتوا ندارد.

 امروزه حدود 40 الی %43 از سایت‌های کل دنیا با وردپرس ساخته شده‌اند که همین مساله باعث شده این CMS بیشتر در معرض هک و نفوذ هکرها (Hackers) قرار بگیرد؛ این مساله برای متخصصان امنیت تبدیل به یک چالش شده است. البته وردپرس به‌صورت مدوام آپدیت می‌شود و باگ‌ها و ایرادات آن خیلی سریع رفع می‌شود اما برای جلوگیری از هک وردپرس در ادامه روش‌های مقابله با هکرها را معرفی می‌کنیم.

هک‌ شدن سایت چیست؟

هک شدن به این معنی است که شخصی یا چیزی بدون اجازه شما به فایل های وب سایت شما دسترسی پیدا کند؛ به عبارت دیگر هک‌کردن وب‌سایت به معنای نفوذ به کل سیستم و یا برنامه‌های مرتبط با سیستم به‌منظور به‌دست‌آوردن اطلاعات از سایت و انجام فعالیت‌های مخرب در سایت است. هکر یا نفوذگر پس از ورود به وب سایت شما کارهایی مانند سرقت اطلاعات شخصی مانند اطلاعات مشتری و جزئیات کارت بانکی، تغییر فایل‌ها را انجام می‌دهد. سایر فعالیت‌های Hacker شامل دسترسی غیرمجاز به پایگاه‌داده، نصب بدافزارها (Malware)، ارسال ایمیل‌های اسپم، ایجاد تغییرات در محتوای سایت، ایجاد لینک‌های مخرب در سایت، انجام فعالیت‌های سیاسی در سایت و حتی تحت کنترل گرفتن کامل سایت و سرور می‌شوند.

 این فعالیت‌ها معمولاً توسط افرادی با دانش فنی و مهارت‌های کدنویسی بالا انجام می‌گیرد و اهداف مختلفی دارند. گروهی ممکن است تنها باگ‌های سایت را به شما معرفی کنند و در ازای برطرف‌کردن آن‌ها هزینه‌ای از شما دریافت کنند؛ گروهی نیز هدفشان تنها آسیب به اعتبار، امنیت و کسب‌وکار شماست.

آیا سایت نوپا هم هک می‌شود؟

 همیشه هدف هکرها سرقت اطلاعات سایت نیست. ممکن است آن‌ها به دنبال استفاده از منابع سایت شما برای ارسال لینک و ایمیل‌های اسپم و موارد دیگر باشند. گاهی هم هدفی مثل استخراج بیت‌کوین توسط مرورگر بازدیدکنندگان سایت را دارند. پس در هر مرحله‌ای که هستید توجه ویژه‌ای افزایش امنیت وردپرس خود داشته‌ باشید.

آیا هک وردپرس امکان‌ پذیر است؟

 بله صددرصد. در ابتدای مقاله ما به این موضوع اشاره کردیم که لفظ اینکه وردپرس به طور کل ناامن است اشتباه است. چرا که سایت وردپرس هم مشابه هر سایت دیگری، آسیب‌پذیری‌های امنیتی دارد که ممکن است توسط هکرها مورداستفاده قرار گیرد. این آسیب‌پذیری‌ها می‌توانند نقاط ضعف در کدهای سایت، پلاگین‌ها، تم‌ها و یا حتی تنظیمات امنیتی اشتباه باشند. با استفاده از این باگ‌ها، هکرها قادرند تا با دستیابی به اطلاعات حساس سایت مثل نام کاربری و کلمه عبور ادمین وارد وب‌سایت شوند؛ ازاین‌رو برقراری امنیت در وب‌سایت‌های وردپرسی بسیار حیاتی است و بهره‌گیری از تمامی ابزارها و روش‌های ممکن برای پیشگیری از این حملات بسیار مهم است.

علل هک شدن سایت وردپرسی

یکی از دلایل هک شدن سایت وردپرسی استفاده گسترده از آن در سراسر جهان است و به همین دلیل مورد علاقه هکرها است. علل اصلی هک شدن سایت وردپرسی را در ادامه آورده‌ایم.

  • استفاده از پسوردهای ضعیف
  • هاست غیر ایمن
  • دسترسی بدون محافظت به داشبورد وردپرس
  • مجوزهای دسترسی اشتباه به فایل‌ها
  • آپدیت نبودن وردپرس
  • آپدیت نبود پلاگین‌ها و قالب‌های وردپرسی
  • استفاده از نام کاربری ساده مثل Admin
  • استفاده از افزونه‌ها و قالب‌های نال شده
  • فایل wp-config.php غیر ایمن
  • عدم تغییر پیشوند جداول پایگاه داده

چرا افزایش امنیت وردپرس اهمیت زیادی دارد؟

 سیستم مدیریت محتوای وردپرس به دلیل محبوبیت و سرعت بالایی که دارد یکی از انتخاب‌های اصلی افراد برای مدیریت محتوای وب‌سایتشان به شمار می‌رود و به همین دلیل نیز مورد توجه هکرها است. اولین گام برای هر شخصی که مدیریت سایت وردپرسی را بر عهده دارد، بالابردن امنیت سایت است. امنیت پایین یک سایت وردپرسی باعث دسترسی غیرمجاز هکرها به اطلاعات سایت و در نتیجه اختلال در سایت می‌شود.

انواع روش‌های هک سایت وردپرس

 هک سایت وردپرس می‌تواند از طریق روش‌های مختلفی انجام شود. برخی از اصلی‌ترین روش‌های هک وردپرس عبارت‌اند از:

  •   حمله Brute force: در این نوع حمله، هکرها با ترکیب‌های مختلف از نام کاربری و رمز عبور سعی دارند تا به سایت دسترسی پیدا کنند.
  •  حمله XSS: در این نوع حمله، کدهای مخرب جاوا اسکریپت به صفحات وردپرسی تزریق می‌شود تا اطلاعات حساس کاربران را بدزدند یا کنترل سایت را به دست بگیرند.
  •  حملات دستور SQL: در این نوع حمله، دستورهای مخرب به فیلدهای ورودی سایت تزریق می‌شود تا داده‌ها را دزدیده، حذف و یا خراب کند.
  •   تزریق درب پشتی (Backdoor): هکرها ممکن است درب‌های پنهان در سایت شما ایجاد کنند تا بتوانند به‌صورت مخفی به سایت دسترسی پیدا کنند.
  •   فیشینگ (Phishing): در این نوع حمله، هکرها از طریق ارسال ایمیل‌های فریبنده یا صفحات متقلب به اطلاعات حساس کاربران دسترسی پیدا می‌کنند.
  •   بدافزار: در این نوع حمله، نرم‌افزارهای مخرب برای ربودن اطلاعات یا کنترل سایت استفاده می‌شود.

نکته: در صورتی که سایت شما به بدافزارها و ویروس‌ها آلوده شده است پاک سازی سایت وردپرس ویروسی شده به شما کمک می‌کند تا به سرعت و در 8 گام سایت خود را نجات دهید.

 شناخت انواع حملات وردپرسی و انجام اقدامات برای جلوگیری از آن‌ها، برای امنیت سایت وردپرسی شما بسیار حیاتی است.

چطور بفهمیم وب‌سایتمان هک شده است؟

 هک‌ شدن وب‌سایت وردپرس اتفاق بسیار ناخوشایندی است. اما چطور باید تشخیص داد که وب‌سایتمان هک شده است یا خیر؟ بیایید به برخی از این نکات اشاره کنیم:

  •   تغییرات ناگهانی در ظاهر یا محتوای سایت
  •  کاهش ناگهانی ترافیک سایت
  •   اخطارهای امنیتی از گوگل یا شرکت هاستینگ
  •   عدم دسترسی به پنل مدیریت سایت
  •  وجود حساب‌های کاربری و بازدیدهای مشکوک
  •  مشاهده فایل‌های ناشناس در سرور
  •  پنالتی شدن سایت توسط گوگل
  •  عدم امکان دریافت یا ارسال ایمیل از سایت

 در صورت مشاهده هر یک از این علائم، باید بلافاصله اقدام به بررسی و رفع مشکل کنید.

پاکسازی وب سایت‌های آلوده هزینه بالا و در شرایطی خسارات جبران ناپذیری به همراه دارد، دوره امنیت وردپرس به شما کمک می‌کند تا بتوانید قدم به قدم امنیت سایت را به صورت 100% تضمین کنید.

کاور دوره امنیت وردپرس

چگونه می‌توان از هک‌ شدن وردپرس جلوگیری کرد؟

برای داشتن یک وب‌سایت امن و محافظت از اطلاعات حساس سایت و کاربران یک سری اقداماتی باید صورت گیرد که در ادامه به آن‌ها اشاره خواهیم کرد.

 1. به‌روزرسانی هسته وردپرس

همواره به نسخه وردپرس سایت خود توجه داشته باشید و هسته آن را به‌روزرسانی کنید تا از آسیب‌پذیری‌های امنیتی پیشگیری شود. همچنین گاهی ممکن است پس از آپدیت نسخه وردپرس، مشکلات امنیتی در آن نسخه وجود داشته باشد که وردپرس آن را اصلاح‌کرده و نسخه جدید را برای دانلود ارائه دهد که شما هم باید سریعاً نسخه وردپرس خود را آپدیت کنید تا هکرها به سایت نفوذ نکنند.

 2.  استفاده از رمز عبور قوی و غیرتکراری و تغییر مداوم آن:

از رمز عبورهای پیچیده، قوی و غیرتکراری برای حساب کاربری خود استفاده کنید و به طور منظم آن‌ها را تغییر دهید. معمولاً سعی کنید هر  2 الی 3 ماه پسورد خود را تغییر داده و آن را به خاطر بسپارید.

 3. استفاده از نام کاربری قوی و غیر قابل حدس:

نام کاربری نیز به‌اندازه پسورد اهمیت دارد. از نام‌های کاربری admin، administrator، نام سایت و… که قابل حدس‌زدن هستند استفاده نکنید.

 4.  استفاده از پلاگین‌های امن و به‌روز

پلاگین‌ها همواره یکی از نقاط ضعف بزرگ در سایت‌های وردپرسی هستند، بنابراین اطمینان حاصل کنید که از پلاگین‌های معتبر در سایت خود استفاده کرده و همه این پلاگین‌ها به‌روز هستند.

 5. استفاده از قالب‌های امن

هر قالبی را از هر جای ناشناخته‌ای دانلود کردید در وب‌سایت خود برای تست هم که شده نصب نکنید! سعی کنید قالب سایتتان را به شکل اورجینال خریداری کنید و اگر این امکان برایتان مقدور نیست از وب‌سایت‌های رسمی و معتبر فارسی‌زبان که این قالب‌ها و افزونه‌ها را ترجمه کرده و برای فروش قرار می‌دهند استفاده کنید.

 6. استفاده از تأیید هویت دومرحله‌ای

با فعال‌سازی این ویژگی، امنیت ورود به‌حساب کاربری‌ها افزایش می‌یابد. می‌توانید این قابلیت را هم برای مدیریت سایت و هم کاربران خود فعال کنید تا از ورود به پنل کاربری و سرقت اطلاعات جلوگیری شود. این موضوع می‌تواند با استفاده از تولید کدهای سفارشی با Google Authenticator یا ارسال پیامک یک‌بارمصرف برای ورود به‌صورت دومرحله‌ای باشد.  فعالسازی احراز هویت دو عاملی به شما کمک می‌کند تا از حملات بروت فورس جلوگیری کنید.

تأیید هویت دومرحله‌ای در وردپرس

 7.  استفاده از افزونه‌های امنیتی و فایروال‌ها

افزونه‌های امنیتی و فایروال‌ها می‌توانند تا حد زیادی از نفوذ هکرها به سایت شما جلوگیری کنند. برخی افزونه‌های امنیتی مانند Wordfence یا All In One WP Security را نصب کنید تا به افزایش امنیت سایت کمک کنند.

 8. پنهان‌کردن ورود به وردپرس

با استفاده از پلاگین‌های امنیتی و با تغییر آدرس پیشخوان وردپرس از حملات brute force جلوگیری کنید.

 9. تغییر پیشوند پایگاه‌داده

پایگاه‌داده وب‌سایت به‌عنوان یکی از اهداف اصلی حملات تزریق SQL شناخته می‌شود. این نوع حملات باعث اجرای کدهای مخرب در پایگاه‌داده می‌شود و به هکرها اجازه می‌دهد تا داده‌ها را به طور غیرمجاز تغییر داده یا حذف کنند. استفاده از پیشوند پیش‌فرض wp_ باعث افزایش احتمال حملات SQL می‌شود؛ زیرا این پیشوند، به هکرها امکان حدس‌زدن نام جداول را می‌دهد و در نتیجه نفوذ آسان‌تری به پایگاه‌داده را فراهم می‌کند؛ بنابراین، تغییر پیشوند پایگاه‌داده وردپرس به‌شدت توصیه می‌شود تا از این تهدیدات امنیتی جلوگیری شود.

 10. حذف شماره نسخه وردپرس

در اولین قدم اشاره کردیم که حتماً باید وردپرس خود را آپدیت نگه دارید. اما گاهی ممکن است برای چند روز به سایت خود دسترسی نداشته باشید؛ پس نباید اجازه دهید هکرها تشخیص دهند که نسخه وردپرس شما چیست تا از طریق آن به سایت نفوذ پیدا کنند.

 11. مراقبت از فایل‌ها و دسترسی‌ها

دسترسی به فایل‌ها و پوشه‌های سایت را محدود کرده و فایل‌های غیرضروری را حذف کنید. توجه داشته باشید که برخی قسمت‌های حساس مثل ویرایش فایل قالب وردپرس از پیشخوان را غیرفعال کنید تا پس از هک‌ شدن سایت، هکر اقدام به تزریق کدهای مخرب در قالب سایت نکند.

 12. جدی‌گرفتن نقش هاستینگ

انتخاب یک هاستینگ معتبر برای بالابردن امنیت سایت وردپرسی بسیار مهم است. سرویس‌های هاستینگ مناسب، ابزارها و ویژگی‌های امنیتی مختلفی را ارائه می‌دهند؛ از جمله کنترل بی‌وقفه شبکه، مقابله با حملات DDOS، به‌روز نگه‌داشتن نرم‌افزارها و سخت‌افزارها، و برنامه‌های ریکاوری. به همین جهت به‌خاطر پرداخت هزینه کمتر برای خرید هاست هیچگاه امنیت سایت خود را به خطر نیندازید.

 13. نصب گواهینامه SSL

جهت افزایش امنیت وب‌سایت خود، توصیه می‌شود گواهینامه امنیتی SSL را نصب کنید. این گواهینامه باعث ارتقای قابل توجهی در امنیت وب‌سایت شما می‌شود. با این پروتکل، حتی در صورتی که هکرها به اطلاعات وب‌سایت شما دسترسی پیدا کنند، قادر به درک محتوای آن نخواهند بود. اگر دوست دارید بدانید SSL چیست و استفاده از آن چه مزیت هایی دارد بهتر است سری به مقاله SSL چیست بزنید، در این مقاله به صورت جامع به این مورد پرداخته شده است.

گواهینامه SSL

 14. تحت‌نظر داشتن فعالیت‌های درون سایت

یک طرز فکر اشتباه وجود دارد که بعضی از افراد تصور می‌کنند که هکرها فقط یک‌بار وارد وب‌سایت می‌شوند و با نصب یک بدافزار و سرقت اطلاعات به کار خود خاتمه می‌دهند. این هکرها ممکن است با ساختن یک حساب کاربری در سایت شما به طور مرتب و هر زمان که بخواهند وارد سایت شما شوند و تغییرات دلخواه را در سایت شما ایجاد کنند. به همین دلیل مراقب اکانت‌های مدیریتی سایت خود باشید و تمام مسائل مربوط به سایت را زیر نظر بگیرید.

 15. جلوگیری از دسترسی به فایل wp-config.php

با اعمال یک‌لایه جدید امنیتی، می‌توانید از دسترسی به فایل wp-config.php در وب‌سایت خود جلوگیری کنید. این کار با استفاده از فایل  .htaccessصورت می‌گیرد و می‌تواند از هک وردپرس از طریق فایل wp-config.php جلوگیری کند. به این منظور، کافی است کد زیر را به فایل .htaccess اضافه کنید:

<files wp-config.php>

Order allow,deny

Deny from all

</files>

 16. پشتیبان‌گیری منظم

پشتیبان‌گیری از داده‌ها و فایل‌های سایت را به‌طور منظم انجام دهید تا در صورت بروز مشکل، بتوانید اطلاعات را بازیابی کنید.

جمع‌بندی

اگر بخواهیم همه نکاتی که باید برای جلوگیری از هک وردپرس رعایت کنید بپردازیم احتمالاً لیست بلندبالایی از آن را باید به شما ارائه دهیم که قطعاً برایتان خسته‌کننده خواهد بود. در این مقاله به مهم‌ترین موارد برای جلوگیری از هک‌ شدن وب‌سایت‌های وردپرسی پرداختیم. با خرید و نصب یک افزونه امنیتی مثل Wordfence به‌راحتی قادر خواهید بود وب‌سایت خود را تا حد زیادی ایمن کنید. به‌طورکلی به پوشه‌های سایت مثل wp-config، wp-admin، .htaccess و… توجه ویژه‌ای داشته باشید تا در دسترس هکرها نباشند و نتوانند تغییراتی در آنها ایجاد کنند.

دیدگاهتان را بنویسید

%30 تخفیف دوره عملی کانفینیتی