آسیب پذیری و امنیت وردپرس

مرداد 8 1398

در مورد امنیت وردپرس ، موارد زیادی وجود دارد که می توانید برای قفل کردن سایت خود انجام دهید تا هکرها و آسیب پذیری ها از تأثیرگذاری بر سایت یا وبلاگ تجارت الکترونیکی خود جلوگیری کنند. آخرین چیزی که می خواهید اتفاق بیفتد این است که یک روز صبح از خواب بیدار شوید تا سایت خود را در حالت تصادفی کشف کنید. بنابراین ما امروز قصد داریم نکات ، استراتژی ها و تکنیک های زیادی را که می توانید برای بهتر کردن امنیت وردپرس خود استفاده کنید و از آن محافظت کنید به اشتراک می گذاریم.

 

آیا وردپرس امنیت دارد؟

اولین سوالی که احتمالاً از آن سؤال می کنید ، ایمن سازی وردپرس است؟ با این حال ، وردپرس معمولاً به دلیل مستعد آسیب پذیری های امنیتی و به طور ذاتی نبودن بستر ایمن برای استفاده برای یک تجارت ، به یک رپ بد تبدیل می شود. بیشتر اوقات این امر به این دلیل است که کاربران از بدترین شیوه های امنیتی اثبات شده در صنعت پیروی می کنند.

 

استفاده از نرم افزارهای قدیمی وردپرس ، پلاگین های معتبر ، مدیریت ضعیف سیستم ، مدیریت اعتبار و عدم اطلاع رسانی لازم در زمینه وب و امنیت در بین کاربران غیر وردپرس وردپرس ، هکرها را در بالای بازی جرایم سایبری خود نگه می دارد. حتی رهبران صنعت همیشه از بهترین شیوه ها استفاده نمی کنند. رویترز هک شد زیرا آنها از نسخه قدیمی وردپرس استفاده می کردند.

 

اساساً ، امنیت مربوط به سیستم های کاملاً ایمن نیست. چنین چیزی ممکن است غیر عملی باشد ، یا یافتن و یا حفظ آن غیرممکن است. امنیت هرچند کاهش خطر است نه حذف ریسک. در مورد استفاده از تمام کنترل های مناسب در دسترس شماست ، به همین دلیل ، به شما امکان می دهد وضعیت کلی خود را بهبود بخشید و شانس هدف قرار دادن خود را کاهش دهید و متعاقباً هک شوید. وردپرس بیش از ۳۴٪ از کل وب سایت های اینترنتی را در اختیار دارد و با صدها هزار تم و افزونه در آنجا ، جای تعجب ندارد که آسیب پذیری ها وجود داشته و دائماً کشف می شوند.

با این حال ، همچنین یک اجتماع عالی در اطراف پلت فرم وردپرس وجود دارد ، تا از این موارد ASAP اطمینان حاصل شود. از سال ۲۰۱۹ ، تیم امنیتی WordPress از حدود ۵۰ متخصص (از ۲۵ در سال ۲۰۱۷) تشکیل شده است که شامل توسعه دهندگان اصلی و محققان امنیتی است – حدود نیمی از آنها کارمندان Automattic و تعدادی کار در زمینه امنیت وب هستند.

 

آسیب پذیری wordpress

برخی از انواع مختلف آسیب پذیری های امنیتی وردپرس :

  • درهای پشتی
  • فارما هک
  • تلاش های ورود به سیستم
  • تغییر مسیرهای مخرب
  • برنامه نویسی متقاطع (XSS)
  • خود داری از خدمات

 

در های پشتی :

آسیب پذیری به ویژه Backdoor به پشتیبان رمزگذاری امنیتی برای دسترسی به وب سایت های وردپرس با استفاده از روش های غیر عادی – دسترسی wp-Admin ، SFTP ، FTP و غیره باعث می شود هکرها با گذرگاههای پنهانی از طریق رمزگذاری امنیتی ، دسترسی به وب سایت های وردپرس را از بین ببرند. در Q3 2017 سوچوری گزارش داد که درهای پشتی همچنان یکی از اقدامات بسیاری است که مهاجمان پس از هک انجام می دهند ، که ۷۱٪ از سایت های آلوده نوعی تزریق در فضای باز دارند.

 

Backdoors معمولاً رمزگذاری می شود که مانند پرونده های سیستم وردپرس قانونی به نظر می رسد ، و با سوء استفاده از نقاط ضعف و اشکالات در نسخه های قدیمی این سیستم عامل ، به پایگاه داده های وردپرس راه می یابد. شکاف TimThumb نمونه بارز آسیب پذیری در پشت پرده با بهره گیری از اسکریپت های سایه و نرم افزار منسوخ شده به میلیون وب سایت بود. خوشبختانه پیشگیری و درمان این آسیب پذیری بسیار ساده است.

می توانید سایت وردپرس خود را با ابزارهایی مانند SiteCheck اسکن کنید که می توانند به راحتی پشتیبان رایج را تشخیص دهند. تأیید هویت دو عاملی ، مسدود کردن IP ها ، محدود کردن دسترسی مدیر و جلوگیری از اجرای غیر مجاز پرونده های PHP به راحتی از تهدیدات رایج در فضای باز استفاده می کند ، که در ادامه به آنها می پردازیم. Canton Becker همچنین یک پست عالی برای تمیز کردن ظروف پشتی در نصب وردپرس شما دارد.

 

فارما هک :

بهره برداری Pharma Hack برای قرار دادن کد سرکش در نسخه های قدیمی وب سایت های وردپرس و افزونه ها استفاده می شود و باعث می شود موتورهای جستجو هنگام جستجو در وب سایت به خطر بیافتد ، تبلیغات مربوط به محصولات دارویی را بازگردانند. این آسیب پذیری بیشتر از هرگونه بدافزارهای سنتی یک تهدید اسپم است ، اما به موتورهای جستجو دلیل کافی می دهد تا سایت را به اتهام توزیع اسپم مسدود کنند. قسمتهای متحرک یک Pharma Hack شامل درپشتی در پلاگین ها و پایگاه داده ها است که می توانید با رعایت دستورالعمل های این وبلاگ Sucuri تمیز کنید. با این وجود ، می توانید با استفاده از ارائه دهندگان میزبانی وردپرس توصیه شده با سرورهای به روز و مرتباً به روزرسانی نصب ، تم و افزونه های وردپرس ، به راحتی از Pharma Hacks جلوگیری کنید.

 

تلاش های ورود به سیستم :

تلاش های ورود brute-force با استفاده از اسکریپت های خودکار برای سوءاستفاده از کلمات عبور ضعیف و دسترسی به سایت شما. احراز هویت دو مرحله ای ، محدود کردن تلاش برای ورود به سیستم ، نظارت بر ورود به سایت های غیر مجاز ، مسدود کردن IP ها و استفاده از رمزهای عبور قدرتمند از جمله ساده ترین و بسیار مؤثرترین راه ها برای جلوگیری از حملات بی رحمانه است. اما متأسفانه ، تعدادی از صاحبان وب سایت وردپرس نتوانند این اقدامات امنیتی را انجام دهند در حالی که هکرها به راحتی قادر به به خطر انداختن ۳۰،۰۰۰ وب سایت در یک روز تنها با استفاده از حملات بی رحمانه هستند.

 

تغییر مسیرهای مخرب :

تغییر مسیرهای مخرب با استفاده از FTP ، SFTP ، wp-admin و سایر پروتکل ها ، در نصبهای وردپرس پشتیبان ایجاد می کنند و کدهای تغییر مسیر را به وب سایت تزریق می کنند. تغییر مسیرها اغلب در پرونده .htaccess و سایر فایلهای اصلی WordPress شما به صورت رمزگذاری شده قرار می گیرند و ترافیک وب را به سمت سایت های مخرب هدایت می کنند. ما در مراحل امنیتی WordPress ما در زیر به روش هایی خواهیم پرداخت که می توانید از آنها جلوگیری کنید.

 

برنامه نویسی متقابل سایت (XSS) :

برنامه نویسی Cross-Site (XSS) زمانی است که یک اسکریپت مخرب به یک وب سایت یا برنامه قابل اعتماد تزریق می شود. مهاجم از این کار برای ارسال کد مخرب ، معمولاً اسکریپت های سمت مرورگر ، برای کاربر نهایی استفاده می کند بدون اینکه آنها آن را بدانند. هدف معمولاً گرفتن داده کوکی یا جلسه یا شاید بازنویسی HTML در صفحه است. طبق گفته WordFence ، آسیب پذیری های Cross-Site Scriptting شایعترین آسیب پذیری است که در افزونه های WordPress با حاشیه قابل توجهی مشاهده می شود.

 

خود داری از خدمات :

هکرها با سوءاستفاده از نسخه های قدیمی و حشره دار نرم افزار وردپرس با حملات DoS ، میلیون ها وب سایت را به خطر انداخته اند و به میلیون ها دلار دست یافته اند. اگرچه مجرمان سایبری با انگیزه مالی احتمالاً شرکتهای کوچک را هدف قرار نمی دهند ، اما در ایجاد زنجیره های بات نت برای حمله به مشاغل بزرگ ، تمایل دارند وب سایتهای آسیب پذیر منسوخ را به خطر بیاندازند.

حتی جدیدترین نسخه های نرم افزار وردپرس نمی تواند به طور جامع در برابر حملات DoS با مشخصات بالا دفاع کند ، اما حداقل به شما کمک می کند تا از گرفتاری بین موسسات مالی و مجرمان سایبری پیچیده جلوگیری کنید. و ۲۱ اکتبر ۲۰۱۶ را فراموش نکنید. این روزی بود که اینترنت به دلیل حمله DNS DDoS از بین رفت. بیشتر بخوانید در مورد اینکه چرا استفاده از یک ارائه دهنده برتر DNS برای افزایش امنیت وردپرس شما مهم است.

 

نوین هاست ارائه دهنده نواع خدمات هاستینگ ، سرور مجازی , سرور مجازی ایران , سرور اختصاصی , سرور ابری و ….. در کشور با بهترین کیفیت و خدمات پس از فروش

 

نوشته قبلی نوشته بعدی

درج نظر