وب سایت های وردپرسی به طور دائم در معرض حملات هکرها قرار دارند و لازم است جهت جلوگیری از آن یکسری اقدامات اساسی انجام دهیم. وردپرس تنها پلتفرمی است که برای کارکرد صحیح خود نیاز به مجموعه ای از تم ها و افزونه ها دارد. دقیقا همین تم ها و افزونه هستند که شرایط را برای حملات هکرها و یا هک شدن وردپرس مساعد میکنند. دسترسی هکرها میتواند شامل سرقت اطلاعات مهم و انجام فعالیتهای غیرقانونی باشد. نتیجه آن قرار گرفتن وب سایت در لیست سیاه گوگل و یا تعلیق کامل سایت خواهد بود. در این مقاله به بررسی چند مورد از مرسوم ترین حملات وردپرس و راه های مقابله با آن میپردازیم تا بتوانید اقدامات موثری در این زمینه انجام دهید.
تم ها و افزونه های آسیب پذیر
به طور کلی یک سایت وردپرسی تشکیل شده از هسته، افزونه ها و تم ها میباشد. در چند سال اخیر امنیت لازم برای هسته وردپرس کاملاً برقرار شده است. اما همچنان افزونه ها و تم ها راه را برای هکرها هموار میکنند. به همین دلیل توسعه دهندگان تم ها و افزونه ها را بازنویسی و یا آپدیت میکنند تا آسیب پذیری آن ها کاهش یابد.
شما به عنوان مالک سایت لازم است که تمامی المان های وب سایت خود را آپدیت کنید. با این کار تمام برنامه ریزی های هکرها را جهت حمله مختل خواهید کرد.
برخی اقدامات امنیتی در ارتباط با تم ها و افزونه ها
- به منبع تهیه تم ها و افزونه ها دقت کنید که حتما معتبر باشند.
- به فهرست افزونه های دانلود شده و نصب شده دقت کنید و ببینید از کدام یک استفاده میکنید. مواردی که استفاده نمیکنید را حذف کنید.
- تم های خود را به طور مرتب اسکن کنید و آن هایی را که استفاده میکنید نگه دارید.
- از افزونه ها و تم های غیر مجاز استفاده نکنید زیرا قطعا در داخل آن ها کدهای مخرب وجود دارد.
حملات مرتبط با Brute Force
عبارت brute force attack به معنای حملات یک نیروی بی رحم میباشد که براحتی از یک مسیری که در ادامه ذکر خواهد شد قدرت نفوذ دارند.
شما به عنوان مدیر وب سایت جهت ورود به سایت خود نیاز به نام کاربری و رمز عبور دارید. اغلب توسعه دهندگان سایت های وردپرسی از نام کاربری و پسوردهایی استفاده میکنند که به براحتی قابل تشخیص و هک هستند. بطوریکه برخی از نام کاربری admin و یا پسورد 12345678 و موارد مشابه این استفاده میکنند. هکرها این نوع رمز گذاری را حتما امتحان میکنند.
اقدامات امنیتی جهت مقابله با brute force
- هیچگاه از نام کاربری admin استفاده نکنید
- از پسوردهای پیچیده و قوی استفاده کنید مانند عدد و حروف و برخی علائم.
- نام کاربری و پسوردی را انتخاب کنید که در دیگر وب سایت ها استفاده نکرده باشید.
- تعداد ورود یا تلاش برای ورود به سایت وردپرسی را کاهش دهید که معمولا برابر 3 بار یا حداکثر 5 بار خواهد بود. میتوانید گزینه رمز عبور خود را فراموش کرده اید را نیز اضافه کنید تا به ایمیل خود متصل کنید
- احراز هویت دو مرحله ای که معمولا به تلفن همراه و ایمیل متصل است را فعال کنید.
حملات تزریقی
هر وب سایتی دارای یک فرم تماس میباشد که به بازدید کنندگان اجازه میدهد داده های و اسناد خود را وارد کنند. این اطلاعات به پایگاه داده شما جهت پردازش و اعتبارسنجی ارسال میشود. با این کار شما فقط داده های معتبر را پذیرش میکنید و سایر موارد را رد میکنید. با توجه به آنکه هکرها اغلب داده های غیر معتبر دارند براحتی قابل شناسایی هستند. این فرم های تماس معمولا شامل نام، ایمیل و تلفن است.
عدم وجود این نوع پیکربندی باعث میشود تا هکرها یکسری کدهای مخرب مانند تزریق SQL و اسکریپتهای بین سایتی را اجرا کنند که کنترل وب سایت شما را در دست می گیرند.
اقدامات امنیتی در ارتباط با حملات تزریقی
- افزونه ها و تم های خود را همیشه بروز نگه دارید. اغلب حملات تزریقی به دلیل تم ها و افزونه های نامعتبر است.
- ورودی ها و ارسال داده های خود را کنترل کنید.
- استفاده از فایروال وردپرس را در دستور کار خود قرار دهید
سرقت اطلاعات پرداخت و فیشینگ
اگر در زمینه کسب و کار اینترنتی فعالیت میکنید یا اقلام و کالاهای خود را از طریق سایت میفروشید باید دقت کنید تا مورد حمله هکرها قرار نگیرید. کاربران اغلب برای خرید اطلاعات کارت اعتباری و بانکی خود را وارد میکنند. این داده ها توسط هکرها قابل ردیابی است و میتوانند با جایگزینی خود به عنوان میزبان سایت تمامی اطلاعات کارت اعتباری خریداران را سرقت کنند. هکرها میتوانند کاربران را به وب سایت های دیگر هدایت کنند و از این طریق عملیات پرداخت از طرف خریداران را در سایت خود انجام دهند.
اقدامات امنیتی در ارتباط با فیشینگ و سرقت اطلاعات
- حتما استفاده از گواهی SSL را در دستور کار خود قرار دهید. اینها کلیه داده های انتقالی را رمزگذاری میکنند.
- از افزونه های هشداردهنده در صورت وجود فعالیت های مخرب در سایت استفاده کنید تا بدانید در چه زمانی و در کدام قسمت سایت فعالیت مشکوک وجود دارد
سرقت های مبتنی بر cookie Stealing
قطعا این تجربه را دارید که با ورود به یک وب سایت با عبارت “من را به خاطر بسپار” و یا “پسورد را ذخیره کن” مواجه شدهاید. این اقدام به این دلیل میباشد تا ورود شما در مراحل بعد نیازی به وارد کردن گذرواژه نباشد. در این حالت مرورگر اطلاعات شما را ذخیره کرده است.
مرورگرها درواقع با استفاده از cookie ها این اطلاعات را ذخیره میکنند. کوکی ها یکسری داده هستند که مسئولیت ثبت تعامل کاربران با سایت را دارند. بطوریکه حتی می توانند اطلاعات بانکی شما را در زمانی که قصد خرید محصولی را دارید ذخیره کنند. اگر این کوکی ها به دست هکرها بیافتد امکان سوء استفاده از حساب بانکی شما وجود دارد.
اقدامات امنیتی در مقابل cookie stealing
- به صورت دوره ای کلیدهای امنیتی سایت وردپرسی یا WordPress salt خود را تغییر دهید. زیرا کلیدها و سالت ها (salts) یکسری رمزگذاری های امنیتی در داده های ذخیره شده در کوکی مرورگر (browsers cookie) ایجاد میکنند.
- یک گواهی SSL جهت محافظت از داده ها و اطلاعات وب سایت خود نصب کنید.
جمع بندی
انجام اقدامات امنیتی لازمه ی شروع هر نوع وب سایت کاری میباشد تا از این طریق بتوانید تعامل خوبی با کاربران خود داشته باشید. اگر به هر طریقی وب سایت شما مورد حمله هکرها قرار گیرد کاربران، دیگر به سایت شما بی اعتماد می شوند در نتیجه نمیتوانید فعالیت مستمری داشته باشید. شرکت یاس وب در قالب پشتیبانی سایت مجموعه ای از اقدامات امنیتی را در وب سایت شما پیاده سازی می کند که ایمنی حوزه ی کاری شما را چندین برابر میکند. جهت افزایش امنیت، پشتیبانی وردپرس و پاک سازی سایت های هک شده میتوانید از خدمات پشتیبانی امنیتی سایت یاس وب استفاده نمایید.