در این پست قراره بهتون بگیم چطوری وردپرس امنتر کنیم ؟

اگر حضور آنلاین دارید، باید امنیت را در اولویت قرار دهید. و اگر وردپرس CMS شماست، قطعا باید امنیت را در اولویت قرار دهید.

به طور کلی، وردپرس یک CMS امن است، اما به دلیل منبع باز ( open source ) بودن، از آسیب پذیری های مهم مختلفی رنج می برد.

خوشبختانه، دستیابی به امنیت وردپرس زمانی ساده است که گام های درست را بردارید.

در این مقاله، ما با جزئیات رایج ترین و خطرناک ترین آسیب پذیری های امنیتی که با استفاده از وردپرس همراه است آشنا می شویم.

 سپس، ما تمام مراحلی را که برای مدیریت یک وب سایت وردپرس ایمن و ایمن نیاز دارید، پوشش خواهیم داد.

چرا به امنیت وردپرس نیاز دارید؟

بیایید در مورد دلایلی بحث کنیم که چرا هر وب سایت موفقی که با وردپرس ساخته شده است،

امنیت را در اولویت قرار می دهد. این موارد برای مشاغل در هر اندازه، شهرت و صنایع اعمال می شود.

از اطلاعات و شهرت شما محافظت می کند.

اگر مهاجمان به اطلاعات شخصی شما یا بازدیدکنندگان وب سایت شما دست یابند، کاری که می توانند با این اطلاعات انجام دهند پایانی ندارد. 

نقض امنیت شما را در معرض نشت داده های عمومی، سرقت هویت ، باج افزار، خرابی سرورها قرار می دهد

و لیست متأسفانه ادامه دارد. نیازی به گفتن نیست که هر یک از این رویدادها برای رشد و شهرت کسب و کار شما ایده آل نیست و معمولاً باعث اتلاف وقت، پول و انرژی می شود.

بازدیدکنندگان شما انتظار آن را دارند.

همانطور که کسب و کار شما رشد می کند، تعداد مشکلاتی که باید حل کنید و انتظارات مشتریان برای نحوه رسیدگی به این مشکلات افزایش می یابد. 

یکی از این مشکلات حفظ امنیت اطلاعات مشتریان شماست. 

اگر نتوانید از همان ابتدا این خدمات اساسی را ارائه دهید، اعتماد مشتری به خود را تضعیف خواهید کرد.

مشتریان شما باید اطمینان داشته باشند که اطلاعات آنها به طور ایمن استفاده و ذخیره می شود،

خواه اطلاعات تماس، اطلاعات پرداخت (که به رعایت PCI نیاز دارد )، یا پاسخ اولیه به نظرسنجی. یک نکته 22 در اینجا وجود دارد:

اگر اقدامات امنیتی شما کارساز باشد، مشتریان شما هرگز نیازی به دانستن آن نخواهند داشت. 

اگر آنها اخباری در مورد امنیت سایت شما ببینند، به احتمال زیاد این خبر بدی است و بیشتر آنها باز نخواهند گشت.

گوگل وب سایت های امن را دوست دارد.

ایمن نگه داشتن وب سایت وردپرسی خود سنگ بنای حفظ یک وب سایت با رتبه بالا است.

چرا؟ زیرا یک وب سایت ایمن یک وب سایت قابل جستجو است. 

امنیت وب سایت مستقیماً بر روی دید از جستجو در Google (و سایر موتورهای جستجو) تأثیر می گذارد و مدتی است.

 امنیت یکی از ساده ترین راه ها برای افزایش رتبه جستجوی شماست . 

می‌توانید در راهنمای نهایی ما برای فاکتورهای رتبه‌بندی Google در مورد عوامل دیگری که بر نحوه رتبه‌بندی گوگل وب‌سایت شما تأثیر می‌گذارند، مطالعه کنید .

واضح است که محافظت از اموال آنلاین شما باید یک نگرانی کلیدی باشد. 

هر وب سایتی باید ایمنی بازدیدکنندگان و کاربران خود را تضمین کند، و ما مراحل انجام این کار را مرور خواهیم کرد. 

اما ابتدا ممکن است این سوال برای شما پیش بیاید: آیا وردپرس امن است ؟

بیایید نگاهی به زیر بیاندازیم.

 

وردپرس چقدر امن است؟

وردپرس یک سیستم مدیریت محتوای ایمن است. 

با این حال، می تواند در برابر حملات آسیب پذیر باشد – درست مانند هر CMS.

هیچ راهی برای دور زدن آن وجود ندارد: وب سایت هایی که از وردپرس استفاده می کنند یک هدف محبوب برای حملات سایبری هستند. 

در گزارش امنیتی وردپرس خود، یک سرویس فایروال به نام Wordfence 18.5 میلیارد درخواست حمله رمز عبور را در وب سایت های وردپرس مسدود کرد. 

این نزدیک به 20 میلیارد حمله تنها به وب سایت های وردپرسی است.

این ممکن است کمتر تعجب آور باشد، زیرا بدانید که 42.7٪ از تمام وب سایت ها از وردپرس استفاده می کنند. 

با این وجود، حتی با در نظر گرفتن سهم بازار وردپرس، نزدیک به بیست میلیارد حمله هنوز بسیار زیاد است.

خبر بد ادامه دارد: 8 از 10 خطر امنیتی وردپرس بر اساس سیستم امتیازدهی آسیب پذیری رایج در امتیاز «متوسط» یا «بالا» قرار می گیرند .

اما قبل از اینکه حساب وردپرس خود را به سختی حذف کنید، باید بدانید که این اعداد کاملاً تقصیر وردپرس نیستند. 

یا حداقل تقصیر خود محصول وردپرس نیست.

وردپرس تیم امنیتی بزرگی از محققان و مهندسان کلاس جهانی را به کار می گیرد که به دنبال آسیب پذیری در سیستم خود هستند

و به طور منظم به روز رسانی های امنیتی را برای نرم افزار خود منتشر می کند. 

تا جایی که هسته وردپرس پیش می رود، ما تحت پوشش هستیم. مشکل این است که چگونه وردپرس در دسترس کاربرانش قرار می گیرد.

وردپرس یک نرم افزار منبع باز است،

به این معنی که کد منبع برای تغییر و توزیع برای هر کسی در دسترس است. 

از آنجایی که وردپرس متن باز است،

این نرم افزار بی نهایت قابل تنظیم و بهینه سازی است. 

هزاران پلاگین، تم، و توسعه‌دهنده‌ای وجود دارند که مهارت‌های لازم برای تغییر کد پشتیبان را دارند.

 این انعطاف‌پذیری یکی از ویژگی‌های تعیین‌کننده وردپرس است و بخش بزرگی از آنچه آن را بسیار قدرتمند و پرکاربرد می‌کند.

نقطه ضعف این همه آزادی این است که یک وب سایت وردپرس که به درستی پیکربندی یا نگهداری نشده است

مستعد مشکلات امنیتی بی شماری است. وردپرس قدرت زیادی به کاربران خود می دهد و با قدرت زیاد مسئولیت بزرگی نیز به همراه دارد. 

مسئولیتی که بسیاری از آن شانه خالی می کنند. هکرها این را می دانند و بر این اساس وب سایت های وردپرس را هدف قرار می دهند.

با دانستن موارد زیر می توانید راحت باشید: امنیت کامل به سادگی وجود ندارد، به خصوص آنلاین. همانطور که وردپرس می گوید :

«امنیت… کاهش ریسک است، نه حذف ریسک. این در مورد به کارگیری تمام کنترل های مناسب در دسترس شما است

که به شما امکان می دهد وضعیت کلی بدن خود را بهبود ببخشید و احتمال اینکه خود را هدف قرار دهید و متعاقباً هک شوید را کاهش دهید.

شما هرگز نمی توانید مصونیت کامل در برابر تهدیدات آنلاین را تضمین کنید،

اما می توانید اقداماتی را انجام دهید تا احتمال وقوع آنها بسیار کمتر شود. 

این واقعیت که شما در حال خواندن این مطلب هستید به این معنی است که احتمالاً به امنیت اهمیت می دهید و مایل هستید

که برای حفظ امنیت خود و بازدیدکنندگان خود تلاش بیشتری کنید. به طور خلاصه، وردپرس امن است ،

اما تنها در صورتی که کاربران آن امنیت را جدی بگیرند و بهترین شیوه ها را دنبال کنند.

مسائل امنیتی وردپرس

بنابراین، اگر کسی تصمیم بگیرد همه این اعداد را کنار بگذارد و هیچ کاری برای ایمن کردن سایت وردپرس خود انجام ندهد، چه اتفاقی می‌افتد؟ 

همانطور که معلوم است، بسیار. رایج ترین انواع حملات سایبری در وب سایت های وردپرسی عبارتند از:

تلاش‌های ورود به سیستم Brute-Force

این یکی از ساده ترین انواع حملات است. ورود brute-force زمانی اتفاق می‌افتد که مهاجمان از اتوماسیون استفاده می‌کنند تا خیلی سریع ترکیب‌های نام کاربری و رمز عبور را وارد کنند و در نهایت اعتبار درست را حدس بزنند. هک بی رحمانه می تواند به هر اطلاعات محافظت شده با رمز عبور دسترسی داشته باشد، نه فقط ورود به سیستم.

اسکریپت بین سایتی (XSS)

XSS زمانی اتفاق می‌افتد که یک مهاجم کد مخرب را به باطن وب‌سایت هدف «تزریق» می‌کند

تا اطلاعات را استخراج کند و عملکرد سایت را خراب کند.

 این کد را می‌توان با ابزارهای پیچیده‌تر در پشتیبان معرفی کرد، یا صرفاً به‌عنوان پاسخ در یک فرم رو به رو کاربر ارسال کرد.

تزریق پایگاه داده

همچنین به عنوان تزریق SQL شناخته می شود، این زمانی اتفاق می افتد که یک مهاجم یک رشته کد مضر را از طریق برخی ورودی های کاربر، مانند فرم تماس، به یک وب سایت ارسال می کند. سپس وب سایت کد را در پایگاه داده خود ذخیره می کند. مشابه حمله XSS، کد مضر برای واکشی یا به خطر انداختن اطلاعات محرمانه ذخیره شده در پایگاه داده روی وب سایت اجرا می شود.

درهای پشتی

Backdoor یک فایل حاوی کد است که به مهاجم اجازه می دهد تا ورود استاندارد وردپرس را دور بزند

و در هر زمان به سایت شما دسترسی پیدا کند. مهاجمان تمایل دارند که درهای پشتی را در میان سایر فایل های

منبع وردپرس قرار دهند و یافتن آنها توسط کاربران بی تجربه دشوار می شود. حتی در صورت حذف، مهاجمان می توانند انواع این درب پشتی را بنویسند

و به استفاده از آنها برای دور زدن ورود شما ادامه دهند.

اگرچه وردپرس انواع فایل‌هایی را که کاربران می‌توانند آپلود کنند محدود می‌کند تا شانس درب‌های پشتی را کاهش دهد، هنوز هم باید از آن آگاه بود.

حملات انکار سرویس (DoS).

این حملات مانع از دسترسی کاربران مجاز به وب سایت خود می شود. حملات DoS اغلب با بارگذاری بیش از حد یک سرور با ترافیک و ایجاد خرابی انجام می شود. این اثرات در مورد حمله انکار سرویس توزیع شده (DDoS) بدتر می شود، یک حمله DoS که توسط بسیاری از ماشین ها به طور همزمان انجام می شود.

فیشینگ

هنگامی که یک مهاجم با هدفی که به عنوان یک شرکت یا خدمات قانونی معرفی می شود تماس می گیرد، این به عنوان فیشینگ شناخته می شود . تلاش‌های فیشینگ معمولاً هدف را وادار می‌کند که اطلاعات شخصی را رها کند، بدافزار را دانلود کند یا از یک وب‌سایت خطرناک بازدید کند. اگر مهاجمی به حساب وردپرس شما دسترسی پیدا کند، حتی می‌تواند حملات فیشینگ را بر روی مشتریان شما هماهنگ کند و در عین حال خود را به عنوان شما نشان دهد.

Hotlinking

Hotlinking زمانی اتفاق می‌افتد که وب‌سایت دیگری محتوای تعبیه‌شده (معمولاً یک تصویر) را نشان می‌دهد که بدون اجازه در وب‌سایت شما میزبانی می‌شود،

به طوری که محتوا به نظر می‌رسد که متعلق به خودش است. 

در حالی که بیشتر شبیه دزدی است تا یک حمله تمام عیار، لینک هات معمولاً غیرقانونی است

و قربانی را با مشکلات جدی مواجه می کند، زیرا آنها باید هر بار که محتوا از سرور خود پس از نمایش در وب سایت دیگری نمایش داده می شود، هزینه پرداخت کنند.

برای وقوع این جنایات، هکرها باید حفره هایی را در امنیت سایت کشف کنند. 

آسیب پذیری های رایجی که هکرها هنگام هدف قرار دادن وب سایت های وردپرس به دنبال آن هستند عبارتند از:

  • پلاگین ها: افزونه های شخص ثالث اکثر موارد نقض امنیت وردپرس را تشکیل می دهند. از آنجایی که افزونه ها توسط اشخاص ثالث ایجاد می شوند و به پشتیبان وب سایت شما دسترسی دارند، کانال مشترکی برای هکرها هستند که عملکرد سایت شما را مختل می کنند.
  • نسخه های قدیمی وردپرس: وردپرس گاهی اوقات نسخه های جدیدی از نرم افزار خود را برای اصلاح آسیب پذیری های امنیتی منتشر می کند. هنگامی که رفع می شود، آسیب پذیری ها به اطلاع عموم می رسد و مشکلات نسخه های قدیمی وردپرس اغلب توسط هکرها هدف قرار می گیرند.
  • صفحه ورود: صفحه ورود به سیستم باطن برای هر وب سایت وردپرس به طور پیش فرض URL اصلی سایت است که “/wp-admin” یا “/wp-login.php” به انتهای آن اضافه شده است. مهاجمان می توانند به راحتی این صفحه را پیدا کرده و اقدام به ورود brute force کنند.
  • تم ها: بله، حتی قالب وردپرس شما می تواند سایت شما را در برابر حملات سایبری باز کند. تم های قدیمی ممکن است با جدیدترین نسخه وردپرس ناسازگار باشند و امکان دسترسی آسان به فایل های منبع شما را فراهم کنند. همچنین، بسیاری از تم های شخص ثالث از استانداردهای وردپرس برای کد پیروی نمی کنند، که باعث مشکلات سازگاری و آسیب پذیری های مشابه می شود.

 

برای نگاهی عمیق تر به مسائل امنیتی وردپرس، به مقاله ما در مورد مسائل امنیتی وردپرس که باید در مورد آنها بدانید مراجعه کنید.

خوب الان دیگه بریم سراغ نکات امنیتی وردپرس که باید انجام بدیم

چگونه سایت وردپرس خود را ایمن کنیم

3. نسخه وردپرس خود را به روز کنید.

نسخه های قدیمی نرم افزار وردپرس یک هدف بسیار رایج برای هکرها است. اطمینان حاصل کنید که به‌طور مرتب به‌روزرسانی‌های وردپرس را در اسرع وقت بررسی و نصب می‌کنید تا آسیب‌پذیری‌های موجود در نسخه‌های قدیمی‌تر را از بین ببرید.