در این پست قراره بهتون بگیم چطوری وردپرس امنتر کنیم ؟
اگر حضور آنلاین دارید، باید امنیت را در اولویت قرار دهید. و اگر وردپرس CMS شماست، قطعا باید امنیت را در اولویت قرار دهید.
به طور کلی، وردپرس یک CMS امن است، اما به دلیل منبع باز ( open source ) بودن، از آسیب پذیری های مهم مختلفی رنج می برد.
خوشبختانه، دستیابی به امنیت وردپرس زمانی ساده است که گام های درست را بردارید.
در این مقاله، ما با جزئیات رایج ترین و خطرناک ترین آسیب پذیری های امنیتی که با استفاده از وردپرس همراه است آشنا می شویم.
سپس، ما تمام مراحلی را که برای مدیریت یک وب سایت وردپرس ایمن و ایمن نیاز دارید، پوشش خواهیم داد.
چرا به امنیت وردپرس نیاز دارید؟
بیایید در مورد دلایلی بحث کنیم که چرا هر وب سایت موفقی که با وردپرس ساخته شده است،
امنیت را در اولویت قرار می دهد. این موارد برای مشاغل در هر اندازه، شهرت و صنایع اعمال می شود.
از اطلاعات و شهرت شما محافظت می کند.
اگر مهاجمان به اطلاعات شخصی شما یا بازدیدکنندگان وب سایت شما دست یابند، کاری که می توانند با این اطلاعات انجام دهند پایانی ندارد.
نقض امنیت شما را در معرض نشت داده های عمومی، سرقت هویت ، باج افزار، خرابی سرورها قرار می دهد
و لیست متأسفانه ادامه دارد. نیازی به گفتن نیست که هر یک از این رویدادها برای رشد و شهرت کسب و کار شما ایده آل نیست و معمولاً باعث اتلاف وقت، پول و انرژی می شود.
بازدیدکنندگان شما انتظار آن را دارند.
همانطور که کسب و کار شما رشد می کند، تعداد مشکلاتی که باید حل کنید و انتظارات مشتریان برای نحوه رسیدگی به این مشکلات افزایش می یابد.
یکی از این مشکلات حفظ امنیت اطلاعات مشتریان شماست.
اگر نتوانید از همان ابتدا این خدمات اساسی را ارائه دهید، اعتماد مشتری به خود را تضعیف خواهید کرد.
مشتریان شما باید اطمینان داشته باشند که اطلاعات آنها به طور ایمن استفاده و ذخیره می شود،
خواه اطلاعات تماس، اطلاعات پرداخت (که به رعایت PCI نیاز دارد )، یا پاسخ اولیه به نظرسنجی. یک نکته 22 در اینجا وجود دارد:
اگر اقدامات امنیتی شما کارساز باشد، مشتریان شما هرگز نیازی به دانستن آن نخواهند داشت.
اگر آنها اخباری در مورد امنیت سایت شما ببینند، به احتمال زیاد این خبر بدی است و بیشتر آنها باز نخواهند گشت.
گوگل وب سایت های امن را دوست دارد.
ایمن نگه داشتن وب سایت وردپرسی خود سنگ بنای حفظ یک وب سایت با رتبه بالا است.
چرا؟ زیرا یک وب سایت ایمن یک وب سایت قابل جستجو است.
امنیت وب سایت مستقیماً بر روی دید از جستجو در Google (و سایر موتورهای جستجو) تأثیر می گذارد و مدتی است.
امنیت یکی از ساده ترین راه ها برای افزایش رتبه جستجوی شماست .
میتوانید در راهنمای نهایی ما برای فاکتورهای رتبهبندی Google در مورد عوامل دیگری که بر نحوه رتبهبندی گوگل وبسایت شما تأثیر میگذارند، مطالعه کنید .
واضح است که محافظت از اموال آنلاین شما باید یک نگرانی کلیدی باشد.
هر وب سایتی باید ایمنی بازدیدکنندگان و کاربران خود را تضمین کند، و ما مراحل انجام این کار را مرور خواهیم کرد.
اما ابتدا ممکن است این سوال برای شما پیش بیاید: آیا وردپرس امن است ؟
بیایید نگاهی به زیر بیاندازیم.
وردپرس چقدر امن است؟
وردپرس یک سیستم مدیریت محتوای ایمن است.
با این حال، می تواند در برابر حملات آسیب پذیر باشد – درست مانند هر CMS.
هیچ راهی برای دور زدن آن وجود ندارد: وب سایت هایی که از وردپرس استفاده می کنند یک هدف محبوب برای حملات سایبری هستند.
در گزارش امنیتی وردپرس خود، یک سرویس فایروال به نام Wordfence 18.5 میلیارد درخواست حمله رمز عبور را در وب سایت های وردپرس مسدود کرد.
این نزدیک به 20 میلیارد حمله تنها به وب سایت های وردپرسی است.
این ممکن است کمتر تعجب آور باشد، زیرا بدانید که 42.7٪ از تمام وب سایت ها از وردپرس استفاده می کنند.
با این وجود، حتی با در نظر گرفتن سهم بازار وردپرس، نزدیک به بیست میلیارد حمله هنوز بسیار زیاد است.
خبر بد ادامه دارد: 8 از 10 خطر امنیتی وردپرس بر اساس سیستم امتیازدهی آسیب پذیری رایج در امتیاز «متوسط» یا «بالا» قرار می گیرند .
اما قبل از اینکه حساب وردپرس خود را به سختی حذف کنید، باید بدانید که این اعداد کاملاً تقصیر وردپرس نیستند.
یا حداقل تقصیر خود محصول وردپرس نیست.
وردپرس تیم امنیتی بزرگی از محققان و مهندسان کلاس جهانی را به کار می گیرد که به دنبال آسیب پذیری در سیستم خود هستند
و به طور منظم به روز رسانی های امنیتی را برای نرم افزار خود منتشر می کند.
تا جایی که هسته وردپرس پیش می رود، ما تحت پوشش هستیم. مشکل این است که چگونه وردپرس در دسترس کاربرانش قرار می گیرد.
وردپرس یک نرم افزار منبع باز است،
به این معنی که کد منبع برای تغییر و توزیع برای هر کسی در دسترس است.
از آنجایی که وردپرس متن باز است،
این نرم افزار بی نهایت قابل تنظیم و بهینه سازی است.
هزاران پلاگین، تم، و توسعهدهندهای وجود دارند که مهارتهای لازم برای تغییر کد پشتیبان را دارند.
این انعطافپذیری یکی از ویژگیهای تعیینکننده وردپرس است و بخش بزرگی از آنچه آن را بسیار قدرتمند و پرکاربرد میکند.
نقطه ضعف این همه آزادی این است که یک وب سایت وردپرس که به درستی پیکربندی یا نگهداری نشده است
مستعد مشکلات امنیتی بی شماری است. وردپرس قدرت زیادی به کاربران خود می دهد و با قدرت زیاد مسئولیت بزرگی نیز به همراه دارد.
مسئولیتی که بسیاری از آن شانه خالی می کنند. هکرها این را می دانند و بر این اساس وب سایت های وردپرس را هدف قرار می دهند.
با دانستن موارد زیر می توانید راحت باشید: امنیت کامل به سادگی وجود ندارد، به خصوص آنلاین. همانطور که وردپرس می گوید :
«امنیت… کاهش ریسک است، نه حذف ریسک. این در مورد به کارگیری تمام کنترل های مناسب در دسترس شما است
که به شما امکان می دهد وضعیت کلی بدن خود را بهبود ببخشید و احتمال اینکه خود را هدف قرار دهید و متعاقباً هک شوید را کاهش دهید.
شما هرگز نمی توانید مصونیت کامل در برابر تهدیدات آنلاین را تضمین کنید،
اما می توانید اقداماتی را انجام دهید تا احتمال وقوع آنها بسیار کمتر شود.
این واقعیت که شما در حال خواندن این مطلب هستید به این معنی است که احتمالاً به امنیت اهمیت می دهید و مایل هستید
که برای حفظ امنیت خود و بازدیدکنندگان خود تلاش بیشتری کنید. به طور خلاصه، وردپرس امن است ،
اما تنها در صورتی که کاربران آن امنیت را جدی بگیرند و بهترین شیوه ها را دنبال کنند.
مسائل امنیتی وردپرس
بنابراین، اگر کسی تصمیم بگیرد همه این اعداد را کنار بگذارد و هیچ کاری برای ایمن کردن سایت وردپرس خود انجام ندهد، چه اتفاقی میافتد؟
همانطور که معلوم است، بسیار. رایج ترین انواع حملات سایبری در وب سایت های وردپرسی عبارتند از:
تلاشهای ورود به سیستم Brute-Force
این یکی از ساده ترین انواع حملات است. ورود brute-force زمانی اتفاق میافتد که مهاجمان از اتوماسیون استفاده میکنند تا خیلی سریع ترکیبهای نام کاربری و رمز عبور را وارد کنند و در نهایت اعتبار درست را حدس بزنند. هک بی رحمانه می تواند به هر اطلاعات محافظت شده با رمز عبور دسترسی داشته باشد، نه فقط ورود به سیستم.
اسکریپت بین سایتی (XSS)
XSS زمانی اتفاق میافتد که یک مهاجم کد مخرب را به باطن وبسایت هدف «تزریق» میکند
تا اطلاعات را استخراج کند و عملکرد سایت را خراب کند.
این کد را میتوان با ابزارهای پیچیدهتر در پشتیبان معرفی کرد، یا صرفاً بهعنوان پاسخ در یک فرم رو به رو کاربر ارسال کرد.
تزریق پایگاه داده
همچنین به عنوان تزریق SQL شناخته می شود، این زمانی اتفاق می افتد که یک مهاجم یک رشته کد مضر را از طریق برخی ورودی های کاربر، مانند فرم تماس، به یک وب سایت ارسال می کند. سپس وب سایت کد را در پایگاه داده خود ذخیره می کند. مشابه حمله XSS، کد مضر برای واکشی یا به خطر انداختن اطلاعات محرمانه ذخیره شده در پایگاه داده روی وب سایت اجرا می شود.
درهای پشتی
Backdoor یک فایل حاوی کد است که به مهاجم اجازه می دهد تا ورود استاندارد وردپرس را دور بزند
و در هر زمان به سایت شما دسترسی پیدا کند. مهاجمان تمایل دارند که درهای پشتی را در میان سایر فایل های
منبع وردپرس قرار دهند و یافتن آنها توسط کاربران بی تجربه دشوار می شود. حتی در صورت حذف، مهاجمان می توانند انواع این درب پشتی را بنویسند
و به استفاده از آنها برای دور زدن ورود شما ادامه دهند.
اگرچه وردپرس انواع فایلهایی را که کاربران میتوانند آپلود کنند محدود میکند تا شانس دربهای پشتی را کاهش دهد، هنوز هم باید از آن آگاه بود.
حملات انکار سرویس (DoS).
این حملات مانع از دسترسی کاربران مجاز به وب سایت خود می شود. حملات DoS اغلب با بارگذاری بیش از حد یک سرور با ترافیک و ایجاد خرابی انجام می شود. این اثرات در مورد حمله انکار سرویس توزیع شده (DDoS) بدتر می شود، یک حمله DoS که توسط بسیاری از ماشین ها به طور همزمان انجام می شود.
فیشینگ
هنگامی که یک مهاجم با هدفی که به عنوان یک شرکت یا خدمات قانونی معرفی می شود تماس می گیرد، این به عنوان فیشینگ شناخته می شود . تلاشهای فیشینگ معمولاً هدف را وادار میکند که اطلاعات شخصی را رها کند، بدافزار را دانلود کند یا از یک وبسایت خطرناک بازدید کند. اگر مهاجمی به حساب وردپرس شما دسترسی پیدا کند، حتی میتواند حملات فیشینگ را بر روی مشتریان شما هماهنگ کند و در عین حال خود را به عنوان شما نشان دهد.
Hotlinking
Hotlinking زمانی اتفاق میافتد که وبسایت دیگری محتوای تعبیهشده (معمولاً یک تصویر) را نشان میدهد که بدون اجازه در وبسایت شما میزبانی میشود،
به طوری که محتوا به نظر میرسد که متعلق به خودش است.
در حالی که بیشتر شبیه دزدی است تا یک حمله تمام عیار، لینک هات معمولاً غیرقانونی است
و قربانی را با مشکلات جدی مواجه می کند، زیرا آنها باید هر بار که محتوا از سرور خود پس از نمایش در وب سایت دیگری نمایش داده می شود، هزینه پرداخت کنند.
برای وقوع این جنایات، هکرها باید حفره هایی را در امنیت سایت کشف کنند.
آسیب پذیری های رایجی که هکرها هنگام هدف قرار دادن وب سایت های وردپرس به دنبال آن هستند عبارتند از:
- پلاگین ها: افزونه های شخص ثالث اکثر موارد نقض امنیت وردپرس را تشکیل می دهند. از آنجایی که افزونه ها توسط اشخاص ثالث ایجاد می شوند و به پشتیبان وب سایت شما دسترسی دارند، کانال مشترکی برای هکرها هستند که عملکرد سایت شما را مختل می کنند.
- نسخه های قدیمی وردپرس: وردپرس گاهی اوقات نسخه های جدیدی از نرم افزار خود را برای اصلاح آسیب پذیری های امنیتی منتشر می کند. هنگامی که رفع می شود، آسیب پذیری ها به اطلاع عموم می رسد و مشکلات نسخه های قدیمی وردپرس اغلب توسط هکرها هدف قرار می گیرند.
- صفحه ورود: صفحه ورود به سیستم باطن برای هر وب سایت وردپرس به طور پیش فرض URL اصلی سایت است که “/wp-admin” یا “/wp-login.php” به انتهای آن اضافه شده است. مهاجمان می توانند به راحتی این صفحه را پیدا کرده و اقدام به ورود brute force کنند.
- تم ها: بله، حتی قالب وردپرس شما می تواند سایت شما را در برابر حملات سایبری باز کند. تم های قدیمی ممکن است با جدیدترین نسخه وردپرس ناسازگار باشند و امکان دسترسی آسان به فایل های منبع شما را فراهم کنند. همچنین، بسیاری از تم های شخص ثالث از استانداردهای وردپرس برای کد پیروی نمی کنند، که باعث مشکلات سازگاری و آسیب پذیری های مشابه می شود.
برای نگاهی عمیق تر به مسائل امنیتی وردپرس، به مقاله ما در مورد مسائل امنیتی وردپرس که باید در مورد آنها بدانید مراجعه کنید.
خوب الان دیگه بریم سراغ نکات امنیتی وردپرس که باید انجام بدیم
چگونه سایت وردپرس خود را ایمن کنیم
- مراحل ورود خود را ایمن کنید.
- از هاست ایمن وردپرس استفاده کنید.
- نسخه وردپرس خود را به روز کنید.
- به آخرین نسخه PHP آپدیت کنید.
- یک یا چند افزونه امنیتی را نصب کنید.
- از یک تم وردپرس امن استفاده کنید.
- SSL/HTTPS را فعال کنید.
- فایروال نصب کنید.
- از وب سایت خود نسخه پشتیبان تهیه کنید.
- اسکن های امنیتی وردپرس را به طور منظم انجام دهید.
- کاراکترهای خاص را از ورودی کاربر فیلتر کنید.
- محدود کردن مجوزهای کاربران وردپرس
- از مانیتورینگ وردپرس استفاده کنید.
- ثبت فعالیت کاربر
- URL پیش فرض ورود به وردپرس را تغییر دهید.
- ویرایش فایل را در داشبورد وردپرس غیرفعال کنید.
- پیشوند فایل پایگاه داده خود را تغییر دهید.
- فایل xmlrpc.php خود را غیر فعال کنید.
- حذف حساب پیش فرض مدیریت وردپرس را در نظر بگیرید.
- نسخه وردپرس خود را مخفی کنید.
اکنون که بخش ترسناک را پشت سر گذاشتیم، بیایید در مورد آنچه که می توانید برای کاهش خطر حمله سایبری به وب سایت وردپرس خود انجام دهید، بحث کنیم.
امنیت وبسایت، و با افزودن امنیت وبسایت وردپرس، به دنبال مجموعهای از بهترین شیوهها است.
برخی از این موارد به طور کلی برای همه وب سایت ها اعمال می شود
(به عنوان مثال رمزهای عبور قوی و احراز هویت دو مرحله ای، SSL و فایروال ها)، در حالی که برخی دیگر
به طور خاص برای وب سایت های وردپرس اعمال می شوند (به عنوان مثال استفاده از افزونه های امن و یک موضوع وردپرس ایمن).
برای اینکه سایت خود را در ایمن ترین حالت خود نگه دارید، توصیه می کنیم تا جایی که
می توانید از این بهترین شیوه ها پیروی کنید. ابتدا، بهترین شیوه های اساسی را پوشش خواهیم داد.
سپس اگر سایت شما بهویژه در معرض خطر است یا اگر میخواهید حتی فراتر بروید، اقدامات بیشتری را اضافه میکنیم.
بهترین روش های امنیتی وردپرس
1. مراحل ورود خود را ایمن کنید.
اساسی ترین گام برای ایمن سازی وب سایت شما، ایمن نگه داشتن حساب های خود از تلاش های مخرب برای ورود است. برای انجام این:
- از گذرواژههای قوی استفاده کنید : قبلاً فکر میکردیم در آینده اتومبیلهای پرنده وجود خواهند داشت، اما از امسال، مردم همچنان از «123456» به عنوان رمز عبور استفاده میکنند. مطمئن شوید که همه کاربرانی که در وردپرس شما حساب دارند از رمزهای عبور قوی برای ورود استفاده می کنند. ممکن است بخواهید از یکی از مدیران رمز عبور توصیه شده ما برای ایجاد رمزهای عبور قوی و پیگیری آنها برای خود استفاده کنید.
- فعال کردن احراز هویت دو مرحلهای : احراز هویت دو مرحلهای (2FA) از کاربران میخواهد تا ورود خود را با دستگاه دوم تأیید کنند. این یکی از ساده ترین و در عین حال موثرترین ابزارها برای ایمن سازی ورود شماست. در اینجا نحوه افزودن احراز هویت دو مرحله ای در وردپرس آورده شده است.
- هیچ نام کاربری حسابی را “admin” نسازید: به احتمال زیاد، این اولین نام کاربری خواهد بود که مهاجمان در طول تلاش برای ورود به سیستم وارد می شوند. اگر قبلاً کاربری با این نام ایجاد کردهاید، یک حساب کاربری جدید با نام کاربری دیگری ایجاد کنید.
- محدود کردن تلاشها برای ورود : قرار دادن یک کلاه بر تعداد دفعاتی که کاربر اعتبارنامههای اشتباه را در مدت زمان مشخصی وارد میکند، از هکرها جلوگیری میکند. برخی از سرویسهای میزبانی و فایروالها ممکن است این کار را برای شما انجام دهند، اما میتوانید افزونهای مانند Limit Login Attempts را نیز برای این کار نصب کنید.
- افزودن کپچا : احتمالاً این ویژگی امنیتی را در بسیاری از وبسایتهای دیگر دیدهاید. آنها با تأیید اینکه شما واقعاً یک فرد زنده هستید، یک لایه امنیتی اضافی به ورود شما اضافه می کنند. می توانید از افزونه ها برای افزودن کپچا به سایت خود استفاده کنید. reCaptcha by BestWebSoft یکی از مواردی است که ما توصیه می کنیم — راهنمای ما برای فعال کردن Google reCaptcha در وردپرس را ببینید.
- فعال کردن خروج خودکار : در حالی که باید به خاطر داشته باشید که پس از اتمام از حساب WP خود خارج شوید، خروج خودکار از ورود افراد غریبه به حساب شما در صورت فراموشی جلوگیری می کند. برای فعال کردن خروج خودکار در حساب وردپرس خود، افزونه Inactive Logout را امتحان کنید .
2. از هاست امن وردپرس استفاده کنید.
هنگام انتخاب سرویسی که وب سایت شما را میزبانی می کند، عوامل زیادی باید در نظر گرفته شود، اما امنیت باید در اولویت باشد.
سرویس هایی را در نظر بگیرید که اقداماتی را برای محافظت از اطلاعات شما انجام داده اند
و در صورت وقوع حمله، به سرعت بازیابی می شوند.
3. نسخه وردپرس خود را به روز کنید.
نسخه های قدیمی نرم افزار وردپرس یک هدف بسیار رایج برای هکرها است. اطمینان حاصل کنید که بهطور مرتب بهروزرسانیهای وردپرس را در اسرع وقت بررسی و نصب میکنید تا آسیبپذیریهای موجود در نسخههای قدیمیتر را از بین ببرید.
برای به روز رسانی وردپرس به آخرین نسخه، ابتدا از سایت خود نسخه پشتیبان تهیه کنید و بررسی کنید که افزونه های شما با آخرین نسخه وردپرس سازگار است و افزونه ها را بر این اساس به روز کنید. برای نحوه به روز رسانی افزونه های وردپرس خود می توانید به راهنمای ما مراجعه کنید .
پس از به روز رسانی افزونه های خود، دستورالعمل های به روز رسانی در وب سایت وردپرس را دنبال کنید .
4. به آخرین نسخه PHP آپدیت کنید.
ارتقاء به آخرین نسخه PHP یکی از مهم ترین اقداماتی است که می توانید برای حفظ امنیت وب سایت وردپرس خود بردارید. هنگامی که ارتقاء آماده شد، وردپرس در داشبورد خود به شما اطلاع می دهد. سپس از شما می خواهد که به حساب میزبانی خود بروید تا به آخرین نسخه PHP ارتقا دهید. اگر به حساب میزبانی خود دسترسی ندارید، برای ارتقا با توسعه دهنده وب خود تماس بگیرید.
5. یک یا چند افزونه امنیتی را نصب کنید.
ما به شدت توصیه می کنیم یک یا چند افزونه امنیتی معتبر را در وب سایت خود نصب کنید. این افزونهها بسیاری از کارهای دستی مرتبط با امنیت را برای شما انجام میدهند، از جمله اسکن وبسایت شما برای تلاشهای نفوذ، تغییر فایلهای منبعی که ممکن است سایت شما را مستعد کند، تنظیم مجدد و بازیابی سایت وردپرس ، و جلوگیری از سرقت محتوا مانند لینکهای داغ. برخی از افزونه های معتبر تقریباً همه چیز را در این لیست پوشش می دهند.
هر افزونه(هایی) را که تصمیم به نصب دارید، چه مربوط به امنیت باشد چه نباشد، مطمئن شوید که به خوبی تثبیت شده و قانونی هستند. لیست افزونه های امنیتی وردپرس توصیه شده ما را ببینید .
6. از یک قالب وردپرس امن استفاده کنید.
درست مثل اینکه نباید یک پلاگین کلی را در سایت خود نصب کنید، در مقابل تمایل به استفاده از هر قالب وردپرس که خوب به نظر می رسد مقاومت کنید. برای جلوگیری از آسیبپذیریهای ناشی از قالب وردپرس، یکی را انتخاب کنید که با استانداردهای وردپرس مطابقت داشته باشد.
7. SSL/HTTPS را فعال کنید.
SSL (لایه سوکت های ایمن) فناوری است که اتصالات بین وب سایت شما و مرورگرهای وب بازدیدکنندگان را رمزگذاری می کند و اطمینان می دهد که ترافیک بین سایت شما و رایانه بازدیدکنندگان از رهگیری های ناخواسته در امان است.
// Disallow file edits
define( ‘DISALLOW_FILE_EDIT’, true );
7. پیشوند فایل پایگاه داده خود را تغییر دهید.
نام فایل هایی که پایگاه داده وردپرس شما را تشکیل می دهند به طور پیش فرض با “wp_” شروع می شود. هکرها از این تنظیم برای مکان یابی فایل های پایگاه داده شما بر اساس نام و انجام تزریق SQL استفاده می کنند.
یک تعمیر ساده؟ پیشوند را به چیزی متفاوت تغییر دهید، مانند “wpdb_” یا “wptable_”. تنظیم این مورد در هنگام نصب سیستم مدیریت محتوا وردپرس امکان پذیر است. اگر سایت شما از قبل با این تنظیمات فعال است، می توانید نام این فایل ها را تغییر دهید. در این مورد، ما به شدت توصیه می کنیم از یک افزونه برای مدیریت این فرآیند استفاده کنید، زیرا پایگاه داده شما تمام محتوای شما را ذخیره می کند و پیکربندی نادرست وب سایت شما را خراب می کند. به دنبال توانایی تغییر پیشوندهای جدول در میان ویژگی های افزونه امنیتی مورد نظر خود باشید.
8. فایل xmlrpc.php خود را غیر فعال کنید.
XML-RPC یک پروتکل ارتباطی است که CMS وردپرس را قادر می سازد تا با وب خارجی و برنامه های تلفن همراه تعامل داشته باشد. از زمان ادغام WordPress REST API ، XML-RPC بسیار کمتر از گذشته استفاده می شود. با این حال، هنوز هم توسط برخی برای راه اندازی حملات قدرتمند به سایت های وردپرس استفاده می شود.
این به این دلیل است که فناوری XML-RPC به مهاجمان اجازه میدهد درخواستهایی حاوی صدها فرمان را ارسال کنند و انجام حملات ورود به سیستم brute force را آسانتر میکند. XML-RPC نیز نسبت به REST از امنیت کمتری برخوردار است زیرا درخواست های آن حاوی اعتبارنامه های احراز هویت هستند که می توانند مورد سوء استفاده قرار گیرند.
اگر از XML-RPC استفاده نمی کنید، می توانید فایل xmlrpc.php را غیرفعال کنید. ابتدا بررسی کنید که آیا سایت شما از فایل استفاده می کند یا خیر. URL خود را به این اعتبارسنجی XML-RPC وصل کنید تا بررسی کنید که آیا سایت شما در حال حاضر از پروتکل استفاده می کند یا خیر. اگر نه، ساده ترین راه برای غیرفعال کردن این فایل با افزونه ای مانند Disable XML-RPC-API است. افزونه امنیتی وردپرس شما نیز ممکن است بتواند این کار را برای شما انجام دهد.
9. حذف حساب پیش فرض مدیریت وردپرس را در نظر بگیرید.
ما درباره تغییر نام کاربری «admin» برای حساب پیشفرض مدیریت وردپرس بحث کردهایم، اما اگر میخواهید قدمی جلوتر بردارید، بهکلی از شر این حساب پیشفرض خلاص شوید و یک حساب کاربری جدید با همان مجوزهای مدیر ایجاد کنید. اگر فکر می کنید که نام کاربری و رمز عبور مدیریت اصلی شما کشف شده است، این گام خوبی است که باید بردارید.
10. نسخه وردپرس خود را مخفی کنید.
مخفی کردن نسخه وردپرس باعث می شود که هکرها از آسیب پذیر بودن سایت شما اطلاعی نداشته باشند. همانطور که قبلا گفته شد، همیشه باید به آخرین نسخه وردپرس آپدیت کنید. اما اگر هنوز فرصت این کار را پیدا نکرده اید، مهم است که آسیب پذیری احتمالی را پنهان کنید. در اینجا یک آموزش در مورد نحوه مخفی کردن نسخه وردپرس خود آورده شده است.
اگر هک شدید چه کاری انجام دهید
بنابراین، شما برخی یا همه اقدامات فوق را اجرا کرده اید و اکنون می خواهید در صورت بروز مشکل، آمادگی بیشتری داشته باشید. یا، مشکلی پیش آمده است. در هر صورت، در اینجا چه کاری باید انجام شود:
1. آرامش خود را حفظ کنید.
ترسیدن در این مواقع طبیعی است. فقط به یاد داشته باشید که یک نقض امنیتی ممکن است برای هر کسی اتفاق بیفتد. لازم است یک سر واضح داشته باشید تا بتوانید منبع نقض را پیدا کنید و شروع به رفع آن کنید.
2. حالت تعمیر و نگهداری را در وب سایت خود روشن کنید.
محدود کردن دسترسی به سایت شما، بازدیدکنندگان را از کنار شما دور نگه میدارد و از حمله در امان نگه میدارد. فقط زمانی وب سایت خود را باز کنید که مطمئن باشید اوضاع تحت کنترل است.
3. شروع به ایجاد گزارش حادثه کنید.
تمام جزئیات مربوطه را که می تواند به حل مشکل کمک کند، ثبت کنید. این موارد شامل، اما محدود به موارد زیر نیست:
- وقتی مشکل را کشف کردید.
- چه چیزی باعث شد باور کنید مورد حمله قرار گرفته اید.
- موضوع فعلی، افزونههای فعال، ارائهدهنده میزبانی و ارائهدهنده شبکه شما.
- هر گونه تغییرات اخیری که قبل از حادثه در سایت وردپرس خود ایجاد کرده اید.
- گزارشی از اقدامات شما هنگام پیدا کردن و رفع مشکل.
با در دسترس قرار گرفتن جزئیات بیشتر، این سند را به روز کنید.
4. بازنشانی دسترسی و مجوزها.
برای جلوگیری از هر گونه تغییر بیشتر وب سایت، تمام رمزهای عبور حساب را در سایت وردپرس خود تغییر دهید. در مرحله بعد، تمام کاربرانی که هنوز وارد سیستم شدهاند را به زور از سیستم خارج کنید.
همه دارندگان حساب نیز باید قویاً بهروزرسانی رمزهای عبور در دستگاههای کاری و شخصی خود و همچنین حسابهای شخصی را در نظر بگیرند، زیرا نمیتوانید مطمئن باشید که مهاجمان به چه چیزی فراتر از سایت وردپرس شما دسترسی داشتهاند.
5. مشکل را تشخیص دهید.
یا خودتان با یک افزونه امنیتی مشکل را جستجو کنید یا بسته به مقیاس حمله، یک متخصص را برای تشخیص مشکل و تعمیر سایت خود استخدام کنید. صرف نظر از روشی که انتخاب میکنید، یک اسکن امنیتی روی سایت و فایلهای محلی خود اجرا کنید تا فایلها یا کدهای مضر باقیمانده را که مهاجمان ممکن است به جا گذاشته باشند پاک کنید و فایلهای از دست رفته را بازیابی کنید.
6. وب سایت ها و کانال های مرتبط را بررسی کنید.
اگر برای هر پلتفرم آنلاین دیگری که به وب سایت خود مرتبط است، مانند حساب رسانه های اجتماعی یا سایت وردپرس دیگری، حساب دارید، این پلتفرم ها را بررسی کنید تا ببینید آیا تحت تأثیر قرار گرفته اند یا خیر. رمز عبور خود را برای این کانال ها نیز تغییر دهید.
7. نسخه پشتیبان، تم ها و افزونه ها را دوباره نصب کنید.
تم و افزونه های خود را مجدداً نصب کنید (دوباره بررسی کنید که ایمن هستند). اگر یک نسخه پشتیبان در محل دارید، آخرین نسخه پشتیبان را قبل از حادثه بازیابی کنید.
8. پسوردهای سایت خود را دوباره تغییر دهید.
بله، شما قبلاً همه رمزهای عبور وردپرس را بازنشانی کرده اید، اما ممکن است در حین رفع مشکل، این اعتبارنامه ها به خطر بیفتد. هرگز نمی توانی خیلی مواظب باشی.
9. به مشتریان و ذینفعان خود هشدار دهید.
پس از اینکه سایت شما دوباره راه اندازی شد، به شدت به مشتریان خود ارتباط برقرار کنید و آنها را از حمله آگاه کنید، به خصوص اگر اطلاعات شخصی در دسترس بوده و لو رفته باشد. این کار درستی است و برای پاسخ های منفی مشتریان آماده باشید.
10. بررسی کنید که وب سایت شما در لیست سیاه گوگل قرار نگیرد.
اگر وب سایت شما در نتیجه حمله توسط گوگل در لیست سیاه قرار گرفت، گوگل به کاربران در مورد ورود به وب سایت شما به طور نامحسوس هشدار نمی دهد:
در حالی که قرار دادن لیست سیاه برای دور نگه داشتن کاربران از وب سایت های مضر ضروری است، همچنین بیشتر ترافیک سایت قانونی شما را ترسانده است. Sucuri یک ابزار رایگان برای اسکن وب سایت شما برای وضعیت لیست سیاه گوگل دارد.