وردپرس بیش از یک دهه است که یکی از برجسته ترین سیستم های مدیریت محتوا (CMS) است. بسیاری از بزرگترین وبلاگ های اینترنت ، و همچنین تعداد زیادی سایت کوچک و شخصی ، بر اساس چارچوب وردپرس برای انتشار متن ، تصویر و محتوای ویدئویی در شبکه جهانی وب اجرا می شوند.
یک وب سایت وردپرس هم دارای رابط کاربری Front end و هم Back end است. قسمت Front نمای ظاهری سایت را ارائه می دهد که بازدیدکنندگان هنگام بارگیری صفحه وب مشاهده خواهند کرد. مدیران سایت و مشارکت کنندگان که وظیفه تدوین ، طراحی و انتشار محتوا را بر عهده دارند ، می توانند از قسمت پنل ادمین دسترسی داشته باشند.
مانند هر سیستم دیگر مبتنی بر اینترنت ، وردپرس نیز هدف هک و دیگر اشکال جرایم سایبری است. با توجه به اینکه در حال حاضر بیش از 32 درصد از اینترنت بر روی وردپرس اجرا می شود ، منطقی است . در این مقاله ، برخی از رایج ترین حملات وردپرس به نرم افزار را مرور می کنیم و سپس پیشنهاداتی در مورد نحوه دفاع در برابر آنها و ایمن نگه داشتن وب سایت خود ارائه می دهیم.
روش های متداول حملات وردپرس
ابتدا بیایید به حملاتی رایج که ممکن است صاحبان سایت های وردپرس با آن مواجه شوند نگاه کنیم.
1. تزریق کد ها به SQL
پلت فرم CMS وردپرس متکی به یک لایه پایگاه داده است که اطلاعات فراداده و سایر اطلاعات اداری را ذخیره می کند. برای مثال ، یک پایگاه داده معمولی وردپرس مبتنی بر SQL حاوی اطلاعات کاربر ، اطلاعات محتوا و داده های پیکربندی سایت است.
هنگامی که یک هکر حمله SQL تزریق را انجام می دهد ، آنها از یک پارامتر درخواست ، از طریق فیلد ورودی یا URL ، برای اجرای دستور پایگاه داده سفارشی استفاده می کنند. SELECT query به هکر اجازه می دهد اطلاعات اضافی را از پایگاه داده مشاهده کند ، در حالی که یک query UPDATE به آنها اجازه می دهد داده ها را در واقع تغییر دهند.
در سال 1390 ، یک شرکت امنیتی شبکه به نام Barracuda Networks قربانی حمله تزریق SQL شد . هکرها مجموعه ای از دستورات را در سراسر وب سایت Barracuda اجرا کردند و در نهایت یک صفحه آسیب پذیر پیدا کردند که می تواند به عنوان درگاهی برای پایگاه داده اصلی شرکت مورد استفاده قرار گیرد.
2. اسکریپت نویسی بین سایت
یک حمله اسکریپت نویسی متقابل ، که با نام XSS نیز شناخته می شود ، شبیه تزریق SQL است ، اگر عناصر جاوا اسکریپت را در یک صفحه وب به جای پایگاه داده پشت برنامه مورد هدف قرار دهد. یک حمله موفق می تواند منجر به به خطر انداختن اطلاعات خصوصی بازدیدکنندگان خارجی شود.
با حمله XSS ، هکر کد جاوا اسکریپت را از طریق فیلد نظر یا سایر ورودی های متنی به وب سایت اضافه می کند و سپس هنگامی که سایر کاربران از صفحه بازدید می کنند ، این اسکریپت مخرب اجرا می شود. کد های مخرب جاوا اسکریپت معمولاً کاربران را به وب سایت تقلبی هدایت می کند که سعی می کند رمز عبور یا سایر اطلاعات شناسایی آنها را بدزدد.
حتی وب سایت های محبوب می توانند هدف حملات XSS قرار گیرند. در گذشته ، هکرها با موفقیت کد مخرب را به صفحات محصولات اضافه کرده و مشتریان را متقاعد کرده بودند که وارد صفحه وب جعلی شوند.
3. تزریق کد مخرب یا Command injection
پلتفرم هایی مانند وردپرس روی سه لایه اصلی کار می کنند: سرور وب ، سرور برنامه و سرور پایگاه داده. اما هر یک از این سرورها بر روی سخت افزار با سیستم عامل خاصی مانند Microsoft Windows یا لینوکس منبع باز اجرا می شوند و این یک منطقه آسیب پذیری جداگانه را نشان می دهد.
با حمله تزریق فرمان ، هکر اطلاعات مخرب را در فیلد متنی یا URL ، مشابه تزریق SQL وارد می کند. تفاوت در این است که کد شامل یک فرمان است که فقط سیستم عامل ها آن را تشخیص می دهند ، مانند دستور ls . اگر اجرا شود ، لیستی از تمام پرونده ها و فهرست ها روی سرور میزبان نمایش داده می شود.
مشخص شده است که برخی از دوربین های متصل به اینترنت در برابر حملات تزریق فرمان آسیب پذیر هستند. سیستم عامل آنها می تواند پیکربندی سیستم را به طور نامناسب در معرض نمایش کاربران خارج از سیستم قرار دهد.
4. گنجاندن فایل های مخرب
زبان های رایج برنامه نویسی وب مانند PHP و جاوا به برنامه نویسان اجازه می دهد تا از داخل کد خود به فایل ها و اسکریپت های خارجی مراجعه کنند. دستور include نام عمومی این نوع فعالیت ها است.
در شرایط خاص ، هکر می تواند آدرس وب سایت را دستکاری کند تا بخش شامل کد را به خطر بیندازد و به قسمت های دیگر سرور برنامه دسترسی پیدا کند. مشخص شده است که برخی از افزونه ها برای پلت فرم وردپرس در برابر حملات ورود فایل آسیب پذیر هستند. هنگامی که چنین هک هایی رخ می دهد ، نفوذگر می تواند به تمام داده های سرور برنامه اصلی دسترسی پیدا کند.
نکاتی برای حفاظت
اکنون که می دانید باید مراقب چه چیزی باشید ، در اینجا چند راه آسان برای تقویت امنیت وردپرس آورده شده است.روش های بسیار بیشتری برای ایمن سازی سایت شما نسبت به موارد ذکر شده در زیر وجود دارد ، اما این روشهای نسبتاً ساده ای هستند که می توانند بازدهی چشمگیری در هکرها به همراه داشته باشند.
1. از میزبان یا هاست امن و فایروال استفاده کنید
پلت فرم وردپرس می تواند از سرور محلی اجرا شود یا از طریق محیط میزبانی ابری مدیریت شود. به منظور حفظ یک سیستم امن ، گزینه میزبانی ترجیح داده می شود. میزبان وردپرس بالا در بازار خواهد شد رمزگذاری SSL و دیگر اشکال حفاظت از امنیت را ارائه دهد.
هنگام پیکربندی محیط میزبانی شده وردپرس ، مهم است که یک فایروال داخلی را فعال کنید که از اتصالات بین سرور برنامه شما و سایر لایه های شبکه محافظت می کند. یک فایروال اعتبار همه درخواست های بین لایه ها را بررسی می کند تا اطمینان حاصل شود که فقط درخواست های قانونی مجاز به پردازش هستند.
2. قالب ها و افزونه ها را به روز نگه دارید
انجمن وردپرس مملو از توسعه دهندگان هستند که دائماً روی قالب ها و افزونه های جدید کار می کنند تا از قدرت بستر CMS استفاده کنند. این افزونه ها می توانند رایگان یا پولی باشند. افزونه ها و قالب ها همیشه باید مستقیماً از وب سایت WordPress.org بارگیری شوند.
افزونه ها و قالب های خارجی می توانند خطرناک باشند ، زیرا شامل کدی هستند که روی سرور برنامه شما اجرا می شود. فقط به افزونه هایی اعتماد کنید که از منبع و توسعه دهنده معتبر تهیه می شوند. علاوه بر این ، شما باید افزونه ها و قالب ها را به طور منظم به روز کنید ، زیرا توسعه دهندگان پیشرفت های امنیتی را منتشر خواهند کرد.
3. اسکنر ویروس و VPN را نصب کنید
اگر وردپرس را در محیط محلی اجرا می کنید یا از طریق ارائه دهنده میزبانی خود به سرور دسترسی کامل دارید ، باید مطمئن شوید که یک اسکنر قوی ویروس روی سیستم عامل شما اجرا شده است. ابزارهای رایگان برای اسکن سایت وردپرس شما مانند Virus Total همه منابع را برای بررسی آسیب پذیری ها بررسی می کند.
هنگام اتصال به محیط وردپرس خود از یک مکان دور ، همیشه باید از یک سرویس گیرنده شبکه خصوصی مجازی (VPN) استفاده کنید ، که اطمینان حاصل می کند تمام ارتباطات داده بین رایانه محلی شما و سرور به طور کامل رمزگذاری شده است.
4. قفل کردن IP هکر ها در برابر حملات
یکی از رایج ترین حملات وردپرس به شکل حملات به اصطلاح brute force است. این چیزی نیست جز یک برنامه خودکار که یک هکر در درب ورودی از دست می دهد. در آنجا نشسته است و هزاران ترکیب مختلف رمز عبور را امتحان کرده است و اغلب به سمت راست می افتد تا ارزش آن را پیدا کند.
خبر خوب این است که راهی آسان برای خنثی کردن نیروی بی رحم وجود دارد. خبر بد این است که تعداد زیادی از مالکان سایت از رفع مشکل استفاده نمی کنند. All in One WP Security و Firewall را بررسی کنید. این برنامه رایگان است و به شما اجازه می دهد تا محدودیت سختی را برای ورود به سیستم تعیین کنید. به عنوان مثال ، پس از سه بار تلاش افزونه ، سایت را در برابر ورود بیشتر توسط آن آدرس IP برای مدت زمان از پیش قفل می کند. همچنین یک اعلان ایمیل دریافت می کنید که نشان می دهد ویژگی قفل فعال شده است.
5. احراز هویت دو مرحله
این روش خوب برای ایمن سازی سایت شما متکی بر این واقعیت است که احتمالاً هکر نمی تواند کنترل دو دستگاه شما را به طور همزمان بر عهده بگیرد. به عنوان مثال ، یک کامپیوتر و تلفن همراه. احراز هویت دو عاملی (2FA) ورود به وب سایت وب سایت شما را به یک فرایند دو مرحله ای تبدیل می کند. طبق معمول ، شما به طور معمول وارد سیستم می شوید ، اما بعداً از شما خواسته می شود که کد ارسال شده به تلفن همراه شما را هم وارد کنید.
این یک مرحله اضافی با تفکیک ورود به مراحل مختلف ، امنیت سایت شما را به طور تصاعدی افزایش می دهد. این لیست افزونه های رایگان را که به شما در راه اندازی 2FA کمک می کند.
اقدامات زیادی را می توانید برای محافظت از وب سایت خود انجام دهید. با استفاده از یک فایروال خوب ، به روز نگه داشتن قالب ها و افزونه ها و اجرای دوره ای اسکن ویروس می تواند تفاوت بزرگی ایجاد کند.
شاید بتوان به فکر امنیت وب سایت به عنوان یک فرایند تکراری ابدی بود. هرگز نباید به نقطه ای رسید که عقب نشینی کردید و فکر کردید امنیت سایت شما کامل است زیرا بازی بین هکرها و مدافعان وب سایت هرگز متوقف نخواهد شد ،تنها با آگاهی از آخرین تهدیدها و نحوه دفع آنها ، می توانید امنیت سایبری و حریم خصوصی آنلاین را حفظ کنید.