۱۱ دلیل اصلی هک شدن سایت های وردپرسی و راه های جلوگیری از آن

wordpress-security-soaad

wordpress-security-image

اخیرا یکی از کاربران مان سوال کرده است که چرا وب سایت های وردپرسی هک می شوند.؟!این که ببینید وبسایت تان هک شده است ناامید کننده است.در این مقاله مهم ترین دلایل هک شدن وبسایت های وردپرسی را با شما در میان میگذاریم.شما می توانید از این اشتباهات جلوگیری و وبسایت خود را ایمن کنید.

wpsitehacked-image

wp-site-hacked

چرا وردپرس هدف حمله هکرها قرار می گیرد؟

اول این که نه تنها وردپرس بلکه تمام وبسایت های اینترنتی در برابر حملات هکرها آسیب پذیرند.دلیل این که چرا اغلب ؛ وبسایت های وردپرسی مورد حمله هکرها قرار می گیرند این است که وردپرس محبوب ترین سیستم مدیریت محتوا برای ایجاد وبسایت می باشد.این محبوبیت بیشتر از ۳۱% کل وبسایت های جهان یا به عبارتی بیش از ۱۰۰ میلیون وب سایت در سراسر جهان را شامل می شود.این محبوبیت بی نظیر برای هکرها یک راه آسان برای شناسایی وبسایت هایی که کمتر امن هستند را ایجاد می کند و باعث سوء استفاده آن ها می شود.

هکرها انگیزه های متفاوتی برای هک وبسایت ها دارند.بعضی از آن ها مبتدی هستند و فقط می توانند از سایت هایی که از نظر امنیتی ضعیف تر هستند سوء استفاده کنند.
برخی از هکرها دارای اهداف مخرب مانند توزیع بدافزار ، استفاده از سایت برای حمله به سایت های دیگر یا اسپم کردن اینترنت هستند.
با این توضیحات بیایید نگاهی بیندازیم به برخی از علل اصلی هک شدن وبسایت های وردپرسی و این که چگونه از هک شدن وبسایت های وردپرسی خود جلوگیری کنید.

 

۱- میزبان وب (هاست) ناامن

مانند همه وب سایت ها، سایت های وردپرسی نیز در یک سرور وب میزبانی می شوند. برخی از شرکت های میزبانی وب به درستی پلتفرم میزبانی خود را امن نمی کنند. این باعث می شود همه ی وب سایت های موجود در سرورشان در برابر حملات هکرها آسیب پذیر باشند.

این مورد را می توان به راحتی با انتخاب بهترین ارائه دهنده هاست وردپرس برای وب سایت خود برطرف نمود. با این کار مطمئن می شوید که سایت شما در یک پلت فرم امن میزبانی می شود. سرورهای مناسب امن می توانند بسیاری از حملات رایج را بر روی سایت های وردپرسی را متوقف کنند.

۲-استفاده از رمز عبور آسان

stolenpassword-iamge

stolen-password

کلمه عبور ، کلیدی برای سایت وردپرسی شماست. شما باید مطمئن شوید که از یک رمز عبور قوی و منحصر به فرد برای هر یک از حساب های زیر استفاده می کنید زیرا همه آنها دسترسی کامل به وب سایت شما را فراهم می کنند.

  • حساب کاربری مدیریت وردپرس شما
  • کنترل پنل هاست وبسایت شما
  • حساب اف تی پی (FTP)
  • پایگاه داده MySQL مورد استفاده برای سایت وردپرس شما
  • ایمیل های مورد استفاده برای مدیریت وردپرس یا هاست شما
دیگران خوانده اند  نحوه نصب قالب در وردپرس

همه این حساب ها با کلمه عبور محافظت می شوند.استفاده از کلمات عبور ضعیف، بدست آوردن رمز عبور را برای هکرها با استفاده از برخی از ابزارهای ساده هکینگ ، راحت تر می کنند.

شما می توانید به راحتی این مورد را با استفاده از کلمه عبور منحصر به فرد و قوی برای هر حساب، برطرف کنید.

۳. دسترسی غیرمجاز به مدیریت وردپرس (دایرکتوری wp-admin)

ناحیه مدیریت وردپرس دسترسی کاربر به انجام اقدامات مختلف در سایت وردپرسی شما را فراهم می کند. این نیز منطقه ای است که بیشتر مورد حمله در یک سایت وردپرسی قرار می گیرد.

 

چشم پوشی ازین مورد اجازه می دهد تا هکرها روش های مختلفی برای نفوذ وب سایت شما را امتحان کنند. شما می توانید با افزودن لایه احراز هویت به پنل مدیریت وردپرس خود ؛ این مورد را برای آنها دشوار کنید.

 

ابتدا بایستی کلمه عبور خود را از پنل مدیریت وردپرس خود ایمن کنید. این کار یک لایه امنیتی اضافی به سایت اضافه می کند، و هر کسی که می خواهد به مدیریت وردپرس دسترسی داشته باشد، باید رمز عبور اضافی را ارائه دهد.

اگر شما از یک سایت وردپرسی دارای چند نویسنده یا چند کاربره استفاده می کنید، پس می توانید کلمات عبور قوی برای همه کاربران سایت خود اعمال کنید. شما همچنین می توانید احراز هویت دو مرحله ای را به وردپرس خود اضافه کنید تا کار هکرها برای ورود به منطقه مدیریت وردپرس سایت تان ازین هم سخت تر شود.

 

۴-مجوزهای اشتباه فایل ها

directoriesfilepermissions-image

directories-file-permissions

 

مجوزهای فایل مجموعه ای از قوانین استفاده شده توسط وب سرور شما می باشد. این مجوزها دسترسی به فایلهای سایت شما را کنترل می کنند. اجازه دسترسی اشتباه به پرونده ها می تواند به دسترسی هکرها به نوشتن و تغییر این فایل ها کمک کند.

تمام فایل های وردپرس شما باید دارای مجوز ۶۴۴ باشند. تمام پوشه ها در سایت وردپرس شما باید مجوز ۷۵۵ را به عنوان مجوز فایل خود داشته باشند.

۵-آپدیت نبودن وردپرس

برخی از کاربران وردپرس از به روز رسانی سایت های وردپرسی شان ترس دارند. آنها می ترسند که با این کار وب سایت شان صدمه ببیند.

دیگران خوانده اند  انواع کاربر و سطح دسترسی آن ها در وردپرس

هر نسخه جدید وردپرس شامل رفع اشکالات و آسیب پذیری های امنیتی است. اگر وردپرس را بروز نکنید، به آسیب پذیری آن کمک می کنید.

اگر می ترسید که به روز رسانی ، وب سایت شما را صدمه میزند می توانید قبل از به روز رسانی یک نسخه بکاپ (backup) کامل از وردپرس خود تهیه نمایید.به این ترتیب، اگر با بروزرسانی به مشکل خوردید به راحتی می توانید به نسخه قبلی بازگردید.

۵-آپدیت نبودن افزونه ها یا قالب

بروز رسانی قالب و پلاگین های شما درست مانند هسته اصلی وردپرس؛به همان اندازه مهم است. استفاده نمودن از یک افزونه یا قالب قدیمی می توانید سایت تان را آسیب پذیر کنید.

نقص ها و اشکالات امنیتی اغلب در پلاگین ها و تم های وردپرس کشف شده است. معمولا نویسندگان تم و افزونه سریع آنها را برطرف می کنند. با این حال، اگر یک کاربر تم یا افزونه خود را به روز نکرده باشد، هیچ کاری از دست سازندگان قالب یا افزونه ساخته نیست.

اطمینان حاصل کنید که تم و پلاگین وردپرس خود را بروز نگه داشته اید.

۷.استفاده از FTP ساده به جای SFTP / SSH

sftp-image

sftp

حساب های FTP برای آپلود فایل ها روی وب سرور سایت با استفاده از یک سرویس گیرنده FTP استفاده می شود. بیشتر ارائه دهندگان میزبانی وب از اتصالات FTP با استفاده از پروتکل های مختلف پشتیبانی می کنند.برای این منظور شما می توانید با استفاده از FTP، SFTP یا SSH ساده ، به سایت خود متصل شوید.

هنگامی که شما با استفاده از FTP ساده به سایت خود متصل می شوید، رمز عبور شما به سرور رمزگذاری نشده ارسال می شود. که به راحتی می توان آن را به سرقت برد.پس به جای استفاده از FTP، همیشه باید از SFTP یا SSH استفاده کنید.

نیازی نیست که FTP خود را تغییر دهید.شما فقط باید پروتکل خود را هنگام اتصال به وب سایت به SFTP-SSH تغییر دهید.

۸. استفاده از Admin به عنوان نام کاربری وردپرس

هرگز استفاده از ‘admin’ به عنوان نام کاربری وردپرس توصیه نمی شود. اگر نام کاربری مدیریت وردپرس تان admin است، پس باید آن را به یک نام کاربری دیگر تغییر دهید.

۹-قالب ها و افزونه های نال شده

malwarealert-image

malware-alert

وب سایت های بسیاری در اینترنت هستند که قالب ها و افزونه های پولی وردپرس را به صورت رایگان به اشتراک می گذارند. گاهی اوقات برای استفاده از این پلاگین ها و تم ها بصورت ناخواسته وسوسه می شوید.

دیگران خوانده اند  تفاوت برگه ها و نوشته ها در وردپرس

دانلود تم و پلاگین وردپرس از منابع غیر قابل اعتماد بسیار خطرناک است.آن ها نه تنها می توانند امنیت وب سایت شما را تحت تاثیر قرار دهند، بلکه می توانند برای سرقت اطلاعات حساس نیز مورد استفاده قرار گیرند.

شما همیشه باید پلاگین ها و تم های وردپرس را از منابع قابل اعتماد مانند وب سایت توسعه دهندگان پلاگین / تم ها یا مخزن رسمی وردپرس دانلود کنید.

اگر شما نمی توانید یک پلاگین یا قالب پولی خرید کنید، همیشه جایگزین های رایگان برای این محصولات وجود دارد.اگرچه این پلاگین های رایگان ممکن است به خوبی نسخه های پولی شان نباشد، اما کارتان را انجام می دهند و از همه مهم تر اینکه وب سایت شما را ایمن نگه می دارند.

۱۰. عدم پیکربندی فایل wp-config.php

فایل wp-config.php دارای اعتبار برای ورود به پایگاه داده وردپرس شماست. اگر این فایل به خطر بیفتد، اطلاعاتی به هکر می دهد که می تواند دسترسی کامل به سایت تان داشته باشد.
شما می توانید یک لایه امنیتی ثانویه را با استفاده از فایل htaccess.  برای منع دسترسی به فایل wp-config در نظر بگیرید.برای این منظور این کد کوچک را به آسانی به فایل htaccess. خود در هاست تان اضافه کنید:

<files wp-config.php>

order allow,deny

deny from all

<files/>

۱۱. تغییر ندادن پیشوند پیش فرض جدول وردپرس

بسیاری از کارشناسان توصیه می کنند که پیشوند جدول پیش فرض وردپرس را تغییر دهید. به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای جداول ایجاد شده در پایگاه داده استفاده می کند. در حین عملیات نصب وردپرس قسمتی برای تغییر این مورد در نظر گرفته شده است.

توصیه می شود از یک پیشوند پیچیده تر استفاده کنید.این باعث می شود که هکرها به سختی بتوانند نام جداول پایگاه داده تان را حدس بزنند.

 

بسیار خوب به پایان یکی دیگر از مقالات بسیار کاربردی در زمینه امنیت وردپرس رسیدیم و دیدیم که امن کردن وب سایت وردپرسی چندان هم کار سختی نیست فقط کافیست تا موارد فوق را رعایت کنیم.

امیدوارم شما همراهان عزیز سعاد از این مقاله هم استفاده کافی را برده باشید و بتوانید از آن در جهت بهبود امنیت وب سایت تان بهره ببرید.اگر سوال و یا نظری و یا حتی راهکار دیگری در مورد بهبود امنیت دارید می توانید در زیر همین پست با ما به اشتراک بگذارید.

منبع