امنیت وردپرس + مقدمه و معرفی خطرات احتمالی
WORDPRESS SECURITY + INTRODUCTION OF POSSIBLE RISKS
امنیت وردپرس : در دنیای وردپرس روشهای زیادی وجود دارد که از طریق آنها بتوانید امنیت وبلاگ و سایت تجارت الکترونیک خود را در برابر هکرها و آسیب های دیگر حفظ کنید. مسلما هدف این است که شما بتوانید هر روز صبح، سایت خود را سالم ببینید.
برای همین در ادامه نکته ها، ترفندها و تکنیکهایی را برای بهبود امنیت وردپرس به شما ارائه می دهیم.
آیا وردپرس امنیت دارد؟
اولین پرسشی که ممکن است شما با آن روبرو شوید این است که : “آیا وردپرس امنیت کافی را دارد؟”
پاسخ برای اغلب موارد مثبت است. با این حال، معمولا وردپرس را به خاطر آسیبپذیری امنیتی و این که اصالتا یک پلت فرم امن برای استفاده در کسب و کار نیست مورد انتقاد قرار میدهند. ولی اغلب این موارد به دلیل این واقعیت است که کاربران معمولا بدترین شیوههای امنیتی اثبات شده را به کار میبرند.
استفاده از نسخههای قدیمی وردپرس، افزونه های نا معتبر، مدیریت ضعیف و نداشتن دانش کافی درمورد وب و امنیت در میان کاربران کم تجربه باعث شده تا هکرها برنده این بازی سایبری شوند.
حتی صاحبان حرفهای کسب و کار نیز همیشه از بهترین شیوهها استفاده نمیکنند، مثلا خبرگزاری رویترز جزء سایتهایی است که به خاطر استفاده از نسخه قدیمی وردپرس مورد حمله هکرها قرار گرفت.
امنیت اساسا به معنی داشتن یک سیستم کاملا امن نیست. امنیت به معنی کاهش خطر است نه حذف خطر و در واقع به این معناست که تمام اقدامات کنترلی مناسب موجود را به کار بگیرید تا وضعیت کلی وب سایت شما بهبود یافته و همچنین احتمال حملات مختلف نیز کاهش یابد.
بر اساس یک مطالعه فصلی Q3 2017 توسط یک شرکت امنیتی، همچنان ۸۳ درصد از سایتهای آسیب دیده روی وردپرس اجرا میشوند.
آسیب پذیری امنیتی وردپرس
وردپرس بیش از ۳۳ درصد از وب سایتهای موجود در اینترنت را تغذیه میکند و با وجود ارتباط آنها با صدها هزار ترکیب از پوسته ها و افزونه ها، مواجهه مدام با آسیبهای امنیتی چیز عجیبی نیست. در عین حال یک انجمن بزرگ نیز در وردپرس برای جلب اطمینان و رفع هرچه سریعتر این موارد، تشکیل شده است. هم اکنون تیم امنیتی وردپرس متشکل از ۵۰ کارشناس از جمله مدیران ارشد و محققان امنیتی در زمینه امنیت شبکه در حال فعالیت هستند
امنیت وردپرس
در ادامه چند مورد از آسیبهای امنیتی را که وردپرس در معرض آنها قرار دارد را بررسی میکنیم.
آسیب امنیتی Backdoor یا درپشتی
آسیب امنیتی Backdoor یا درپشتی، راههای مخفی را برای هکرها فراهم میکند تا با دور زدن رمزگذاری های امنیتی از روشهای غیر معمول مثل wp-admin، SFTP، FTP و… به وب سایت های وردپرسی دسترسی پیدا کنند.
پس از سوءاستفاده، Backdoor ها هکرها را قادر می سازند تا سرورهای هاست را با آلایندگی بین سایتی (cross-site contamination) تخریب کنند و چند سایت را روی یک هاست به خطر بیندازند. طبق یک مطالعه آماری در ۲۰۱۷، Backdoor ها با حمله به ۷۱ درصد از سایتهای آلوده شده، همچنان یکی از رایجترین اقدامات پس از هک هستند که مهاجمان بسیاری آن را به کار میگیرند.
پراکندگی بدافزارها
Backdoor ها اغلب رمزگذاری می شوند تا مانند فایل های معمولی سیستم وردپرس به نظر برسند و با سوء استفاده از نقاط ضعف و اشکالات نسخه های قدیمی وردپرس راه خود را به سوی پایگاههای داده وب سایت پیدا کنند. تخریب TimThumb یک نمونه اولیه از حملات backdoor بود که از اسکریپت های سایه دار و نرم افزار قدیمی استفاده کرد و میلیون ها وب سایت را از بین برد.
خوشبختانه پیشگیری و رفع این آسیب نسبتا ساده است. شما می توانید سایت وردپرسی خود را با ابزارهایی نظیر SiteCheck که به راحتی می تواند Backdoorهای رایج را شناسایی کند، اسکن کنید.
البته در نسخه ی ۵.۲ وردپرس ابزاری با نام Site Health قرار داده شده است که می تواند اشکالات امنیتی وردپرس را به شما نمایش دهد.
احراز هویت دو مرحلهای، مسدود کردن IP ها، محدود کردن دسترسی مدیریتی و جلوگیری از اجرای غیرمجاز فایل های PHP به راحتی از تهدیدات معمول Backdoor ها جلوگیری می کند، که در ادامه به آنها اشاره خواهیم کرد.
هک داروخانهای Pharma Hack
در Pharma Hack یا هک داروخانهای کدهای مخربی را در نسخه های به روزنشده وب سایت ها و افزونه های وردپرس وارد میکنند. این کار باعث می شود که وقتی یک وب سایت آلوده در حال جستجو شدن است، موتورهای جستجو تبلیغاتی را برای محصولات دارویی نمایش دهند. این آسیب بیشتر یک تهدید هرزنامه ای است تا یک نرم افزار مخرب مرسوم، اما دلیل کافی را به موتورهای جستجو میدهد تا سایت را به اتهام توزیع هرزنامه ها متوقف کنند.
در این لینک راه حلهایی برای پاک کردن قسمتهای متحرک یک pharma hack که شامل بکدورهای افزونه ها و پایگاه داده ها هستند ارائه شده است
به هر حال این کدها اغلب نوعی تزریق مخرب رمزگذاری شده مخفی در پایگاههای داده هستند و برای حل آسیب ناشی از آنها به یک فرآیند پاکسازی کامل نیاز است. با این وجود، شما می توانید به راحتی از آسیب هکهای Pharma با استفاده از ارائه دهندگان هاستینگ وردپرس با سرورهای به روز و به روزرسانی مرتب نرم افزار، تم ها و افزونه ها آسوده شوید.
حمله با بروت فورس Brute-force Login Attempts
لاگین بروت فورس نوعی آسیب امنیتی است که در آن از اسکریپتهای خودکار برای کشف گذرواژههای ضعیف و ورود به سایت قربانی استفاده میشود. احراز هویت دو مرحله ای، محدود کردن تقاضاهای ورود، نظارت بر عدم ورود غیرمجاز، مسدود کردن IP ها و استفاده از کلمات عبور قوی، از جمله ساده ترین و موثر ترین راه ها برای جلوگیری از حملات بروت فورس است.
اما متاسفانه تعدادی از صاحبان وب سایتهای وردپرس موفق به انجام این اقدامات امنیتی نمی شوند، در حالی که هکرها به راحتی می توانند در یک روز با استفاده از حملات بروت فورس، تا ۳۰،۰۰۰ وب سایت را به خطر بیندازند.
ریدایرکت وردپرس Malicious Redirect
هکرها با استفاده از Malicious Redirects یا تغییر مسیرهای مخرب بکدورهایی را از طریق FTP، SFTP، wp-admin و دیگر پروتکلها در نرم افزارهای نصبی وردپرس میسازند و از این طریق کدهای تغییر مسیر را در وب سایتها وارد میکنند.
تغییر مسیرها اغلب در فایل htaccess. و دیگر فایلهای اصلی وردپرس به فرم کدشده قرار می گیرند و ترافیک وب را به سایت های مخرب هدایت می کنند.
همچنین این ریدایرکت ها گاهی اوقات با تغییر آدرس های نشانی وردپرس (Site URL) و صفحه اصلی (Home Url) اقدام به هدایت صفحاتی می کنند که در آنها تروجان هایی برای استخراج بیت کوین استفاده شده اند و در لحظه بار بسیار زیادی را به سخت افزار وارد می کنند.
اسکریپت های Cross-Site (XSS)
اسکریپت Cross-Site (XSS) زمانی اتفاق میافتد که یک اسکریپت مخرب به یک وب سایت یا برنامه معتبر تزریق می شود. مهاجمان از این طریق کدهای مخرب را که معمولا اسکریپت های سمت مرورگرهستند به کاربران مقصد بدون آنکه متوجه شوند، ارسال میکنند. هدف این کار معمولا ربودن کوکیها یا داده های جلسه یا حتی بازنویسی HTML در یک صفحه است.
طبق گزارش سایت Word fence آسیب اسکریپت Cross-Site به طور فاحشی شایعترین آسیب در افزونه های وردپرس است.
عدم پذیرش سرویس یا Denial of Service
این آسیب که شاید خطرناکترین باشد، از خطاها و باگ کدها استفاده میکند تا حافظه سیستم عاملهای وب سایت را مختل کند. هکرها از طریق استفاده از نسخه های قدیمی و باگ دار وردپرس با حملات DoS میلیون ها وب سایت را در معرض خطر قرار داده اند و میلیون ها دلار به جیب زدهاند.
گرچه مهاجمان سایبری به لحاظ مالی انگیزه کمتری برای حمله به شرکت های کوچک دارند، ولی معمولا تمایل دارند وب سایت های آسیب پذیر دارای نسخههای قدیمی را، برای ایجاد زنجیره های بوت نت (botnet) برای حمله به کسب و کارهای بزرگ به کار بگیرند.
حتی آخرین نسخه وردپرس هم نمی تواند به طور کامل در برابر حملات DoS مقاومت کند، اما حداقل به شما کمک می کند تا از بسیاری از مشکلاتی که کاربران دیگر با آن رو به رو می شوند خلاص شوید.
همیشه ۲۱ اکتبر ۲۰۱۶ را فراموش نکنید! روزی که اینترنت به علت حمله DNS DDoS خاموش شد.
درپایان نباید فراموش کرد که یکی دیگر از مهمترین فاکتورهای تامین کننده امنیت یک سایت، سرور میزبان آن است.بنابراین در زمان خرید هاست باید نکات امنیتی را در نظر داشته باشیم.
ویژگی های امنیتی سرویس های ارائه شده در نت افراز :
- اسکن فایل های آپلودی
- بررسی ورودهای مشکوک
- شناسایی پسوردهای ضعیف
- پیگیری فعالیت های مشکوک در سرورها
- شناسایی و مقابله با حملات مختلف بر روی سایت
- ارائه خدمات آنتی دیداس سخت افزاری و نرم افزاری
- به روزرسانی رولهای امنیتی سرور با شناسایی موارد امنیتی جدید
- اسکن دوره ای فایل های سایت برای شناسایی کدهای بکدور یا اینجکت شده
- جلوگیری از ورود به برنامه از طریق آیپی های کشورهایی که بیشترین تعداد هکر را دارد
https://www.netafraz.com/blog/wordpress-security-possible-dangers/