وردپرس (WordPress) یکی از محبوبترین سیستمهای مدیریت محتوا (CMS) متن باز (Open Source) و آزاد است که بر اساس آمار ارائه شده بوسیله سایت wordpress.org بیش از ۱۴.۷ درصد از وبسایتها در اینترنت از وردپرس استفاده میکنند. محبوبیت و استفاده گسترده از وردپرس این CMS را به هدف اصلی هکرها تبدیل کرده است.
چکونه هک را تشخیص دهیم؟
هکر وبسایت را با اهداف زیر هک میکند:
- ارسال ایمیل اسپم
- اجرای کد مخرب
- دسترسی به سایر وبسایتهای موجود در سرور اشتراکی
- وارد کردن لینک مخفی به سایت هکر با هدف افزایش رنگ گوگل
- منتقل کردن کاربر به سایت هکر با هدف افزایش بازدید سایت هدف و یا حتی حمله DDOS به یک سایت خاص
- وارد کردن BACKDOOR برای دسترسی مجدد به سایت در آینده
با مشاهده هر کدام از رفتارهای فوق، وبسایت خود را بررسی کنید.
با کمک روشهای زیر میتوانید سایت وردپرس خود را امن کنید:
رمزعبور پیچیده استفاده کنید: اولین و مهمترین شرط افزایش امنیت استفاده از کلمات عبور پیچیده است. نباید از شماره تلفن، شماره شناسنامه، تاریخ تولد و … برای پسورد استفاده کنید.
در گوگل به دنبال افزونه و قالب نگردید: یکی از مرسومترین روشهای هک وردپرس از طریق نصب قالب و افزونه آلوده است. تنها قالب و افزونههای معرفی شده در سایت رسمی وردپرس را نصب کنید.
ورود امن: هنگامی که در صفحه ورود وردپرس نام کاربری و کلمه عبور خود را وارد میکنید اطلاعات شما به صورت غیر رمز شده در شبکه منتقل میشود، در نتیجه اطلاعات شما بوسیله کاربران شبکه محلی (lan)، شبکه بیسیم (wireless)، و همه افراد و گرههایی که بین شما و سرور قرار دارند قابل شنود است.
راه حل استفاده از پروتکل https و یا استفاده از افزونه Chap Secure Login است.
پشتیبان پشتیبان پشتیبان: به صورت دورهای از اطلاعات خود پشتیبان تهیه کنید. با استفاده از افزونه backup میتوانید به صورت خودکار از اطلاعات خود در google drive پشتیبانی بگیرید.
وردپرس را به روزرسانی کنید: وردپرس یک CMS آزاد و متنباز است. آزاد بودن کد برنامه به این معنی است که کد برنامه در دسترسی همه قرار دارد در نتیجه مشکلات امنیتی سریعتر شناخته و رفع میشود اما از طرفی هکرها به راحتی میتوانند با مقایسه کدهای وردپرس مشکلات امنیتی را پیدا کنند. با انتشار نسخه جدیدی از CMS باید در سریعترین زمان ممکن به روزرسانی کرد.
با حمله brute force مقابله کنید: در brute force و یا حمله جستجوی فراگیر هکر، کلمات عبور متفاوت را برای ورود به سایت تست میکند با این امید که بتوانید کلمه عبور مناسب را پیدا کند. متاسفانه وردپرس به صورت پیشفرض قادر به مقابله با حملات brute force نیست. ولی با استفاده از افزونههایی مانند Login LockDown و یا User Locker و Limit Login Attempts میتوان با این نوع حملات مقابله کرد.
صفحه ورود به وردپرس را مخفی کنید: با استفاده از افزونه hide login میتوانید صفحه ورود به وردپرس را مخفی کنید. در نتیجه هکر نمیتواند از حملات brute force و یا با استفاده از پسورد ضعیف به سایت وارد شود.
اطلاعات نسخه وردپرس را از قالب سایت حذف کنید: وردپرس نسخه وردپرس را در خروجی سایت شما و در قسمت هدر سایت نمایش میدهد، همچنین ممکن است قالب سایت شما اطلاعاتی مانند نسخه وردپرس و یا نام و نسخه تم را در هدر سایت نمایش دهد. هکرها با استفاده از ROBOTها در سایتها به دنبال چنین اطلاعاتی میگردند تا سایتهای قربانی را پیدا کنند. جهت جلوگیری از عدم نمایش نسخه وردپرس میتوانید عملیات زیر را انجام دهید:
- توضیحات مربوط به قالب (مانند مثال زیر) را از فایلهای CSS آن حذف کنید. درنظر داشته باشید با حذف این توضیحات ممکن است شما اطلاعات بروزرسانی قالب را دریافت نکرده و یا با یروزرسانی قالب کلیه تغییرات اعمال شده در قالب توسط شما از بین برود.
- ۰ ۰
- ۰ نظر
