در ابتدا وردپرس به عنوان یک بستر وبلاگ نویسی راه اندازی شد که بعداً برای فروشگاه های تجارت الکترونیکی ، وبلاگ ها ، اخبار و برنامه های سطح سازمانی به یک راه حل کامل وب تبدیل شد. این تحول وردپرس تغییرات اساسی در هسته آن ایجاد کرده و آن را از نسخه های قبلی خود پایدارتر و ایمن تر کرده است.


زیرا وردپرس یک بستر منبع باز است و به این معنی است که هر کس می تواند در عملکردهای اصلی خود نقش داشته باشد. این انعطاف پذیری هم از برنامه نویسان که مضامین و افزونه ها را ایجاد کرده اند و هم کاربر نهایی که از آنها استفاده می کند برای اضافه کردن کارایی به سایت های وردپرس خود سود می برد..

رایج ترین آسیب پذیری های WordPress (و چگونه آنها را برطرف کنیم)

با این وجود ، این صراحت سؤالات جدی را در مورد امنیت سكو ایجاد می كند كه نمی توان نادیده گرفت. این یک نقص در سیستم نیست بلکه ساختاری است که بر روی آن ساخته شده است و با توجه به اهمیت آن ، تیم امنیتی وردپرس روز و شب کار می کند تا این سیستم عامل را برای کاربران نهایی خود ایمن نگه دارد..

با بیان اینکه ما به عنوان کاربر نهایی نمی توانیم به سادگی به مکانیسم امنیتی پیش فرض آن اعتماد کنیم زیرا با نصب افزونه ها و مضامین مختلف در سایت وردپرس خود تغییرات زیادی ایجاد می کنیم که می تواند برای بهره برداری توسط هکرها ایجاد نقاط ضعف شود..

در این مقاله به بررسی موارد مختلف خواهیم پرداخت آسیب پذیری های امنیتی وردپرس و یاد می گیرند که چگونه از امنیت خودداری کنید و از آنها جلوگیری کنید!

آسیب پذیری های WordPress & مسائل امنیتی

ما هر مسئله و راه حل آن را یکی یکی مشاهده خواهیم کرد.

  1. Brute Force Attack
  2. تزریق SQL
  3. بد افزار
  4. برنامه نویسی متقاطع
  5. حمله DDoS
  6. نسخه های قدیمی وردپرس و PHP

1. Brute Force Attack

در اصطلاح لایمان, Brute Force Attack شامل چندین روش تلاش و خطا با استفاده از صدها ترکیب برای حدس زدن نام کاربری یا رمز عبور مناسب است. این کار با استفاده از الگوریتم ها و لغت نامه های قدرتمند انجام می شود که رمزعبور را با استفاده از نوعی متن رمز حدس می زنند.

اجرای این نوع حمله دشوار است اما هنوز هم یکی از حملات محبوب در سایت های وردپرس است. به طور پیش فرض ، وردپرس کاربر را از تلاش های چندین بار ناکامی ممانعت نمی کند که به یک انسان یا ربات اجازه می دهد هزاران ترکیب در ثانیه را امتحان کند.

نحوه جلوگیری و رفع حملات Brute Force

اجتناب از Brute Force بسیار ساده است. تنها کاری که باید انجام دهید ایجاد رمزعبور قوی است که شامل حروف بزرگ (حروف بزرگ) ، حروف کوچک (حروف کوچک) ، اعداد و شخصیت های خاص است زیرا هر شخصیت دارای مقادیر مختلف ASCII است و حدس زدن رمز عبور طولانی و پیچیده دشوار خواهد بود. از استفاده از رمزعبور مانند johnny123 یا whatsmypassword خودداری کنید.

همچنین ، تأیید هویت Two Factor را برای تأیید اعتبار کاربرانی که دو بار به سایت شما وارد می شوند ، ادغام کنید. Two Factor Authentication یک افزونه عالی برای استفاده است.

2. تزریق SQL

یکی از قدیمی ترین هک های کتاب هک وب است تزریق نمایش داده شدگان SQL برای ایجاد یا نابودی کامل پایگاه داده با استفاده از هر فرم وب یا فیلد ورودی.

با هجوم موفقیت آمیز ، یک هکر می تواند پایگاه داده MySQL را دستکاری کند و احتمالاً دسترسی به مدیر وردپرس شما را به دست آورد یا اعتبار خود را برای آسیب بیشتر تغییر دهد. این حمله معمولاً توسط هکرهای آماتور تا متوسط ​​انجام می شود که بیشتر قابلیت های هک شدن آنها را آزمایش می کنند.

نحوه جلوگیری و رفع SQL Injection

با استفاده از یک افزونه می توانید تشخیص دهید که آیا سایت شما قربانی SQL Injection شده است یا نه. برای بررسی این مسئله می توانید از WPScan یا Sucuri SiteCheck استفاده کنید.

همچنین ، WordPress خود و همچنین هر موضوع یا افزونه ای را که فکر می کنید می تواند باعث بروز مشکلات شود ، به روز کنید. اسناد آنها را بررسی کنید و برای گزارش چنین مواردی به انجمن های پشتیبانی آنها مراجعه کنید تا آنها بتوانند یک پچ را توسعه دهند.

3. بدافزار

کد مخرب از طریق یک موضوع آلوده ، افزونه قدیمی یا اسکریپت به وردپرس تزریق می شود. این کد می تواند داده هایی را از سایت شما استخراج کند و همچنین محتوای مخرب را که به دلیل ماهیت گسسته بودن آن ممکن است مورد توجه قرار نگیرند ، وارد کنید.

اگر به موقع مورد رسیدگی قرار نگیرید ، بدافزارها می توانند خسارات خفیف و جدی ایجاد کنند. بعضی اوقات باید کل سایت وردپرس مجدداً نصب شود زیرا این امر بر هسته تأثیر گذاشته است. این امر همچنین می تواند هزینه زیادی را به هزینه میزبانی شما اضافه کند زیرا حجم زیادی از داده ها با استفاده از سایت شما منتقل می شوند.

نحوه جلوگیری و رفع بدافزار

معمولاً این بدافزار از طریق افزونه های آلوده و مضامین تهی دست به کار می شود. توصیه می شود تم ها فقط از منابع قابل اعتماد و عاری از محتوای مخرب بارگیری شود.

از افزونه های امنیتی مانند Succuri یا WordFence می توان برای اجرای اسکن کامل و رفع بدافزار استفاده کرد. در بدترین حالت ، با کارشناس وردپرس مشورت کنید.

4- برنامه نویسی متقاطع

یکی از شایع ترین حملات است برنامه نویسی Cross-Site همچنین با عنوان حمله XSS شناخته می شود. در این نوع حمله ، مهاجم کد JavaScript مخرب بارگیری می کند که هنگام بارگیری در سمت مشتری شروع به جمع آوری داده ها و احتمالاً هدایت مجدد آن به سایت های مخرب دیگر می کند که روی تجربه کاربر تأثیر می گذارند..

نحوه جلوگیری و رفع برنامه نویسی Cross-Site

برای جلوگیری از این نوع حمله از اعتبارسنجی مناسب داده ها در سایت وردپرس استفاده می کند. برای اطمینان از درج درستی از داده ها ، از ضد عفونی کردن خروجی استفاده کنید. پلاگین هایی مانند جلوگیری از آسیب پذیری جلوگیری از XSS نیز می تواند مورد استفاده قرار گیرد.

5. DDoS Attack

هرکسی که وب را مرور کرده یا یک وب سایت را مدیریت کرده باشد ، ممکن است با حمله بدنام DDoS روبرو شود. انکار خدمات توزیع شده (DDoS) نسخه پیشرفته Denial of Service (DoS) است که در آن حجم زیادی از درخواست ها به یک وب سرور انجام می شود که باعث کندی و در نهایت خرابی می شود..

DDoS با استفاده از منبع منفرد اجرا می شود در حالی که DDoS یک حمله سازمان یافته است که از طریق چندین ماشین در سراسر جهان انجام می شود. هر ساله میلیون ها دلار به دلیل این حمله امنیتی بدنام وب هدر می رود.

نحوه جلوگیری و رفع حملات DDoS

جلوگیری از استفاده از تکنیک های معمولی ، حملات DDoS دشوار است. میزبان وب نقش مهمی در محافظت از سایت وردپرس شما از چنین حملات ایفا می کنند. به عنوان مثال ، ارائه دهنده میزبانی ابر Cloudways با مدیریت امنیت سرور و پرچم هر مشکوکی را قبل از اینکه صدمه ای به وب سایت مشتری وارد کند.

وردپرس منسوخ شده است & نسخه های PHP

نسخه های قدیمی وردپرس بیشتر مستعد ابتلا به یک تهدید امنیتی هستند. با گذشت زمان هکرها راه خود را برای بهره‌برداری از هسته آن و درنهایت اجرای حمله به سایتهایی که هنوز هم با استفاده از نسخه های منسوخ شده هستند انجام می دهند.

به همین دلیل ، تیم وردپرس تکه های و نسخه های جدیدتری را با مکانیزم های امنیتی به روز شده منتشر می کند. در حال دویدن نسخه های قدیمی تر PHP می تواند باعث ناسازگاری شود. همانطور که وردپرس با PHP اجرا می شود ، برای عملکرد صحیح به یک نسخه به روز نیاز دارد.

طبق آمار رسمی وردپرس ، 42.6٪ از کاربران هنوز از نسخه های قدیمی تر وردپرس استفاده می کنند.

آمار نسخه وردپرس

در حالی که تنها 2.3٪ سایت های وردپرس با آخرین نسخه 7.2 PHP در حال اجرا هستند.

آمار نسخه php

نحوه جلوگیری و رفع وردپرس منسوخ & نسخه های PHP

این یکی آسان است. همیشه باید نصب وردپرس خود را به جدیدترین نسخه به روز کنید. اطمینان حاصل کنید که همیشه از آخرین نسخه استفاده می کنید (به یاد داشته باشید که همیشه قبل از بروزرسانی نسخه پشتیبان تهیه کنید). در مورد به روزرسانی PHP ، پس از آزمایش سایت وردپرس خود برای سازگاری ، می توانید نسخه PHP را تغییر دهید.

افکار نهایی!

ما خود را با آسیب پذیری های مختلف WordPress و راه حل های احتمالی آنها آشنا کردیم. شایان ذکر است که بروزرسانی در حفظ امنیت وردپرس نقش اساسی دارد. و وقتی متوجه فعالیت غیرمعمول شدید ، انگشتان دست خود را بکشید و شروع به حفاری کنید تا این مشکل را پیدا کنید زیرا این خطرات امنیتی می توانند باعث خسارت در هزار $ $ شوند.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me