اشتباه امنیتی

۱۰ اشتباه امنیتی رایج در وردپرس و روش اجتناب از آنها

در وردپرس اشتباهات امنیتی زیادی وجود دارند که به دلیل عدم اطلاع کافی مدیران سایت رخ می دهند و امنیت سایت را به خطر میاندازد.

در حالت کلی وردپرس خود یک پلتفرم ایمن است، اما لازم است مدیران سایت ها از اشتباهات امنیتی که ممکن است در وردپرس  اتفاق بیفتد، با کمی تلاش و دقت جلوگیری کنند.

در این مقاله به بررسی رایج ترین اشتباهات امنیتی وردپرس خواهیم پرداخت که به دلیل عدم اطلاع کافی مدیران سایت منجر به بروز آن می شود. همچنین راهکارهای جلوگیری از آنها و در نتیجه بالا بردن امنیت سایت وردپرسی را ارائه خواهیم داد.

 

فهرست محتوای این مقاله

 

 

اشتباه امنیتی ۱ – انتخاب هاست نامناسب

 

امکانات و قابلیت های همه میزبان های وب یکسان نیستند و انتخاب هاست بی کیفیت و ارزان قیمت، می تواند در طولانی مدت با مشکلات امنیتی که برای شما به وجود خواهد آورد، بسیار هزینه بر نیز گردد.

اکثر محیط های هاست های اشتراکی امن هستند اما برخی از آنها حساب های کاربری را به درستی جدا نمی کنند. اگر حساب های کاربری به درستی از هم جدا نشوند، یک اکانت هک شده به راحتی می تواند امنیت سایر وب سایت های موجود در آن سرور اشتراکی را به خطر بیندازد.

لذا هاستی که انتخاب می کنید باید نسبت به اقدامات مهم امنیتی مرتبط با سرور و فایل ها، کیفیت و امکانات لازم را داشته باشد.

بنابراین دقت داشته باشید برای وب سایت خود یک هاست معتبر که دارای سوابق امنیتی خوب است، انتخاب کنید.

 

اشتباه امنیتی ۲- نداشتن برنامه پشتیبان گیری از وب سایت وردپرسی

 

ممکن است فکر کنید تهیه نسخه پشتیبان از سایت و امنیت ارتباطی با هم ندارند. اما باید به این نکته توجه کنید که داشتن نسخه پشتیبان از وب سایت، پس از حمله باج افزارها و هکرها بسیار کارامد خواهد بود و به سرعت و راحتی می توانید سایت خود را مجددا برگردانید.

حمله باج افزار زمانی است که یک هکر فایل های وب سایت شما را رمزگذاری می کند و باعث می شود آن فایل ها و وب سایت شما از دسترس خارج شود. برای دسترسی مجدد به وب سایت خود، جهت رمزگشایی فایل ها به یک کلید نیاز دارید. که هکرها با دریافت هزینه بسیار سنگین به شما پیشنهاد ارائه کلید را خواهند داد.

در این شرایط با داشتن نسخه پشتیبان از وب سایت خود، به راحتی می توانید آن را به حالت قبل از آنکه فایل های شما آلوده به باج افزار شوند، برگردانید. و به همین سادگی بدون نیاز به پرداخت هزینه خواسته شده از سمت هکر، به وب سایت خود دسترسی پیدا کنید.

چگونه از نداشتن نسخه پشتیبان وب سایت خودداری کنیم؟

برای پشتیبان گری منظم از وب سایت خود برنامه ای ایجاد کنید. برای این منظور می توانید از افزونه هایی که به صورت زمانبندی شده از وب سایت نسخه پشتیبان تهیه می کنند استفاده کنید.به عنوان مثال افزونه BackupBuddy، افزونه پیشنهادی ما برای تهیه نسخه پشتیبان از وردپرس است.

اشتباه امنیتی- امنیت سایت

 

اشتباه امنیتی ۳- عدم امنیت در صفحه ورود وردپرس

 

بخش لاگین یا همان ورود به وردپرس یک از اهداف اصلی مهاجمین و آسیب پذیرترین قسمت سایت های وردپرسی محسوب می شود.

به طور پیش فرض ، قابلیتی در وردپرس برای محدود کردن تعداد تلاشهای ناموفق برای ورود به سیستم وجود ندارد. لذا مهاجمین با وارد کردن بی نهایت نام کاربری و رمزعبور آنقدر تلاش می کنند تا زمانیکه موفق به ورود به سایت و انجام کارهای خرابکارانه خود شوند.

فرم ورود وردپرس مانند درب ورودی خانه شما ست. بدون داشتن قفل، هر کسی به راحتی می تواند وارد خانه شما شود و شروع به جابه جایی وسائل، خرابکاری و حتی سرقت اموال شما کند.برای جلوگیری از این امر، فقط کافی است قفلی به درب ورودی خود اضافه کنید تا ورود به خانه شما برای یک سارق احتمالی دشوارتر شود.

چگونه از ورود ناامن جلوگیری کنیم

با استفاده از یک افزونه امنیتی برای محدود کردن تعداد تلاش های ورود نامعتبر می توانید این کار را انجام دهید.

قابلیت امنیت شبکه Brute Force افزونه iThemes Security Pro، تلاش های ورود نامعتبر که توسط یک هاست یا آدرس آی پی و یک نام کاربری انجام شده است را ردیابی و مسدود می کند. به عبارتی هنگامی که یک IP یا نام کاربری تلاشهای نامعتبر پی در پی زیادی انجام داد، قفل شده و از انجام هرگونه تلاش دیگر جلوگیری می شود.  

اشتباه امنیتی ۴ – عدم محافظت در برابر حملات خودکار ربات ها

 

ربات نرم افزاری است که برای انجام لیست خاصی از وظایف برنامه ریزی شده است.

توسعه دهندگان مجموعه ای از دستورالعمل ها را ایجاد می کنند که ربات به طور خودکار از آنها پیروی و آنها را اجرا می کند. ربات ها کارهای تکراری و پیش پا افتاده را سریعتر از آنچه ما می توانیم انجام می دهند.

برخی از این ربات ها با انگیزه های شیطانی و خرابکارانه برنامه نویسی شده اند مانند:

ربات های Brute Force: که اینترنت را جستجو می کنند و به دنبال فرم های ورود وردپرس برای حمله هستند.

ربات های Content Scraping  : برای دانلود محتوا و مطالب وب سایت بدون داشتن اجازه مالک آن سایت، برنامه ریزی شده اند. این ربات می تواند برای بهبود سئو و سرقت ترافیک و بازدید کننده های سایت، محتوای سایت شما را برای استفاده در وب سایت مهاجم کپی کند.

ربات Spambots : ثبت هرزنامه یا نظرات اسپم در بخش دیدگاه های سایت.

چگونه از حملات خودکار ربات جلوگیری کنیم

با استفاده از محافظت خودکار در برابر ربات ها مانند قابلیت Google reCAPTCHA در وب سایت خود از این اشتباه امنیتی در وردپرس جلوگیری کنید.

ویژگی Google reCAPTCHA در افزونه امنیتی iThemes Security Pro از سایت شما در برابر ربات های بد محافظت می کند.  reCAPTCHA از روشهای پیشرفته تجزیه و تحلیل خطر برای تشخیص انسان و رباتها استفاده می کند و مانع از ورود آنها به سایت می شود.

recaptcha

 

اشتباه امنیتی ۵ – استفاده از نسخه های آسیب پذیر افزونه ها ، قالب ها یا هسته وردپرس

 

استفاده از افزونه ها یا قالب های آسیب پذیر وردپرس بزرگترین اشتباه امنیتی هستند که می توانید مرتکب شوید.

به روزرسانی نرم افزار بخشی اساسی در هر استراتژی امنیتی است، که شامل هسته وردپرس، قالب ها و افزونه های آن می شود.

ارائه نسخه به روز رسانی، صرفا برای رفع اشکالات موجود و یا افزودن ویژگی های جدید نیست. به روز رسانی می تواند شامل رفع حفره های امنیتی شناخته شده باشد. که بدون انجام آن به راحتی، وب سایت، سرور و رایانه خود را در معرض حمله قرار خواهید داد.

هکرها حفره های امنیتی و  نقاط ضعف از پیش شناسایی شده را هدف قرار می دهند، که این موارد در نسخه های قدیمی افزونه ها و قالب ها وجود دارد و با عدم به روز رسانی راه برای نفوذ هکرها باز می شود.

معمولا آسیب پذیری های شناخته شده توسط هر نرم افزار به صورت عمومی اعلام می شود. پس از آن (آشکار شدن آسیب پذیری به صورت عمومی ) ، آن آسیب پذیری به عنوان یک حفره امنیتی و راه نفوذ نسخه های منسوخ شده تبدیل می شود. لذا نرم افزار با آسیب پذیری های شناخته شده یک هدف آسان برای هکرها است. از آنجایی که هکرها اهداف آسان را دوست دارند، داشتن یک نرم افزار به روز رسانی نشده با آسیب پذیری های شناخته شده مانند دادن دستورالعمل های گام به گام به هکر برای ورود به وب سایت وردپرس تان است.

داشتن یک افزونه یا قالب با آسیب پذیری که برای آن به روز رسانی در دسترس است اما از آن استفاده نشده، اشتباه اصلی صاحبان وب سایت های هک شده است.

چگونه از استفاده از افزونه ها و قالب های آسیب پذیر خودداری کنیم

برای جلوگیری از این اشتباه امنیتی در وردپرس، همواره تمام افزونه ها و قالب ها و هسته وردپرس خود را به روز نگه دارید.

 

اشتباه امنیتی ۶ – ضعف امنیتی کاربران سایت

 

ضعف امنیت کاربر یک اشتباه بزرگ امنیتی در وردپرس است. به عبارت ساده تر: یک کاربر مدیر با رمز عبور ضعیف می تواند تمام اقدامات امنیتی دیگری که در وب سایت خود اعمال کرده اید، تضعیف کند. لذا امنیت کاربر بخش اساسی در هر استراتژی امنیتی است.

داده های در معرض خطر، لیستی از نام های کاربری، رمزهای عبور و داده های شخصی دیگری است که پس از به خطر افتادن سایتی در معرض دید قرار می گیرند.

امتناع از اجازه دادن به کاربران وب سایت در استفاده از رمزهای عبوری در معرض خطر، می تواند امنیت سایت شما را به شدت افزایش دهد.

اما چنانچه کاربران سایت شما از رمزهای ضعیف و رایج مثلا ۱۲۳۴۵۶ استفاده کنند و یا از رمزهای تکراری که پیدا کردن آن توسط الگوریتم های نوشته شده توسط هکرها کاری بسیار آسان است، به راحتی امنیت سایت در معرض خطر قرار خواهد گرفت.

طبق یک گزارش تحقیقاتی، با وجود اینکه ۹۱٪ از مردم می دانند استفاده مجدد از رمزهای عبور عملی نادرست است، اما ۵۹٪ آنها هنوز از رمزعبور خود در همه جا استفاده می کنند!

بسیاری از این افراد هنوز از رمزهای عبوری استفاده می کنند که می دانند آن رمزها در پایگاه داده ای که در اختیار هکرها است، وجود دارند.

هکرها از نوعی از حملات بروت فورس که حمله فرهنگ لغت (dictionary attack) نامیده می شود، استفاده می کنند.

dictionary attack روشی برای نفوذ به یک سایت وردپرسی با رمزهای عبور متداول است که در پایگاه داده های هک شده وجود دارد و شامل ترکیب منحصر به فردی از آدرس ایمیل و رمزهای عبور است که از طریق آن رمز های مختلف را بر روی سایت های وردپرسی امتحان می کنند تا در نهایت توسط یک رمز ضعیفی که توسط یکی از کاربران سایت انتخاب شده، راه نفوذی پیدا کنند.

چگونه از ضعف امنیتی کاربر جلوگیری کنیم

بهترین راه برای جلوگیری از اشتباه امنیتی وردپرس در مورد ضعف امنیت کاربر ، اجبار کاربران به استفاده از رمزعبور قوی و استفاده از احراز هویت دو عاملی است.

ویژگی الزامات رمز عبور در افزونه امنیتی iThemes Security Pro، این امکان را می دهد تا اعضای گروه های کاربری مختلف را مجبور به استفاده از رمز های عبور قوی کنید، برای رمز عبور تاریخ انقضا در نظر بگیرید، از استفاده از رمز های عبور فاش شده و در معرض خطر جلوگیری کنید، و یا  تمام کاربران را مجبور سازید در ورود بعدی خود به سایت، رمز عبور خود را تغییر دهند تا همه افراد سیاست امنیتی جدید شما که استفاده از رمز عبور قوی است را رعایت کنند.

احراز هویت دو عاملی فرآیندی برای تأیید هویت فرد با استفاده از دو روش تأیید جداگانه است. گوگل در این مقاله توضیح داده که استفاده از احراز هویت دو عاملی می تواند ۱۰۰٪ حملات خودکار ربات را متوقف کند.

ویژگی احراز هویت دو عاملی افزونه امنیتی iThemes Security Pro، به سادگی این قابلیت را به وب سایت شما اضافه می کند. شما می توانید احراز هویت دو عاملی را برای همه یا برخی از کاربران خود فعال کنید ، همچنین می توانید کاربران سطح بالا خود (مثلا مدیران وب سایت) را مجبور به استفاده از دو عاملی در هر ورود کنید.  

 

اشتباه امنیتی ۷ – عدم استفاده از ssl

 

رمزگذاری نکردن ارتباطات در وب سایت، یکی دیگر از اشتباهات جدی امنیتی در وردپرس است.

ssl مخفف Secure Socket Layer به معني «لايه اتصال امن» و پروتکلي (مجموعه اي از قوانين) جهت برقراري ارتباطات ايمن ميان سرويس دهنده و سرويس گيرنده در اينترنت است.

زمانی که یک خرید آنلاین انجام می دهید، ارتباط بین مرورگر شما و فروشگاه آنلاین اتفاق می افتد. به عنوان مثال ، هنگامی که شماره کارت اعتباری تان را در مرورگر خود وارد می کنیم ، مرورگر این شماره را با فروشگاه آنلاین به اشتراک می گذارد. بعد از اینکه فروشگاه انجام عملیات پرداخت را دریافت کرد، به مرورگر شما می گوید که به شما اطلاع دهد که خرید با موفقیت انجام شده است.

نکته ای که باید در مورد اطلاعات به اشتراک گذاشته شده بین مرورگر ما و سرور فروشگاه به خاطر داشته باشید این است که اطلاعات در این بین چندین وقفه دارند. اگر ارتباط رمزگذاری نشده باشد (به عبارتی از ssl استفاده نکنید)، هکر می تواند اطلاعات کارت اعتباری ما را قبل از رسیدن به مقصد نهایی یعنی سرور فروشگاه، سرقت کند.

برای درک بهتر نحوه رمزگذاری، به چگونگی تحویل سفارشات خود فکر کنید. اگر تا به حال وضعیت تحویل یک خرید آنلاین را پیگیری کرده باشید، می بینید که سفارش قبل از اینکه به دست تان برسد چندین توقف در مکان های مختلف داشته است. حال اگر فروشنده خرید شما را به درستی بسته بندی نکرده باشد، به راحتی سایر مردم خریدهای شما را می توانند ببینند.

چگونه از برقراری ارتباط رمزگذاری نشده جلوگیری کنیم

برای رمزگذاری ارتباطات در وب سایت خود به یک گواهی نامه SSL نیاز دارید. اگر وب سایت وردپرس شما فاقد SSL است، اولین کاری که باید انجام دهید این است که از مسئول هاست خود بپرسید آیا آنها گواهی SSL رایگان و پیکربندی آن را ارائه می دهند یا خیر.

همچنین Cloudflare نیز یک گواهینامه SSL رایگان برای وب سایت های وردپرس ارائه می دهد. چنانچه تمایل به استفاده از ssl رایگان ندارید نیز بر حسب نیاز خود، می توانید گواهی نامه های SSl  را از شرکت های ارائه دهنده خریداری نمایید. 

 

اشتباه امنیتی ۸ – عدم وجود گزارشات امنیتی (لاگ) و عدم نظارت بر فعالیت کاربران

 

عدم وجود گزارشات امنیتی از فعالیت ها و اتفاقات های رخ داده در سایت یکی دیگر از اشتباهات امنیتی در وردپرس محسوب می شود. گزارشات امنیتی (لاگ ها) یک قسمت اساسی از استراتژی امنیتی وردپرس است.

نظارت بر رفتار کاربران و اتفاقات رخ داده در سایت، به شما کمک می کند تا حملات را شناسایی و متوقف کنید، تغییرات را کشف کنید و به آسیب های وارد شده به وب سایت تان پس از یک حمله موفقیت آمیز دسترسی پیدا کرده و آنها را ترمیم کنید.

عدم نظارت بر اتفاقات رخ داده، می تواند منجر به تاخیر در تشخیص نواقص امنیتی شود. هر چه زمان تشخیص بیشتر طول بکشد، هکرها فرصت بیشتری خواهند داشت تا بخش های دیگر سایت را خراب کنند، داده های بیشتری را تغییر، سرقت یا از بین ببرند.

چگونه گزارشات امنیتی را به سایت خود اضافه کنیم

برای جلوگیری از این اشتباه امنیتی در وردپرس ، لازم است بخش گزارشات امنیتی (لاگ) را به وب سایت خود اضافه کنید. ساده ترین راه برای افزودن بخش گزارشات امنیتی به وب سایت وردپرسی، نصب یک افزونه امنیتی است.

بخش لاگ ها در افزونه امنیتی iThemes Security Pro، به صورت خودکار اتفاقات امنیتی مهمی که در وب سایت شما رخ می دهد را کنترل و ضبط می کند.

 

اشتباه امنیتی ۹- وجود افزونه ها و قالب های استفاده نشده

 

وجود افزونه ها و قالب های استفاده نشده یا غیرفعال در وب سایت یک اشتباه بزرگ امنیتی در وردپرس است. هر تکه کد بر روی وب سایت شما یک نقطه ورود بالقوه برای یک هکر است.

معمولا توسعه دهندگان از کتابخانه های js در افزونه ها و قالب های خود استفاده می کنند. متأسفانه ، اگر کتابخانه ها به درستی نگهداری نشوند، هکرها می توانند بدافزارهای خود را از طریق آنها  وارد سایت شما کرده و از این طریق اقدام به هک کردن سایت کنند.

چگونه از وجود افزونه ها و قالب های بلااستفاده اجتناب کنیم

کلیه افزونه ها و قالب های غیرضروری بر روی سایت وردپرس خود را غیر فعال و به طور کامل حذف کنید تا نقاط دسترسی و کدهای اجرایی بر روی سایت شما محدود تر شود.

علاوه بر این، از استفاده از افزونه های رایگان و بی کیفیت که بیش از شش ماه یا بیشتر به روز رسانی برای آن ارائه نشده خودداری کنید.

 

اشتباه امنیتی ۱۰- تهیه و نصب نرم افزار از منابع نامعتبر

 

تهیه و نصب نرم افزار از منابع نامعتبر یکی از سریعترین راه های ایجاد اشتباه امنیتی در وردپرس است. در استفاده از نسخه های نال شده افزونه های پولی بسیار مراقب باشید. زیرا اغلب این نسخه های رایگان افزونه های pro حاوی کدهای مخرب هستند.

اگر بدافزار یا افزونه های حاوی کد مخرب را روی سایت خود نصب کنید، هر چقدر هم نکات امنیتی را رعایت کنید و سایت خود را قفل کنید، فایده ای نخواهد داشت.

چگونه از استفاده از نرم افزارهای حاوی کد مخرب اجتناب کنیم

برای این کار صرفا باید نرم افزار مورد نیاز خود را که از مخزن وردپرس یعنی WordPress.org ، فروشگا های معتبر و معروف مثل ژاکت یا مستقیماً از توسعه دهندگان آن محصولات تهیه کرده اید، نصب کنید.

 

نتیجه گیری: در این مقاله به بررسی ۱۰ اشتباه مهم امنیتی که در سایت های وردپرسی رخ می دهد پرداختیم.

 

همانطور که مشاهده کردید، بسیاری از اشتباهات امنیتی وردپرس به صورت بالقوه وجود دارند. خوشبختانه با کمی تلاش می توانید به راحتی از همه اشتباهات امنیتی جلوگیری کنید.

 

چک لیست امنیتی وردپرس

 

بیشتر آسیب پذیری های امنیتی وردپرس را می توان با به کارگیری یک رویکرد پیشگیرانه در زمینه امنیت وردپرس کاهش داد.

به طور خلاصه، لیستی از ۱۰ مورد امنیتی ساده در وردپرس که با دنبال کردن آن می توانید به راحتی از بروز مشکل پیش گیری کنید و یک سایت ایمن با کمترین آسیب پذیری را داشته باشید، به شرح زیر می باشد:

  • انتخاب هاست با کیفیت
  • تهیه نسخه های پشتیبان منظم و زمانبندی شده
  • محدود کردن تعداد تلاش های ورود نامعتبر
  • افزودن محافظت خودکار در برابر ربات ها
  • اجتناب از استفاده از نرم افزارهای آسیب پذیر
  • استفاده از رمز عبور قوی و احراز هوت دو عاملی
  • استفاده از ssl
  • افزودن بخش گزارشات امنیتی (لاگ) به وب سایت
  • حذف افزونه ها و قالب های اضافی و استفاده نشده
  • نصب نرم افزارهای تهیه شده از منابع معتبر

 

 

۵/۵ (۲ نظر)
به بالای صفحه بردن