تمامی وب سایت ها در سراسر اینترنت به طور بالقوه در برابر حملات آسیب پذیر هستند. گزارش های اخیر نشان داده است که گوگل هر هفته هزاران وب سایت حاوی بدافزار و حملات فیشینگ را در لیست سیاه قرار می دهد. ممکن است بسیاری از صاحبان مشاغل و کسب و کار های کوچکتر فکر کنند که سایت آن ها در معرض هیچ خطری نمی باشد زیرا آن ها کسب و کار خود را آن قدر بزرگ نمی دانند که هکرها بخواهند به آن نفوذ کنند. از آنجا که شما هرگز نمی دانید چه زمانی یا به چه شکلی تجارت شما مورد حمله قرار می گیرد ، ضروری است که از سایت خود محافظت کرده و از افزونه های لازم وردپرس برای افزایش امنیت خود استفاده کنید و از اشتباه امنیتی وردپرس آگاه باشید.
گاهی مواقع ما اشتباهاتی مرتکب می شویم که امنیت سایت خود را به خطر می اندازند و از آن جایی که نقض های امنیتی وردپرس برای کسب و کار شما جدی می باشد ما در این مقاله به شما 10 اشتباه رایجی که توسط افراد مختلف اتفاق می افتد را معرفی خواهیم کرد.
اشتباه شماره 10 : تغییر URL ورود به سیستم وردپرس
برخی از کاربران وردپرس تمایل دارند وردپرس قابلیت تغییر URL برای ورود به سایت را اضافه کند، به عنوان مثال به جای ورود به وردپرس در wp-login.php ، مالک سایت بتواند از روش های دیگر مانند تغییر URLبرای ورود به سایت خود استفاده کند.
با این حال ما توصیه نمی کنیم که نحوه ورود به سیستم یک سایت را تغییر دهید زیرا این کار یکی از اشتباه امنیتی وردپرس است. پنهان کردن آدرس ورود به سیستم و یا تغییر آن امنیت سایت شما را به خطر می اندازد.
از آن جایی که آدرس های ورود به سیستم وردپرس توسط اغلب هکر ها به راحتی قابل شناسایی هستند. محدود کردن تلاش افراد برای ورود به سیستم شما روش مناسبی برای جلوگیری از حملات احتمالی نمی باشد. مالکان سایت تصور می کنند که با تغییر URL و یا با محدود کردن تعداد دفعات تلاش ها برای ورود به سیستم می توانند از سایت خود محافظت کنند، اما چنین روش هایی امنیت سایت شما را تضمین نخواهند کرد.
ما در عوض این اشتباه امنیتی وردپرس ، تغییر URL ورود به سیستم سایت خود توصیه می کنیم که می توانید برای ایت کار از روش های زیر استفاده کنید.
-
قفل کردن و رد کردن درخواست های ورود که تعداد دفعات آن ها بیش از حد مجاز هستند.
-
استفاده از رمزهای عبور قوی تر:
انجام این کار می تواند از حملات امنیتی مختلف و یا شناسایی و حدس زدن رمز عبور شما توسط افراد دیگر جلوگیری کند و باعث می شود تلاش آن افراد موفقیت آمیز نباشد.
-
افزودن حفاظت .htpasswd به قسمت wp-admin سایت:
در وب سرور ، .htpasswd نام کاربری و رمز عبور افراد را در پرونده های خود نگه داری می کند و از این اطلاعات برای احراز هویت کاربران HTTP استفاده می کند. این محافظت ها خارج از پیکربندی هایWordPress PHP / MySQL شما می باشد و به پرونده هایی دسترسی ایمن دارد که داشبورد مدیریتی شما برای مدیریت سایت از آن ها استفاده می کند. به خاطر داشته باشید که شما ممکن است در سایت خود admin-ajax.php را در پرونده .htaccess قرار دهید.
-
استفاده از احراز هویت دو عاملی:
احراز هویت دو عاملی یک لایه محافظتی به فرم ورود شما اضافه می کند تا در صورتی که یک مهاجم بتواند با موفقیت به رمز عبور شما دسترسی پیدا کند ، به دلیل وجود این لایه یعنی لایه دوم احراز هویت ، هرگز نتواند وارد سایت شما شود. احراز هویت دو عاملی در دو نسخه رایگان و نسخه پولی در بازار موجود می باشد و پس از نصب آن با رفتن به بخش Security و یا “امنیت” در داشبورد خود می توانید این مورد را پیدا کنید.
با انجام دادن این مراحل شما می توانید امنیت ورود به سیستم سایت خود را بهبود ببخشید و از اشتباه امنیتی وردپرس جلوگیری کنید.
اشتباه اشتباه امنیتی وردپرس شماره 9: عدم استفاده از گواهینامه های SSL / TLS در سایت
برخی از وب سایت ها به استفاده از این گواهینامه ها برای سایتشان توجه نمی کنند و این یک اشتباه امنیتی وردپرس بزرگ می باشد. گواهینامه های SSL / TLS گامی برای بالا بردن امنیت سایت های وردپرسی می باشد و همانطور که گفته شد بسیاری از افراد در استفاده از آن ها کوتاهی می کنند. آن ها برای محافظت و محرمانه نگه داشتن داده های منتقل شده از مرورگرهای بازدید کننده سایت به سرور وب شما بسیار حیاتی هستند.
آن ها همچنین بر رتبه بندی سایت شما در نتایج موتور های جستجو نیز تأثیر می گذارند زیرا گوگل سایت هایی را که از این گواهینامه ها استفاده می کنند را ترجیح می دهد و رتبه بالایی برای آن ها در نظر می گیرد. ممکن است برایتان این سوال پیش بیاید که این گواهینامه چیست و به همین خاطر در ادامه درباره آن ها به شما توضیح خواهیم داد.
گواهی SSL چیست؟
گواهینامه های SSL / TLS ترافیک و انواع داده هایی که بین کلاینت ها و سرورها قرار دارد را رمزگذاری می کنند و داده ها را به صورت ایمن از طریق HTTPS ارسال می کنند. یک گواهینامه SSL / TLS اساساً این امکان را فراهم می کند تا با رمزگذاری داده ها با استفاده از یک کلید اصلی ، تمام ترافیکی که از طریق اینترنت به سرور شما ارسال می شود را به فرم غیر قابل خواندن افراد دیگر تبدیل کنید و تنها سرور وب شما دارای کلیدی برای رمزگشایی داده ها می باشد و به درخواست ها با داده های رمزگذاری شده پاسخ می دهد.
یک مثال ساده از این که چرا شما به یک گواهینامه SSL / TLS نیاز دارید این است که وردپرس همیه گواهینامه ها را به صورت یک متن ساده ارسال می کند. یک مهاجم می تواند در صورت عدم وجود گواهی SSL / TLS در یک سایت به این متون و اطلاعات دسترسی پیدا کند و زمانی که یک شخصی به سایت وردپرس شما وارد می شود آن شخص می تواند آن ها را مشاهده کند.
با افشا شدن این داده ها یک هکر می تواند اطلاعات میزبان ، نام کاربری و رمز عبور را گرفته و سپس به سایت وردپرس شما دسترسی پیدا کند. همچنین در سایت هایی که افراد برای خرید محصولات مبالغی را پرداخت می کنند ، ممکن است اطلاعات پرداخت به دلیل نبود گواهی SSL / TLS به صورت متن ساده ، با فرمت قابل خواندن ارسال شود و مهاجمان می توانند به این دسته از اطلاعات حساس دسترسی پیدا کنند.
اگر از گواهینامه SSL / TLS استفاده نمی کنید دچار یک اشتباه امنیتی وردپرس هستید و داده های کاربران سایت شما به طور قابل توجهی در خطر قرار می گیرند و به همین دلیل است که موتورهای جستجو سایت هایی که از این گواهینامه ها استفاده می کنند را ترجیح می دهند.
در صورت وجود گواهی SSL در سایت شما اطلاعات کاربران کاملاً غیرقابل خواندن خواهند بود و غیرممکن است که بتوانند اطلاعات موجود در سایتتان را رمزگشایی کنند.
برخی از ارائه دهندگان میزبان ها و هاست ها می توانند برای شما یک وب سایت امن تری را ایجاد که دارای حریم خصوصی هستند را ایجاد کنند. آن ها گواهینامه های SSL رایگان و آسان را ارائه می دهند تا هر وب سایت بتواند به راحتی از HTTPS استفاده کند.
اشتباه شماره 8 : استفاده از “admin” به عنوان نام کاربری در وردپرس
اشتباه امنیتی وردپرس رایج دیگری که اغلب افراد انجام می دهند این است که دارندگان سایت های وردپرسی از نام کاربری پیش فرض ‘admin’ برای حساب کاربری اصلی خود استفاده می کنند. این امر می تواند بر روی سایت شما تأثیر منفی بگذارد ، زیرا ربات ها سعی می کنند یک رمز عبور را برای مدیر استفاده کنند و این موضوع سایت شما را بسیار آسیب پذیر خواهد کرد.
در واقع بسیاری از مشکلات امنیتی سایت در وردپرس مربوط به داشتن نام کاربری پیش فرض برای حساب کاربری مدیر هستند. داشتن نام کاربری به غیر از “مدیر” باعث می شود که کاربران از میزان آسیب پذیری ها در امان بمانند ، بنابراین از به خطر افتادن سایت شما جلوگیری خواهد شد.
در صورتی که شما این اشتباه را انجام داده اید می توانید با استفاده از دو روش این مشکل را اصلاح و برطرف کنید. اولین راه حل ایجاد یک حساب کاربری اداری جدید با نام کاربری جدید و حذف حساب کاربری قدیمی شما می باشد. حدس زدن نام کاربری می تواند چیز پیچیده ای باشد و ورود به حسای کاربری را برای مهاجمان دشوارتر خواهد کرد.
اگر از این روش برای تغییر نام کاربری پیش فرض استفاده می کنید ، باید اطمینان حاصل کنید که هنگام حذف حساب مدیر قدیمی ، تمام محتوای موجود را به حساب کاربری جدید خود منتقل کنید.
راه دوم برای تغییر نام کاربری خود این است که مستقیماً با استفاده از phpMyAdmin از حساب میزبانی خود یا به قسمت مدیریت پایگاه داده خود بروید و نام کاربری را در جدول * _users به روز رسانی کنید و تغییر دهید. این ساده ترین راه برای تغییر نام کاربری پیش فرض شما می باشد و ما توصیه می کنیم که از این روش استفاده کنید.
ما توصیه می کنیم پیش از اقدام برای تغییر نام کاربری خود یک نسخه پشتیبان از اطلاعات خود را تهیه کنید تا اگر در طی تمامی مراحل مشکلی پیش آمد ، بتوانید سایت خود را سریع بازیابی کنید.
اشتباه شماره 7 : استفاده از رمز عبورهای ضعیف
این مورد یکی از رایج ترین اشتباهات امنیتی در سراسر وب است و تنها در سایت های وردپرسی این مشکل پیش نمی آید. استفاده از رمز عبور های قوی باعث می شود که سایت شما در برابر حملات افراد مختلف محفوظ بماند و در نتیجه استفاده از آن ها یکی از مهم ترین مواردی است که باید برای اطمینان از ایمن بودن سایت خود در نظر بگیرید.
رمزهای عبور مانند ” 123 ” بسیار ساده هستند و فقط چند ثانیه طول می کشد تا آن ها را حدس بزنند ، بنابراین برای ورود به حساب شما دچار مشکل نخواهد شد. ما توصیه می کنیم برای جلوگیری از این اشتباه امنیتی وردپرس برای استفاده از رمز عبور قوی اقدامات زیر را انجام دهید:
رمز های پیچیده و قوی ایجاد کنید. آن ها باید شامل بیشتر از 10 کاراکتر ، حداقل یک عدد ، یک نماد و یک حرف بزرگ باشند. هرچه رمز عبور شما متنوع تر و پیچیده تر باشد ، برای یک مهاجم طول می کشد تا رمز ورود را حدس بزند و به حساب کاربری و یا سایت وردپرس شما دسترسی پیدا کند.
از یک ابزار برای مدیریت رمز عبور استفاده کنید زیرا به شما کمک می کند رمز عبور های پیچیده خود را که برای سایت های مختلف استفاده کرده اید را ذخیره کنید. بنابراین می توانید رمز عبور خود را به راحتی کنترل و مدیریت کنید.
اشتباه شماره 6 : عدم استفاده از فایروال برای وب
فایروال ها به عنوان دروازه ای عمل می کند و درخواست های کاربران را بررسی می کند تا متوجه شوند که آیا آن ها مجاز می باشند یا خیر. هر زمان که یک درخواست “مجاز” شناخته شود ، مانند ورود یک کاربر قانونی به یک سایت ، فایروال اجازه می دهد تا درخواست آن انجام شود و در غیر این صورت این درخواست ها مسدود می شوند. استفاده از فایروال ها در برنامه های منبع باز مانند وردپرس که هزاران نفر در قالب ها و افزونه های محبوب آن مشارکت دارند ، حیاتی است.
قانون فایروال چیست؟
قانون فایروال ، دستورالعملی است که به فایروال می گوید چه زمانی درخواستی را قبول یا رد کند. یک قانون فایروال بسیار اساسی در قالب یک دستور ممکن است به این صورت باشد “اگر متن درخواست شامل <script> باشد ، به دلیل حمله بالقوه اسکریپت نویسی آن را مسدود کنید.” این یک قانون فایروال می باشد.
فایروال از بروز حملات مخرب مانند مهاجمی که قصد سوء استفاده از یک افزونه آسیب پذیر را دارد جلوگیری می کند و در نهایت سایت شما را از به خطر افتادن محافظت می کند. آسیب پذیری ها به طور مداوم در قالب ها و افزونه های وردپرسی کشف می شوند و وردپرس که بیش از 35٪ سایت های اینترنتی از آن استفاده می کنند دائماً مورد حمله قرار می گیرد.
نداشتن فایروال مانند این است که قفل درب ورودی خود را باز کنید و در حیاط خانه خود تابلویی نصب شود که می گوید قفل درب ورودی باز شده است و مهاجمان با دیدن این نوشته به خانه شما حمله خواهند کرد!
افزونه Wordfence که در Firewall Web Application تعبیه شده است دارای یک لیست کلی از قوانین فایروال است که از سایت شما در برابر مهم ترین آسیب پذیری ها مانند مشکلات برنامه نویسی سایت ، بارگذاری پرونده های مخرب، اختلال SQL ، پیمایش دایرکتوری و موارد دیگر محافظت می کند. این بدان معنی است که فایروال یک پوشش امنیتی اساسی و گسترده ای را ارائه می دهد.
اشتباه شماره 5 : استفاده از میزبان ناامن
میزبانی ضعیف سایت شما یک اشتباه امنیتی وردپرس است که می تواند عواقب مخربی را برای امنیت سایت وردپرس شما به همراه داشته باشد. شما باید مطمئن شوید که ارائه دهنده خدمات میزبانی شما کلیه عملکرد های لازم برای اطمینان از ایمن بودن سایت وردپرس و همچنین انتخاب صحیح در مورد نحوه میزبانی سایت های خود را ارائه می دهد.
اگر حساب شما در یک محیط میزبانی مشترک اجرا می شود ، اطمینان حاصل کنید که سایت شما به درستی ایزوله شده است. از مواردی مانند عدم اجرای چندین سایت در یک حساب میزبانی اطمینان حاصل کنید و سایت های قدیمی که استفاده نمی شوند را حذف کنید.
اطمینان حاصل کنید که ، اگر سایت دیگری که در همان سرور میزبانی شده است به خطر بیفتد ، بر سایت شما تأثیر نمی گذارد. یک میزبان امن به شما کمک می کند تا تعیین کنید که آیا حمله ای در برابر سایت شما رخ داده است و یا اینکه این حمله در چه زمانی اتفاق افتاده است. دانستن این موارد به شما کمک می کند که بتوانید از تکرار آن ها جلوگیری کنید.
داشتن آدرس IP اختصاصی نیز بسیار مهم می باشد. به اشتراک گذاشتن آدرس های IP می تواند منجر به قرار گرفتن سایت شما در لیست سیاه شود زیرا در صورتی که سایت دیگری که با همان آدرس IP میزبانی شده است در لیست سیاه قرار گیرد سایت شما نیز به خطر می افتد. قرار گرفتن در یک میزبان اشتباه می تواند اعتبار سایت شما را تحت تأثیر قرار دهد.
درست مانند گواهینامه های SSL / TLS ، گواهی هایی مانند SSH ، FTPS و SFTP ابزاری برای انتقال داده ها از طریق یک کانال رمزگذاری شده ارائه می دهند تا داده ها به راحتی توسط سایر افراد رهگیری نشوند. شما باید مطمئن شوید که ارائه دهنده میزبان شما این گزینه را به جای متن ساده FTP ارائه می دهد و داده ها و فایل ها به راحتی توسط مهاجمان در شبکه شما خوانده نشوند.
اشتباه شماره 4 : ضعف در مدیریت دسترسی کاربر
مدیریت دسترسی کاربر اغلب توسط صاحبان سایت وردپرس نادیده گرفته می شود. ثبت نام کاربر و نقش های پیش فرض اختصاص داده شده به آن دسته از کاربران می تواند باعث شود که شما نتوانید دسترسی آن ها را کنترل و مدیریت کنید.
به کاربران خود حداقل دسترسی را دهید. با اعطای حداقل امتیازات و دسترسی ها به کاربران در سایت خود امنیت سایتتان را بهبود ببخشید و شما می توانید این محدودیت ها را با رفتن به قسمت مدیریت کاربر wp-admin تنظیم کنید.
امکان ثبت نام کاربر را تنها در صورتی فعال کنید که واقعاً ضروری باشد و در غیر این صورت آن را غیر فعال کنید. بسیاری از آسیب پذیری هایی که در وردپرس کشف شده اند مربوط به سطح مجوزهای کاربر می باشد. با غیرفعال کردن گزینه ثبت نام کاربر ، برخی از این خطرات و آسیب پذیری ها را برطرف خواهید کرد.
رمز عبور های قوی را برای ورود به سیستم و سایتتان را الزامی کنید. با استفاده از حساب های مدیریتی خود اطمینان حاصل کنید که کاربران از رمز عبور های قوی نیز استفاده می کنند. از آنجا که این حساب ها می توانند به هدف حمله کنندگان نیز تبدیل شوند ، اطمینان حاصل کنید که از امنیت بالایی برخوردار هستند.
اشتباه شماره 3 : استفاده از قالب ها و یا پلاگین های نال شده.
قالب ها و افزونه های نال شده با اهداف مخرب تهیه شده اند و حاوی کد های مخرب می باشند و استفاده از آن ها یک اشتباه امنیتی وردپرس است. هکر ها با دستکاری این کد ها می توانند به سایت شما آسیب برسانند. سایت های ارائه دهنده این گونه قالب ها و افزونه ها اغلب نامشروع به نظر می رسند و پلاگین ها و قالب های محبوب و برتر را “رایگان” و یا “قفل نشده” ارائه می دهند. در زیر نمونه ای از قالب و پلاگین نال شده که به طور رایگان افزونه های ممتاز را ارائه می دهد نشان داده شده است.
همانطور که گفته شد این تم ها و پلاگین ها حاوی کدهای مخربی هستند که به محض نصب و فعال سازی در سایت شما و یا هر سایت دیگری آن را آلوده می کنند. تعیین علت اصلی این نوع آلودگی ها و اختلال ها اغلب دشوار است زیرا اغلب مردم نمی دانند که با نصب یکی از این قالب ها و یا پلاگین های نال شده در واقع سایت خود را با بدافزار آلوده کرده اند.
به خاطر داشته باشید که برای جلوگیری از این اتفاق بهتر است که همیشه افزونه ها و قالب های خود را از توسعه دهندگان اصلی و یا یک بازار معتبر تهیه کنید و راهنمای انتخاب قالب وردپرس را در بلاگ ما بخوانید.
اشتباه شماره 2: استفاده مجدد از رمز عبور خود
یک اشتباه معمول و در عین حال ساده که کاربران وردپرس اغلب مرتکب می شوند ، استفاده مجدد از رمز عبور های خود در حساب های مختلف است. وقتی تیم خدمات امنیتی ما سایت های آلوده را پاک می کنند ، آن ها اغلب سایت هایی را پیدا می کنند که مدیر سایت از یک رمز عبور برای حساب میزبانی ، وب سایت وردپرس و حساب FTP خود استفاده کرده است و همانطور که می دانید در چنین شرایطی اگر یک حساب آسیب ببیند در واقع تمامی حساب ها به خطر می افتند.
ما توصیه می کنیم از رمزهای عبور منحصر به فرد برای هر حساب استفاده کنید زیرا استفاده از رمز عبور واحد در سایت دیگر بسیار خطرناک می باشد. بهتر است که از یک ابزار مانند 1 Password یا LastPass برای مدیریت رمز عبورهای خود و ذخیره رمز عبورهای پیچیده و طولانی استفاده کنید زیرا به شما کمک می کند که از همه دارایی های دیجیتال خود ، از سایت وردپرس گرفته تا حساب های خود در موسسات مالی محافظت کنید.
اشتباه شماره 1: به روز رسانی نکردن قالب ها و پلاگین ها مورد استفاده در سایت
اغلب سایت های هک شده ای که توسط تیم خدمات امنیتی ما پاک شدند ، به دلیل پلاگین های آسیب پذیر ، قالب ها و یا حتی نصب نسخه قدیمی وردپرس می باشند. با به روز رسانی کردن قالب ها و افزونه ها می توان از تمامی این نفوذها و حملات جلوگیری کرد.
برای جلوگیری از مرتکب شدن این اشتباه امنیتی وردپرس ، توصیه می کنیم افزونه ها و قالب های خود را به محض انتشار نسخه جدیدتر به روز رسانی کنید. اگر سایت های وردپرسی متعددی برای مدیریت دارید از یک ابزار مدیریت و یا نگهداری مانند Wordfence Central استفاده کنید. این ابزار کاملا رایگان است و به شما این امکان را می دهد که هشدارهایی را برای رویدادهای امنیتی مانند هنگامی که Wordfence Scanner پلاگین های منسوخ شده و آسیب پذیر را تشخیص می دهد را تنظیم کنید.
شما با رفتن به قسمت wp-admin هر سایت می توانید به راحتی قالب ها و افزونه های خود را به روز رسانی کنید و به شما این امکان را می دهد که براساس نتایج اسکن ، سایت هایی را که نیاز به به روز رسانی دارند را بیابید و به روزرسانی آن ها را آسان تر و سریعتر انجام دهید.
نتیجه گیری
گاهی اوقات تصمیمات مهم امنیتی توسط افراد مختلف به سادگی نادیده و یا فراموش می شوند بنابراین همیشه سعی کنید که دوباره به سایت وردپرس خود بروید و وضعیت امنیتی فعلی آن را بررسی کنید. ما امیدواریم که ارائه این 10 اشتباه امنیتی که در وردپرس اتفاق می افتد شما را ترغیب کند تا سایت خود را بررسی کنید و مطمئن شوید که از بهترین روش ها برای بهبود امنیت وردپرس استفاده می کنید. همچنین اگر دوستان و همکارانی دارید که از وردپرس استفاده می کنند ، این پست را با آن ها به اشتراک بگذارید.
