وبلاگ

حملات اسکیوال اینجکشن در وردپرس

حملات اسکیوال اینجکشن در وردپرس
آموزش وردپرس / کدهای کاربردی وردپرس

حملات اسکیوال اینجکشن در وردپرس

فهرست مطالب

اگر در مورد امنیت وب سایت خود نگران هستید، وقت آن است که در مورد حملات اسکیو ال اینجکشن در وردپرس و نحوه مبارزه با آنها اطلاعات کسب کنید.

اصطلاح تزریق SQL (که SQLi نیز نامیده می شود) به نوعی تکنیک حمله سایبری گفته می شود که روشی متداول برای هکرها برای به خطر انداختن وب سایت های مختلف از جمله سایت هایی است که وردپرس را به عنوان سیستم مدیریت محتوای خود اجرا می کنند.

 

در این راهنما، ما به طور مفصل توضیح خواهیم داد که حمله اسکیوال اینجکشن چگونه به نظر می رسد و اقدامات دقیقی را که باید برای جلوگیری از آن انجام دهید را بررسی می کنیم. شما در مورد چگونگی عملکرد این حملات، اینکه چرا دفاع در برابر آنها بسیار مهم است و نمونه های واقعی این آسیب پذیری ها را یاد خواهید گرفت​

مقدمه ای برای اس کیو ال (SQL)

Structured Query Language یا “SQL” یک سیستم مدیریت پایگاه داده رابطه ای است که در سال 1974 اختراع شد، این اولین روش آسان برای ذخیره و بازیابی انواع داده ها در سیستم های رایانه ای بود.

 

از آن زمان به بعد، این زبان محبوبیت چشمگیری پیدا کرده و هنوز هم در بسیاری از سیستم های مدیریت محتوا (CMS) مانند وردپرس مورد استفاده قرار می گیرد. اندکی پس از محبوبیت این زبان در جامعه تحقیقات علمی، موضوعی به نام تزریق sql به وجود آمد.

 

در سیستم هایی مانند وردپرس، بسیاری از عملیات ها از کوئری  SQL برای بازیابی و ذخیره داده ها استفاده می کنند. این کوئری ها SQL توسط توسعه دهندگان نوشته شده اند. متأسفانه، از زمان تأسیس SQL، حملات تزریق SQL برای سیستم هایی که از این نوع پایگاه داده استفاده می کنند، مانند پایگاه داده وردپرس، مسئله ای مداوم است. استفاده از یک افزونه امنیتی با کیفیت وردپرس مطمئناً می تواند در کاهش خطر حمله کمک کند.

حمله اس کیوال اینجکشن چیست

به طور خلاصه، حمله اس کیو ال اینجکشن (SQLi) حمله ای است که به هکرها امکان می دهد از کوئری های آسیب پذیر SQL برای اجرای درخواست خود استفاده کنند. تزریق SQL زمانی اتفاق می افتد که مهاجم قادر به اجرای SQL خود بر روی سرور باشد.

اس کیو ال اینجکشن اغلب در نشریات فنی به عنوان “SQLI” یا “SQLi” یاد می شود. به یاد داشته باشید، این حملات می تواند بر روی هر سیستمی که از SQL یا مشتق SQL برای مدیریت داده ها استفاده می کند، روی دهد. به دلیل حجم گسترده سایتهایی که در بستر وردپرس اجرا می شوند، این حمله در سایت های وردپرسی زیاد اتفاق می افتد.

طبق تعریف، هدف اس کیو ال اینجکشن همیشه مخرب است و هدف آن معمولاً تحقق یک یا چند هدف از این سه هدف است:

بازیابی اطلاعات غیرمجاز – در SQL، از دستور SELECT برای گرفتن اطلاعات استفاده می شود. اگر یک مهاجم بتواند با موفقیت یک پرس و جو مبتنی بر SELECT را دستکاری کند، می تواند محتوای پایگاه داده را “تخلیه” کند. به همین دلیل رمزگذاری همه پایگاه های داده با اطلاعاتی که نباید به طور عمومی شناخته شوند بسیار مهم است.

تغییر داده ها – در برخی موارد، هدف از تزریق SQL وردپرس ممکن است تغییر در ورودی ها در پایگاه داده باشد.

انکار سرویس (DoS) – حمله DoS زمانی است که یک کاربر مخرب دسترسی کاربران به سایت یا خدمات شما را برای کاربران قانونی دشوار می کند. یک دستور معمول در SQL برای حذف داده ها دستور delete است. مهاجمان غالباً محتویات پایگاه داده را به طور گسترده حذف می کنند تا سایتهای هدف غیرقابل دسترسی یا غیر قابل استفاده شوند.

 

نکته: به طور مرتب از وب سایت خود پشتیبان تهیه کنید! یک افزونه پشتیبان گیری وردپرس مانند BackupBuddy از کل پایگاه داده وردپرس و سایر پرونده های نصب شده در وردپرس شما پشتیبان تهیه می کند.

 

حمله اس کیوال اینجکشن چیست

انواع حملات اس کیو ال اینجکشن

اکنون که برخی از آسیب هایی را که حملات مبتنی بر SQL می توانند بوجود آوردند را بررسی کردیم، حال نوبت آن رسیده که جنبه های فنی اس کیو ال اینجکشن را بررسی کنیم.​

SQLi کلاسیک

رایج ترین نوع تزریق، نسخه کلاسیک آن است زمانی که مهاجم کد SQL را از قبل بداند. همچنین این نوع تزریق بیشتر در وردپرس مورد استفاده است. از آنجا که وردپرس متن باز است، عموم مردم به تمام اجزای آن، از جمله پرس و جوهای SQL دسترسی دارند.

SQLi کور یا Blind

برخلاف نسخه کلاسیک، تزریق کور SQL زمانی اتفاق می افتد که مهاجم به کد SQL دسترسی نداشته باشد و مجبور به حدس زدن شود. علاوه بر این، این نوع حمله SQLi مهارت بسیار بیشتری نسبت به SQLi سنتی نیاز دارد، زیرا نتایج یک حمله موفقیت آمیز برای مهاجم نمایش داده نمی شود.

اس کیو ال اینجکشن ترکیبی

این شکل از حمله زمانی است که یک حمله جداگانه با SQLi ترکیب شود تا نتیجه دلخواه را بدست آورد. پیچیده ترین نوع حمله SQLi این نوع حمله است.  روش هایی که به همراه این نوع حمله استفاده می شوند عبارتند از نقض احراز هویت، حملات DDoS، DNs hijacking و حملات اسکریپتی بین سایت.

نمونه هایی از حمله SQLi

برای درک این موارد، باید کمی با اصطلاحات SQL آشنا باشید. SQL از دستوراتی مانند SELECT برای گرفتن اطلاعات، DROP TABLE برای از بین بردن کامل جدول درون پایگاه داده، Delete برای حذف ردیف ها از یک جدول و موارد دیگر استفاده می کند. علاوه بر این، نماد “*” در SQL به معنی “همه” است.

اساسی ترین پرسش در SQL کوئری زیر است:

SELECT * FROM TABLE_NAME

این کوئری می گوید که همه داده ها را از جدولی به نام “TABLE_NAME” را بازیابی و چاپ کن. وقتی می خواهید به سایت خود لاگین کنید، داده ها از طریق یک اسکریپت PHP با داده های جدول کاربران مطابقت داده می شوند. در این مثال فرض می کنیم که داده های جدول کاربران با ستون های نام کاربری و پسورد رمز نشده هستند.

حال اگر از کوئری زیر استفاده کنیم

Select * from Table_name where user =’[username from form]’ and pass=’[password from form]’

در صورتی که نام کاربری و گذرواژه وارد شده در فرم با اطلاعات پایگاه داده مطابقت داشته باشد، لیست کاربران را که فقط یک نفر باشد، بدست آوریم.

اس کیو ال اینجکشن دروردپرس

مثال گفته شده در بالا در سایت های مدرن وردپرسی کار نمی کند، مگر اینکه مدیر سایت برای غیرفعال کردن همه اقدامات امنیتی، تلاش خود را انجام داده باشد. با این حال، با استفاده از همان اصول، هکرها همچنان به دنبال رخنه در پایگاه داده ها هستند.

از آنجا که وردپرس منبع باز است و یک جامعه توسعه گسترده در پشت آن قرار دارد، بسیاری از محققان امنیتی اغلب این حفره های امنیتی را قبل از اینکه یک هکر انجام دهد، پیدا می کنند. سپس آنها را به تیم وردپرس گزارش می دهند و آن را رفع می کنند.

بیشتر بخوانید:

آموزش افزودن محتوا به ابتدا یا انتهای مقالات در وردپرس

جلوگیری از حملات اس کیوال اینجکشن در وردپرس

ممکن است از خود بپرسید که چگونه اطمینان حاصل کنید که سایت WordPress شما قربانی بعدی حمله SQLi نمی شود. خبر خوب این است که برای محافظت از خود در برابر حملات SQLi نیازی نیست که یک متخصص امنیت باشید!

در مورد هرگونه فایل PHP که می نویسید یا از سایت های دیگر می گیرید و نصب می کنید (به طور خاص افزونه های وردپرس) بسیار مراقب باشید.

از هشدار دهنده افزونه معروف امنیتی نظیر iThemes Security Pro استفاده کنید تا بتوانید از دسترسی های غیرمجاز جلوگیری کنید.

از همه مهمتر، شما همیشه باید سایت وردپرس خود را به آخرین نسخه به روز کنید. بسیاری از دارندگان سایت بروزرسانی ها را متوقف می کنند و این دلیل باعث بوجود آمدن خطر می شود.

افزونه ها و تم های وردپرس خود را به روز کنید. قالب ها و افزونه های آسیب پذیر دلیل شماره 1 هک شدن سایت های وردپرس است.

5 گام برای جلوگیری از هک شدن سایت وردپرسی با SQLi

به روزرسانی ها به محض دسترسی در داشبورد وردپرس شما ظاهر می شوند. هر بار که وارد سایت وردپرس خود می شوید، یک نسخه پشتیبان تهیه کنید و سپس همه به روزرسانی های موجود را اجرا کنید. اگرچه ممکن است وظیفه اجرای به روزرسانی ها ناخوشایند یا خسته کننده باشد، اما این یک روش مهم امنیتی وردپرس است.

5 گام برای جلوگیری از هک شدن سایت وردپرسی با SQLi

پلاگین iThemes Security Pro Site Scanner روش دیگری برای ایمن سازی و محافظت از وب سایت وردپرس شما در برابر هک است. Site Scanner سایت شما را از نظر آسیب پذیری های شناخته شده بررسی می کند و در صورت موجود بودن راه حل، به طور خودکار آن ها را برطرف می کند.

نکته اصلی برای تشخیص سریع نقض امنیت، نظارت بر تغییرات فایل ها و پرونده ها در وب سایت شما است. ویژگی File Change Detection در افزونه iThemes Security Pro پرونده های وب سایت شما را اسکن می کند و هنگام تغییر در وب سایت، شما را آگاه می کند.

احراز هویت دو عاملی فرآیندی است برای تأیید هویت فرد با نیاز به دو روش تأیید جداگانه. گوگل می گوید که استفاده از احراز هویت دو عاملی می تواند 100٪ حملات خودکار ربات را متوقف کند.

بیشتر بخوانید:

آموزش محدود کردن محتوا برای اعضای سایت در وردپرس بدون پلاگین

سخن آخر

اگر تهدیدهای امنیتی که ممکن است سایت شما را مورد آسیب قرار دهد را فرا گرفته اید، نگران نباشید. حقیقت این است که تهدیدها زیاد است، اما راه حل ها می توانند ساده باشند. امیدواریم که این راهنما به شما کمک کند تا خطر حملات اس کیو ال اینجکشن به سایت وردپرس خود را درک کنید. با عمل به 5 گام گفته شده در در متن راهنما می توانید عملکرد بهتری داشته باشید.

 

https://ithemes.com/sql-injection-wordpress/

5 3 رای ها
امتیاز دهید
اشتراک
اطلاع از
guest
0 دیدگاه ها
بازخورد اینلاین
نمایش همه دیدگاه ها
0
فکر شما را دوست دارم ، لطفا نظر دهیدx
()
x