هک سایت وردپرسی | 5 دلیل که وردپرس هک می شود
27 خرداد 1400 1400-03-31 7:51هک سایت وردپرسی | 5 دلیل که وردپرس هک می شود
هک سایت وردپرسی | 5 دلیل که وردپرس هک می شود
سپیده زارعی فهرست مطالب
یکی از ناامیدکننده ترین و استرس زا ترین موقعیت هایی که ممکن است به عنوان یک مالک سایت وردپرس درگیر آن شوید ، کشف هک سایت وردپرسی شما است.
اگر خود را در مواجهه با یک وب سایت هک شده ببینید ، احتمالاً از خود می پرسید که چرا سایت شما هدف حمله مخرب قرار گرفته است و چگونه می توان آن را در اسرع وقت به حالت قبل بازگرداند.
بیشتر بخوانید:
آموزش افزودن محتوا به ابتدا یا انتهای مقالات در وردپرس
هک سایت وردپرسی در شکل ها و اندازه های مختلف رخ می دهد. این بدان معناست که به عنوان دارندگان سایت های وردپرس ، دانستن همه دلایل متداول برای هک شدن موفقیت آمیز سایت های وردپرس ، مهم است. در این راهنما ، ما در مورد دلایل متداول هک شدن سایت های وردپرس و همچنین اقدامات ساده ای که می توانید برای امنیت سایت خود انجام دهید ، بحث خواهیم کرد.
چرا هکرها سایت وردپرسی را مورد هدف قرار می دهند
در درجه اول مهم است درک کنیم که هکرها فقط به دنبال هک سایت های وردپرسی نیستند، در واقع ، به راحتی می توان گفت که هر سایتی در اینترنت ، چه با وردپرس ساخته شده باشد و چه نباشد ، آسیب پذیری های خاص خود را دارد و امکان هک و سایر حملات مخرب در آن وجود دارد.
با این حال ، وب سایت های وردپرسی متداول ترین هدف هک هستند و آن هم یک دلیل ساده دارد، وردپرس بسیار مورد استفاده قرار می گیرد و از ابزارهای متداول ساخت وب سایت در جهان است. در واقع ، وردپرس پلتفرمی است که در حال حاضر 40٪ از همه وب سایت های شناخته شده را به خود اختصاص داده است.
بیشتر بخوانید:
آموزش محدود کردن محتوا برای اعضای سایت در وردپرس بدون پلاگین
این بدان معناست که صدها میلیون وب سایت وردپرسی در حال حاضر در اینترنت وجود دارند. محبوبیت بی حد و حصر پلتفرم وردپرس راهی ساده به هکرها می دهد تا وب سایت هایی را که فاقد پروتکل امنیتی مناسب هستند ، بیابند و سپس آنها را برای منافع خود مورد سو استفاده قرار دهند.
هکرها وقتی تصمیم می گیرند به وب سایت ها حمله کنند ، انگیزه های مختلفی دارند. برخی از هکرها فقط در حال یادگیری هستند و وب سایت هایی را هدف قرار می دهند که کمترین امنیت و آسیب پذیری را دارند. سایر هکرها با قصد بسیار مخربی مانند توزیع بدافزار در سایت شما یا استفاده از سایت شما برای حمله به سایر وب سایت ها به آن ها نزدیک می شوند.
بیشتر بخوانید:
افزایش سئو وردپرس | اقدامات مهمی که برای ارتقای سئو وردپرس باید انجام دهید
هنوز هم هکرهای وجود دارند که اطلاعات ناخواسته را در سراسر اینترنت منتشر می کنند. بیشتر ما این نوع پیام های اسپم را در بخش نظرات وبلاگ یا در جعبه های ایمیل خود مشاهده کرده ایم. این اطلاعات پس از هک وب سایت و دسترسی به لیست ایمیل کاربران توسط هکرها منتشر می شود.
با دستیابی به اطلاعات حساس و خصوصی ، هکرها می توانند آن را برای درآمد خود بفروشند و در نتیجه مردم را وادار به پرداخت پول می کنند تا اطلاعات خصوصی آن ها را به دست دیگران نرسانند.
بنابراین ، انگیزه اصلی هکرها چیست؟ ایجاد جریان نقدی برای خودشان. اینترنت مکانی پردرآمد است که به همه اقشار جامعه فرصت تولید دستمزد زندگی را می دهد. با این حال ، این بدان معنا نیست که همه این کار را به روشی قانونی و اخلاقی انجام می دهند. بسیاری از هکرها حتی از کوچکترین وب سایت ها سود بالایی کسب می کنند.
پول انگیزه مورد نیاز آنها است ، اما برخی از آنها از احساس قدرتی که با موفقیت در شکستن یک وب سایت کسب می کنند ، لذت می برند ، اما اکثریت قریب به اتفاق صرفاً به دنبال پول هستند.
نقاط آسیب پذیر سایت وردپرسی چیست
آسیب پذیری وردپرس یک نقطه ضعف یا نقص در یک قالب ، پلاگین یا هسته وردپرس است که می تواند توسط یک هکر مورد سو استفاده قرار بگیرد. به عبارت دیگر ، آسیب پذیری های وردپرس یک نقطه ورود ایجاد می کند که یک هکر می تواند برای انجام فعالیت های مخرب از آن استفاده کند.
به خاطر داشته باشید که هک وب سایت ها تقریباً بصورت اتوماتیک انجام می شود. به همین دلیل ، هکرها تقریباً در هر زمانی به راحتی می توانند به تعداد زیادی از وب سایت ها نفوذ کنند. هکرها از ابزارهای ویژه ای استفاده می کنند که اینترنت را اسکن می کنند و به دنبال آسیب پذیری های شناخته شده هستند.
هکرها اهداف آسان را دوست دارند و داشتن وب سایتی که در حال اجرای نرم افزاری با آسیب پذیری های شناخته شده است مانند این است که دستورالعمل های گام به گام هکر را برای نفوذ به وب سایت ، سرور ، رایانه یا هر دستگاه متصل به اینترنت در اختیار یک هکر قرار می دهد.
دلایل معمول مورد استفاده در هک سایت وردپرسی
هکرها برای دسترسی به وب سایت ها از نقاط ورودی آسیب پذیر استفاده می کنند. این نقاط ورود شامل سرورهای میزبان ضعیف ، درهای پشتی و حتی صفحه ورود به وردپرس از طریق حملات brute force است.
- در پشتی یا Backdoors - هکرها می توانند برای ورود به سایت از نقطه آسیب پذیری به نام درب پشتی استفاده کنند. این بدان معنی است که آنها بدون نیاز به گذر از صفحه ورود استاندارد وردپرس ، یک نقطه ورود ایجاد می کنند. روش های مختلفی برای ایجاد ورودی backdoor برای دستیابی غیر مجاز به سایت وردپرس وجود دارد.
- حملات Brute force - این شکل از حمله ساده ترین روش دسترسی به سایت را مورد سو استفاده قرار می دهد. با تلاش برای حدس زدن نام های کاربری و گذرواژه ها ، بارها و بارها ، تا زمانی که موفق شوند می توانند صفحه لاگین را امتحان کنند. سایت های وردپرس به طور پیش فرض به ویژه در معرض حملات brute force قرار دارند زیرا سیستم اجازه ورود نامحدود را می دهد.
- اسکریپت نویسی متقابل سایت یا XSS - برنامه نویسی متقابل سایت (XSS) نوعی حمله بدافزار است که با بهره برداری از نقاط ضعف بین سایت در هر سایت وردپرسی انجام می شود. در واقع ، این متداول ترین روش برای هک شدن سایت های وردپرس است زیرا تعداد زیادی پلاگین وردپرس وجود دارد که دارای آسیب پذیری XSS هستند.
- اجرای کد از راه دور - اصطلاح اجرای کد از راه دور (RCE) به چندین تکنیک مختلف هک و حملات سایبری اشاره دارد ، اما همه آنها یک چیز عمده مشترک دارند. RCE که گاهی اوقات به آن تزریق کد نیز گفته می شود ، روشی فزاینده برای هکرها برای به خطر انداختن وب سایت های مختلف از جمله سایت هایی است که وردپرس را به عنوان سیستم مدیریت محتوای خود اجرا می کنند.
- SQL injection - تزریق SQL (SQLi)، حمله ای است که به هکرها امکان می دهد از کوئری های SQL برای اجرای درخواست خود استفاده کنند. تزریق SQL زمانی اتفاق می افتد که یک مهاجم قادر به اجرای کد SQL خود بر روی سرور باشد.
- آیتم لیست
چرا سایت های وردپرسی هک می شوند
1. میزبانی یا هاستینگ با کیفیت پایین
همه میزبانهای وب با یک استاندارد ساخته نشده اند و انتخاب یکی از آنها فقط با لحاظ کردن قیمت خدمات هاستینگ، ممکن است در طولانی مدت با مشکلات امنیتی هزینه بیشتری برای شما داشته باشد. بیشتر محیط های میزبانی مشترک امن هستند ، اما برخی از آنها حساب کاربران را به درستی جدا نمی کنند.
2. پسورد ضعیف
گذرواژه های ضعیف رویای یک هکر است که به حقیقت می پیوندد. به همین دلیل رمزهای عبور ایمن یکی از بزرگترین کلیدها برای دور نگه داشتن سایت وردپرس از موفقیت هک شدن است.
بسیار مهم است که شما از رمزهای عبور بسیار منحصر به فرد و قوی برای هر یک از حساب های زیر استفاده کنید. هر یک از آنها می تواند به یک هکر با نیت بد اجازه دسترسی به سایت شما و آسیب رساندن به اعتبار و نام تجاری شما را بدهد.
- همه حساب های ادمین وردپرس
- حساب کنترل پنل میزبانی وب سایت یا cPanel
- همه حساب های FTP
- پایگاه داده وردپرس
- تمام حساب های ایمیل که برای حساب میزبانی یا مدیر وردپرس شما استفاده می شود
3. آپدیت نکردن هسته وردپرس، قالب و پلاگین ها
هنگامی که سایت وردپرس شما نسخه های منسوخ شده افزونه ها ، تم ها یا وردپرس را اجرا می کند ، خطر سوء استفاده های شناخته شده در سایت خود را دارید. به روزرسانی ها فقط برای بوجود آمدن ویژگی های جدید یا رفع اشکال نیستند. آنها می توانند شامل وصله های امنیتی باشند. اکثر هک های موفق از حفره هایی که در نرم افزارهای منسوخ شده وجود دارد استفاده می کنند.
بیشتر بخوانید:
افزونه های مهم وردپرس + چرا باید از این پلاگینها استفاده کنیم
اگر می ترسید که اجرای به روزرسانی به سایت شما آسیب برساند یا آن را به طور کامل خراب کند ، مهم است که یک افزونه پشتیبان وردپرس را اجرا کنید که در صورت بروز وخیم ترین حالت ممکن فوراً سایت شما را بازیابی کند.
BackupBuddy یکی از بهترین و آسان ترین راه حل ها برای نگهداری پشتیبان از سایت وردپرس شما در همه زمان ها است. اگر به هر دلیلی مشکلی پیش آمد یا سایت شما خراب شد ، می توانید سریع نسخه قبلی را برگردانید و از ابتدا شروع کنید.
4. عدم استفاده از احراز هویت دو عاملی
علاوه بر استفاده از رمزهای عبور قوی ، افزودن احراز هویت دو عاملی وردپرس یکی از بهترین روش ها برای ایمن سازی ورود به سیستم سایت شماست. احراز هویت دو عاملی کاربران را مجبور می کند علاوه بر نام کاربری و رمز ورود ، از رمز تأیید اعتبار برای ورود به وردپرس نیز استفاده کنند.
حتی اگر نام کاربری و گذرواژه کاربر به دست هکر افتاده باشد ، اگر کاربر از برنامه تلفن همراه برای دریافت رمز تأیید اعتبار خود استفاده کند، می توان از ورود به سیستم توسط سایرین جلوگیری کرد. احراز هویت دو عاملی یک لایه فوق العاده قوی امنیتی به سایت وردپرس شما اضافه می کند و به راحتی می توانید با استفاده از افزونه ای مانند iThemes Security به آن دسترسی داشته باشید.
در حقیقت ، تحقیقات اخیر گوگل تأیید می کند که استفاده از احراز هویت دو عاملی می تواند 100٪ حملات خودکار ربات را متوقف کند.
5. نصب نرم افزار از منابع نامعتبر
با یک جستجوی سریع، ده ها وب سایت در سرتاسر وب می توانید پیدا کنید که سعی دارند تم ها و افزونه های وردپرس برتر یا پولی را کاملاً رایگان توزیع کنند. بارگیری افزونه ها و مضامین از این منابع بسیار غیر قابل اعتماد برای سلامتی سایت شما بسیار خطرناک است. آنها نه تنها امنیت سایت شما را به خطر می اندازند ، بلکه به راحتی توسط هکرها برای سرقت اطلاعات بسیار حساس مورد استفاده قرار می گیرند.
اجرای یک وب سایت بدون SSL
وقتی شخصی از سایت وردپرس شما بازدید می کند ، یک خط ارتباطی بین دستگاه او و سرور شما آغاز می شود. این ارتباط مستقیم نیست و اطلاعاتی که بین بازدید کننده و سرور شما ارسال می شود قبل از اینکه به مقصد نهایی برسد ، چندین توقف در مسیر دارد.
وقتی بازدید کننده ای به سایت وردپرسی شما وارد می شود و اطلاعات پرداخت پول را وارد می کند ، این اطلاعات به طور پیش فرض رمزگذاری نمی شود. بنابراین، اطلاعات ورود به سیستم و جزئیات کارت اعتباری در هر توقف بین رایانه بازدید کننده و سرور شما کشف می شود.
خوشبختانه ، ارتباط رمزگذاری نشده یکی از ساده ترین آسیب پذیری های امنیتی وردپرس است. افزودن گواهینامه SSL یک روش عالی برای رمزگذاری و بسته بندی ارتباطات در سایت است تا اطمینان حاصل شود که فقط گیرندگان در نظر گرفته شده می توانند اطلاعات حساس به اشتراک گذاشته شده را مشاهده کنند. میزبان شما ممکن است سرویسی برای افزودن گواهینامه SSL به سایت وردپرس شما ارائه دهد یا خودتان می توانید گواهی SSL را به سایت خود اضافه کنید.
سخن آخر
در حالی که آسیب پذیری های وردپرس ترسناک هستند ، خبر خوب این است که بیشتر آسیب پذیری های وردپرس قبل از اینکه افراد بد بتوانند از آنها سو استفاده کنند ، کشف و تصحیح می شوند. شما می توانید با به روز نگه داشتن هسته وردپرس و افزونه ها و قالب های خود ، از وب سایت خود در برابر آسیب پذیری محافظت کنید.
https://ithemes.com/why-wordpress-sites-get-hacked/
