You need to enable JavaScript to run this app.
هک سایت وردپرس

۱۱ اشتباه مهلک که باعث هک سایت وردپرس می‌‌شود

این روزها به‌دلیل دسترسی راحت به اینترنت، تولید و انتشار محتوا در فضای دیجیتال خیلی رایج شده. افراد و گروه‌های زیادی دنبال راهی برای انتشار محتوا، از اطلاعات و نوشته‌های شخصی گرفته تا اطلاعات مربوط به کسب‌وکارشون هستن. وُردپرس (Wordpress) یکی از سیستم‌‌های معروف مدیریت محتواست. خیلی از وبلاگ‌ها و سایت‌ها برای انتشار متن، تصویر و ویدئو در اینترنت، از وردپرس استفاده می‌کنن. درصد درخور توجهی از وب‌سایت‌ها امروزه با وردپرس راه‌اندازی میشن و به همین دلیل تعداد اشتباه‌هایی که منجر به هک سایت وردپرس میشه به نسبت روش‌های دیگهٔ طراحی سایت، بالاست.

وردپرس یک سیستم منبع‌باز (Open Source) هست. یعنی برنامه‌نویس‌ها می‌تونن به‌صورت مستقیم کدهای اون رو ویرایش و طبق سلیقهٔ خودشون اون رو دست‌کاری کنن. اما همین محبوبیت و منبع‌باز بودن، می‌تونه برای کاربرانش مشکلات امنیتی به وجود بیاره. مرتکب شدن بعضی اشتباهات در حین کار با وردپرس باعث میشه سایت شما در معرض هک قرار بگیره. برای هک نشدن وبلاگ یا سایت وردپرسی خودتون بهتره ابتدا این اشتباه‌ها رو بشناسید. در این مقاله بعد از معرفی این اشتباه‌ها، راه‌های مقابله با اون‌ها رو هم می‌گیم تا سایت وردپرسی شما امنیت بیشتری داشته باشه.

هکر سایت وردپرس چیکار می‌کنه؟

معمولا هکرها انگیزه‌های متفاوتی دارن و بنا بر انگیزه‌شون اقداماتی رو انجام میدن که در ادامه به بعضی از اون‌ها اشاره می‌کنیم:

هکر سایت وردپرستغییر ظاهر سایت

بعضی از هکرها برای سرگرمی به وب سایت شما حمله می‌کنن و ظاهر وب سایت شما رو تغییر میدن.

تزریق بدافزار

بدافزار بیت‌های کوچکی از کد هست که برای ایجاد تغییرات مخرب در سایت استفاده میشه. خیلی از هکرها سایت شما رو به بدافزار آلوده می‌کنن که هر چه زمان بیش‌‌تری باقی بمونه، آسیب بیش‌تری وارد می‌کنه. از طرف دیگه هر چقدر صدمه بیش‌تری به سایت شما وارد بشه، تمیز کردن و بازیابی اون سخت‌تره.

تخریب سئو

هکرها یک درب پشتی به سایت شما متصل می‌کنن و از راه دور کلمات کلیدی اون رو کنترل می‌کنن. اون‌ها ترافیک رو از سایت شما به سمت سایت‌های کلاهبرداری و غیرمعتبر هدایت می‌کنن. با این کار اعتبار سایت شما  نزد کاربران و موتورهای جست‌وجو از بین میره و رتبه اون کاهش پیدا می‌کنه.

استفاده از اطلاعات

با دستیابی به اطلاعات حساس و خصوصی، هکرها می‌تونن اون رو برای درآمد خودشون بفروشن یا حتی اون رو در دست بگیرن و در نتیجه مردم رو وادار به پرداخت پول می‌کنن تا اطلاعاتشون به دست بقیه نرسه.

۱. استفاده از میزبان (هاست) نامطمئن عاملی در هک سایت وردپرس

مثل تمام وب‌سایت‌ها، سایت‌های وردپرس هم روی یک سرور میزبانی میشن. بعضی شرکت‌های میزبانی امنیت پلتفرمشون رو به‌خوبی تامین نمی‌کنن و این باعث میشه تمام وب‌سایت‌هایی که روی اون سرور میزبانی میشن در برابر هکرها آسیب‌پذیر باشن. اما با انتخاب میزبان مناسب به‌راحتی می‌تونید از هک سایت وردپرس جلوگیری کنید.

راه حل:

بنابراین توصیه میشه از سرورهای میزبانی ایمن استفاده کنید. این دسته از ارائه‌دهندگان خدمات به دلیل رعایت مسائل امنیتی می‌تونن با بدافزارها، تروجان‌ها و مشکلات دیگه‌ای که هکرها بوجود میارن مبارزه کنن. طبعا سرورهای توانمند و مناسب این ویژگی رو دارن که شمار زیادی از متداول‌ترین حملات به سایت‌های وردپرس رو خنثی کنن.

۲. استفاده از رمز عبور ضعیف

رمزی که انتخاب می‌کنید نباید تشخیص‌دادنی و قابل حدس زدن باشه، چون اگر یک هکر به هر طریقی به رمزهای شما دست پیدا کنه، به چندین حساب شما دسترسی پیدا می‌کنه؛ حساب‌هایی از قبیل حساب مدیریت وردپرس، حساب کنترل‌‌پنل میزبان وب، حساب‌های FTP و ... . رمز‌ها مثل کلید‌های سایت وردپرس شما هستن. باید مطمئن بشید که برای هر یک از حساب‌هاتون از رمزی قوی و منحصربه‌فرد استفاده می‌کنید که مانع دسترسی هکر به وب‌سایت‌تون میشه.

راه حل:

انتخاب رمز دم‌دستی و ضعیف به هکرها این امکان رو میده که با استفاده از روش‌های مختلف، خیلی ساده رمز شما رو پیدا کنن. لطفا سراغ رمز ۱۲۳۴۵۶ نرید! حساب‌هایی که رمز اون‌ها لو رفته دغدغه‌ای اساسی و بزرگ هستن و روشی آسون برای هک سایت وردپرس به حساب میان. استفاده گذرواژه‌ای که تشخیص اون دشوار باشه و همچنین استفاده نکردن از رمز عبور مشابه برای وب‌سایت‌های مختلف نکته‌ای هست که باید همیشه به یاد داشته باشید. علاوه بر این، می‌تونید از ابزارهای امنیتی مثل احراز هویت دو عاملی (Two Factor Authentication) در وردپرس استفاده کنید.

۳. استفاده از واژهٔ «admin» برای نام کاربری وردپرس

استفاده از واژهٔ «admin» به‌عنوان نام کاربری‌ به هیچ وجه توصیه نمیشه. اگر نام کاربری حساب وردپرس شما کلمهٔ «admin» هست هرچه زودتر اون رو تغییر بدید و نامی متفاوت انتخاب کنید. سعی کنید اسمی انتخاب کنید که حدس زدن اون دشوار باشه.

۴. دسترسی محافظت‌نشده به دایرکتوری مدیر وردپرس (wp-admin Directory)

ناحیهٔ مدیریت (ادمین) به کاربر این امکان رو میده تا در سایت وردپرس کارهای مختلفی انجام بده. این بخش متداول‌‌ترین بخش سایت وردپرس هست که هکرها به اون حمله می‌کنن و ممکنه باعث هک سایت وردپرس بشه. ناحیهٔ مدیریت یکی از آسیب‌پذیرترین بخش‌هاست. اگر این ناحیه رو محافظت‌نشده بذارید به هکرها اجازه دادید از راه‌های مختلف وب‌سایت شما رو هک کنن.

راه حل:

می‌تونید با اضافه کردن لایه‌های اعتبارسنجی به دایرکتوری مدیریت وردپرس خودتون، کار هکرها رو سخت ‌کنید. بنابراین افزودن لایه‌های تأیید اعتبار به ناحیهٔ مدیریت، باعث محافظت بهتر از اون میشه. همچنین می‌تونید نام کاربری مدیر وردپرس رو تغییر بدید و احراز هویت دو عاملی رو ایجاد کنید، چون یک لایهٔ امنیتی بیشتر اضافه می‌کنه و هر کسی که بخواد به مدیریت وردپرس دسترسی داشته باشه باید رمز عبور اضافی رو ارائه کنه.

پیشنهاد می‌کنیم بخونید:

مزایا و معایب طراحی سایت فروشگاهی با وردپرس

۵. به‌روز نکردن وردپرس

بعضی از کاربران وردپرس از اینکه سایتشون رو به‌روزرسانی کنن نگران میشن. بیشتر به این خاطر که می‌ترسن اگر سایتشون رو به‌روزرسانی کنن مشکلی برای اون به وجود بیاد. هر نسخهٔ جدیدی از وردپرس باعث میشه آسیب پذیری‌های امنیتی و باگ‌ها برطرف بشه. اگر وردپرس رو به‌روز نکنید انگار که عمدا دست خرابکارها رو برای هک سایت وردپرس‌تون باز گذاشتید!

راه حل:

اگر نگران این هستید که به‌روزرسانی باعث مشکل‌دار شدن سایتتون میشه، می‌تونید قبل از به‌روزرسانی، از اون نسخهٔ پشتیبان تهیه کنید. با این روش اگر هر بخشی از سایت به هر علتی کار نکرد به‌راحتی می‌تونید اون رو به نسخهٔ قبلی برگردونید.

۶. به‌روزنکردن افزونه یا قالب سایت وردپرس

به‌روزرسانی قالب و افزونه‌ها هم مثل به‌روزرسانی هستهٔ نرم‌افزاری وردپرس خیلی مهمه. باگ‌‌ها و رخنه‌های امنیتی که اغلب در قالب و افزونه‌های وردپرس ظاهر میشن، یکی از محبوب‌ترین راه‌های هک سایت وردپرس توسط هکرها هستن. برنامه‌نویسان قالب و افزونه‌ها معمولا می‌تونن اشکالات اون‌ها رو سریع رفع و رجوع کنن. اما اگر کاربری اون‌‌‌ها را به‌روز نکرده باشه کار زیادی از دست اون‌ها بر نمیاد.

راه حل:

همیشه مطمئن بشید که قالب و افزونه‌های وردپرس‌تون رو به‌روز کردید.

۷. استفاده از افزونه‌ها یا قالب‌های نال‌شده (nulled)

بسیاری از وب‌سایت‌ها وجود دارن که افزونه‌ها و قالب‌های رایگان در اختیار کاربران قرار میدن. گاهی وسوسه‌انگیزه که از اون افزونه‌ها و قالب‌ها برای وب‌سایتتون استفاده کنید. دانلود کردن افزونه‌ها و قالب‌های وردپرس از منابع نامطمئن کار بسیار خطرناکیه، چون یکی از آسون‌ترین راه‌ها برای هک سایت وردپرس هستن. چنین افزونه‌ها و قالب‌های نامطمئنی نه‌تنها امنیت وب‌سایت رو به خطر میندازه بلکه می‌تونه اطلاعات حساسی رو هم به سرقت ببره. اگر برای طراحی سایت فروشگاهی و فروشگاه آنلاین‌تون از قالب‌های رایگان یا آمادهٔ وردپرس استفاده کردید باید از امنیت قالب و افزونهٔ مورد استفاده مطمئن بشید. وقتی بحث تراکنش‌های مالی آنلاین در میان باشه، بی‌دقتی به موضوع امنیت سایت می‌تونه خسارت‌های زیادی به برند فروشگاه شما وارد کنه.

راه حل:

همیشه باید افزونه‌ها و قالب‌های وردپرس رو از منابع معتبر دانلود کنید، منابعی از قبیل سایت رسمی توسعه‌ دهندگان قالب‌ها و افزونه‌ها یا مرکز رسمی وردپرس. اگر نمی‌تونید قالب‌ها و افزونه‌های پولی وردپرس رو تهیه کنید، طبعا می‌تونید جایگزین‌های رایگان نسبتا مطمئنی برای این محصولات پیدا کنید. این افزونه‌ها و قالب‌های رایگان شاید به خوبی همتایان پولی‌شون نباشن اما می‌تونن کار شما رو راه بندازن و از همه مهم‌تر اینکه وب‌سایت شما رو امن نگه دارن. البته اگر خوش‌شانس باشید گاهی هم ممکنه بتونید محصولات وردپرس رو با تخفیف مناسبی تهیه کنید!

پیشنهاد می‌کنیم بخونید:

آیا قالب آماده می‌تونه نیاز یک سایت فروشگاهی رو برطرف کنه؟

اشتباهاتی ک منجر به هک سایت وردپرس می‌شوند

۸. مجوزهای فایل (File Permissions) نادرست

مجوزهای فایل مجموعه قوانینی هست که سرور وضع کرده. این مجوزها به سرور کمک می‌‌کنه دسترسی به فایل‌های وب‌سایت شما رو کنترل کنه. مجوزهای اشتباهی می‌تونه این امکان رو برای هکرها ایجاد کنه که فایل‌های جدیدی ایجاد کنن یا فایل‌های موجود رو تغییر بدن.

راه حل:

تمامی فایل‌های وردپرس شما باید مقدار ۶۴۴ رو به‌عنوان مجوز فایل دارا باشن و تمامی پوشه‌ها هم در سایت وردپرس باید مقدار ۷۵۵ رو به‌عنوان مجوز فایل داشته باشن.

۹. استفاده از FTP به‌جای SFTP/SSH

پروتکل FTP یا File Transfer Protocol یک استاندارد برای انتقال فایل بین سرور و کلاینت هست. با استفاده از این پروتکل، میزبان سایت شما قادره فایل‌های مربوط به سایت رو برای هر کاربری که درخواست مشاهدهٔ سایت شما رو داشته باشه، بفرسته. اگر شما با استفاده از حالت سادهٔ این پروتکل (Plain FTP) بخواید وارد ناحیهٔ مدیریت سایت وردپرسی خودتون بشید و فایل‌های خودتون رو تغییر بدید، گذرواژهٔ مدیریت شما هم به صورت رمزنگاری‌نشده به سرور سایتتون ارسال میشه. در نتیجه به‌راحتی امکان دزدیده شدن اون توسط هکرها وجود داره.

راه حل:

برای انتقال فایل به‌صورت امن‌تر، پروتکل‌های دیگری مثل SFTP یا SSH توسعه داده شدن تا سوء استفاده از مسیر انتقال فایل‌ها بین سرور و کلاینت کمتر بشه. باید حواستون باشه که به‌جای FTP همیشه از SFTP یا SSH استفاده کنید.

۱۰. فایل پیکربندی wp-config.php ناایمن

فایل پیکربندی wp-config.php حاوی ابزارهای احراز هویت برای ورود به بخش دیتابیس سایت وردپرسی شماست. اگر این فایل در معرض خطر قرار بگیره اطلاعاتی در اختیار هکرها قرار خواهد گرفت که با استفاده از اون‌ها می‌تونن به وب‌سایت شما دسترسی کامل داشته باشن.

راه حل:

با افزودن یک لایهٔ اضافی، دسترسی به فایل پیکربندی wp-config.php رو قطع کنید. این لایهٔ اضافی افزودن کد زیر به فایل htaccess. هست:

<files wp-config.php>

order allow,deny

deny from all

</files>

۱۱. تغییر ندادن پیشوند جدول در وردپرس

بسیاری از کارشناس‌ها توصیه می‌کنن که پیشوند جدول پیش‌فرض رو در وردپرس تغییر بدیم. وردپرس به‌صورت پیش‌فرض پیشوند _wp رو در جدول‌هایی که در دیتابیس شما ایجاد می‌کنه استفاده می‌کنه. شما این امکان رو دارید که هنگام نصب، اون رو تغییر بدید. توصیه میشه پیشوندی استفاده کنید که کمی پیچیده‌‌تر باشه. این موضوع کار هکرها رو برای هک سایت وردپرس شما دشوارتر می‌کنه تا نتونن نام‌های جدول‌های دیتابیستون رو حدس بزنن.

راه‌ جلوگیری از هک سایت وردپرس چیست؟

ورود اینترنت به زندگی انسان انتقال اطلاعات رو بسیار راحت‌تر کرده اما هر چیزی علاوه بر جنبه‌های مثبت اشکالاتی هم داره. تنها با رعایت چند نکتهٔ ساده می‌تونید امنیت وبسایت‌تون رو بیشتر کنید و جلوی هک سایت وردپرس‌تون رو بگیرید. شما هم حتما شنیدید که پیشگیری بهتر از درمانه. به خاطر داشته باشید که دوباره ایمن‌ کردنِ یک سایت وردپرس هک‌شده هرچند ناممکن نیست، واقعا کاری طاقت‌فرساست. پس بهتره تا جایی که ممکنه مسائل امنیتی (مخصوصا موارد ذکرشده در این مقاله) رو رعایت کنید تا در آینده با مشکل روبه‌رو نشید.

ابزارها و خدمات گوناگونی برای افزایش امنیت سایت‌های وردپرسی وجود داره. مثلا می‌تونید از خدماتی مانند سوکوری (sucuri) استفاده کنید. سوکوری بدافزارها رو ردیابی می‌کنه و خدمات ایمن‌سازی رو در اختیار متقاضیان قرار میده و همچنین دیوار آتشین (Firewall) برای وب‌سایت فراهم می‌کنه تا اون رو در برابر حملات معمول هکرها محافظت کنه. اما شاید راه بهتر این باشه که از ابتدا تصمیم بگیرید آیا می‌خواید با مشکلات امنیتی سایت وردپرسی کنار بیاید و اون‌ها رو بپذیرید یا اینکه راه‌های جایگزینی برای طراحی سایت مثل نرم‌افزارهای اختصاصی سایت ساز رو انتخاب کنید که اتفاقا در کارایی دست‌کمی از وردپرس ندارن و از طرف دیگه، اگر مثل ویترین از پایه کد نویسی شده باشن، امنیت بالایی هم دارن. انتخاب با شماست اما تفاوت اینجاست که با ویترین همیشه خیالتون راحته که پشتیبانی حرفه‌ای و مطمئن کنارتون حضور داره.

* این نوشته با استفاده از مقاله‌ای مشابه در سایت wpbeginner تهیه شده.

درخواست مشاوره، خرید و راه‌اندازی سایت با سایت‌ساز ویترین

اگر برای خرید و راه‌اندازی سایت و فروشگاه اینترنتی با سایت‌ساز ویترین به مشاوره نیاز دارید، فرم زیر را تکمیل کنید. با شما تماس می‌گیریم.
نام و نام خانوادگی
شماره موبایل
تیم پشتیبانی و مشاوره سایت ساز ویترین

وبسایت و فروشگاه اینترنتی کسب‌وکار خود را با ویترین بسازید