در حال بارگذاری فایل ...
اپ ویتریندسترسی آسان‌تر

۱۱ اشتباه مهلک که باعث هک سایت وردپرس می‌‌شود

امروزه به‌دلیل دسترسی راحت به اینترنت، تولید و انتشار محتوا در فضای دیجیتال بسیار رایج شده ‌است. افراد و گروه‌های زیادی به دنبال راهی برای انتشار محتوا، از اطلاعات و نوشته‌های شخصی گرفته تا اطلاعات مربوط به کسب‌وکارشان هستند. وُردپرس (Wordpress) یکی از سیستم‌‌های معروف مدیریت محتواست. بسیاری از وبلاگ‌ها و سایت‌ها برای انتشار متن، تصویر و ویدئو در اینترنت، از وردپرس بهره می‌گیرند. درصد درخور توجهی از وب‌سایت‌ها امروزه با وردپرس راه‌اندازی می‌شوند و به همین دلیل تعداد اشتباه‌هایی که منجر به هک سایت وردپرس می‌شود به نسبت روش‌های دیگر طراحی سایت، بالاست.

وردپرس یک سیستم منبع‌باز (Open Source) است. یعنی برنامه‌نویسان می‌توانند به‌صورت مستقیم کدهای آن را ویرایش و طبق سلیقهٔ خودشان آن را دست‌کاری کنند. اما همین محبوبیت و منبع‌باز بودن، می‌تواند برای کاربرانش مشکلات امنیتی به وجود بیاورد. مرتکب شدن برخی اشتباهات در حین کار با وردپرس باعث می‌شود سایت شما در معرض هک قرار بگیرد. برای هک نشدن وبلاگ یا سایت وردپرسی خودتان بهتر است ابتدا این اشتباه‌ها را بشناسید. در این نوشته پس از معرفی این اشتباه‌ها، راه‌های مقابله با آن‌ها را نیز می‌گوییم تا سایت وردپرسی شما امنیت بیشتری داشته باشد.

هکر سایت وردپرس چکار می‌کند؟

معمولاً هکرها انگیزه‌های متفاوتی دارند و بنا بر انگیزه خود اقداماتی را انجام می‌دهند که در ادامه به برخی از آن‌ها اشاره می‌کنیم:

  • تغییر ظاهر سایت

برخی از هکرها برای سرگرمی به وب سایت شما حمله می‌کنند و ظاهر وب سایت شما را تغییر می‌دهند.

  • تزریق بدافزار

بدافزار بیت‌های کوچکی از کد است که برای ایجاد تغییرات مخرب در سایت استفاده می‌شود. خیلی از هکرها سایت شما را به بدافزار آلوده می‌کنند که هر چه زمان بیش‌‌تری باقی بماند، آسیب بیش‌تری وارد می‌کند. از طرف دیگر هرچه صدمه بیش‌تری به سایت شما وارد شود، تمیز کردن و بازیابی آن سخت‌تر است.

  • تخریب سئو

هکرها یک درب پشتی به سایت شما متصل می‌کنند و از راه دور کلمات کلیدی آن را کنترل می‌کنند. آن‌ها ترافیک را از سایت شما به سمت سایت‌های کلاهبرداری و غیرمعتبر هدایت می‌کنند. با این کار اعتبار سایت شما  نزد کاربران و موتورهای جست‌وجو از بین می‌رود و رتبه آن کاهش پیدا می‌کند.

  • استفاده از اطلاعات

با دستیابی به اطلاعات حساس و خصوصی، هکرها می‌توانند آن را برای درآمد خود بفروشند یا حتی آن را در دست بگیرند و در نتیجه مردم را وادار به پرداخت پول می‌کنند تا اطلاعاتشان به دست دیگران نرسد.

۱. استفاده از میزبان (هاست) نامطمئن عاملی در هک سایت وردپرس

مثل تمام وب‌سایت‌ها، سایت‌های وردپرس هم روی یک سرور میزبانی می‌شوند. برخی شرکت‌های میزبانی امنیت پلتفرمشان را به‌خوبی تأمین نمی‌کنند و این باعث می‌شود تمام وب‌سایت‌هایی که روی آن سرور میزبانی می‌شوند در برابر هکرها آسیب‌پذیر باشند. اما با انتخاب میزبان مناسب به‌راحتی می‌توانید از هک سایت وردپرس جلوگیری کنید.

راه حل:

بنابراین توصیه می‌شود از سرورهای میزبانی ایمن استفاده کنید. اینگونه ارائه‌دهندگان خدمات به دلیل رعایت مسائل امنیتی می‌توانند با بدافزارها، تروجان‌ها و دیگر مشکلاتی که هکرها بوجود می‌آورند مبارزه کنند. طبعاً سرورهای توانمند و مناسب این ویژگی را دارند که شمار زیادی از متداول‌ترین حملات به سایت‌های وردپرس را خنثی کنند.

۲. استفاده از رمز عبور ضعیف

رمزی که انتخاب می‌کنید نباید تشخیص‌دادنی و قابل حدس زدن باشد، چرا که اگر یک هکر به هر طریقی به رمزهای شما دست یابد، به چندین حساب شما دسترسی خواهد داشت؛ حساب‌هایی از قبیل حساب مدیریت وردپرس، حساب کنترل‌‌پنل میزبان وب، حساب‌های FTP و ... . رمز‌ها مانند کلید‌های سایت وردپرس شماست. باید مطمئن شوید که برای هریک از حساب‌هایتان از رمزی قوی و منحصربه‌فرد استفاده می‌کنید که مانع دسترسی هکر به وب‌سایت‌تان می‌شود.

راه حل:

انتخاب رمز دم‌دستی و ضعیف به هکرها این امکان را می‌دهد که با استفاده از روش‌های مختلف، خیلی ساده رمز شما را پیدا کنند. لطفا سراغ رمز ۱۲۳۴۵۶ نروید! حساب‌هایی که رمز آن‌ها لو رفته است دغدغه‌ای اساسی و بزرگ هستند و روشی آسان برای هک سایت وردپرس به حساب می‌آید. ایجاد گذرواژه‌ای که تشخیص آن دشوار باشد و همچنین استفاده نکردن از رمز عبور مشابه برای وب‌سایت‌های مختلف نکته‌ای است که باید همیشه به یاد داشته باشید. علاوه بر این، می‌توانید از ابزارهای امنیتی مانند احراز هویت دو عاملی (Two Factor Authentication) در وردپرس استفاده کنید.

هک سایت وردپرس به روش تشخیص رمز

۳. استفاده از واژهٔ «admin» برای نام کاربری وردپرس

استفاده از واژهٔ «admin» به‌عنوان نام کاربری‌ به هیچ وجه توصیه نمی‌شود. اگر نام کاربری حساب وردپرس شما کلمهٔ «admin» است هرچه زودتر آن را تغییر دهید و نامی متفاوت انتخاب کنید. سعی کنید نامی انتخاب کنید که حدس زدن آن دشوار باشد.

۴. دسترسی محافظت‌نشده به دایرکتوری مدیر وردپرس (wp-admin Directory)

ناحیهٔ مدیریت (ادمین) به کاربر این امکان را می‌‌‌‌دهد تا در سایت وردپرس کارهای مختلفی انجام دهد. این بخش متداول‌‌ترین بخش سایت وردپرس است که هکرها به آن حمله می‌کنند و ممکن است باعث هک سایت وردپرس شود. ناحیهٔ مدیریت یکی از آسیب‌پذیرترین بخش‌هاست. اگر این ناحیه را محافظت‌نشده بگذارید به هکرها اجازه داده‌اید از راه‌های مختلف وب‌سایت شما را هک کنند.

راه حل:

می‌توانید با افزودن لایه‌های اعتبارسنجی به دایرکتوری مدیریت وردپرس خود، کار هکرها را دشوار ‌کنید. بنابراین افزودن لایه‌های تأیید اعتبار به ناحیهٔ مدیریت، باعث محافظت بهتر از آن می‌شود. همچنین می‌توانید نام کاربری مدیر وردپرس را تغییر دهید و احراز هویت دوعاملی را ایجاد کنید، زیرا یک لایهٔ امنیتی بیشتر اضافه می‌کند و هر کسی که بخواهد به مدیریت وردپرس دسترسی پیدا کند باید رمز عبور اضافی را ارائه کند.

۵. به‌روز نکردن وردپرس

برخی از کاربران وردپرس از اینکه سایتشان را به‌روزرسانی کنند نگران می‌شوند. بیشتر به این خاطر که می‌ترسند اگر سایتشان را به‌روزرسانی کنند مشکلی برای آن به وجود بیاید. هر نسخهٔ جدیدی از وردپرس باعث می‌شود آسیب پذیری‌های امنیتی و باگ‌ها برطرف شود. اگر وردپرس را به‌روز نکنید انگار که عمداً دست خرابکاران را برای هک سایت وردپرس خود باز گذاشته‌اید!

راه حل:

اگر نگران این هستید که به‌روزرسانی باعث مشکل‌دار شدن سایتتان ‌شود می‌توانید قبل از به‌روزرسانی، از آن نسخهٔ پشتیبان تهیه کنید. با این روش اگر هر بخشی از سایت به هر علتی کار نکرد به‌راحتی می‌توانید آن را به نسخهٔ قبلی برگردانید.

۶. به‌روزنکردن افزونه یا قالب سایت وردپرس

به‌روزرسانی قالب و افزونه‌ها هم مثل به‌روزرسانی هستهٔ نرم‌افزاری وردپرس بسیار مهم است. باگ‌‌ها و رخنه‌های امنیتی که اغلب در قالب و افزونه‌های وردپرس ظاهر می‌شوند، یکی از محبوب‌ترین راه‌های هک سایت وردپرس توسط هکرها هستند. برنامه‌نویسان قالب و افزونه‌ها معمولاً می‌توانند اشکالات آن‌ها را سریع رفع و رجوع کنند. اما اگر کاربری آن‌‌‌ها را به‌روز نکرده باشد کار زیادی از دست آن‌ها بر نمی‌آید.

راه حل:

همیشه مطمئن شوید که قالب و افزونه‌های وردپرستان را به‌روز کرده‌اید.

۷. استفاده از افزونه‌ها یا قالب‌های نال‌شده (nulled)

بسیاری از وب‌سایت‌ها وجود دارند که افزونه‌ها و قالب‌های رایگان در اختیار کاربران قرار می‌دهند. گاهی وسوسه‌انگیز است که از آن افزونه‌ها و قالب‌ها برای وب‌سایتتان استفاده کنید. دانلود کردن افزونه‌ها و قالب‌های وردپرس از منابع نامطمئن کار بسیار خطرناکی است، چون یکی از آسان‌ترین راه‌ها برای هک سایت وردپرس هستند. چنین افزونه‌ها و قالب‌های نامطمئنی نه‌تنها امنیت وب‌سایت را به خطر می‌اندازد بلکه می‌تواند اطلاعات حساسی را هم به سرقت ببرد. اگر برای طراحی سایت فروشگاهی و فروشگاه آنلاین خود از قالب‌های رایگان یا آمادهٔ وردپرس استفاده کرده‌اید باید از امنیت قالب و افزونهٔ مورد استفاده مطمئن شوید. وقتی بحث تراکنش‌های مالی آنلاین در میان باشد، بی‌دقتی به موضوع امنیت سایت می‌تواند خسارت‌های زیادی به برند فروشگاه شما وارد کند.

هک سایت وردپرسی

راه حل:

همیشه باید افزونه‌ها و قالب‌های وردپرس را از منابع معتبر دانلود کنید، منابعی از قبیل سایت رسمی توسعه‌ دهندگان قالب‌ها و افزونه‌ها یا مرکز رسمی وردپرس. اگر نمی‌توانید قالب‌ها و افزونه‌های پولی وردپرس را تهیه کنید، طبعاً می‌توانید جایگزین‌های رایگان نسبتاً مطمئنی برای این محصولات پیدا کنید. این افزونه‌ها و قالب‌های رایگان شاید به خوبی همتایان پولی‌شان نباشند اما می‌توانند کار شما را راه بیندازند و از همه مهم‌تر اینکه وب‌سایت شما را امن نگه دارند. البته اگر خوش‌شانس باشید گاهی هم ممکن است بتوانید محصولات وردپرس را با تخفیف مناسبی تهیه کنید!

۸. مجوزهای فایل (File Permissions) نادرست

مجوزهای فایل مجموعه قوانینی است که سرور وضع کرده است. این مجوزها به سرور کمک می‌‌کند دسترسی به فایل‌های وب‌سایت شما را کنترل کند. مجوزهای اشتباهی می‌تواند این امکان را برای هکرها ایجاد کند که فایل‌های جدیدی ایجاد کنند یا فایل‌های موجود را تغییر دهند.

راه حل:

تمامی فایل‌های وردپرس شما باید مقدار ۶۴۴ را به‌عنوان مجوز فایل دارا باشند و تمامی پوشه‌ها در سایت وردپرس باید مقدار ۷۵۵ را به‌عنوان مجوز فایل داشته باشند.

مجوز فایل وردپرسی

۹. استفاده از FTP به‌جای SFTP/SSH

پروتکل FTP یا File Transfer Protocol یک استاندارد برای انتقال فایل بین سرور و کلاینت است. با استفاده از این پروتکل، میزبان سایت شما قادر است فایل‌های مربوط به سایت را برای هر کاربری که درخواست مشاهدهٔ سایت شما را داشته باشد، بفرستد. اگر شما با استفاده از حالت سادهٔ این پروتکل (Plain FTP) بخواهید وارد ناحیهٔ مدیریت سایت وردپرسی خودتان شوید و فایل‌های خود را تغییر دهید، گذرواژهٔ مدیریت شما نیز به صورت رمزنگاری‌نشده به سرور سایتتان ارسال می‌شود. در نتیجه به‌راحتی امکان دزدیدن آن توسط هکرها وجود دارد.

راه حل:

برای انتقال فایل به‌صورت امن‌تر، پروتکل‌های دیگری مثل SFTP یا SSH توسعه داده شده‌اند تا سوء استفاده از مسیر انتقال فایل‌ها بین سرور و کلاینت کمتر شود. باید حواستان باشد که به‌جای FTP همیشه از SFTP یا SSH استفاده کنید.

روش‌های جلوگیری از هک سایت وردپرس

۱۰. فایل پیکربندی wp-config.php ناایمن

فایل پیکربندی wp-config.php حاوی ابزارهای احراز هویت برای ورود به بخش دیتابیس سایت وردپرسی شماست. اگر این فایل در معرض خطر قرار گیرد اطلاعاتی در اختیار هکرها قرار خواهد گرفت که با استفاده از آن‌ها می‌توانند به وب‌سایت شما دسترسی کامل داشته باشند.

راه حل:

با افزودن یک لایهٔ اضافی، دسترسی به فایل پیکربندی wp-config.php را قطع کنید. این لایهٔ اضافی افزودن کد زیر به فایل htaccess. است:

<files wp-config.php>

order allow,deny

deny from all

</files>

۱۱. تغییر ندادن پیشوند جدول در وردپرس

بسیاری از کارشناسان توصیه می‌کنند که پیشوند جدول پیش‌فرض را در وردپرس تغییر دهیم. وردپرس به‌صورت پیش‌فرض پیشوند _wp را در جدول‌هایی که در دیتابیس شما ایجاد می‌کند استفاده می‌کند. شما این امکان را دارید که هنگام نصب، آن را تغییر دهید. توصیه می‌شود پیشوندی استفاده کنید که کمی پیچیده‌‌تر باشد. این موضوع کار هکرها را برای هک سایت وردپرس شما دشوارتر می‌کند تا نتوانند نام‌های جدول‌های دیتابیستان را حدس بزنند.

راه‌ جلوگیری از هک سایت وردپرس چیست؟

ورود اینترنت به زندگی انسان انتقال اطلاعات را بسیار راحت‌تر کرده است اما هر چیزی علاوه بر جنبه‌های مثبت اشکالاتی هم دارد. تنها با رعایت چند نکتهٔ ساده می‌توانید امنیت وبسایتتان را بیشتر کنید و جلوی هک سایت وردپرس خود را بگیرید. شما هم حتماً شنیده‌اید که پیشگیری بهتر از درمان است. به خاطر داشته باشید که دوباره ایمن‌ کردنِ یک سایت وردپرس هک‌شده هرچند ناممکن نیست، واقعاً کاری طاقت‌فرساست. پس بهتر است تا جایی که ممکن است مسائل امنیتی (مخصوصاً موارد ذکرشده در این مقاله) را رعایت کنید تا در آینده با مشکل روبه‌رو نشوید.

ابزارها و خدمات گوناگونی برای افزایش امنیت سایت‌های وردپرسی وجود دارد. مثلاْ می‌توانید از خدماتی مانند سوکوری (sucuri) استفاده کنید. سوکوری بدافزارها را ردیابی می‌کند و خدمات ایمن‌سازی را در اختیار متقاضیان قرار می‌دهد و همچنین دیوار آتشین (Firewall) برای وب‌سایت فراهم می‌آورد تا آن را در برابر حملات معمول هکرها محافظت کند. اما شاید راه بهتر این باشد که از ابتدا تصمیم بگیرید آیا می‌خواهید با مشکلات امنیتی سایت وردپرسی کنار بیایید و آن‌ها را بپذیرید یا اینکه راه‌های جایگزینی برای طراحی سایت مثل نرم‌افزارهای اختصاصی سایت ساز را انتخاب کنید که اتفاقا در کارایی دست‌کمی از وردپرس ندارند و از طرف دیگر، اگر مانند ویترین از پایه کدنویسی شده باشند، امنیت بالایی نیز دارند. انتخاب با شماست اما تفاوت اینجاست که با ویترین همیشه خیالتان راحت است که پشتیبانی حرفه‌ای و مطمئن کنارتان حضور دارد.

* این نوشته با استفاده از مقاله‌ای مشابه در سایت wpbeginner تهیه شده است.

فرمی برای نمایش انتخاب نشده است.
ویترین‌بلاگ
ویترین‌بلاگ مرجع آموزشی کسب‌وکارهای آنلاین است؛ از آموزش گام به گام راه‌اندازی فروش آنلاین و راهکارهای دیجیتال مارکتینگ گرفته تا داستان موفقیت ویترین‌ها. محتوای کاربردی ویترین‌بلاگ همیشه با هدف برطرف کردن نیاز آموزشی کسب‌وکارها برای فروش آنلاین تولید می‌شود.
تمامی حقوق مادی و معنوی این سایت متعلق به ویترین می‌باشد.