۱۱ اشتباه مهلک که باعث هک سایت وردپرس میشود
این روزها بهدلیل دسترسی راحت به اینترنت، تولید و انتشار محتوا در فضای دیجیتال خیلی رایج شده. افراد و گروههای زیادی دنبال راهی برای انتشار محتوا، از اطلاعات و نوشتههای شخصی گرفته تا اطلاعات مربوط به کسبوکارشون هستن. وُردپرس (Wordpress) یکی از سیستمهای معروف مدیریت محتواست. خیلی از وبلاگها و سایتها برای انتشار متن، تصویر و ویدئو در اینترنت، از وردپرس استفاده میکنن. درصد درخور توجهی از وبسایتها امروزه با وردپرس راهاندازی میشن و به همین دلیل تعداد اشتباههایی که منجر به هک سایت وردپرس میشه به نسبت روشهای دیگهٔ طراحی سایت، بالاست.
وردپرس یک سیستم منبعباز (Open Source) هست. یعنی برنامهنویسها میتونن بهصورت مستقیم کدهای اون رو ویرایش و طبق سلیقهٔ خودشون اون رو دستکاری کنن. اما همین محبوبیت و منبعباز بودن، میتونه برای کاربرانش مشکلات امنیتی به وجود بیاره. مرتکب شدن بعضی اشتباهات در حین کار با وردپرس باعث میشه سایت شما در معرض هک قرار بگیره. برای هک نشدن وبلاگ یا سایت وردپرسی خودتون بهتره ابتدا این اشتباهها رو بشناسید. در این مقاله بعد از معرفی این اشتباهها، راههای مقابله با اونها رو هم میگیم تا سایت وردپرسی شما امنیت بیشتری داشته باشه.
هکر سایت وردپرس چیکار میکنه؟
معمولا هکرها انگیزههای متفاوتی دارن و بنا بر انگیزهشون اقداماتی رو انجام میدن که در ادامه به بعضی از اونها اشاره میکنیم:
تغییر ظاهر سایت
بعضی از هکرها برای سرگرمی به وب سایت شما حمله میکنن و ظاهر وب سایت شما رو تغییر میدن.
تزریق بدافزار
بدافزار بیتهای کوچکی از کد هست که برای ایجاد تغییرات مخرب در سایت استفاده میشه. خیلی از هکرها سایت شما رو به بدافزار آلوده میکنن که هر چه زمان بیشتری باقی بمونه، آسیب بیشتری وارد میکنه. از طرف دیگه هر چقدر صدمه بیشتری به سایت شما وارد بشه، تمیز کردن و بازیابی اون سختتره.
تخریب سئو
هکرها یک درب پشتی به سایت شما متصل میکنن و از راه دور کلمات کلیدی اون رو کنترل میکنن. اونها ترافیک رو از سایت شما به سمت سایتهای کلاهبرداری و غیرمعتبر هدایت میکنن. با این کار اعتبار سایت شما نزد کاربران و موتورهای جستوجو از بین میره و رتبه اون کاهش پیدا میکنه.
استفاده از اطلاعات
با دستیابی به اطلاعات حساس و خصوصی، هکرها میتونن اون رو برای درآمد خودشون بفروشن یا حتی اون رو در دست بگیرن و در نتیجه مردم رو وادار به پرداخت پول میکنن تا اطلاعاتشون به دست بقیه نرسه.
۱. استفاده از میزبان (هاست) نامطمئن عاملی در هک سایت وردپرس
مثل تمام وبسایتها، سایتهای وردپرس هم روی یک سرور میزبانی میشن. بعضی شرکتهای میزبانی امنیت پلتفرمشون رو بهخوبی تامین نمیکنن و این باعث میشه تمام وبسایتهایی که روی اون سرور میزبانی میشن در برابر هکرها آسیبپذیر باشن. اما با انتخاب میزبان مناسب بهراحتی میتونید از هک سایت وردپرس جلوگیری کنید.
راه حل:
بنابراین توصیه میشه از سرورهای میزبانی ایمن استفاده کنید. این دسته از ارائهدهندگان خدمات به دلیل رعایت مسائل امنیتی میتونن با بدافزارها، تروجانها و مشکلات دیگهای که هکرها بوجود میارن مبارزه کنن. طبعا سرورهای توانمند و مناسب این ویژگی رو دارن که شمار زیادی از متداولترین حملات به سایتهای وردپرس رو خنثی کنن.
۲. استفاده از رمز عبور ضعیف
رمزی که انتخاب میکنید نباید تشخیصدادنی و قابل حدس زدن باشه، چون اگر یک هکر به هر طریقی به رمزهای شما دست پیدا کنه، به چندین حساب شما دسترسی پیدا میکنه؛ حسابهایی از قبیل حساب مدیریت وردپرس، حساب کنترلپنل میزبان وب، حسابهای FTP و ... . رمزها مثل کلیدهای سایت وردپرس شما هستن. باید مطمئن بشید که برای هر یک از حسابهاتون از رمزی قوی و منحصربهفرد استفاده میکنید که مانع دسترسی هکر به وبسایتتون میشه.
راه حل:
انتخاب رمز دمدستی و ضعیف به هکرها این امکان رو میده که با استفاده از روشهای مختلف، خیلی ساده رمز شما رو پیدا کنن. لطفا سراغ رمز ۱۲۳۴۵۶ نرید! حسابهایی که رمز اونها لو رفته دغدغهای اساسی و بزرگ هستن و روشی آسون برای هک سایت وردپرس به حساب میان. استفاده گذرواژهای که تشخیص اون دشوار باشه و همچنین استفاده نکردن از رمز عبور مشابه برای وبسایتهای مختلف نکتهای هست که باید همیشه به یاد داشته باشید. علاوه بر این، میتونید از ابزارهای امنیتی مثل احراز هویت دو عاملی (Two Factor Authentication) در وردپرس استفاده کنید.
۳. استفاده از واژهٔ «admin» برای نام کاربری وردپرس
استفاده از واژهٔ «admin» بهعنوان نام کاربری به هیچ وجه توصیه نمیشه. اگر نام کاربری حساب وردپرس شما کلمهٔ «admin» هست هرچه زودتر اون رو تغییر بدید و نامی متفاوت انتخاب کنید. سعی کنید اسمی انتخاب کنید که حدس زدن اون دشوار باشه.
۴. دسترسی محافظتنشده به دایرکتوری مدیر وردپرس (wp-admin Directory)
ناحیهٔ مدیریت (ادمین) به کاربر این امکان رو میده تا در سایت وردپرس کارهای مختلفی انجام بده. این بخش متداولترین بخش سایت وردپرس هست که هکرها به اون حمله میکنن و ممکنه باعث هک سایت وردپرس بشه. ناحیهٔ مدیریت یکی از آسیبپذیرترین بخشهاست. اگر این ناحیه رو محافظتنشده بذارید به هکرها اجازه دادید از راههای مختلف وبسایت شما رو هک کنن.
راه حل:
میتونید با اضافه کردن لایههای اعتبارسنجی به دایرکتوری مدیریت وردپرس خودتون، کار هکرها رو سخت کنید. بنابراین افزودن لایههای تأیید اعتبار به ناحیهٔ مدیریت، باعث محافظت بهتر از اون میشه. همچنین میتونید نام کاربری مدیر وردپرس رو تغییر بدید و احراز هویت دو عاملی رو ایجاد کنید، چون یک لایهٔ امنیتی بیشتر اضافه میکنه و هر کسی که بخواد به مدیریت وردپرس دسترسی داشته باشه باید رمز عبور اضافی رو ارائه کنه.
پیشنهاد میکنیم بخونید:
مزایا و معایب طراحی سایت فروشگاهی با وردپرس
۵. بهروز نکردن وردپرس
بعضی از کاربران وردپرس از اینکه سایتشون رو بهروزرسانی کنن نگران میشن. بیشتر به این خاطر که میترسن اگر سایتشون رو بهروزرسانی کنن مشکلی برای اون به وجود بیاد. هر نسخهٔ جدیدی از وردپرس باعث میشه آسیب پذیریهای امنیتی و باگها برطرف بشه. اگر وردپرس رو بهروز نکنید انگار که عمدا دست خرابکارها رو برای هک سایت وردپرستون باز گذاشتید!
راه حل:
اگر نگران این هستید که بهروزرسانی باعث مشکلدار شدن سایتتون میشه، میتونید قبل از بهروزرسانی، از اون نسخهٔ پشتیبان تهیه کنید. با این روش اگر هر بخشی از سایت به هر علتی کار نکرد بهراحتی میتونید اون رو به نسخهٔ قبلی برگردونید.
۶. بهروزنکردن افزونه یا قالب سایت وردپرس
بهروزرسانی قالب و افزونهها هم مثل بهروزرسانی هستهٔ نرمافزاری وردپرس خیلی مهمه. باگها و رخنههای امنیتی که اغلب در قالب و افزونههای وردپرس ظاهر میشن، یکی از محبوبترین راههای هک سایت وردپرس توسط هکرها هستن. برنامهنویسان قالب و افزونهها معمولا میتونن اشکالات اونها رو سریع رفع و رجوع کنن. اما اگر کاربری اونها را بهروز نکرده باشه کار زیادی از دست اونها بر نمیاد.
راه حل:
همیشه مطمئن بشید که قالب و افزونههای وردپرستون رو بهروز کردید.
۷. استفاده از افزونهها یا قالبهای نالشده (nulled)
بسیاری از وبسایتها وجود دارن که افزونهها و قالبهای رایگان در اختیار کاربران قرار میدن. گاهی وسوسهانگیزه که از اون افزونهها و قالبها برای وبسایتتون استفاده کنید. دانلود کردن افزونهها و قالبهای وردپرس از منابع نامطمئن کار بسیار خطرناکیه، چون یکی از آسونترین راهها برای هک سایت وردپرس هستن. چنین افزونهها و قالبهای نامطمئنی نهتنها امنیت وبسایت رو به خطر میندازه بلکه میتونه اطلاعات حساسی رو هم به سرقت ببره. اگر برای طراحی سایت فروشگاهی و فروشگاه آنلاینتون از قالبهای رایگان یا آمادهٔ وردپرس استفاده کردید باید از امنیت قالب و افزونهٔ مورد استفاده مطمئن بشید. وقتی بحث تراکنشهای مالی آنلاین در میان باشه، بیدقتی به موضوع امنیت سایت میتونه خسارتهای زیادی به برند فروشگاه شما وارد کنه.
راه حل:
همیشه باید افزونهها و قالبهای وردپرس رو از منابع معتبر دانلود کنید، منابعی از قبیل سایت رسمی توسعه دهندگان قالبها و افزونهها یا مرکز رسمی وردپرس. اگر نمیتونید قالبها و افزونههای پولی وردپرس رو تهیه کنید، طبعا میتونید جایگزینهای رایگان نسبتا مطمئنی برای این محصولات پیدا کنید. این افزونهها و قالبهای رایگان شاید به خوبی همتایان پولیشون نباشن اما میتونن کار شما رو راه بندازن و از همه مهمتر اینکه وبسایت شما رو امن نگه دارن. البته اگر خوششانس باشید گاهی هم ممکنه بتونید محصولات وردپرس رو با تخفیف مناسبی تهیه کنید!
پیشنهاد میکنیم بخونید:
آیا قالب آماده میتونه نیاز یک سایت فروشگاهی رو برطرف کنه؟
۸. مجوزهای فایل (File Permissions) نادرست
مجوزهای فایل مجموعه قوانینی هست که سرور وضع کرده. این مجوزها به سرور کمک میکنه دسترسی به فایلهای وبسایت شما رو کنترل کنه. مجوزهای اشتباهی میتونه این امکان رو برای هکرها ایجاد کنه که فایلهای جدیدی ایجاد کنن یا فایلهای موجود رو تغییر بدن.
راه حل:
تمامی فایلهای وردپرس شما باید مقدار ۶۴۴ رو بهعنوان مجوز فایل دارا باشن و تمامی پوشهها هم در سایت وردپرس باید مقدار ۷۵۵ رو بهعنوان مجوز فایل داشته باشن.
۹. استفاده از FTP بهجای SFTP/SSH
پروتکل FTP یا File Transfer Protocol یک استاندارد برای انتقال فایل بین سرور و کلاینت هست. با استفاده از این پروتکل، میزبان سایت شما قادره فایلهای مربوط به سایت رو برای هر کاربری که درخواست مشاهدهٔ سایت شما رو داشته باشه، بفرسته. اگر شما با استفاده از حالت سادهٔ این پروتکل (Plain FTP) بخواید وارد ناحیهٔ مدیریت سایت وردپرسی خودتون بشید و فایلهای خودتون رو تغییر بدید، گذرواژهٔ مدیریت شما هم به صورت رمزنگارینشده به سرور سایتتون ارسال میشه. در نتیجه بهراحتی امکان دزدیده شدن اون توسط هکرها وجود داره.
راه حل:
برای انتقال فایل بهصورت امنتر، پروتکلهای دیگری مثل SFTP یا SSH توسعه داده شدن تا سوء استفاده از مسیر انتقال فایلها بین سرور و کلاینت کمتر بشه. باید حواستون باشه که بهجای FTP همیشه از SFTP یا SSH استفاده کنید.
۱۰. فایل پیکربندی wp-config.php ناایمن
فایل پیکربندی wp-config.php حاوی ابزارهای احراز هویت برای ورود به بخش دیتابیس سایت وردپرسی شماست. اگر این فایل در معرض خطر قرار بگیره اطلاعاتی در اختیار هکرها قرار خواهد گرفت که با استفاده از اونها میتونن به وبسایت شما دسترسی کامل داشته باشن.
راه حل:
با افزودن یک لایهٔ اضافی، دسترسی به فایل پیکربندی wp-config.php رو قطع کنید. این لایهٔ اضافی افزودن کد زیر به فایل htaccess. هست:
<files wp-config.php>
order allow,deny
deny from all
</files>
۱۱. تغییر ندادن پیشوند جدول در وردپرس
بسیاری از کارشناسها توصیه میکنن که پیشوند جدول پیشفرض رو در وردپرس تغییر بدیم. وردپرس بهصورت پیشفرض پیشوند _wp رو در جدولهایی که در دیتابیس شما ایجاد میکنه استفاده میکنه. شما این امکان رو دارید که هنگام نصب، اون رو تغییر بدید. توصیه میشه پیشوندی استفاده کنید که کمی پیچیدهتر باشه. این موضوع کار هکرها رو برای هک سایت وردپرس شما دشوارتر میکنه تا نتونن نامهای جدولهای دیتابیستون رو حدس بزنن.
راه جلوگیری از هک سایت وردپرس چیست؟
ورود اینترنت به زندگی انسان انتقال اطلاعات رو بسیار راحتتر کرده اما هر چیزی علاوه بر جنبههای مثبت اشکالاتی هم داره. تنها با رعایت چند نکتهٔ ساده میتونید امنیت وبسایتتون رو بیشتر کنید و جلوی هک سایت وردپرستون رو بگیرید. شما هم حتما شنیدید که پیشگیری بهتر از درمانه. به خاطر داشته باشید که دوباره ایمن کردنِ یک سایت وردپرس هکشده هرچند ناممکن نیست، واقعا کاری طاقتفرساست. پس بهتره تا جایی که ممکنه مسائل امنیتی (مخصوصا موارد ذکرشده در این مقاله) رو رعایت کنید تا در آینده با مشکل روبهرو نشید.
ابزارها و خدمات گوناگونی برای افزایش امنیت سایتهای وردپرسی وجود داره. مثلا میتونید از خدماتی مانند سوکوری (sucuri) استفاده کنید. سوکوری بدافزارها رو ردیابی میکنه و خدمات ایمنسازی رو در اختیار متقاضیان قرار میده و همچنین دیوار آتشین (Firewall) برای وبسایت فراهم میکنه تا اون رو در برابر حملات معمول هکرها محافظت کنه. اما شاید راه بهتر این باشه که از ابتدا تصمیم بگیرید آیا میخواید با مشکلات امنیتی سایت وردپرسی کنار بیاید و اونها رو بپذیرید یا اینکه راههای جایگزینی برای طراحی سایت مثل نرمافزارهای اختصاصی سایت ساز رو انتخاب کنید که اتفاقا در کارایی دستکمی از وردپرس ندارن و از طرف دیگه، اگر مثل ویترین از پایه کد نویسی شده باشن، امنیت بالایی هم دارن. انتخاب با شماست اما تفاوت اینجاست که با ویترین همیشه خیالتون راحته که پشتیبانی حرفهای و مطمئن کنارتون حضور داره.
* این نوشته با استفاده از مقالهای مشابه در سایت wpbeginner تهیه شده.