وردپرس (WordPress) یکی از محبوبترین سیستمهای مدیریت محتوا (CMS) متن باز (Open Source) و آزاد است که بر اساس آمار ارائه شده بوسیله سایت wordpress.org بیش از ۱۴.۷ درصد از وبسایتها در اینترنت از وردپرس استفاده میکنند. محبوبیت و استفاده گسترده از وردپرس این CMS را به هدف اصلی هکرها تبدیل کرده است.
چکونه هک را تشخیص دهیم؟
هکر وبسایت را با اهداف زیر هک میکند:
- ارسال ایمیل اسپم
- اجرای کد مخرب
- دسترسی به سایر وبسایتهای موجود در سرور اشتراکی
- وارد کردن لینک مخفی به سایت هکر با هدف افزایش رنگ گوگل
- منتقل کردن کاربر به سایت هکر با هدف افزایش بازدید سایت هدف و یا حتی حمله DDOS به یک سایت خاص
- وارد کردن BACKDOOR برای دسترسی مجدد به سایت در آینده
با مشاهده هر کدام از رفتارهای فوق، وبسایت خود را بررسی کنید.
با کمک روشهای زیر میتوانید سایت وردپرس خود را امن کنید:
رمزعبور پیچیده استفاده کنید: اولین و مهمترین شرط افزایش امنیت استفاده از کلمات عبور پیچیده است. نباید از شماره تلفن، شماره شناسنامه، تاریخ تولد و … برای پسورد استفاده کنید.
در گوگل به دنبال افزونه و قالب نگردید: یکی از مرسومترین روشهای هک وردپرس از طریق نصب قالب و افزونه آلوده است. تنها قالب و افزونههای معرفی شده در سایت رسمی وردپرس را نصب کنید.
ورود امن: هنگامی که در صفحه ورود وردپرس نام کاربری و کلمه عبور خود را وارد میکنید اطلاعات شما به صورت غیر رمز شده در شبکه منتقل میشود، در نتیجه اطلاعات شما بوسیله کاربران شبکه محلی (lan)، شبکه بیسیم (wireless)، و همه افراد و گرههایی که بین شما و سرور قرار دارند قابل شنود است.
راه حل استفاده از پروتکل https و یا استفاده از افزونه Chap Secure Login است.
پشتیبان پشتیبان پشتیبان: به صورت دورهای از اطلاعات خود پشتیبان تهیه کنید. با استفاده از افزونه backup میتوانید به صورت خودکار از اطلاعات خود در google drive پشتیبانی بگیرید.
وردپرس را به روزرسانی کنید: وردپرس یک CMS آزاد و متنباز است. آزاد بودن کد برنامه به این معنی است که کد برنامه در دسترسی همه قرار دارد در نتیجه مشکلات امنیتی سریعتر شناخته و رفع میشود اما از طرفی هکرها به راحتی میتوانند با مقایسه کدهای وردپرس مشکلات امنیتی را پیدا کنند. با انتشار نسخه جدیدی از CMS باید در سریعترین زمان ممکن به روزرسانی کرد.
با حمله brute force مقابله کنید: در brute force و یا حمله جستجوی فراگیر هکر، کلمات عبور متفاوت را برای ورود به سایت تست میکند با این امید که بتوانید کلمه عبور مناسب را پیدا کند. متاسفانه وردپرس به صورت پیشفرض قادر به مقابله با حملات brute force نیست. ولی با استفاده از افزونههایی مانند Login LockDown و یا User Locker و Limit Login Attempts میتوان با این نوع حملات مقابله کرد.
صفحه ورود به وردپرس را مخفی کنید: با استفاده از افزونه hide login میتوانید صفحه ورود به وردپرس را مخفی کنید. در نتیجه هکر نمیتواند از حملات brute force و یا با استفاده از پسورد ضعیف به سایت وارد شود.
اطلاعات نسخه وردپرس را از قالب سایت حذف کنید: وردپرس نسخه وردپرس را در خروجی سایت شما و در قسمت هدر سایت نمایش میدهد، همچنین ممکن است قالب سایت شما اطلاعاتی مانند نسخه وردپرس و یا نام و نسخه تم را در هدر سایت نمایش دهد. هکرها با استفاده از ROBOTها در سایتها به دنبال چنین اطلاعاتی میگردند تا سایتهای قربانی را پیدا کنند. جهت جلوگیری از عدم نمایش نسخه وردپرس میتوانید عملیات زیر را انجام دهید:
- توضیحات مربوط به قالب (مانند مثال زیر) را از فایلهای CSS آن حذف کنید. درنظر داشته باشید با حذف این توضیحات ممکن است شما اطلاعات بروزرسانی قالب را دریافت نکرده و یا با یروزرسانی قالب کلیه تغییرات اعمال شده در قالب توسط شما از بین برود.
-
123456789101112131415/*Theme Name: Twenty TenTheme URI: http://wordpress.org/extend/themes/twentytenDescription: The 2010 theme for WordPress is stylish, customizable, simple, and readable — make it yours with a custom menu, header image, and background. Twenty Ten supports six widgetized areas (two in the sidebar, four in the footer) and featured images (thumbnails for gallery posts and custom header images for posts and pages). It includes stylesheets for print and the admin Visual Editor, special styles for posts in the “Asides” and “Gallery” categories, and has an optional one-column page template that removes the sidebar.Author: the WordPress teamAuthor URI: http://wordpress.org/Version: 1.5License: GNU General Public License v2 or laterLicense URI: http://www.gnu.org/licenses/gpl-2.0.htmlTags: black, blue, white, two-columns, fixed-width, custom-header, custom-background, threaded-comments, sticky-post, translation-ready, microformats, rtl-language-support, editor-style, custom-menu, flexible-headerText Domain: twentyten*//* =Reset default browser CSS. Based on work by Eric Meyer: http://meyerweb.com/eric/tools/css/reset/index.html————————————————————– */
- گزینههایی مانند “برای اینکه از وردپرس فارسی استفاده میکنید، سپاسگزاریم”، “نگارش ۱٫۵″ و “قدرت گرفته از وردپرس فارسی. پوسته: دوهزاروده” را از قالب حذف نمایید.
- خطهایی مانند زیر را در قالب وردپرس حذف نمایید.
1<?php bloginfo(‘version’); ?>
- همچنین برای حذف نسخه وردپرس میتوانید افزونه WP Security Scan را نصب کنید.
نام کاربری مدیر را تغییر دهید: در هنگام نصب وردپرس نام کاربری پیش فرض ADMIN است. با تغییر نام کاربری پیش فرض مدیر میتوانید امنیت وردپرس خود را بیشتر کنید.
استفاده از افزونههای افزایش امنیت: افزونههای زیادی برای افزایش امنیت وردپرس وجود دارد لیستی از این افزونهها را بررسی میکنیم.
با استفاده از افزونه WP Security Scan بصورت دورهای امنیت وردپرس خود را بررسی کنید.
افزونه wordfence سلامت فایلهای هسته وردپرس، نوشتههای سایت شما را برای نوشتههای آلوده و … بررسی میکند.
افزونه BulletProof Security وبسایت را در برابر حملات XSS ،RFI،CRLF،CSRF،Base64 ،Code Injection و SQL Injection حفاظت میکند.
افزونه Better WP Security بیشتر تنظیمات امنیتی را روی وردپرس انجام میدهد.
مجوز مناسب برای فایل تنظیمات: فایل تنظیمات وردپرس در مسیر ریشه سایت و با آدرس WP-CONFIG.PHP است اطلاعات مهمی مانند کلمه عبور نام کاربری پایگاه داده و رشته salt را نگهداری میکند. چنانچه هکر به محتویات این فایل دسترسی پیدا کند، به محتویات سایت شما، نوشتهها و نام کاربری دسترسی داشته و میتواند آنها را تغییر دهد. بنابراین باید مجوز این فایل را به شکل صحیحی تنظیم کنید. بهترین پیشنهاد استفاده از مجوز ۷۵۵ در هنگام نصب وردپرس و تغییر مجوز به ۴۰۰ پس از نصب است. در این صورت کاربران و سایتهای دیگر موجود در هاستهای اشتراکی به اطلاعات شما دسترسی نخواهند داشت.
تغییرات در فایلهای سایت خود را مانیتور کنید: افزونه WordPress File Monitor Plus هر تغییری در فایلهای سایت شما را بوسیله ایمیل به شما اعلام میکند، با این عمل شما را قادر میسازد چنانچه هکر تغییری در فایلهای سایت شما بدهد به سرعت تغییرات را کشف و خنثی کنید.
Security Keys کاملا تصادفی انتخاب کنید: فایل تنظیمات وردپرس شامل قسمتی به نام Security Keys است که سه کلیدAUTH_KEY ، SECURE_AUTH_KEY،LOGGED_IN_KEY را نگهداری میکند. این سه کلید باید به صورت تصادفی تولدی شوند و برای هر وبسایت منحصر به فرد باشد. از این کلیدها برای به رمز کردن اطلاعات کوکی کاربران استفاده میشود. بهترین راه برای تولید تصادفی این کلیدها استفاده از API وردپرس است.
بازم از این مطالب قرار دهید
مطلب قرار داده شده مفید واقع شد.با تشکر
باسپاس وقدردانی از زحمات شما
سلام،
همینجا از زحمات شما بخاطر گسترش و دنبال کردن این هدف ارزشمند تشکر میکنم.
من این کارایی که گفتید رو کردم ، الان سایتم بالا نمیاد و صفحه سفید نشون داده میشه ، مشکل چیه ؟
سایتم نپریده باشه ؟
سلام
احتمالا جایی رو اشتباه انجام داده ، لطفا مشکلتون رو در انجمن پی سی وب مطرح کنید . بررسی میشه .
انشالله که اطلاعات تون براش مشکلی پیش نیامده است .