5 حمله ی سایبری به وردپرس(WordPress) و چگونگی جلوگیری از آنها

وردپرس محبوب ترین سیستم مدیریت محتوا است (Content Management System (CMS)) زیرا استفاده از این سیستم ساده تر از استفاده از سایر سیستم ها در این حوزه است. علاوه بر این، با راه اندازی وبسایت وردپرس خودتان ، می توانید با شرط اجرای درست آن، یکی از سودآورترین مدل های کسب و کار آنلاین را داشته باشید .

با این حال، چون بسیاری از مردم از آن استفاده می کنند، وردپرس به هدفی برای هکرها تبدیل شده و به عبارت دیگر، قربانی موفقیت خودش شده است.

البته منظور ما این نیست که وردپرس امنیت کمتری نسبت به دیگر سازندگان وب سایت دارد . ابزارهای داخلی که وردپرس فراهم کرده است، در صورت استفاده ی درست از آن، به راحتی می توانند اکثر حملات سایبری را شکست دهند.

در این مقاله، رایج ترین انواع حملات سایبری که وردپرس را مورد هدف حملات خود قرار داده اند و همچنین چگونگی محافظت از خود در برابر این حملات را توضیح خواهیم داد.

حملات بروت فورس ( Brute Force )

در یک حمله بروت فورس، یک هکر سعی خواهد کرد که رمز عبور شما را حدس بزند و همین امر باعث می شود که این نوع حمله تا زمانی که شما متوجه ابزار های در دسترس یک هکر متوسط نشده اید، محکوم به شکست به نظر برسید.

باور کنید یا نه، ابزارهای رایگانی وجود دارند که افراد سودجو می توانند دانلود کرده و در برابر سایت های وردپرس مورد استفاده قرار گیرند. این ابزارها می توانند صدها و یا هزاران رمز عبور را در ثانیه امتحان کنند. سطح بیشتری از تهدید توسط بات نت ها (Botnets) ارائه شده است، که در آن یک هکر از ابزار های نامعلومی به منظور حدس زدن رمزهای عبور بیشتری استفاده می کند.

بهترین حفاظت در برابر این نوع حمله، استفاده از یک مدیر رمز عبور برای ایجاد رمزهای عبور قوی و منحصر به فرد برای سایت وردپرس شما و همچنین تغییر دوره ای رمز عبورتان به منظور جلوگیری از مجرمان سایبری است. با اینکه تمام راهنمایان کاربران مبتدی وردپرس، به آنها برای استفاده از این روش هشدار می دهند، هنوز هم بسیاری از مردم، توجهی به این موضوع ندارند.

حملات XSS(Cross-Site Scripting)

حملات XSS، شکلی قدرتمند از حملات هستند که به سرعت در حال افزایش تهدید هستند. در این نوع حملات، یک مهاجم از بخشی از سایت وردپرس شما که می توان در آن بخش متنی را نوشت، مانند بخش نظرات، استفاده کرده و لینک یک کد مخرب ( معمولا جاوا اسکریپت) میزبانی شده در سایتی دیگر را به اشتراک می گذارد.

این اسکریپت مخرب به طور مستقیم به کدی که سایت شما روی آن اجرا می شود، تزریق شده و می تواند اعتبار ورودتان را دزدیده و یا باج افزاری را به سایت وردپرس شما بفرستد.

اگر شما یک سایت وابسته را اجرا کنید، حملات XSS از رایج ترین تهدیدهایی هستند که با آن مواجه خواهید شد، زیرا می توان از آنها برای سرقت کوکی های کاربر استفاده کرد.

حفاظت در برابر حملات XSS نیاز به هوشیاری دارد. شما باید تمام قسمت هایی از سایت خودتان را که کاربران می توانند در آن ها نظرات و یا هر نوع اطلاعات دیگری را وارد کنند بطور دقیق و دائما بررسی کنید. شما باید به سرعت هر گونه نظری را که مشکوک به نظر می رسد حذف کنید. همچنین تعدادی ابزار قابل دسترس مانند Akismet  وجود دارند که می توانند این فرایند را بصورت خودکار برای شما انجام دهند.

آسیب پذیری ها در PHP

پی اچ پی (PHP ) یکی از زبان های کدنویسی است که پلتفرم وردپرس بر روی آن ساخته شده است، این زبان مانند تمام زبان های دیگر کدنویسی، برخی آسیب پذیری هایی دارد. پی اچ پی زبانی است که سایت وردپرس شما از آن برای پیگیری تمام صفحات شما و اعتبار ورود همه کاربران شما استفاده می کند.

مهم ترین این داده ها در فایلی به نام”wp-config.php” ذخیره شده است. این فایل مهم ترین فایل در کل وردپرس شما، شایع ترین فایل مورد حمله در سایت های وردپرس و مهم ترین فایل برای محافظت است. طریقه ی حمله به این فایل به این صورت است که یک هکر فایلی مخرب را در سایت شما آپلود می کند. این فایل مخرب، به هکر اجازه ی مشاهده ی محتوای فایل شما را می دهد.

حفاظت از این فایل ممکن است مانند یک فرایند فنی به نظر برسد، اما واقعیت این نیست. به عنوان مثال شما می توانید انتقال فایل به خارج از دایرکتوری ریشه را درنظر بگیرید که آن به این معنا است که مسیر فایل به آن استاندارد نخواهد بود. این کار مصمم ترین هکرها را شکست نخواهد داد، اما اغلب به اندازه کافی برای جلوگیری از آماتورها که در وب به دنبال نفوذی در مقیاس کوچک برای بهره بردن از آن هستند، کافی است.

سطح بیشتری از حفاظت در برابر آسیب پذیری پی اچ پی را می توان توسط فرایندی که ذکر شده برقرار کرد : پلاگین های خود را به روز نگه دارید.

بسیاری از پلاگین(Plugin) های وردپرس — و بسیاری از محبوب ترین آنها — از پی اچ پی استفاده می کنند ، آنها اغلب به دسترسی به فایل پیکربندی (config ) شما نیاز دارند. اما اگر چه پلاگین ها می توانند به بهبود عملکرد سایت شما کمک کنند، توصیه می شود که تنها در صورت لزوم از آن ها استفاده کنید زیرا بسیاری از پلاگین ها در واقع می توانند سرعت سایت شما را کاهش دهند و اگر به درستی استفاده نشوند،  برخی از آنها حتی می توانند به بدافزار خطرناک اجازه‌ی آلوده کردن سایت شما را نیز بدهند.

تزریق SQL

حملات SQL یکی دیگر از شکل های کلاسیک حمله سایبری هستند، اما این حملات هیچ نشانه ای از رفتن ندارند.  SQL یک زبان کامپیوتری است که برای اجرای بسیاری از جنبه های سایت وردپرس شما استفاده می شود و مهمتر از همه، کاربران در SQL تعریف می شوند.

متاسفانه هکرها می توانند با استفاده از تزریق SQL از این واقعیت بهره ببرند. اصل اساسی این است که یک هکر از یک رشته داده در سایت شما استفاده می کند (محلی که آنها می توانند یک نام کاربری جدید را برای ثبت نام یک حساب کاربری وارد کنند) تا کد SQL را به سرور های شما ارسال کند. این کد مخرب می تواند به آنها اجازه دهد تا کنترل سایت شما را در دست گرفته و یا یک کاربر اداری جدید به سایت شما اضافه کنند. پس از آن آنها می توانند هر کاری را که دوست دارند انجام دهند.

اکثر پلاگین ها و تم های باکیفیت وردپرس،  با درنظر گرفتن این نوع حمله، ساخته شده و سطح خوبی از حفاظت را به شما ارائه خواهند داد. به همین دلیل، شما باید از استفاده از پلاگین ها یا تم هایی که پایه کاربری بزرگی ندارد، قدیمی بوده و یا دیگر حفظ نمی شوند، اجتناب کنید. شما باید پلاگین هایی را که استفاده می کنید، بطور منظم و به منظور حصول اطمینان از به روز بودن آنها، بررسی کنید.

حملات DDoS

حملات Distributed Denial of Service از قدیمی ترین حملات هستند. آنها تقریباً از زمان اختراع اینترنت وجود داشته اند. در این نوع حمله، یک مهاجم سایت شما را پر از گیگابایت ها و حتی شاید ترابایت ها داده خواهد کرد و در نتیجه تعداد درخواست های دریافتی توسط سرور شما، سرور شما را مجبور به درهم شکستگی خواهد کرد.

هنگامیکه سرور شما در هم شکست، شما دو مشکل دارید. یکی از مشکلات این است که با راه اندازی مجدد سرور ، سرور شما نسبت به حملات بیشتری که می توانند اعتبار ورود به سیستم شما را به خطر بیاندازند، آسیب پذیر خواهد بود. حتی اگر این اتفاق هم نیافتد، هرچند سرور شما آف لاین هم باشد، شما در حال از دست دادن پول و مشتری خواهید بود.

از آنجا که اکثر کاربران وردپرس به طور مستقیم سروری را که سایت آنها میزبان آن است را مدیریت نمی کنند، جلوگیری از حملات DDoS، تا حد زیادی به معنی تکیه بر میزبان سایتتان به منظور حفظ امنیت خودتان است. بهترین میزبان های وردپرس، شما را مجهز به محافظ DDoS خواهند کرد تا سایت شما را بصورت خودکار و استاندارد، در صورت افزایش چشمگیر سطح ترافیک، محافظت کند.

خوشبختانه شما می توانید خودتان چند قدم اضافی بردارید. این قدم ها به جلوگیری از این نوع حمله کمک خواهند کرد.

این گام ها می توانند شامل بررسی دقیق ترافیک وب سایتتان، مسدود کردن هر IP که مشکوک بنظر می رسد، استفاده از یک شبکه تحویل محتوا برای ذخیره محتوای وب سایت خودتان در چندین سرور و استفاده از یک فایروال در خانه و اتصال به اینترنت دفتر خودتان برای جلوگیری از حملات DDoS باشند.

سخن آخر

شایان ذکر است که امنیت سایبری کاری سخت بوده و صنعتی چند میلیون دلاری است. پس از همه ی این ها و تمام تحلیل ها،  کسب و کار خوبی را بدون هرگونه آسیب پذیری جدیدی در وردپرس و یا سیستم های دیگر بسازید.

در نهایت هیچ اقدام امنیتی سایبری شما را به طور کامل در برابر حملات سایبری حفظ نخواهد کرد. شما باید تشخیص دهید که در برخی مواقع شما احتمالا قربانی هک خواهید بود.

گام های ساده می توانند به طور چشمگیری سطح حفاظت سایت وردپرس شما را بهبود دهند. این گام های ساده می توانند شامل استفاده از رمز عبور قوی و منحصر به فرد، انتخاب یک سرویس میزبانی وب با کیفیت و به روز نگه داشتن تمام پلانگین های ورد پرس خودتان باشند. شما می توانید با استفاده از این گام ها بسیاری از حملات سایبری را که سایت شما را هدف قرار داده اند، شکست دهید .

فقط به یاد داشته باشید که امنیت سایبری یک رویداد نیست، بلکه یک فرایند است. شما نیاز به تکرار برخی از مراحل بالا به طور منظم و همچنین هوشیاری کافی و مداوم، به منظور حصول اطمینان از در امان بودن سایتتان در زمان حال و آینده دارید.

به منظور خرید هاست وردپرس برای راه‌اندازی وبسایت وردپرسی خودتان می‌توانید از پورتال کاربری خودتان در وبسایت سرودیتا اقدام به سفارش سرویس میزبانی وردپرس سرودیتا نمایید.

تیم پشتیبانی و تیم مشاور فروش ما به صورت آنلاین و تلفنی در خدمت شما هستند تا در صورت نیاز به هرگونه راهنمایی و به منظور رفع چالش های شما اقدامات لازم را انجام دهند.