5 تهدید امنیتی پیش فرض در وردپرس (به علاوه رفع)
5 تهدید امنیتی پیش فرض در وردپرس (به علاوه رفع)
WordPress یک نرم افزار بسیار محبوب و کاملاً متن باز است. نکته مهم در مورد امنیت این است که جامعه بزرگی وجود دارد که با آن کار می کند، که می توانند باگ ها و همچنین خطرات امنیتی را سریعتر از یک راه حل داخلی CMS کشف کنند. (در صورتی که یکی از راههای پی بردن به این ضعف، استفاده از ضعف است، سخت است و داشتن پایگاه کاربر بزرگ احتمال کشف را بسیار بیشتر میکند.)
نکته منفی این است که هکرهایی که قصد بد دارند دقیقاً می دانند که وب سایت شما چگونه ساخته شده است. آنها قبلاً “طرح” سایت شما را دارند. و اگر نقاط ضعفی در هسته، مضامین یا افزونههایی که استفاده میکنید وجود داشته باشد، این چیزی است که آنها میتوانند بدون دسترسی به پشتیبان سایت شما بدانند.
بنابراین در این پست، به شما نشان خواهم داد که چگونه 5 تهدید امنیتی که در هر نصب کاملاً پیشفرض وردپرس وجود دارد را برطرف کنید. (اگر قبلاً اقدامات احتیاطی انجام داده اید، ممکن است متوجه شوید که قبلاً یک یا دو مورد را رفع کرده اید، اما مهم است که هر پنج مورد را اصلاح کنید تا خطر هک شدن خود را به حداقل برسانید.)
سایت شما نشان می دهد که از وردپرس استفاده می کنید، به علاوه نسخه
نسخه پیشفرض وردپرس دارای خطوط کدی است که نشان میدهد سایت شما با استفاده از وردپرس ساخته شده است، حتی به افرادی که میدانند کجا باید نگاه کنند. بسته به موضوع، حتی ممکن است به صورت بصری در هر صفحه از وب سایت شما نشان داده شود.
دلیل اینکه این می تواند یک خطر امنیتی باشد، این است که افراد ممکن است سایت شما را بدون دلیل دیگری به جز اینکه بر روی وردپرس ساخته شده است، هدف قرار دهند. اگر فردی ضعف امنیتی در هسته وردپرس، یک تم یا افزونه پیدا کند، ممکن است راه خود را به سایت شما بیابد تا از آن سوء استفاده کند. در حالی که اگر با موفقیت پنهان میکردید که سایت شما با وردپرس ساخته شده است، افرادی که سایتهای وردپرس را با استفاده از رباتها یا خزندهها جستجو میکنند فریب میخورند و فکر میکنند که سایت شما یک هدف قابل اجرا نیست.
نحوه رفع آن:
برای رفع این مشکل، میتوانید از پلاگین WP من را مخفی کنید. با این افزونه کوچک مفید، میتوانید از ترافیک غیرضروری روی سرور خود جلوگیری کنید، و در عین حال از حملاتی که به طور خاص سایتهای وردپرس را هدف قرار میدهند، در امان بمانید.
همه می دانند صفحه ورود/منطقه مدیریت شما در کجا واقع شده است
اگر همچنان نشان میدهید که از وردپرس استفاده میکنید (مثلاً، به طور فعال آن را با استفاده از افزونهای مانند مخفی کردن WP من)، افرادی که نیت بدی دارند از قبل میدانند که کجا باید به سایت شما حمله کنند.
نحوه رفع آن:
برای رفع این تهدید، و کاهش شدید احتمال هک شدن، و کاهش استرس سرور، باید از دسترسی افراد مخرب و رباتها جلوگیری کنیم. صفحه ورود.
دو راه اصلی برای انجام این کار وجود دارد. میتوانید با استفاده از یک افزونه (یا چند خط کد)، مکان فیزیکی صفحه ورود خود را به چیز دیگری تغییر دهید، یا میتوانید دسترسی به صفحه ورود و ناحیه مدیریت خود را با آدرسهای IP محدود کنید. میتوانید این کار را با افزونهای که به این مورد خاص اختصاص داده شده است، یا با یک افزونه امنیتی مانند Sucuri، Wordfence ، Solid Security Pro یا < a title="All In One WP Security" href="https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/" target="_blank" rel="noopener">همه در One WP Security & Firewall.
WordPress یک پیشوند جدول پیش فرض دارد که همه از آن استفاده می کنند
پیوند جدول قبل از نام جداول در پایگاه داده شما قرار می گیرد. به جای کاربران، با پیشوند استاندارد وردپرس، wp_users خواهد بود. اگر از پیشوند جدول پیشفرض استفاده میکنید، دسترسی افراد به سایت شما با سوء استفاده از نقاط ضعف احتمالی تزریق sql آسانتر میشود. زیرا آنها دقیقاً می دانند که کجا اطلاعات را به پایگاه داده شما تزریق کنند تا سپس به سایت شما دسترسی پیدا کنند.
من در واقع یکی از وبسایتهایم را به دلیل تزریق sql هک کردم، بنابراین این یک تهدید بسیار واقعی است که باید علیه آن اقدامات متقابل انجام دهید.
نحوه رفع آن:
خوشبختانه حذف این تهدید بسیار آسان است. اگر قبلاً وردپرس را با استفاده از پیشوند پیشفرض wp_ نصب کردهاید، میتوانید به راحتی آن را با استفاده از افزونهای مانند Sucuri. ابتدا، قبل از استفاده از آن گزینه باید از پایگاه داده خود نسخه پشتیبان تهیه کنید زیرا احتمال اشتباه وجود دارد. شما می توانید این کار را با کلیک یک دکمه انجام دهید. سپس می توانید یک پیشوند جدید انتخاب کنید یا به سادگی اجازه دهید Sucuri به طور تصادفی پیشوند جدید را برای شما ایجاد کند.
توجه: اگر برای اولین بار وردپرس را نصب میکنید، میتوانید آن را در رابط نصب تغییر دهید.
فایلهای تم و افزونه وردپرس از طریق داشبورد قابل ویرایش هستند
مشکل این است که اگر یک هکر به وب سایت شما دسترسی پیدا کند، می تواند آسیب زیادی وارد کند. آنها می توانند باعث شوند وب سایت شما افراد دیگر را با بدافزار آلوده کند (که ممکن است با قرار گرفتن سایت شما در لیست سیاه Google و حذف فهرست از موتورهای جستجو خاتمه یابد)، وب سایت شما را تخریب کنند یا به راحتی درهای پشتی را باز کنند.
نحوه رفع آن:
میتوانید این خط کد را به فایل wp-config.php خود اضافه کنید:
define( 'DISALLOW_FILE_EDIT', true );
یا از یک افزونه امنیتی برای انجام این کار برای شما استفاده کنید (که اساساً فقط آن خط کد را برای شما درج می کند). تنها مشکل این است که افزونههایی وجود دارند که به افراد اجازه میدهند این قابلیت را روشن و خاموش کنند، بنابراین یک هکر بسیار اختصاصی ممکن است بتواند یک افزونه را نصب کند، افزونه را روشن کند و سپس بدون دسترسی FTP به کد ویرایش دسترسی پیدا کند.
اگر میخواهید بسیار دقیق باشید و در برابر این موضوع محافظت کنید، میتوانید با افزودن این خط کد به wp-config.php، همه بهروزرسانیها/نصبهای افزونه و تم را غیرفعال کنید:
define( 'DISALLOW_FILE_MODS', true );
اما بدیهی است که این بدان معناست که هر بار که میخواهید افزونه یا طرح زمینه را بهروزرسانی یا نصب کنید، باید مقدار آن را به false تغییر دهید (ما واقعاً این گزینه را توصیه نمیکنیم، زیرا بهروز نگه داشتن تمها و افزونهها یکی از موارد است. بهترین راه برای اطمینان از اینکه سایت شما آسیب پذیرتر است).
WordPress دارای تنظیمات فایروال بسیار باز است که می تواند حتی به ربات های مخرب شناخته شده اجازه حمله به آنها را بدهد
تنظیمات فایروال پیش فرض وردپرس در واقع در سمت لیبرال قرار دارند. این بدان معناست که برخی از رباتهای ناخواسته و سایر بازدیدکنندگان ناخواسته چراغ سبز دریافت میکنند.
نحوه رفع آن:
میتوانید با نصب قوانین پایه فایروال لیست سیاه 5G، با کپی کردن دستی آن در فایل htaccess خود، این مشکل را بهتر کنید (میتوانید آن را در اینجا پیدا کنید. ) یا با نصب این افزونه، یا از یک افزونه امنیتی برای بهینه سازی بهتر قوانین در htaccess.
خود استفاده کنید
تلاش های نامحدود برای ورود به وردپرس
در حالی که تنظیمات پیشفرض در واقع تلاشهای نامحدود برای ورود به سیستم است، ممکن است زمانی که WordPress را در سایت خود نصب میکنید، تلاش برای ورود به سیستم را محدود کنید. با این حال، اگر این کار را نکردید، این یک راه حل فوق العاده آسان است.
نحوه رفع آن:
به سادگی افزونه تلاشهای ورود به سیستم را محدود کنید. یا، اگر از WPEngine استفاده میکنید قابلیتی است که آنها قبلاً برای شما تعبیه کرده اند – بدون نیاز به پلاگین! اگر قبلاً از منطقه ورود خود محافظت می کنید و فقط به آدرس های IP خود اجازه می دهید به داسببورد دسترسی داشته باشند، نیازی به انجام این کار نخواهید داشت. اما اگر فقط آدرس صفحه ورود خود را پنهان کرده باشید، این یک محافظت مضاعف خوب در برابر حملات بالقوه brute-force است.
نتیجه گیری
جرایم سایبری به سرعت در حال رشد است و اینترنت در حال تبدیل شدن به خانه مجرمان بیشتری نسبت به “دنیای واقعی” است. در برخی از کشورها این اتفاق قبلا افتاده است. و در حالی که بیشتر این موارد مربوط به کلاهبرداری از کارت اعتباری و بانکی است، تعداد فزاینده ای از هکرها وجود دارد، و ما به عنوان صاحبان وب سایت باید از خود و سایت های خود تا جایی که می توانیم محافظت کنیم.
در حالی که نصب پیشفرض وردپرس دارای نقاط ضعفی است، زیبایی وردپرس واقعاً در سهولت آن است که میتوانید تقریباً هر یک از مشکلات خود را با سایت خود حل کنید، از جمله تهدیدات امنیتی ذکر شده در این پست. علاوه بر داشتن یک نام کاربری منحصر به فرد و یک رمز عبور قوی، با نصب یک افزونه امنیتی، ویرایش برخی از تنظیمات و شاید درج یک یا دو خط کد، میتوانید خطر هک شدن یا آلوده شدن سایت خود به بدافزار را به میزان قابل توجهی کاهش دهید.
آیا اقداماتی برای بهبود امنیت سایت وردپرس خود انجام داده اید؟ چه نوع؟ ما دوست داریم برخی از نکات و ترفندهای شما را بشنویم! لطفاً در نظرات به ما اطلاع دهید.