5 تهدید امنیتی پیش فرض در وردپرس (به علاوه رفع)

WordPress یک نرم افزار بسیار محبوب و کاملاً متن باز است. نکته مهم در مورد امنیت این است که جامعه بزرگی وجود دارد که با آن کار می کند، که می توانند باگ ها و همچنین خطرات امنیتی را سریعتر از یک راه حل داخلی CMS کشف کنند. (در صورتی که یکی از راه‌های پی بردن به این ضعف، استفاده از ضعف است، سخت است و داشتن پایگاه کاربر بزرگ احتمال کشف را بسیار بیشتر می‌کند.)

نکته منفی این است که هکرهایی که قصد بد دارند دقیقاً می دانند که وب سایت شما چگونه ساخته شده است. آنها قبلاً “طرح” سایت شما را دارند. و اگر نقاط ضعفی در هسته، مضامین یا افزونه‌هایی که استفاده می‌کنید وجود داشته باشد، این چیزی است که آنها می‌توانند بدون دسترسی به پشتیبان سایت شما بدانند.

بنابراین در این پست، به شما نشان خواهم داد که چگونه 5 تهدید امنیتی که در هر نصب کاملاً پیش‌فرض وردپرس وجود دارد را برطرف کنید. (اگر قبلاً اقدامات احتیاطی انجام داده اید، ممکن است متوجه شوید که قبلاً یک یا دو مورد را رفع کرده اید، اما مهم است که هر پنج مورد را اصلاح کنید تا خطر هک شدن خود را به حداقل برسانید.)

سایت شما نشان می دهد که از وردپرس استفاده می کنید، به علاوه نسخه

نسخه پیش‌فرض وردپرس دارای خطوط کدی است که نشان می‌دهد سایت شما با استفاده از وردپرس ساخته شده است، حتی به افرادی که می‌دانند کجا باید نگاه کنند. بسته به موضوع، حتی ممکن است به صورت بصری در هر صفحه از وب سایت شما نشان داده شود.

دلیل اینکه این می تواند یک خطر امنیتی باشد، این است که افراد ممکن است سایت شما را بدون دلیل دیگری به جز اینکه بر روی وردپرس ساخته شده است، هدف قرار دهند. اگر فردی ضعف امنیتی در هسته وردپرس، یک تم یا افزونه پیدا کند، ممکن است راه خود را به سایت شما بیابد تا از آن سوء استفاده کند. در حالی که اگر با موفقیت پنهان می‌کردید که سایت شما با وردپرس ساخته شده است، افرادی که سایت‌های وردپرس را با استفاده از ربات‌ها یا خزنده‌ها جستجو می‌کنند فریب می‌خورند و فکر می‌کنند که سایت شما یک هدف قابل اجرا نیست.

نحوه رفع آن:
برای رفع این مشکل، می‌توانید از پلاگین WP من را مخفی کنید. با این افزونه کوچک مفید، می‌توانید از ترافیک غیرضروری روی سرور خود جلوگیری کنید، و در عین حال از حملاتی که به طور خاص سایت‌های وردپرس را هدف قرار می‌دهند، در امان بمانید.

همه می دانند صفحه ورود/منطقه مدیریت شما در کجا واقع شده است

اگر همچنان نشان می‌دهید که از وردپرس استفاده می‌کنید (مثلاً، به طور فعال آن را با استفاده از افزونه‌ای مانند مخفی کردن WP من)، افرادی که نیت بدی دارند از قبل می‌دانند که کجا باید به سایت شما حمله کنند.

نحوه رفع آن:
برای رفع این تهدید، و کاهش شدید احتمال هک شدن، و کاهش استرس سرور، باید از دسترسی افراد مخرب و ربات‌ها جلوگیری کنیم. صفحه ورود.

دو راه اصلی برای انجام این کار وجود دارد. می‌توانید با استفاده از یک افزونه (یا چند خط کد)، مکان فیزیکی صفحه ورود خود را به چیز دیگری تغییر دهید، یا می‌توانید دسترسی به صفحه ورود و ناحیه مدیریت خود را با آدرس‌های IP محدود کنید. می‌توانید این کار را با افزونه‌ای که به این مورد خاص اختصاص داده شده است، یا با یک افزونه امنیتی مانند Sucuri، Wordfence ، Solid Security Pro یا < a title="All In One WP Security" href="https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/" target="_blank" rel="noopener">همه در One WP Security & Firewall.

WordPress یک پیشوند جدول پیش فرض دارد که همه از آن استفاده می کنند

پیوند جدول قبل از نام جداول در پایگاه داده شما قرار می گیرد. به جای کاربران، با پیشوند استاندارد وردپرس، wp_users خواهد بود. اگر از پیشوند جدول پیش‌فرض استفاده می‌کنید، دسترسی افراد به سایت شما با سوء استفاده از نقاط ضعف احتمالی تزریق sql آسان‌تر می‌شود. زیرا آنها دقیقاً می دانند که کجا اطلاعات را به پایگاه داده شما تزریق کنند تا سپس به سایت شما دسترسی پیدا کنند.

من در واقع یکی از وب‌سایت‌هایم را به دلیل تزریق sql هک کردم، بنابراین این یک تهدید بسیار واقعی است که باید علیه آن اقدامات متقابل انجام دهید.

نحوه رفع آن:
خوشبختانه حذف این تهدید بسیار آسان است. اگر قبلاً وردپرس را با استفاده از پیشوند پیش‌فرض wp_ نصب کرده‌اید، می‌توانید به راحتی آن را با استفاده از افزونه‌ای مانند Sucuri. ابتدا، قبل از استفاده از آن گزینه باید از پایگاه داده خود نسخه پشتیبان تهیه کنید زیرا احتمال اشتباه وجود دارد. شما می توانید این کار را با کلیک یک دکمه انجام دهید. سپس می توانید یک پیشوند جدید انتخاب کنید یا به سادگی اجازه دهید Sucuri به طور تصادفی پیشوند جدید را برای شما ایجاد کند.

فایل‌های تم و افزونه وردپرس از طریق داشبورد قابل ویرایش هستند

مشکل این است که اگر یک هکر به وب سایت شما دسترسی پیدا کند، می تواند آسیب زیادی وارد کند. آنها می توانند باعث شوند وب سایت شما افراد دیگر را با بدافزار آلوده کند (که ممکن است با قرار گرفتن سایت شما در لیست سیاه Google و حذف فهرست از موتورهای جستجو خاتمه یابد)، وب سایت شما را تخریب کنند یا به راحتی درهای پشتی را باز کنند.

نحوه رفع آن:
می‌توانید این خط کد را به فایل wp-config.php خود اضافه کنید:

define( 'DISALLOW_FILE_EDIT', true );

یا از یک افزونه امنیتی برای انجام این کار برای شما استفاده کنید (که اساساً فقط آن خط کد را برای شما درج می کند). تنها مشکل این است که افزونه‌هایی وجود دارند که به افراد اجازه می‌دهند این قابلیت را روشن و خاموش کنند، بنابراین یک هکر بسیار اختصاصی ممکن است بتواند یک افزونه را نصب کند، افزونه را روشن کند و سپس بدون دسترسی FTP به کد ویرایش دسترسی پیدا کند.

اگر می‌خواهید بسیار دقیق باشید و در برابر این موضوع محافظت کنید، می‌توانید با افزودن این خط کد به wp-config.php، همه به‌روزرسانی‌ها/نصب‌های افزونه و تم را غیرفعال کنید:

define( 'DISALLOW_FILE_MODS', true );

اما بدیهی است که این بدان معناست که هر بار که می‌خواهید افزونه یا طرح زمینه را به‌روزرسانی یا نصب کنید، باید مقدار آن را به false تغییر دهید (ما واقعاً این گزینه را توصیه نمی‌کنیم، زیرا به‌روز نگه داشتن تم‌ها و افزونه‌ها یکی از موارد است. بهترین راه برای اطمینان از اینکه سایت شما آسیب پذیرتر است).

WordPress دارای تنظیمات فایروال بسیار باز است که می تواند حتی به ربات های مخرب شناخته شده اجازه حمله به آنها را بدهد

تنظیمات فایروال پیش فرض وردپرس در واقع در سمت لیبرال قرار دارند. این بدان معناست که برخی از ربات‌های ناخواسته و سایر بازدیدکنندگان ناخواسته چراغ سبز دریافت می‌کنند.

نحوه رفع آن:
می‌توانید با نصب قوانین پایه فایروال لیست سیاه 5G، با کپی کردن دستی آن در فایل htaccess خود، این مشکل را بهتر کنید (می‌توانید آن را در اینجا پیدا کنید. ) یا با نصب این افزونه، یا از یک افزونه امنیتی برای بهینه سازی بهتر قوانین در htaccess.

خود استفاده کنید

تلاش های نامحدود برای ورود به وردپرس

در حالی که تنظیمات پیش‌فرض در واقع تلاش‌های نامحدود برای ورود به سیستم است، ممکن است زمانی که WordPress را در سایت خود نصب می‌کنید، تلاش برای ورود به سیستم را محدود کنید. با این حال، اگر این کار را نکردید، این یک راه حل فوق العاده آسان است.

نحوه رفع آن:
به سادگی افزونه تلاش‌های ورود به سیستم را محدود کنید. یا، اگر از WPEngine استفاده می‌کنید قابلیتی است که آنها قبلاً برای شما تعبیه کرده اند – بدون نیاز به پلاگین! اگر قبلاً از منطقه ورود خود محافظت می کنید و فقط به آدرس های IP خود اجازه می دهید به داسببورد دسترسی داشته باشند، نیازی به انجام این کار نخواهید داشت. اما اگر فقط آدرس صفحه ورود خود را پنهان کرده باشید، این یک محافظت مضاعف خوب در برابر حملات بالقوه brute-force است.

نتیجه گیری

جرایم سایبری به سرعت در حال رشد است و اینترنت در حال تبدیل شدن به خانه مجرمان بیشتری نسبت به “دنیای واقعی” است. در برخی از کشورها این اتفاق قبلا افتاده است. و در حالی که بیشتر این موارد مربوط به کلاهبرداری از کارت اعتباری و بانکی است، تعداد فزاینده ای از هکرها وجود دارد، و ما به عنوان صاحبان وب سایت باید از خود و سایت های خود تا جایی که می توانیم محافظت کنیم.

در حالی که نصب پیش‌فرض وردپرس دارای نقاط ضعفی است، زیبایی وردپرس واقعاً در سهولت آن است که می‌توانید تقریباً هر یک از مشکلات خود را با سایت خود حل کنید، از جمله تهدیدات امنیتی ذکر شده در این پست. علاوه بر داشتن یک نام کاربری منحصر به فرد و یک رمز عبور قوی، با نصب یک افزونه امنیتی، ویرایش برخی از تنظیمات و شاید درج یک یا دو خط کد، می‌توانید خطر هک شدن یا آلوده شدن سایت خود به بدافزار را به میزان قابل توجهی کاهش دهید.

آیا اقداماتی برای بهبود امنیت سایت وردپرس خود انجام داده اید؟ چه نوع؟ ما دوست داریم برخی از نکات و ترفندهای شما را بشنویم! لطفاً در نظرات به ما اطلاع دهید.