امنیت وردپرس ، روش های نفوذ به سایت وردپرسی قسمت ۱

نفوذ به سایت های وردپرس

در آموزش امنیت وردپرس ، انواع روش های نفوذ به سایت مربوط به سری آموزش امنیت وردپرس ، به بررسی برخی راه های نفوذ به یک سایت را بررسی کردیم.حال در این قیمت به بررسی  برخی راه های نفوذ به سایت وردپرسی می پردازیم و در قسمت ۲ آن برخی دیگر را بررسی می کنیم.

 در زیر به بررسی روش هایی که می توان از طریق آنها به سایت وردپرسی ، نفوذ کرده  می پردازیم.طبق بررسی های به عمل آمده توسط شرکت wordfence که در  زمینه امنیت کار می کند و پلاگین wordfence را برای وردپرس نیز تولید کرده است  ، گزینه هایی که باعث هک شدن یک سایت وردپرسی می باشد به شرح زیر است.

  • پلاگین ها (plugins)
  • نیروی بی رحم (brute force)
  • هسته وردپرس(core)
  • پوسته (theme)
  • میزبانی هاست(hosting)
  • دسترسی فایل ها(file permissions)
  • فایل های قدیمی (old files)
  • سرقت رمز عبور (password theft)
  • ایستگاه کاری (workstation) 
  • حمله فیشینگ (Phishing)
  • از داخل (insider)
  • سرور (server)
  • از طریق پروتکل انتقال  فایل (ftp)

در زیر به بررسی برخی از این مسائل می پردازیم و در قسمت بعدی به بقیه موارد می پردازیم.

hackwordpress


پلاگین (plugins)

پلاگین ها ، افزونه ها ، ماژول ها و هرچیزی که اسمش را میخواهید بگذارید.اینها بهترین ها هستند اگر درست از آن ها استفاده شود.طبق آمار بیش از ۵۰ درصد سایت های وردپرسی به وسیله پلاگین ها هک میشوند.وردپرس از آنجاییکه برای افرادی ساخته شده است تا حتی بدون یک خط کد نویسی سایت خود را راه بیندازند ، اما نکات ایمنی مهمی گفته است که متاسفانه افراد زیاد آنها را جدی نمی گیرند.یکی از این گزینه های امنیتی استفاده پلاگین های معتبر و به روز شده می باشد اگر پلاگین های سایت را آپدیت نکنید و یا سازندگان آن پلاگین های خود را بروز رسانی نکنند .خیلی از هکر ها توسط حفره های امنیتی پلاگین های وردپرسی به سایت ها دسترسی می یابند و امنیت سایت را به خطر می اندازند.یکی از دیگر گزینه های امنیتی در مورد پلاگین ها پلاگین هایی می باشد که به اصطلاح نال NULL شده هستند، یعنی پلاگین های پولی ، توسط برخی افراد crack شده تا بدون هزینه باشد.اما غافل ازینکه برخی از این پلاگین ها پر از راه هایی است که هکر ها می توانند به سایت نفوذ کنند و خود شما این کلید را در اختیار آنها قرار داده اید.از دیگر گزینه هایی که می توان برای پلاگین ها مثال زد اینست که پلاگین هایی از منبع غیر معتبر تهیه شود، یکی از مراجع معتبر سایت wordpress.org می باشد که پلاگین ها در آنجا ثبت می شوند و نسخه حرفه ای آنها در سایتی دیگر است.بهتر است راجع به پلاگین شناخت کافی داشته باشید.پس در زیر پلاگین ها را  بررسی می کنیم.

  • از پلاگین های معتبر استفاده کرد
  • از پلاگین های آپدیت شده استفاده کرد
  • باید پلاگین های سایت  را آپدیت کرد
  • نباید از پلاگین های نال شده استفاده کرد

wordpress-plugin


نیروی بی رحم (brute force)

در این روش سایت وردپرسی توسط افزادی هک می شود که این روش های مختلفی دارد به  امنیت وردپرس ، انواع روش های نفوذ به سایت مراجعه کنید.یکی از اهداف آنان  حمله به wp-login می باشد. به کمک پلاگین Rename wp-login.php می توان wp-login را تغییر نام داده تا سایت از گزند نیروهای بی رحم در امان بمانند.گزینه های دیگری برای نیروی بی رحم می باشد که بعدا به آن می پردازیم.

نیروی بی رحم (brute force)


 هسته وردپرس (core)

وردپرس هر چند وقت یکبار نسخه جدید می دهد و باگ های امنیتی را برطرف می کند و کاربرانش را تشویق به آپدیت هسته سایت وردپرس می نماید تا از باگ های آن در امان بمانند.بعضی اینکار را انجام نمی دهند و اغلب از همین حفره های امنیتی یافت شده به سایت حمله می کنند.گاهی هم وردپرس را از منبع نا معتبر دریافت می کنند که این کار را هرگز نکنید و حتما آخرین نسخه آن را از سایت wordpress.org دریافت کنید.و این را بدانید که اگر کسی هسته وردپرس را تغییر دهد باید آن را رایگان در اختیار قرار دهد هر چند که کار زیادی انجام داده باشد ، که این کار هم زیاد جالب نیست چون اگر کسی ایده ای داسته باشد می تواند به خود وردپرس اعلام کند و اگر ایده ای خوب باشد وردپرس آن را در نسخه های بعدی اعلام می کند.

پس حتما وردپرس خود را آپدیت کنید و تغییراتی در هسته آن ایجاد نکنید.

 هسته وردپرس (core)


پوسته (theme)

همانطور که در قسمت پلاگین ها بررسی کردیم پوسته ها نیز مانند پلاگین ها هستند.متاسفانه افرادی پوسته های رایگان و نال شده  وردپرسی را دریافت می کنند و با این کار سایت خودشان را به نابودی می کشانند.ممکن است شخصی کدی در پوسته زده باشد و بتواند به وسیله آن اطلاعات کاربران سایت شما را در اختیار بگیرد البته پلاگین های زیادی هستند که پوسته ها را بررسی می کنند ، اما شاید آنها نیز دارای نقص باشند پس بهتر است پوسته ها را از سایت های قابل اعتماد خریداری کنید.

پوسته (theme)


میزبانی هاست ( hosting )

امنیت نداشتن سرویس‌های هاستینگ وب ، فاجعه بار می باشد  و خطر آسیب دیدن وقتی بیشتر می شود که هیچ اطلاعی از امنیت نداشته باشد. در مورد میزبانی هاست  به طور مفصل بعدا صحبت خواهیم کرد اما بگوییم که اینکه ، لطفا از خدمات هاستینگ ایمن استفاده کنید.گاهی برخی با قیمت پایین هاستینگ دریافت می کنند اما کیفیت مناسبی ندارد و بعدا باید چندین برابر هزینه کنید تا بتوانید دوباره شروع کنید.مواظب هاستینگ باشید. حتما از هاستینگ حرفه ای با فایروال پیشرفته استفاده کنید.

hosting



در قسمت امنیت وردپرس ، روش های نفوذ به سایت وردپرسی قسمت ۲ به بررسی ادامه این لیست می پردازیم.

تاریخ آخرین بروزرسانی : ۲۴ دی ۱۳۹۵
منبع :‌ مردان وردپرس
میلاد میلادی

باور هایت را که پرورش دهی به هرچیزی دست خواهی یافت.

Advertising MiSaCo.

نظرات خود را اینجا بنویسید

آدرس الکترونیکی شما نمایش داده نمی شود *

Time limit is exhausted. Please reload CAPTCHA.