مردان وردپرس امنیت وردپرس امنیت وردپرس ، روش های نفوذ به سایت وردپرسی قسمت ۲

امنیت وردپرس ، روش های نفوذ به سایت وردپرسی قسمت ۲

آموزش وردپرس

در قسمت امنیت وردپرس ، روش های نفوذ به سایت وردپرسی قسمت ۱ به بررسی برخی از گزینه های نفوذ به سیستم وردپرس که توسط سایت wordfence بررسی شده پرداختیم .در این قسمت نیز 

 در زیر به بررسی روش هایی که می توان از طریق آنها به سایت وردپرسی ، نفوذ کرده  می پردازیم.طبق بررسی های به عمل آمده توسط شرکت wordfence که در  زمینه امنیت کار می کند و پلاگین wordfence را برای وردپرس نیز تولید کرده است  ، گزینه هایی که باعث هک شدن یک سایت وردپرسی می باشد به شرح زیر است.

  • پلاگین ها (plugins)
  • نیروی بی رحم (brute force)
  • هسته وردپرس(core)
  • پوسته (theme)
  • میزبانی هاست(hosting)
  • دسترسی فایل ها(file permissions)
  • فایل های قدیمی (old files)
  • سرقت رمز عبور (password theft)
  • ایستگاه کاری (workstation) 
  • حمله فیشینگ (Phishing)
  • از داخل (insider)
  • سرور (server)
  • از طریق پروتکل انتقال  فایل (ftp)

در زیر به بررسی ادامه  این مسائل می پردازیم .

hackwordpress




دسترسی فایل ها (file permissions)

گاهی مدیران سایت ها درباره سطوح دسترسی کاربران نمی دانند و همین ندانسته ها باعث می شود که آنها فایل ها را با دسترسی بالا در اختیار دیگران قرار دهند.یکی از امن ترین سطوح دسترسی ۶۴۴ می باشد و نا امن ترین سطح دسترسی مخصوصا برای فایل های مهم ۷۷۷ می باشد.داشتن سطح دسترسی نامناسب برای یک فایل یا یک پوشه می تواند مشکلاتی مانند صفحه سفید ، خطا در هنگام بارگذاری تصاویر و … را بوجود آورد .همچنین سطوح دسترسی غیر صحیح فایل ها و پوشه های وردپرس باعث راحتتر هک شدن وب سایت وردپرسی  نیز خواهند شد .

 

دسترسی فایل ها (file permissions)

آموزش وردپرس


سرقت رمز عبور (password theft)

گاهی ممکن است همه اطلاعات درست باشد اما رمز عبور رمز عبور نا ایمنی باشد .۱۲۳۴۵۶ رمز مورد علاقه آلزایمری ها.کسانی که چندین اکانت دارند و رمز عبور های آسان می گذارند.در قسمت های بعدی درباره رمز عبور به طور مفصل صحبت می کنیم اما کافیست بدانید که یکی از اهدافی که هکر ها در آن به راحتی می توانند یک سایت را هک کنند همین رمز عبور نا ایمن می باشد.


ایستگاه کاری (workstation) 

 کامپیوتر های خود را حداقل  امکانات امنیتی لازم را قرار دهید.مانند اینکه ویندوز خود را به روز نگه دارید(همچنین سایر سیستم عامل ها)مرورگر های خود را آپدیت کنید. و یا اینکه مرور گر های قدیمی  باعث آسیب پذیری سایت می شوند . به عنوان مثال نسخه  قدیمی فلش میتواند سایت  را  در مقابل حمله های فیشینگ آسیب پذیر کند  که میتون به راحتی  رو سیستم شما  کی لاگر نصب کرده  و نام کاربری (username) و رمز عبورتان (password) را  بدست بیارند و دسترسی بیشتری به وبسایت ورد پرسی  پیدا کنند.

Workstation-Security


حمله فیشینگ (Phishing)

فیشینگ نوعی از حملات مبتنی بر مهندسی اجتماعی است که در آن حمله کننده با فریب دادن هدف یا اهداف، اطلاعات حساسی مثل رمزهای عبور، مشخصات کارت اعتباری و … را از وی می‌گیرد.

Phishing


از داخل (insider)

گاهی افرادی از داخل سایت به داخل نفوذ می کنند که در این مورد باید نقش های کاربری را درست بدهید.خودی ها بیش از افراد بیرون می توانند در سیستم شبکه مخرب باشند ، چون دسترسی مجاز به سیستم دارند.علاوه بر این، ممکن است  سیاست های امنیتی کمتری در برابر حملات خودی نسبت به حفاظت از حملات خارجی بسیاری از سازمان ها باشد.


سرور (server)

یک سیاست قوی برای رمز عبور حساب cPanel خود و یا هر سرور دیگر و یا حساب های میزبانی مرتبط دارید استفاده کنید.همچنین اطمینان حاصل کنید که برنامه هایی که لازم نیست را حذف کنید.اگر اینکار انجام نشود شما باید آنها را به روز کرده و از امن بودنشان اطمینان حاصل کنید تا کمتر در خطر باشید.

امنیت سرور یکی از تخصصی ترین مباحث موجود در حوزه فناوری اطلاعات می باشد . امنیت سرور مجموعه ای از مباحث  امنیت شبکه ، امنیت سیستم عامل ، امنیت وب سرویس ها و کانفیگ امنیتی آنها را شامل می شود. 


از طریق پروتکل انتقال  فایل (ftp)

سرویس FTP  از قدیمی ترین و متداولترین سرویس های موجود بر روی اینترنت می باشد . از آن  به منظور ارسال و دریافت فایل در یک شبکه استفاده می شود. سرویس FTP ، توسط عموم کاربران اینترنت استفاده و بعنوان استانداردی برای ارسال و دریافت فایل در شبکه ( اینترانت، اینترنت )  توسط اکثر سیستم های عامل پذیرفته  شده است.

سرویس ftp در حالت عادی اطلاعات را بصورت cleartext ارسال و دریافت می کند و این موضوع آنرا بسیار ناامن می کند.
اطلاعات رد و بدل شده در سرویس ftp در صورت عدم اعمال راهکارهای امنیتی به راحتی برای sniffer های موجود در شبکه قابل دسترسی و استفاده خواهد بود.

با توجه به اهمیت FTP در آموزش های امنیت حتما به امنیت FTP خواهیم پرداخت.

تاریخ آخرین بروزرسانی : ۴ دی ۱۳۹۵
منبع :‌ مردان وردپرس
میلاد میلادی

باور هایت را که پرورش دهی به هرچیزی دست خواهی یافت.

Advertising MiSaCo.
2نظر برای

امنیت وردپرس ، روش های نفوذ به سایت وردپرسی قسمت ۲


  1. Rainful

    در سایت فارسی وردپرس من بعد از اینکه ارسال ایمیلش را بستم بعد از پست جدید اخیرا دیدگاه هایی به زبان انگلیسی و توسط افراد خارجی گذاشته شده است. سوالم این است که ایا احتمال دارد این نظردهی ها راهی برای نفوذ به وردپرس باشد؟

    • صادق مهدی لو

      این احتمال خیلی کم است در حقیقت این کامنت ها توسط سیستم ها اسپمینگ ارسال می شوند ، می توانید با نصب و فعال سازی پلاگین های نظیر Akismet از ثبت چنین اسپم هایی جلوگیری کنید.

نظرات خود را اینجا بنویسید

آدرس الکترونیکی شما نمایش داده نمی شود *

Time limit is exhausted. Please reload CAPTCHA.