اخیرا یکی از کاربران ما پرسید چرا سایت های وردپرس هک می شوند؟ ناامید کننده است که متوجه شوید سایت وردپرسی شما هک شده است. در این مقاله، دلایل اصلی این که سایت وردپرس چگونه هک می شوند، و راه های جلوگیری از اشتباهات را برای شما بیان می کنیم.
چرا وردپرس توسط هکرها هدف قرار می گیرد؟
قبل از هر چیزی باید بدانید که فقط وردپرس نیست که باگ های امنیتی دارد و امکان هک آن وجود دارد بلکه تمام سایت ها و سیستم مدیریت محتوا ها آسیب پذیر هستند و باید جلوی هک آنها را گرفت.
دلیل اینکه سایتهای وردپرسی یک هدف مشترک هستند، این است که وردپرس محبوبترین وبسایت ساز جهان است. این قدرت بیش از 35 درصد از تمام وب سایت ها به معنی صدها میلیون وب سایت در سراسر جهان است.
این محبوبیت بی نظیر به هکرها یک راه آسان برای پیدا کردن وب سایت هایی است که امنیت کمتری دارند، به طوری که آنها می توانند از آن بهره برداری کنند.
هکرها انگیزه های مختلفی برای هک کردن یک وب سایت دارند. بعضی از مبتدیان هستند که فقط یادگیری و بهره برداری از سایت های امن تر را دارند.
برخی از هکرها دارای اهداف مخرب مانند توزیع بدافزار، استفاده از سایت برای حمله به وب سایت های دیگر یا اسپم کردن آن را دارند.
با این توضیح، بیایید نگاهی به برخی از دلایل اصلی هک سایت های وردپرس بپردازیم ، و نحوه جلوگیری از هک شدن سایت خود را بررسی کنیم.
1. میزبانی وب ناامن
مانند همه وب سایت ها، سایت های وردپرس در یک سرور وب میزبانی می شوند. برخی از شرکت های میزبانی وب به درستی پلاتفرم میزبانی خود را امن نمی کنند. این باعث می شود همه ی وب سایت ها در سرور های خود آسیب پذیر باشند تا هکرها به راحتی بتوانند از این راه نفوذ کنند.
این مورد را می توان به راحتی با انتخاب بهترین ارائه دهنده هاست وردپرس برای وب سایت خود حل کرد. این تضمین می کند که سایت شما در یک پلت فرم امن ذخیره می شود. سرورهای مناسب امن می توانند بسیاری از حملات رایج را بر روی سایت های وردپرس متوقف کنند.
2. استفاده از کلمه عبور ضعیف
کلمه عبور کلیدی برای ورود به سایت وردپرسی شماست. شما باید مطمئن شوید که از یک رمز عبور قوی و منحصر به فرد برای هر یک از حساب های زیر استفاده می کنید زیرا همه آنها دسترسی کامل به وب سایت شما را فراهم می کنند.
- حساب کاربری مدیریت وردپرس شما
- پنل کنترل هاست شما
- حساب های FTP
- پایگاه داده MySQL مورد استفاده برای سایت وردپرسی شما
- حساب های ایمیل مورد استفاده برای مدیر وردپرس یا حساب میزبانی
همه این حساب ها با کلمه عبور محافظت می شوند. با استفاده از کلمات عبور ضعیف، هکرها با استفاده از برخی از ابزارهای هکینگ پایه، رمز عبور را راحت تر می کنند. با استفاده از کلمه عبور منحصر به فرد و قوی برای هر حساب، می توانید به راحتی این راه هک را هم مسدود کنید.
3. دسترسی غیرمجاز به مدیریت وردپرس (دایرکتوری wp-admin )
ناحیه مدیریت وردپرس، دسترسی کاربر به انجام اقدامات مختلف در سایت وردپرسی شما را فراهم می کند. این نیز منطقه ای است که بیشتر مورد حمله هکر ها قرار می گیرد.
ترک آن بدون حفاظت اجازه می دهد تا هکرها روش های مختلف برای ترک وب سایت شما را امتحان کنید. شما می توانید با افزودن لایه احراز هویت به دایرکتوری مدیریت وردپرس خود راه را برای آنها دشوار کنید.
شما باید به پوشه wp-admin خود یک رمز اختصاص دهید ،که این کار یک لایه امنیتی اضافی را ایجاد می کند، و هر کسی که می خواهد به wp-admin دسترسی داشته باشد، باید رمز عبور اضافی را ارائه دهد.
اگر شما یک سایت چندرسانه ای یا چند کاربره وردپرسی را اجرا کنید، پس می توانید کلمات عبور قوی برای همه کاربران سایت خود اعمال کنید. شما همچنین می توانید احراز هویت دو عامل را اضافه کنید تا هکرها برای ورود به منطقه مدیریت وردپرس دچار مشکل شوند.
4. مجوز فایل نادرست
مجوزهای فایل مجموعه ای از قوانین استفاده شده توسط وب سرور شما می باشد. این مجوزها دسترسی به فایلهای سایت شما را کنترل می کنند. اجازه دسترسی به پرونده های اشتباه می تواند به دسترسی هکرها به نوشتن و تغییر این فایل ها کمک کند.
تمام فایل های وردپرس شما باید دارای مجوز 644 باشند. تمام پوشه ها در سایت وردپرس شما باید مجوز 755 داشته باشند.
5. بروز رسانی وردپرس
برخی از کاربران وردپرس از بروز رسانی سایت های وردپرسی ترس دارند. آنها از انجام این کار می ترسند و همین باعث افت امنیتی شدید در وب سایت می شود.
هر نسخه جدید وردپرس برای رفع اشکالات و آسیب پذیری های امنیتی است. اگر وردپرس را بروز نکنید، به این معنی است که قصد دارید سایت خود را آسیب پذیر کنید و در واقع زمینه هک شدن سایت خود را فراهم می کنید.
اگر به هر دلیلی از بروزرسانی وردپرس ترسی دارید قبل از بروزرسانی یک نسخه پشتیبان تهیه کنید تا در صورت مشکل به نسخه قبل برگردید.
6. بروزرسانی نکردنی قالب وردپرس و افزونه وردپرس
درست مانند بروزرسانی وردپرس اصلی، بروز رسانی قالب وردپرس و افزونه وردپرس شما به همان اندازه مهم است. با استفاده کردن از از یک پلاگین وردپرس یا تم وردپرس قدیمی می توانید سایت خود را آسیب پذیر کنید.
نقص های امنیتی و اشکالات اغلب در پلاگین ها و تم های وردپرس کشف می شوند. معمولا نویسندگان قالب و افزونه سریع آنها را برطرف می کنند. با این حال، اگر یک کاربر قالب یا افزونه خود را بروز نکرده باشد،یعنی نقص های امنیتی هنوز در سایت او پابرجاست!
پس اطمینان حاصل کنید که قالب و افزونه وردپرس خود را همیشه بروز نگه دارید.
7. با استفاده از FTP ساده به جای SFTP / SSH
حساب های FTP برای آپلود فایل ها به سرور وب خود با استفاده از یک سرویس گیرنده FTP استفاده می شود. بیشتر ارائه دهندگان میزبانی از اتصالات FTP با استفاده از پروتکل های مختلف پشتیبانی می کنند. شما می توانید با استفاده از FTP، SFTP یا SSH ساده متصل شوید.
هنگامی که شما با استفاده از FTP ساده به سایت خود متصل می شوید، رمز عبور شما به سرور رمزگذاری نشده ارسال می شود. می توان آن را جاسوسی و به راحتی به سرقت برد. به جای استفاده از FTP، همیشه باید از SFTP یا SSH استفاده کنید.
شما نمی خواهید کاربر FTP خود را تغییر دهید. بیشتر کاربران FTP می توانند به SFTP و همچنین SSH به وب سایت شما متصل شوند. شما فقط باید پروتکل SFTP-SSH را هنگام اتصال به وب سایت خود تغییر دهید.
8. استفاده از Admin به عنوان نام کاربری وردپرس
استفاده از ‘admin’ به عنوان نام کاربری وردپرس شما توصیه نمی شود. اگر نام کاربری مدیر شما admin است، پس شما باید آن را به یک نام کاربری دیگر تغییر دهید.
9. استفاده از قالب ها و افزونه های وردپرس نال!
وب سایت های بسیاری در سطح اینترنت وجود دارد که پلاگین ها و قالب های پولی وردپرس را به صورت رایگان به اشتراک می گذارند. گاهی اوقات وسوسه شدن برای استفاده از این پلاگین ها و تم های ناخواسته در سایت شما آسان است.
دانلود قالب و پلاگین وردپرس از منابع غیر قابل اعتماد بسیار خطرناک است. نه تنها آنها می توانند امنیت وب سایت شما را تحت تاثیر قرار دهند، بلکه می توانند برای سرقت اطلاعات حساس نیز مورد استفاده قرار گیرند.
شما همیشه باید پلاگین ها و قالب های وردپرس را از منابع قابل اعتماد مانند تم فارس تهیه کنید که تمامی قالب ها و افزونه های خود را از سایت تم فارست خریداری کرده و به صورت کاملا اورجینال و فارسی ارائه می دهد.
اگر شما نمی توانید یک افزونه پولی را خریداری کنید، همیشه جایگزین های رایگان برای این محصولات وجود دارد. این افزونه های رایگان ممکن است به اندازه نسخه پولی آنها نباشد، اما آنها کار را انجام می دهند و از همه مهمتر وب سایت شما را ایمن نگه می دارند.
10. عدم تنظیم و پیکربندی فایل wp-config.php وردپرس
فایل پیکربندی وردپرس wp-config.php دارای اعتبار ورودی پایگاه داده وردپرس شماست. اگر آن به خطر بیافتد، شامل اطلاعاتی است ه هکر به راحتی با استفاده از آن می تواند دسترسی کامل به وب سایت شما داشته باشد.
شما می توانید یک لایه اضافی حفاظت را برای دسترسی به فایل wp-config با استفاده از .htaccess منع کنید. به سادگی این کد کوچک را به فایل .htaccess اضافه کنید.
<files wp-config.php> order allow,deny deny from all </files>
11. عدم تغییر پیشوند جدول وردپرس
بسیاری از کارشناسان توصیه می کنند که پیشوند جداول وردپرس را تغییر دهید. به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای جداول ایجاد شده در پایگاه داده استفاده می کند. شما یک گزینه برای تغییر آن در طول نصب وردپرس خواهید داشت. توصیه می شود از یک پیشوند استفاده کنید که کمی پیچیده تر است.
امیدوارم که این مقاله به شما کمک کند تا دلایل اصلی هک شدن سایت وردپرس را یاد بگیرید. همچنین ممکن است بخواهید مقاله نحوه تغییر پیشوند جداول وردپرس را ببینید.