11 دلیل عمده هک سایت های وردپرس | راه های جلوگیری از هک سایت وردپرس

  • منتشر شده توسط وحید رنجبر
  • 20 شهریور 1397
  • آموزش / وردپرس
  • ۱ دیدگاه

11 reasons why hacking wordpress sites - 11 دلیل عمده هک سایت های وردپرس | راه های جلوگیری از هک سایت وردپرس

در این مقاله به بررسی 11 دلیل عمده که چرا سایت های وردپرس هک می شوند و چگونگی جلوگیری از هک سایت وردپرس می پردازیم.دلایل اصلی هک سایت وردپرسی

دلایل اصلی هک سایت وردپرسی توسط هکرها چیست؟

ابتدا، فقط وردپرس نیست بلکه تمام وب سایت ها در اینترنت در برابر هک آسیب پذیر هستند دلیل اینکه سایتهای وردپرس یک هدف مشترک هستند، این است که وردپرس محبوبترین وبسایت ساز جهان است. این قدرت بیش از 31 درصد از تمام وب سایت ها به معنی صدها میلیون وب سایت در سراسر جهان است.این محبوبیت بی نظیر به هکرها یک راه آسان برای پیدا کردن وب سایت هایی است که کمتر امن هستند، به طوری که بتوانند از آن بهره برداری کنند.

هکرها انگیزه های مختلفی برای هک کردن یک وب سایت دارند. بعضی از مبتدیان هدفشان فقط یادگیری و بهره برداری از سایت های ایمن دارند.برخی از هکرها دارای اهداف مخرب مانند توزیع بدافزار، استفاده از سایت برای حمله به وب سایت های دیگر یا اسپم کردن اینترنت هستند.

با این توضیح، بیایید نگاهی به اینکه چرا سایت های وردپرس هک می شود؟ و نحوه جلوگیری از هک سایت وردپرس را بررسی کنیم.

1. میزبانی وب ناامن

برخی از شرکت های میزبانی وب به درستی پلاتفرم میزبانی خود را امن نمی کنند. این باعث می شود همه ی وب سایت ها در سرور های خود آسیب پذیر باشند تا هکرها تلاش کنند. می توان به راحتی با انتخاب بهترین ارائه دهنده وردپرس برای وب سایتتان از هک جلوگیری کردکه باعث می شود در یک پلت فرم امن ذخیره شود. سرورهای مناسب امن می توانند بسیاری از حملات رایج را بر روی سایت های وردپرس متوقف کنند.اگر می خواهید احتیاط  کنید، توصیه می کنیم از یک ارائه دهنده میزبانی وب تحت مدیریت وردپرس استفاده کنید.

2. استفاده از کلمه عبور ضعیف

stolenpassword - 11 دلیل عمده هک سایت های وردپرس | راه های جلوگیری از هک سایت وردپرس

کلمه عبور کلیدی برای سایت وردپرسی شماست. شما باید مطمئن شوید که از یک رمز عبور قوی و منحصر به فرد برای هر یک از حساب های زیر استفاده می کنید زیرا همه آنها دسترسی کامل به وب سایت شما را فراهم می کنند.

  • حساب کاربری مدیریت وردپرس شما
  • میزبانی وب میزبانی پنل کنترل پنل
  • حساب های FTP
  • پایگاه داده MySQL مورد استفاده برای سایت وردپرس شما
  • حساب های ایمیل مورد استفاده برای مدیر وردپرس یا حساب میزبانی

همه این حساب ها با کلمه عبور محافظت می شوند. با استفاده از کلمات عبور ضعیف، هکرها با استفاده از برخی از ابزارهای هکینگ پایه، رمز عبور را راحت تر می کنند.با استفاده از کلمه عبور منحصر به فرد و قوی برای هر حساب، می توانید از هک آنها جلوگیری کنید.

3. دسترسی غیرمجاز به مدیریت وردپرس (wp-admin دایرکتوری)

ناحیه مدیریت وردپرس دسترسی کاربر به انجام اقدامات مختلف در سایت وردپرسی شما را فراهم می کند. این نیز منطقه ای است که بیشتر مورد حمله هکرها قرار گرفته است.به هکرها اجازه می‌دهد رویکردهای مختلفی برای ترک وب سایت شما امتحان کنند. شما می‌توانید با اضافه کردن لایه‌های اعتبارسنجی به دایرکتوری مدیریت وردپرس این کار را برای آن‌ها دشوار کنید.

ابتدا بایستی کلمه عبور خود را از منطقه مدیریت وردپرس حفاظت کنید. این یک لایه امنیتی اضافی را اضافه می کند، و هر کسی که می خواهد به مدیر وردپرس دسترسی داشته باشد، باید رمز عبور اضافی را ارائه دهد.اگر شما یک سایت چندرسانه ای یا چند کاربره وردپرسی را اجرا کنید، پس می توانید کلمات عبور قوی برای همه کاربران سایت خود اعمال کنید. شما همچنین می توانید دو تأیید اعتبار فاکتور را اضافه کنید تا هکرها برای ورود به منطقه مدیریت وردپرس دچار مشکل شوند.

4. مجوز فایل های نادرست

directoriesfilepermissions - 11 دلیل عمده هک سایت های وردپرس | راه های جلوگیری از هک سایت وردپرس

مجوزهای فایل مجموعه ای از قوانین استفاده شده توسط وب سرور شما می باشد. این مجوزها دسترسی به فایلهای سایت شما را کنترل می کنند. اجازه دسترسی به پرونده های نادرست می تواند به هکرها به نوشتن و تغییر این فایل ها کمک کند. تمام فایل های وردپرس شما باید دارای مجوز 644 باشند. تمام پوشه ها در سایت وردپرس شما باید 755 به عنوان مجوز فایل خود داشته باشند.

5. به روز رسانی وردپرس

برخی از کاربران وردپرس از به روز رسانی سایت های وردپرس ترس دارند. می‌ترسند که این کار وب سایت آن‌ها را بشکند. هر نسخه جدید وردپرس  باعث رفع اشکالات و آسیب پذیری های امنیتی است. اگر وردپرس را به روز نکنید، یعنی قصد دارید سایت خود را آسیب پذیر کنید. اگر شما می ترسید که با به روز رسانی وب سایت شما بشکند، پس شما می توانید یک نسخه پشتیبان تهیه کامل وردپرس قبل از اجرای یک به روز رسانی ایجاد کنید. به این ترتیب، اگر چیزی کار نمی کند، شما به راحتی می توانید به نسخه قبلی بازگردید.

6. به روز رسانی افزونه ها یا تم

درست مانند برنامه نویسی وردپرس اصلی، به روز رسانی تم و افزونه های شما به همان اندازه مهم است. با استفاده از یک افزونه یا تم قدیم می توانید سایت خود را آسیب پذیر کنید. نقص های امنیتی و اشکالات اغلب در افزونه ها و تم های وردپرس کشف شده است. معمولا نویسندگان تم و افزونه سریع آنها را برطرف می کنند. با این حال، اگر یک کاربر تم یا افزونه خود را به روز نکرده باشد، هیچ چیز در مورد آن وجود ندارد.اطمینان حاصل کنید که تم و افزونه وردپرس خود را به روز نگه دارید.

7. استفاده از FTP ساده به جای SFTP / SSH

sftp - 11 دلیل عمده هک سایت های وردپرس | راه های جلوگیری از هک سایت وردپرس

حساب های FTP برای آپلود فایل ها به سرور وب خود با استفاده از یک سرویس گیرنده FTP استفاده می شود. بیشتر ارائه دهندگان میزبانی از اتصالات FTP با استفاده از پروتکل های مختلف پشتیبانی می کنند. شما می توانید با استفاده از FTP، SFTP یا SSH ساده متصل شوید. هنگامی که شما با استفاده از FTP ساده به سایت خود متصل می شوید، رمز عبور شما به سرور رمزگذاری نشده ارسال می شود.

می توان آن را جاسوسی و به راحتی به سرقت برد. به جای استفاده از FTP، همیشه باید از SFTP یا SSH استفاده کنید. شما نمی خواهید مشتری FTP خود را تغییر دهید. بیشتر مشتریان FTP می توانند به SFTP و همچنین SSH به وب سایت شما متصل شوند. شما فقط باید پروتکل SFTP-SSH را هنگام اتصال به وب سایت خود تغییر دهید.

8. استفاده از Admin به عنوان نام کاربری وردپرس

استفاده از ‘admin’ به عنوان نام کاربری وردپرس شما توصیه نمی شود. اگر نام کاربری مدیر شما مدیر است، پس شما باید آن را به یک نام کاربری دیگر تغییر دهید.

9. تم ها و افزونه های نال

malwarealert - 11 دلیل عمده هک سایت های وردپرس | راه های جلوگیری از هک سایت وردپرس

وب سایت های بسیاری در اینترنت وجود دارد که افزونه ها و تم های پرداخت شده وردپرس را به صورت رایگان به اشتراک می گذارند. گاهی اوقات وسوسه شدن برای استفاده از این افزونه ها و تم های ناخواسته در سایت شما آسان است. دانلود تم و افزونه وردپرس از منابع غیر قابل اعتماد بسیار خطرناک است. نه تنها آنها می توانند امنیت وب سایت شما را تحت تاثیر قرار دهند، بلکه می توانند برای سرقت اطلاعات حساس نیز مورد استفاده قرار گیرند.

شما همیشه باید افزونه ها و تم های وردپرس را از منابع قابل اعتماد مانند وب سایت توسعه دهندگان افزونه / تم ها یا مخازن وردپرس رسمی دانلود کنید. اگر شما نمی توانید یک افزونه یا تم با پشتیبانی خریداری کنید، همیشه جایگزین های رایگان برای این محصولات وجود دارد. این افزونه های رایگان ممکن است به اندازه همتایان پرداخت شده آنها نباشد، اما آنها کار را انجام می دهند و از همه مهمتر وب سایت شما را ایمن نگه می دارد.

10. عدم امنیت در پیکربندی فایل wp-config.php وردپرس

فایل پیکربندی وردپرس wp-config.php دارای اعتبار ورودی پایگاه داده وردپرس شماست. اگر به خطر افتاده باشد، اطلاعاتی را آشکار خواهد کرد که امکان دسترسی کامل هکرها به وب سایت شما را فراهم می‌کند.

شما می توانید یک لایه اضافی حفاظت را با دسترسی به فایل wp-config با استفاده از .htaccess منع کنید. به سادگی این کد کوچک را به فایل .htaccess اضافه کنید.

<files wp-config.php>
order allow,deny
deny from all
</files>

11. تغییر پیش فرض جدول وردپرس

بسیاری از کارشناسان توصیه می کنند که پیشوند جدول پیش فرض وردپرس را تغییر دهید. به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای جداول ایجاد شده در پایگاه داده استفاده می کند. شما می‌توانید این گزینه را در طول نصب تغییر دهید. توصیه می شود از یک پیشوند استفاده کنید که کمی پیچیده تر است این کار برای هکرها دشوارتر خواهد بود تا نام جدول پایگاه‌داده شما را حدس بزنند.

نکته پاداش

برقراری امنیت در وردپرس با Sucuri، که امنیت صخره ای معروف می باشد در تمام سایت های وردپرس استفاده می کنیم. Sucuri سرویس های تشخیص و حذف بدافزار و همچنین فایروال وب سایت را فراهم می کند که از وب سایت شما در برابر رایج ترین تهدیدات محافظت می کند.

ما امیدواریم که این مقاله به شما کمک کند تا دلایل اصلی هک سایت وردپرسی را یاد بگیرید.

برای تامین امنیت وردپرس خود و همچنین جلوگیری از هک حتما افزونه امنیت وردپرس رو نصب کنید.

امتیاز دهید