امنیت وردپرس + مقدمه و معرفی خطرات احتمالی

امنیت وردپرس : در دنیای وردپرس روش‌های زیادی وجود دارد که از طریق آنها بتوانید امنیت وبلاگ و سایت تجارت الکترونیک خود را در برابر هکرها و آسیب های دیگر حفظ کنید. مسلما هدف این است که شما بتوانید هر روز صبح، سایت خود را سالم ببینید.
برای همین در ادامه نکته ها، ترفندها و تکنیک‌هایی را برای بهبود امنیت وردپرس به شما ارائه می دهیم.
آیا وردپرس امنیت دارد؟
اولین پرسشی که ممکن است شما با آن روبرو شوید این است که : “آیا وردپرس امنیت کافی را دارد؟”

پاسخ برای اغلب موارد مثبت است. با این حال، معمولا وردپرس را به خاطر آسیب‌‌پذیری امنیتی و این که اصالتا یک پلت فرم امن برای استفاده در کسب و کار نیست مورد انتقاد قرار می‌دهند. ولی اغلب این موارد به دلیل این واقعیت است که کاربران معمولا بدترین شیوه‌های امنیتی اثبات شده را به کار می‌برند.

استفاده از نسخه‌های قدیمی وردپرس، افزونه های نا معتبر، مدیریت ضعیف و نداشتن دانش کافی درمورد وب و امنیت در میان کاربران کم تجربه باعث شده تا هکرها برنده این بازی سایبری شوند.

حتی صاحبان حرفه‌ای کسب و کار نیز همیشه از بهترین شیوه‌ها استفاده نمی‌کنند، مثلا خبرگزاری رویترز جزء سایت‌هایی است که به خاطر استفاده از نسخه قدیمی وردپرس مورد حمله هکرها قرار گرفت.

امنیت اساسا به معنی داشتن یک سیستم کاملا امن نیست. امنیت به معنی کاهش خطر است نه حذف خطر و در واقع به این معناست که تمام اقدامات کنترلی مناسب موجود را به کار بگیرید تا وضعیت کلی وب سایت شما بهبود یافته و همچنین احتمال حملات مختلف نیز کاهش یابد.

بر اساس یک مطالعه فصلی Q3 2017 توسط یک شرکت امنیتی، همچنان 83 درصد از سایت‌های آسیب دیده روی وردپرس اجرا می‌شوند.

آسیب پذیری امنیتی وردپرس

وردپرس بیش از 33 درصد از وب سایت‌های موجود در اینترنت را تغذیه می‌کند و با وجود ارتباط آنها با صدها هزار ترکیب از پوسته ها و افزونه ها، مواجهه مدام با آسیب‌های امنیتی چیز عجیبی نیست. در عین حال یک انجمن بزرگ نیز در وردپرس برای جلب اطمینان و رفع هرچه سریعتر این موارد، تشکیل شده است. هم ‌اکنون تیم امنیتی وردپرس متشکل از 50 کارشناس از جمله مدیران ارشد و محققان امنیتی در زمینه امنیت شبکه در حال فعالیت هستند

امنیت وردپرس

در ادامه چند مورد از آسیب‌های امنیتی را که وردپرس در معرض آنها قرار دارد را بررسی می‌کنیم.

1. آسیب امنیتی Backdoor یا درپشتی
2. هک داروخانه‌ای Pharma Hack
3. حمله با بروت فورس Brute-force Login Attempts
4. ریدایرکت وردپرس Malicious Redirect
5. اسکریپت های Cross-Site (XSS)
6. عدم پذیرش سرویس یا Denial of Service

آسیب امنیتی Backdoor یا درپشتی

آسیب امنیتی Backdoor یا درپشتی، راه‌های مخفی را برای هکرها فراهم می‌کند تا با دور زدن رمزگذاری های امنیتی از روش‌های غیر معمول مثل wp-admin، SFTP، FTP و… به وب سایت های وردپرسی دسترسی پیدا کنند.

پس از سوءاستفاده، Backdoor ها هکرها را قادر می سازند تا سرورهای هاست را با آلایندگی بین سایتی (cross-site contamination) تخریب کنند و چند سایت را روی یک هاست به خطر بیندازند. طبق یک مطالعه آماری در 2017، Backdoor ‌ها با حمله به 71 درصد از سایت‌های آلوده شده، همچنان یکی از رایج‌ترین اقدامات پس از هک هستند که مهاجمان بسیاری آن را به کار می‌گیرند.

پراکندگی بدافزارها

Backdoor ها اغلب رمزگذاری می شوند تا مانند فایل های معمولی سیستم وردپرس به نظر برسند و با سوء استفاده از نقاط ضعف و اشکالات نسخه های قدیمی وردپرس راه خود را به سوی پایگاه‌های داده وب سایت پیدا کنند. تخریب TimThumb یک نمونه اولیه از حملات backdoor بود که از اسکریپت های سایه دار و نرم افزار قدیمی استفاده کرد و میلیون ها وب سایت را از بین برد.

خوشبختانه پیشگیری و رفع این آسیب نسبتا ساده است. شما می توانید سایت وردپرسی خود را با ابزارهایی نظیر SiteCheck که به راحتی می تواند Backdoorهای رایج را شناسایی کند، اسکن کنید.

البته در نسخه ی 5.2 وردپرس ابزاری با نام Site Health قرار داده شده است که می تواند اشکالات امنیتی وردپرس را به شما نمایش دهد.
احراز هویت دو مرحله‌ای، مسدود کردن IP ها، محدود کردن دسترسی مدیریتی و جلوگیری از اجرای غیرمجاز فایل های PHP به راحتی از تهدیدات معمول Backdoor ها جلوگیری می کند، که در ادامه به آنها اشاره خواهیم کرد.

هک داروخانه‌ای Pharma Hack

در Pharma Hack یا هک داروخانه‌ای کد‌های مخربی را در نسخه های به روزنشده وب سایت ها و افزونه های وردپرس وارد می‌کنند. این کار باعث می شود که وقتی یک وب سایت آلوده در حال جستجو شدن است، موتورهای جستجو تبلیغاتی را برای محصولات دارویی نمایش دهند. این آسیب بیشتر یک تهدید هرزنامه ای است تا یک نرم افزار مخرب مرسوم، اما دلیل کافی را به موتورهای جستجو می‌دهد تا سایت را به اتهام توزیع هرزنامه ها متوقف کنند.

در این لینک راه حل‌هایی برای پاک کردن قسمت‌های متحرک یک pharma hack که شامل بکدورهای افزونه ها و پایگاه‌ داده ها هستند ارائه شده است
به هر حال این کدها اغلب نوعی تزریق‌ مخرب رمزگذاری شده مخفی در پایگاه‌های داده هستند و برای حل آسیب ناشی از آنها به یک فرآیند پاکسازی کامل نیاز است. با این وجود، شما می توانید به راحتی از آسیب هک‌های Pharma با استفاده از ارائه دهندگان هاستینگ وردپرس با سرورهای به روز و به روزرسانی مرتب نرم افزار، تم ها و افزونه ها آسوده شوید.

حمله با بروت فورس Brute-force Login Attempts

لاگین بروت فورس نوعی آسیب امنیتی است که در آن از اسکریپت‌های خودکار برای کشف گذرواژه‌های ضعیف و ورود به سایت قربانی استفاده می‌شود. احراز هویت دو مرحله ای، محدود کردن تقاضاهای ورود، نظارت بر عدم ورود غیرمجاز، مسدود کردن IP ها و استفاده از کلمات عبور قوی، از جمله ساده ترین و موثر ترین راه ها برای جلوگیری از حملات بروت فورس است.

اما متاسفانه تعدادی از صاحبان وب سایت‌های وردپرس موفق به انجام این اقدامات امنیتی نمی شوند، در حالی که هکرها به راحتی می توانند در یک روز با استفاده از حملات بروت فورس، تا 30،000 وب سایت را به خطر بیندازند.

ریدایرکت وردپرس Malicious Redirect

هکرها با استفاده از Malicious Redirects یا تغییر مسیرهای مخرب بکدورهایی را از طریق FTP، SFTP، wp-admin و دیگر پروتکل‌ها در نرم افزارهای نصبی وردپرس می‌سازند و از این طریق کدهای تغییر مسیر را در وب سایت‌ها وارد می‌کنند.

تغییر مسیرها اغلب در فایل htaccess. و دیگر فایلهای اصلی وردپرس به فرم کدشده قرار می گیرند و ترافیک وب را به سایت های مخرب هدایت می کنند.

همچنین این ریدایرکت ها گاهی اوقات با تغییر آدرس های نشانی وردپرس (Site URL) و صفحه اصلی (Home Url) اقدام به هدایت صفحاتی می کنند که در آنها تروجان هایی برای استخراج بیت کوین استفاده شده اند و در لحظه بار بسیار زیادی را به سخت افزار وارد می کنند.

اسکریپت های Cross-Site (XSS)

اسکریپت Cross-Site (XSS) زمانی اتفاق می‌افتد که یک اسکریپت مخرب به یک وب سایت یا برنامه معتبر تزریق می شود. مهاجمان از این طریق کدهای مخرب را که معمولا اسکریپت های سمت مرورگرهستند به کاربران مقصد بدون آنکه متوجه شوند، ارسال می‌کنند. هدف این کار معمولا ربودن کوکی‌ها یا داده های جلسه یا حتی بازنویسی HTML در یک صفحه است.

طبق گزارش سایت Word fence  آسیب اسکریپت Cross-Site به طور فاحشی شایع‌ترین آسیب در افزونه های وردپرس است.

عدم پذیرش سرویس یا Denial of Service

این آسیب که شاید خطرناک‌ترین باشد، از خطاها و باگ‌ کدها استفاده می‌کند تا حافظه سیستم عامل‌های وب سایت را مختل کند. هکرها از طریق استفاده از نسخه های قدیمی و باگ دار وردپرس با حملات DoS میلیون ها وب سایت را در معرض خطر قرار داده اند و میلیون ها دلار به جیب زده‌اند.

گرچه مهاجمان سایبری به لحاظ مالی انگیزه کمتری برای حمله به شرکت های کوچک دارند، ولی معمولا تمایل دارند وب سایت های آسیب پذیر دارای نسخه‌های قدیمی را، برای ایجاد زنجیره های بوت نت (botnet) برای حمله به کسب و کارهای بزرگ به کار بگیرند.

حتی آخرین نسخه وردپرس هم نمی تواند به طور کامل در برابر حملات DoS مقاومت کند، اما حداقل به شما کمک می کند تا از بسیاری از مشکلاتی که کاربران دیگر با آن رو به رو می شوند خلاص شوید.

همیشه 21 اکتبر 2016 را فراموش نکنید! روزی که اینترنت به علت حمله DNS DDoS خاموش شد.

درپایان نباید فراموش کرد که یکی دیگر از مهمترین فاکتورهای تامین کننده امنیت یک سایت، سرور میزبان آن است.بنابراین در زمان خرید هاست باید نکات امنیتی را در نظر داشته باشیم.

ویژگی های امنیتی سرویس های ارائه شده در نت افراز :

• اسکن فایل های آپلودی
• بررسی ورودهای مشکوک
• شناسایی پسوردهای ضعیف
• پیگیری فعالیت های مشکوک در سرورها
• شناسایی و مقابله با حملات مختلف بر روی سایت
•  ارائه خدمات آنتی دیداس سخت افزاری و نرم افزاری
• به روزرسانی رولهای امنیتی سرور با شناسایی موارد امنیتی جدید
• اسکن دوره ای فایل های سایت برای شناسایی کدهای بکدور یا اینجکت شده
• جلوگیری از ورود به برنامه از طریق آیپی های کشورهایی که بیشترین تعداد هکر را دارد