امنیت وردپرس

در این مقاله به امنیت وردپرس اشاره ای خواهیم داشت که با توجه به هسته و میزبانی وب مقاله را شرح خواهیم داد.

همانگونه که مشخص است سیستم مدیریت محتوا وردپرس یا wordpress cms یک سیستم یکپارچه است که بصورت اپن سورس عرضه و توسط نهاد های مختلف مردمی و جامعه برنامه نویسی آپدیت و بهینه میشود.

ورد پرس از افزونه های مختلف و قالب های مختلفی طراحی و پیاده سازی شده است که قدرت شگفت انگیزی را به مدیر سایت یا طراح سایت میدهد و چون بصورت رایگان است دسترسی به سروس کد امکان پذیر شده و امکان تغییر محتوا وجود دارد.

همین امر و تعداد افزونه های برنامه نویسی شده توسط افراد یا شرکت های مختلف سبب شده تا در صورتی که ان منابع مطمن و تست توسط برنامه نویس استفاده نشود موجب باگ ها و رخنه های امنیتی بسیاری میشود.

از انواع حملات هکرها میتوان به  sql injection  . xss . rfi . lfi . ddos اشاره کرد که اینها تنها تعدادی از حملات هستند که شایعترینشان حملات به پایگاه داده sqlinjection و حملات xss میتوان اشاره کرد.

نوع جدید حملات و اتلاف منابع میتوان به دیداس یا ddos از طریق بات نت های تعریف شده اشاره کرد که در سال ۲۰۱۸ یک افزونه سئو آلوده شده بود به سورس کد مخرب به نحوی که اجازه اجرای فرامین را به هکر میداد.

برای مثلا هکرها یک افزونه را در یکی از سایت های معتبر وردپرسی آلوده کردند و با نصب مثبت ۱۲۰۰۰ عدد افزونه هکرها ۱۲۰۰۰ عدد سرور داشتند که به هر زیر ساختی میتوانستند حمله و مقد را متلاشی کنند که چنین نیز شد حمله ای با نام target splashed.

به همین سبب در این مقاله سعی بر این داریم تا روشهای جلوگیری از سرک کشی ربات های مزاحم و مراحل امنیتی را بصورت ساده بیان کنیم.

امنیت وردپرس

Captcha:

با کپچا میتوانید از ورود ربات های مزاحم و کامنت و اسپم های بلا استفاده را حذف و مدیریت کنید بطوری که هیچ رباتی نتواند اجازه دسترسی به سیستم مدیریت محتوای شما را داشته باشد.

از عواملی که بر سئو سایت شما تاثیر گذار است اسپم لینک های درج شده در قسمت کامنت های مقالات است که به عنوان بک لینک نمایان میشود در سئو شما در صورتی که حذف و یا جلوگیری نکنید.

امنیت سرور میزبان :

مورد اصلی امنیت وردپرس به سرور میزبانی شما برمیگردد. اگر شما از هاست های اشتراکی استفاده میکنید باید خدمتتان عرض کنم که یکی از اشتباهات رایج برای وبمستران استفاده از منابع اشتراکی هست به دلایل زیر:

• کمبود منابع رو و cpu سرور در زمان استفاده و یا cms های سنگین همجوار با هاست شما.
• کمبود منابع دانلود و اپلود در مواقع استفاده و دانلود کاربران زیاد از سرور و هاست های همجوار.
• امکان پنالتی شدن آیپی سرور بدلیل استفاده نادرست سایت های همجوار شما چون همگی از یک آیپی استفاده میکنند.
• امکان هک شدن بدلیل مخرب بودن و یا غیر ایمن بودن سایت های مجاور.
• عدم آگاهی کافی مدیر سرور مجازی از امنیت و بستن رخنه های نفوذ.
• امکان تداخل بعضی از لایسنس ها با آیپی اشتراکی
• بدلیل استفاده زیاد از منابع میزان مقاومت در برابر حملات ddos بسیار پایین می آید.
• اگر بر فرض مثال ۳۰۰ سایت در یک سرور میزبانی هاست اشتراکی باشند و یکی از این سایت ها مورد علاقه هکرها باشد بصورت متداوم اتک میخورید.

سرور مجازی میتواند راه حل مناسبی باشد برای چند گزینه بالا ولی سرور مجازی نیز به لایسنس و به کانفیگ و…. نیاز دارد.

اینها تنها بعضی از دلایل عدم استفاده از هاست اشتراکی برای امنیت وردپرس میباشد  و صمیمانه عرض میکنم اگر سایتتان مورد توجه نیست و صرفا جنبه نمایشی دارد با بازدید خیلی کم از هاست اشتراکی استفاده کنید.

در غیر این صورت سعی کنید از سرور مجازی ایران (در صورتی که در ایران فعالیت میکنید) استفاده کنید که میتوانید از سرور های مقرون بصرفه وردپرسی فاما سرور یا سرور مجازی ایران فاما سرور استفاده کنید.

فایروال:

دقت داشته باشید که اگر از هاست و سرور مجازی استفاده میکنید حتما فایروال قبل از شبکه گیتوی شما فعال باشد بصورت سخت افزاری و در صورت وجود از فایروال های نرم افزاری لینوکسی و ویندوزی استفاده کنید تا لایه های بیشتری را پوشش دهید.

فعال سازی waf:

waf چیست؟

WAF مخفف Web Application Firewall می باشد که در واقع یک فایروالی وبی است و ترافیک ها را برای شناسایی هر گونه فعالیت مشکوک بررسی می کند. حتی با استفاده از آن می توانید به طور خودکار ترافیک را بر اساس مجموعه قوانینی که شما مشخص کرده اید فیلتر نمایید. این فیلتر میتواند بر اساس هر دو درخواست HTTP GET یا POST باشد.

با waf می توانید به طور خودکار ترافیک را بر اساس مجموعه قوانینی که شما مشخص کرده اید فیلتر نمایید. اجرای WAF می تواند در جلوگیری از حملات XSS نیز بسیار مفید باشد.

افزونه های نصبی و قالب ها:

دلیل اصلی هک شدن وردپرس و یا آلوده شدن بد افزار به سایت شما افزونه های مخرب و یا قالب های رایگان است.چرا؟

یک مثالی هست که میگوید گربه برای رضای خدا موش نمیگیرد. دقیقا مشکل همین است شما یک قالب زیبا و خوب را میبینید که کلیه شرایط شما را دارد ولی آیا آن قالب که حداقل ۱ هفته زمان برده تا طراحی و ترجمه شود باید بصورت رایگان باشد؟ قطعا خیر ولی داخل این قالب ها که اکثرا بصورت کدینگ هستند بک لینک ها و دسترسی های بکدور را برای هکر باز میکند تا یا از منابع و اسم و رسم سایت شما سو استفاده کند و یا از سئو سایت شما نهایت استفاده را ببرد.

پس همیشه قبل از نصب خوب چک کنید قالب یا افزونه نصب شده عاری از هرگونه بد افزار و بک لینک باشد و ترجیحا افزونه های بلا استفاده را حذف و از فولدر هاست نیز حذف کنید.

مدیریت دسترسی و رمز عبور:

اگر تمامی مراحل بالا را برای امنیت وردپرس به سلامت خیلی زیاد بگذرانید و در بخش رمز عبور ضعف داشته باشید شک نکنید که مخربترین دسترسی ممکن را به هکر و سواستفاده گر دادید.چرا که بالاترین دسترسی را دارد.

و این کار موجب دسترسی گرفتن شل کد از سرور میزبان و به خطر انداختن سایت های مجاور با هاست شما نیز میشود.

برای جلوگیری از این اتفاق حتما از نرم افزار های مدیریت کلمه عبور استفاده کنید تا حتی یک رمز شبیه به هم نداشته باشید.

موارد زیادی بودند که رمز ایمیل مدیر سایت با رمز حساب های بانکی و سرور ها و حساب های ارزی بیت کوین یا … یکی بودند که تنها با یک ضعف همه ی اینها بخطر میافتد.

مدیریت ایمیل:

چرا ما از ایمیل زیاد استفاده نداریم در صورتی که ایمیل صندوق پستی مجازی و همیشه در دسترس ما است ولی عدم آگاهی کافی میتواند به کلیدی برای تمامی درها و یا شاهکلید نامگذاری کرد.

یعی کنید تراکنش های بانکی و مدیریت کلمه عبور ها و اطلاعیه ها و هر ایمیلی که به شما ارسال میشود را بعد از خواندن حذف کنید تا اگر به ایمیل شما دسترسی پیدا کردند متوجه نشوند شما در چه سرویس های با ایمیل مورد نظر عضو هستید.که این فاجعه است .

موارد بالا تنها بخشی از تجربیات بنده و همکاران در ضمینه امنیت است که مقوله امنیت به انتهای هک ختم میشود و از درک آن برای هر انسانی باید پرهیز کرد جراکه هک را باید برای امنیت آموخت در صورت وجود داشتن جنبه و غرور.

امیدواریم از مقاله امنیت وردپرس لذت برده باشید.

فاما سرور