هک شدن وردپرس و 11 روش برای جلوگیری از آن

12 آبان 1397
wordpress-hacked-fix

خیلی از کاربران برایشان این سوال پیش آمده که هک شدن وردپرس چه زمانی اتفاق می افتد و چرا این وب سایت ها توسط هکران هک می شوند؟! بعضی اوقات برای کاربران خیلی تعجب آور است که چرا سایتشان هک شده، و به دنبال دلایل آن می گردند. در ادامه، به دلایل مختلفی که ممکن است سایت وردپرسی هک شوند می پردازیم.

چرا سایت وردپرسی توسط هکر ها مورد هدف قرار می گیرد؟

در ابتدا لازم است بگوییم که تنها وردپرس نیست که توسط هکر ها مورد هدف قرار می گیرند، وب سایت های دیگر با سیستم های مدیریت محتوا مختلف هم نیز مورد هدف هکر ها قرار می گیرند.

یکی از دلایل رایجی که هکر ها سایت های وردپرسی را مورد هدف قرار می دهند، بخاطر این است که وردپرس بهترین سیستم مدیریت محتوا جهان است که بیش از 31 درصد وب سایت های فعال جهان را شامل می شود.

به دلیل همین محبوبیت، هکر ها می توانند وب سایت های وردپرسی که دارای امنیت بسیار پایین هستند را به راحتی پیدا کنند و از آنها سوء استفاده کنند.

برخی از هکر ها با اهداف مخرب مانند توزیع بدافزار ها، اسپم کردن سایت ها، استفاده از سایت برای حمله به سایت های دیگر و... وارد عمل می شوند.

به همین سبب، بیاید یک نگاهی به دلایلی که ممکن است باعث هک شدن وردپرس شود، را با هم بررسی کنیم:

دلیل اول: شرکت میزبانی هاست با امنیت ضعیف

همانطور که می دانید، تمامی سرور ها و هاست های سایت های وردپرسی بر روی یک شرکت میزبانی ارائه می شوند. گاهی اوقات ممکن است که شرکت میزبانی ارائه دهنده هاست ممکن است از امنیت های ضعیفی برخوردار باشد و به همین سبب، هکر ها ابتدا وارد اکانت شرکت میزبانی هاست سایتتان می شوند و سپس از آن طریق، تمامی کنترل هاست شما را در دست می گیرند.

قبل از انتخاب هاست، به شرکت میزبانی دقت کنید که شناخته شده و از امنیت بالایی برخوردار باشد.

دلیل دوم: هک شدن وردپرس با پسورد ضعیف

هک شدن وردپرس با پسورد ضعیف

یکی از دلایل مهم و رایج هک شدن وردپرس، استفاده از پسورد ضعیف است. همیشه در انتخاب پسورد نهایت دقت را بکنید و از بیشترین تعداد کارکتر، عدد، علامت های مختلف مانند "&$#@!" استفاده کنید.

چند اکانت مختلف وجود دارد که برای آنها باید از پسورد بسیار قوی استفاده کنید:

  1. پسورد اکانت ادمین وردپرس
  2. پسورد اکانت شرکت میزبانی هاست
  3. پسورد اکانت ایمیل ادمین وردپرس
  4. پسورد اکانت MySQL سایت
  5. پسورد اکانت FTP

در این 5 اکانت باید نهایت دقت را برای پسورد داشته باشید تا هکر ها نتوانند دسترسی کامل به سایت شما پیدا کنند.

دلیل سوم: محافظت نکردن از بخش مدیریت وردپرس

بخش مدیریت وردپرس به کاربر این اجازه را می دهد تا عمل ها و کار های مختلفی را بر روی سایت انجام دهد. و این بخش، یکی از بهترین بخش ها برای دسترسی هکر ها برای کرک و هک سایت است. هکر ها با استفاده از روش های مختلف برای کرک کردن اکانت مدیریت وردپرس استفاده می کنند.

در اینجا، شما باید از بخش مدیریت وردپرس خود محافظت بیشتری بکنید. یکی از راه های محافظت از بخش مدیریت وردپرس، استفاده از لایه احراز هویت است که دسترسی هکر ها را برای کرک سایت مسدود می کند.

روش چهارم: مجوز فایل ها به صورت نادرست

محدود کردن کاربران به صفحه مدیریت برای جلوگیری از هک شدن وردپرس

مجوز و دسترسی فایل های سایتتان از طرف قوانین وب سرور تعیین می شوند. این مجوز به وب سرور سایت شما کمک می کند تا فایل های سایتتان را کنترل کند. اگر این مجوز به صورت نادرست وارد و ثبت شود، یک راه بسیار ویژه ای برای هکر ها جهت هک کردن فایل های سایت می شود.

مقدار تمام مجوز های دسترسی فایل های سایتتان باید 644 باشد و مقدار مجوز دسترسی فولدر های سایتتان باید 755 باشد که هکر ها نتوانند به راحتی به فایل های سایتتان دسترسی پیدا کنند.

توجه: منظور از مقدار همان Chmod می باشد.

دلیل پنجم: آپدیت نکردن وردپرس

وردپرس گاهی اوقات آپدیت های خود را منتشر می کند که در این آپدیت ها، باگ ها و مسائلی که باعث نا امن شدن سایت و وردپرس می شوند رفع شده است. برخی از کاربران از این هراس دارند که ممکن است پس از آپدیت وردپرس، استایل سایتشان بهم بخورد و خراب شود.

اگر از آپدیت کردن وردپرس سایت خود هراس دارید، می توانید در ابتدا یک بکاپ از تمامی سایت خود تهیه کنید و سپس وردپرس را آپدیت کنید.

دلیل ششم: آپدیت نکردن افزونه ها یا قالب ها عامل اصلی هک شدن وردپرس

همانند روش پنجم، برخی از افزونه ها و قالب های وردپرس هستند که در یک مدت خاص، آپدیت های خود را منتشر می کنند. برخی از این افزونه ها یا قالب ها ممکن است نقص های امنیتی داشته باشند و همین دلیل باعث می شود که هکر ها بتوانند به سایت نفوذ کنند و سایت را آسیب پذیر کند.

بسیاری از نویسندگان و توسعه دهندگان افزونه ها و قالب های وردپرس، اشکالات و نقص های امنیتی محصولات خود را در آپدیت های جدید رفع می کنند. اطمینان حاصل کنید که افزونه ها و قالب سایت وردپرسی تان کاملا بروز رسانی شده باشند.

دلیل هفتم: استفاده از FTP ساده بجای SFTP/SSH جهت جلوگیری از هک شدن وردپرس

کانکشن sftp

اف تی پی، این اجازه را به کاربر می دهد تا بتواند فایل های خود را بر روی سرور ها آپلود کند یا حذف کند. بیشتر شرکت های میزبانی و رائه دهنده هاست و دامنه، از سرویس FTP استفاده می کنند و از پروتوکل های مختلف نیز بهره می برند.

زمانی که شما به سایت خود از طریق FTP ساده متصل می شوید، پسورد شما بدون خواسته به سرور ها ارسال می شود، در این فرایند ممکن است پسورد دزدیده شود و توسط هکر ها مورد سوء استفاده قرار گیرد.

برای همین نیاز دارید که تنها پروتکول FTP سایت خود را به SFTP - SSH تغییر دهید.

دلیل هشتم: استفاده از کلمه "Admin" به عنوان نام کاربری اکانت مدیر وردپرس

بسیاری از کاربران از کلمه "Admin" به عنوان یوزر نیم (نام کاربری) اکانت مدیر وردپرس خود استفاده می کنند که این امر باعث می شود کار هکر ها بسیار آسان تر شود و در نهایت به هک شدن وردپرس کمک می کنید.

برای همین، اگر شما از Admin به عنوان یوزرنیم اکانت مدیریت وردپرس خود استفاده می کنید، هرچه زودتر برای تغییر آن اقدام کنید.

دلیل نهم: استفاده از افزونه ها و قالب های نال (Nulled) شده

هشدار بد افزار

تا کنون، خیلی از وب سایت ها، بسیاری از افزونه ها و قالب های پولی وردپرس را کرک کرده و آنها را به صورت رایگان در دسترس عموم قرار می دهند. برخی از این وب سایت ها ممکن است توسط افراد سود جو ایجاد شده باشند و هنگامی که کاربر یک افزونه یا یک قالب نال شده از این سایت ها دانلود و نصب می کند، سایت خود را در معرض بیشترین خطر قرار می دهد. پس می توان دلیل اصلی هک شدن وردپرس را استفاده از این قالب ها و افزونه های آلوده دانست.

اگر شما از آن دسته کسانی هستید که ترجیح می دهید از افزونه ها و قالب های نال شده بجای نسخه های اصلی آنها استفاده کنید، باید بگوییم که سریع باید روش کارتان را تغییر دهید و اگر واقعا نمی خواهید در قبال افزونه ها یا قالب ها پولی بدهید، بهتر است از افزونه ها یا قالب های رایگان قانونی و اصلی موجود در مخزن وردپرس استفاده کنید. این امر موجب می شود که سایتتان امن بماند تا اینکه آسیب پذیر شود.

دلیل دهم: عدم تنظیم پیکربندی فایل وردپرس wp-config.php

پیکربندی فایل وردپرس wp-config.php دارای اعتبار ورود پایگاه سایت وردپرسی شماست. اگر پیکربندی این فایل به خطر بیفتد، ممکن است اطلاعات موجود در آن، در دست هکر ها بیفتد و هکر ها از آن برای سوء استفاده از سایت استفاده کنند.

شما خیلی راحت می توانید از داده های موجود در این فایل محافظت کنید. یکی از روش های ساده محافظت از این فایل، افزودن کد زیر به فایل htaccess. سایتتان است:

<files wp-config.php>
order allow,deny
deny from all
</files>

دلیل یازدهم: تغییر ندادن جدول پیش فرض وردپرس

بسیاری از کارشناسان توصیه می کنند که نام جدول های پیش فرض پایگاه داده وردپرس را تغییر دهید. وردپرس به صورت پیش فرض از "wp_" به عنوان پیشوند نام جدول های پایگاه داده استفاده می کند.

پیشنهاد می شود برای تغییر دادن نام جدول پیش فرض، از یک نام پیچیده تری استفاده شود که هکر ها نتوانند آن را حدس بزنند و با اینکار هک شدن وردپرس را سخت تر می کنید.

 

خب دوستان مطلب بنده همینجا به پایان می رسه، امیدوارم که استفاده های لازم رو از مطلب کرده باشید. اگر هرگونه سوال، مشکل یا انتقادی در رابطه با این مطلب داشتید خیلی راحت می توانید آن را در بخش نظرات مطرح کنید 🙂

نویسنده شوید

دیدگاه‌های شما

در این قسمت، به پرسش‌های تخصصی شما درباره‌ی محتوای مقاله پاسخ داده نمی‌شود. سوالات خود را اینجا بپرسید.