وردپرس (WordPress) یکی از محبوب‌ترین سیستم‌های مدیریت محتوا (CMS) متن باز (Open Source) و آزاد است که بر اساس آمار ارائه شده بوسیله سایت wordpress.org بیش از ۱۴.۷ درصد از وب‌سایت‌ها در اینترنت از وردپرس استفاده می‌کنند. محبوبیت و استفاده گسترده از وردپرس این CMS را به هدف اصلی هکرها تبدیل کرده است.

چکونه هک را تشخیص دهیم؟

هکر وب‌سایت را با اهداف زیر هک می‌کند:

  • ارسال ایمیل اسپم
  • اجرای کد مخرب
  • دسترسی به سایر وب‌سایت‌های موجود در سرور اشتراکی
  • وارد کردن لینک مخفی به سایت هکر با هدف افزایش رنگ گوگل
  • منتقل کردن کاربر به سایت هکر با هدف افزایش بازدید سایت هدف و یا حتی حمله DDOS به یک سایت خاص
  • وارد کردن BACKDOOR برای دسترسی مجدد به سایت در آینده

با مشاهده هر کدام از رفتارهای فوق، وب‌سایت خود را بررسی کنید.

با کمک روش‌های زیر می‌توانید سایت وردپرس خود را امن کنید:

رمزعبور پیچیده استفاده کنید: اولین و مهمترین شرط افزایش امنیت استفاده از کلمات عبور پیچیده است.  نباید از  شماره تلفن، شماره شناسنامه، تاریخ تولد و … برای پسورد استفاده کنید.

در گوگل به دنبال افزونه و قالب نگردید: یکی از مرسوم‌ترین روشهای هک وردپرس از طریق نصب قالب و افزونه آلوده است. تنها قالب و افزونه‌های معرفی شده در سایت رسمی وردپرس را نصب کنید.

ورود امن: هنگامی که در صفحه ورود وردپرس نام کاربری و کلمه عبور خود را وارد می‌کنید اطلاعات شما به صورت غیر رمز شده در شبکه منتقل می‌شود، در نتیجه اطلاعات شما بوسیله کاربران شبکه محلی (lan)، شبکه بی‌سیم (wireless)، و همه افراد و گره‌هایی که بین شما و سرور قرار دارند قابل شنود است.

راه حل استفاده از پروتکل https و یا استفاده از افزونه Chap Secure Login است.

پشتیبان پشتیبان پشتیبان: به صورت دوره‌ای از اطلاعات خود پشتیبان تهیه کنید. با استفاده از افزونه backup می‌توانید به صورت خودکار از اطلاعات خود در google drive پشتیبانی بگیرید.

وردپرس را به روزرسانی کنید: وردپرس یک CMS آزاد و متن‌باز است. آزاد بودن کد برنامه به این معنی است که کد برنامه در دسترسی همه قرار دارد در نتیجه مشکلات امنیتی سریعتر شناخته و رفع می‌شود اما از طرفی هکرها به راحتی می‌توانند با مقایسه کدهای وردپرس مشکلات امنیتی را پیدا کنند. با انتشار نسخه جدیدی از CMS باید در سریعترین زمان ممکن به روزرسانی کرد.

با حمله brute force مقابله کنید: در brute force و یا حمله جستجوی فراگیر هکر، کلمات عبور متفاوت را برای ورود به سایت تست می‌کند با این امید که بتوانید کلمه عبور مناسب را پیدا کند. متاسفانه وردپرس به صورت پیش‌فرض قادر به مقابله با حملات brute force نیست. ولی با استفاده از افزونه‌هایی مانند Login LockDown و یا User Locker  و Limit Login Attempts می‌توان با این نوع حملات مقابله کرد.

صفحه ورود به وردپرس را مخفی کنید: با استفاده از افزونه hide login می‌توانید صفحه ورود به وردپرس را مخفی کنید. در نتیجه هکر نمی‌تواند از حملات brute force و یا با استفاده از پسورد ضعیف به سایت وارد شود.

اطلاعات نسخه وردپرس را از قالب سایت حذف کنید: وردپرس نسخه وردپرس را در خروجی سایت شما و در قسمت هدر سایت نمایش می‌دهد، همچنین ممکن است  قالب سایت شما اطلاعاتی مانند نسخه وردپرس و یا نام و نسخه تم را در هدر سایت نمایش دهد. هکرها با استفاده از ROBOTها در سایت‌ها به دنبال چنین اطلاعاتی می‌گردند تا سایت‌های قربانی را پیدا کنند. جهت جلوگیری از عدم نمایش نسخه وردپرس می‌توانید عملیات زیر را انجام دهید:

  1. توضیحات مربوط به قالب (مانند مثال زیر) را از فایل‌های CSS آن حذف کنید. درنظر داشته باشید با حذف این توضیحات ممکن است شما اطلاعات بروزرسانی قالب را دریافت نکرده و یا با یروزرسانی قالب کلیه تغییرات اعمال شده در قالب توسط شما از بین برود.
  2. 1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    /*
    Theme Name: Twenty Ten
    Theme URI: http://wordpress.org/extend/themes/twentyten
    Description: The 2010 theme for WordPress is stylish, customizable, simple, and readable — make it yours with a custom menu, header image, and background. Twenty Ten supports six widgetized areas (two in the sidebar, four in the footer) and featured images (thumbnails for gallery posts and custom header images for posts and pages). It includes stylesheets for print and the admin Visual Editor, special styles for posts in the “Asides” and “Gallery” categories, and has an optional one-column page template that removes the sidebar.
    Author: the WordPress team
    Author URI: http://wordpress.org/
    Version: 1.5
    License: GNU General Public License v2 or later
    License URI: http://www.gnu.org/licenses/gpl-2.0.html
    Tags: black, blue, white, two-columns, fixed-width, custom-header, custom-background, threaded-comments, sticky-post, translation-ready, microformats, rtl-language-support, editor-style, custom-menu, flexible-header
    Text Domain: twentyten
    */
    /* =Reset default browser CSS. Based on work by Eric Meyer: http://meyerweb.com/eric/tools/css/reset/index.html
    ————————————————————– */
  3. گزینه‌هایی مانند “برای این‌که از وردپرس فارسی استفاده می‌کنید، سپاسگزاریم”، “نگارش ۱٫۵″ و “قدرت گرفته از وردپرس فارسی. پوسته: دوهزاروده” را از قالب حذف نمایید.
  4. خط‌هایی مانند زیر را در قالب وردپرس حذف نمایید.
    1
    <?php bloginfo(‘version’); ?>
  5. همچنین برای حذف نسخه وردپرس می‌توانید افزونه WP Security Scan را نصب کنید.

نام کاربری مدیر را تغییر دهید: در هنگام نصب وردپرس نام کاربری پیش فرض ADMIN است. با تغییر نام کاربری پیش فرض مدیر می‌توانید امنیت وردپرس خود را بیشتر کنید.

استفاده از افزونههای افزایش امنیت: افزونه‌های زیادی برای افزایش امنیت وردپرس وجود دارد لیستی از این افزونهها را بررسی می‌کنیم.

با استفاده از افزونه WP Security Scan بصورت دوره‌ای امنیت وردپرس خود را بررسی کنید.

افزونه wordfence سلامت فایل‌های هسته وردپرس، نوشته‌های سایت شما را برای نوشته‌های آلوده و … بررسی می‌کند.

افزونه BulletProof Security وب‌سایت را در برابر حملات XSS ،RFI،CRLF،CSRF،Base64 ،Code Injection  و SQL Injection حفاظت می‌کند.

افزونه Better WP Security بیشتر تنظیمات امنیتی را روی وردپرس انجام می‌دهد.

مجوز مناسب برای فایل تنظیمات: فایل تنظیمات وردپرس در مسیر ریشه سایت و با آدرس WP-CONFIG.PHP است اطلاعات مهمی مانند کلمه عبور نام کاربری پایگاه داده و  رشته salt را نگهداری می‌کند. چنانچه هکر به محتویات این فایل دسترسی پیدا کند، به محتویات سایت شما، نوشته‌ها و نام کاربری دسترسی داشته و می‌تواند آن‌ها را تغییر دهد.  بنابراین باید مجوز این فایل را به شکل صحیحی تنظیم کنید. بهترین پیشنهاد  استفاده از مجوز ۷۵۵ در هنگام نصب وردپرس و تغییر مجوز به ۴۰۰ پس از نصب است. در این صورت کاربران و سایت‌های دیگر موجود در هاست‌های اشتراکی به اطلاعات شما دسترسی نخواهند داشت.

تغییرات در فایل‌های سایت خود را مانیتور کنید: افزونه WordPress File Monitor Plus هر تغییری در فایل‌های سایت شما را بوسیله ایمیل به شما اعلام می‌کند،‌ با این عمل شما را قادر می‌سازد چنانچه هکر تغییری در فایل‌های سایت شما بدهد به سرعت تغییرات را کشف و خنثی کنید.

Security Keys کاملا تصادفی انتخاب کنید:  فایل تنظیمات وردپرس شامل قسمتی به نام Security Keys است که سه کلیدAUTH_KEY ، SECURE_AUTH_KEY،LOGGED_IN_KEY را نگهداری می‌کند. این سه کلید باید به صورت تصادفی تولدی شوند و برای هر وب‌سایت منحصر به فرد باشد. از این کلید‌ها برای به رمز کردن اطلاعات کوکی کاربران استفاده می‌شود. بهترین راه برای تولید تصادفی این کلید‌ها استفاده از API وردپرس است.