مسایل امنیتی وب سایت های وردپرسی و بعضی از مشکلات رایج

با افزایش ترافیک سایت مسایل امنیتی وب سایت باید در اولویت کسب و کار شما قرار بگیرد.

خیلی بد است که بدانیم 56% از کل ترافیک ترافیک اینترنت از یک منبع خودکار مانند ابزارهای هک، هرزنامه ها، اسکرپرها(Scrapers) جعل کنندگان هویت، و ربات هاست.

به طور کلی وردپرس یک CMS امن هست اما به دلیل منبع باز بودن از آسیب پذیری های مختلفی رنج می برد.

چرا سایت وردپرسی شما به امنیت نیاز دارد؟

1. از اطلاعات و شهرت شما محافظت می کند

اگر مهاجمان به اطلاعات شخصی شما یا بازدیدکنندگان وب سایت شما دست یابند کاری که می توانند با این اطلاعات انجام دهند پایانی ندارد.

2. بازدید کنندگان شما انتظار یک وب سایت امن را دارند

همان طور که کسب و کار شما رشد می کند تعداد مشکلاتی که باید حل کنید و انتظارات مشتریان برای نحوه رسیدگی به مشکلات افزایش می یابد.

یکی از این مشکلات حفظ و امنیت اطلاعات مشتریان شماست. اگر نتوانید از همان ابتدا این خدمات اساسی را ارائه دهید اعتماد مشتری تضعیف خواهد شد.

3. گوگل وب سایت های امن را دوست دارد

ایمن نگه داشتن وب سایت وردپرسی سنگ بنای حفظ یک وب سایت با رتبه بالاست.

محافظت از اموال آنلاین شما یک مسئله کلیدی است.

حالا شاید این سوال پیش بیاید:

آیا سایت های وردپرسی امن هستند؟

وردپرس امن است اما می تواند در برابر حملات آسیب پذیر باشد.

امنیت کامل به سادگی وجود ندارد و به طور کلی امنیت کاهش ریسک است نه حذف آن.

مسایل امنیتی وب سایت وردپرسی

1. تلاش های ورود به سیستم(Brute-Force)

یکی از ساده ترین انواع حملات است. ورود زمانی اتفاق می افتد که مهاجمان از ترکیب سریع نام های کاربری و رمز عبور استفاده کنند و در نهایت آنچه را که درست است حدس بزنند.

2. حملات XSS

زمانی اتفاق می افتد که مهاجم کد مخرب را به وب سایت تزریق می کند تا اطلاعات را استخراج کند و عملکرد سایت را خراب کند. این کد مخرب به هر شکلی می تواند وارد سایت شود(فرم تماس یا ثبت نام یا …).

3. تزریق پایگاه داده(Database Injection):

کمی شبیه XSS است با این تفاوت که کد مخرب به پایگاه داده تزریق می شود.

4. حملات در پشتی

حاوی یک کد است که به مهاجم امکان می دهد تا ورودی استاندارد وردپرس را دور بزند تا در هر زمانی به سایت شما دسترسی پیدا کند.

مهاجمان تمایل دارند که درهای پشتی را میان سایر فایل های منبع وردپرس قرار دهند و یافتن آنها توسط کاربران بی تجربه دشوار است.

حتی در صورت حذف، مهاجمان می توانند این درب پشتی را بنویسند و به استفاده از آن ها برای دور زدن ورود شما ادامه دهند.

البته وردپرس انواع فایل هایی را که کاربران می توانند آپلود کنند محدود می کند تا شانس درهای پشتی را کاهش دهند، اما هنوز هم باید از آن ها آگاه بود.

5. حملات انکار سرویس

این حملات مانع از دسترسی کاربران مجاز به وب سایت می شود. حملات Dos اغلب با بارگذاری بیش از حد یک سرور با ترافیک و ایجاد خرابی انجام می شود.

6. فیشینگ(Phishing)

وقتی مهاجم با هدفی ظاهرا قانونی تماس می گیرد این به عنوان فیشینگ شناخته می شود.

تلاش های فیشینگ معمولا هدف را وادار می کنند که اطلاعات شخصی را رها کند، بدافزار را دانلود کند یا از یک سایت خطرناک بازدید کند.

اگر مهاجم به حساب وردپرس شما دسترسی پیدا کند حتی می تواند حملات فیشینگ را برروی مشتری های شما اجرا کند و در عین حال خود را جای شما نشان دهد.

7. Hotlinking

زمانی اتفاق می افتد که وب سایت دیگری محتوای تعبیه شده(معمولا تصویر) را نشان می دهد که بدون اجازه در سایت شما میزبانی می شود. این حمله بیشتر شبیه دزدی است تا حمله تمام عیار. این حمله از حجم هاست شما کم می کند.

هکرها آسیب پذیری ها را از کجا پیدا می کنند؟

• افزونه ها: افزونه ها توسط شخص سوم ایجاد می شوند و به وب سایت شما دسترسی دارند. افزونه ها یک کانال مشترک هستند تا عملکرد سایت را مختل کنند.

• نسخه های قدیمی وردپرس: وردپرس برای رفع آسیب پذیری ها به روز می شود پس از رفع آسیب پذیری به اطلاع عموم می رسد و مشکلات نسخه های قدیمی هدف هکرها قرار می گیرد.

• صفحه ورود: URL پیش فرض وردپرس می تواند به راحتی مورد حملات Brute-Force قرار بگیرد.

• تم ها: تم های قدیمی ممکن است مثل نسخه های قدیمی وردپرس یا افزونه ها مشکلاتی ایجاد کنند. یک راه پرهیز از تم های نال شده هست و راه دیگه آپدیت به موقع تم ها.

یادتان باشد قبل از هر آپدیتی پشتیبان گیری کنید.

ده قدم برای تامین امنیت وب سایت