حملات متداول وردپرس و نحوه متوقف کردن آنها

حملات متداول وردپرس و نحوه متوقف کردن آنها

وردپرس بیش از یک دهه است که یکی از پیشروترین سیستم های مدیریت محتوا (CMS) است. بسیاری از وبلاگ های بزرگ اینترنت و همچنین تعداد زیادی سایت کوچک و شخصی در چهارچوب وردپرس برای انتشار متن ، تصویر و محتوای ویدیویی در سراسر جهان اجرا می شوند.


یک وب سایت وردپرس دارای رابط جلویی و پشتی است. جلوی نمای این بازدید را می دهد که بازدیدکنندگان خارجی هنگام بارگذاری صفحه وب مشاهده می کنند. به پشتیبان می توان از طریق سرپرستان سایت و مشارکت کنندگان که مسئولیت تهیه ، طراحی و انتشار مطالب را بر عهده دارند.

مانند هر سیستم مبتنی بر اینترنت ، وردپرس هدف تلاش برای هک کردن و سایر شکل های جرایم سایبری است. که در نظر گرفتن حال بیش از معقول است 32٪ اینترنت در وردپرس اجرا می شود. در این مقاله ، برخی از رایج ترین حملات وردپرس را بر روی نرم افزار اجرا خواهیم کرد و سپس پیشنهاداتی را برای نحوه دفاع در برابر آنها و ایمن نگه داشتن وب سایت شما ارائه خواهیم داد.

روشهای حملات وردپرس مشترک

ابتدا بگذارید نگاهی بیندازیم به حمله مشترک ممکن است صاحبان سایت WordPress.

1. تزریق SQL

حملات متداول وردپرس: SQL Injection

پلت فرم CMS وردپرس به یک لایه پایگاه داده متکی است که اطلاعات ابرداده و سایر اطلاعات اداری را ذخیره می کند. به عنوان مثال ، یک پایگاه داده معمولی مبتنی بر SQL شامل وردپرس شامل اطلاعات کاربر ، اطلاعات محتوا و داده های پیکربندی سایت خواهد بود.

هنگامی که یک هکر حمله تزریقی SQL را انجام می دهد ، از یک پارامتر درخواست ، یا از طریق فیلد ورودی یا URL ، برای اجرای یک دستورالعمل پایگاه داده سفارشی استفاده می کنند. یک عبارت “SELECT” به هکر اجازه می دهد اطلاعات اضافی را از پایگاه داده مشاهده کند ، در حالی که یک عبارت “UPDATE” به آنها اجازه می دهد تا در واقع داده ها را تغییر دهند.

در سال 2011 ، یک شرکت امنیتی شبکه ای به نام Barracuda Networks قربانی یک شرکت شد حمله تزریق SQL. هکرها یک سری دستورات را در سرتاسر وب سایت باراکودا اجرا کردند و سرانجام یک صفحه آسیب پذیر یافتند که می تواند به عنوان پورتال برای پایگاه داده اصلی شرکت استفاده شود.

2. فیلمبرداری متقابل سایت

یک حمله به برنامه نویسی متقاطع ، که با نام XSS نیز شناخته می شود ، مشابه تزریق SQL است. قبول کنید که عناصر جاوا اسکریپت را در یک صفحه وب به جای پایگاه داده در پشت برنامه هدف قرار می دهد. یک حمله موفق می تواند منجر به به خطر افتادن اطلاعات خصوصی بازدید کننده شود.

با حمله XSS ، هکر کد جاوا اسکریپت را از طریق فیلد تفسیر یا ورودی متن دیگر به وب سایت اضافه می کند ، و در صورت بازدید سایر کاربران از صفحه ، آن اسکریپت مخرب را اجرا می کند. جاوا اسکریپت سرکش معمولاً کاربران را به یک وب سایت تقلبی هدایت می کند که اقدام به سرقت رمزعبور یا سایر اطلاعات شناسایی آنها خواهد کرد.

حتی وب سایت های محبوب مانند eBay می توانند اهداف حملات XSS باشند. در گذشته هکرها با موفقیت اضافه شده اند کد مخرب به صفحات محصول و مشتریان را متقاعد کرد که به یک صفحه وب فریب خورده وارد شوند.

3. تزریق فرمان

سیستم عامل هایی مانند WordPress در سه لایه اصلی کار می کنند: سرور وب ، سرور برنامه و سرور پایگاه داده. اما هرکدام از این سرورها با سیستم عامل خاص مانند مایکروسافت ویندوز یا لینوکس منبع باز از روی سخت افزار در حال اجرا هستند و این یک منطقه بالقوه آسیب پذیر را نشان می دهد..

با یک حمله تزریق فرمان ، یک هکر اطلاعات مخرب را در یک قسمت متنی یا URL ، مشابه تزریق SQL ، وارد می کند. تفاوت در این است که کد حاوی دستوری است که فقط سیستم عاملها آن را می شناسند ، مانند دستور “ls”. در صورت اجرای این کار لیستی از کلیه پرونده ها و فهرست ها در سرور میزبان نمایش داده می شود.

برخی دوربین های متصل به اینترنت به ویژه در مقابل حملات تزریق فرمان آسیب پذیر هستند. سیستم عامل آنها می تواند هنگام صدور دستور سرکش ، پیکربندی سیستم را به صورت نادرست در معرض استفاده کنندگان خارجی قرار دهد.

4. گنجاندن پرونده

حملات متداول وردپرس: گنجاندن پرونده

زبان های کد نویسی متداول وب مانند PHP و Java به برنامه نویسان این امکان را می دهند که از درون کد خود به پرونده های خارجی و اسکریپت ها مراجعه کنند. دستور “شامل” نام عمومی برای این نوع فعالیتها است.

در برخی شرایط ، یک هکر می تواند URL وب سایت را دستکاری کند تا بخش “شامل” کد را به خطر بیاندازد و به سایر قسمتهای سرور برنامه دسترسی پیدا کند. برخی از افزونه های خاص برای سیستم عامل وردپرس در برابر آسیب پذیر بودن قرار گرفته اند حملات گنجاندن پرونده. هنگامی که چنین هک هایی رخ می دهند ، نفوذگر می تواند به تمام داده های موجود در سرور برنامه اصلی دسترسی پیدا کند.

نکاتی درباره حفاظت

اکنون که می دانید چه چیزی باید مورد توجه قرار گیرد ، در اینجا چند روش آسان برای سخت تر کردن امنیت وردپرس شما آورده شده است. بدیهی است که روشهای بسیار بیشتری برای تأمین امنیت سایت شما از آنچه در زیر ذکر شد وجود دارد ، اما این روشهای نسبتاً ساده برای شروع هستند که می توانند بازده چشمگیر در هکرها را خنثی کنند.

1. از هاست ایمن و فایروال استفاده کنید

پلتفرم وردپرس می تواند از طریق سرور محلی اجرا شود یا از طریق محیط میزبانی ابری مدیریت شود. به منظور حفظ یک سیستم ایمن ، گزینه میزبان ارجح است. میزبان برتر وردپرس موجود در بازار ، رمزگذاری SSL و سایر اشکال محافظت از امنیت را ارائه می دهد.

حملات متداول وردپرس: فایروال

هنگام پیکربندی یک محیط میزبان وردپرس ، فعال کردن یک فایروال داخلی که از اتصالات بین سرور برنامه شما و سایر لایه های شبکه محافظت می کند ، بسیار مهم است. فایروال اعتبار کلیه درخواستها را بین لایه ها بررسی می کند تا اطمینان حاصل شود که فقط درخواست های قانونی مجاز به پردازش هستند.

2. موضوعات و افزونه ها را به روز کنید

انجمن WordPress مملو از توسعه دهندگان شخص ثالث است که به طور مداوم روی اشیاء و افزونه های جدید کار می کنند تا از قدرت پلتفرم CMS استفاده کنند. این افزودنیها می توانند رایگان یا پرداخت شوند. افزونه ها و مضامین همیشه باید مستقیماً از وب سایت WordPress.org بارگیری شوند.

افزونه ها و مضامین خارجی می توانند خطرناک باشند ، زیرا کدهایی را شامل می شوند که روی سرور برنامه شما اجرا می شوند. فقط به افزودنیهای مورد اعتماد از یک منبع معتبر و توسعه دهنده اعتماد کنید. علاوه بر این ، باید افزونه ها و مضامین را بطور منظم به روز کنید ، زیرا توسعه دهندگان پیشرفت های امنیتی را منتشر می کنند.

در داخل کنسول مدیریت وردپرس, برگه “به روز رسانی” را می توان در بالای فهرست فهرست “داشبورد” یافت.

3. یک ویروس اسکنر و VPN را نصب کنید

اگر WordPress را در یک محیط محلی اجرا می کنید و از طریق ارائه دهنده هاستینگ خود دسترسی کاملی به سرور دارید ، باید حتماً یک اسکنر ویروس قوی در سیستم عامل خود داشته باشید. ابزارهای رایگان برای اسکن سایت وردپرس خود مانند ویروس توت ، تمام منابع را بررسی می کنند تا به دنبال آسیب پذیری باشند.

هنگام اتصال به محیط وردپرس خود را از یک مکان از راه دور ، شما همیشه باید از یک مشتری خصوصی شبکه خصوصی (VPN) استفاده کنید ، که اطمینان حاصل می کند که کلیه ارتباطات داده بین رایانه محلی و سرور شما کاملاً رمزگذاری می شود..

4- خاموش کردن در برابر حملات بی رحمانه نیروی

یکی از محبوب ترین و متداول ترین حملات وردپرس شکل حملات به اصطلاح نیروی بی رحم را می گیرد. این چیزی نیست جز یک برنامه خودکار که هکر در “درب جلو” سست می شود. در آنجا نشسته است و هزاران ترکیب مختلف رمزعبور را امتحان کرده و اغلب به اندازه کافی متناسب با آن درست می کنند تا ارزش آن را داشته باشند.

خبر خوب این است که روشی آسان برای خنثی کردن نیروی بی رحم وجود دارد. خبر بد این است که خیلی از صاحبان سایت این اصلاح را اعمال نمی کنند. همه در یک WP Security و Firewall را بررسی کنید. این برنامه رایگان است و به شما امکان می دهد محدودیت سختی را برای ورود به سیستم تعیین کنید. به عنوان مثال ، پس از سه بار ، این افزونه برای مدت زمان از پیش تعیین شده ، سایت را در برابر ورود های بعدی توسط آن آدرس IP قفل می کند. همچنین یک اعلان نامه الکترونیکی دریافت خواهید کرد که باعث شده است که این ویژگی قفل کردن ایجاد شده باشد.

5- احراز هویت دو عاملی

این روش عالی برای اطمینان از سایت شما به این واقعیت متکی است که احتمالاً هکر قادر به کنترل همزمان دو دستگاه شما نیست. به عنوان مثال ، رایانه و تلفن همراه. تأیید هویت دو عاملی (2FA) ورود به وب سایت وب سایت شما را به یک فرآیند دو مرحله ای تبدیل می کند. طبق معمول ، شما به طور مرتب وارد سیستم می شوید اما پس از آن خودتان را مجبور می كنید كه كدی اضافی ارسال شده به تلفن خود را وارد كنید.

باهوش ، ها؟ این یک مرحله اضافی با جدا کردن ورود به مراحل مختلف باعث افزایش امنیت سایت شما می شود. این را بررسی کنید لیست افزونه های رایگان که به شما در تنظیم 2FA کمک می کند. آن دسته از هکرهایی که به فکر تلاش برای ایجاد مزاحمت با سایت شما بودند ، احتمالاً قبلاً نظر خود را تغییر داده اند.

نتیجه

در حالی که هیچ چیز به عنوان یک وب سایت 100٪ ایمن وجود ندارد ، اقدامات زیادی برای محافظت از وب سایت خود انجام می دهید. با استفاده از یک فایروال خوب ، به روز نگه داشتن مضامین و افزونه ها و به صورت دوره ای اسکن ویروس می تواند تفاوت بزرگی ایجاد کند.

این ممکن است به فکر کردن درباره امنیت وب سایت به عنوان یک فرآیند تکراری ابدی کمک کند. هرگز نباید به این نتیجه برسید که قدم بگذارید و فکر کنید که آن “کامل” است زیرا بازی بین هکرها و مدافعان وب سایت هرگز متوقف نمی شود ، حتی بازیکنان آنلاین مجازات شده به صورت رسمی وارد این بازی ها می شوند. نظارت آنلاین کسب و کار . فقط با آگاهی از خود در مورد آخرین تهدیدات و چگونگی دفع آنها می توانید امنیت سایبری و حریم خصوصی آنلاین را حفظ کنید.

این خیلی بد است که دنیا باید اینگونه باشد اما آن را بپذیرید و حرکت کنید. اگر قبلاً این کار را نکرده اید ، اکنون زمان مناسبی برای یافتن چند سایت خبری معتبر در فضای مجازی خواهد بود. یا در خبرنامه خود مشترک شوید یا حداقل به طور مرتب بازدید کنید. با اجرای Google (یا موتور جستجوی مورد نظر خود) “اخبار امنیت سایبری” را جستجو کنید.

سوالی دارید یا نکات بیشتری برای اضافه کردن؟ دیدگاهتان را بنویسید و به ما اطلاع دهید.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map