
وردپرس، سیستم مدیریت محتوای منبع باز محبوب (CMS)، توسط 60٪ از تمام وب سایت ها استفاده می شود. با این حال، از آنجایی که منبع باز است و می توان آن را به طور بی پایان تطبیق و بهینه کرد، می تواند در برابر نقص های امنیتی آسیب پذیر باشد. مطابق با امتیاز آسیب پذیری رایج، از هر 10 سایت وردپرس، 8 سایت دارای ریسک امنیتی متوسط یا بالا هستند. راههایی برای کمک به جلوگیری از حملات امنیتی وجود دارد، اما نکته کلیدی این است که ابتدا رایجترین تهدیدات امنیتی برای سایتهای وردپرس خود را بشناسید و سپس یاد بگیرید که چگونه آنها را دور نگه دارید! این وبلاگ یک نمای کلی از رایج ترین حملات امنیتی وردپرس را در اختیار شما قرار می دهد.
حملات امنیتی رایج وردپرس
حمله امنیتی شماره 1: نیروی بی رحم
نیروی بی رحم: در این حمله، بازیگران بد سعی می کنند اطلاعات ورود را با استفاده از تولید کننده رمز عبور خودکار حدس بزنند.
دفاع اساسی: از رمز عبور قوی استفاده کنید برای راهنمایی در مورد نحوه ایجاد یک رمز عبور قوی، به ما مراجعه کنید مقالات پایگاه دانش،
حمله امنیتی شماره 2: اسکریپت بین سایتی (XSS)
این یک تکنیک هک است که در آن کدهای مخرب از ورودی کاربر به صفحات وب تزریق می شود و سپس توسط بازدیدکنندگان سایت مشاهده می شود. حملات XSS به طور بالقوه می توانند اطلاعات حساس را استخراج کنند، بر عملکرد وب سایت و موارد دیگر تأثیر بگذارند.
دفاع اساسی: هر جا که یک وب سایت ورودی کاربر را دریافت می کند، ورودی باید تا حد امکان بر اساس ورودی مورد انتظار یا معتبر فیلتر شود.
حمله امنیتی شماره 3: تزریق SQL
منn در این نوع حمله، دستورات SQL مخرب از طریق ورودی غیربهداشتی کاربر تزریق می شود. از حملات تزریق SQL می توان برای دستکاری داده ها، استخراج اطلاعات حساس و غیره استفاده کرد.
دفاع اساسی: با استفاده از ابزار اسکن وب سایت آنلاین، سایت خود را برای آسیب پذیری های تزریق SQL اسکن کنید: Sucuri SiteCheck،
حمله امنیتی شماره 4: درب پشتی
درپشتی کد مخربی است که حاوی روشی پنهان برای دور زدن فرآیند ورود یا احراز هویت یک وب سایت است.
دفاع اساسی: مطمئن شوید که سرور شما از آنتی ویروس و فایروال محافظت می کند و به روز نگه داشته می شود. همچنین مطمئن شوید که خود وردپرس و هر افزونه مرتبط را با آخرین وصله های امنیتی به روز نگه دارید.
حمله امنیتی شماره 5، حملات Denial-of-Service (DoS).
این نوع حمله باعث میشود یک وبسایت برای کاربرانش غیرقابل دسترس یا غیرقابل دسترس باشد. به عنوان مثال، یک حمله انکار سرویس توزیع شده (DDoS) ترافیک را از چندین منبع به یک وب سایت ارسال می کند و اتصال شبکه آن را سنگین می کند.
دفاع اساسی: استفاده از یک شبکه تحویل محتوا (CDN) به خوبی تثبیت شده مانند ابر فلر ممکن است به کاهش یا جلوگیری از این نوع حملات کمک کند.
حمله امنیتی شماره 6: فیشینگ
به منظور به دست آوردن اطلاعات شخصی به طور مستقیم از هدف، مهاجمان از تکنیکهای فیشینگ استفاده میکنند تا به عنوان یک شرکت قانونی، معمولاً از طریق ایمیل، ظاهر شوند. سپس مهاجم از اطلاعات برای هک کردن سایت یا ارتکاب کلاهبرداری استفاده می کند.
دفاع اساسی، فیلترهای هرزنامه می توانند مخرب ترین ایمیل ها را شناسایی کرده و مانع از رسیدن آنها به صندوق ورودی کاربران شوند،
حمله امنیتی شماره 7: Hotlinking
این تکنیکی است که در آن یک وبسایت مستقیماً به داراییهای وبسایت مورد نظر مانند فایلهای ویدیویی یا تصویری پیوند میدهد تا رتبهبندی SEO یا نمایش رسانهها را بدون استفاده از منابع سرور یا پهنای باند خود افزایش دهد. برای مثال، اگر وبسایت B به یک تصویر ویژه از وبسایت A متصل شود و وبسایت B ترافیک زیادی به صفحه حاوی تصویر دریافت کند، منابع سرور وبسایت A تمام میشود و به طور بالقوه بر عملکرد وبسایت A تأثیر میگذارد.
دفاع اساسی: از پلاگین یا شبکه تحویل محتوا (CDN) مانند ابر فلر برای کمک به محافظت از فایل های رسانه ای خود.نتیجه
نتیجه
اکنون که انواع مختلف تهدیدات امنیتی را درک کرده اید، دلایل اصلی زیر را در نظر بگیرید که چرا سایت وردپرس شما ممکن است در برابر نقض های امنیتی آسیب پذیر باشد:
- سایت وردپرس شما قدیمی است و نیاز به به روز رسانی به آخرین نسخه دارد.
- شما مضامین یا افزونه های استفاده نشده یا قدیمی روی سایت خود نصب کرده اید که باعث مشکلات سازگاری و باز شدن حفره های امنیتی می شود.
- صفحه ورود به سیستم مدیریت سایت وردپرس شما همچنان روی پیش فرض تنظیم شده است /wp-adminاین باعث می شود آن را در برابر حملات brute force آسیب پذیر کند.
یک ممیزی امنیتی کامل از سایت یا تماس خود انجام دهید A2Hosting Guru Crew اگر می خواهید امنیت سایت های وردپرسی خود را افزایش دهید.