هک شدن سایت وردپرسی، یکی از بدترین و ترسناک ترین کابوس هایی است که صاحب هر وب سایت می تواند با آن مواجه شود. شاید تاکنون به صورت جدی به این قضیه نگاه نکرده باشید، اما حقیقت این است که هک شدن وب سایت، می تواند ضربات مهلکی به سایت شما وارد نماید. از جمله آن ها این که ترافیک طراحی وب سایت شما در اندک زمان به شدت افت خواهد کرد و هزینه ای که سرمایه گذاری کرده اید، نیز به باد فنا خواهد رفت!
در واقع بازگردانی سایت هک شده به شرایط اولیه به صورت کامل، کاری بس دشوار است. با این حال بدترین ضربه ای که هک شدن سایت به شما می زند، خدشه دار کردن اعتبار سایت شما خواهد بود. در حقیقت وب سایتی که امنیت پایینی دارد، ممکن است هر لحظه هک شود. به همین دلیل، بسیاری از مراجعین، آن چنان به سایت شما اعتمادی نخواهند داشت. طبیعی است که گوگل نیز چنین رفتاری با سایت شما می کند. به همین دلیل، این نکته ی مهم را فراموش نکنید که امنیت وب سایت، یکی از مهم ترین نکات در سئو و بهینه سازی سایت شما خواهد بود.
حال بیایید به سراغ وردپرس برویم. وردپرس، رایج ترین سیستم مدیریت محتوا (CMS) بوده و طرفداران فراوانی دارد. این ویژگی سبب می شود که هکرها، وردپرس را مورد هدف حملات خود قرار دهند. چرا که با پیدا کردن هر گونه حفره امنیتی در وردپرس، هکرها یک شاه کلید در دست دارند و می توانند هزاران وب سایت وردپرسی دیگر را به سادگی هک نمایند.
آمار ها حاکی از آن است که تنها در سال ۲۰۱۲، بیش از ۱۷۰ هزار سایت وردپرسی هک شد! برخی آمارها نیز از تعدادی بیش تر از این حکایت دارند. این ها همه سبب شد تا توسعه دهندگان وردپرس، به شدت بر روی امنیت این سیستم مدیریت محتوا تمرکز کرده و روز به روز، آن را از لحاظ امنیتی بهبود بخشند.
ما در این مقاله سعی می کنیم تا یک شرح کلی از هک شدن وب سایت ها و راهکار مقابله با آن برای شما بیاوریم. به شما قول خواهیم داد که شما بعد از خواندن این مقاله، بتوانید در سطح یک متخصص امنیت وردپرس در مورد هک شدن آن، برای دیگران صحبت کنید. شاید تعجب کنید اگر بدانید که بسیاری برای انجام همین مراحل ساده که در این نوشته آن ها را شرح داده ایم، به سادگی یک میلیون تومان و یا بیش تر تحت عنوان «کانفیگ امنیتی» دریافت می کنند. برای این که بتوانید این گام های ساده را خود انجام دهید، در این مقاله با ما همراه باشید:
سوال: چرا باید کسی وقت خود را برای هک کردن سایت ما بگذارد؟
بسیاری از صاحبان وب سایت می گویند: «مگر طرف بیکار است که بیاید و وقت خود را روی سایت یا وبلاگ بسیار کوچک ما تلف کند؟» در حقیقت اگر کسی این استدلال را به کار برد، بدانید که در مورد هک شدن اطلاعات بسیاری کمی دارد. شاید شما در فیلم ها دیده باشید که یک هکر، ساعت ها وقت را بر روی هک کردن یک وب سایت بسیار مهم می گذارد. با این حال در دنیای واقعی هک شدن اصلا بدین گونه نیست!
تجربه نشان می دهد که وب سایت های کم اهمیت که شاید روزانه ۵ نفر بازدید دارند هم به همان اندازه وب سایت های بزرگ ممکن است هک شوند. به عنوان اولین نکته یادتان باشد که در هک شدن وب سایت، اصلا حجم ترافیک، محبوبیت وب سایت و این گونه فاکتورها مهم نیستند!
یعنی هکر روی سایت وقت نمی گذارد؟
از بررسی آمار سایت های هک شده، همواره به یک جمله بسیار مهم خواهیم رسید: «بیش تر سایت ها هک می شوند، چون راه را برای هکرها باز گذاشته اند!» شاید تعجب کنید، اما در واقعیت چنین است. اگر شما رمز وب سایت خود را ۱۲۳۴۵ گذاشته اید، بدانید که به شدت در معرض خطر هک شدن قرار دارید. چون با این رمز بسیار آسان که قابل حدس زدن نیز هست، راه را برای هکر ها باز گذاشته اید!
حال ممکن است این سوال برای شما پیش بیاید که «چرا هکر ها روی هک کردن سایت ها تمرکز نمی کنند؟»
راستش را بخواهید، مواردی که در فیلم ها دیده می شود، مانند اختصاص تمام وقت زندگی برای هک یک سایت، در موارد بسیار نادری رخ می دهد. مثلا چند وقت پیش وب سایت کمپانی سونی، توسط گروهی از هکرها هک شد. این گونه هک ها بسیار کم رخ داده و تنها برای ارگان ها یا شرکت های بزرگ و با اهداف خاص رخ می دهند.
بیش تر هک ها به صورت اتوماتیک توسط برنامه های خودکار انجام می گیرد!
همان گونه که گفتیم، ممکن است سایت های بسیار کوچک نیز در معرض هک شدن قرار داشته باشند. دلیل آن نیز این است که هک ها، توسط اشخاص حقیقی انجام نمی شود. امروزه اکثر هکرها برنامه هایی می نویسند و برنامه را به حال خود رها می سازند. این برنامه ها به سایت های وردپرسی رفته و یک سری رمزهای قابل حدس زدن را امتحان می نماید. در صورتی که رمز واقعا قابل حدس زدن نباشد، برنامه به صورت خودکار به سایت های دیگر می رود. با این روش، هکرها بعضا روزانه صد سایت را بدون کوچک ترین تلاشی هک می کنند. برای همین، اگر سایت شما هک شد، با خود فکر نکنید که شخصی کل کار و زندگی خود را روی هک کردن سایت شما گذاشته است! بلکه در صورت هک شدن، بدانید که نام وب سایت شما، در برنامه هک کردن سایت ها دیده شده و از لحاظ امنیتی در سطح بسیار پایینی قرار دارید.
هک کردن چه سودی برایشان دارد؟
این سوالی است که همیشه بسیاری آن را مطرح می کنند. در حقیقت چه دلیلی دارد که عده ای بیکار بنشینند و سایت های دیگر را هک کنند؟ برای پاسخ به این پرسش، تحقیقات ما چند مورد زیر را نشان داده است:
الف) به دست آوردن اطلاعات کارت بانکی
اگر شما صاحب یک فروشگاه اینترنتی و یا هر وب سایتی باشید که در آن، کاربر می بایست اطلاعات کارت خود را وارد کند، ممکن است هدف هکرها قرار بگیرید. هکرها این سایت ها را بی سر و صدا هک می کنند. به گونه ای که خود شما متوجه نمی شوید که وب سایت شما هک شده است. پس از آن، یک اسکریپت در داخل وب سایت کپی می شود که رد اطلاعات کارت بانکی را خواهد زد. در این موارد، بسیاری با داشتن این اطلاعات به سادگی از حساب مشتریان شما پول برداشت می نمایند!
ب) استفاده از دانلودها
برخی از هکر ها، پس از هک کردن سایت، کاری می کنند که به صورت خودکار یک برنامه روی کامپیوتر بازدیدکنندگان سایت شما دانلود و نصب شود. پس از رفتن این برنامه مخرب یا ویروس روی رایانه کاربران سایت شما، این برنامه در کامپیوتر کاربران تبلیغات مختلفی را نمایش داده و یا بعضا بدون خواست کاربر صفحات تبلیغاتی را باز می نماید! این کار باعث می شود که هکرها بتوانند از طریق تبلیغات کسب درآمد کنند. البته ربات های گوگل با آمدن به وب سایت شما متوجه این قضیه خواهند شد و به صورتی ناگهانی، وب سایت شما از لیست نتایج جستجو محو می گردد.
ج) استفاده از ریدایرکت
از دیگر تکنیک های بسیار رایجی که پس از هک شدن سایت استفاده می شود، استفاده از ریدایرکت است. این تکنیک ساده بوده و به وضوح نیز معلوم می شود. در این تکنیک، هکرها سعی می کنند که تبلیغات پاپ آپ روی سایت شما گذاشته یا به گونه ای با استفاده از ریدایرکت، بازدیدکنندگان وب سایت شما را به وب سایت های دیگری هدایت نمایند.
د) استفاده از منابع سیستم
تکنیک دیگری که بسیاری از هکرها اجرا می کنند، استفاده از منابع هاست شما است. به عنوان مثال پس از هک شدن سایت شما، هکر ها مثلا به تعداد صد هزار ایمیل از سایت شما به ایمیل های مختلف به صورت اسپم ارسال می کنند. این باعث می شود که وب سایت شما نزد گوگل و یاهو، به عنوان یک وب سایت اسپم شناسایی شده و ایمیل های شما دیگر اعتبار کافی را نداشته باشند. (حتی اگر بعدها بخواهید واقعا یک ایمیل بفرستید، ایمیل شما شما به شاخه اسپم می رود!)
سایت های وردپرسی چگونه هک می شوند؟
همان گونه که گفتیم، با توجه به محبوبیت وردپرس، از یک طرف هکرها و از طرف دیگر نیز توسعه دهندگان وردپرس به صورت موازی روی این مسئله کار می کنند. احتمالا الان با خود می گویید دلیل هک شدن این گونه سایت ها، بایستی به کار بردن رمز ضعیف باشد. با این حال، آمار هک شدن سایت های وردپرسی، بهتر از هر چیز دیگر گویای چگونگی هک شدن این قبیل سایت هاست:
- الف) ۴۱ درصد سایت های وردپرسی هک شده، به دلیل هاستینگ ضعیف
- ب) ۲۹ درصد سایت های وردپرسی هک شده، به دلیل قالب یا همان پوسته مشکل دار
- ج) ۲۲ درصد سایت های وردپرسی هک شده، به دلیل افزونه یا پلاگین نا امن
- د) ۸ درصد سایت های وردپرسی هک شده، به دلیل رمز آسان و قابل حدس زدن !!!
همان گونه که می بیند، برخلاف انتظار شما رمز یا پسورد ضعیف تنها دلیلی برای هک شدن ۸ درصد این گونه وب سایت ها است. اما این اصلا دلیل نمی شود که شما رمز ضعیفی را برای سایت خودتان بگذارید. همین ۸ درصد به معنای ده ها هزار سایت است که رمز ۱۲۳۴۵۶ را برای وب سایت خود استفاده کرده بودند!
به علاوه، این آمار نمایانگر آن است که بیش تر هک ها در سایت های وردپرسی، به دلیل هاستینگ نا امن و غیر مطمئن می باشد.
با این حال، تقریبا نیمی از هک ها به دلیل پوسته یا قالب نا امن و یا پلاگین های مشکل دار می باشد. به همین دلیل به شدت توصیه می کنیم که مراقب قالب خود یا افزونه هایی که نصب می کنید، باشید.
حال که به صورت کلی، موارد هک شدن سایت وردپرسی را بررسی کنیم، در ادامه می خواهیم ببینیم که به منظور جلوگیری از هک شدن، می بایست چه کاری انجام دهیم.
چگونه امنیت سایت وردپرسی را بالا ببریم ؟
بالا بردن امنیت یک سایت با سیستم مدیریت محتوای وردپرس، کار چندان دشواری نیست. با این حال، همین کار ساده، فوق العاده ارزشمند خواهد بود. چرا که شما را از خطر هک شدن ایمن نگاه داشته و همین به خودی خود، هزینه و زمان زیادی را در آینده برای شما نجات می دهد. با توجه به بررسی ها، شما می بایست موارد زیر را برای امنیت سایت خود رعایت نمایید:
۱- از هاستینگ معتبر و امن استفاده نمایید.
با توجه به آماری که در بالا ارائه شد، اولین و مهم ترین نکته در امنیت سایت، استفاده از یک هاستینگ معتبر می باشد. شما بایستی سعی کنید که از بهترین و معتبرترین هاستینگ برای کار خود استفاده نمایید.
هاست های معتبر از آخرین ورژن های PHP و یا MySQL استفاده می کنند. این بدین معنا است که این هاستینگ ها، به صورت هرچندوقت یک بار، داده های شما را اسکن می نمایند. در کنار همه این ها، بک آپ های روزانه این هاستینگ ها بسیار مفید بوده و می توانند ظرف چند دقیقه سایت هک شده شما را به حالت عادی باز گردانند.
۲- به صورت مرتب از سایت خود بکاپ بگیرید.
اگرچه داشتن یک هاستینگ معتبر و پاسخگو می تواند تا حدود زیادی مشکل را حل نماید، با این حال یادتان باشد که هیچ چیزی قطعی نیست! ممکن است سایت شما هک شده باشد و آخرین بکاپ هاستینگ شما مربوط به یک هفته پیش باشد. در این صورت، کلیه اطلاعات سایت شما به وضعیت یک هفته پیش برخواهد گشت و آپدیت های خود را در طول یک هفته از دست خواهید داد.
به همین دلیل توصیه می شود که خودتان نیز از سایت خود بکاپ تهیه نمایید. ما در این جا قصد داریم که سه افزونه برتر برای تهیه بکاپ را برایتان معرفی نماییم. این افزونه ها طرفداران زیادی دارند و امتحان خود را پس داده اند. این افزونه ها عبارتند از:
خود شما می توانید با توجه به علاقه تان، یکی از موارد بالا را برای سایت خود برگزیده و به صورت منظم از وب سایت خود بکاپ بگیرید.
۳- صفحه لاگین خود را ایمن کنید
صفحه لاگین وردپرس، در بسیاری از موارد دروازه ورود هکرها به سایت شما است. در این موارد شما می بایست سعی کنید تا با اندیشیدن تدابیری وب سایت خود را ایمن نمایید. در این قسمت برخی از این موارد را برای شما بر می شماریم.
الف) پسورد ضعیف نگذارید!
همان گونه که گفتیم، بسیاری از برنامه ها سعی می کنند تا با دادن نام کاربری و رمز عبور به صورت تصادفی، وب سایت را هک کنند. شاید این کار برای شما عجیب باشد، اما وب سایت های بسیار بسیار زیادی با همین روش هک شده اند!
آیا می دانید بدترین پسورد یا کلمه عبور چه مواردی هستند؟ بدانید و آگاه باشید که اگر کلمات زیر را به عنوان کلمه عبور سایت خود انتخاب کرده اید، شما به شدت پتانسیل هک شدن را دارید! چرا که در همه برنامه های هک، این لیست در ابتدا به عنوان پسورد امتحان می شوند.
لیست بدترین کلماتی که می توان به عنوان پسورد انتخاب کرد (به ترتیب رتبه) عبارت است از:
- ۱۲۳۴۵۶
- password
- ۱۲۳۴۵۶۷۸
- qwerty
- ۱۲۳۴۵
- ۱۲۳۴۵۶۷۸۹
- football
- ۱۲۳۴
- baseball
- welcome
- ۱۲۳۴۵۶۷۸۹۰
- abc123
- ۱۱۱۱۱۱
- ۱qaz2wsx
- dragon
- master
- monkey
- letmein
- login
به شما جدا توصیه می کنیم که به هیچ عنوان موارد بالا یا شبیه به آن ها را به عنوان رمز خود تعیین نکنید!
ب) به صورت مرتب رمز عبور خود را عوض کنید.
ج) به هیچ عنوان از کلمه admin به عنوان نام کاربری در وردپرس استفاده نکنید.
د) از رمزهای پیشنهادی و قدرتمند وردپرس استفاده نمایید.
ه) از سایر کاربران وب سایت خود بخواهید که از رمز قوی استفاده نمایند.
و) با فراموشی رمز عبور مقابله کنید!
مشکل بسیاری از کاربران، احتمال فراموشی رمز عبور است. ما به شما پیشنهاد می کنیم که بهتر است تمامی پسوردهای خود را در گوگل کروم کامپیوتر خودتان سیو نمایید. بدین ترتیب دیگر نیازی به وارد کردن پسوردهای دشوار نخواهید داشت.
در کنار همه این موارد، افزونه های امنیتی دیگری نیز وجود دارند. به عنوان مثال می توانید برای امنیت بیش تر کارهای زیر را انجام دهید:
ز) تعداد تلاش برای لاگین را محدود کنید
در این موارد، افزونه های مختلفی وجود دارد. شما به کمک افزونه های زیر، می توان تعداد دفعاتی که یک آی پی می تواند برای ورود به سایت وردپرسی تلاش نماید را محدود کنید:
ح) استفاده از تایید دو مرحله ای
همانند سایر برنامه ها، شما می توانید یک تایید دو مرحله ای برای وب سایت خود بگذارید. بدین صورت که تنها به کمک تایید در تلفن همراه شما یا شبکه های اجتماعی، می توان به محیط وردپرس وارد شد. برخی افزونه ها که با آن ها می توان تایید دو مرحله ای را انجام داد، عبارتند از:
ط) صفحه لاگین خود را مخفی کنید.
یکی از بهترین راه ها برای جلوگیری از هک شدن که کار را برای هکرها بسیار دشوار می سازد، تغییر صفحه لاگین است. بسیاری آدرس صفحه لاگین وردپرس را با تکنیک های خاصی تغییر داده و برنامه های هک، بلافاصله پس از رفتن به سایت، از هک کردن ناامید می شود. از جمله افزونه هایی که می تواند این کار را انجام دهد، عبارتند از:
حال که صفحه لاگین ایمن شد، می توانیم تنظیمات امنیتی دیگری را انجام داده و هکرها را به کلی از هک کردن سایت ناامید نماییم.
۴- اضافه کردن SALTs به wp-config.php
این تکنیک، نیز مورد جالبی است، از وردپرس ورژن ۲٫۶ به بعد، شما قادر هستید که به کمک تغیر برخی کدها، اطلاعات ذخیره شده در کوکی ها را رمزگذاری نمایید. این کار، هک کردن را برای هکرها مشکل می سازد.
در ابتدا شما در فایل wp-config.php در هاست خود، کدهایی شبیه به کدهای زیر خواهید دید:
|
1
2
3
4
مقالات مرتبط |