وردپرس، سیستم مدیریت محتوای منبع باز محبوب (CMS)، توسط 60٪ از تمام وب سایت ها استفاده می شود. با این حال، از آنجایی که منبع باز است و می تواند به طور بی پایان سفارشی و بهینه شود، می تواند در برابر نقص های امنیتی آسیب پذیر باشد. مطابق با امتیاز کلی آسیب پذیری، از هر 10 سایت وردپرس، 8 سایت دارای ریسک امنیتی متوسط یا بالا هستند. روشهایی برای جلوگیری از حملات امنیتی وجود دارد، اما نکته کلیدی این است که ابتدا رایجترین تهدیدات امنیتی برای سایتهای وردپرسی خود را بشناسید و سپس یاد بگیرید که چگونه آنها را دور نگه دارید! این وبلاگ یک نمای کلی از رایج ترین حملات امنیتی وردپرس را در اختیار شما قرار می دهد.
حملات امنیتی رایج وردپرس
حمله امنیتی شماره 1: نیروی بی رحم
نیروی بی رحم: در این حمله، بازیگران بد سعی میکنند اطلاعات ورود را با استفاده از تولیدکنندههای رمز عبور خودکار حدس بزنند.
حفاظت اولیه: از رمزهای عبور قوی استفاده کنید. برای توصیه هایی در مورد نحوه ایجاد رمزهای عبور قوی، به ما مراجعه کنید مقاله پایگاه دانش.
حمله امنیتی شماره 2: اسکریپت بین سایتی (XSS)
این یک تکنیک هک است که در آن کدهای مخرب از ورودی کاربر به صفحات وب تزریق می شود و سپس توسط بازدیدکنندگان سایت مشاهده می شود. حملات XSS به طور بالقوه می توانند اطلاعات حساس را استخراج کنند، بر عملکرد وب سایت و موارد دیگر تأثیر بگذارند.
حفاظت اولیه: هر جایی که یک وب سایت اطلاعاتی را از کاربر دریافت می کند، باید تا حد امکان بر اساس اطلاعات مورد انتظار یا معتبر فیلتر شود.
حمله امنیتی شماره 3: تزریق SQL
مندر این نوع حمله، عبارات SQL مخرب از طریق ورودی کاربر غیرقانونی تزریق می شود. از حملات تزریق SQL می توان برای دستکاری داده ها، استخراج اطلاعات حساس و موارد دیگر استفاده کرد.
حفاظت اولیه: با استفاده از ابزارهای اسکن آنلاین وب سایت مانند آسیب پذیری های تزریق SQL، سایت خود را اسکن کنید Sucuri SiteCheck.
حمله امنیتی شماره 4: درب پشتی
درپشتی کد مخربی است که حاوی روشی پنهان برای دور زدن فرآیند ورود یا احراز هویت یک وب سایت است.
حفاظت اولیه: مطمئن شوید که سرور شما از آنتی ویروس و فایروال محافظت می کند و به روز نگه داشته می شود. همچنین، مطمئن شوید که خود وردپرس و هر افزونه مرتبط را با آخرین وصله های امنیتی به روز نگه دارید.
حمله امنیتی شماره 5: حملات انکار سرویس (DoS).
این نوع حمله باعث میشود یک وبسایت برای کاربرانش از دسترس یا غیرقابل دسترس باشد. به عنوان مثال، یک حمله انکار سرویس توزیع شده (DDoS) ترافیک را از چندین منبع به یک وب سایت ارسال می کند و اتصال شبکه آن را بیش از حد بارگذاری می کند.
حفاظت اولیه: استفاده از یک شبکه تحویل محتوا (CDN) به خوبی تثبیت شده مانند Cloudflare می تواند به کاهش یا حتی جلوگیری از این نوع حملات کمک کند.
حمله امنیتی شماره 6: فیشینگ
مهاجمان از تکنیک فیشینگ برای جعل هویت یک شرکت قانونی، معمولاً از طریق ایمیل، برای به دست آوردن اطلاعات شخصی به طور مستقیم از هدف استفاده می کنند. سپس مهاجم از اطلاعات برای هک کردن سایت یا ارتکاب کلاهبرداری استفاده می کند.
حفاظت اولیه: فیلترهای هرزنامه می توانند اکثر ایمیل های مخرب را شناسایی کرده و از رسیدن به صندوق ورودی کاربران جلوگیری کنند.
حمله امنیتی شماره 7: Hotlinking
این تکنیکی است که در آن یک وبسایت مستقیماً به داراییهای وبسایت مورد نظر مانند فایلهای ویدیویی یا تصویری پیوند میدهد تا رتبهبندی SEO را افزایش دهد یا رسانهها را بدون استفاده از منابع سرور یا پهنای باند خود ارائه دهد. به عنوان مثال، اگر وب سایت B به تصویر ویژه وب سایت A پیوند داده شود و وب سایت B ترافیک زیادی در صفحه تصویر دریافت کند، منابع سرور وب سایت A تمام می شود و به طور بالقوه بر عملکرد وب سایت A تأثیر می گذارد.
حفاظت اولیه: از یک افزونه یا یک شبکه تحویل محتوا (CDN) مانند Cloudflare برای محافظت از فایل های رسانه ای خودنتیجه
نتیجه
اکنون که انواع مختلف تهدیدات امنیتی را که باید از آنها آگاه باشید، درک کردید، دلایل اصلی زیر را در نظر بگیرید که چرا سایت وردپرس شما ممکن است در برابر نقض های امنیتی آسیب پذیر باشد:
- سایت وردپرس شما قدیمی است و نیاز به به روز رسانی به آخرین نسخه دارد.
- شما مضامین یا افزونه های استفاده نشده یا قدیمی روی سایت خود نصب کرده اید که باعث مشکلات سازگاری و باز کردن حفره های امنیتی می شود.
- صفحه ورود به سیستم مدیریت وردپرس شما همچنان روی پیش فرض تنظیم شده است /wp-adminآن را در برابر حملات بی رحمانه آسیب پذیر می کند.
یک ممیزی امنیتی کامل از سایت یا مخاطب خود انجام دهید تیم گورو A2Hosting اگر می خواهید امنیت سایت های وردپرسی خود را بهبود ببخشید.