دلایل عمده هک شدن سایت وردپرس و جلوگیری از آن
شاید به عنوان یک مدیر وب سایت وردپرس این سوال در ذهن شما شکل بگیرد که چرا یک سایت هک می شود ؟ ناامید کننده است که متوجه شوید سایت وردپرسی شما هک شده است . در این مقاله ، دلایل اصلی این که سایت وردپرس هک شده را به اشتراک می گذاریم ، می توانیم از این اشتباهات جلوگیری کنیم و از سایت شما محافظت کنیم .
چرا سایت وردپرس توسط هکرها هدف قرار می گیرد ؟
ابندا این که فقط یک سایت وردپرس نیست که هک می شود . تمام وب سایت ها در اینترنت ممکن است باین مشکل را داشته باشند . دلیل اینکه سایت های وردپرس بیشتر هک می شوند ، این است که وردپرس محبوبترین وبسایت ساز جهان است . ۳۱% از وب سایت های موجد در اینترنت یعنی میلیون ها سایت از وردپرس استفاده می کنند . این محبوبیت باعث شده تا هکرها بیشتر به وب سایت های وردپرسی دقت کنند و وب سایت هایی که برای امنیت خود وقت نمی گذارند این موضوع بسیار بد خواهد بود ، به طوری که آنها می توانند از سایت شما بهره برداری کنند . هکرها انگیزه های مختلفی برای هک کردن یک وب سایت دارند .
برخی از هکرها دارای اهداف مخرب مانند توزیع بدافزار ، استفاده از سایت برای حمله به وب سایت های دیگر یا اسپم کردن اینترنت هستند . با این توضیح ، بیایید نگاهی به برخی از علل اصلی سایت های وردپرس که هک شده اند ، و نحوه جلوگیری از هک شدن وبسایت خود را بررسی کنیم .
۱. میزبانی وب ناامن
مانند همه وب سایت ها ، سایت های وردپرس در یک سرور وب میزبانی می شوند . برخی از شرکت های میزبانی وب به درستی پلتفرم میزبانی خود را امن نمی کنند . این باعث می شود همه ی وب سایت ها در سرور های خود آسیب پذیر باشند و هک شوند .
این مشکل را می توان به راحتی با انتخاب بهترین ارائه دهنده سرور میزبانی وب جلوگیری کرد . این کار تضمین می کند که سایت شما در یک پلت فرم امن ذخیره می شود . سرورهای مناسب امن می توانند بسیاری از حملات رایج را بر روی سایت های وردپرس متوقف کنند .
۲. استفاده از کلمه عبور ضعیف
کلمه عبور ، کلیدی برای سایت وردپرسی شماست . شما باید مطمئن شوید که از یک رمز عبور قوی و منحصر به فرد برای هر یک از حساب های زیر استفاده می کنید زیرا همه آنها دسترسی کامل به وب سایت شما را فراهم می کنند .
- حساب کاربری مدیریت وردپرس شما
- میزبانی وب میزبانی کنترل پنل
- حساب های FTP
- پایگاه داده MySQL مورد استفاده برای سایت وردپرس شما
- حساب های ایمیل مورد استفاده برای مدیر وردپرس یا حساب میزبانی
همه این حساب ها با کلمه عبور محافظت می شوند . با استفاده از کلمات عبور ضعیف ، هکرها با استفاده از برخی از ابزارهای هکینگ پایه ، رمز عبور را راحت تر می کنند . با استفاده از کلمه عبور منحصر به فرد و قوی برای هر حساب ، می توانید به راحتی این کار را انجام دهید .
۳. دسترسی غیرمجاز به مدیریت وردپرس (wp-admin دایرکتوری)
ناحیه مدیریت وردپرس دسترسی کاربر به انجام اقدامات مختلف در سایت وردپرسی شما را فراهم می کند . این نیز منطقه ای است که بیشتر مورد حمله در یک سایت وردپرس قرار گرفته است .
ترک کردن وب سایتتان بدون حفاظت اجازه می دهد تا هکرها روش های مختلف برای وب سایت شما را امتحان کنید . شما می توانید با افزودن لایه احراز هویت به دایرکتوری مدیریت وردپرس کار را برای آنها دشوار کنید .
ابتدا بایستی کلمه عبور خود را از منطقه مدیریت وردپرس حفاظت کنید . این یک لایه امنیتی اضافی را اضافه می کند ، و هر کسی که می خواهد به مدیریت وردپرس دسترسی داشته باشد ، باید رمز عبور اضافی را ارائه دهد .
اگر شما یک سایت چندرسانه ای یا چند کاربره وردپرسی را اجرا کنید ، پس می توانید کلمات عبور قوی برای همه کاربران سایت خود اعمال کنید . شما همچنین می توانید دو فاکتور تأیید اعتبار را اضافه کنید تا هکرها برای ورود به منطقه مدیریت وردپرس شما حتی سخت تر شوند .
۴. مجوز فایل نادرست
مجوزهای فایل مجموعه ای از قوانین استفاده شده توسط وب سرور شما می باشد . این مجوزها دسترسی به فایل های سایت شما را کنترل می کنند . اجازه دسترسی به پرونده های اشتباه می تواند به دسترسی هکرها به نوشتن و تغییر این فایل ها کمک کند . تمام فایل های وردپرس شما باید دارای مجوز ۶۴۴ باشند . تمام پوشه ها در سایت وردپرس شما باید ۷۵۵ به عنوان مجوز فایل خود داشته باشند .
۵. به روز رسانی وردپرس
برخی از کاربران وردپرس از به روز رسانی سایت های وردپرس ترس دارند . آنها از انجام این کار می ترسند . هر نسخه جدید وردپرس رفع اشکالات و آسیب پذیری های امنیتی است . اگر وردپرس را به روز نکنید ، آنگاه سایت شما آسیب پذیر می شود .
اگر شما می ترسید که به روز رسانی مشکلاتی را برای وب سایت شما به وجود بیاورد ، پس شما می توانید یک نسخه پشتیبان تهیه کنید . . به این ترتیب، اگر چیزی کار نمی کند ، شما به راحتی می توانید به نسخه قبلی بازگردید .
۶. به روز رسانی افزونه یا قالب
درست مانند برنامه نویسی وردپرس ، به روز رسانی قالب و افزونه های شما به همان اندازه مهم است . با استفاده از یک افزونه یا قالب قدیمی می توانید سایت خود را آسیب پذیر کنید .
نقص های امنیتی و اشکالات اغلب در افزونه ها و قالب های وردپرس کشف شده است . معمولا نویسندگان قالب و افزونه سریع آنها را برطرف می کنند . با این حال ، اگر یک کاربر قالب یا افزونه خود را به روز نکرده باشد ، تاوقتی که تهدید وجود نداشته باشد مشکلی نیست .
اطمینان حاصل کنید که قالب و افزونه وردپرس خود را به روز نگه دارید .
۷. با استفاده از FTP ساده به جای SFTP / SSH
حساب های FTP برای آپلود فایل ها به سرور وب خود با استفاده از یک سرویس گیرنده FTP استفاده می شود . بیشتر ارائه دهندگان میزبانی از اتصالات FTP با استفاده از پروتکل های مختلف پشتیبانی می کنند . شما می توانید با استفاده از FTP، SFTP یا SSH ساده متصل شوید .
هنگامی که شما با استفاده از FTP ساده به سایت خود متصل می شوید ، رمز عبور شما به سرور رمزگذاری نشده ارسال می شود . می توان آن را جاسوسی و به راحتی به سرقت برد . به جای استفاده از FTP ، همیشه باید از SFTP یا SSH استفاده کنید .
شما نمی خواهید اشتراک FTP خود را تغییر دهید . بیشتر مشترکان FTP می توانند با استفاده از SFTP و همچنین SSH به وب سایت شما متصل شوند . شما فقط باید پروتکل SFTP-SSH را هنگام اتصال به وب سایت خود تغییر دهید .
۸. استفاده از Admin به عنوان نام کاربری وردپرس
استفاده از ‘admin’ به عنوان نام کاربری وردپرس شما توصیه نمی شود . اگر نام کاربری شما admin است ، پس شما باید آن را به یک نام کاربری دیگر تغییر دهید .
۹. قالب ها و افزونه های نال
وب سایت های بسیاری در اینترنت وجود دارد که افزونه ها و قالب های حرفه ای وردپرس را به صورت رایگان به اشتراک می گذارند . گاهی اوقات وسوسه شدن برای استفاده از این افزونه ها و قالب های ناخواسته در سایت شما آسان است .
دانلود قالب و افزونه وردپرس از منابع غیر قابل اعتماد بسیار خطرناک است . نه تنها آنها می توانند امنیت وب سایت شما را تحت تاثیر قرار دهند ، بلکه می توانند برای سرقت اطلاعات حساس نیز مورد استفاده قرار گیرند .
شما همیشه باید افزونه ها و قالب های وردپرس را از منابع قابل اعتماد مانند وب سایت توسعه دهندگان افزونه / قالب ها یا مخازن وردپرس رسمی دانلود کنید .
اگر شما نمی توانید یک افزونه یا قالب حق حرفه ای خریداری کنید ، همیشه جایگزین های رایگان برای این محصولات وجود دارد . این افزونه های رایگان ممکن است به اندازه همتایان حرفه ای آنها نباشد ، اما آنها کار را انجام می دهند و از همه مهمتر وب سایت شما را ایمن نگه می دارد .
۱۰. عدم تنظیم پیکربندی وردپرس ، فایل wp-config.php
فایل پیکربندی وردپرس wp-config.php دارای اعتبار ورودی پایگاه داده وردپرس شماست . اگر آن به خطر بیافتد ، ین فایل به هکر های اطلاعاتی می دهد که می توانند به قسمت های مختلف سایت شما دسترسی داشته باشند .
شما می توانید یک لایه اضافی حفاظت را با دسترسی به فایل wp-config با استفاده از .htaccess منع کنید . به سادگی این کد کوچک را به فایل .htaccess اضافه کنید .
<files wp-config.php> order allow,deny deny from all </files>
۱۱. تغییر جدول پیش فرض وردپرس
بسیاری از کارشناسان توصیه می کنند که پیشوند جدول پیش فرض وردپرس را تغییر دهید . به طور پیش فرض ، وردپرس از wp_ به عنوان پیشوند برای جداول ایجاد شده در پایگاه داده استفاده می کند . شما یک گزینه برای تغییر آن در طول نصب می کنید .
توصیه می شود از یک پیشوند استفاده کنید که کمی پیچیده تر است . این باعث می شود که هکرها نام پایگاه های داده شما را حدس بزنند .
نکته پایانی
برای امنیت جامع تر ، از Sucuri در تمام سایت های وردپرس استفاده می کنیم . Sucuri سرویس های تشخیص و حذف بدافزار و همچنین فایروال وب سایت را فراهم می کند که از وب سایت شما در برابر رایج ترین تهدیدات محافظت می کند .
ما امیدواریم که این مقاله به شما کمک کند تا دلیل اصلی اینکه سایت وردپرسی هک شده را یاد بگیرید . همچنین با کلیک بر روی این متن می توانید آموزش های رایگان گذشته ما را مطالعه فرمایید .