راهکارهای جلوگیری از هک وردپرس
جلوگیری از هک وردپرس
جلوگیری از هک وردپرس
با سلام خدمت همه دوستان عزیز، امروز قصد دارم به موضوعی بپردازم که همه طراحان وب عزیز بویژه وردپرسی ها را تهدید میکند: “هک و ویروسی شدن وردپرس”، شاید شنیده باشید که یک سایت ویروسی شده و یا هک شده است. این واژه بیشتر برای سایت هایی به کار برده می شود که به نوعی اسیر یکی از عوامل، ویروس، حملات فیشینگ، اسپم و از این قبیل شده اند، و لازم است این نکته را یادآور شوم که هک شدن یک سایت تنها این موضوع نیست که محتوای وب سایت توسط هکر یا هکرهایی تغییر کند و محتوای هکر جایگزین محتوای قبلی وب سایت شود مثلاً تغییر صفحه اول وب سایت به یک پیام از گروه هک کننده. بلکه می توان هک شدن را هرگونه ورود غیر قانونی به محیط وب سایت دانست.
در بیشتر مواقع هکر های محترم وقت زیادی برای هک کردن ندارند و فقط زمانی بصورت مستقیم وارد عمل می شوند که حریف، حریف قدر قدرتی باشد، مثلاً هک کردن سایت یک سازمان بزرگ. اما برای پیش برد اهداف خبیثانه هکر در سطحی وسیع از وب سایت ها که هدف تنها یک سایت نیست، هکرها اقدام به نوشتن ربات های (برنامه های پایش گر شبکه) خرابکاری می کنند که طعمه این برنامه ها می تواند هر وب سایتی باشد. کافی است کمی فکر کنید و ببینید که همکنون در فضای اینترنت چند هزار سایت با سیستم وردپرس و یا سیستم های مدیریت محتوای مشابه مثل جوملا و … راه اندازی شده اند. یک هکر کافی است به نقاط ضعف این سیستم ها پی ببرد و با نوشتن یک برنامه مخرب بجای تهدید یک یا چند وب سایت کلیه وب سایت هایی که با این سیستم ها راه اندازی شده اند را تهدید کند.
برای مثال شاید شما هم با موضوع نظرات اسپم (جفنگ) در وردپرس آشنایی داشته باشید، این نظرات خود توسط سیستم های خرابکار موجود در اینترنت در هر سایت وردپرسی نگاشته می شوند و هر سایت وردپرسی می تواند هدف این ربات ها قرار گیرد، در بیشتر مواقع با اشتباه کاربر مدیر سایت و با قبول کردن یکی از این نظرات راه برای هک شدن سایت باز خواهد شد. این ربات ها در فضای اینترنت دائم در حال گشت و گذار هستند تا طعمه مناسب خود را پیدا کنند و سایت وردپرسی شما هم هر لحظه می تواند مورد هدف این ربات ها قرار گیرد.
پس از هک شدن یک سایت با میل ویر ها و ویروس ها چه اتفاقی می افتد؟
در بیشتر مواقع (99%) سایت در ظاهر هیچ مشکلی ندارد و فقط با مرور کردن سایت با دستکاری هایی که برنامه مخرب در پیوندها انجام می دهد کاربر مشاهده کننده در تله های مختلف از صفحات پاپ آپ (popup) گرفته تا هک شدن سیستم خود و … به دام خواهد افتاد. در بسیاری از مواقع کاربر نیز هیچ مشکلی را حس نخواهد کرد. می پرسید پس مشکل چیست؟
برای همین است که با بسته وردپرس همواره یک پلاگین مشهور وجود دارد و آن چیزی نیست جز Akismet که یکی از قدرتمند ترین افزونه های مبارزه با نظرات اسپم می باشد و از پلاگین های پیش فرض بسته وردپرس می باشد. این افزونه از دریافت دیدگاه های هرزنامه (اسپم) جلوگیری کرده و بصورت خودکار آنها را به بخش دیدگاه های جفنگ منتقل می کند. برای استفاده از این افزونه قدرتمند باید آن را فعال کرده و سپس یک کلید API را از سایت آن دریافت کرده و به افزونه معرفی کنید تا بصورت کامل فعال شده و از آن لحظه به بعد از سایت شما در برابر نظرات جفنگ (اسپم) جلوگیری کند.
اما برای اینکه مطمئن شویم که وب سایت ما مورد هدف این حملات قرار گرفته و آلوده شده است باید ترافیک خروجی آن را پایش کنیم و ببینیم که در فراخوانی وب سایت وردپرس چه درخواست هایی را به سایت های دیگر ارسال میکند. هکرها عموماً برای انجام اعمال خرابکاری خود اقدام به بارگذاری اسکریپت های آلوده جاوا اسکریپتی می کنند که از آدرس های مشخصی توسط کد آلوده و اخلا گر در درون صفحات قالب وب سایت قربانی و آلوده بارگذاری می شود.
یکی از ابزارهای معروف برای پایش و اسکن وب سایت ها از نظر اینگونه حملات ابزار Sucuri می باشد. برای دسترسی به این ابزار می توانید در وردپرس از افزونه آن استفاده کنید. برای دانلود و نصب این افزونه به این آدرس مراجعه کنید. کافی است پس از نصب این افزونه با آن اقدام به اسکن و بررسی وب سایت بزنید و آسیب پذیری های احتمالی را کشف و نسبت به رفع آنها اقدام کنید.
استفاده از افزونه های امنیتی در وردپرس
اما همواره پیشگیری بهتر از درمان است و به همین منظور بهتر است وب سایت وردپرسی خود را به مکانیزم پیشگیری مناسب مسلح کنید تا هکرها نتوانند براحتی سایت شما را قربانی اعمال شوم خود کنند. همکنون چندین افزونه معروف امنیتی برای وردپرس ارائه شده اند که برخی از آنها عبارتند از:
افزونه امنیت فراگیر وردپرس (All In One WP Security & Firewall)
این افزونه یکی از قدرتمندترین افزونه های امنیتی وردپرس می باشد که با امکانات عالی خود می تواند بخوبی از وب سایت وردپرسی شما محافظت کند. ناگفته نماند که این افزونه به فارسی ترجمه رسمی شده و واقعاً چیزی کم ندارد.
افزونه امنیت وردفنس (Wordfence Security)
این افزونه هم یکی از بهترین افزونه های امنیتی وردپرس می باشد اما هنوز ترجمه فارسی برای آن ارائه نشده است.
با سلام خدمت دوست عزیزم
چند نفر به پشتیبانی سایت من پیام دادن گفتن اگه 600 هزار تومن به حساب من نریزی (این حساب http:upal.irbuykeotfnpge) یه نرم افزار دارم ده هزار پیام هزار کارکتری به پشتیبانیت میفرستم و هاستتو با این کار مختل میکنم! به نظرت با این نرم افزار میشه جلوش رو گرفت؟
سلام الان راه های زیادی برای جلوگیری از حملات DDos وجود داره بهتره از یکی از افزونه های امنیتی All In One WP Security & Firewall یا Wordfence Security استفاده کنید و به این پیام های تهدید هم توجهی نکنید.
خسته نباشید ببخشید شما صاحب وسایت wp-desin.ir بودید ؟!
سلام بله دوست عزیز
سلام
من وردپرس سایتم رو به نسخه 4.7 ارتقا دادم، اما پس از آن دیگه نمیتونم قالب هامو آپدیت کنم.
یعنی آپدیت میشن اما بعد از چند دقیقه باز پیغام میاد که پوسته های شما نیاز به به روز رسانی دارد ؟
جهار بار تا حالا آپدیت کردم اما باز دوباره به حالت قیب برگشته نمیدونم چیکار باید کرد ؟
اگر امکانش هست راهنمایی بفرمایید
ممنون
سلام. مشکل شما مشکل عمومی نیست. بهتر است با پشتیبان هاست خود تماس بگیرید.
عالی بود مررررررسی
سلام جند وقت است صفحه اول سايت ما هر بار مه رفرش ميشود يك پاپ اپ تبليغاتي باز ميشود كه بايد ببنديم تا برود. بنظر شما اشكال چيست و چه بايد كرد. با تشكر
سلام امکان هک شدن وب سایت شما وجود دارد. بهتر است فایل های جاواسکریپت قالب و افزونه ها و همچنین خود فایل های PHP آنها را جهت هرگونه نفوذ بررسی کنید.
سلام من یک وبسایت دارم که متاسفانه 2 بار هک شده یعنی هکر کامل وبسایت رو پاک کرد دفعه اول یک فایل شل توی وبسایت بود که پاکش نکرده بودم وقتی هک شد اونو پاک کردم رمز یوزر رو عوض کردم و m5 کردم ولی بعد از اون که من از بک آپ استفاده کردم و وبسایتو مجدد اوردم بالا دوباره هک کرد. جالبه پلاگین (Wordfence Security) رو هم داشتم به نظرتون چکار باید بکنم؟
سلام در اینجور موارد مشکل از یکی از افزونه های فعال یا قالب فعال است که دارای آسیب پذیری هستند و هکر از طریق اون سایت رو هک میکنه. افزونه امنیتی Wordfence امکان اسکن سایت رو داره و اگر افزونه ای یا قالبی دچار مشکل باشه گزارش میکنه و حتی در مواردی می تونه افزونه ها و قالب ها رو از کدهای مخرب پاکسازی کنه. بهتره سایتتون رو اسکن کنید. سرویس های دیگه ای هم هستند که سایت رو اسکن می کنند. متاسفانه این مشکلات از افزونه های و قالب هایی پیدا میشه که رایگان نیستند اما نسخه null شده اونها از طریق سایت های زیادی برای دانلود در دسترس هست.