A-A+

دلایل رایج هک شدن سایت وردپرس

Common Reasons for Hacking a WordPress Site

هک وب سایت خصوصا هک شدن سایت وردپرس این روزها بسیار رایج و یک مشکل گسترده است. ناامیدکننده است که بفهمید وب سایت وردپرس شما هک شده است. در این پست ، شما درباره رایج ترین دلایل هک شدن سایت وردپرس و نحوه جلوگیری از آنها آگاه می شوید، می توانید به راحتی از این اشتباهات جلوگیری کرده و از سایت خود محافظت کنید.

دلیل هک شدن یک سایت وردپرس چیست؟

سایت های وردپرس به طور کلی به دلایل اصلی زیر هدف قرار می گیرند:

برای یک هکر مبتدی آسان است که تجربه هک کردن را تجربه کند ، حتی اگر هکر قصد آسیب رساندن به سایت را نداشته باشد.
محبوبیت گسترده وردپرس آن را به یک هدف آسان تبدیل می کند زیرا بسیاری از کاربران تازه کار در ابتدا روی جنبه های امنیتی تمرکز نمی کنند و از عواقب فعالیت های خود در وردپرس آگاهی ندارند.
آنها می توانند از منابعی مانند نرم افزار منسوخ شده ، پلاگین ها یا تم های آلوده استفاده کرده و از سایت شما برای آلوده کردن بازدید کنندگان شما با بدافزارهایی مانند درهای پشتی ، ردیاب های کلیدی ، باج افزار وردپرس ، ویروس ها یا سایر نرم افزارهای مخرب استفاده کنند. در بعضی مواقع هکر بازدیدکنندگان را از سایت شما به وب سایت های دیگری هدایت می کند که به آنها کمک می کند درآمد وابسته ایجاد کنند.
وب سایت ها دارای داده های ارزشمندی مانند اطلاعات مالی هستند.
آنها می توانند سرور شما را تحویل بگیرند و از آن برای ارسال ایمیل های هرزنامه ، انجام حملات DDOS یا حملات بی رحمانه استفاده کنند.
ممکن است یک رقیب در زمینه سئو برای حمله به وب سایت شما در لیست سیاه در گوگل حمله هک کند. این تأثیر نامطلوبی بر رتبه بندی گوگل شما خواهد داشت و گوگل این پیام را در نتایج جستجو نشان می دهد: This Site May Be Hacked،به این معنا که سایت شما ممکن است هک شود.

متداول ترین نقاط ورود به وب سایت های وردپرس به شرح زیر است:

٪۴۱ از طریق آسیب پذیری های سیستم عامل میزبانی خود هک می شوند.
۲۹٪ با استفاده از یک قالب ناامن
۲۲٪ از طریق یک افزونه آسیب پذیر
۸٪ به دلیل رمزهای عبور ضعیف

۱۰ دلیل مهم برای هک وردپرس:

۱. استفاده از رمزهای عبور متداول

دلایل رایج هک شدن سایت وردپرس

جزئیات حساب به خطر افتاده یک نگرانی اساسی است که ممکن است منجر به روشی آسان برای هک وب سایت های وردپرس شود. رایج ترین اشتباهاستفاده از رمز عبور ضعیف و ساده است. ایجاد گذرواژه ای که تشخیص آن دشوار باشد و همچنین عدم استفاده از رمز عبور مشابه برای وب سایت های مختلف امری ضروری است. علاوه بر این ، از ابزارهای امنیتی مانند احراز هویت دو عاملی در وردپرس استفاده کنید.

۲. همه چیز را به روز نگه دارید

استفاده از نرم افزارهای منسوخ و قدیمی یکی از موضوعات مهمی است که باعث آسیب پذیری یک وب سایت در برابر هکر ها می شود. اطمینان حاصل کنید که هسته وردپرس، ، CMS ، پلاگین ها و سایر نرم افزارهای مهم مرتبط با وب سایت برای به روزرسانی خودکار تنظیم شده اند. اگر این گزینه در دسترس نیست، بروزرسانی دستی این نرم افزارها را انجام دهید.

۳. قالب و افزونه های وردپرس خود را بررسی کنید

ضروری است که قالب وردپرس و افزونه های وب سایت به طور مرتب بررسی شوند. قالب های قدیمی ، پلاگین ها و نسخه وردپرس شماره یک راه دسترسی هکرها به سایت شما هستند.جالب است بدانید که حتی تم ها و پلاگین های غیرفعال شده می توانند سیستم شما را آسیب پذیر کنند.بنابراین، قالب یا افزونه هایی را که اضافی هستند و دیگر برای سایت استفاده نمی شوند ، حذف کنید. تاکید می کنیم که قالب یا افزونه های بدون استفاده را غیرفعال نکنید ، بلکه پرونده های آنها را کاملا از سرور خود حذف کنید. همچنین، قبل از ادغام پلاگین ها و تم های رایگان ، به صورت رایگان نسخه موجود را به دقت بررسی کنید. نسخه های رایگان به راحتی با کد مخرب آلوده می شوند.

۴. فیشینگ وب / فیشینگ وردپرس

دلایل رایج هک شدن سایت وردپرس

بیشتر هکرها از ایمیل ها و صفحات وب فریبکارانه استفاده می کنند تا به آسانی به اطلاعات محرمانه کاربران دست یابند. حملات فیشینگ بیشتر اوقات باعث می شود که شخص باور کند که آنها با یک مدیر وب سایت واقعی روبرو هستند، این شامل فریب کاربر برای سرقت اطلاعات محرمانه، رمزهای عبور و غیره می شود. به شدت توصیه می شود که کاربر از اشتراک گذاری اطلاعات شخصی با افراد ناآشنا خودداری کند .

۵. وجود روزنه های امنیتی

برخی از سیاست های امنیتی مانند اجازه دادن به کاربران برای ایجاد گذرواژه های ضعیف ، عدم دسترسی آسان به مدیر و غیرفعال کردن HTTPS در سایت شما ، می تواند عواقب منفی ایجاد کند. Google توصیه می کند برای محافظت از وب سایت ، یک سیاست امنیتی سختگیرانه اعمال کنید. این توصیه برای مدیریت صحیح دسترسی و امتیازات کاربر است ، گزارش ها باید به طور دقیق تجزیه و تحلیل شوند و داده ها به صورت رمزگذاری شده استفاده شوند.

۶. داده های نادرست مدیریت شده

هنگامی که داده های وب سایت شما به اشتباه مدیریت شده یا به طور نامناسب بارگذاری شود ، به عنوان اطلاعات فاش شده شناخته می شود. نشت داده ها می تواند منجر به هک شود. مهاجمان ممکن است از روش Google dorking ، در موتورهای جستجو برای شناسایی داده های به خطر افتاده استفاده کنند. اطمینان حاصل کنید که کارمندان فقط به داده های مورد نیاز دسترسی دارند و همچنین از ابزار حذف URL برای اطمینان از اینکه گوگل URL های حساس را در نتایج جستجو فهرست نمی کند، استفاده کنید.

۷. دسترسی محافظت نشده به دایرکتوری مدیر وردپرس

ناحیه مدیریت یکی از آسیب پذیرترین بخش ها است و بیشتر در معرض تلاش برای هک سایت وردپرس قرار می گیرد. عدم حفاظت از آن مانند باز گذاشتن درها برای هکرها است. برای محافظت از آن می توانید لایه های تأیید اعتبار را به فهرست مدیر اضافه کنید. همچنین می توانید نام کاربری مدیر وردپرس را تغییر دهید و احراز هویت دو عاملی را تنظیم کنید زیرا یک لایه امنیتی اضافی اضافه می کند و هر کسی که بخواهد به مدیر وردپرس دسترسی پیدا کند باید رمزعبور اضافی ارائه دهد.

۸. مجوزهای پرونده نادرست است

دلایل رایج هک شدن سایت وردپرس

یکی از راه های عملی ارائه امنیت به وب سایت شما تنظیم صحیح مجوزهای فایل وردپرس است. مجوزهای پرونده تعیین می کند که چه کسی اختیار خواندن ، نوشتن و اجرای فایلهای وب سایت شما را دارد. در صورت تنظیم اشتباه مجوزهای پرونده در سبب دسترسی آسان مهاجمان به داده ها و پرونده های مهم وب سایت خود و به خظر افتادن امنیت وب سایت خود خواهید شد.

۹. استفاده از FTP به جای SFTP/SSH

دلایل رایج هک شدن سایت وردپرس

حساب های FTP برای بارگذاری پرونده ها در وب سرور شما با استفاده از سرویس گیرنده FTP استفاده می شود. بیشتر ارائه دهندگان هاست با استفاده از پروتکل های مختلف از اتصالات FTP پشتیبانی می کنند. می توانید با استفاده از FTP ، SFTP یا SSH ساده متصل شوید. به جای استفاده از FTP ، شما همیشه باید از SFTP یا SSH استفاده کنید.

هنگامی که با استفاده از FTP ساده به سایت خود متصل می شوید ، رمز عبور شما بدون رمزگذاری به سرور ارسال می شود. می توان از آن جاسوسی کرد و به راحتی دزدید.

بیشتر سرویس گیرنده های FTP می توانند از طریق SFTP و همچنین SSH به وب سایت شما متصل شوند. هنگام اتصال به وب سایت خود ، فقط باید پروتکل را به "SFTP - SSH" تغییر دهید.

۱۰. پرونده wp-config.php ناامن

دلایل رایج هک شدن سایت وردپرس

وردپرس اطلاعات پایگاه داده شما را در پرونده wp-config.php ذخیره می کند. بدون این اطلاعات وب سایت وردپرس شما کار نمی کند و شما در ایجاد خطای اتصال پایگاه داده خطای دریافت خواهید کرد. به غیر از اطلاعات پایگاه داده ، پرونده wp-config.php همچنین شامل چندین تنظیم دیگر سطح بالا نیز می باشد. از آنجا که این پرونده حاوی اطلاعات حساس زیادی است و همین امر آن را به هدفی مهم برای هکرها تبدیل می کند.

با محروم کردن دسترسی به پرونده wp-config با استفاده از .htaccess ، یک لایه محافظ اضافی اضافه کنید. کافیست این قطعه کد را به پرونده .htaccess خود اضافه کنید.

<files wp-config.php>
order allow,deny
deny from all
</files>

نکات امنیتی برای جلوگیری از هک وب سایت:

اجرای برخی نکات امنیتی می تواند به امنیت وب سایت شما با هر پلتفرمی که باشد در مقابله با هک کمک کند. در زیر لیست چند مورد از نکاتی است که باید برای جلوگیری از هک وب سایت در نظر بگیرید:

توصیه می شود از سرور های میزبانی ایمن استفاده کنید. اینگونه ارائه دهندگان خدمات به دلیل رعایت مسائل امنیتی می توانند در برابر بدافزارها ، تروجان ها و دیگر مشکلات هک مبارزه کنند.
احراز هویت دو عاملی (Two-Factor Authentication) را برای هر سرویسی که از شما می خواهد اطلاعات خود را وارد کنید فعال کنید.احراز هویت دو عاملی ورود به سیستم را برای هکرها دشوار می کند ، اگرچه خود رمز ورود شما را به سرقت برده است.
CMS ، پلاگین ها ، برنامه های افزودنی خود را به روز کنید و به طور منظم پشتیبان گیری از پایگاه داده وردپرس را انجام دهید.
برای جلوگیری از سوء استفاده از داده ها و اطمینان از ایمن بودن آن ، لازم است که وب سایت به صورت HTML رمزگذاری شود.