وردپرس آموزش وردپرس

دلایل اصلی هک شدن سایت های وردپرس و راه های جلوگیری از آن

یکی از مشکلات و دغدغه های فکری وب سایت های ورد پرس هک شدن است، که این مشکل مختص به سایتهای وردپرس نیست وتمامی وب سایت ها در مقابل هک شدن آسیب پذیرند .
پرطرفدار بودن وردپرس باعث شده که که توجه هکرها برای هک کردن وب سایت های وردپرس بیشتر شود این هکرها انگیزی ها مختلفی برای هک کردن وب سایت ها دارند .
هکرهای تازه کار و اصطلاحا اماتور بیشترقصد یادگیری و بهربرداری از سایت های امن تر را دارند ولی بعضی هکرها اهداف مخرب دارند مانند توزیع بد افزار ، استفاده از وب سایت های برای حمله به وب سایت های دیگر یا اسپم کردن اینترنت.
حالا به بررسی دلایل هک وب سایت های وردپرس و راه های جلوگیری از ان میپردازیم

1.میزبانی وب نا امن (insecure Web Hosting) :

وب سایتهای وردپرس نیز ماننده همه ی وبسایتهای دیگر در یک وب سرور میزبانی می شوند .بعضی از این شرکتهای میزبانی وب به درستی پلتفورم میزبانی خود را امن نمیکنند واین باعث می شود که همه وب سایت ها در مقابله هکرها اسیب پذیر باشند .
برای جلوگیری از این مشکل میتوان بهترین ارائه دهنده میزبان وردپرس را برای وب سایت خود انتخاب کرد . این ارائه دهنده تضمین میکند که وب سایت شما در یک پلتفورم امن ذخیره میشود .سرور های مناسب امن میتوانند بسیاری از حملات رایج را بروی وب سایت های وردپرس متوقف کنند .
اگر میخواهید احتیاط بیشتری انجام دهید. از یک ارائه دهنده میزبانی وب تحت مدیریت وردپرس استفاده کنید

2.استفاده از کلمه عبور ضعیف :

کلمه عبور کلیدی برای سایت وردپرسی شماست. شما باید مطمئن شوید که از یک رمز عبور قوی و منحصر به فرد برای هر یک از حساب های زیر استفاده می کنید زیرا همه آنها دسترسی کامل به وب سایت شما را فراهم می کنند.

حساب کاربری مدیریت وردپرس شما
میزبانی وب میزبانی پنل کنترل پنل
حساب های FTP
پایگاه داده MySQL مورد استفاده برای سایت وردپرس شما
حساب های ایمیل مورد استفاده برای مدیر وردپرس یا حساب میزبانی

همه این حساب ها با کلمه عبور محافظت می شوند. با استفاده از کلمات عبور ضعیف، هکرها با استفاده از برخی از ابزارهای هکینگ پایه، رمز عبور را راحت تر می کنند.
با استفاده از کلمه عبور منحصر به فرد و قوی برای هر حساب، می توانید به راحتی این کار را انجام دهید.

 

3.گذاشتن رمز به دایرکتوری مدیریت وردپرس (wp-admin) :

ناحیه مدیریت وردپرس دسترسی کاربر به انجام اقدامات مختلف در سایت وردپرسی شما را فراهم می کند.این منطقه بیشتر مورد حمله در سایت وردپرس قرار گرفته است.
رها کردن این دایرکتوری(wp-admin Directory) بدون رمز اجازه می دهد تا هکرها روش های مختلف برای ترک وب سایت شما را امتحان کنند. شما می توانید با افزودن لایه احراز هویت به دایرکتوری مدیریت وردپرس خود را برای آنها دشوار کنید.
ابتدا بایستی کلمه عبور خود را از پیشخوان مدیریت وردپرس حفاظت کنید .این یک لایه امنیتی اضافی را اضافه می کند، و هر کسی که می خواهد به مدیر وردپرس دسترسی داشته باشد، باید رمز عبور اضافی را ارائه دهد.
اگر شما یک سایت چندرسانه ای یا چند کاربره وردپرسی را اجرا کنید ، پس می توانید کلمات عبور قوی برای همه کاربران سایت خود اعمال کنید. شما میتوانید تایید دو مرحله ای اضافه کنید تا ورود هکرها به پیشخوان وردپرس سخت تر یا حتی غیر قابل عبور شود

4 .دسترسی فایل های وردپرس:

مجوزهای فایل مجموعه ای از قوانین استفاده شده توسط وب سرور شما می باشد. این مجوزها دسترسی به فایلهای سایت شما را کنترل می کنند. اجازه دسترسی به پرونده های اشتباه می تواند به دسترسی هکرها به نوشتن و تغییر این فایل ها کمک کند.
تمام فایل های وردپرس شما باید دارای مجوز 644 باشند. تمام پوشه ها در سایت وردپرس شما باید 755 به عنوان مجوز فایل خود داشته باشند.

 

5. بروز رسانی وردپرس :

برخی از کاربران وردپرس از به روز رسانی وب سایت خود میترسند .انها میترسند با بروز رسانی وب سایت وردپرس خود وب سایتشان خراب شود یا دیگر کار نکند
هر نسخه جدید وردپرس رفع اشکالات و آسیب پذیری های امنیتی است. اگر وردپرس را به روز نکنید، قصد دارید سایت خود را آسیب پذیر کنید.
اگر شما می ترسید که به روز رسانی وب سایت شما را خراب شود ،پس شما می توانید قبل از اجرای روز رسانی یک نسخه پشتیبانی تهیه کنید. به این ترتیب، اگر چیزی کار نکند ، شما به راحتی می توانید به نسخه قبلی بازگردید.

6 . بروزرسانی افزونه ها یا پوسته ها:

درست مانند برنامه نویسی وردپرس اصلی، بروز رسانی پوسته و افزونه های شما به همان اندازه مهم است. با استفاده از یک افزونه یا پوسته قدیمی می توانید سایت خود را آسیب پذیر کنید.
نقص های امنیتی و اشکالات اغلب در افزونه ها و پوسته های وردپرس کشف شده است. معمولا نویسندگان پوسته و افزونه سریع آنها را برطرف می کنند. اگر کاربری پوسته یا افزونه خود را به روز نکرده باشد هیچ کارد نمی تواند برای افزونه تا پوسته خود انجام دهد .
اطمینان حاصل کنید که پوسته و افزونه وردپرس خود را به روز نگه داشته اید .

7. استفاده از FTP ساده به جای SFTP/SSH

حساب های FTP برای آپلود فایل ها به سرور وب خود با استفاده از یک سرویس گیرنده FTP استفاده می شود. بیشتر ارائه دهندگان میزبانی از اتصالات FTP با استفاده از پروتکل های مختلف پشتیبانی می کنند. شما می توانید با استفاده از FTP، SFTP یا SSH ساده متصل شوید.
هنگامی که شما با استفاده از FTP ساده به سایت خود متصل می شوید، رمز عبور شما به سرور رمزگذاری نشده ارسال می شود. می توان آن را جاسوسی و به راحتی به سرقت برد. به جای استفاده از FTP، همیشه باید از SFTP یا SSH استفاده کنید.
شما نمی خواهید مشتری FTP خود را تغییر دهید. بیشتر مشتریان FTP می توانند به SFTP و همچنین SSH به وب سایت شما متصل شوند. شما فقط باید پروتکل SFTP-SSH را هنگام اتصال به وب سایت خود تغییر دهید.

8.استفاده از Admin به عنوان نام کاربری وردپرس:

استفاده از Admin به عنوان نام کاربرد وردپرس توصیه نمی شود و اگر نام کاربری مدیریت شما Admin است باید انرا بلافاصله تغییر دهید .

9. پوسته ها و افزونه های نال:

وب سایت های بسیاری در اینترنت وجود دارد که افزونه ها و پوسته های پرداخت شده وردپرس را به صورت رایگان به اشتراک می گذارند. گاهی اوقات وسوسه شدن برای استفاده از این افزونه ها و پوسته های ناخواسته در سایت شما آسان است.
دانلود پوسته و افزونه وردپرس از منابع غیر قابل اعتماد بسیار خطرناک است. نه تنها آنها می توانند امنیت وب سایت شما را تحت تاثیر قرار دهند، بلکه می توانند برای سرقت اطلاعات حساس نیز مورد استفاده قرار گیرند.
شما همیشه باید افزونه ها و پوسته های وردپرس را از منابع قابل اعتماد مانند وب سایت توسعه دهندگان افزونه / پوسته ها یا مخازن وردپرس رسمی دانلود کنید.
اگر شما نمی توانید یک افزونه یا پوسته حق بیمه خریداری کنید، همیشه جایگزین های رایگان برای این محصولات وجود دارد. این افزونه های رایگان ممکن است به اندازه همتایان پرداخت شده آنها نباشد، اما آنها کار را انجام می دهند و از همه مهمتر وب سایت شما را ایمن نگه می دارد.

 

10.عدم تنظیم فایل پیکربندی وردپرس wp-config.php :

فایل پیکربندی وردپرس wp-config.php دارای اعتبار ورودی پایگاه داده وردپرس شماست . اگر مشکلی برای این فایل پیش بیاید میتواند اطلاعاتی را منتقل کند که باعث دسترسی کامل هکرها به سایت شما میشود .
شما میتوانید یک لایه اضافی حفاظت را با دسترسی به فایل wp-config با استفاده از htaccess منع کنید . به سادگی این کد کوچک را به فایل htaccess اضافه کنید.

<files wp-config.php>
order allow,deny
deny from all
</files>

11.تغییر پیشوند پیش فرض جدول وردپرس :

بسیاری از کارشناسان توصیه می کنند که پیشوند جدول پیش فرض وردپرس را تغییر دهید. به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای جداول ایجاد شده در پایگاه داده استفاده می کند. شما یک گزینه برای تغییر آن در طول نصب می کنید.
توصیه می شود از یک پیشوند استفاده کنید که کمی پیچیده تر است. این باعث می شود که هکرها نام پایگاه های پایگاه داده خود را حدس بزنند
امیدوارم تجربیات و اگاهی ها داده شده به شما کمک کند تا بتوانید در حفظ و نگه داری وب سایت خود کوشا باشید

 

منبع : wpbeginner

درباره نویسنده

یک وب

یک‌وب ، تنها یک وب نیست

4 دیدگاه

دیدگاهتون رو ارسال کنید