دلایل عمده هک شدن سایت وردپرس و روش های جلوگیری از آن

یکی از ناخوشایندترین اتفاقاتی که ممکن است برای یک سایت وردپرسی پیش آید این است که هکرها بتوانند به سایت شما نفوذ کرده و باعث ایجاد مشکلات مختلفی شوند. ما در این مقاله قصد داریم تا دلایلی که ممکن است به وسیله آن یک وبسایت را هک کرد را شرح داده و در پایان چندین روش جهت جلوگیری از هک وبسایت را آموزش خواهیم داد.

چرا وردپرس توسط هکرها هدف قرار می گیرد؟

اول، باید توجه داشت که فقط وردپرس نیست که با مورد مواجه خواهد شد و تمام وب سایت های اینترنتی در تلاش برای هک شدن هستند.

دلیل اینکه سایت های وردپرس یک هدف مشترک هستند این است که وردپرس محبوب ترین مدیریت محتوا وب سایت در جهان است. این مدیریت محتوا بیش از 31 درصد از وب سایت ها از جمله صدها میلیون وب سایت در سراسر جهان را مدیریت می کند. این محبوبیت فوق العاده برای هکرها یک راه آسان برای یافتن وب سایت هایی می‌باشد که از آن برای وبسایت های که کمتر امن هستند استفاده کرده و از آن بهره برداری کنند.

البته هکرها انگیزه های متفاوتی برای هک کردن وبسایت داشته و هرکدام به دلایلی مانند انجام تمرین جهت نفوذ و یا خرابکاری استفاده خواهند کرد.

با توضیحات انجام شده بیاید به دلایل مختلفی که در ادامه بیان خواهد شد بپردازیم و با مطالعه آن، دلایل اصلی هک شدن وبسایت ها را درک کنیم.

1.ناامن بودن یک هاستینگ

مانند همه وب سایت ها، سایت های وردپرس نیز در یک سرور وب، میزبانی می شوند. برخی از شرکت های میزبانی وب به درستی پلاتفرم میزبانی خود را امن نکرده و آن را به صورت صحیح پیکربندی نمی‌کنند. این باعث می شود تا همه ی وب سایت ها موجود در سرورهای میزبانی خود، آسیب پذیر شده و هکرها از این روش بهره مند شوند.

این مورد را می‌توان به راحتی با انتخاب بهترین ارائه دهنده هاستینگ برای وردپرس حل کرده و از آن جلوگیری کنید. این تضمین می کند که سایت شما در یک پلت فرم امن ذخیره می شود. سرورهای مناسب امن، می توانند بسیاری از حملات رایج را بر روی سایت های وردپرس متوقف کرده و دفع کنند.

ما در این مورد یکی از بهترین سرویس های میزبانی وب که با کادری مجرب اقدام به راه اندازی سرویس های سازگار با وردپرس و ووکامرس را کرده‌اند را پیشنهاد کرده و پیشنهاد میکنیم از سرویس های قدرتمند میزبانی فراداده دیدن کنید.

2. استفاده از رمزهای عبور ضعیف

رمزعبور قوی یکی از کلیدی ترین موارد برای وبسایت می‌باشد. شما باید مطمئن شوید که از یک رمز عبور قوی و منحصر به فرد برای هر یک از حساب های لیست زیر استفاده می کنید زیرا همه آنها دسترسی کامل به وب سایت شما را فراهم می کنند.

• حساب کاربری مدیریت وردپرس
• کنترل پنل میزبانی وب
• حساب های FTP
• پایگاه داده MySQL مورد استفاده برای سایت وردپرس شما
• حساب های ایمیل مورد استفاده برای مدیر وردپرس یا حساب میزبانی

همه این حساب ها با کلمه عبور محافظت می شوند. با استفاده از کلمات عبور ضعیف، هکرها با استفاده از برخی از ابزارهای هکینگ ، رمز عبور را به آسانی یافت می کنند.

با یک رمز عبور قدرتمند می‌توانید از تمامی موارد ذکر شده محافظت کرده و از ورود افراد غیرمجاز جلوگیری کنید. پیشنهاد می‌شود از روش های انتخاب رمزعبور قدرتمند استفاده کرده و از ترکیب حروف و اعداد و همچنین حروف کوچک و بزرگ در انتخاب رمز عبور مناسب، استفاده کنید.

3. دسترسی غیرمجاز به مدیریت وردپرس(wp-admin دایرکتوری)

در ناحیه مدیریت وردپرس، دسترسی های مختلفی را به انجام اقدامات مختلف در سایت وردپرسی شما را فراهم می کند. این نیز بخشی است که بیشتر مورد حمله سایت وردپرس قرار گرفته است.

خروج از آن بدون حفاظت و انجام کارهای امنیتی، اجازه می دهد تا هکرها روش های مختلف برای هک وب سایت شما، امتحان کنند. شما می توانید با افزودن لایه احراز هویت به دایرکتوری مدیریت وردپرس خود از این اقدامات جلوگیری کنید.

ابتدا شما باید از مدیریت هاست خود اقدام به قراردادن رمز عبور بر روی دایرکتوری مدیریت وردپرس (wp-admin) کرده و از این طریق جهت ورود به مدیریت وردپرس باید از دو لایه حفاظتی عبور کرد. این روش با قرار دادن نام کاربری و رمز عبور بر روی دایرکتوری ها مختلف، یک لایه حفاظتی ایجاد کرده و از ورود هکرها جلوگیری خواهد کرد. در واقع هکرها اگر به اطلاعات ورودی مدیریت وردپرس نیز دسترسی پیدا کنند، با استفاده از این روش نمی‌توانند از لایه حفاظتی دایرکتوری وردپرس عبور کنند.

4. مجوز نادرست فایل ها

مجوزهای فایل مجموعه ای از قوانین استفاده شده توسط وب سرور شما می باشد. این مجوزها دسترسی به فایلهای سایت شما را کنترل می کنند. اجازه دسترسی به پرونده های اشتباه می تواند به دسترسی هکرها به نوشتن و تغییر این فایل ها کمک کند.

تمام فایل های وردپرس شما باید دارای مجوز 644 باشند. تمام پوشه ها در سایت وردپرس شما باید 755 به عنوان مجوز فایل خود داشته باشند.

5. به روز رسانی وردپرس

برخی از کاربران وردپرس ترس از به روز رسانی سایت های وردپرس خود را دارند. آنها از انجام این کار نگران بوده و می‌ترسند که وبسایت با مشکل مواجه شود.

هر نسخه جدید وردپرش شامل رفع موارد امنیتی و باگ های موجود در وردپرس می‌باشد که انجام ندادن این بروزرسانی ها، عملا وبسایت خود را در مقابل هکرها، آسیب پذیر می‌کنید.

در صورت نگران بودن به دلیل ایجاد مشکل پس از بروزرسانی های وردپرس، می‌توانید از سرویس ها و افزونه های ایجاد نسخه پشتیبان از اطلاعات وبسایت، استفاده کرده و از وبسایت خود به صورت کامل نسخه پشتیبان دریافت کنید.

6. به روز رسانی افزونه ها و پوسته

همانند وردپرس، افزونه ها و پوسته های آن نیز دارای بروزرسانی می‌باشند و در نسخه های بروزهای شده، مشکلات امنیتی و باگ ها موجود نیز رفع شده اند. باید این را بدانید که اگر از نسخه های قدیمی افزونه ها و پوسته های وردپرس استفاده می‌کنید، وبسایتتان آسیب پذیر خواهد بود.

پس بهتر است که با انجام بروزرسانی پوسته ها و افزونه های خود، از هرگونه سو استفاده هکرها جلوگیری کرده و راه های نفوذ را مسدود کنید.

7. استفاده از ftp ساده به جای sftp / ssh

حساب های ftp برای ارسال فایل ها به وب سرور شما با استفاده از یک سرویس گیرنده ftp استفاده می شوند. بیشتر ارائه دهندگان میزبانی از اتصالات ftp با استفاده از پروتکل های مختلف پشتیبانی می کنند. شما می توانید با استفاده از ftp ، sftp، یا ssh متصل شوید.

باید این را توجه داشت که هنگامی که شما با استفاده از ftp به سایت خود متصل می شوید، رمز عبور شما به سرور رمزگذاری نشده است. می توان آن را جاسوسی و به راحتی به سرقت برد. به جای استفاده از ftp، شما همیشه باید از sftp یا ssh استفاده کنید.

شما لازم نیست که سرویس گیرنده ftp خود را تغییر دهید. بیشتر مشتریان FTP می توانند به Sftp و همچنین SSH به وب سایت متصل شوند. شما فقط باید پروتکل ‘sftp – ssh’ را هنگام اتصال به وب سایت خود تغییر دهید.

8. استفاده از admin به عنوان نام کاربری وردپرس

استفاده از ‘admin’ به عنوان نام کاربری وردپرس خود توصیه نمی شود. اگر نام کاربری مدیریت وردپرش شما admin است، پس باید بلافاصله آن را به یک نام کاربری دیگر تغییر دهید.

این بیشتر به این دلیل می‌باشد که حدس زدن آن توسط هکرها راحتر بوده و سریع تر می‌توانند به مقاصد خود دست پیدا کنند.

9. عدم تنظیم وردپرس پیکربندی wp-config.php

فایل پیکربندی وردپرس wp-config.php شامل اطلاعات ورود به پایگاه داده وبسایت وردپرسی شما است. اگر در معرض خطر قرار دارد، اطلاعاتی را نشان می دهد که هکر می‌تواند دسترسی کامل به وب سایت شما را داشته باشد.

شما می توانید با استفاده از .htaccess، دسترسی به فایل wp-config را رد کنید. به سادگی این کد را به فایل .htaccess اضافه کنید.

<files wp-config.php> order allow,deny deny from all </files>

10. پیشوند جدول وردپرس را تغییر ندهید

بسیاری از کارشناسان توصیه می کنند که پیشفرض جدول وردپرس پیش فرض را تغییر دهید. به طور پیش فرض، وردپرس از wp_ به عنوان پیشوند برای جداول ایجاد شده در پایگاه داده استفاده می کند. شما می توانید گزینه ای برای تغییر آن در طول نصب داشته باشید.

توصیه می شود از یک پیشوند استفاده کنید که کمی پیچیده تر است. این باعث می شود که هکرها نام پایگاه های پایگاه داده را نتوانند حدس بزنند.

پاکسازی یک وبسایت وردپرسی هک شده

در این مرحله اگر با هک شدن وبسایت خود مواجه شده اید، توصیه می‌شود تا سریعا از روش های موجود، اقدام به پاکسازی موارد امنیتی وبسایت خود کرده و از خرابکاری های بعدی هکرها جلوگیری کنید.