وردپرس تا زمانی که از بهترین روش های امنیتی پیروی کند بسیار امن است. از آنجایی که ۲۵ درصد کلیه وبسایت ها بر پایه ووردپرس کار می کنند، آسیب پذیری های امنیتی اجتناب ناپذیر هستند زیرا همه کاربران در مراقبت و امنیت وب سایت های خود دقیق نیستند. اگر یک هکر بتواند راهی برای یکی از ۷۰۰ میلیون وب سایت وردپرس در وب پیدا کند، می تواند وب سایت های دیگری را که در آن نسخه های ناامن یا نسخه های قدیمی وردپرس اجرا می شوند را جستجو کند و این موارد را نیز هک کند.
رایج ترین مسائل امنیتی وردپرس قبل یا بعد از به خطر انداختن سایت شما رخ می دهند. هدف هک، دستیابی غیرمجاز به سایت وردپرس شما در سطح سرپرست، یا از قسمت جلویی (پیشخوان وردپرس شما) یا از طرف سرور (با وارد کردن اسکریپت ها یا پرونده ها) است.
اینفوگرافی ضعفهای امنیتی وردپرس
در ادامه می توانید توضیحات تکمیلی هرمورد را نیز بخوانید
۱. حملات نفوذی بی رحمانه Brute Force Attacks
حملات brute force وردپرس به روش های آزمون و خطا در وارد کردن چندین ترکیب نام کاربری و رمز عبور تا زمان کشف پسوورد مناسب اشاره دارد. روش حمله نفوذی بی رحمانه از ساده ترین راه برای دسترسی به وب سایت شما استفاده می کند: صفحه ورود به سیستم WordPress.
WordPress، به طور پیش فرض، تلاش های مکرر برای ورود به سیستم را محدود نمی کند. بنابراین ربات ها می توانند با استفاده از این روش، به صفحه ورود به WordPress شما حمله کنند.
حتی اگر این حمله ناموفق باشد باز هم می تواند سرور شما را خراب کند، زیرا تلاش های پیاپی برای ورود به سیستم می تواند بار شما بر روی سرور را بیش از حد معمول کند. در حالی که شما در معرض حمله شدید قرار دارید، برخی از شرکتهای هاستینگ ممکن است حساب شما را به دلیل اضافه بار سیستم در میزبانی های مشترک به حالت تعلیق درآورند.
2. سوء استفاده از گنجاندن پرونده ها File Inclusion Exploits
پس از حملات نفوذی بی رحمانه، آسیب پذیری در کد PHP وب سایت وردپرس شما رایج ترین مسئله امنیتی است که می تواند توسط مهاجمان مورد سوءاستفاده قرار بگیرد. (PHP کدی است که وب سایت وردپرس شما را به همراه افزونه ها و قالب شما اجرا می کند.)
سوء استفاده از گنجاندن پرونده ها هنگامی اتفاق می افتد که از کدهای آسیب پذیر برای بارگذاری پرونده های از راه دور استفاده می شود که به مهاجمان امکان دسترسی به وب سایت شما را می دهد. این روش یکی از رایج ترین راه هایی است که یک مهاجم می تواند به پرونده wp-config.php وب سایت شما دسترسی پیدا کند که یکی از مهم ترین پرونده های نصب وردپرس شما محسوب می شود.
3. نفوذ به پایگاه داده SQL Injections
وب سایت وردپرس شما برای اداره کردن از یک پایگاه داده (MySQL) استفاده می کند. نفوذ به SQL زمانی رخ می دهد که یک مهاجم به پایگاه داده WordPress شما و تمام داده های وب سایت شما دسترسی پیدا کند.
با روش نفوذ به SQL، یک مهاجم می تواند یک حساب کاربری جدید در سطح سرپرست ایجاد کند که از آن پس برای ورود به سیستم و دسترسی کامل به وب سایت وردپرس شما از آن استفاده می کند. همچنین می توان از این روش برای قرار دادن داده های جدید در پایگاه داده، از جمله پیوند به وب سایت های مخرب یا اسپم استفاده کرد.
4. کد نویسی متقابل سایت (XSS Cross-Site Scriptting)
84٪ از کل آسیب پذیری های امنیتی در کل اینترنت، Cross-Site Scriptting یا حملات XSS نامیده می شوند. این نوع آسیب پذیری، رایج ترین آسیب پذیری است که در افزونه های وردپرس مشاهده می شود.
ساز و کار اصلی کدنویسی متقابل سایت اینگونه عمل می کند: یک مهاجم به دنبال راهی است که یک قربانی را برای بارگیری صفحات وب با اسکریپت های ناامن جاوا اسکریپت پیدا کند. این کدها بدون اطلاع بازدید کننده بارگیری می شوند و سپس برای سرقت داده ها از مرورگرهای خود استفاده می کنند. نمونه ای از این سرقت ها می تواند در افزونه های ساخت فرم ایجاد شود. اگر کاربری، داده های خود را به آن فرم وارد کند، آن داده ها به سرقت می رود.
5. بد افزار Malware
بدافزار، كدی مختص به نرم افزارهای مخرب است كه برای دستیابی به اطلاعات غیر مجاز وب سایت و جمع آوری داده های حساس استفاده می شود. یک سایت وردپرس هک شده معمولاً به این معنی است که بدافزار به پرونده های وب سایت شما تزریق شده است. بنابراین اگر به ورود بدافزار در سایت خود مشکوک هستید، به پرونده های تغییر یافته اخیر دقت کنید.
اگرچه هزاران نوع بدافزار در وب وجود دارد اما وردپرس در برابر همه آنها آسیب پذیر نیست. چهار مورد از شایع ترین عفونت های بدافزاری موجود در نرم افزار وردپرس عبارتند از:
درهای پشتی Backdoors
با استفاده از دانلودها Drive-by downloads
فارما هک Pharma hacks
تغییر مسیرهای مخرب Malicious redirects
هر یک از این نوع بدافزارها را می توان به راحتی با حذف دستی از پرونده مخرب، نصب نسخه جدید وردپرس یا با بازیابی سایت وردپرس از یک نسخه پشتیبان تهیه شده قبلی غیر آلوده، به راحتی شناسایی و پاک کرد.
