حملات متداول هکرها به وردپرس و نحوه جلوگیری از آن‌ها

به گزارش پایگاه اطلاع رسانی دیارمیرزا، وردپرس بیش از یک دهه است که یکی از سیستم‌های پیشرو در مدیریت محتوای (CMS) می‌باشد. بسیاری از وبلاگهای بزرگ و همچنین بسیاری از سایتهای کوچک و شخصی از وردپرس برای انتشار متن، تصویر و محتوای ویدیویی در شبکه جهانی وب استفاده می‌کنند. یک وب سایت وردپرسی دارای رابط front-end و back-end است. قسمت front-end مربوط به بازدیدکنندگان از سایت می‌باشد و قسمت back-end نیز مربوط به مدیران سایت و مشارکت کنندگانی که مسئول تهیه، طراحی و انتشار مطالب هستند.

مانند هر سیستم مبتنی بر اینترنت، وردپرس نیز هدف هکرها و سایر اشکال جرایم اینترنتی است. با توجه به اینکه اکنون بیش از ۳۲درصد از سایت‌های اینترنتی با وردپرس راه اندازی شده اند، منطقی است که حجم زیادی از حملات سایبری مربوط به وردپرس باشد. در این مقاله، متداول‌ترین حملات به این پلتفرم معرفی و سپس پیشنهاداتی برای دفاع در برابر آن‌ها و ایمن نگه داشتن وب سایت‌ها ارائه می‌شود.

حملات متداول هکرها به وردپرس
۱. SQL Injection

بستر WordPress به یک لایه پایگاه داده متکی است که اطلاعات متادیتا و همچنین سایر اطلاعات مدیریتی را ذخیره می‌کند. به عنوان مثال، یک پایگاه داده وردپرس مبتنی بر SQL شامل اطلاعات کاربر، اطلاعات محتوا و داده‌های پیکربندی سایت است. هنگامی که هکر تصمیم می‌گیرد حمله SQL را انجام دهد، از یک درخواست یا از طریق یک URL، برای اجرای دستور پایگاه داده استفاده می‌کنند. یک کوئری «SELECT» به هکر اجازه می‌دهد تا اطلاعات بیشتری را از پایگاه داده مشاهده کند، در حالی که یک کوئری «UPDATE» به آن‌ها امکان می‌دهد داده‌ها را تغییر دهند. در سال ۲۰۱۱، یک شرکت امنیت شبکه به نام Barracuda Networks قربانی حمله تزریق SQL شد. هکرها یک سری دستورات را در کل وب سایت باراکودا اجرا کردند و در نهایت یک صفحه آسیب‌پذیر یافتند که می‌تواند به عنوان درگاهی برای ورود به پایگاه داده اصلی شرکت مورد استفاده قرار گیرد.

۲. Cross-site Scripting

یک حمله Cross-site Scripting، که به عنوان XSS نیز شناخته می‌شود، مشابه تزریق SQL است که عناصر JavaScript را در یک صفحه وب به جای پایگاه داده، هدف قرار می‌دهد. یک حمله موفقیت‌آمیز می‌تواند منجر به خطر افتادن اطلاعات خصوصی یک بازدید کننده شود. با حمله XSS، هکر از طریق قسمت نظرات یا ورودی‌های دیگر متنی، کد JavaScript را به وب سایت اضافه می‌کند و سپس هنگام بازدید سایر کاربران از صفحه، آن اسکریپت مخرب اجرا می‌شود. کدهای جاوا اسکریپت مخرب معمولاً کاربران را به وب سایتی جعلی هدایت می‌کند که رمز ورود یا سایر اطلاعات شناسایی آن‌ها را بدزدد. حتی وب سایت‌های معروف مانند eBay می‌توانند هدف حملات XSS قرار گیرند. در گذشته، هکرها با موفقیت کد مخربی را به صفحات محصول اضافه کرده و مشتریان را متقاعد کردند که به یک صفحه وب جعلی وارد شوند.

۳. Command Injection

پلتفرم‌هایی مانند وردپرس در سه لایه اصلی کار می‌کنند: وب سرور، سرویس دهنده نرم‌افزار کاربردی (application server) و سرور پایگاه داده. اما هر یک از این سرورها از طریق سخت‌افزار با سیستم عامل خاصی مانند Microsoft Windows یا Linux اجرا می‌شوند و می‌توانند آسیب‌پذیر باشند. با حمله تزریق دستور، یک هکر اطلاعات مخربی را در فیلد متنی یا URL، مشابه تزریق SQL وارد می‌کند. تفاوت در این است که کد حاوی فرمانی است که فقط سیستم عامل‌ها مانند فرمان «ls» آن را تشخیص می‌دهند. اگر اجرا شود، لیستی از تمام پرونده‌ها و دایرکتوری‌ها در سرور میزبان نمایش داده می‌شود.

مشخص شده است که برخی از دوربین‌های متصل به اینترنت در برابر حملات تزریق فرمان آسیب‌پذیر هستند. firmware (فریمورها در بسیاری از دستگاه‌ها وجود دارند، مثل اسمارت فون، اسمارت تلویزیون، ماشین لباسشویی و ….) آن‌ها می‌تواند هنگام صدور دستور جعلی پیکربندی سیستم را در معرض کاربران قرار دهد.

۴. File Inclusion

زبان‌های رایج کدنویسی وب مانند PHP و Java به برنامه نویسان اجازه می‌دهند تا از داخل کد خود به پرونده‌ها و اسکریپت‌های خارجی دسترسی داشته باشند. دستور «include» نیز برای انجام چنین کاری استفاده می‌شود. گنجاندن فایل یا File Inclusion به نفوذگر اجازه میدهد یک فایل را چه از راه دور و چه محلی با برنامه تحت وب تلفیق کند، این آسیب‌پذیری بر اساس مکان رویداد و کد آسیب‌پذیر می‌تواند استفاده‌های گوناگونی برای نفوذگر داشته باشد. مشخص شده است که برخی از افزونه‌ها برای بستر وردپرس در برابر این حملات آسیب‌پذیر هستند. وقتی چنین هک‌هایی رخ می‌دهد، نفوذگر می‌تواند به همه داده‌های سرویس دهنده نرم‌افزار کاربردی (application server) دسترسی پیدا کند.

نکاتی برای محافظت

اکنون که می‌دانید باید به دنبال چه چیزی باشید، در اینجا چند راه آسان برای تقویت امنیت وردپرس آورده شده است. بدیهی است که روشهای بسیار بیشتری برای ایمن‌سازی سایت شما وجود دارد، اما اینها روشهای نسبتاً ساده‌ای برای شروع هستند که می‌توانند بازدهی چشمگیری در برابر حملات هکرها داشته باشند.

۱. از یک میزبان امن و فایروال استفاده کنید

وردپرس را می‌توان از طریق یک سرور محلی یا از طریق یک فضای میزبانی مدیریت کرد. استفاده از یک هاست امن تاثیر بسیار زیادی بر امنیت سایت شما خواهد داشت. هاست‌های امن امکانات امنیتی مانند گواهینامه‌های SSL، آنتی ویروس، فایروال‌های نرم افزاری و سخت افزاری را در اختیار شما قرار می‌دهند.

هنگام پیکربندی یک سرور و هاست که قرار است تعدادی سایت وردپرسی در آن راه اندازی شود، فعال کردن فایروال، که از اتصالات بین application server و سایر لایه‌های شبکه محافظت می‌کند، بسیار مهم است. فایروال اعتبار همه درخواست‌ها را بین لایه‌ها بررسی می‌کند تا اطمینان حاصل کند که فقط درخواست‌های معتبر پردازش می‌شوند

۲. تم‌ها و پلاگین‌ها را به روز نگه دارید

انجمن وردپرس مملو از توسعه دهندگانی است که دائماً روی پوسته‌ها و افزونه‌های جدید کار می‌کنند. این افزونه‌ها می‌توانند رایگان یا پولی باشند. پلاگین‌ها و پوسته‌ها باید همیشه مستقیماً از وب سایت WordPress. org بارگیری شوند.

افزونه‌ها و پوسته‌های خارجی می‌توانند خطرناک باشند، زیرا شامل کدهایی است که در سرور شما اجرا می‌شوند. فقط به افزونه‌هایی که از یک منبع و توسعه دهنده معتبر تهیه شده اند، اعتماد کنید. علاوه بر این، شما باید افزونه‌ها و پوسته‌ها را به طور منظم به روز کنید، زیرا توسعه دهندگان به صورت دائم مشکلات امنیتی افزونه‌ها و پوسته‌ها را شناسایی و نسخه بدون مشکل آن‌ها را ارائه می‌دهند.

۳. یک Virus Scanner و VPN نصب کنید

اگر وردپرس را در یک سرور شخصی و لوکال یا یک سرور که در دیتاسنتر قرار دارد، راه اندازی کرده‌اید حتماً باید یک ویروس‌یاب قوی بر روی سیستم عامل خود اجرا کنید. ابزارهای رایگان برای اسکن سایت وردپرسی وجود دارند که در مخزن وردپرس در دسترس می‌باشند. چند نمونه از افزونه‌های امنیتی و اسکن ویروس در وردپرس:

Wordfence Security

All In One WP Security & Firewall

iThemes Security

هنگام اتصال به محیط وردپرس خود از راه دور، همواره از یک شبکه خصوصی مجازی (VPN) استفاده کنید تا مطمئن باشید تمام داده‌های رد و بدل شده بین رایانه شما و سرور کاملاً رمزگذاری شده است.

۴. جلوگیری از حملات Brute Force

یکی از محبوب‌ترین و رایج‌ترین حملات وردپرس حملات brute force است. از اینگونه حملات هکر با استفاده از ربات‌ها و نرم افزارهای مخصوصی به صفحه ورود مدیریت سایت حمله کرده و به صورت رندوم پسوردهای متعددی را تست می‌کند تا بتواند پسورد صحیح را تشخیص دهد. راهی ساده برای خنثی‌سازی حملات brute force وجود دارد. خبر بد این است که تعداد زیادی از دارندگان سایت‌ها از این راه حل استفاده نمی‌کنند. استفاده از افزونه امنیتی و فایروال All in One WPیکی از راه‌های مذکور است. این افزونه رایگان است و به شما اجازه می‌دهد تا محدودیت سختی در ورود به سیستم تعیین کنید. به عنوان مثال، پس از سه بار تلاش، پلاگین سایت را در برابر ورودهای بیشتر توسط آن آدرس IP برای مدت زمان تعیین شده قفل می‌کند. همچنین یک اعلان ایمیلی مبنی بر اینکه ویژگی قفل کردن فعال شده است دریافت خواهید کرد.

۵. احراز هویت دو مرحله‌ای

این یک روش عالی برای ایمن‌سازی سایت شما می‌باشد؛ در این روش هکر نمی‌تواند بدون اجازه از شما وارد اکانت شما شود، برای ورود نیاز است تا احراز هویت دو مرحله انجام شود. به عنوان مثال، یک کامپیوتر و تلفن همراه، احراز هویت دو مرحله‌ای (۲FA) برای ورود به وب سایت شما را به یک فرآیند دو مرحله‌ای تبدیل می‌کند. طبق معمول، اطلاعات ورود به مدیریت سایت را وارد می‌کنید، سپس یک فیلد جدید باز شده و از شما تقاضا می‌کند کد ارسالی به تلفن همراه خود را وارد نمایید. در صورتیکه کد صحیح نباشد به هیچ عنوان نمی‌توانید وارد مدیریت سایت خود شوید.

یک مرحله اضافی برای ورود به مدیریت سایت، امنیت سایت شما را به طور تصاعدی افزایش می‌دهد. لیستی از پلاگین‌های رایگان را که به شما در راه اندازی ۲FA کمک می‌کنند در ادامه معرفی می‌شود:

Google Authenticator – Two Factor Authentication (2FA)

WP Two Factor Authentication with Telegram

SecSign

نتیجه

اگرچه نمی‌توان گفت سایتی به صورت ۱۰۰درصد امن است، اما اقدامات زیادی وجود دارد که می‌توانید برای محافظت از وب سایت خود انجام دهید. با استفاده از فایروال خوب، به روز نگه داشتن پوسته‌ها و افزونه‌ها و اجرای دوره‌ای ویروس‌یاب می‌تواند امنیت سایت خود را تامین کنید. هرگز نباید فکر کنید «امنیت سایت من کامل است»، زیرا جنگ بین هکرها و مدیران وب سایت‌ها هرگز متوقف نخواهد شد. تنها با آگاهی از جدیدترین تهدیدها و نحوه دفع آن‌ها می‌توانید امنیت سایبری و حریم خصوصی آنلاین را حفظ کنید. اگر قبلاً این کار را انجام نداده اید، اکنون زمان مناسبی برای یافتن چند سایت معتبر برای دریافت اخبار امنیتی و سایبری است. در خبرنامه آن‌ها مشترک شوید یا حداقل به طور منظم به سایت‌هایی که اخبار امنیتی را منتشر می‌کنند مراجعه کنید. هم اکنون کلمه «cybersecurity news» را در گوگل جستجو کرده و جدیدترین اخبار مربوط به امنیت سایت و شبکه را مطالعه نمایید.