حملاتی که وبسایت وردپرسی شما را به خطر می‌اندازد

وردپرس یکی از پیشروترین سیستم‌های مدیریت محتوا (CMS) طی یک دهه گذشته بوده است. به طوری که بزرگترین وبلاگ‌ها و همچنین تعداد زیادی سایت کوچک و شخصی مبتنی بر وردپرس برای انتشار متن، تصویر و محتوای ویدیویی در شبکه جهانی وب فعالیت می‌کنند.

یک وب سایت وردپرسی دارای بخش‌های فرانت اند و بک اند است. قسمت فرانت اند محتوایی را ارائه می‌دهد که بازدیدکنندگان هنگام بارگذاری صفحه وب آن را مشاهده می‌کنند. از طرف دیگر تنها مدیران سایت و مشارکت‌کنندگانی که مسئول تهیه، طراحی و انتشار محتوا هستند می‌توانند به قسمت بک‌اند دسترسی داشته باشند.

مانند هر سیستم مبتنی بر اینترنت دیگر، وردپرس نیز هدف بسیاری از حملات هک و سایر جرایم سایبری قرار می‌گیرد. با توجه به اینکه اکنون بیش از 32 درصد از اینترنت روی وردپرس اجرا می‌شود، این امری منطقی است. بنابراین در این مقاله قصد داریم برخی از رایج‌ترین حملات وردپرس مربوط به نرم افزار را بررسی کنیم و سپس پیشنهاداتی را برای نحوه دفاع و مقابله در برابر آن‌ها و حفظ امنیت وب‌سایت ارائه دهیم.

حملات متداول وردپرس

ابتدا بیایید به حملات متداولی که ممکن است صاحبان وب سایت با آن‌ها برخورد کنند، نگاهی بیاندازیم.

1. SQL Injection

پلتفرم وردپرس بر یک لایه دیتابیس متکی است که اطلاعات متادیتا و همچنین سایر اطلاعات فنی را ذخیره می‌کند. به عنوان مثال یک پایگاه داده وردپرس مبتنی بر SQL حاوی اطلاعات کاربر، اطلاعات محتوا و همچنین اطلاعات پیکربندی سایت است.

هنگامی که یک هکر حمله تزریق SQL را انجام می‌دهد، از یک پارامتر درخواست یا از طریق یک فیلد ورودی یا یک URL برای اجرای دستورات پایگاه داده سفارشی شده استفاده می‌کند. به عنوان مثال کوئری SELECT به هکر اجازه می‌دهد تا اطلاعات اضافی را از پایگاه داده مشاهده کند، همچنین کوئری UPDATE به او اجازه می‌دهد تا عملا داده‌ها را تغییر دهد.

در سال 2011 یک شرکت امنیت شبکه به نام Barracuda Networks قربانی یک حمله تزریق SQL شد. هکرها یک سری دستورات را در کل وب سایت Barracuda اجرا کردند و در نهایت یک صفحه آسیب‌پذیر یافتند که می‌توانست به عنوان پورتالی برای پایگاه داده اصلی شرکت استفاده شود.

2. Cross-site Scripting

چنین حمله‌ای که به نام XSS نیز شناخته می‌شود شبیه به تزریق SQL عمل می‌کند با این تفاوت که به جای پایگاه داده، عناصر جاوا اسکریپت را در یک صفحه وب مورد هدف قرار می‌دهد. یک حمله موفقیت آمیز می‌تواند باعث به خطر افتادن اطلاعات خصوصی کاربران شود.

از طریق حمله XSS، هکر کد جاوا اسکریپت را توسط یک فیلد ارسال پیام یا ورودی متن دیگر به وب سایت اضافه می‌کند و سپس زمانی که کاربران از صفحه بازدید کنند، آن اسکریپت مخرب اجرا می‌شود. در نهایت کد جاوا اسکریپت وارد شده می‌تواند کاربران را به یک وب سایت جعلی هدایت کرده و سعی بر سرقت رمزعبور یا سایر داده‌های محرمانه آن‌ها داشته باشد.

حتی وب سایت‌های محبوب مانند eBay نیز ممکن است هدف حملات XSS قرار گیرند. در گذشته هکرها با موفقیت کدهای مخرب را به صفحات محصول اضافه کرده و مشتریان را متقاعد می‌کردند تا به یک صفحه وب جعلی وارد شوند.

3. Command Injection

پلتفرم‌هایی مانند وردپرس در سه لایه اصلی کار می‌کنند: وب سرور، اپلیکیشن سرور و دیتابیس سرور. اما هر یک از این سرورها بر روی سخت افزار با یک سیستم عامل خاص مانند ویندوز، مایکروسافت یا لینوکس اجرا شده و این خودش یک بخش بالقوه از آسیب‌پذیری را نشان می‌دهد.

با حمله تزریق دستور، هکر اطلاعات مخرب را در یک فیلد متنی یا URL مشابه تزریق SQL وارد می‌کند. با این تفاوت که کد حاوی دستوری است که فقط سیستم عامل‌ها آن را تشخیص می‌دهند، مانند دستور «ls» که اگر اجرا شود، لیستی از تمام فایل‌ها و دایرکتوری‌ها در سرور میزبان را نمایش می‌دهد.

توجه داشته باشید برخی از دوربین‌های متصل به اینترنت (مثل وب‌کم یا دوربین‌های مداربسته) در برابر حملات تزریقی آسیب‌پذیر هستند. به طوری که هنگام تزریق کد، میان افزار آن‌ها می‌تواند پیکربندی سیستم را به‌طور نامناسبی در معرض دید کاربران خارجی قرار دهد.

4. File Inclusion

زبان‌های برنامه نویسی وب رایج مانند PHP و Java به توسعه دهندگان این امکان را می‌دهند که به فایل‌ها و اسکریپت‌های خارجی از داخل کد خود مراجعه کنند. دستور include نام عمومی این نوع فعالیت است.

در شرایط خاص، هکر می‌تواند URL یک وب سایت را دستکاری کرده تا بخش include کد را به خطر بیاندازد و به بخش‌های دیگر اپلیکیشن سرور نیز دسترسی پیدا کند. مشخص شده است که برخی از پلاگین‌های وردپرس در برابر حملات درج فایل آسیب‌پذیر هستند. هنگامی که چنین حملاتی رخ می‌دهد، هکر می‌تواند به تمام داده‌های اپلیکیشن سرور دسترسی پیدا کند.

نکاتی برای مقابله با چنین حملاتی

اکنون که می‌دانید باید مراقب چه چیزهایی باشید، در اینجا چند راه آسان برای تقویت امنیت وردپرس را عنوان کرده‌ایم. بدیهی است که راه‌های بسیار بیشتری برای ایمن‌سازی سایت نسبت به مواردی که در زیر ذکر شده است وجود دارد، اما این‌ها روش‌های نسبتا ساده‌تری برای شروع هستند که می‌توانند بازدهی چشمگیری را در مقابل هکرها به همراه داشته باشند.

1. استفاده از یک هاست امن و فایروال

وردپرس می‌تواند از طریق یک سرور محلی اجرا شده یا حتی توسط یک محیط میزبانی ابری مدیریت شود. بنابراین به منظور حفظ امنیت سیستم، استفاده از یک هاست امن توصیه می‌شود. معمولا برترین هاست‌های وردپرس در بازار گواهی SSL و سایر مجوزهای امنیتی را ارائه می‌دهند.

هنگام پیکربندی یک محیط وردپرس میزبانی شده، بسیار مهم است که فایروال داخلی را فعال کنید تا از اتصالات بین اپلیکیشن سرور و سایر لایه‌های شبکه محافظت کند. فایروال تمام درخواست‌های بین لایه‌ها را اعتبارسنجی کرده تا اطمینان حاصل کند فقط درخواست‌های قانونی مجاز به پردازش هستند.

2. به‌روزرسانی قالب‌ها و پلاگین‌ها

جامعه وردپرس مملو از توسعه دهندگان شخص ثالث است که دائما روی قالب‌ها و پلاگین‌های جدید کار می‌کنند تا از قدرت این CMS نهایت استفاده را ببرند. این پلاگین‌ها می‌توانند رایگان یا پولی باشند. توجه کنید پلاگین‌ها و قالب‌ها را همیشه به صورت مستقیم از وب سایت WordPress.org دانلود نمایید.

چرا که پلاگین‌ها و قالب‌های خارجی می‌توانند خطرناک باشند (کدهای مخربی که روی اپلیکیشن سرور اجرا می‌شوند). پس فقط به پلاگین‌هایی اعتماد کنید که از یک منبع و توسعه دهنده معتبر تهیه می‌شوند. علاوه بر این باید پلاگین‌ها و قالب‌ها را نیز به طور منظم به روز کنید، زیرا توسعه دهندگان پیشرفت‌های امنیتی را در آپدیت‌های جدید منتشر می‌کنند.

بدین منظور در کنسول مدیریت وردپرس، می‌توانید تب Updates را در بالای لیست منوی Dashboard بیابید.

3. نصب آنتی ویروس و VPN

اگر وردپرس را در یک محیط محلی اجرا می‌کنید یا از طریق سرویس‌دهنده هاست خود به سرور دسترسی کامل دارید، باید مطمئن شوید که یک اسکنر ویروس قوی روی سیستم عامل خود داشته باشید. چنین ابزارهایی مانند Virus Total برای اسکن سایت شما همه منابع را به منظور جستجوی آسیب‌پذیری‌ها بررسی می‌کند.

هنگام اتصال به محیط وردپرس خود از راه دور، همیشه باید از یک شبکه خصوصی مجازی (VPN) استفاده کنید که اطمینان حاصل کند تمام ارتباطات داده بین سیستم محلی شما و سرور کاملا رمزگذاری شده باشد.

4. محافظت در برابر حملات Brute Force

یکی از رایج‌ترین حملات وردپرس به شکل Brute Force است. این چیزی نیست جز یک برنامه خودکار که نوعی درب مخفی را برای هکر باز می‌کند. از این طریق هکر می‌تواند هزاران ترکیب رمزعبور مختلف را برای ورود به سیستم امتحان کند.

خبر خوب این است که یک راه آسان برای خنثی کردن این نوع حمله وجود دارد. اما خبر بد این است که بسیاری از صاحبان وب سایت این روش را اعمال نمی‌کنند. بنابراین All in One WP Security and Firewall را حتما در نظر داشته باشید. این پلاگین رایگان است و به شما امکان می‌دهد محدودیت‌های سختی را برای تلاش‌های ناموفق ورود تعیین کنید. به عنوان مثال پس از سه بار تلاش، پلاگین سایت را در برابر ورودهای بیشتر توسط آن آدرس IP برای مدت زمان از پیش تعیین شده قفل می‌کند. همچنین یک هشدار از طریق ایمیل مبنی بر فعال شدن ویژگی قفل دریافت خواهید کرد.

5. فعال کردن احراز هویت دو مرحله‌ای

این روش عالی برای ایمن‌سازی سایت شما بر این واقعیت متکی است که هکر احتمالا نمی‌تواند کنترل دو دستگاه را به طور همزمان در اختیار بگیرد (به عنوان مثال کامپیوتر و تلفن همراه). پس احراز هویت دو مرحله‌ای (2FA) ورود به وب سایت شما را به یک فرآیند دو مرحله‌ای تبدیل می‌نماید. طبق معمول به روش همیشگی وارد سیستم می‌شوید، اما پس از آن از شما خواسته می‌شود که کد یکبار مصرف ارسال شده به تلفن خود را وارد کنید.

جالب است، نه؟ این یک مرحله اضافی است که امنیت سایت شما را به طور قابل توجهی افزایش می‌دهد. پلاگین‌های رایگانی برای این کار وجود دارد که به شما در راه‌اندازی 2FA کمک می‌کنند، سعی می‌کنیم در مقالات بعدی آن‌ها را مورد بررسی قرار دهیم. بنابراین با بهره‌گیری از چنین قابلیتی آن دسته از هکرهایی که به فکر خرابکاری در سایت شما بوده‌اند، احتمالا نظر خود را تغییر می‌دهند.

جمع‌بندی

با این‌که چیزی به عنوان ایمنی 100 درصدی در وب سایت وجود ندارد، اما اقدامات زیادی هست که می‌توانید برای محافظت از سایت خود انجام دهید. استفاده از یک فایروال خوب، به‌روز نگه داشتن قالب‌ها و پلاگین‌های خود و اجرای دوره‌ای اسکن ویروس می‌تواند بسیار تاثیرگذار باشد.

پس این موارد را در نظر بگیرید و سعی کنید حتما آن‌ها را به طور مداوم انجام دهید، زیرا تقابل بین هکرها و مدافعان وب سایت هرگز متوقف نخواهد شد. تنها با آگاه نگه داشتن خود در مورد آخرین تهدیدات و نحوه دفع آن‌ها می‌توانید امنیت سایبری و حریم خصوصی آنلاین را حفظ کنید.

وضعیت بدی است که دنیا باید اینگونه باشد، اما چاره‌ای نیست جز پذیرفتن و مقابله با آن. اگر قبلا این بحث‌ها را نادیده می‌گرفتید، اکنون زمان خوبی برای یافتن چند سایت امنیت سایبری معتبر است، یا در خبرنامه آن‌ها عضو شوید و یا حداقل به طور منظم از آن‌ها بازدید کنید.