چه کسی مسئول امنیت وب سایت وردپرس شماست؟

سعید ناصریسعید ناصریآوریل 2, 20201min0

در این مقاله می خواهیم به امنیت وب سایت های وردپرس و به ویژه محبوب ترین و گسترده ترین حملات هدفمند این نرم افزار بپردازیم و همچنین راه هایی برای جلوگیری و کاهش تأثیر این حملات. با توجه به اینکه زیرساخت های امنیتی وردپرس یک مثلث است ، از یک طرف طراح وظیفه تنظیم ، طراحی ، نصب و استفاده از هسته های WordPress ، قالب ها و افزونه ها را دارد. در طرف دیگر Duloper و توسعه دهنده هسته ، قالب ها و افزونه ها و از طرف دیگر شرکت میزبان است. هنگامی که یک آسیب پذیری WordPress شناسایی و مورد حمله قرار گرفت ، فقط در صورت موفقیت و سرعت همه مانع خواهد شد اگر هر سه طرف مثلث وظایف خود را به صورت دقیق و سریع انجام دهند.

در حال حاضر سهم نرم افزار وردپرس در دنیای اینترنت بیش از 5٪ است که آن را به محبوب ترین نرم افزار مدیریت و انتشار مطالب در جهان تبدیل کرده است. مطمئناً ، این حجم از محبوبیت و استفاده گسترده ، توجه هکرها و مهاجمان سایبری را نیز به خود جلب می کند. همچنین نرم افزار منبع باز سرعت آسیب پذیری آن را سرعت می بخشد. همچنین لازم به ذکر است که این نرم افزار منبع باز است که آن را به امن ترین نرم افزار مدیریت محتوا در جهان تبدیل کرده است. در حقیقت ، امنیت بیشتر و فراگیر بودن آسیب پذیری های Zero Day دو طرف سکه منبع باز وردپرس است. البته لازم به ذکر است که این نرم افزار قدرتمند در همه جا و با کمک افزونه های امنیتی وردپرس در نظر گرفته شده است که محافظت زیادی در برابر حملات هکرها در اختیار کاربران قرار می دهد.

برای بررسی انواع حملات وردپرس به ما بپیوندید.

Brute Force Attack:

در ضمن ، معمولاً یک هکر در نفوذ به یک وب سایت وردپرس با مدیریت ضعف ، مشکل زیادی نمی بیند. محبوب ترین و موفق ترین و موفق ترین حمله به وب سایت وردپرس Brute Force است. روند حمله به این صورت است که یک هکر معمولاً یک ربات را طراحی می کند و در کسری از ثانیه ، نام کاربری و کلمه عبور های زیادی را که قبلاً به عنوان دیکشنری در پنل مدیریت وردپرس معرفی شده اند ، امتحان می کند. آهسته. تدریجی. روزانه بسیاری از وب سایت ها در سراسر جهان تحت تأثیر این حمله قرار می گیرند ، و از آنجا که هنوز از اطلاعات ورود پیشرفته و قدرتمند به عنوان یک اصل استفاده نمی شود ، بخش بزرگی از این وب سایت ها به خطر می افتند و هک می شوند. بودن.

کپی کردن وردپرس کپی تکثیر کپی وردپرس کپی تکثیر وردپرس کپی تکثیر وردپرس کپی تکثیر کپی های تکراری وردپرس Duplicate Duplicate Duplicate Duplicate Duplicate Duplicate WordPress Duplicate Duplicate Duplicate

وظیفه طراحی وب: تمام مسئولیت وقوع و موفقیت این حمله بر عهده طراح است. به منظور ایمن نگه داشتن وب سایت وردپرس خود ، طراح نباید تحت هیچ شرایطی از هیچ نام کاربری یا رمز عبوری برای مدیر وردپرس استفاده کند. اگر قصد دارید وب سایت را از یک سیستم محلی به یک سرویس میزبانی منتقل کنید ، قبل از انتقال اطمینان حاصل کنید که اطلاعات ورود به سیستم قوی هستند. اگر کاربران قادر به ثبت نام در سایت هستند ، حتما تنظیمات وردپرس خود را شخصی سازی کنید تا روزهای ساده امکان پذیر نباشد. حتما از افزونه های تشخیص رفتار ربات مانند reCAPTCHA استفاده کنید. اما هرگز اجازه ندهید این افزونه ها وجود داشته باشند و حتماً اطلاعات ورود به سیستم را بطور دوره ای تغییر دهید. راه حل دیگر استفاده از احراز هویت 2 مرحله ای یا احراز هویت 2-عامل است.

وظیفه میزبانی: لازم به تأکید است که شما هرگز نباید در این نوع حمله به افزونه هایی مانند reCAPTCHA یا میزبان امنیت سرور میزبان اعتماد کنید و حتما اقدامات امنیتی لازم را برای ایمن سازی اطلاعات ورود به سیستم انجام دهید. اما ، ارائه دهنده هاستینگ بسته به زیرساختی که از آن استفاده می کند می تواند محدودیت های لازم را اعمال کند و در صورت استفاده از سخت افزار و نرم افزارهای امنیتی مناسب از جمله UTM در شبکه خود. به عنوان مثال ، یک UTM می تواند رفتار یک حمله Brute Force را تشخیص داده و محدود کند. به عنوان مثال می توان تعریف کرد که اگر تعداد مشخصی از ورود ناموفق در وردپرس توسط یک IP انجام شود ، مسدود کردن یک IP برای مدت زمان مشخصی.

آسیب پذیری های هسته ، قالب و پلاگین:

بسیاری از dolopters در سراسر جهان به صورت همزمان روی هسته وردپرس کار می کنند و مرتباً آن را به روز می کنند و به طور معمول وصله های امنیتی و به روز رسانی ها را منتشر می کنند و این نرم افزار را به یکی از امن ترین نرم افزارهای مدیریت محتوا تبدیل می کند. اما هزاران افزونه و قالب برای این نرم افزار ایجاد شده است. این افزونه ها و این قالب ها توسط هزاران بارگیری کننده از سراسر جهان نیز تولید می شوند و برخلاف هسته وردپرس ، یک شرکت و تعدادی از افراد خاص مسئولیت تولید و بروزرسانی آنها را بر عهده ندارند. فرض کنید یک سوراخ امنیتی برای هسته وردپرس مشخص شده است. تیم مسئول به روزرسانی هسته به سرعت کار می کند و قبل از حمله حمله ، یک پچ امنیتی برای هسته منتشر شده به طراح اعلان ارسال می شود تا هسته وردپرس خود را به روز کند. اما اگر اشکالی برای یک افزونه ناشناس که در سایت خود استفاده می کنید تشخیص داده شود ، پرونده کاملاً کپی می شود. آیا این سوراخ اصلاً شناخته شده است؟ آیا قصد ارائه یک بروزرسانی را دارد؟ این باعث می شود وب سایت هایی که از این افزونه استفاده می کنند در معرض خطر امنیت قرار بگیرند.

وظیفه Duloper & # 39: در این نوع حمله ، سنگین ترین مسئولیت بر دوش Duloper & 39 است. Duloper وظیفه دارد پلاگین ها و قالب های تولید شده را در اسرع وقت شناسایی ، رفع و ارائه کند.

Designer Task: تا حد امکان از پلاگین های کمتری استفاده کنید. اطمینان حاصل کنید که افزونه هایی که استفاده می کنید اخیراً به روز شده اند و دائماً به روز می شوند. سعی کنید از افزونه های محبوب و بارگیری استفاده کنید. اگر از افزونه های زیادی استفاده می کنید ، به احتمال زیاد در یک بروزرسانی یک افزونه با سازگاری و سازگاری وب سایت شما مشکل ایجاد می کند و باعث خراب شدن برخی از وب سایت ها می شود. در این حالت طراح دو راه دارد. یا این افزونه را با افزونه دیگری جایگزین کنید یا از نسخه غیر اصلاح شده این افزونه استفاده کنید ، که البته این انتخاب بسیاری از طراحان درجه دوم است ، به این معنی که در وب سایت یک سوراخ امنیتی به اندازه بزرگ وجود دارد!

هیچ به روزرسانی را فراموش نکنید. همیشه سعی کنید هسته ها ، قالب ها و افزونه ها را به روز نگه دارید. سعی کنید به روزرسانی های اعلان WordPress را فعال کنید تا در هنگام ارسال به روزرسانی ها به سرعت مطلع شوید. می توانید از بروزرسانی خودکار استفاده کنید. اما بروزرسانی خودکار می تواند باعث خرابی برخی یا تمام وب سایت شما شود. بروزرسانی خودکار معمولاً گزینه فعال برای فعالان فناوری اطلاعات نیست. اما اگر امنیت وب سایت وردپرس خود را مهمتر از چند ساعت اختلال در وب سایت خود می دانید و ترجیح می دهید سایت شما قدیمی باشد اما هک نشود ، حتما از یک به روزرسانی خودکار استفاده کنید.

تحت هیچ شرایطی از قالب ها و افزونه های پوچ و پوسته استفاده نکنید. به طرز عجیبی ، این نرم افزارهای کرک شده حاوی Backdoor برای هک کردن وب سایت شما هستند.

Task Hosting: در این نوع حمله ، مانند حمله Brute Force ، میزبان ها کاری خاص انجام نمی دهند. برخی از خدمات میزبانی که به طور خاص برای وردپرس طراحی و بهینه شده اند ، می توانند وظیفه خود اسکن و به روز کردن هسته ها ، قالب ها و افزونه ها را به بستر میزبان واگذار کنند. در شرایط خاص ، سرویس میزبانی می تواند عکس فوری وب سایت را قبل از بروزرسانی خودکار به شما ارائه دهد تا در صورت موفقیت آمیز بودن بروزرسانی ، بتوانید به سرعت وب سایت را به حالت قبل از بروزرسانی و اشکال زدایی بازیابی کنید. انجام دادن.

حملات DDoS یا سرویس توزیع ممنوع:

این حملات فقط مربوط به به خطر انداختن امنیت وب سایت های وردپرس نیست و همه سیستم عامل ها را پوشش می دهد. به بیان ساده تر ، حملات DDoS سیل درخواست هایی به سرویس و وب سایت شما است. این درخواست ها معمولاً از تعداد زیادی IP وجود دارد که بنام Botnet یا غیر رسمی تر ، Zombie گفته می شود. وب سایت شما پاسخ به این درخواست ها را شروع می کند غافل از اینکه این درخواست ها به وب سایت ارسال نشده اند و در نظر گرفته شده اند که مانع از پاسخگویی وب سایت به درخواست های تمیز و صحیح شوند. بسته به نوع درخواست ها ، منابع و زیرساخت های خدمات و اقدامات امنیتی موجود ، این حملات می توانند وب سایت ، سرور میزبان و به ویژه شدیدتر زیرساخت هاستینگ شما را مختل کنند. حملات DIDAS روی لایه های مختلف سکو اجرا می شود. به طور کلی اندازه این حملات به اندازه ای است که می توان بدون در نظر گرفتن لایه ای که در آن اجرا می شود ، مانع از افزونه یا پیکربندی خاصی روی سرور وب نشدید. بعضی اوقات می توان با استفاده از برخی افزونه های امنیتی مانند Wordfence از حملات کوچکتر جلوگیری کرد. اگر این حملات در لایه های پایین مانند لایه شبکه انجام شود ، طراح دیگر کاری نخواهد کرد.

حملات DDoS معمولاً برای یک هدف خاص انجام می شود. این حملات به طور کلی با هدف غیرفعال کردن یک سرویس خاص ، رقیب یا یک هدف سیاسی / اجتماعی انجام می شود. در بعضی موارد ، این حملات صرفاً یک Stage Attack هستند ، به این ترتیب که توسط هکر انجام می شود تا شما را از رویداد اصلی منحرف کند ، که می تواند دسترسی به بانک اطلاعاتی شما ، باطن و غیره باشد.

وظیفه Duloper & # 39: به طور کلی ، در این نوع حمله ، Duloper قادر به بررسی پرونده نیست.

Designer Task: حملات امنیتی ملایم توسط برخی از افزونه های امنیتی در حملات خفیف به لایه های برنامه قابل پیشگیری است.

میزبان وظیفه میزبان: در این نوع حمله ، سرور میزبان می تواند این حملات را با پهنای باند قابل قبول ، زیرساخت های سخت افزاری مناسب و استفاده از دستگاه های امنیتی مانند UTM مقابله کند.

حملات پیشرفته تر:

همچنین حملات پیچیده تری نسبت به موارد ذکر شده در بالا وجود دارد که معمولاً مختص نرم افزار وردپرس نیست. حمله هایی مانند تزریق sql ، جایی که هکر به شما امکان می دهد اطلاعات را وارد پایگاه داده خود کنید ، از این طریق به یک وب سایت و تغییر مسیر به یک صفحه خاص یا هر فعالیت مخرب دیگری حمله می کنید. یا حمله هایی مانند XSS یا Cross Site Scriptting که در آن مهاجم جاوا اسکریپت مخرب و ناایمن را در صفحه ای از سایت قرار می دهد و کد مخرب را در مرورگر و بازدید کنندگان این وب سایت اجرا می کند. .

DOLOPER TASK: معمولاً با تنظیمات خاص در لایه برنامه می توان از این حملات جلوگیری کرد.

طراح وظیفه: طراح وب سایت باید اطمینان حاصل کند که بررسی های امنیتی وب سایت وردپرس با نرم افزارهایی مانند OWASP قبل و بعد از انتشار و انتشار وب سایت انجام می شود.

وظیفه میزبانی: به طور مداوم به روزرسانی زیرساخت ها و نرم افزارها ، انجام ممیزی های امنیتی و استفاده از UTM می تواند تا حد زیادی مانع از این حملات در لایه های قبل از برنامه شود.

آسیب پذیری های صفر روز:

این نوع آسیب پذیری ها اشکالات امنیتی هستند که Duloper نمی داند. اساساً نام این دسته از آسیب پذیری ها به دلیل همین ویژگی انتخاب شده است. آسیب پذیری های صفر روزه که Duloper از آنها می داند. به عنوان مثال ، در وردپرس 2.3.1 پیش از این ، یک حفره امنیتی وجود داشت که از تأیید اعتبار کاربران جلوگیری می کرد ، اجازه می داد تا از طریق Cross Site در اسکریپت نویسی کنید. اگر نسخه وردپرس شما کمتر از 5.0 است ، این آسیب پذیری در وب سایت شما وجود دارد.

این پست را ارزیابی کنید

(کل: 3 میانگین: 5)

یک نظر بدهید

ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت گذاری شده اند *

15 − 6 =