یک سایت هک شده وردپرس به اندازه سرقت منزل شما آسیب رسان است. این مورد آرامش ذهنی شما را از بین خواهد برد و بر تجارت آنلاین شما تأثیر منفی بگذارد.
چرا هکرها سایت های وردپرس را هدف قرار می دهند؟ پاسخ به این سوال نسبتاً ساده است: وردپرس بزرگترین پلت فرم یا سیستم مدیریت محتوا در ایجاد وب سایت در این روزها است ، بنابراین این مورد توجه مجرمان آنلاین را به خود جلب می کند.
بنابراین ، هک چگونه می تواند بر وب سایت شما تأثیر بگذارد؟
بسته به نوع هک ، وب سایت شما ممکن است دچار هر یک از موارد زیر شود:
1- می تواند سرعت لود سایت شما را به شدت کاهش دهد و سایت بر روی هر دستگاهی به کندی لود شود.
2- می تواند به طور کامل سایت خراب شود و از کار بیفتد.
3- می تواند با توجه به داشتن دیتا تنها یک "صفحه سفید" را به نمایش بگذارد.
4- بازدیدکنندگان ورودی آن می توانند به سایر وب سایت های مشکوک هدایت شوند.
5- می تواند تمام داده های ارزشمند مشتری شما را از دست بدهد.
این لیست جامع نیست ، اما نشانه هایی از سایت هک شده وردپرسی می باشد که شما می توانید ایده بگیرید.
اکنون که دانستیم چگونه یک هک موفق می تواند بر وب سایت و تجارت آنلاین شما تأثیر بگذارد ، اجازه دهید 8 دلیل اصلی هک های WP را بررسی کرده و از آنها جلوگیری کنیم.
مانند هر وب سایت ، وردپرس نیز در یک هاست لینوکسی میزبانی می شود. متأسفانه اکثر دارندگان سایت به میزبانی که انتخاب می کنند توجه زیادی نمی کنند و ارزان ترین آن را انتخاب می کنند. به عنوان مثال ، هاست های اشتراکی مقرون به صرفه تر است و دلیل آن اشتراک گذاری منابع سخت افزاری (سی پی یو ، رم ) می باشد.
این می تواند سایت شما را به عنوان هک موفقیت آمیز در دسترسی به هر وب سایتی در سرور های اشتراکی ، در معرض هکرها قرار دهد. یک سایت هک شده می تواند پهنای باند سرور را مصرف کرده و بر عملکرد سایر سایتها تأثیر بگذارد.
تنها راه حل این مشکل انتخاب یک میزبان قابل اعتماد و یک سرور مجازی یا اختصاصی است.
اما توجه داشته باشید که شرکتی را برای خرید هاست های خود انتخاب کنید از فایروال اختصاصی برای جلوگیری از حملات DDOS (هکرها) استفاده نماید.
گذرواژه های ضعیف دلیل اصلی حملات موفقیت آمیز هکرها است که حساب شما را هدف قرار می دهد. حتی تا به امروز ، کاربران همچنان از رمزهای عبور ضعیف و رایج مانند "123456" استفاده می کنند. اگر شما یکی از آنها هستید ، وب سایت شما ممکن است دچار مشکل شود!
حدس زدن گذرواژه های ضعیف به هکرها این امکان را می دهد تا به راحتی در اکانت شما وارد شوند و در آنجا حداکثر آسیب را وارد کنند.
اما چگونه این مشکل را برطرف کنیم؟ ساده است ، اطمینان حاصل کنید که تمام کاربران حساب شما (از جمله ادمین) رمزهای عبور قوی را برای اعتبار سنجی ورود به سیستم خود پیکربندی می کنند. گذرواژه ها باید حداقل 8 حرف و ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترها باشند.
برای ایمنی بیشتر ، یک ابزار مدیریت رمز عبور نصب کنید که می تواند به صورت خودکار رمزهای عبور قوی ایجاد و ذخیره کند. یا از لینک زیر استفاده نمایید :
https://passwordsgenerator.net
نکته حرفه ای: برای تنظیم مجدد رمزهای عبور برای همه کاربران خود می توانید از یک افزونه استفاده کنید.
نرم افزار قدیمی، از جمله متداول ترین دلایل هک شدن وب سایت ها است. با وجود رایگان بودن ، اکثر کاربران سایت به دلیل ترس از بروزرسانی هایی که باعث خراب شدن سایتشان می شود ، سایت خود را به جدیدترین نسخه به روز رسانی نمی کنند.
هکرها از هرگونه آسیب پذیری یا باگ در نسخه قدیمی استفاده می کنند و باعث ایجاد مشکلاتی مانند SQL Injections ، WP-VCD Malware ، SEO Spam و سایر موارد مهم مانند هدایت وب سایت به سایت دیگری می شوند.
کاربران به بسیاری از وب سایت هایی دسترسی دارند که نسخه های زیبا و محبوب را می فروشند اما منسوخ شده هستند. گرچه استفاده از این برنامه ها رایگان است ، اما اغلب با بدافزار پر شده است. آنها می توانند امنیت کلی وب سایت شما را به خطر بیندازند و بهره برداری را برای هکرها آسان کنند.
هیچ گونه به روزرسانی در دسترس تیم توسعه دهنده آن نیست ، از این رو هیچگونه رفع مشکل امنیتی نخواهد داشت.
اما چطور این مشکل را حل کنیم؟ وقتی اعلانی درباره به روزرسانی در داشبورد خود مشاهده کردید ، سایت خود را در اسرع وقت به روز کنید و فقط پلاگین ها و تم های اصلی را از وب سایت ها و بازارهای معتبر دانلود کنید.
نکته حرفه ای: اگر نگران خراب شدن وب سایت خود ب به روزرسانی هستید ، می توانید ابتدا به روزرسانی ها را در یک سایت در حال تست آزمایش کنید.
نکته حرفه ای: اگر نمی خواهید برای پلاگین ها و مضامین پرداختی یا حق بیمه پرداخت کنید ، نسخه رایگان همان ابزارها را انتخاب کنید که دارای ویژگی های محدودی باشند اما استفاده از آنها همچنان ایمن تر از نسخه منسوخ شده است.
مشابه نکته قبلی ، هکرها از افزونه ها و تم های نصب شده منسوخ شده ، بلااستفاده جهت هک وب سایت شما نیز بهره می برند. با بیش از 55000 افزونه و تم که در دسترس هستند ، نصب پلاگین یا تم ها حتی از وب سایت های ناامن یا غیرمعتبر نیز آسان است.
بعلاوه ، بسیاری از کاربران پلاگین ها / تم های نصب شده خود را به آخرین نسخه به روز نمی کنند یا نسخه به روز شده را پیدا نمی کنند. این کار باعث می شود هکرها به راحتی کار خود را انجام دهند و سایت شما را هک کنند.
چگونه از این مشکل جلوگیری کنیم؟ همانند نسخه اصلی WP ، هر کدام یک از افزونه ها / تم های نصب شده خود را به طور مرتب به روز کنید. تمام موارد استفاده نشده را حذف و یا آن را با گزینه های بهتری جایگزین کنید.
نکته مثبت: پیشنهاد می کنیم هر هفته برای اجرای به روزرسانی ها زمان اختصاص دهید. آنها را در یک سایت تستی آزمایش کنید و سپس سایت خود را به روز کنید.
علاوه بر گذرواژه های ضعیف ، کاربران نام های کاربری مشترکی نیز ایجاد می کنند که حدس زدن آنها آسان است.
این شامل نامهای کاربری مشترک برای کاربران ادمین مانند - "مدیر" ، "مدیر 1" یا "مدیر 123" است. نام های کاربری معمول ادمین ، ورود به حساب های ادمین و کنترل پرونده های backend را در نصب WP برای هکرها آسان می کند.
چگونه از این مشکل جلوگیری کنیم؟ اگر از چنین نام های کاربری استفاده می کنید که حدس زدن آنها آسان است ، بلافاصله آنها را به یک نام کاربری منحصر به فرد تغییر دهید. ساده ترین راه برای انجام این کار از طریق ابزار مدیریت کاربر حساب میزبانی شما ، با حذف کاربر مدیر قبلی و ایجاد یک کاربر مدیر جدید با یک نام کاربری منحصر به فرد است.
برای کنترل سایت شما ، هکرها اغلب سعی می کنند به پوشه wp-admin شما در نصب نفوذ کرده و آن را کنترل کنند. به عنوان مالک وب سایت ، شما باید اقدامات لازم را برای محافظت از فهرست wp-admin خود انجام دهید.
چگونه می توانید از پوشه wp-admin خود محافظت کنید؟ ابتدا تعداد کاربران دسترسی به این پوشه مهم را محدود کنید. علاوه بر این ، برای حفاظت از رمز عبور به عنوان یک لایه امنیتی بیشتر برای دسترسی به پوشه wp-admin اقدام کنید. می توانید این کار را با استفاده از ویژگی "Password Protection Directories" cPanel در حساب میزبان وب خود انجام دهید.
نکته حرفه ای: علاوه بر این اصلاحات ، می توانید از محافظت از احراز هویت دو فاکتور (یا 2FA) برای همه حساب های مدیر خود استفاده کنید.
با نصب گواهی SSL در سایت خود می توانید وب سایت HTTP خود را به راحتی به HTTPS منتقل کنید. SSL (یا لایهامن) یک حالت امن برای رمزگذاری هر انتقال داده بین وب سرور و مرورگر مشتری است.
بدون این رمزگذاری ، هکرها می توانند داده ها را رهگیری کرده و آنها را بدزدند. به علاوه ، یک وب سایت غیر ایمن می تواند پیامدهای منفی زیادی برای کسب و کار شما داشته باشد - رتبه بندی پایین تر در جستجوگرها ، از دست دادن اعتماد مشتری یا افت در بازدیدکنندگان.
چگونه این مشکل را برطرف کنیم؟ می توانید به سرعت از شرکت میزبان یا ارائه دهندگان SSL خود گواهی SSL دریافت کنید. این کلیه داده های ارسال شده و دریافت شده توسط وب سایت شما را رمزگذاری می کند.
نکته حرفه ای: شما می توانید از جاهایی مانند Let’s Encrypt یک گواهینامه SSL رایگان دریافت کنید ، که فقط برای یک سایت مبتدی یا یک سایت کوچک کافی است.
عدم حفاظت از فایروال یکی دیگر از دلایل عمده این است که هکرها می توانند اقدامات امنیتی وب سایت را دور زده و به منابع backend نفوذ کنند. فایروال ها آخرین خط دفاعی در برابر هکرها هستند و مانند هشدار امنیتی نصب شده روی خانه شما کار می کنند. فایروال ها درخواست های وب را که از آدرس های IP مختلف از جمله آدرس های مشکوک (یا بد) وارد می شوند ، رصد می کنند.
آنها می توانند درخواست هایی را که در گذشته مخرب شناخته شده بودند شناسایی و مسدود کنند ، بنابراین از دسترسی آسان هکرها به دامنه وب سایت شما جلوگیری می کنند. فایروال های برنامه های وب می توانند حملات مختلف از جمله حملات بی رحمانه ، XSS و تزریق SQL را خنثی کنند.
نکته حرفه ای: دیوار آتش امنیت بسیار موردنیاز را تأمین می کند و اولین خط دفاعی شما است. اما مهم است که یک اسکنر بدافزار نیز نصب شده باشد.
