11 دلیل اصلی برای هک شدن سایت های وردپرس (و نحوه جلوگیری از آن)
اخیراً یکی از خوانندگان ما از ما پرسید که چرا سایت های وردپرس هک می شوند.
این که متوجه شوید سایت وردپرس شما هک شده است خسته کننده است. در حالی که هکرها همه وب سایت ها را هدف قرار می دهند، ممکن است اشتباهاتی انجام دهید که وب سایت شما را در برابر حمله آسیب پذیر می کند.
در این مقاله، ما مهمترین دلایل هک شدن سایت وردپرس را به اشتراک می گذاریم تا بتوانید از این اشتباهات جلوگیری کنید و از سایت خود محافظت کنید
چرا وردپرس توسط هکرها هدف قرار می گیرد؟
اول اینکه فقط وردپرس نیست. تمام وب سایت های موجود در اینترنت در برابر تلاش های هک آسیب پذیر هستند.
دلیل اینکه وب سایت های وردپرسی یک هدف رایج هستند این است که وردپرس محبوب ترین سازنده وب سایت در جهان است . بیش از 43٪ از تمام وب سایت ها، به معنای صدها میلیون وب سایت در سراسر جهان است.
این محبوبیت بینظیر به هکرها راهی آسان برای یافتن وبسایتهایی که امنیت کمتری دارند، میدهد تا بتوانند از آنها سوء استفاده کنند.
هکرها انگیزه های مختلفی برای هک کردن یک وب سایت دارند. برخی افراد مبتدی هستند که به تازگی یاد می گیرند از سایت های با امنیت کمتر بهره برداری کنند. برخی دیگر اهداف مخربی مانند توزیع بدافزار، حمله به وب سایت های دیگر و ارسال هرزنامه دارند.
با این اوصاف، بیایید نگاهی به برخی از دلایل اصلی هک شدن سایت های وردپرسی بیندازیم تا بتوانید یاد بگیرید که چگونه از هک شدن وب سایت خود جلوگیری کنید
1. میزبانی وب ناامن
مانند همه وب سایت ها، سایت های وردپرس بر روی یک وب سرور میزبانی می شوند. برخی از شرکت های هاستینگ پلت فرم هاست خود را به درستی ایمن نمی کنند. این امر باعث می شود که تمام وب سایت های میزبانی شده روی سرورهای خود در برابر تلاش های هک آسیب پذیر باشند.
با انتخاب بهترین ارائه دهنده میزبانی وردپرس برای وب سایت خود می توان از این امر به راحتی جلوگیری کرد . سرورهای ایمن مناسب می توانند بسیاری از رایج ترین حملات به سایت های وردپرس را مسدود کنند.
اگر می خواهید اقدامات احتیاطی بیشتری انجام دهید، توصیه می کنیم از یک ارائه دهنده میزبانی مدیریت شده وردپرس استفاده کنید .
2. استفاده از رمزهای عبور ضعیف
پسوردها کلیدهای سایت وردپرس شما هستند. شما باید مطمئن شوید که از یک رمز عبور قوی و منحصر به فرد برای هر یک از حساب های زیر استفاده می کنید زیرا همه آنها می توانند دسترسی کامل هکرها را به وب سایت شما فراهم کنند.
- حساب مدیریت وردپرس شما
- حساب کنترل پنل میزبانی وب شما
- حساب های FTP شما
- پایگاه داده MySQL که برای سایت وردپرس شما استفاده می شود
- تمام اکانت های ایمیلی که برای مدیریت و هاست وردپرس استفاده می شوند
همه این حساب ها با رمز عبور محافظت می شوند. استفاده از رمزهای عبور ضعیف باعث می شود هکرها با استفاده از برخی ابزارهای هک اولیه، رمز عبور را بشکنند.
با استفاده از رمزهای عبور منحصر به فرد و قوی برای هر حساب می توانید به راحتی از این امر جلوگیری کنید. راهنمای ما در مورد بهترین راه برای مدیریت رمزهای عبور برای مبتدیان وردپرس را ببینید تا یاد بگیرند که چگونه همه آن رمزهای عبور قوی را مدیریت کنند
3. دسترسی محافظت نشده به پیشخوان وردپرس (wp-admin)
قسمت پیشخوان وردپرس به کاربر امکان می دهد تا اقدامات مختلفی را در سایت وردپرس شما انجام دهد. همچنین رایج ترین منطقه مورد حمله یک سایت وردپرس است.
محافظت نشدن آن به هکرها اجازه می دهد تا روش های مختلفی را برای کرک کردن وب سایت شما امتحان کنند. میتوانید با افزودن لایههای احراز هویت به فهرست مدیریت خود، کار را برای آنها دشوار کنید.
ابتدا باید از ناحیه مدیریت وردپرس خود با رمز عبور محافظت کنید . این یک لایه امنیتی اضافی اضافه می کند و هر کسی که سعی می کند به مدیر وردپرس دسترسی پیدا کند باید یک رمز عبور اضافی ارائه دهد.
اگر یک سایت وردپرس چند نویسنده یا چند کاربره را اجرا می کنید، می توانید رمزهای عبور قوی را برای همه کاربران سایت خود اعمال کنید. همچنین می توانید احراز هویت دو مرحله ای را اضافه کنید تا ورود هکرها به بخش مدیریت وردپرس شما دشوارتر شود
4. مجوزهای فایل نادرست
مجوزهای فایل مجموعه ای از قوانینی هستند که توسط وب سرور شما استفاده می شود. این مجوزها به وب سرور شما کمک می کند تا دسترسی به فایل های سایت شما را کنترل کند. مجوزهای نادرست فایل می تواند به هکرها امکان دسترسی به نوشتن و تغییر این فایل ها را بدهد.
تمام فایل های وردپرس شما باید دارای مقدار 644 به عنوان مجوز فایل باشند. همه پوشهها در سایت وردپرس شما باید 755 را به عنوان مجوز فایل خود داشته باشند.
5. به روز نگه نداشتن وردپرس
برخی از کاربران وردپرس از به روز رسانی وب سایت های وردپرس خود می ترسند. آنها می ترسند که انجام این کار باعث خرابی وب سایت آنها شود.
هر نسخه جدید وردپرس باگ ها و آسیب پذیری های امنیتی را برطرف می کند. اگر وردپرس را به روز نمی کنید، عمداً سایت خود را آسیب پذیر می کنید.
اگر می ترسید که به روز رسانی وب سایت شما را خراب کند، می توانید قبل از اجرای به روز رسانی یک نسخه پشتیبان کامل از وردپرس ایجاد کنید . به این ترتیب، اگر چیزی کار نکرد، می توانید به راحتی به نسخه قبلی برگردید.
میتوانید در راهنمای مبتدیان ما درباره نحوه بهروزرسانی ایمن وردپرس اطلاعات بیشتری کسب کنید .
https://www-wpbeginner-com.translate.goog/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/?_x_tr_sl=en&_x_tr_tl=fa&_x_tr_hl=en&_x_tr_pto=wapp
6. عدم به روز رسانی پلاگین ها یا تم
درست مانند نرم افزار اصلی وردپرس، به روز رسانی قالب و افزونه های شما به همان اندازه مهم است. استفاده از یک پلاگین یا تم قدیمی می تواند سایت شما را آسیب پذیر کند.
نقص ها و باگ های امنیتی اغلب در افزونه ها و تم های وردپرس کشف می شوند. معمولا، نویسندگان تم و افزونه ها به سرعت آنها را برطرف می کنند. با این حال، اگر کاربر تم یا افزونه خود را به روز نکند، هیچ کاری نمی تواند در مورد آن انجام دهد.
مطمئن شوید که قالب و افزونه های وردپرس خود را به روز نگه دارید. میتوانید نحوه بهروزرسانی صحیح وردپرس، افزونهها و تمها را در راهنمای ما بیاموزید
https://www-wpbeginner-com.translate.goog/beginners-guide/should-i-update-wordpress-or-plugins-first-proper-update-order/?_x_tr_sl=en&_x_tr_tl=fa&_x_tr_hl=en&_x_tr_pto=wapp
7. استفاده از FTP ساده به جای SFTP/SSH
اکانت های FTP برای آپلود فایل ها به سرور وب شما با استفاده از یک سرویس گیرنده FTP استفاده می شود . اکثر ارائه دهندگان هاست از اتصالات FTP با استفاده از پروتکل های مختلف پشتیبانی می کنند. می توانید با استفاده از FTP ساده، SFTP یا SSH متصل شوید.
هنگامی که با استفاده از FTP ساده به سایت خود متصل می شوید، رمز عبور شما بدون رمز به سرور ارسال می شود. یعنی می توان از آن جاسوسی کرد و به راحتی دزدید. به جای استفاده از FTP، همیشه باید از SFTP یا SSH استفاده کنید.
شما نیازی به تغییر نرم افزار کلاینتی FTP خود ندارید. اکثر نرم افزارهای FTP می توانند به وب سایت شما در SFTP و همچنین SSH متصل شوند. شما فقط باید هنگام اتصال به وب سایت خود، پروتکل را به ‘SFTP – SSH’ تغییر دهید
8. استفاده از Admin به عنوان نام کاربری وردپرس
استفاده از “admin” به عنوان نام کاربری وردپرس توصیه نمی شود. اگر نام کاربری سرپرست شما “admin” است، باید فورا آن را به نام کاربری دیگری تغییر دهید.
برای دستورالعمل های دقیق، آموزش ما در مورد نحوه تغییر نام کاربری وردپرس خود را بررسی کنید .
9. تم ها و پلاگین های نال شده
وب سایت های زیادی در اینترنت وجود دارند که افزونه ها و تم های وردپرس پولی را به صورت رایگان توزیع می کنند. ممکن است وسوسه شوید که از آن پلاگین ها و تم های نال شده در سایت خود استفاده کنید.
دانلود قالب ها و افزونه های وردپرس از منابع نامعتبر بسیار خطرناک است. آنها نه تنها می توانند امنیت وب سایت شما را به خطر بیندازند، بلکه می توانند برای سرقت اطلاعات حساس نیز مورد استفاده قرار گیرند.
شما همیشه باید افزونه ها و تم های وردپرس را از منابع معتبری مانند وب سایت توسعه دهنده یا مخازن رسمی وردپرس دانلود کنید.
اگر نمیتوانید یک پلاگین یا تم پولی بخرید، همیشه جایگزینهای رایگانی برای آن محصولات موجود است. این افزونه های رایگان ممکن است به خوبی همتایان پولی خود نباشند، اما کار را انجام می دهند و مهمتر از همه، امنیت وب سایت شما را حفظ می کنند.
10. عدم امنیت فایل پیکربندی وردپرس wp-config.php
فایل پیکربندی وردپرس wp-config.php حاوی اطلاعات ورود به پایگاه داده وردپرس شما است. اگر به خطر بیفتد، اطلاعاتی را نشان می دهد که می تواند به یک هکر دسترسی کامل به وب سایت شما بدهد.
با سخت کردن دسترسی به فایل wp-config با استفاده از htaccess. میتوانید یک لایه حفاظتی اضافی اضافه کنید . به سادگی این کد را به فایل .htaccess خود اضافه کنید.
<files wp-config.php> order allow,deny deny from all </files>
11. عدم تغییر پیشوند جدول وردپرس
بسیاری از کارشناسان توصیه می کنند که باید پیشوند جدول پیش فرض وردپرس را تغییر دهید. به طور پیش فرض، وردپرس wp_به عنوان پیشوند جداولی که در پایگاه داده شما ایجاد می کند، استفاده می کند. شما یک گزینه برای تغییر آن در طول نصب دریافت می کنید.
توصیه می شود از پیشوند پیچیده تری استفاده کنید. این کار را برای هکرها سخت تر می کند تا نام جدول پایگاه داده شما را حدس بزنند.
برای دستورالعمل های دقیق، راهنمای ما در مورد نحوه تغییر پیشوند پایگاه داده وردپرس برای بهبود امنیت را ببینید.
پاکسازی سایت وردپرس هک شده
پاک کردن سایت وردپرس هک شده می تواند دردناک باشد. با این حال، می توان آن را انجام داد.
در اینجا چند منبع برای شروع پاکسازی سایت وردپرس هک شده وجود دارد:
12 نشانه هک شدن سایت وردپرس شما (و نحوه رفع آن)
چگونه یک درب پشتی را در یک سایت وردپرس هک شده پیدا کنیم و آن را رفع کنیم