چگونه به سایت وردپرسی شما حمله می شود ؟

چگونه به سایت وردپرسی شما حمله می شود ؟

اینکه یک هکر چگونه به سایت وردپرسی شما حمله می کند ، شامل دو مرحله اصلی است.

در مرحله اول وی تلاش می کند تا در مورد وب سایت شما تا جای ممکن اطلاعات به دست آورد.

در مرحله بعد از این، اطلاعات به منظور حمله به سایت وردپرسی و در اختیار گرفتن کنترل سایت استفاده می کند.

حمله به سایت وردپرسی

جمع آوری اطلاعات:

در این مرحله ،هکر تلاش می کند تا کلیه نرم افزارهایی که شما برای راه اندازی وب سایت خود استفاده می کنید را شناسایی کرده و نسخه آن را تشخیص دهد.

همچنین نسخه وردپرس شما را شناسایی می کند.

چرا که بر روی اینترنت می توان به راحتی فهرستی از کلیه نرم افزارها به همراه شماره نسخه و حفره های امنیتی موجود در آن نسخه یافت.

حتی نرم افزارهایی که برای مدیریت پایگاه داده خود نصب می کنید مانند phpmyadmin می تواند مورد هدف واقع شود.

یا اگر برای پشتیبان گیری از سایت، تمامی فایل ها را در یک زیرشاخه کپی می کنید،

باید بدانید که این فایل ها روی وب قابل دسترس هستند و

میتوان با استفاده از  آنها اسکریپت های مخرب اجرا کرد.

همچنین هکرها تلاش می کنند تا کلیه افزونه ها و پوسته های نصب شده در وب سایت شما را شمارش

کرده و نسخه آن را تشخیص دهند.

تذکر: همواره سعی کنید تمامی نرم افزارهای نصب شده روی وب سایت خود را بروز نگه دارید و از نرم افزارهایی مانند Wordfence برای مخفی کردن نسخه برنامه های نصب شده استفاده کنید.

علاوه بر آن wordfence قابلیت مفید دیگری نیز در اختیار شما قرار میدهد که هر زمان نسخه وردپرس یا پوسته و افزونه های نصب شده شما نیاز به ارتقا داشت، از طریق ایمیل به شما اطلاع می دهد.

مرحله بهره برداری از اطلاعات و حمله به سایت وردپرسی :

این مرحله، نسبت به مرحله قبل آسان تر است،

چراکه اطلاعات زیادی در مورد نسخه های مختلف نرم افزارها و آسیب پذیری های آن وجود دارد.

بنابراین کار دشواری پیش روی هکرها نخواهد بود.

حمله به سایت وردپرسی می تواند از قسمتهای مختلف صورت گیرد از جمله:

صفحه ورود:

این صفحه یکی از شایع ترین هدف های حمله است. ربات هایی وجود دارند که در این صفحه شروع به حدس زدن رمز عبور می کنند.

به این حملات، بروت فورث ۱۵ گفته می شود.

کدهای PHP:

کدهای PHP مختلفی که در سایت شما قرار دارد از جمله خود وردپرس، پوسته ها، افزونه ها و هر برنامه ای که روی سایت شما نصب شده است می تواند آسیب پذیر باشد.

روش های این نوع از حمله به سایت وردپرسی که در مرتبه دوم از شیوع قرار دارد .

بسیار متنوع و گسترده است.

ارتقای سطح دسترسی:

در این روش، هکر در سایت شما به عنوان یک کاربر معمولی و با سطح دسترسی پایین ثبت نام می کند.

البته چنانچه امکان ثبت نام را فعال کرده باشید.

سپس تلاش می کند با سوء استفاده از باگ های نرم افزاری، به سطح دسترسی بالاتری مانند مدیر سایت، ارتقا پیدا کند.

برنامه های وب قدیمی یا محافظت نشده:

ممکن است شما نسبت به امنیت وردپرس خود محتاط بوده و تمام موارد امنیتی را رعایت کرده باشید.

در این صورت هکر به دنبال سایر نرم افزارهای نصب شده می گردد که ممکن است به روزرسانی نشده و آسیب پذیر باشند.

سرویس XMLRPC:

این سرویس می تواند به هکر امکان انجام حمله ی، حدس رمزعبور بدهد.

این سرویس در گذشته به حمله کنندگان اجازه می داد از طریق سایت شما به سایر سایت ها حمله کنند.

با این حال قابلیت های خیلی خوبی در اختیار می گذارد که باعث

میشود غیرفعال کردن آن کار درستی به نظر نیاید.

دسترسی از طریق فایل های موقتی:

شما ممکن است روی وب سایت خود اقدام به ویرایش یک سری از فایل ها مانند wp – config . php بکنید.

در بعضی از نرم افزارهای ویرایش متن مانند vim، این امر موجب ایجاد شدن فایل های موقتی می شود که به صورت عمومی در دسترس خواهند بود و شامل اطلاعات ورود به پایگاه داده شما هستند.

هکرها به دنبال این فایل ها می گردند و از آن سو استفاده می کنند.

فایل های config در مخازن کد منبع:

مخازن کد مانند گیت هاب و ساب ورژن،

فایل هایی می سازند که حاوی اطلاعات حساسی است. اگر اجازه دهید این فایل ها به صورت

عمومی در دسترس باشند بهترین گزینه برای نفوذگران خواهند بود.

میزبان های اشتراکی:

برخی از میزبانها برای کاهش هزینه ها، فایل های وب سایتهای مختلف را به صورت اشتراکی ذخیره می کنند.

چنانچه همراه سایت شما یک سایت مخرب قرار داشته باشد، سایت شما به راحتی مورد تهاجم واقع خواهد شد.

راه هایی که یک هکر می تواند به سایت شما نفوذ کند بسیار زیاد است.

بنابراین سعی کنید همواره از نسخه نرم افزارهای خود آگاه باشید و مطمئن باشید که آسیب پذیری خاصی در آن وجود نداشته باشد.

چگونه از خود در برابر حملات محافظت کنید؟

موارد زیر را همواره رعایت کنید تا سایت شما ایمن بماند:

برای تمام کاربران از رمزعبور قوی استفاده کنید.

میزبانی را برگزینید که دارای معروفیت و اطمینان کافی باشد و چنانچه جزو میزبانهای

اشتراکی است، در آن وب سایت های مختلف از یکدیگر ایزوله باشند.

وردپرس، افزونه ها و پوسته های خود را بروز نگه دارید. .

از یک سیستم محافظت در برابر نفوذ مانند Wordfence استفاده کنید.

کلیه برنامه های قدیمی و بروز نشده، همچنین نسخه های اضافی از پشتیبان ها را از روی وب سایت خود حذف کنید.

اطمینان حاصل کنید که هیچ گونه فایل موقتی با محتوای حساس روی سایت شما قرار ندارد.

اطمینان حاصل کنید که هیچ فایل حساسی را روی مخازن کد به صورت عمومی قرار نداده باشید.

منبع:کتاب امنیت تمام قوا در وردپرس – دیباگران تهران

درحال ارسال
امتیاز دهی کاربران
0 (0 رای)
برچسب‌ها:, , , , ,

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.