You are currently viewing در اینجا 7 حمله مهم و متداول علیه سایت های وردپرسی وجود دارد که باید در مورد آنها بدانید

در اینجا 7 حمله مهم و متداول علیه سایت های وردپرسی وجود دارد که باید در مورد آنها بدانید


60 درصد از تمام وب سایت ها بر روی وردپرس اجرا می شوند و از آنجایی که وردپرس متن باز است و می توان آن را سفارشی و بهینه کرد، می تواند در برابر نقص های امنیتی آسیب پذیر باشد. می توان گفت از هر 10 سایت وردپرسی 8 سایت دارای ریسک امنیتی متوسط ​​یا بالا هستند. به همین دلیل برای هر صاحب سایت وردپرسی بسیار مهم است که از حملات امنیتی سایت وردپرس و نحوه جلوگیری و مقابله با آنها آگاه باشد. از این رو در این پست شما را با ۷ مورد از مهم ترین و رایج ترین حملات امنیتی سایت وردپرس آشنا می کنیم و راهکارهایی برای جلوگیری از آن ها به شما ارائه می دهیم، پس تا پایان این پست با ما همراه باشید.

حملات علیه امنیت سایت های وردپرسی

در زیر لیستی از مهم ترین و رایج ترین حملات امنیتی در سایت های وردپرسی آورده شده است:

  1. نیروی بی رحم
  2. XSS
  3. تزریق SQL
  4. درب پشتی
  5. DDoS
  6. فیشینگ
  7. Hotlinking

1. حمله بی رحمانه

در یک حمله brute force، هکرها به طور مکرر سعی می کنند نام کاربری و رمز عبور را با استفاده از تولید کننده رمز عبور خودکار حدس بزنند. این نوع حمله با تلاش مکرر انواع نام های کاربری و رمزهای عبور تصادفی انجام می شود تا هکر در نهایت رمز عبور صحیح را پیدا کرده و وارد سیستم شود.

راه های مقابله با حمله خشونت آمیز

  • طول رمز عبور را افزایش دهید
  • افزایش پیچیدگی رمز عبور
  • تعداد تلاش برای ورود را محدود کنید
  • فایل htaccess را تغییر دهید
  • با استفاده از کپچا
  • احراز هویت دو مرحله ای
  • Cloudflare

2. اسکریپت بین سایتی (XSS)

Cross-Site Scripting یا به اختصار XSS یک تکنیک هک است که در آن کدهای مخرب با ورود کاربر به صفحات وب تزریق می شود و سپس توسط بازدیدکنندگان سایت مشاهده می شود. حملات XSS به طور بالقوه می توانند اطلاعات حساس را استخراج کنند، بر عملکرد وب سایت و موارد دیگر تأثیر بگذارند.

کاری که هکرها باید انجام دهند این است که هنگام استفاده از سایت، افراد را به مکانی آلوده به کدهای مخرب هدایت کنند که معمولاً payload نامیده می شود. هنگامی که این صفحه در مرورگر قربانی بارگذاری می شود، این کد مخرب بدون هیچ دانش یا دستورالعملی اجرا می شود.

زیرا هر ورودی نامعتبر کاربر بدون کد نویسی HTML مناسب می تواند منجر به حمله به سایت وردپرس شما شود. برای مقابله با این حمله، باید مطمئن شوید که هنگام نوشتن افزونه وردپرس، امنیت ورودی کاربران به خوبی تضمین می شود.

3. حمله تزریق SQL

در یک حمله تزریق SQL، عبارات SQL مخرب از طریق ورودی غیرقانونی کاربر تزریق می شود. در این حمله، هکر معمولاً می تواند داده هایی را ببیند که به طور معمول قابل بازیابی نیستند. این داده ها ممکن است شامل داده های کاربر یا هر داده دیگری باشد که برنامه به آن دسترسی دارد.

در این حمله هکر می تواند این داده ها را تغییر داده یا حذف کند و باعث تغییرات مداوم در محتوا شود. در برخی شرایط، یک هکر می‌تواند سرور اصلی یا دیگر زیرساخت‌های بک‌اند را به خطر بیاندازد. اساساً، حملات تزریق SQL را می توان برای دستکاری داده ها، استخراج اطلاعات حساس و موارد دیگر مورد استفاده قرار داد.

اولین قدمی که می توانید برای مقابله با این حمله به سایت وردپرس خود بردارید، اسکن سایت خود برای آسیب پذیری های تزریق SQL با استفاده از ابزارهای اسکن وب سایت آنلاین مانند Sucuri SiteCheck است.

4. حمله به پشت در

در یک حمله درب پشتی، کاربران مجاز و غیرمجاز می توانند به اقدامات امنیتی عادی دسترسی پیدا کرده و به یک سیستم کامپیوتری، شبکه یا برنامه نرم افزاری در سطح کاربر دسترسی پیدا کنند. پس از ورود، هکرها می توانند از یک درب پشتی برای سرقت اطلاعات شخصی و مالی، نصب بدافزار اضافی و موارد دیگر استفاده کنند.

این Backend را می توان در فایل های سرور، پایگاه داده سایت، سرویس های سرور و هنگام ایجاد یک سرویس اتصال جدید قرار داد. در این حمله، برخلاف سایر حملات سایبری که برای کاربر شناسایی می شوند، حمله درب پشتی تقریبا ناشناخته است و معمولاً به راحتی از بین نمی رود. در حمله درب پشتی، مهاجمان به سیستم شما دسترسی دارند و می توانند از راه دور کامپیوتر شما را کنترل کنند.

برای مقابله با این حمله باید اطمینان حاصل کنید که سرور شما از آنتی ویروس و فایروال برای محافظت استفاده می کند و سرور شما همیشه به روز است. همچنین مطمئن شوید که خود وردپرس و هر افزونه مرتبط با آخرین وصله های امنیتی به روز هستند.

5. حملات انکار سرویس (DDoS).

یک حمله DDoS باعث می شود یک وب سایت وردپرس در دسترس کاربران نباشد. به عنوان مثال، یک حمله DDoS ترافیک را از چندین منبع به یک وب سایت ارسال می کند و بر اتصال شبکه آن تأثیر می گذارد. در این حمله درخواست بیش از حد به سیستم ارسال می شود. این نیاز باعث می شود که منابع سیستم مانند CPU، پایگاه داده، پهنای باند و حافظه به مقدار زیادی اشغال شود.

این مقدار از منبع اشغال شده باعث اختلال در سرویس سیستم می شود. در واقع تقاضای زیاد از سیستم منجر به حجم بالایی از پردازش در آن خواهد شد. در این حمله، درخواست های زیادی از سیستم های مختلف در یک لحظه یا کمی بیشتر ارسال می شود، بنابراین به دلیل محدودیت سرور برای پاسخگویی به کاربران، اختلال ایجاد می شود.

حملات DDOS را می توان در عرض چند دقیقه یا چند روز طول کشید. برای جلوگیری و رفع این حملات می توان آدرس های IP مخرب را مسدود کرد و از بسته های امنیتی برای مقابله با آنها استفاده کرد. به روز رسانی سخت افزاری و نرم افزاری روش دیگری است که می توان برای مقابله با حملات DDos استفاده کرد.

6. حمله فیشینگ

هکرها از تکنیک فیشینگ برای جعل هویت کاربران ایمیل برای به دست آوردن اطلاعات شخصی مستقیماً از هدف استفاده می کنند. سپس از این اطلاعات برای هک کردن سایت یا ارتکاب کلاهبرداری استفاده می کنند. در این تکنیک، ایمیل هایی برای شما ارسال می شود که از شما می خواهند یک حساب کاربری برای به روز رسانی آدرس یا شماره کارت اعتباری خود ایجاد کنید.

این ایمیل ها حاوی پیوندهایی به صفحاتی هستند که صفحات ورود رسمی را تقلید می کنند و هنگام ایجاد حساب کاربری، اطلاعات نام کاربری و رمز عبور شما را به سایت هکر ارسال می کنند. برای مقابله با این حمله می توانید از فیلترهای اسپم استفاده کنید. این فیلترها می توانند اکثر ایمیل های مخرب را شناسایی کنند.

7. Hotlinking را دانلود کنید

در این تکنیک، یک وب‌سایت حمله به سایت وردپرس مستقیماً به دارایی‌های وب‌سایت مورد نظر مانند فایل‌های ویدیویی یا تصویری پیوند می‌دهد تا رتبه SEO و رسانه‌های آن را بدون استفاده از منابع سرور یا پهنای باند افزایش دهد. خود را نشان دهید. برای جلوگیری از این حمله، می توانید از یک افزونه یا CDN (شبکه های تحویل محتوا) مانند Cloudflare برای محافظت از فایل های رسانه ای خود استفاده کنید.

منبع: a2hosting.com