هک وردپرس یا پلاگین اتک؟ مسئله اینست!

سلام. یه مدت درگیر کارها بودیم و فرصت نشد مطلب بذارم. اینقدر سرم شلوغ بود با اینکه در #فریلند برنده شده بودم نتونستم توی این رویداد شرکت کنم :(

خب بریم سر اصل مطلب.

حدود یک ماه پیش یک سری از سایتها در سراسر دنیا و البته سایتهای با بازدید بالا در کشور خودمون با یه مشکل عجیب روبرو شدن. آدرس سایت رو که وارد میکردیم برای چند لحظه سایت نمایش داده میشد و بعد تغییر مسیر میداد یا اصطلاحا ریدایرکت میشد به یک سری صفحه که عمدتا صفحات فرود (لندینگ پیج) های تبلیغاتی بودن.

یا امام هشتم(ع)، سایتمون هک شد.

این همون حرفی بود ک همه میزدن (البته خارجی ها پدر، پسر، روح القُدُس میگن).

اما داستان چیز دیگه است.

اول از همه خیالتون رو راحت کنم که اگه موارد زیر رو رعایت کنید احتمال اینکه کسی بتونه وردپرس رو هک کنه بشدت پایینه:

• وردپرس رو بروز کنید (البته همیشه نسخه استیبل رو نصب کنید. حداقل 3 هفته بعد از بروز رسانی توسط وردرپرس).
• افزونه ها رو بروز کنید.
• از افزونه های نال شده استفاده نکنید (من به مارکتهای ایرانی اعتماد ندارم. نمونه اش همین اتفاقی که باعث نوشتن این مقاله شد که توضیح میدم).
• از افزونه ها برای تعیین سطوح دسترسی استفاده کنید.
• رمزهاتون رو بصورت دوره ای تغییر بدید.
• از افزونه های ورود دو مرحله ای برای پیشخوان مدیریت استفاده کنید.
• از افزونه های امنیتی استفاده کنید (در ادامه مقاله بیشتر توضیح میدم).
• رمزتون رو در اختیار افراد دیگه قرار ندید.
• اگه متخصص تر هستید، دسترسی فایلها رو چک کنید که فایلی دسترسی غیر مجازی نداشته باشه
• پیشوند پایگاه داده تون رو از حالت پیشفرض wp_ به یک ترکیب سخت تر تغییر بدید (در ادامه توضیح میدم).
• آیپی های مشکوک رو مسدود کنید (توضیح میدم).
• از هاست یا سرور مناسبی استفاده کنید.
• هر روز یا هر دو روز لاگ خطا و دسترسی سرور رو بررسی کنید.
• و همیشه یک متخصص دم دست داشته باشید.

خب برای مثال ما یکی از این موارد رو انجام ندادیم و سایتمون آلوده شد. مشکل از افزونه پیشنهادات هوشمند ووکامرس بود که از یکی از مارکتهای معروف ایرانی تهیه شده بود متاسفانه.

این افزونه باگ امنیتی داشت و گروهی از هکرها این باگ رو شناسایی کرده بودن. با تزریق یک سری کد آدرس سایت خودشون رو در آخر آدرس اصلی سایت قرار میدادن و در نتیجه بعد از لود صفحات، ریدایرکت میشد به سایتشون و یک تسک هم تنظیم شده بود تا هر چند ساعت این کار رو تکرار کنه. این داکیومنت وردپرس در مورد برنامه نویسی و تنظیم رویدادها برای اجرا در زمان معین شده هست که برنامه نویس های عزیز میتونن مطالعه کنن.

خب باید رویداد رو حذف میکردیم و اصلاحاتی رو هم روی دیتابیس انجام میدادم که چون یه مقدار تخصصی تر هست بعدا در یک مقاله دیگه عنوان میکنم.

از افزونه ها برای تعیین سطوح دسترسی استفاده کنید:

بهترین افزونه ای که در این زمینه هست این افزونه هست که به شما امکان ایجاد سطوح دسترسی مختلف رو میده و میتونید مشخص کنید چه نقش کاربری به چه قسمتی از منوها، پست تایپها و ... دسترسی داشته باشه. کار باهاش ساده است ولی اگه موردی بود کامنت بذارید توضیح میدم.

از افزونه های امنیتی استفاده کنید:

بهترین افزونه در این زمینه هم این افزونه هست. بعد از نصب یک اسکن انجام بدید و چک کنید که فایلهای حیاتی و سیستمی هسته وردپرس تغییر نکرده باشه. این افزونه قابلیت بلاک کردن آیپی های مشکوک رو داره که از چندین منبع اونها رو دریافت میکنه و بشدت باعث بالا رفتن امنیت میشه.

فقط سعی کنید اگه از بعضی از تنظیمات سر در نمیارید زیاد تغییر ندید چون بعضا با تنظیم اشتباه سایت مپ و یا فایل های دیگه رو ممکنه خودتون با مشکل مواجه کنید که باعث مشکلاتی در زمینه کاربری و سئوی سایت میشه.

حرف آخر

دوست داشتم مطلب جامعتری بنویسم ولی همین مطلب هم بصورت پیش نویس 6 ماه پیش تا حالا مونده بود و خواستم فعلا منتشر کنم تا شاید کمکی بکنه ولی در مقالات بعدی هم در مورد امنیت وردپرس برای وبمسترها بیشتر توضیح میدم و هم برای افرادی که کدنویسی میکنن.

روشهای جلوگیری از تزریق کد، بررسی مقادیر ارسالی در ریکوئست هایی که با ایجکس ارسال میشن و کلا هر چیزی مربوط به برنامه نویسی میشه.

ولی برای وبمسترها و مدیران مجموعه ها هم که تخصص کمتری دارن مطالب خوبی رو عنوان خواهم کرد که قطعا برای یه کسب و کار مثل اکسیژن برای حیات ضروری هست، پس اگه موردی هست کامنت کنید تا در مطالب بعدی اونها رو هم بهشون بپردازم.

ممنونم که وقت گذاشتید و این مطلب رو مطالعه کردید.