آسیب پذیری افزونه های وردپرس و نحوه رسیدگی به آن ها

آسیب پذیری افزونه های وردپرس و نحوه رسیدگی به آن ها

شما به سختی تلاش می کنید تا یک سایت زیبا و حرفه ای داشته باشید. حالا تجسم کنید که همه تلاش شما از بین رفته و یک هکر مرموز کل اطلاعات سایت و زحمات شما را به باد دهد. جالب است بدانید استفاده از آسیب پذیری افزونه ها یکی از ساده ترین روش های ورود هکرها به سایت های وردپرسی محسوب می شود.

به خاطر محبوبیت بالای وردپرس هکرهای زیادی جذب این سیستم مدیریت محتوا می شوند. بر اساس گزارش منتشر شده وب سایت Sucuri، در سال ۲۰۱۶، ۷۸ درصد وب سایت های هک شده ای که آن ها بررسی کرده اند وردپرسی بوده اند. همچنین طبق نظرسنجی سایت WordFence، نزدیک ۶۰ درصد هک های وردپرس به دلیل استفاده از افزونه های آسیب پذیر رخ می دهد. با بررسی این آمار متوجه می شویم که آسیب پذیری افزونه ها یکی از پر استفاده ترین تکنیک های هک وردپرس محسوب می شود.

در این مطلب به صورت کامل در مورد آسیب پذیری امنیتی افزونه های وردپرس و نحوه رسیدگی قدم به قدم به آن ها برای جلوگیری از نفوذ هکرها را توضیح می دهیم.

چرا هکرها می خواهند به سایت شما دسترسی داشته باشند؟

اگر هیچ وقت هک نشده اید، شاید برایتان سوال باشد که چرا اصلا هکرها می خواهند به وردپرس نفوذ کنند. برای یک سایت من، هک وردپرس به این دلیل بود که کدهای تبلیغاتی خود را درون سایت قرار داده و بخشی از ترافیک را به یک سایت چینی منتقل کنند.

قبل از اینکه به بررسی دلایل هک کردن وردپرس بپردازیم، باید بگوییم که در بیشتر موارد هک شدن سایت شما دلیل شخصی ندارد. زیرا بیشتر هکرها از یک آسیب پذیری شناخته شده استفاده کرده و طبق آن فعالیت می کنند. پس هک شدن سایت شما نتیجه استفاده فرصت طلبانه هکرها از آسیب پذیری افزونه ها  و هسته وردپرس است.

پس از این که یک هکر هدف آسیب پذیر خود را پیدا کرد، به چند روش از این فرصت استفاده می کند:

  • تزریق کدهایی در سایت شما برای افزایش مصنوعی سئو سایت خود
  • انتقال ترافیک سایت شما به سایت های دیگر. بدی این انتقال ها آن است که شاید شما تا زمانی که افت بازدید خود را مشاهده کردید اصلا متوجه آن نشوید.
  • نصب بدافزارها روی کامپیوتر بادیدکنندگان سایت شما
  • دزدیدن منابع سرور شما برای ارسال ایمیل های تبلیغاتی، حملات DDoS و سایر اهداف شوم.

با این تفاسیر شما نباید خود را یک طعمه برای هکرها قرار دهید. با انجام چند کار ساده می توانید مانع بروز یک آسیب پذیری افزونه در وب سایت خود شده و بسیاری از حملات را خنثی کنید.

نحوه کاهش مشکلات امنیتی مربوط به افزونه ها

با این که همیشه امکان دارد یک آسیب پذیری امنیتی در یک افزونه وجود داشته باشد که تا به حال کسی متوجه آن نشده است، اما با دنبال کردن این موارد می توانید قدم بزرگی برای افزایش امنیت وب سایت خود بردارید.

از افزونه های با کیفیت امنیتی استفاده کنید

تا به حال افزونه های زیادی را برای افزایش امنیت سایت های وردپرسی معرفی کرده ایم و راه های زیادی برای بهبود امنیت آموزش داده ایم، پس اینجا افزونه امنیتی معرفی نمی کنیم. تنها این را بدانید که استفاده از یک افزونه امنیتی با کیفیت می تواند سایت شما را در برابر تهدیدهای امنیتی مصون کند.

استفاده از افزونه امنیت ۱۰۰ درصدی ایجاد نمی کند اما به عنوان آخرین خط دفاع در برابر حمله ها بسیار کاربردی است و حتما باید از آن استفاده کنید.

آسیب پذیری های شناخته شده افزونه را بررسی کنید

اگر یک افزونه محبوب مثل Akismet را نصب می کنید می توانید این مورد را رد کنید. اما اگر قصد دارید یک افزونه جدید را نصب کنید که تنها چند هزار نصب فعال دارد، باید آسیب پذیری های احتمالی آن را بررسی کرده و بعد آن را نصب نمایید.

برای جستجو آسب پذیری های شناخته شده می توانید از وب سایت WPScan Vulnerability Database استفاده کنید. این سایت توسط WPScan مدیریت شده و تحت حمایت Sucuri قرار دارد. شما می توانید افزونه ها را بر اساس حروف الفبا مرتب کرده و یا نام افزونه را جستجو کنید:

وب سایت WPScan Vulnerability Database

این سایت هم نوع آسیب پذیری و هم تاریخ کشف آن را ارائه می دهد. همچنین نسخه حاوی آسیب پذیری در این سایت ذکر شده است. اگر افزونه مشکلات را در ورژن های جدید خود برطرف کرده است نیازی نیست نگران باشید و می توانید از آن استفاده کنید.

همیشه از آخرین نسخه افزونه ها استفاده کنید

آپدیت افزونه های وردپرس به سادگی انجام می شود. با این حال بسیاری از وب سایت های وردپرسی دارای هسته، افزونه ها و قالب های قدیمی هستند. در تحلیل سایت Sucuri بیش از ۵۵ درصد وب سایت های وردپرسی هک شده که آن ها بررسی کرده اند، از ورژن ها قدیمی(هسته، قالب و افزونه) استفاده می کرده اند.

همچنین در این بررسی مشخص شد که تنها سه افزونه باعث هک شدن ۲۵ درصد وب سایت های مورد مطالعه شده اند. این افزونه ها عبارت اند از: Gravity Forms، RevSlider و TimThumb.

تحلیل سایت Sucuri

تحلیل سایت Sucuri

پس سعی کنید جر افرادی که به دلیل استفاده از افزونه های تاریخ گذشته هک می شوند نباشید. تنها کاری که باید انجام دهید به روز رسانی مرتب افزونه ها، قالب ها و هسته وردپرس است.

فعالیت توسعه دهنده افزونه را هم بررسی کنید

قبل از نصب افزونه، به روز رسانی ها و تغییرات آن را مشاهده نمایید. فراموش نکنید که اگر افزونه از سمت توسعه دهنده آپدیت نشود، شما نیز آپدیتی دریافت نمی کنید. پس حتما مطمئن شوید که توسعه دهنده افزونه را مرتب آپدیت نماید.

به عنوان مثال در دایرکتوری افزونه وردپرس می توانید تاریخ آخرین آپدیت افزونه را مشاهده کنید:

تاریخ آخرین آپدیت افزونه

اما این تنها چیزی نیست که باید به آن توجه داشته باشید. اگر به تب Changelog هم مراجعه کنید می توانید همه تغییرات افزونه را بررسی کنید. اگر توسعه دهنده به صورت مرتب آپدیت ارائه داده است احتمال این که افزونه در آینده دچار مشکل شود کمتر خواهد شد:

تب تغییرات اخیر افزونه Changelog

از آسیب پذیری های جدید آگاه باشید

مطمئن هستم که شما هم یک فرد با مشغله کاری زیاد هستید، پس کارهای شما را بیخود زیاد نمی کنیم. سعی کنید هر چند هفته یک بار آخرین آسیب پذیری های افزونه ها را بررسی کرده و مطمئن شوید که از افزونه های آسیب پذیر استفاده نکنید.

این کار خیلی وقت شما را نمی گیرد، وب سایتی که بالاتر معرفی کردیم یعنی WPScan Vulnerability Database ، آخرین آسیب پذیری های کشف شده را هم منتشر می کند:

وب سایت WPScan Vulnerability Database

هر ماه یک یا دو بار یه این سایت سر بزنید و یک نگاه کلی به آن داشته باشید.

افزونه هایی که در دایرکتوری وردپرس نیستند را فراموش نکنید

قرار گرفتن یک افزونه در دایرکتوری افزونه های وردپرس سا سایر دایرکتوری های مطرح مثل Code Canyon امنیت افزونه را صددرصد تضمین نمی کند. اما حداقل می توان مطمئن شد که افزونه برخی از بررسی های ساده را پشت سر گذاشته است.

به عنوان مثال، افزونه های ارسال شده روی سایت WordPress.org به صورت دستی توسط انسان بررسی شده و خیلی از ان ها در صورت داشتن مشکل تایید نمی شوند.

با این حال اگر افزونه مورد نظر شما در هیچ دایرکتوری وجود ندارد اما توسط یک توسعه دهنده محبوب ایجاد شده است خیلی جای نگرانی وجود ندارد. در مورد افزونه هایی که توسعه دهنده آن ها ناشناس است خیلی دقت داشته باشید.

اگر افزونه مورد استفاده دارای آسیب پذیری بود چکار کنیم

اگر همه چیز دست به دست هم داد و مشخص شد که شما از یک افزونه دارای آسیب پذیری استفاده می کنید، باید کارهای زیر را انجام دهید:

در قدم اول، ببینید آپدیتی از طرف توسعه دهنده ارائه شده است یا خیر. به محض اینکه آپدیت جدیدی برای افزونه آسیب پذیر ارائه شد آن را بروزرسانی کنید.

قدم دوم در صورتی است که آپدیتی برای افزونه ارائه نشده باشد. در این حالت افزونه را غیرفعال کنید. می دانیم که غیرفعال کردن افزونه ها که به آن وابسته اید آسان نیست، اما اگر این کار را انجام ندهید راه را برای ورود هکرها باز گذاشته اید.

جمع بندی

بدترین کابوس هر ادمین سایتی، هک شدن است. اما با رعایت نکات ذکر شده در این مقاله، بک اپ گیری منظم و رعایت موارد امنیتی می توانید امنیت سایت وردپرس خود را افزایش داده و مانع دسترسی آسان هکرها به وب سایت خود شوید.

فراموش نکنید که:

  • همیشه آپدیت باشید
  • آسیب پذیری ها را بررسی کنید
  • افزونه های مشکوک را نصب نکنید

اگر وردپرس شما هک شده، آموزش وقتی وردپرس هک می شود : چگونه با آن برخورد کنیم ؟ را مطالعه کنید. مقاله راهنمای جامع ویرایش فایل htaccess برای افزایش امنیت وردپرس نیز حاوی نکات خوبی برای افزایش امنیت سایت های وردپرسی است.

آیا سایت شما تا به حال به دلیل آسیب پذیری افزونه ها هک شده است؟ شما برای رفع این مشکل چه کار کرده اید؟

0 پاسخ

دیدگاه خود را ثبت کنید

مطلب خاصی فکرتان را مشغول کرده است ؟
آن را با ما در میان بگذارید !

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *