هک سایت وردپرسی، سکوت شومی است که طوفانی از ناامنی را در آینده خبر می‌دهد. باوجود پیشرفت‌های چشمگیر وردپرس در زمینه امنیت، هکرها نیز به‌صورت مداوم درحال ارتقاء روش‌ها و ابزارهای خود برای نفوذ به سایت وردپرسی هستند.

وردپرس، غول دنیای سیستم‌های مدیریت محتوا، با قدرتی بی‌نظیر، وبسایت‌های بی‌شماری را بر روی شانه‌های خود حمل می‌کند. در ظاهر، این سایت‌ساز محبوب، پرچم امنیت را به اهتزاز در می‌آورد و با وعده‌هایی از حفاظت و صیانت، صاحبان وبسایت‌ها را به سوی خود می‌کشاند. اما در دنیای وب، این امنیت مطلق، به‌یک تار مو بند است و با کوچک‌ترین سهل‌انگاری پاره می‌شود.

امروز در این مقاله، قصد داریم به نشانه‌ها، دلایل، روش‌ها و راه‌های جلوگیری از هک سایت‌ وردپرسی بپردازیم و در انتها به 4 نکته امنیتی که بسیاری از صاحبان سایت‌های وردپرسی از آن بی‌خبر هستند، اشاره خواهیم کرد.

شاه وردپرس همراه شماست

تیم شاه وردپرس، از دغدغه‌ها و نگرانی‌های مدیران سایت وردپرسی به خوبی آگاه است و می‌داند که بسیاری از آنها در مدیریت سایت و حفظ امنیت آن، با چالش روبه‌رو هستند. به همین دلیل با تلاش فراوان علاوه بر انتشار مقالات آموزشی متنوع، با ارائه خدمات تخصصی پشتیبانی سایت وردپرسی همراه همیشگی شماست.

منظور از هک سایت وردپرسی چیست؟

هک وردپرس، به معنای نفوذ غیرمجاز به سایت‌ هایی که با وردپرس طراحی شده اند  می‌باشد که به جهت سوءاستفاده از آن‌ها برای اهداف مخرب و متفاوت است. هکرها با استفاده از روش‌های مختلفی مثل تزریق کد، حملات فیشینگ، استفاده از درب پشتی! و بسیاری از ابزارهای مخرب، می‌توانند به سایت‌های وردپرسی نفوذ کنند.

اهداف اصلی هکرها برای هک سایت وردپرسی

برخی از آنها به دنبال سرقت اطلاعات حساس مثل، اطلاعات بانکی یا اطلاعات شخصی کاربران هستند. بعضی از آنها از سایت‌های وردپرسی هک‌شده برای انتشار محتوای دلخواه، مخرب یا تبلیغاتی استفاده می‌کنند. افرادی نیز وجوددارند که فقط برای جلب توجه و خودنمایی اقدام به هک سایت وردپرسی می‌کنند.

عموماً هکرها، افراد تازه‌کاری هستند که به‌دنبال آموزش هک سایت وردپرسی برای حرفه‌ای‌تر شدن می‌باشند. بیشترین حملات آنها به منابع هاستینگ وبسایت‌ها است، از این‌رو استفاده از یک هاست مطمئن و مناسب بسیار حائز اهمیت است.

از دیگر دلایل مهم هکرها برای هک سایت ‌های وردپرس می‌توان به موارد زیر اشاره کرد:

• ارسال ایمیل‌های اسپم سمت سایت
• تغییر ظاهر سایت جهت سرگرمی
• آلوده کردن سایت با بدافزار جهت تسهیل آسیب‌ به سیستم کاربر

نکته مهم:  برخلاف تصور بسیاری از کاربران سایت، هکرها بیشتر سراغ سایت‌های تازه تاسیس و سایت‌هایی که از نظر امنیتی ضعیف هستند می‌روند تا با تلاش کمتری به اهداف خود برسند.

عواقب تلخ هک سایت وردپرسی، کابوس مدیران سایت

بزرگترین کابوس هر مدیر سایت وردپرسی، هک شدن و نابودی کسب‌وکارش است. این کابوس می‌تواند خسارات مالی یا غیرمالی جبران ناپذیری به بار آورد. اما عواقب هک سایت وردپرس می‌تواند فراتر از تاریکی و وحشت اولیه باشد. از جمله این عواقب می‌توان به موارد زیر اشاره کرد:

• از دست رفتن تمامی اطلاعات سایت

بعداز نفوذ به سایت وردپرسی، هکرها به‌راحتی به تمامی اطلاعات شخصی و کاربران سایت دسترسی دارند. این موضوع خسارت‌های جبران ناپذیری به‌همراه دارد.

• عدم فعالیت وبسایت

هکرها می‌توانند با نفوذ به سایت وردپرسی شما، آن را به‌طور کامل از کارانداخته و عملکرد آن را مختل کنند. این مورد علاوه بر ضرر مالی، باعث ازدست رفتن مشتریان و اعتبار کسب‌وکارتان می‌شود.

• آسیب جدی به سئوسایت

با هک شدن سایت وردپرسی و تغییر و تحول در عملکرد سایت، به سئو و رتبه‌بندی سایت شما در گوگل آسیب جدی خواهد رسید.

• بی‌اعتمادی کاربران به شما

هک شدن سایت وردپرسی می‌تواند اعتماد کاربران را نسبت به شما از بین ببرد و باعث هدایت آنها به سمت رقیبانتان شود.

• جریمه‌های امنیتی

در برخی از موارد، هک شدن سایت شما می‌تواند منجربه جریمه‌های قانونی و مقرراتی شود. به‌عنوان مثال اگر اطلاعات کاربران شما به‌هر نحوی سرقت رفته باشد، ممکن است مشمول جریمه‌های سنگین مربوط به نقض داده‌ها شوید.

نشانه‌های هک شدن سایت وردپرسی

نشانه‌های مختلفی وجود دارد که نشان می‌دهد سایت وردپرسی شما ممکن است هک شده باشد. شناخت این نشانه‌ها یکی از موارد مهم در جلوگیری از هک سایت وردپرسی است. برخی از این نشانه‌ها عبارتند از:

• عدم ورود به سایت
• کندی غیرمعمول سایت
• مشاهده محتوای عجیب و مخرب
• دریافت ایمیل مبنی‌بر هک سایت وردپرسی
• مشاهده ترافیک غیرمعمولی در سایت
• تغییر ناگهانی رتبه‌بندی سایت بدون انجام کارخاصی
• ورود اعضای جدید با نقش مدیرکل
• وجود فایل‌های مخرب در هاست
• عدم دریافت یا ارسال ایمیل
• قرارگرفتن سایت در لیست سیاه

در ادامه به بررسی هر یک از نشانه‌ها و راه‌حل آنها می‌پردازیم.

بررسی نشانه‌های هک وردپرس و راه‌حل آنها

از مهم‌ترین اقدامات مهم در آموزش هک سایت وردرپرسی، آشنایی با علائم هک شدن سایت است.

• عدم ورود به پیشخوان وردپرس

اگر نمی‌توانید وارد سایت وردپرسی شوید، ممکن است هکر رمزعبور شما را تغییر داده باشد. در غیر این صورت می‌توانید از مقاله حل مشکل ورود به پیشخوان وردپرس برای ورود به سایت استفاده کنید.

راه‌حل: از طریق ایمیل یا هاست خود اقدام به تغییر رمز یا ساخت حساب کاربری جدید کنید.

• کندی و بی‌ثباتی غیرمعمول

اگر وبسایت شما با کندی شدید و بی‌ثباتی مواجه است، ممکن است هکرها با استفاده از هرزنامه یا بدافزار باعث این مشکل شده‌باشند.

راه‌حل: بررسی سرعت اینترنت و سایت، خاموش‌بودن ابزارهای تغییردهنده آی‌پی، بررسی محتواها و کامنت‌های سایت

• مشاهده محتوای عجیب در سایت

اگر محتواهای عجیب در سایت وردپرسی خود مشاهده کردید، امکان اضافه‌کردن کدهای مخرب توسط هکر وجود دارد.

راه‌حل: سایت خود را با ابزارهای آنلاین یا افزونه‌های امنیتی اسکن کنید، به‌دنبال کدهای غیرمعمول در وبسایت باشید. لینک‌های موجود در هدر و فوتر را بررسی کنید، مطمئن شوید پاپ‌آپی در سایت ساخته نشده‌است.

• دریافت ایمیل‌های مبنی‌بر هک‌شدن سایت

اگر ایمیل‌هایی مبنی‌بر هک‌شدن سایت دریافت می‌کنید، این نشان از هک‌شدن قطعی سایت شماست.

راه‌حل: بکاپ‌گیری از سایت، ارسال تیکت به پشتیبانی هاست، استفاده از خدمات پشتیبانی شاه وردپرس

• مشاهده ترافیک غیر معمولی

اگر ترافیک غیر معمولی در سایت مشاهده می‌کنید، ممکن‌است است هکر از آن برای میزبانی بدافزار یا ارسال هرزنامه استفاده کند.

راه‌حل: وارد سایت google transparency report ، بخش safe browsing شوید و از امن بودن بازدید سایت‌تان مطمئن شوید.

• تغییر ناگهانی در نتایج و رتبه بندی

این مورد دلایل زیادی می‌تواند داشته باشد و باید تخصصی‌تر بررسی شود. اما ممکن است به دلیل هک سایت نیز رخ دهد.

راه‌حل: بررسی دقیق لینک‌ها و صفحات سایت با استفاده از سرچ کنسول

• اعضای جدید( کاربران نامشخص)

ثبت‌نام کاربران با نام کاربری عجیب، ورود اعضای جدید با نقش مدیرکل

راه‌حل: تغییر آدرس ورود به پیشخوان وردپرس، اعمال محدودیت برای ورود به سایت، حذف اعضای مشکوک، تغییر رمزعبور و نام کاربری سایت

• وجود فایل‌های مشکوک در هاست

اگر در هاست خود فایل یا فولدری مشکوک مشاهده کردید که متعلق به وردپرس نیست، امکان هک‌شدن سایت وجود دارد.

راه‌حل: اسکن فوری سایت، ارسال تیکت به پشتیبانی هاست، حذف فایل مخرب، بررسی دقیق فایل‌های مهم وردپرس.

• عدم دریافت یا ارسال ایمیل در وردرپس

در بعضی مواقع به‌دلیل نفوذ هکرها به سایت، قابلیت ارسال و دریافت ایمیل توسط آنها غیرفعال می‌شود.

راه‌حل: قابلیت ایمیل وردپرس را با ابزارهای مختف بررسی کنید و با پشتیبانی سایت در ارتباط باشید.

• قرارگرفتن سایت در لیست سیاه

اگر سایت شما در لیست سیاه قرار گرفته باشد، به‌این معنی است که به‌عنوان یک سایت مخرب شناخته شده‌است و عموماً کاربران نمی‌توانند به آن دسترسی داشته‌باشند.

راه‌حل: آخرین راه‌حل برای برطرف کردن این مورد، تغییر دامین و هاست سایت است.

15 دلایل نفوذ آسان هکرها به سایت وردپرسی شما

در ادامه مقاله، به بررسی دلایلی که باعث هک سایت وردپرسی شما می‌شوند می‌پردازیم. موارد زیر، از مهم‌ترین دلایل اصلی نفوذ راحت هکرها و ربات‌ها به سایت شما هستند. با آگاهی از این دلایل، می‌توانید اقدامات لازم را برای پیشگیری از هک‌شدن سایت وردپرسی خود انجام دهید.

• استفاده از رمز عبور ضعیف
• عدم به‌روزرسانی وردپرس، افزونه‌ها و قالب سایت
• نصب افزونه و قالب‌های نال‌شده
• عدم استفاده از افزونه‌های امنیتی
• استفاده از هاست نامناسب و نامعتبر
• عدم استفاده از گواهی ssl
• تغییرندادن نام کاربری پیش‌فرض وردپرس
• فعال‌نکردن احراز هویت دو مرحله‌ای
• عدم استفاده از فایروال
• به‌اشتراک‌گذاری اطلاعات ورود به پیشخوان وردپرس
• کلیک‌کردن روی لینک‌های مشکوک
• نادرست‌بودن مجوز فایل‌های وردپرس
• امن نبودن فایل wp-config.php
• تغییرندادن پیشوند پیش‌فرض جداول وردپرس
• آگاهی نداشتن از آخرین تهدیدات امنیتی

در ادامه به توضیح کوتاهی از هریک از دلایل فوق می‌پردازیم، تا بتوانید درحد مناسب وبسایت وردپرسی خود را امن کنید.

چرا سایت‌های وردپرسی شما هک می‌شود؟

• استفاده از رمزعبورهای ساده و ضعیف

داشتن رمزعبور ضعیف برای بخش‌های مهم سایت، مثل ورود به پیشخوان، ورود به کنترل پنل هاست، حساب‌های کاربری ftp و ایمیل‌ها از موارد مهم هک‌شدن سایت شماست. حدس زدن رمزعبور شما، اولین چیزی است که هکرها امتحان می‌کنند.

• به‌روز نکردن وردپرس، افزونه‌ها و قالب سایت

به‌روزرسانی‌ها اغلب شامل وصله‌های امنیتی برای رفع نقاط ضعف شناخته شده است. اگر وردپرس، افزونه‌ها و قالب‌های خود را به‌روز نکنید، هکرها از نقاط ضعف آنها برای نفوذ به سایت استفاده می‌کنند.

• نصب افزونه و قالب‌های نال‌شده(رایگان)

ضربه‌ای که افزونه‌ها و قالب‌های نامعتبر به سایت شما می‌زنند، بدتر از هک‌شدن سایت است! تا حدممکن سراغ افزونه‌های پرمیومی که بعضی سایت‌ها به‌رایگان دراختیارتان می‌گذارند، نروید. خصوصاً افزونه‌هایی که آپدیتی برایشان انجام نمی‌شود.

• عدم استفاده از افزونه‌های امنیتی

افزونه‌های امنیتی مختلفی هستند که می‌توانند به محافظت از وبسایت شما در برابر نفوذ هکر‌ها کمک کنند. افزونه امنیتی وردفنس پیشنهاد ما به شماست.

• استفاده از هاست ناامن و نامعتبر

تاحدامکان سراغ هاست‌های ارزان، رایگان یا نامحدود نروید. اکثر شرکت‌هایی که این نوع هاست‌ها را دراختیارتان می‌گذارند، از امنیت هاست غافل هستند. اگر به‌دنبال شرکت معتبر و امنی برای هاست سایت وردپرسی خود هستید در بخش دیدگاه‌ها کامنت بگذارید.

• عدم استفاده از گواهی ssl

گواهی ssl ترافیک بین سایت و مرورگر بازدیدکنندگان شما را رمزنگاری می‌کند و می‌تواند به جلوگیری از هک شدن سایت و حتی اطلاعات کاربران کمک کند.

• تغییرندادن نام‌کاربری پیش‌فرض وردپرس

اگر همچنان نام‌کاربری پیشخوان وردپرس، admin است سریعاً برای تغییر آن اقدام کنید.

• استفاده نکردن از احراز دومرحله‌ای

در اکثر افزونه‌های امنیتی بخشی برای فعال‌سازی احراز هویت دومرحله‌ای وجود دارد. حتماً آن‌ را فعال کنید.

• عدم استفاده از فایروال

فایروال، ترافیک ورودی به سایت وردپرسی شما را فیلتر کرده و از دسترسی هکرها به سایت جلوگیری می‌کند.

• به‌اشتراک‌گذاری اطلاعات ورود به مدیریت سایت

تاحد امکان اطلاعات ورود به پنل مدیریت سایت خود را با هیچ‌کس به‌اشتراک نگذارید. مگر افرادی که پشتیبانی سایت و ابزارهای شما را برعهده دارند.

• کلیک روی لینک‌های مشکوک

روی لینک‌های مشکوکی که از طریق ایمیل، شبکه‌های اجتماعی یا کامنت‌های سایت دریافت می‌کنید کلیک نکنید. اکثر لینک‌ها حاوی کدهای مخرب هستند.

• نادرست بودن مجوز فایل‌های وردپرس

مجوز و سطح دسترسی فایل‌ها در وردپرس باید 644 و فولدرها 755 باشد. نادرست‌بودن این مجوزها امکان ویرایش و اصلاح فایل‌ها را به هکرها می‌دهد.

• امن‌نبود فایل مهم وردپرس

wp-config.php از مهم‌ترین فایل‌های وردپرس است که شامل اطلاعات دیتابیس و بسیاری از تنظیمات مهم سایت است. اگر از افزونه‌ امنیتی استفاده می‌کنید خیالتان بابت محافظت از این فایل راحت باشد. در غیراین صورت کد زیر را در فایل htaccess قراردهید.

<files wp-config.php>

Order allow,deny

Deny from all

</files>

• عدم تغییر پیشوند جداول وردپرس

پیشوند پیش‌فرض وردپرس _wp است که توصیه می‌کنیم از پیشوند پیچیده‌تری استفاده کنید. اگر درهنگام نصب وردپرس این پیشوند را تغییر نداده‌اید، از افزونه‌های امنیتی برای تغییر آن استفاده کنید.

• عدم آگاهی از تهدیدات امنیتی

هکرها دائماً روش‌های جدیدی برای هک‌کردن سایت ابداع می‌کنند. مهم‌است که از آخرین تهدیدات امنیتی، خصوصاً مرتبط با افزونه‌های وردپرس آگاه باشید.

روش‌های نفوذ هکرها به سایت وردپرسی

قبل‌از اینکه سراغ روش‌های هک شدن سایت وردپرسی برویم، این نکته را درنظر داشته باشید که، هکرها به‌طور دائم درحال آپدیت خود و ابداع روش‌های جدید برای نفوذ به سایت هستند. پس نمی‌توان گفت مواردی که در ادامه گفته می‌شود جامع و کامل است.

برخی از رایج‌ترین روش‌های نفوذ هکرها به سایت‌های وردپرسی عبارتند از:

• حملات بروت فورس

هکر، از نرم‌افزار برای حدس زدن نام‌کاربری و رمزعبور شما استفاده می‌کند که این‌مورد به‌صورت متعدد اتفاق می‌افتد.

• تزریق کد

در این روش، هکر از ضعف‌های امنیتی سایت استفاده کرده و کدهای مخربی را به سایت تزریق می‌کند.

• استفاده از بدافزار

هکرها می‌توانند بدافزار با به افزونه‌ها، قالب و فایل‌های هسته وردپرس تزریق کنند. این بدافزار، اطلاعات شما را سرقت می‌کند، به سایت شما اسپم ارسال می‌کنند و از طریق شما به سایر سایت‌ها حمله می‌کنند.

• سوء استفاده از حفره‌های امنیتی

وردپرس هرچند وقت یکبار آپدیت می‌شود و حفرهای امنیتی را ازبین می‌برد. استفاده از نسخه‌های قدیمی وردپرس سایت شما را در خطر هک قرار می‌دهد.

• حملات XSS

در این حمله، کدهای مخرب جاوا اسکریپت به صفحات وب تزریق می‌شوند و زمانی که کاربر از آن صفحه بازدید می‌کند، کد اجرا شده و اطلاعات آن سرقت می‌رود.

• حملات CSRF

بعضی مواقع بدون آن‌که کاربر آگاهی داشته باشد، کارهایی در سایت انجام می‌دهد که به نفع هکر است. این نوع حمله فریبکارانه، csrf نام دارد.

• مسمومیت حافظه پنهان

در این روش، هکر با استفاده از کد مخربی که در حافظه پنهان مرورگر ذخیره می‌کند، پس از بازدید کاربر از سایت وردپرسی و اجرای کدمخرب، آسیب جدی به سایت می‌زند.

• حملات فیشینگ

این نوع حملات، به‌شدت زیاد شده‌اند. در این نوع حمله، هکر ایمیل یا پیامی که حاوی لینک است را برای شما ارسال کرده تا اطلاعات شما را دریافت کنند. عموماً این لینک‌ها به صفحات جعلی هدایت می‌شوند که بسیار مشابه سایت‌های وردپرسی هستند.

• حملات DDOS

در روش ddos، هکر با ارسال حجم بسیار زیادی از ترافیک فیک به سمت سرور شما، آن را از کار می‌اندازند.

• مهندسی اجتماعی

این نوع حملات، عموماً با فریب‌کاری از سمت هکر اتفاق می‌افتد. در این روش هکر شما را به انحام کاری که به نفعش است، وادار می‌کند. مانند: دریافت اطلاعات شخصی

• روش درب پشتی یا backdoor

در این روش هکرها می‌توانند برای دسترسی به سایت شما از درب پشتی استفاده کنند. درب پشتی نوعی کد مخرب است که به هکر اجازه می‌دهد بدون نیاز به نام کاربری و رمزعبور شما، به سایت شما وارد شود.

نکته مهم برای طراحان سایت وردپرس: بعضی مواقع طراحان سایت نیاز دارند که از این روش در پروژه‌های خود استفاده کنند. نه برای سوءاستفاده از کارفرما، بلکه گرفتن حق خود.

• حمله زنجیره تامین

در این نوع حمله، هکر یک افزونه یا قالب وردپرس را آلوده کرده و سپس در مخزن وردپرس یا سایت شخص ثالثی منتشر می‌کند. زمانی که کاربران این افزونه یا قالب را نصب می‌کنند، سایت آنها نیز آلوده می‌شود.

• حمله man in the middle

هکر، از طریق قرارگیری بین شما و سایت وردپرسی می‌تواند ترافیک شما را رهگیری و دستکاری کند.

• تهاجم ژاپنی

در این نوع حملات، که نوعی اسپم سئو حساب می‌شود. لینک‌های صفحات شما به‌صورت حروف ژاپنی در موتورهای جست‌وجو نمایش داده می‌شود. رفع سریع این نوع حملات بسیار اهمیت دارد.

 4 نکته مهم امنیتی که از آن بی‌خبرید!

در کنار تمامی مواردی که از ابتدای مقاله به آن اشاره کردیم، نکاتی نیز وجود دارند که درصورت رعایت نکردن آنها، هک سایت وردپرسی را آسان می‌کند.

یک سری از فایل‌ها وجود دارند که بعداز نصب وردپرس در هاست قرار می‌گیرند. بعضی از آنها پنهان و بعضی‌ها هم به‌راحتی قابل دسترس هستند. شما به عنوان مدیرسایت وردپرسی باید سریعاً نسبت به پنهان‌سازی یا حذف این فایل‌ها اقدام کنید.

از جمله تنظیمات امنیتی مهم در وردپرس:

• پنهان کردن فایل‌های readme.html و license.txt
• حذف فایل‌های php و installer-helper.php
• مسدودکردن فایل php
• رفع باگ wp-json/wp/v2/users

حذف و مسدودکردن فایل‌های readme.html و license.txt

زمانی که این دو فایل در هاست وجود داشته باشند، هکرها می‌توانند با قراردادن آنها در انتهای url سایت به اطلاعاتی درباره نسخه وردپرس شما دست‌ پیدا کنند. برای حذف و مسدودکردن این دوفایل در سی‌پنل طبق روش زیر عمل کنید:

• وارد سی پنل شوید.
• از بخش file manager وارد پوشه public_html شوید.
• فایل‌های html و license.txt را حذف کنید.
• اگر این دوفایل را مشاهده نکردید، روی دکمه setting کلیک کرده و گزینه show hidden files را فعال کنید.
• سپس روی فایل htaccess کلیک‌راست کرده و edit را بزنید.
• کدهای زیر را در آن قرار دهید.

<files readme.html>

Order allow,deny

Deny from all

</files>

<files license.txt>

Order allow,deny

Deny from all

</files>

حذف فایل‌های installer.php و installer-helper.php

یکی دیگر از راه‌های افزایش امنیت وردپرس، حذف فایل‌های installer.php و installer-helper.php است. درصورتی‌که هکر به سایت وردپرسی شما نفوذ کند، از طریق این دو فایل می‌تواند اقدام به نصب دوباره وردپرس کند.

برای حذف این دوفایل کافیه، از بخش public_html وارد پوشه wp-content شوید.

مسدودکردن فایل xmlrpc.php

یکی از فایل‌هایی که جهت انتقال داده‌ها در وردپرس از راه‌دور را فراهم می‌کند، فایل xml-rpc است. وجود این فایل در هاست، باعث به‌خطر افتادن سایت وردپرسی در معرض حملات brutforce و ddos می‌شود.

جهت جلوگیری از دسترسی هکرها به این فایل، از public_html وارد htacces شوید و کد زیر را در آن قرار دهید.

Back wordpress xmlrpc.php request#

<files xmlrpc.php>

Order deny, allow

Deny from all

</files>

رفع باگ wp-json/wp/v2/users

یکی از باگ‌هایی که اخیرا در وردپرس مشاهده شده‌است، باگ wp-json/wp/v2/users است. با وارد کردن این عبارت به انتهای آدرس سایت، تمامی اطلاعات کاربران به‌ویژه ادمین سایت نمایش داده می‌شود.

پیشنهاد می‌کنیم همین الان عبارت زیر را در مرورگر خود جست‌وجو کنید، اگر اطلاعات کاربران نمایش داده‌شد سریعاً طبق روشی که در ادامه خواهیم گفت، فایل مربوطه را مسدود کنید.

Yourdomain.com/wp-json/wp/v2/users

جهت رفع این باگ وارد فایل htaceess شوید و کدزیر را در انتهای آن قرار دهید.

 display/wp-json/wp/v2/users#

Redirect/wp-json/wp/v2/users /wp-json/wp/v2/user/error

همچین می‌توانید با رفتن به فایل function.php در پوشه themes از بخش wp-content کد زیر را قراردهید، تا دسترسی به باگ امنیتی وردپرس مسدود شود.

add_filter(‘rest_endpoints’, function($endpoints){

    if(isset($endpoints[‘/wp/v2/users’])){

        unset($endpoints[‘/wp/v2/users’]);

    }

    return $endpoints;

});

راه‌های جلوگیری از از هک سایت وردپرسی

برخی از کاربران فکر می‌کنند که سایت آنها هرگز هک نمی‌شود یا ارزش هک‌شدن ندارد. اگر شما هم این طرز فکر را دارید، وبسایتتان در معرض خطر هک شدن است.

اگر تا اینجای مقاله را به‌خوبی مطالعه کرده‌باشید متوجه این موضوع شده‌اید که اهداف هکرها متفاوت است و هیچ سایت وردپرسی‌ای در امنیت کامل نیست.

یکی از مواردی که باید به آن توجه کنید این است که، اکثر اوقات آلوده‌شدن و هک شدن سایت‌های وردپرسی توسط اسکریپت‌های نوشته‌شده توسط برنامه‌نویسان و هکرها برای مقاصد مختلف صورت می‌گیرد.

حالا که نسبتاً با نشانه‌ها، دلایل و اهمیت هک وب‌سایت آشنا شده‌اید، وقت آن است که راه‌های جلوگیری از هک سایت وردپرسی را نیز بیاموزید.

• استفاده از رمز عبور قوی و منحصربه‌فرد
• آپدیت منظم وردپرس، افزونه‌ها و قالب
• استفاده از افزونه‌ها و قالب‌های معتبر
• استفاده از فایروال
• استفاده از ssl/tls
• استفاده از هاست مطمئن و معتبر
• فعال‌سازی احراز هویت دوعاملی
• بکاپ‌گیری منظم از سایت و دیتابیس
• حذف کاربران غیرفعال و حساب‌های غیرضروری
• بررسی سطح دسترسی فایل‌ها و مسدودکردن بخش‌های مهم
• غیرفعال کردن ویرایش فایل php افزونه‌ها و قالب از طریق پیشخوان
• نصب افزونه امنیتی معتبر در سایت
• محدودکردن ورود آی‌پی‌های خاص
• ارتقاء نسخه php
• جلوگیری از ارسال نظر کاربران بدون تایید شما

انواع افزونه‌های جلوگیری از هک سایت وردپرسی

افزونه‌های امنیتی وردپرس، ابزارهایی هستند که به شما در محافظت و مراقبت از وبسایت در مقابل فعالیت‌های مشکوک، حملات و نفوذ هکرها کمک می‌کنند.

هرکدام از این افزونه‌ها از ویژگی‌ها و قابلیت‌های خاصی مثل فایروال، اسکنر، مسدودکننده ip، پشتیبان‌گیری و غیره برخوردار هستند که می‌تواند از نفوذ هکرها به سایت وردپرسی کمک کنند.

انواع مختلفی از افزونه‌ها هستند که برای جلوگیری از هک سایت وردپرسی مورد استفاده قرارمی‌گیرند. در ادامه به معرفی برخی از آنها می‌پردازیم.

انواع افزونه ضد هک وردپرس

افزونه‌های امنیتی وردپرس را می‌توان به دسته‌های مختلفی تقسیم کرد، اما محبوب‌ترینشان موارد زیر هستند:

• افزونه ضد هک وردفنس
• افزونه sucuri security
• افزونه solid security
• All in one wp security
• افزونه defender

از میان افزونه‌های امنیتی بالا، پیشنهاد ما استفاده از وردفنس است. که علاوه بر سبک‌بودن، از مجموعه کاملی از ابزارهای امنیتی برخوردار است. اما به‌طورکلی انتخاب شما بستگی به نیاز و بودجه شما دارد. اگر به دنبال گزینه‌های مقرون‌ به صرفه هستید افزونه all in one wp security مناسب شماست.

نتیجه گیری

امنیت یک سایت، ازجمله مواردی است که نیاز به فرآیند مستمر دارد. با رعایت نکات گفته‌شده در این مقاله می‌توانید تاحد زیادی مانع از هک سایت وردپرسی‌تان شوید. یادتان باشد هکرها همیشه به‌دنبال راهی برای نفوذ به سایت شما هستند، بنابراین مهم است که هوشیار باشید و کوچک‌ترین اقدامات پیشگیرانه لازم را برای محافظت از سایت وردپرسی خود انجام دهید.

امیدواریم توانسته باشیم کمک کوچکی به افزایش امنیت وبسایت شما کرده باشیم.

اگر تجربه تلخ هک شدن وبسایت توسط هکرها را دارید، در بخش دیدگاه‌ها با ما در میان بگذارید.