امنیت سایبری موضوعی داغ و دائمی است، امروزه بیش از هر زمان دیگری به عنوان یک مالک سایت، بسیار مهم است که به امنیت آن توجه ویژه داشته باشید و تمام تلاش خود را برای محافظت از سایت خود در برابر هر نوع حمله در حال حاضر یا در آینده انجام دهید. وردپرس ذاتاً یک بستر بسیار امن است. تیم امنیتی متشکل از تعدادی متخصص است که برای مقابله با مشکلات امنیتی در هر به روزرسانی جدید سخت تلاش می کنند. با این حال، هیچ سایتی کاملاً ایمن نیست، این بدان معناست که هنوز آسیب پذیری هایی وجود دارد که احتمالاً آن ها را تجربه می کنید. در این مقاله، پنج مورد از رایج ترین آسیب پذیری های وردپرس و نحوه جلوگیری آن ها توسط بهترین روش ها را بررسی خواهیم کرد.
برای اهداف این مقاله، ما بر اساس رتبه بندی پروژه امنیت برنامه Open Web Application (OWASP) مشاوره خواهیم داد. از سال 2001، OWASP بخشی جدایی ناپذیر در ارتقا of امنیت و قابلیت اطمینان آنلاین است. آن ها یک بنیاد غیر انتفاعی هستند که برای بهبود یکپارچگی نرم افزار در اینترنت سخت تلاش می کنند.
OWASP با استفاده از این سیستم جمع آوری و تجزیه و تحلیل داده ها، لیستی از ده خطر امنیتی را که سایت ها مرتباً با آن روبرو می شوند، تهیه می کند. این پروژه با داشتن حدود 275 فصل محلی در سرتاسر جهان، شهرت خود را در زمینه کمک به سازمان ها در جهت توسعه و نگهداری برنامه های نرم افزاری قابل اعتماد افزایش داده است.
اگر امنیت سایت وردپرس شما در اولویت است، این لیست به شما کمک می کند تا آسیب پذیری ها را برای بررسی و نحوه جلوگیری از آن ها بشناسید.
برجسته ترین آسیب پذیری که احتمالاً در سایت وردپرس خود با آن روبرو خواهید شد نقص تزریق کد است. شما بیشتر وقتی تزریق می کنید که سایت شما به کاربران اجازه می دهد داده ها را از طریق یک نقطه ورود آسیب پذیر مانند فرم تماس یا ورود به سیستم وارد کنند.
وقتی داده های وارد شده “تأیید نشده” باشند، می توانید در معرض این حمله باشید. تزریق SQL شایع ترین است اما انواع دیگر مانند تزریق NoSQL ،OS و LDAP نیز ممکن است یک مسئله باشد.
نقص های تزریق اغلب منجر به انکار دسترسی، از بین رفتن داده ها و فساد، افشای اطلاعات برای اشخاص غیر مجاز و حتی تصرف کامل میزبان می شود.
بهترین روش برای جلوگیری از تزریق شامل جدا کردن دستورات از سوالات موجود در سایت شما است. توسعه دهندگان وردپرس می توانند از کنترل های SQL خاصی مانند LIMIT برای جلوگیری از این امر استفاده کنند. دارندگان سایت همچنین می توانند از پلاگین های امنیتی (مانند Malcare) برای محافظت از وب سایت های خود استفاده کنند.
احراز هویت شکسته هنگامی رخ می دهد که در اجرای کنترل های هویت (identity ) و جلسه (session) آسیب پذیر باشد. قدرت کنترل احراز هویت یک سایت بسیار وابسته به مدیریت جلسه است.
اگر این موضوع به درستی اجرا نشود، هکر ها می توانند کلید ها، گذرواژه ها و نشانه های جلسه شما را به خطر بیندازند. در بیشتر موارد، ممکن است دچار سرقت هویت، کلاهبرداری در زمینه تأمین اجتماعی و افشای اطلاعات بسیار حساس شوید.
اگر می خواهید خطر شکسته شدن احراز هویت را به حداقل برسانید، باید احراز هویت چند عاملی را در سایت خود پیاده کنید. علاوه بر این، به دنبال جایگزینی اعتبارات پیش فرض هستید که هنگام ایجاد یک سایت جدید وردپرس به شما اعطا می شود. ضعف در کنترل رمز عبور نیز نباید یک گزینه باشد، مخصوصاً برای کاربران سرپرست.
حملات XSS بسیار شبیه حملات تزریق در نقاط ورود به سایت، مانند فیلد های ورودی کاربر رخ می دهد. این حملات زمانی اتفاق می افتد که برنامه های خودکار هر نوع XSS را در سایت شما شناسایی کنند. می توان از این داده ها استفاده کرد تا داده های نامعتبر را به صفحه جدیدی که فاقد اعتبار سنجی صحیح یا موجود از طریق داده های ورودی کاربر است، وارد کنید.
برنامه نویسی از طریق سایت به مهاجم اجازه می دهد تا کد را از راه دور در مرورگر قربانی اجرا کند. به این ترتیب، آن ها می توانند اعتبار نامه های خود را بدزدند یا بدافزار تحویل دهند. با استفاده از دو استراتژی می توانید از حمله XSS جلوگیری کنید.
اولین استراتژی اطمینان از این است که درخواست های شبکه تولید شده از یک صفحه به داده های صفحه دیگر دسترسی ندارند. به همین ترتیب، وب سایت شما باید بتواند بین ورودی منظم و کد مخرب تفاوت قائل شود. چارچوب هایی مانند React JS با طراحی از این حمله فرار می کنند.
به طور کلی، جلوگیری از حملات XSS با روش های خوب توسعه آغاز می شود. برای یک مالک سایت، انتخاب یک موضوع امن و قوی امری حیاتی است.
قرار گرفتن در معرض اطلاعات حساس را می توان یک نقض داده دانست. هنگامی که داده های حساس در سایت شما منتقل یا ذخیره می شوند، باید اقدامات کافی را در نظر بگیرید تا اطمینان حاصل کنید که هکر ها نمی توانند روی آن دست بگذارند.
در غیر این صورت، در صورت مواجه شدن، مهاجمان می توانند رمز عبور، جزئیات کارت اعتباری، نشانه جلسه و بسیاری موارد دیگر را به سرقت ببرند.
جدا از به خطر انداختن داده های حساس، بازدید کنندگان سایت شما نیز می توانند قربانی شوند. به همین دلیل شما باید تمام تلاش خود را برای ایمن نگه داشتن داده ها در سایت خود انجام دهید.
در تلاش برای فرار از این نوع حمله، مهم است که شما هرگز داده ها را در متن ساده ذخیره نکنید یا داده های ارسال شده از طریق اتصالات غیر HTTPS را قبول نکنید. برای دارندگان سایت، یک گواهینامه SSL مناسب می تواند به شما کمک کند حساس ترین داده ها را در شبکه ها رمزگذاری کنید.
این نوع حمله به دلیل پردازنده های قدیمی یا ضعیف مدیریت (eXtensible Markup Language (XML بوجود می آید. این موارد ارجاع به موجودیت های خارجی را در اسناد XML ارزیابی می کنند.
در این فرآیند، یک مهاجم می تواند از تجزیه کننده پیکربندی نادرست XML که XML را مستقیماً یا از طریق بارگذاری XML می پذیرد، سو استفاده کند. به عبارت دیگر، آن ها اکنون می توانند به هر ورودی XML که به موجودیت های خارجی مراجعه می کند دسترسی پیدا کنند.
XXE می تواند برای اجرای حمله (Denial of Service (DOS، استخراج داده های شما یا حتی پیاده سازی درخواست از راه دور از سرور شما نیز استفاده شود. تخصص توسعه دهنده در شناسایی و برخورد با موجودیت های خارجی XML بسیار کمک می کند.
برای جلوگیری از این حمله به عنوان کاربر نهایی، می خواهید نصب اصلی وردپرس خود را به روز نگه دارید. نگرانی های XXE معمولاً در سطح کد اساسی هستند و در هنگام به روزرسانی نسخه نرم افزار اصلی وصله می شوند.
در حالی که نرم افزار اصلی وردپرس برای کاهش تهدیدات عمده امنیتی به طور مداوم به روز می شود، افزونه ها و تم ها می توانند باعث نگرانی عمده کاربران شوند – به خصوص اگر کد گذاری آن ها ضعیف باشد. در واقع هرچه بیشتر به امنیت سایت خود توجه کنید، احتمال برخورد با این مسائل کمتر است.
در این پست، پنج مورد از رایج ترین آسیب پذیری های وردپرس را بررسی کرده ایم
منبع : a2hosting