در این مقاله قصد داریم به امنیت وب سایت های وردپرس و به ویژه محبوب ترین و فراگیر ترین حملاتی که این نرم افزار را هدف قرار می دهند و همچنین راه های جلوگیری و کاهش اثر این حملات بپردازیم. اگر زیرساخت امنیتی وردپرس را یک مثلث در نظر بگیریم، در یک ضلع آن طراح قرار دارد که وظیفه راه اندازی، طراحی و نصب و استفاده از هسته، قالب و پلاگین های وردپرس را دارد. در ضلع دیگر دولوپر و برنامه نویس هسته، قالب و پلاگین ها و در ضلع دیگر شرکت ارائه دهنده سرویس میزبانی قرار دارد. زمانی که یک آسیب پذیری و حمله در وردپرس شناسایی می شود، تنها در صورتی میتوان از موفقیت و فراگیر شدن آن جلوگیری کرد که هر سه ضلع این مثلث، وظایف خود را دقیق و سریع انجام دهند.
در حال حاضر سهم نرم افزار وردپرس از دنیای اینترنت بیش از ۳۵% است و همین موضوع این نرم افزار را به محبوبترین نرم افزار مدیرت و انتشار محتوا در دنیا تبدیل کرده است. مسلماً این حجم از محبوبیت و استفاده فراگیر، نظر هکر ها و مهاجمان سایبری را هم به خود جلب می کند. همچنین متن باز بودن این نرم افزار، سرعت وایرال شدن آسیب پذیری های آن را افزایش می دهد. این مورد را هم باید در نظر گرفت که همین متن باز بودن این نرم افزار است که آن را به امن ترین نرم افزار مدیریت محتوا در دنیا تبدیل کرده است. در واقع امنیت فوق العاده و فراگیر شدن آسیب پذیری های روز صفر (Zero Day)، دو روی سکه ی اوپن سورس بودن وردپرس است. البته باید به این نکته اشاره کرد که این نرم افزار قدرتمند فکر همه جا را کرده و با افزونه های امنیتی وردپرسی که در اختیار کاربران قرار می دهد تا حدود زیادی از حمله هکر ها جلوگیری به عمل آورده است.
با ما همراه باشید تا به بررسی انواع حملات وردپرس بپردازیم.
حمله Brute Force:
موردی که هست، معمولاً یک هکر سختی زیادی برای نفوذ به یک وبسایت وردپرس با مدیریت ضعیف نمی بیند. محبوب تریم و پر کاربردترین و البته موفق ترین حمله ای که بر روی یک وبسایت وردپرس صورت می گیرد، حمله بروت فورس است. فرآیند این حمله هم به این صورت است که یک هکر معمولاً یک ربات طراحی می کند و این ربات در کسری از ثانیه، تعداد زیادی یوزرنیم و پسورد که قبلاً به عنوان یک دیکشنری به آن معرفی شده است را بر روی پنل ادمین وبسایت وردپرس امتحان می کند. تعداد زیادی وبسایت در دنیا به صورت روزانه تحت تاثیر این حمله هستند و با توجه به این که همچنان استفاده از اطلاعات ورود پیچیده و قدرتمند به عنوان یک اصل رعایت نمی شود، کسر بزرگی از این وبسایت ها مورد نفوذ قرار می گیرند و به اصطلاح هک می شوند.
وظیفه دولوپر وردپرس: دولوپر در واقع در وقوع و موفقیت این حمله هیچ نقشی ندارد.
وظیفه طراح وبسایت: تمام مسئولیت وقوع و موفقیت این حمله بر عهده طراح است. به منظور حفظ امنبت وب سایت وردپرس، طراح تحت هیچ شرایطی نباید از یوزرنیم و پسورد های راحت برای ادمین وردپرس استفاده کند. در صورتی که قصد دارید وبسایت را از سیستم لوکال به سرویس میزبانی منتقل کنید، حتماً قبل از انتقال از قدرتمند بودن اطلاعات ورود اطمینان حاصل کنید. در صورتی که کاربران امکان ثبت نام بر روی سایت را دارند، حتماً تنظیمات وردپرس را طوری شخصی سازی کنید که امکان استفاده از روز های ساده وجود نداشته باشد. حتماً از پلاگین های تشخیص رفتار ربات مانند reCAPTCHA استفاده کنید. اما هیچ وقت به وجود این پلاگین ها اکتفا نکنید و حتماً به صورت دوره ای، اطلاعات ورود خود را تغییر دهید. راه حل دیگر استفاده از احراز هویت دو مرحله ای یا ۲ factor authentication است.
وظیفه سرویس میزبانی: نیاز به تاکید بر این مورد وجود دارد که هیچ گاه به امید پلاگین هایی مانند reCAPTCHA و یا تمهیدات امنیتی سرویس دهنده میزبانی در این نوع حمله نباشید و حتماً اقدامات امنیتی لازم جهت داشتن اطلاعات ورود امن را راساً انجام دهید. حال آنکه سرویس دهنده میزبانی هم می تواند با توجه به زیر ساختی که استفاده می کند و در صورتی که از سخت افزار ها و نرم افزار های امنیتی مناسب مثل UTM در شبکه خود استفاده می کند، نسبت به ایجاد محدودیت های لازم اقدام کند. به طور مثال در یک UTM میتوان رفتار یک حمله Brute Force را تشخیص داد و بر روی آن محدودیت هایی اعمال کرد. به طور مثال میتوان تعریف کرد که در صورتی که در یک بازه زمانی مشخص تعدادی مشخص لاگین ناموفق به وردپرس توسط یک آی پی صورت گرفت این آی پی برای مدت زمان مشخص مسدود گردد.
آسیب پذیری های هسته، قالب و پلاگین:
تعداد زیادی دولوپر در دنیا در آن واحد در حال کار بر روی هسته وردپرس و بروزرسانی مداوم آن هستند و به صورت روتین و همیشگی آپدیت ها و پچ های امنیتی برای این نرم افزار منتشر می کنند و همین امر باعث شده این نرم افزار یکی از امن ترین نرم افزار های مدیریت محتوا باشد. حال آنکه هزاران پلاگین و قالب هم برای نرم افزار تولید شده است. این پلاگین ها و این قالب ها هم توسط هزاران دولوپر از سر تا سر دنیا تولید شده اند و بر خلاف هسته ی وردپرس، یک کمپانی و یک تعداد آدم خاص مسئول تولید و بروز رسانی آن ها نیستند. فرض را بر این بگیریم که یک حفره امنیتی برای هسته وردپرس شناسایی می شود. تیم مسئول بروزرسانی هسته به سرعت وارد عمل می شود و قبل از فرارگیر این حمله، پچ امنیتی لازم برای هسته منتشر شده برای طراح یک نوتیفیکیشن ارسال می گردد که هسته وردپرس خود را بروز رسانی کند. حال آنکه در صورتی که یک حفره برای یک پلاگین بی نام و نشان که شما در سایت خود استفاده می کنید شناسایی شود، کاملاً بررسی یا عدم بررسی مورد به حال دوپلور بر میگردد. آیا اصلاً از این حفره با خبر شده است؟ آیا قصد دارد آپدیتی ارائه کند؟ این مورد باعث می شود که وبسایت هایی که از این پلاگین استفاده می کنند تحت ریسک امنیتی قرار بگیرند.
وظیفه دولوپر: در این نوع حمله سنگین ترین مسئولیت بر شانه های دولوپر است. دولوپر وظیفه دارد در کمترین زمان ممکن نسبت به شناسایی، رفع و ارائه بروزرسانی پلاگین ها و قالب هایی که تولید کرده است اقدام کند.
وظیفه طراح: حتی الامکان از کمترین تعداد پلاگین استفاده کنید. دقت نمایید که پلاگین هایی که استفاده می کنید به تازگی بروزرسانی شده باشند و به صورت مداوم برای آنها آدپیت ارائه شود. سعی کنید بیشتر از پلاگین های محبوب و پر دانلود استفاده کنید. در صورتی که تعداد زیادی پلاگین استفاده کنید، احتمال این که در یک بروزرسانی، یک پلاگین با وبسایت شما مشکل Compatibility و هماهنگی پیدا کند و باعث می شود قسمتی از وبسایت از کار بیفتد. در این حالت طراح دو راه دارد. یا پلاگین را با پلاگین دیگری جایگزین کند و یا از نسخه آپدیت نشده این پلاگین استفاده کند که البته انتخاب تعداد زیادی از طراحان گزینه دوم است و این به معنای وجود یک حفره امنیتی به بزرگی یک در در وبسایت است!
هیچ آپدیتی را نادیده نگیرید. همیشه سعی کنید که هسته، قالب و پلاگین ها را بروز نگاه دارد. سعی کنید آپدیت نوتیفیکیشن وردپرس را فعال کنید تا در زمان ارائه آپدیت، به سرعت مطلع شوید. می توانید از بروزرسانی خودکار استفاده کنید. اما بروز رسانی خودکار ممکن است باعث از کار افتادن قسمتی یا تمام وبسایت شما شود. معمولاً بروزرسانی خودکار گزینه جذابی برای فعالان حوزه آی تی نیست. اما اگر امنیت وبسایت وردپرس خود را مهم تر از کار افتادن چند ساعته وبسایت می دانید و ترجیح میدهید که وبسایت شما مدت زمانی از دسترس خارج شود اما هک نشود، حتماً از بروز رسانی خودکار استفاده کنید. در مقاله زیر راهکارهایی برای افزایش امنیت وردپرس گفته شده است.
به هیچ عنوان و تحت هیچ شرایطی از قالب ها و پلاگین های نال و کرک شده استفاده نکنید. غریب به اتفاق این نرم افزار های کرک شده حاوی Backdoor جهت دسترسی هکر به وبسایت شما هستند.
وظیفه سرویس دهنده میزبانی: در این نوع حمله هم مانند حمله Brute Force، کار خاصی از دست سرویس دهنده میزبانی ساخته نیست. در برخی از سرویس های میزبانی که به صورت ویژه برای وردپرس طراحی و بهینه سازی شده اند، می توان وظیفه اسکن خود کار و بروز رسانی هسته، قالب و پلاگین ها را به بستر سرویس میزبانی سپرد. در حالتی خاص، سرویس میزبانی می تواند بستری برای شما تهیه کند که قبل از بروز رسانی خودکار، یک اسنپ شات از وبسایت تهیه گردد تا در صورتی که بروزرسانی موفقیت آمیز نبود، به سرعت وبسایت را به حالت قبل از آپدیت بازگردانید و نسبت به Debug اقدام کنید.
حملات DDoS یا منع سرویس توزیع شده:
این دست از حملات مختص به خطر انداختن امنیت وبسایت های تحت وردپرس نیست و تمامی پلتفرم ها را شامل می شود. به بیان ساده، حملات DDoS سرازیر شدن تعداد زیادی درخواست به سمت سرویس و وبسایت شماست. این درخواست ها معمولاً از تعداد زیادی آی پی که به آنها Botnet یا به اصطلاح غیر رسمی تر، Zombie گفته می شود به سمت وبسایت شما می آید. وبسایت شما شروع به ارسال پاسخ این درخواست ها می کند غافل از این که این درخواست ها برای دریافت پاسخ به سمت وبسایت ارسال نشده اند و هدف آنها جلوگیری از پاسخگویی وبسایت، به درخواست های تمیز و صحیح است. بسته به نوع درخواست ها، منابع و زیرساخت سرویس و اقدامات امنیتی صورت گرفته، این نوع حملات می تواند باعث از کار افتادن وبسایت شما، سرور میزبانی و در حالتی شدید تر، زیرساخت میزبانی شود. حملات دیداس در لایه های متفاوتی از پلتفرم اجرا می شود. عموماً حجم این حملات به اندازه ای است که فارغ از لایه ای که در آن در حال اجرا شده است، امکان جلوگیری از یک پلاگین و یا یک تنظیم خاص در وب سرور وجود ندارد. بعضاً امکان جلوگیری از حملات کوچک تر با استفاده از برخی پلاگین های امنیتی مانند Wordfence وجود دارد. در صورتی که این حملات در لایه های پایین تر مانند لایه شبکه اجرا شود، دیگر کاری از دست طراح ساخته نیست.
حملات DDoS معمولاً با هدفی خاص انجام می شود. این نوع حملات عموماً به هدف از دسترس خارج کردن یک سرویس خاص، یک رقیب و یا یک هدف سیاسی/اجتماعی صورت میگیرد. در برخی موارد هم این نوع حملات صرفاً یک Stage Attack هستند، بدین منظور که این حملات توسط هکر اجرا می شود تا حواس و تمرکز شما از اتفاق اصلی، که می تواند دسترسی به دیتابیس، بک اند سایت و … باشد، پرت شود.
وظیفه دولوپر: عموماً در این نوع از حملات، دولوپر امکان بررسی موردی را ندارد.
وظیفه طراح: در حملات خفیف دیداس در لایه های اپلیکیشن، امکان جلوگیری از حملات توسط برخی پلاگین های امنیتی وجود دارد.
وظیفه سرویس دهنده میزبانی: در این نوع حملات، سرویس دهنده میزبانی می تواند با داشتن پهنای باند قابل قبول، زیر ساخت سخت افزاری مناسب و استفاده از دیوایس های امنیتی مانند UTM تا حدی با این حملات مقابله کند.
حملات پیچیده تر:
حملات بسیار پیچیده تری نسبت به مواردی که تا اینجا اشاره شد نیز وجود دارد که معمولاً مختص نرم افزار وردپرس نیست. حملاتی مانند sql injection که هکر، امکان وارد کردن اطلاعات به دیتابیس شما را پیدا می کند و از این طریق نسبت به ریدایرکت وبسایت به یک صفحه خاص و یا هر فعالیت مخرب دیگری اقدام می کند. و یا حملاتی مانند XSS یا Cross Site Scripting که در این حمله، هکر کد های مخرب و نا امن جاوا اسکریپت را به یک صفحه از سایت وارد می کند و باعث می شود این کد های مخرب بر روی بروزر و سیستم بازدید کنندگان این وبسایت اجرا شوند.
وظیفه دولوپر: از این حملات معمولاً می توان با تنظیماتی خاص در لایه اپلیکشن جلوگیری کرد.
وظیفه طراح: طراح وبسایت، حتماً می بایست قبل و بعد از پابلیک و منتشر شدن وبسایت، نسبت به بررسی های امنیتی وبسایت وردپرس با نرم افزار هایی مانند OWASP اقدام نماید.
وظیفه سرویس دهنده میزبانی: بروزرسانی مداوم زیر ساخت و نرم افزار ها، انجام آدیت های امنیتی و استفاده از UTM میتواند تا حد زیادی از این حملات در لایه هایی قبل از اپلیکیشن جلوگیری کند.
آسیب پذیری های Zero day:
این نوع از آسیب پذیری ها، باگ های امنیتی ای هستند که دولوپر اطلاعی از وجود آن ندارد. اساساً نام این دسته از آسیب پذیری ها هم از همین ویژگی آنها انتخاب شده است. آسیب پذیری هایی که صفر روز است که دولوپر از آنها خبر دارد. به طول مثال در نسخه ۵.۱.۰ به قبل وردپرس، یک حفره امنیتی وجود داشت که باعث میشد کاربران احراز هویت نکرده، امکان Cross Site scripting را در کامنت ها داشته باشند. در صورتی که ورژن وردپرس شما پایین تر از ۵.۱.۱ است این آسیب پذیری در وبسایت شما هم اکنون وجود دارد.
به این نوشته امتیاز دهید
[Total: 3 Average: 5]
در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343
omid.ahmadyani@outlook.com
موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی
● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت
● کشف ضعف تزریق SQL + اعمال Blind SQL Injection
● کشف ضعف های تزریق اسکریپت (XSS)
● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)
● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری
● اسکن وب سرور ها برای ضعف های امنیتی
● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)
● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آنها.
●جلوگیری از هک شدن سایت
●آنالیز و بروزرسانی وب سایت
●ایمن سازی پوشه ها و سطح دسترسی ها
●بروزرسانی پایگاه داده ها
●امن سازی پایگاه داده ها
●نصب افزونه های امینتی و مانیتور وب سایت
●پشتیبانی حرفه ای از امنیت سایت
●مدیریت حفره های امنیتی و غیره ……
