معرفی ۱۰ نقطه ضعف امنیتی وردپرس

بنا به آمار W3Techs وردپرس محبوب ترین سیستم مدیریت محتوای دنیا می باشد:

به همین دلیل هم احتمال هک شدن آن نیز زیاد است. در سال 2018 میلادی، 90 درصد وب سایت های هک شده در جهان از سیستم مدیریت محتوای وردپرس استفاده می کردند.

با مشاهده این آمارها شاید به فکر تغییر سیستم مدیریت محتوای سایت تان بیوفتید. اما اگر از نقاط آسیب پذیر وردپرس مطلع باشید و روش های پیشگیری از نفوذ هکرها به سایت تان را بدانید، با خیال راحت تری می توانید از وردپرس استفاده کنید.

هک شدن سایت باعث هدر رفتن زمان، انرژی و پول می شود. همچنین می تواند روی اعتبار برندتان نیز ضربه جبران ناپذیری وارد کند. در این مقاله سعی داریم نقاط آسیب پذیر وردپرس را معرفی کنیم و روش های مقابله با آن را آموزش دهیم. برخی از نقاط ضعف امنیتی وردپرس با یکدیگر همپوشانی دارند. یعنی اگر یکی ازآنها برطرف شود ممکن است سایر نقاط آسیب پذیر مرتبط نیز ایمن شوند.

لیست نقاط ضعف امنیتی وردپرس:

• Unauthorized Logins
• Outdated Core Software
• Undefined User Roles
• Outdated Themes and Plugins
• Malware
• Structured Query Language (SQL) Injections
• Search Engine Optimization (SEO) Spam
• Cross-Site Scripting
• Denial-of-Service Attacks
• Phishing
• Supply Chain Attacks
• Hotlinking

♦ لاگین های غیرمجاز یا unauthorized:

عملیات لاگین غیرمجاز یا unauthorized login معمولا بصورت حمله بروت فورس یا brute force صورت می گیرد.

در یک حمله بروت فورس، فرد هکر توسط یک ربات، از بین میلیون ها username و password ترکیب هایی را بصورت رندوم روی فرم لاگین تست می کند. تا زمانیکه دسترسی بات به فرم لاگین فراهم نشود عملیات مذکور ادامه پیدا خواهد کرد. وقتی یک نام کاربری و رمز عبور در فرم لاگین جواب داد، هکر می تواند به اطلاعات محافظت شده دسترسی پیدا کند.

چرا امنیت سایت های وردپرسی آسیب پذیر است؟

دو دلیل اصلی برای ضعف امنیتی وردپرس وجود دارد: یکی اینکه صفحه پیش فرض لاگین برای تمام سایت های وردپرسی یکسان است و کد بک اند آنها نیز مشابه می باشد. آدرس پیش فرض صفحه لاگین وردپرس بصورت wp-login.php/ یا /wp-admin می باشد.

اگر شما بعنوان مدیر سایت، مسیر پیشفرض صفحه لاگین وردپرس را تغییر ندهید، هکرها براحتی می توانند صفحه لاگین کاربران و مدیریت را پیدا کنند و حملات بروت فورس: brute force را شروع کنند.

دلیل دیگر برای آسیب پذیر بودن امنیت سایت های وردپرسی اینست که نام کاربری پیش فرض وردپرس admin است و اگر این username در تنظیمات اولیه سایت تغییر نکند هکرها می توانند براحتی با نام کاربری admin و تست کردن پسوردهای معمول، به داشبورد مدیریت وردپرس دسترسی پیدا کنند.

ما چه کاری می توانیم انجام دهیم؟

ساده ترین و موثرترین روش مقابله با حملات بروت فورس، انتخاب پسورد قوی و پیچیده (حداقل 8 کاراکتر، شامل اعداد، حروف، علامت هایی مثل @#$) می باشد.

مطالعه “راهنمای انتخاب رمز عبور قوی و فراموش نشدنی” پیشنهاد می شود.

در این مقاله می توانید رمزهای عبور رایج در سال 2019 را مشاهده کنید.

در جدول زیر آمار جالبی نمایش یافته است. اگر کمی پسورد را پیچیده تر کنید، مثلا یک کاراکتر ویژه مانند @ در آن درج کنید، امکان حدس زدن آن توسط ربات ها در حملات بروت فورس بسیار کاهش می یابد. استفاده از کاراکترهای انگلیسی با حروف بزرگ یا UC: Upper-Case و کاراکترهای با حروف کوچک یا LC: Lower-Case و همچنین کاراکترهای ویژه یا SC: Special Character می تواند تا حد زیادی امنیت رمز عبور را افزایش دهد.

تا الان متقاعد شده اید که داشتن یک پسورد قوی و پیچیده برای تمام پلتفرم ها مانند سایت های وردپرسی الزامی است. اما حفظ کردن تمامی پسوردها می تواند مشکل سازباشد. برای رفع این مشکل یک سری اپلیکیشن و افزونه مرورگر وجود دارد. بدین صورت که می توان رمز عبور متعلق به هر پلتفرم را در آنها ذخیره کرد. در اینصورت دیگر نیازی به حفظ کردن رمزهای عبور نمی باشد.

علاوه بر تعریف پسوردهای پیچیده و غیرقابل حدس، روش های دیگری هم برای محافظت از امنیت سایت وجود دارد:

• احراز هویت دو مرحله ای یا Two-Factor authentication: کاربران را ملزم می کند که در یک دستگاه دیگر نیز لاگین کند تا هویت آنها به دو روش محرز شود. یکی از روش های پیاده سازی تشخیص هویت دو مرحله ای، استفاده از اپلیکیشن هایی مانند Google Authenticator می باشد.
• پس از نصب وردپرس روی هاست خود، اولین کاری که می کنید تغییر نام کاربری مدیریت باشد. زیرا یوزر نیم پیش فرض وردپرس یعنی admin براحتی و در اولین قدم توسط هکرها قابل حدس است.
• توسط بسیاری از پلاگین ها در وردپرس می توان احتمال حملات بروت فورس را تا حد زیادی کاهش داد.

در نظر داشته باشید که هک شدن به شکل بروت فورس در تمام پلتفرم هایی که پسورد دارند ممکن است. پس حتما اطمینان حاصل کنید که رمز عبور انتخابی شما پیچیده و قوی باشد تا دچار حملات بروت فورس نشوید.

در نهایت بشدت توصیه می کنیم که رمز عبور یکسان یا مشابه را برای تمام وب سایت ها و پلتفرم ها انتخاب نکنید.

♦ نرم افزار منسوخ شده (Outdated):

یکی از مزایای استفاده از پلتفرم ها و سیستم های آماده مدیریت محتوا مانند وردپرس (به جای کدنویسی 0 تا 100) اینست که توسعه دهندگان سیستم های مدیریت محتوا بطور مداوم و منظم آپدیت هایی را ارائه می دهند که امنیت، تجربه کاربری و امکانات آن را ارتقا می دهد.

بعنوان مثال، تیم توسعه دهنده وردپرس آپدیت هایی را بصورت ماهانه یا هر سه ماه یکبار ارائه می دهند که شدیدا توصیه می شود این آپدیت ها را انجام دهید. زیرا آپدیت های وردپرس بطور اتوماتیک انجام نمی  شود و نیاز به تایید مدیر سایت دارند.

اگر آپدیت های وردپرس و پلاگین ها و قالب ها را نادیده بگیرید و انجام ندهید، سایت خود را در برابر حملات هکرها آسیب پذیر کرده اید.

چرا سایت های وردپرسی از لحاظ امنیتی نفوذپذیرند؟

اگر نرم افزار وردپرس را به موقع آپدیت نکنید هکرها می توانید به بخش مدیریت سایت تان نفوذ کنند. زیرا آپدیت های وردپرس در جهت بهبود نقاط ضعف و ارتقای امنیت هسته وردپرس هستند.

ما چه کاری می توانیم انجام دهیم؟

همانطور که گفتیم باید مراقب آپدیت های وردپرس (افزونه ها+قالب ها+هسته وردپرس) باشید و به محض ارائه شدن یک نسخه جدید آن را نصب کنید.

برای مشاهده آپدیت های احتمالی مطابق تصویر زیر به منوی updated (در نسخه انگلیسی) و “بروزرسانی ها” (در نسخه فارسی) مراجعه کنید.

♦ نقش های کاربری تعریف نشده (User Roles):

وقتی یک سایت وردپرسی راه اندازی می کنید شش نقش کاربری یا user role خواهیم داشت. مانند Subscriber or Administrator

هر یک از این نقش های کاربری یک سری مجوزهای دسترسی دارند که امکان مشاهده و اعمال تغییرات را به بخش های مشخصی از پنل وردپرس را به کاربران خواهند داد. مانند غیرفعال کردن پلاگین، انتشار پست و…

نقش کاربری پیش فرض Administrator می باشد و این نقش کاربری بیشترین دسترسی را به بخش های مختلف پنل مدیریت وردپرس دارد.

چرا امنیت وب سایت های وردپرسی آسیب پذیر است؟

اینجا جاییست که نقش های کاربری وردپرس می تواند دردسرساز باشند. اگر شما در سایت خود چندین کاربر دارید و تنظیمات پیش فرض نقش آنها را تغییر نداده باشید تمام این کاربران ادمین خواهند بود!

اگر فرد هکر بتواند به نحوی در سایت تان ثبت نام کند می تواند با دسترسی کامل ادمین، امنیت سایت تان را بشدت بخطر می اندازد.

تنظیمات نادرست نقش های کاربری یا user roles در وردپرس احتمال حملات بروت فورس یا brute force را بالا می برد. همچنین حملات XSS: Cross-site scripting را نیز افزایش می دهد که منجر به دسترسی هکرها به پنل کاربران خواهد شد.

ما چه کاری می توانیم انجام دهیم؟

باید تمام مجوزهای دسترسی را Permission را بررسی و چک کنید. اگر فقط شما مدیر کل وب سایت تان هستید لیست کاربران را چک کنید که کاربر دیگری این دسترسی را نداشته باشد. علاوه بر این سعی کنید حتما از پسورد ایمن و طولانی برای نام کاربری مدیر استفاده کنید و احراز هویت دو مرحله ای را نیز فعال کرده باشید.

اگر می خواهید به یک کاربر دسترسی های جدیدی ارائه کنید چک کنید که اشتباها دسترسی بیشتری به او ندهید.

♦ قالب ها و افزونه های آپدیت نشده:

یکی از جذابیت های وردپرس، قابلیت شخصی سازی آن است. توسعه دهندگان وردپرس قالب ها و افزونه های زیادی را بصورت روزانه طراحی می کنند و امکان دانلود و نصب آنها وجود دارد.

همانطور که در بخش قبل گفتیم اگر هسته وردپرس منقضی شده باشد و آپدیت جدید ارائه کرده باشد اما شما بعنوان مدیر سایت اقدام به بروزرسانی آن نکنید، سایت وردپرسی خود را در معرض حملات هکرها قرار داده اید.

به همین ترتیب قالب ها و افزونه های تاریخ گذشته و منقضی شده هم می تواند راه نفوذ هکرها را به پنل مدیریت و کاربری سایت تان هموار کند.

چرا امنیت وردپرس آسیب پذیر است؟

توسعه دهندگان قالب و پلاگین وردپرس معمولا آپدیت های منظمی را ارائه می دهند که theme و plugin را از لحاظ امنیتی و کارایی و رابط کاربری بهبود می بخشند.

در صورت آپدیت نشدن تم ها و پلاگین های وردپرس هکرها می توانند از طریق ابزار آپدیت نشده راه نفوذ به سایت را براحتی پیدا کنند.

مواردی هم وجود دارد که ممکن است هسته وردپرس یک بروزرسانی امنیتی عرضه کرده باشد اما توسعه دهنده قالب یا افزونه این آپدیت را در نظر نگیرد و محصول خود را با آن تطابق ندهد. در اینصورت نیز هکر می تواند از این طریق امنیت سایت را تهدید کند.

چه کاری می توان انجام داد؟

برای اینکه مطمئن شوید سایت تان بخاطر آپدیت نبودن قالب ها و افزونه های وردپرس قابل نفوذ و هک نمی باشد باید بطور مرتب بروزرسانی های وردپرس را چک کنید تا به محض ارائه یک نسخه جدید آنها را آپدیت کنید. به این منظور باید به منوی بروزرسانی ها مراجعه کنید:

♦ بدافزار (Malware):

بدافزارها به مجموعه ای از نرم افزارهای مشکوک و مخرب گفته می شود که هکرها می توانند آنها را با هدف خرابکاری در فایل های وب سایت درج کنند.

در این حالت هکرها تلاش می کنند از طریق backdoor به سایت ها لاگین کنند و داده های کاربران و مدیر سایت را به سرقت ببرند.

چرا سایت وردپرسی نفوذ پذیر است؟

معمولا بدافزارها از طریق قالب ها یا پلاگین های بروزرسانی نشده به وب سایت ها نفوذ می کنند. بنابراین هکرها از قالب ها و پلاگین های آپدیت نشده سو استفاده کرده و مشکلات امنیتی زیادی را برای سایت های وردپرسی ایجاد می کنند.

ما چه کاری می توانیم انجام دهیم؟

ابتدا باید در انتخاب پلاگین هایی که می خواهیم روی سایت وردپرسی خود نصب کنیم دقت کنیم. در مخزن وردپرس می توانید اطلاعات زیر را برای هریک از پلاگین ها مشاهده کنید.

تمامی آیتم های این تصویر می تواند اهمیت داشته باشد. مانند: تعداد نصب فعال، تطابق با نسخه های وردپرس، تاریخ آخرین آپدیت و…

موردی که اهمیت فراوانی دارد تاریخ آخرین بروزرسانی یا Last updated می باشد. دقت کنید که پلاگین موردنظرتان بتازگی آپدیت شده باشد و مثلا آخرین آپدیت آن به یکسال پیش برنگردد!

علاوه بر این برای پیشگیری از حملات مخرب بدافزارها یا malwares می توانید با استفاده از پلاگین های تست سلامت و امنیت سایت، میزان ایمنی سایت تان را بطور مرتب چک کنید.

♦ حملات تزریق SQL یا SQL Injection:

SQL یکی از روش های دسترسی به داده های ذخیره شده در پایگاه داده یا database می باشد. در سیستم مدیریت محتوای وردپرس از دستورات SQL و دیتابیس MYSQL برای این منظور استفاده می شود. هکرها می توانند از دستورات اس-کیو-ال سو استفاده کرده و باعث به خطر افتادن امنیت سایت شوند.

در فرآیند تزریق اس کیو ال یا SQL Injection فرد هکر این قابلیت را دارد که بطور مستقیم به دستورات sql دیتابیس دسترسی پیدا کند و آنها را تغییر دهد یا کد مخرب sql خود را تعریف و اجرا کند. در حملات sql injection هکر می تواند توسط دستورات sql یک اکانت ادمین ایجاد کند و بدون احراز هویت به تمام محتواها و داده های کاربران و مدیران سایت دسترسی پیدا کند.

چرا امنیت وردپرس آسیب پذیر است؟

اغلب حملات sql injection از طریق فرم ها صورت می گیرد. مانند فرم های ثبت نام، خبرنامه، لاگین، تماس با ما و…

وقتی هکرها اطلاعاتی در این فرم ها پر می کنند نمی خواهند در سایت شما ثبت نام یا لاگین کنند یا از تخفیف های فروشگاه شما مطلع شوند. بلکه می خواهند کد مخرب sql خود را در سایت تان تزریق کنند!

شما چه کاری می توانید انجام دهید؟

بهترین راه جلوگیری از حملات sql injection بررسی و ایمن سازی تمام فرم ها و فیلدهای ورودی یا input در سایت است. هر یک از فرم های سایت می تواند راه نفوذی برای تزریق کدهای مخرب sql باشد.

مثلا می توان کاراکترهای ورودی فرم ها را بررسی کرد و از ورود کاراکترهای خاص یا symbol جلوگیری کرد. برای اینکار می توانید از پلاگین های امنیتی وردپرس استفاده کنید. همچنین در آخر هر یک از فرم های سایت پیشنهاد می کنیم یک کد امنیتی یا captcha code درج کنید تا از ورود هکرها و ربات ها جلوگیری کرده باشید.

♦ اسپم سئو (SEO Spam):

اسپم های سئو به این صورت هستند که از وب سایت های رتبه بالا در گوگل یا top ranking سوء استفاده می کنند و آنها را پر از کلمات کلیدی اسپم می کنند و از تبلیغات پاپ آپ یا pop up ads برای ضربه زدن به سئوی این سایت ها استفاده می شود.

چرا وب سایت های وردپرسی از لحاظ امنیتی قابل نفوذند؟

وب سایت های وردپرسی همانطور که در برابر تهدیدات و حملاتی که تا اینجای مقاله بیان کردیم آسیب پذیرند در مقابل اسپم های سئو نیز آسیب خواهند دید.

تشخیص حملات سئویی به سایت ها دشوار است و این قضیه کار را سخت می کند.

ممکن است فرد هکر دسترسی موردنیازش را به پنل مدیریت سایت پیدا کند اما صبر کند تا در زمان مناسب حملات اسپم سئویی را انجام دهد.

از آنجائیکه این حملات به سئوی سایت ها صورت می گیرد، براحتی قابل تشخیص نمی باشند و باید سایت را بطور کامل مورد بررسی قرار داد.

هکرها کلمات کلیدی اسپم موردنظر خود را در صفحات مربوطه درج می کنند. معمولا تغییرات به گونه ای است که فقط خزنده های گوگل متوجه آنها شوند و مدیر سایت بسختی بتواند تغییرات را ببیند.

برای مقابله با اسپم سئو چه کاری می توان انجام داد؟

تا اینجا اقدامات پیش گیری کننده از هک شدن وب سایت، مانند آپدیت به موقع هسته وردپرس، افزونه ها و قالب ها و همچنین تعریف مناسب نقش های کاربری را بیان کردیم. برای جلوگیری از حملات سئوی اسپم، می بایست سایت خود را از طریق پلاگین های امنیتی چک آپ کنید  و آن را از بدافزارهای اسپم پاکسازی نمایید.

اگر کنجکاوید که خودتان بصورت دستی سایت تان را از لحاظ اسپم سئو چک کنید باید سری به ابزارهای آنالیز ترافیک وب سایت مانند گوگل آنالیتیکس و گوگل سرچ کنسول بزنید. در صورتیکه در سرویس Google Analytics افزایش شدید ترافیک ورودی را در بازه زمانی کوتاه مشاهده کردید احتمال این هست که فرد هکر از طریق تبلیغات پاپ آپ، ترافیک سایت تان را بصورت فیک و تقلبی بالا برده است.

از طرفی دیگر اگر در سرویس Google Search Console با کلمات کلیدی غیر مرتبط در نتایج گوگل رتبه کسب کردید احتمالا سایت تان با کلمات کلیدی اسپم پر شده است.

از هر روشی که برای مقابله با اسپم سئو استفاده می کنید مهم اینست که هر چه سریع تر اینکار را انجام دهید. زیرا خزنده های گوگل اگر پس از چند بار بررسی سایت تان متوجه شوند کلمات کلیدی اسپم همچنان در صفحات سایت تان وجود دارند و یا بازدید سایت تان توسط تبلیغات پاپ آپ و به شکل تقلبی افزایش یافته، سایت تان را اسپم تلقی می کنند و خارج کردن یک سایت از حالت اسپم کار بسیار زمانبر و مشکلی خواهد بود.

♦ Cross-Site Scripting (XSS):

حملات XSS زمانی رخ می دهد که فرد هکر کدهای مخرب خود را در سمت بک اند سایت هدف وارد می کند. حملات XSS یا Cross-Site-Scripting شبیه حملات SQL Injection می باشد. زیرا در این نوع حملات هم هکر کد مخرب خود را در فرم های سایت به نحوی درج می کند که به دیتابیس سایت نفوذ کند و دسترسی های مدیریت و کاربران را دستکاری کند.

اما هدف حملات XSS از کار انداختن عملکرد صفحات سایت است. در این روش پس از اینکه هکرها به فرانت اند سایت هدف دسترسی پیدا کردند می توانند بخش های موردنظر خود را تغییر دهند. مثلا یک فرم تماس با ما بصورت تقلبی در سایت نمایش دهند یا یک لینک مخرب به کاربران نمایش دهند که روی آن کلیک کنند.

چرا سایت های وردپرسی نفوذ پذیرند؟

در اینجا هم افزونه ها و قالب های آپدیت نشده می توانند نقاط نفوذ هکرها قرار بگیرند. در حمله XSS اگر قالب یا افزونه outdated یا منقضی شده پیدا کند با ترفندهایی به کدهای آن نفوذ کرده و شروع به دستکاری کدهای سمت کاربر یا فرانت اند سایت می کند.

ما چکاری می توانیم انجام دهیم؟

آپدیت، آپدیت و آپدیت!

مطمئن شوید که هسته وردپرس، قالب ها و افزونه های سایت تان همیشه با آخرین ورژن خود در حال اجرا هستند. همچنین هنگام استفاده از نرم افزارهای third-part روی سایت تان دقت لازم را داشته باشید.

یکی دیگر از روش های جلوگیری از حملات XSS بهره گیری از یک فایروال وب اپلیکیشن یا WAF: Web Application Firewall می باشد. WAF ترافیک سایت را زیر نظر می گیرد و از ورود کاربران غیرمجاز و مشکوک به سایت جلوگیری می کند.

پلاگین های فایروال وردپرس می توانند از حملات XSS و SQL injection و سایر حملات هکرها جلوگیری کنند. لیست افزونه های فایروال وردپرس

♦ حملات Distributed Denial-Of-Service (DDoS):

هدف حملات Denial-of-Service (DoS) بلاک کردن دسترسی مدیران و کاربران به وب سایت می باشد. حملات DoS با ارسال ترافیک سنگین و تقلبی به سمت سایت صورت می گیرند. این ترافیک زیاد و فیک باعث می شود سایت هنگ کند و منابع سرور و هاست و پهنای باند به سرعت مصرف شود. درست است که پس از مدتی، پهنای باند و سایر منابع هاست و سرور به حالت اول باز می گردند اما اعتبار از دست رفته سایت به این سادگی برگشت پذیر نخواهد بود!

در صورتیکه حملات DOS از چندین منبع و ماشین انجام شود به آن distributed denial-of-service (DDoS) گفته می شود. حملات DDOS به مراتب خطرناک تر از حملات DOS هستند و می توانند ضربه جبران ناپذیری به اعتبار و امنیت سایت هدف وارد کنند.

چرا امنیت وردپرس آسیب پذیر است؟

مانند تمام وب سایت ها، سایت های وردپرسی هم برای راه اندازی و استفاده نیاز به هاست دارند. در حملات DOS و DDOS هدف هکرها هاست و سرور می باشد. همانطور که گفتیم با ارسال ترافیک بسیار زیاد در مدت زمان کم، باعث می شود سایت به اصطلاح Down شود.

چکاری می توان انجام داد؟

برای جلوگیری از حملات DDOS فقط به نصب و فعال سازی افزونه های امنیتی بسنده نکنید. بهترین روش برای پیشگیری از حملات DDOS ایمن سازی هاست وردپرس می باشد. سعی کنید یک میزبانی مطمئن و ایمن پیدا کنید تا با خیال راحت تر بتوانید سایت کسب و کارتان را روی آن راه اندازی کنید و نگران به خطر افتادن امنیت سایت و در نتیجه از دست دادن اعتبار یا Reputation برندتان نباشید.

♦ حملات فیشینگ Phishing:

در حملات فیشینگ phishing فرد یا افراد هکر تعداد زیادی طعمه به سمت کاربران هدف ارسال می کنند. به این امید که کاربر حداقل روی یکی از این طعمه ها کلیک کند. حتما تابحال برایتان پیش آمده که یک ایمیل مشکوک با محتوای اسپم دریافت کرده باشید یا یک پیامکی که ارسال کننده نامشخص باشد و حاوی محتوای اسپم باشد.

متاسفانه سیستم وردپرس در مقابل حملات فیشینگ ایمن نیست.

چرا وردپرس نا ایمن است؟

درست مانند سایر نقاط ضعف امنیتی وردپرس، حملات phishing نیز می تواند به دلیل آپدیت نبودن هسته وردپرس، افزونه یا قالب باشد. یا بخاطر فرم های غیر ایمن موجود در سایت رخ دهد.

اگر یک یوزر با هدف ضربه زدن به امنیت سایت و سرقت اطلاعات بتواند با دسترسی های ادمین به سایت نفوذ کند، می تواند لینک های اسپم را به منظور کلیک کاربران در سایت نمایش دهد. همچنین ممکن است در فرم های ارسال دیدگاه، کامنت هایی را بهمراه لینک های مخرب ارسال کنند. در تصویر زیر، نمونه ای از یک کامنت اسپم را مشاهده می کنید:

برای مقابله با فیشینگ چکاری می توان انجام داد؟

به منظور پیشگیری از حملات phishing انجام یک سری اقدامات نیاز است. مانند آپدیت منظم وردپرس، افزونه ها و قالب های آن، مانیتور کردن فعالیت سایت، انتخاب پسوردهای قوی و مطمئن، استفاده از کد امنیتی کپچا یا ReCAPTCHA در تمامی فرم های سایت.

تکنولوژی کپچا کد به این صورت است که می تواند با استفاده از قابلیت “یادگیری ماشین” یا “machine learning” بین انسان و ربات تمایز قائل شود.

جمع بندی:

همه ما می دانیم که اینترنت می تواند یک فضای ترسناک باشد. پس مهم است که با ریسک های احتمالی در آن آشنا باشیم و راه های مقابله با آنها را بدانیم.

در سالهای اخیر داشتن یک وب سایت بسیار مرسوم شده است و یکی از روش های ساده، سریع و رایگان برای راه اندازی یک وب سایت سیستم مدیریت وردپرس می باشد.

اطلاع از نقاط ضعف امنیتی وردپرس بسیار اهمیت دارد. زیرا در صورتی که سایت تان هک شود علاوه بر از دست رفتن اطلاعات آن، اعتبار برند شما نیز آسیب خواهد دید و بازگشت اعتبار و اعتماد کاربران آسان نخواهد بود.