سلام به تیک تم خوش آمدید. در این مقاله به آموزش جلوگیری از هک سایت های وردپرسی در هاست اشتراکی می پردازیم. با هک شدن یک سایت وردپرسی روی هاست های اشتراکی بقیه سایت ها هم به خطر می افتند، چگونه باید از این کار جلوگیری کرد؟
آموزش جلوگیری از هک سایت های وردپرسی در هاست اشتراکی
جلوگیری از دسترسی افراد غیرمجاز در هاست های اشتراکی
۱-به هیچ کس اجازه دسترسی به فایل wp-config.php را نمی دهند ولی صاحب وب سایت و سرور اجازه دسترسی به این فایل با پرمیژن ۴۰۰ ( فقط خواندن ) را دارند.
۲-Remote Mysql Connection را می بندند و اجازه اتصال به دیتابیس را فقط به IP سرور محدود می کنند.
جلوگیری از هک سایت های وردپرسی در هاست اشتراکی با پیدا کردن سرور های آسیب پذیر
اسکریپتهای قدرتمندی در این زمینه وجود دارد اما اگر دسترسی روت نداریدمیتوانید از اسکریپت زیر استفاده کنید و چک کنید که آیا سایتهای روی سرور این آسیب پذیری را دارا هستند یا خیر
۱ ۲ ۳ ۴ ۵ ۶ ۷ ۸ ۹ ۱۰ | $sites = array_map("site", bing("ip:$ip.$i wordpress")); $un=array_unique($sites); echo "[+] Scanning -> ", $ip.$i, ""."\n"; echo "Found By Pro.AlaaCool : ".count($sites)." sites\n\n"; foreach($un as $pok){ $host=findit($file,"DB_HOST', '","');"); $db=findit($file,"DB_NAME', '","');"); $us=findit($file,"DB_USER', '","');"); $pw=findit($file,"DB_PASSWORD', '","');"); $bda="http://$pok";}} |
جلوگیری از هک سایت های وردپرسی در هاست اشتراکی
تغییر مسیر های پیش فرض در هاست اشتراکی
یکی دیگر از متداول ترین روش های هک، عدم تغییر مسیر های دسترسی مدیریتی میباشد. برای مثال تمامی سایتهای جوملا از آدرس /administrator برای دسترسی به بخش ادمین استفاده میکنند یا آدرس بخش ادمین whmcs نیز بصورت پیش فرض /admin میباشد. در این گونه موارد دسترسی هکر برای تست مشخصات ورود به ادمین بسیار راحتر میباشد، چرا که مسیرهای پیش فرض راه را برای تست های او کوتاه کرده است. تمامی مسیر های پیش فرض امنیتی و مدیریت را حتما تغییر دهید. (مقاله ۱۴ نکته برای افزایش امنیت پنل مدیریتی وردپرس را در اینجا بخوانید)
بررسی پرمیشن فایل های مهم در هاست اشتراکی
فایلهای مهم روی هاست خود را حتما بررسی کنید که پرمیشن های بیشتری برای ویرایش نداشته باشند. به عنوان مثال برای فایل wp-config.php پرمیشن ۴۴۴ نیز مناسب میباشد. در صورتی که مشکلی برایتان ایجاد نمیکند حداقل پرمیشن را تنظیم کنید و دسترسی اضافی به ویرایش فایلها را مسدود کنید.
غیرفعال سازی اکانت های اف تی پی غیر ضروری در هاست اشتراکی
اگر برای کاربران مختلف اکانت های اف تی پی (ftp) ایجاد نموده اید حتما بصورت دوره ای آنها را بررسی کنید و اکانت های اضافی را حذف کنید تا دسترسی ها به هاست شما محدودتر گردد.
اطمینان از وجود مودسکیوریتی در هاست اشتراکی
در صورتی که روی هاست شما مود سکیورتی نصب میباشد، از طریق کنترل پنل هاست خود بررسی کنید که آن را بصورت اشتباه غیرفعال نکرده باشید! همچنین برخی از سرویس دهندگان به دلیل ارور هایی که مود سکیورتی برای کاربر میگیرد آنرا غیرفعال میکند. چک کنید که مودسکیوریتی حتما فعال باشد.
غیرفعال کردن نمایش خطا در هاست اشتراکی
از موارد بسیار مهم برقرار امنیت وب سایت، غیر فعال سازی نمایش خطا میباشد. یک هکر حرفه ای به Try هایی که روی هدف خود انجام میدهد، میتواند از طریق خطاهای موجود باگهای راحت تری کشف کند تا به سایت شما نفوذ کند. پس حتما نمایش خطا را کلا غیر فعال و یا محدود به سرور و آی پی کنید.
جلوگیری از تلاش برای ورود در هاست اشتراکی
در صورتی که سیستم هایی مدیریت محتوا نظیر whmcs و یا وردپرس استفاده میکنید حتما روی سیستم های مدیریت محتوای خود از ماژول هایی جهت محدود سازی تلاش مجدد برای ورود استفاده کنید. استفاده از این ماژول ها باعث میشود در صورت ورود اشتباه چندین باره، آی پی کاربر و یا خود نام کاربری وی بصورت موقت یا دائمی مسدود گردد
ایجاد محدودیت برای دانلود در هاست اشتراکی
برای فایل های مهم مثلا نظیر wp-config.php وردپرس حتما محدودیت دانلود ایجاد کنید، این فایلها بصورت پیش فرض امکان دانلود ندارند و فقط اجرا میشوند. ولی روش هایی برای دور زدن آن نیز میتواند وجود داشته باشد. حتما اطمینان حاصل کنید که از دانلود فایل های داینامیک وری هاست شما جلوگیری خواهد شد.
محدود کردن به آی پی
بعد از محدود کردن پوشه های مهم نوبت به محدود سازی این مسیر ها به آی پی نیز بایستی انجام شود. برای این مورد به راحتی همانند اضافه کردن پسورد در سرور های لینوکسی میتوانید از .htaccess لیست ای پی های مجاز را تعریف و لیستی از آی پی های غیرمجاز را جهت Deny شدن اضافه کنید.
محدود سازی بخش های مهم در هاست اشتراکی
بعد از تغییر نام پوشه ها و مسیر های مهم و حساس گام بعدی ایجاد محدودیت برای دسترسی به این فولدر ها میباشد. به فولدرهای مهم و ادمین حتما از طریق وب سرور پسورد اضافه کنید تا قبل از ورود به فولدر فوق user-pass تعریف شده در وب سرور درخواست گردد.
امنیت دیتابیس در هاست اشتراکی
یکی از متداولترین و اولین مواردی که باعث میشود سایتهای روی سرور های هاست اشتراکی هک گردند، دسترسی راحت به ریموت دیتابیس میباشد. شرکت های معتبر و حساس به اطلاعات کاربر معمولا به صورت پیش دسترسی ریموت به دیتابیس را غیرفعال میکنند تا دیتابیس های سرور از امنیت بیشتری برخوردار باشند. ولی در صورتی که روی هاست اشتراکی شما دسترسی به ریموت دیتابیس فعال میباشد، حتما محدودیت های بسیار زیادی برای دسترسی به آن ایجاد کنید. زیرا اولین و راحترین روش هک سایت دسترسی ریموت به دیتابیس میباشد.
محدود کردن سطح دسترسی هیچ سودی ندارد
در مورد خاص سطح دسترسی ۴۰۰ هم هیچ کمکی نمی کند زیرا با این سطح دسترسی فایل wp-config.php می تواند توسط وب سرور خوانده شود
محدود کردن اتصال به دیتابیس چطور
تا حدودی محدود کردن اتصال به دیتابیس می تواند کمک کند ، دیگر هکر ها نمی توانند از کامپیوتر شخصی شان به دیتابیس سایت شما متصل شوند اما این مورد هم در هاست های اشتراکی قابل دور زدن می باشد کافی است هکر مورد نظر تنها یکی از سایت های روی سرور را هک کند ، حالا به راحتی با استفاده از اسکریپتی ساده بنام Adminer به دیتابیس متصل شود
آسیب پذیری Arbitrary File Download
این آسیب پذیری به هکر ها این اجازه را می دهد که به وب سایت شما درخواست هایی را بفرستند و فایل ها را از روی سرور شما دانلود یا مشاهده کنند . این آسیب پذیری یکی از آسیب پذیری های شایع در تم ها و پلاگین های وردپرس می باشد
امیدواریم مطلب جلوگیری از هک سایت های وردپرسی در هاست اشتراکی برای شما مفید باشد.
هنوز مشکل دارید؟!
در نظرات مشکل خودتون رو مطرح کنید 🙂
مطالب مرتبط:
افزونه حفاظت از محتوا در وردپرس
چند عمل ساده که امنیت وردپرس شما را بیشتر می کند
شخصی سازی و بالا بردن سطح امنیت در وردپرس
منبع : تیک تم – ارائه دهنده مقالات : آموزش ووکامرس – –
