روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ وردپرس، محبوب‌ترین سیستم مدیریت محتوای جهان است. طبق گفته‌ی توسعه‌دهندگانش، بیش از 40 درصد همه وبسایت‌ها بر اساس WordPress ساخته می‌شوند. با این وجود، محبوبیت آن می‌تواند مشکل‌ساز هم باشد: می‌دانید که، مهاجمین آسیب‌پذیری‌ها را بو می‌کشند!. به همین دلیل، محققین امنیت سایبری به دقت وردپرس را مورد تحقیق قرار می‌دهند و مرتباً مشکلات مختلفی را در مورد CMSها گزارش می‌کنند. در نتیجه، خیلی هم جای تعجب ندارد اگر بشنویم وردپرس پر از مشکلات امنیتی است! اما این همه توجه، وجهه‌ی مثبتی هم دارد: بیشتر تهدیدها و متودهای مبارزه با این مشکلات، شناخته‌شده‌اند و همین باعث می‌شود راحت‌تر بشود ازسایت وردپرسی خود محافظت کنیم. در مقاله حاضر قصد داریم پیرامون همین موضوع با هم صحبت کنیم. همرهمان باشید.

1.      آسیب‌پذیری‌هایی در پلاگین‌ها، تم‌ها و هسته وردپرس (به ترتیب اهمیت نزولی)

 در همه فهرست‌های مشکلات امنیتی وردپرس که در اینترنت موجود است، مواردی چون XSS (اسکریپت بینا سایتی)، sqli (تزریق SQL) و CSRF (جعل درخواست بیناسایتی) مدام ظاهر می‌شود. این حملات، در کنار سایر حملات احتمالاً به دلیل آسیب‌پذیری‌هایی یا در نرم‌افزار هسته وردپرس و یا در پلاگین‌ها یا تم‌هایش رخ می‌دهند. مهم است بدانیم که به لحاظ آماری، تنها بخش کوچکی از آسیب‌پذیری‌ها در خود هسته وردپرس هستند. برای مثال، کل سال 2022، صِرف 23 آسیب‌پذیری در نرم‌افزار هسته‌ای وردپرس کشف شدند که 1.3 درصد کل 1779 آسیب‌پذیری همان سال است. 97 باگ دیگر (5.45 درصد) در تم‌ها کشف شدند. و این درحالیست که بخش بزرگی از آسیب‌پذیری‌ها در پلاگین‌ها کشف شدند: 1659 (93.25 درصد از کل). شایان ذکر است که تعداد آسیب‌پذیری‌های کشف‌شده در وردپرس نباید دلیلی باشد برای اجتناب از استفاده از CMS. آسیب‌پذیری‌ها همه‌جا هستند: فقط در جایی بیشترند که آنجا محبوب‌تر است.

چطور امنیت را بالا ببریم:

•         همیشه هسته وردپرس را به سرعت به روز کنید. اگرچه آسیب‌پذیری‌ها اغلب در اینجا یافت نمی‌شوند، اما به شدت مورد سوء استفاده قرار می‌گیرند، بنابراین رها کردن آن‌ها خطرناک است.
•         به یاد داشته باشید که تم ها را به روز کنید - به خصوص افزونه‌ها. همانطور که گفته شد، افزونه‌ها مسئول اکثر آسیب پذیری‌های شناخته شده در اکوسیستم وردپرس هستند.
•         از نصب افزونه های غیرضروری وردپرس خودداری کنید – افزونه‌هایی که سایت شما برای کارکردن به آنها نیازی ندارد. این به میزان قابل توجهی تعداد آسیب‌پذیری‌های احتمالی در سایت وردپرس شما را کاهش می‌دهد.
•         افزونه‌هایی را که دیگر نیازی ندارید، فوراً غیرفعال یا کاملاً حذف کنید.

2.      پسوردهای ضعیف و نبود احراز هویت دوعاملی

مشکل امنیتی اصلی دوم وردپرس، هک سایت‌هایی است که با حدس پسوردهای ساده (منظور همان حمله جستجوی فراگیر است) و یا نام کاربری یا پسوردهای دستکاری‌شده (پر کردن اعتبارنامه[1]) از پایگاه داده‌های حاضر آماده که در نتیجه‌ی نشتی‌های سرویس‌های طرف‌سوم جمع می‌شوند میسر می‌شود. اگر اکانتی با مزایای بالا دستکاری شود، مهاجمین می‌توانند کنترل وردپرس شما را در دست گرفته و از آن برای مقاصد شرورانه خود استفاده کنند: سرقت داده، افزودن محتاطانه‌ی لینک به متن‌های شما که به منابعی که تبلیغش را می‌کنند هدایت می‌شوند (اسپم SEO)، نصب بدافزار (شامل وب اسکیمرها)، استفاده از سایت شما برای میزبانی صفحات فیشینگ و غیره.

چطور امنیت را بالا ببریم؟

•         از رمزهای عبور قوی برای همه کاربران سایت وردپرس خود اطمینان حاصل کنید. برای رسیدن به این هدف، خوب است که یک خط مشی رمز عبور را اعمال کنید - لیستی از قوانینی که رمزهای عبور باید رعایت کنند. افزونه‌هایی در دسترس هستند که به شما امکان می‌دهند سیاست‌های رمز عبور را در سایت وردپرس خود پیاده‌سازی کنید.
•         تعداد تلاش‌های ورود را محدود نمایید - باز هم، افزونه‌های زیادی برای این منظور وجود دارد.
•         احراز هویت دو مرحله‌ای را با استفاده از کدهای یک بار مصرف از یک برنامه فعال کنید. و باز هم افزونه‌های وردپرس برای این کار وجود دارد.
•         برای اینکه کاربران وردپرس خود مجبور نباشند گذرواژه های طولانی و پیچیده را به خاطر بسپارند، آنها را تشویق کنید تا یک مدیر رمز عبور نصب کنند. به هر حال مدیر کلمه عبور کسپرسکی ما همچنین به شما امکان می‌دهد از کدهای یکبار مصرف برای احراز هویت دو مرحله‌ای استفاده کنید.

3.      کنترل ضعیف روی کاربران و مجوزها

این با مشکل قبلی ارتباط دارد: اغلب، دارندگان سایت‌های وردپرس مجوزهای کاربران وردپرسی خود را آنقدر که باید، به دقت مدیریت نمی‌کنند و همین خطر هک شدن اکانت کاربر را به شدت افزایش می‌دهد. ما پیشتر هم در مورد پیامدهای احتمالی دستکاری اکانتی با حقوق دسترسی بالا صحبت کرده‌ایم: تزریق اسپم سئو به محتوای شما، دسترسی غیرمجاز به داده ها، نصب بدافزار، ایجاد صفحات فیشینگ و غیره.

چطور امنیت را بالا ببریم؟

•         هنگام تخصیص مجوزها به کاربران بسیار مراقب باشید. اصل کمترین امتیاز را به کار ببرید — فقط حقوق دسترسی را به کاربران اعطا کنید که کاملاً برای وظایف خود به آن نیاز دارند.
•         به طور مرتب لیست کاربران وردپرس خود را بررسی و هر حسابی را که دیگر لازم نیست حذف کنید.
•         اگر کاربران دیگر نیازی به مجوزهای بالاتر ندارند، آنها را به دسته‌های دارای امتیاز کمتر منتقل کنید.
•         البته توصیه‌ی 2 در اینجا نیز صدق می‌کند: از رمزهای عبور قوی استفاده نموده و احراز هویت دو مرحله‌ای را فعال کنید.

4.      پلاگین‌های مخرب

جدا از پلاگین‌هایی که «فقط» آسیب‌پذیر هستند، یک‌سری پلاگین‌های به شدت مخرب هم وجود دارند. برای مثال مدتی پیش محققین ما پلاگین وردپرسی را کشف کردند که خودش را جای پلاگین کش (حافظه) صفحه جا زده بود اما در واقع یک بک‌در تمام عیار بود! کارکرد اصلی‌اش هم ایجاد اکانت‌های غیرقانونی ادمین بود و نیز دسترسی و کنترل کامل به سایت‌های آلوده. همین اوایل سال جاری نیز محققین پلاگین وردپرس مخرب دیگری پیدا کردند که در اصل قانونی بود اما ده سال بود توسط توسعه‌دهندگان رها شده بود و یک سری فرصت‌طلب هم آمده بودند و آن را به بک‌در تبدیل کرده بودند. همین باعث شده بود آن‌ها به بیش از هزار سایت وردپرس دسترسی پیدا کنند.

چطور امنیت را بالا ببریم؟

•         از نصب پلاگین‌های غیر ضروری وردپرس خودداری کنید. فقط مواردی که واقعاً برای عملکرد سایت شما ضروری هستند را نصب کنید.
•         قبل از نصب یک پلاگین، نظرات کاربران آن را به دقت بخوانید – اگر پلاگینی کاری مشکوک انجام دهد، احتمالاً کسی قبلاً متوجه آن شده است.
•         پلاگین‌هایی را که دیگر استفاده نمی‌کنید غیرفعال یا حذف کنید.
•         پلاگین‌هایی وجود دارند که سایت‌های وردپرس را برای بدافزار اسکن می کنند. با این حال، به خاطر داشته باشید که نمی‌توان به آنها کاملاً اعتماد کرد: بسیاری از آخرین نمونه های بدافزار وردپرس می توانند آنها را فریب دهند.
•         اگر سایت وردپرس شما رفتار عجیبی دارد و شک دارید نکند آلوده شده باشد برای بررسی امنیتی با متخصصین تماس بگیرید.

5.      پروتکل بدون محدودیت XML-RPC

آسیب‌پذیری دیگر مختص وردپرس، پروتکل XML-RPC است که برای ارتباط بین وردپرس و برنامه‌های طرف‌سوم طراحی شده است. با این حال، سال 2015 وردپرس حمایت خود را از  REST API که اکنون بیشتر برای تعامل اپ استفاده می‌شود اعلام کرد. با وجود همه اینها، XML-RPC هنوز در وردپرس به طور پیش‌فرض فعال است. مشکل اینجاست که XML-RPC می‌تواند توسط مهاجمین برای دو مدل حمله روی  سایت شما استفاده شود: نوع اول حملات جستجوی فراگیر است که هدف، حدس پسوردهایی اکانت‌های کاربری وردپرس است. مهاجمین با  XML-RPC می‌توانند چندین تلاش لاگین را در یک درخواست واحد ترکیب کنند و این پروسه هک را به شدت سرعت می‌دهد. دوم اینکه پروتکل  XML-RPC می‌تواند برای ساماندهی حملات DDoS روی وبسایت وردپرس شما از طریق پینگ‌بک‌ها[2] استفاده شود.

چطور امنیت را بالا ببریم؟

•         اگر قصد ندارید در آینده نزدیک از XML-RPC استفاده کنید، بهتر است آن را در سایت وردپرس خود غیرفعال کنید. راه‌های مختلفی برای این کار وجود دارد. اگر بعداً به این عملکرد نیاز داشتید، فعال کردن مجدد آن دشوار نیست.
•         اگر قصد استفاده از XML-RPC را دارید، توصیه می‌شود محدودیت‌های آن را پیکربندی کنید، که می‌تواند با استفاده از پلاگین‌های وردپرس انجام شود.
•         همچنین برای محافظت در برابر حملات brute-force می‌توانید توصیه‌های نکته ۲ این مقاله را دنبال کنید: از رمزهای عبور قوی استفاده، احراز هویت دو مرحله‌ای را فعال و از مدیر رمز عبور استفاده کنید. به هر حال، این در مجوز محصول ما که برای محافظت از مشاغل کوچک طراحی شده است - Kaspersky Small Office Security گنجانده شده است.

[1] credential stuffingنوعی حمله سایبری است که در آن مهاجمان از لیست اعتبارنامه کاربران در معرض خطر برای نفوذ به سیستم استفاده می کنند.

[2] Pingbackیکی از چهار نوع روش بازگشت لینک برای نویسندگان وب برای درخواست اعلان زمانی است که کسی به یکی از اسناد آنها لینک می دهد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.