امنیت وردپرس

 

بخش اول

wp-config

 

wp-config.php یکی از فایل‌های هسته وردپرس می‌باشد.

این فایل شامل اطلاعاتی در مورد پایگاه داده، نام کاربری و گذرواژه‌ها می‌باشد.

این اطلاعات به وردپرس اجازه می‌دهند تا برای ذخیره سازی و دریافت اطلاعاتی (مثل پست‌ها، کاربران، تنظیمات و…) با پایگاه داده در ارتباط باشند.

همچنین از این فایل برای تعریف تنظیمات پیشرفته وردپرس نیز استفاده می‌شود.

یک راه ساده حفاظت از فایل wp-config تغییر مسیر این فایل می‌باشد.

wp-config از آن دسته فایل‌هایی است که نفوذگران سعی در پیدا کردن آن و به دست آوردن اطلاعات درون آن دارند.

چرا؟

– با داشتن این اطلاعات می‌توانند به دیتابیس سایت متصل شوند .

–  می توانند برای خود یوزر و پسوردی را بعنوان مدیر سایت ایجاد کنند.

وردپرس می‌تواند فایل تنظیمات خودش را حتی زمانیکه یک سطح بالاتر از محل نصب خودش باشد نیز پیدا کند.

یعنی اگر شما فایل wp-config را از public_html به Home جابجا کنید، وردپرس بدون مشکل این فایل را یافته و مورد استفاده قرار خواهد داد.

بنابراین مناسب است که این اقدام امنیتی ساده را انجام دهید.

 

مشکلات پیش فرض وردپرس در صفحه ورود

 

صفحه ورود به بخش مدیریت در همه ورژن های وردپرس wp-login.php است.

چرا باعث کاهش امنیت است ؟

نفوذگر نیازی برای یافتن صفحه مدیریت ندارد،چون این صفحه همیشه ثابت است و در کمترین زمان می‌تواند وارد آن شود.

بهتر است اشاره ای به حملات Brute Force کنیم:

حملات Brute Force

بروت فورس نوعی از حملات کرکینگ است.

هدف از آن، تلاش برای یافتن یک مقدار مثلا رمز عبور یا پیدا کردن مقدار خالصی است که قبل از رمز گذاری شدن وجود داشته است.

مختصری در مورد حملات کرکینگ ( Cracking )

پیش از توضیح دادن حملات بروت فورس که نوعی از حملات کرکینگ است، توضیح مختصری در مورد حملات کرکینگ بدهیم.

در حملات کرکینگ، هکر در تلاش برای یافتن مقدار اولیه یک عبارت رمزگذاری شده و یا پیدا کردن یک مقدار حساس – مثلا رمز عبوری که حتی عبارت رمز گذاری شده آن را هم در دست ندارد-می باشد.

حملات کرکینگ اغلب از الگوی خاصی پیروی نمی کند.بلکه:

همه احتمالات موجود و یا مقادیری که احتمال صحیح بودن آن ها بیشتر است،را بررسی می کند.

حملات کرکینگ را به بخش های مختلفی تقسیم کرده اند.

دو مورد از مهم ترین حملات دیکشنری و حملات بروت فورس است.

 

بروت فورس چیست؟

 

در این نوع از حملات، نفوذ گر به بررسی همه احتمالات موجود می پردازد تا موفق به یافتن مقدار حساسی مانند رمز عبور یک سایت شود.

چون در این نوع از حملات همه احتمالات بررسی می شود، برای عباراتی با اندازه بیش از ۵ تا ۶ کاراکتر ( برای کامپیوتر های عادی) پر هزینه و بی ارزش خواهد بود.

در اینجا مثالی می اوریم تا علت پر هزینه بودن این عملیات قابل درک باشد.

برای مثال نفوذ گر Handshake یک شبکه وای فای که از امنیت WPA یا WPA2 استفاده می کند را به دست آورده است.

در این مرحله اقدام به بروت فورس کردن آن در سیستم خود و یا یک سیستم قدرتمند مانند سرور مجازی (vps ) می کند.

چون نفوذگر مقدار رمز گذاری شده را در دست دارد، به این نوع حمله بروت فورس آفلاین گفته می شود.

در این روش ابتدا اقدام به بررسی همه احتمالات و ترکیب های موجود ۸ رقمی می کند.

چون حداقل تعداد کاراکتر های رمز وای فای باید ۸ رقم باشد.در حمله بروت فورس نفوذ گر کاراکتر ها را مشخص کرده سپش اقدام به کرک کردن آن مقدار رمز گذاری شده می کند.

برای مثال از عبارت ۰۰۰۰۰۰۰۰ شروع کرده و بعد ۰۰۰۰۰۰۰۱ و ۰۰۰۰۰۰۱۱ و…. و ۹۹۹۹۹۹۹۸ و ۹۹۹۹۹۹۹۹ را امتحان می کند و زمانی که تعداد به پایان رسید همین کار را برای حروف انجام می دهد.

در هربار،مقدار رمز گذاری شده جدید با مقدار رمز گذاری شده در handshake شبکه وای فای مقایسه می شود.

هرگاه هر دو مقدار یکی بود، یعنی رمز وای فای همان است اما اگر مقادیر یکی نباشد سراغ ترکیب بعدی می رود.

حملات بروت فورس برای رمزهایی که فقط از اعداد یا کاراکتر های کمی استفاده شده باشد موثر خواهد بود. مثلا:

یک رمز ۸ رقمی که از اعداد ۰ تا ۹ استفاده شده است می تواند در کمتر از یک روز با یک کامپیوتر عادی به دست آید.

 

بروت فورس چگونه می تواند تهدیدی برای سایت های وردپرسی باشد؟

 

اگر نفوذ گر به نام کاربری ما دست پیدا کند این حمله را روی صفحه ورود سایت ما پیاده سازی می کند.

در این حالت هکر یوزر نیم را دارد و فقط به پسورد نیاز دارد.

اما یک هکر چگونه می تواند به پسورد ما دسترسی پیدا کند؟

الف ) نمایش نام کاربری در پست ها

در بعضی از پوسته های وردپرسی این امکان وجود دارد که در زیر یک مطلب نام نویسنده مشخص می شود.

در صورتیکه شما از قسمت پروفایل نام نمایشی در سایت را تغییر نداده باشید این مورد می تواند خطرناک باشد.

زیرا نفوذگر به سادگی نام کاربری شما را پیدا کرده است.

برای تغییر این مورد:

در پیشخوان وردپرس از قسمت بالا، سمت چپ بر روی “ویرایش شناسنامه من” کلیک کنید و در قسمت نمایش عمومی نام، نام دیگری را برای خود انتخاب کنید.

ب) کمک صفحه ورود به نفوذگران

مشکلی به صورت پیش فرض در وردپرس وجود دارد و آن نمایش خطاهایی است که به نفوذگران در یافتن نام کاربری مدیر کمک می کند.

برای درک بهتر مثالی خدمتتان ارائه می کنیم:

در صفحه ورود به سایتمان اگر یوزر را اشتباه وارد کنیم پیغام خطا به این شکل است:

“نام کاربری نادرست است”.

حالا اگر نام کاربری را صحیح وارد کنیم و فقط پسورد را اشتباه بزنیم باز هم پیغام خطا داریم،اما به این شکل:

“رمز عبوری که برای یوزر(نام یوزر را نشان می دهد) وارد کردید صحیح نیست”.

در این پیغام خطا نکته مهمی وجود دارد.

وردپرس با این خطا اعلام می کند که نام کاربری درست است و فقط پسورد مشکل دارد !!!

بنابراین کار هکر را بسیار راحت تر کرده است.

پس همانطور که می بینید این مورد میتواند راهنمای بسیار عالی برای نفوذ هکر ها باشد.

 

 

این مطلب نیز می تواند کمکتان کند.

 

همراه ما باشید.

نظراتتان را به ما هدیه کنید.

آرزوی ما سربلندی شماست.

 

منبع:باشگاه وردپرس

امنیت وردپرس | امنیت wp-config | امنیت صفحه ورود
به این مقاله امتیاز دهید.
مطلب فوق را با دوستان خود در شبکه های اجتماعی به اشتراک بگذارید

۲ دیدگاه برای “امنیت وردپرس | امنیت wp-config | امنیت صفحه ورود”

نظر شما!!