مورد حمله قرارگرفتن سایت هایی که با وردپرس ساخته شده اند آن قدر زیاد است که به موضوعی عادی بدل شده است. چون اکثر استفاده کنندگان این سایت ها کاربران معمولی هستند، هکرها به سادگی می توانند این سایت ها را مورد حمله قراردهند و با SQL injection و تغییر کاربر مدیر یا کارهایی از این قبیل کنترل سایت را برعهده بگیرند.

اما اوضاع آن قدرها هم خراب نیست. نترسید! با چند حرکت ساده می توان از این اتفاقات در حد توان پیشگیری کرد:

نکات ساده و پایه:

۱ – نسخه فعلی وردپرس و افزونه های خود را همیشه به روز نگه دارید. وردپرس مدتی است که امکان به روزرسانی خودکار را برای هسته خود و حتی نسخه فارسی فراهم کرده و این کار کمتر از یک دقیقه وقت شما را می گیرد. قبل از به روزرسانی تهیه نسخه پشتیبان فراموش نشود! گرچه معمولا اتفاقی نمی افتد اما احتیاط شرط عقل است.

۲ – افزونه WP DB Backup (لینک افزونه – لینک سایت) را نصب کنید و نسخه پشتیبان از بانک اطلاعاتی سایت خود را روی سرور ذخیره کنید یا تنظیم کنید که آن را روزانه/هفتگی/ماهیانه به ایمیل شما بفرستد.

۳ – شاید این مورد تکراری باشد، اما باز هم یادآوری ضرری ندارد: از کلمه های عبور پیچیده و قوی استفاده کنید. کلمه عبورتان حتما بیشتر از ۸ کاراکتر شامل حروف و عدد باشد و اگر از نمادهای ویژه مثل # ٪ $ و غیره هم استفاده کنید که چه بهتر.

نکات فنی تر:

در بخش مدیریت هاست خود احتمالا به phpMyAdmin دسترسی دارید. اگر تا به حال با این برنامه کار نکرده اید از دوستی که مجرب تر است کمک بگیرید.

۴ – کاربر admin که پیش فرض اصلی کاربر مدیر وردپرس است معمولا مورد حمله قرار می گیرد. با استفاده از phpMyAdmin بانک اطلاعاتی سایت خود را باز کنید و این خط SQL را برای تغییر این نام کاربری استفاده کنید. (newuser را هر نام کاربری که دوست دارید قرار دهید)


UPDATE wp_users
SET user_login = 'newuser'
WHERE user_login = 'admin';


5 – هکرها با پی بردن به نسخه وردپرس شما و آگاهی از مشکلات نسخه های قدیمی به سایت شما حمله می کنند. با برداشتن برچسب generator از header سایت این امکان را از آنها بگیرید. برای نسخه های ۲٫۸ به بالاتر وردپرس با افزودن خط زیر به فایل functions.php پوسته خود می توانید این کار را انجام دهید.


remove_action('wp_head', 'wp_generator');


6 – و در نهایت آخرین و مهمترین نکته: هنگام نصب وردپرس و تنظیم wp-config.php مقدار پیش فرض prefix را برای جداول بانک اطلاعاتی از _wp به چیز دیگر تغییر دهید. اکثر SQL injection ها به این خاطر موفقیت آمیز است که هکر نام جداول شما را می داند. اگر این کار را نکرده اید می توانید ابتدا در فایل wp-config.php مقدار table_prefix$ را تغییر دهید و سپس با استفاده از SQL زیر جداول خود را تغییر نام دهید. (yourprefix را با عبارت انتخابی خود عوض کنید. فراموش نکنید که باید جداول افزونه های خود را به این لیست اضافه کنید.)


-- تغییر نام جداول اصلی سایت
ALTER TABLE wp_comments RENAME TO yourprefix_comments;
ALTER TABLE wp_links RENAME TO yourprefix_links;
ALTER TABLE wp_options RENAME TO yourprefix_options;
ALTER TABLE wp_postmeta RENAME TO yourprefix_postmeta;
ALTER TABLE wp_posts RENAME TO yourprefix_posts;
ALTER TABLE wp_term_relationships RENAME TO yourprefix_term_relationships;
ALTER TABLE wp_term_taxonomy RENAME TO yourprefix_term_taxonomy;
ALTER TABLE wp_terms RENAME TO yourprefix_terms;
ALTER TABLE wp_usermeta RENAME TO yourprefix_usermeta;
ALTER TABLE wp_users RENAME TO yourprefix_users;
-- تغییر نام جداول افزونه ها - چند مورد زیر به طور مثال ذکر شده است
ALTER TABLE wp_contact_form_7 RENAME TO yourprefix_contact_form_7;
ALTER TABLE wp_ngg_album RENAME TO yourprefix_ngg_album;
ALTER TABLE wp_ngg_gallery RENAME TO yourprefix_ngg_gallery;
ALTER TABLE wp_ngg_pictures RENAME TO yourprefix_ngg_pictures;
ALTER TABLE wp_ratings RENAME TO yourprefix_ratings;
-- تغییر اطلاعات دسترسی ها برای جلوگیری از اشکال در ورود به سایت با کاربر فعلی
UPDATE yourprefix_usermeta SET meta_key = REPLACE(meta_key,'wp_','yourprefix_');
UPDATE yourprefix_options SET option_name = 'yourprefix_user_roles' WHERE option_name = 'wp_user_roles' AND blog_id =0;


در پایان، توصیه می کنم با نصب افزونه WP Security Scan (لینک افزونه – لینک سایت) وضعیت امنیتی سایت خود را زیر نظر داشته باشید. این افزونه همچنین برخی از موارد بالا را برای شما انجام می دهد.

مرگ نت در ایران نزدیک است اما دوستان آسوده بخوابید.

داروغه همیشه بیدار است.

تنها تو را
که یادآور رنگ های کودکی هستی
دستهایت را
که شرم آلود به بازویم می ساید
و گرمای گونه هایم
که شیرین ترین خاطره آن سالهای بی بازگشت است

نقطه،
شاید دوباره…

می توانید بخندید اما وقتی خنده تمام شد کمی هم به آن سوی شوخی قضیه نگاه کنید. نرم افزاری به این شکل و در این مرحله از پیشرفت حاصل تفکری است که دنیای نت و کامپیوتر را در ابتدا تکان داد و سپس برای همیشه عوض کرد. تفکری که ویکی پدیا را آفرید. اوبونتو را به خانه ها آورد. وردپرس، مامبو، جوملا و … را به چیزی بیش از توقع هر برنامه نویس وب رساند. این … اینجا شامل چند موردِ بیشتر نیست. این لیست به سمت بی نهایت میل می کند.

تفکری که مایکروسافت را به زانو در خواهد آورد. دیکتاتوری کامپیوتری به روزهای پایانی خود نزدیک می شود و این حاصل همکاری بی پیرایه هزاران فعال دنیای دیجیتالی از سراسر جهان است.

بله من عاشق شدم. یا شاید جرات گفتنش را بعد از این همه سال پیدا کردم.

همان طور که از نام یک سایت شخصی بر می آید اینجا علاقه مندی های شخصی من – بهروز سنگانی – را می یابید. تضمین نمی کنم همه قسمت های آن برای شما جذابیتی داشته باشد، اما قول می دهم آنچه دوست دارم منتشر کنم.

اعتراضی هست؟ :دی

فعلا منتظر طراحی بهتر و نصب کامل سایت بمانید!