دلایل هک شدن cms ها

بسیاری از افراد فکر می کنند امنیت پایین سرور دلیل هک شدن cms ها باشد ولی دلیل اصلی همان سیستم های cms ی است که از آن استفاده می کنند.

مواردی که باعث هک شدن cms ها می شود

به نقل از پویاسازان آسیب پذیری در هاست هایی با سیستم مدیریت محتوا اغلب توسط هکر ها انجام می گیرد . هنگامی که یک سیستم مدیریت محتوا مورد حمله ی هکر قرار می گیرد ، حتی می تواند سرور را هم تحت تاثیر قرار دهد و به عنوان یک هدف برای هکر باشد.

با روی کار آمدن سیستم های مدیریت محتوای رایگان از جمله وردپرس ، جوملا ، دروپال و … ( هرچند فوق العاده سیستم های قوی از نظر امنیت هستند ) ولی باز هم به دلیل رایگان بودن آنها و در دسترس بودن سورس آنها توسط هکر ها ، هر لحظه امکان هک شدن آنها وجود دارد .
شما مدام می بینید که سیستم های مدیریت محتوا بروزرسانی امنیتی می دهد ، در ابتدا یک سری مشکلاتی پیدا می شود ، سپس این مشکلات گزارش می شوند و بسته ی بروز رسانی ایجاد می شود . اما نکته ی مهم این است که این بسته ها پس از اینکه توسط هکرها کشف و مورد سوء استفاده قرار می گیرد ساخته می شوند برای همین امنیت در فضای مجازی هیچ زمان تضمین شده نیست.

امنیت زیر ساخت ها برای هر وب سایت یک امر حیاتی است حتی اگر اطلاعات حساس در میزبانی نداشته باشید.
درست است که شرکت هاستینگ مطمئن و استفاده از هاست مطمئن نیز در امنیت سایت بی تاثیر نیست ، ولی علاوه بر اینکه باید این مورد را نیز در نظر داشت باید به موارد دیگر که در ارتباط با خود کاربر است نیز دقت کرد و موارد امنیتی را انجام داد.
در این پست قصد داریم نکاتی که باعث هک شدن cms شما می شود را توضیح دهم که می توانید با رعایت آنها ضریب امنیت وب سایت خود را تا حد قابل قبولی بالا ببرید .

آپدیت نبودن مدیریت محتوا و افزونه ها

این مورد از درجه اهمیت بالایی برخوردار است . در صورتی که سی ام اس استفاده شده آپدیت نباشد به راحتی سایت توسط هکر هک می شود .
بسیاری از سایتهای موجود در اینترنت با سیستم مدیریت محتوای رایگان راه اندازی شده اند ، به همین دلیل سایت هایی که با سی ام اس است بیشتر مورد توجه هکر ها قرار گرفته است.

برای افزایش امنیت وب سایت خود باید همیشه نسخه سی ام اس استفاده شده و تمامی افزونه های خود را به روز رسانی کنید. وقتی شما همیشه آپدیت باشید در واقع مسیرهای نفوذ برای هکرها بسته می ماند و تا وقتی که آنها بتوانند روشهای جدید هک را پیدا کنند , آپدیت بعدی از راه می رسد و مجددا راه های نفوذ آنها بسته می شود.
زمانی که سی ام اس آپدیت نباشد علاوه بر هک شدن سایت می تواند حتی منجر به مشکلات دیگری از جمله اسپمینگ از هاست شما شود که این مورد علاوه بر اینکه مشکلاتی برای شما ایجاد می کند در کار سایر کاربران دیگر نیز اختلال ایجاد می شود.

عدم قرار دادن رمز بر روی پوشه ادمین سیستم مدیریت محتوا

زمانی که بر روی پوشه ی مدیریت سی ام اس خود پسورد قرار ندهید هکر با هک کردن هاست شما به راحتی می توانید به این پوشه دست پیدا کند.
تمامی هاستینگ ها این امکان را در اختیار شما قرار می دهند که برای یک فایل یا یک پوشه نام کاربری و رمز عبور انتخاب کنید .
از گزینه ی password protect می توانید برای بالا بردن امنیت یک وب سایت استفاده کنید بنابراین باید پوشه های مدیریت cms ها رو با استفاده از این روش رمز گذاری کنید.

منظور از پوشه مدیریت ، همان پوشه ای هست که با ورود به آن ، به قسمت مدیریت cms وارد میشوید.
مثلا برای وردپرس ، پوشه ی wp-admin می باشد .

تاثیر ویروسی شدن کامپیوتر شخصی شما در هک شدن cms

این یکی از روش‌های رایج نفوذ گران است. معمولاً این نرم‌افزارهای مخرب بدون اینکه مدیر سایت مطلع شود تمامی رمز عبورها را مخفیانه برای نفوذگر ارسال می‌نمایند.
از امن بودن کامل کامپیوتر شخصی خود مطمئن شوید و یک نرم‌افزار ضد ویروس قوی بر روی آن نصب نمایید.

استفاده از رمز عبور ساده و قابل حدس ؛ عامل شایعی در هک شدن cms

یکی دیگر از عواملی که باعث هک شدن وب سایت شما می شود پسورد های راحت و ضعیفی است که شما برای هر کدام از قسمت های هاست خود انتخاب کرده اید.
پسورد های ایمیل ، دیتابیس ، مدیریت سی ام اس و … را به پسورد های سخت و پیچیده تغییر دهید.

هک شدن cms با عدم تنظیم سطح دسترسی ها

معمولا برخی از کاربران از سطح دسترسی full control برای فایل یا فولدر خود استفاده می کنند که در این صورت دسترسی را برای هکر راحت تر می کنند.
فایل یا فولدر ها را تا زمانی که نیاز برنامه نباشد سطح دسترسی full یا ۷۷۷ ندهید.

حذف نکردن افزونه های بلا استفاده

مسئله دیگر که ممکن است مهم به نظر نرسد، حذف نکردن افزونه های بلا استفاده در سیستم های مدیریت محتوا است. افزونه ها و کامپوننت هایی که در سایت کاربردی ندارند و یا آن ها را نمی شناسید و از آنها استفاده نمی کنید را حذف کنید.

عدم رعایت راهنمای امنیتی

راهنمای امنیتی تمام نرم‌افزارها ، ماژول‌ها ، قالب‌ها و پلاگین های مورد استفاده خود را به صورت کامل و دقیق مطالعه کنید و تمامی مراحل را به صورت کامل انجام دهید. انجام ندادن حتی یکی از موارد امنیتی می‌تواند منجر به هک شدن سایت شما شود.

استفاده از پلاگین های غیر قابل اطمینان

در سیستم های مدیریت محتوا ، به هیچ عنوان از پلاگین هایغیر قابل اطمینان استفاده نکنید . هر پلاگین و قالبی قابل اطمینان نیست .
پلاگین ها می توانند با توجه به برنامه نویسی ضعیفشان ، سایت شما را دارای باگ امنیتی کرده و هکر به سایت شما نفوذ کند .
تمام پلاگین های مورد نیاز را از سایت رسمی وردپرس دریافت کنید.

استفاده از شناسه پیش فرض admin

هنگامی که با وردپرس وب سایت خود را راه اندازی می کنید به صورت پیش فرض مثلا در وردپرس نام کاربری  admin در کادر مربوط به شناسه ی کاربری وارده شده است.
پیشنهاد می کنیم از یوزر ادمین استفاده نکنید ، زیرا اگر پسورد شما هم راحت باشد  هکر از روش brute- force می تواند وارد محیط مدیریتی سی ام اس شما شود.

مخفی نگه نداشتن نسخه ی استفاده شده

در صورتی که نسخه ی سی ام اس استفاده شده قابل نمایش باشد هکر می تواند متوجه شود که شما در حال استفاده از چه نسخه ای هستید و ممکن است از نقاط ضعف ان نسخه استفاده کند.
شما می توانید از طریق فایل مربوط به این مورد ، نسخه را حذف کنید.

استفاده از کدها دارای امنیت پایین

یکی از رایج‌ترین عوامل هک شدن cms استفاده از کدهای نا امن می‌باشد زیرا نفوذ از طریق کد ساده‌تر از نفوذ از روش‌های دیگر مانند سرور ، شبکه و یا هاست می‌باشد .
از یک متخصص امنیت درخواست نمایید امنیت تمامی بخش‌های سایت شما را بررسی نماید.