آموزش هوشمند امنیت و طراحی وب

  • تکنولوژی های وب و ترندهای وردپرس
صفحه اصلیامنیت وردپرسآسیب پذیری های وردپرس

آسیب پذیری های وردپرس

نویسنده: رضا دهقان | تاریخ انتشار: ۱۳۹۸/۰۸/۲۴ | دسته بندی: امنیت وردپرس|

آسیب پذیری های وردپرس

وردپرس دارای سه مؤلفه مهم و اصلی است که از دید امنیتی دارای اهمیت می باشند. این سه مؤلفه به ترتیب عبارتند از:

  • هسته وردپرس یا WordPress Core

فایل های اصلی و پیش فرض وردپرس که در جهت نصب و راه اندازی وردپرس بیشترین عملکردها را ارائه می دهند.

  • پلاگین(افزونه ها) یا Plugins

مجموعه ای کدها و توابع برای بهبود عملکردهای اصلی و توسعه کارکردها در وردپرس

  • قالب(پوسته) یا Themes

لایه ارائه دو مورد فوق، که ممکن است برخی قابلیت‌های گسترده محدودی ارائه دهد.


نکته قابل‌توجه این است که آسیب‌پذیری‌های امنیتی وردپرس، فراتر از هسته اصلی یا افزونه ها قرار می‌گیرند. طبق گزارشی که اخیراً توسط wpscan.org انجام شده، درصد آگاهی از آسیب پذیری های امنیتی وردپرس به شرح زیر است:

  • ۵۲% افزونه وردپرس
  • ۳۷% هسته وردپرس
  • ۱۱% قالب وردپرس

هدف یک هکر، دسترسی غیرمجاز به سایت وردپرسی شما با دسترسی اجرایی است. این کار یا از روی پیشخوان و یا از سمت سرور با قرار دادن کد در نوشته‌ها و یا فایل‌ها انجام می‌شود.(تزریق کد)

اصطلاحات زیر معمولاً  برای شرح سیستم هک مورد استفاده قرار می‌گیرند:

  • Single Bot

ربات: یک کامپیوتر خودکار که می‌تواند در یک زمان مشخص، به تعداد کمی از سایت‌ها حمله کند. حملات معمولاً ساده هستند.

  • A Person

شخص که به صورت دستی اقدام به هک می کند و در یک زمان به یک سایت حمله می‌کند. (یک روش کند اما جامع).

  • A Botnet

بات نت گروهی از رایانه‌ها است که همزمان به چند سایت حمله می‌کنند. این حملات ساده هستند اما تعداد زیادی از رایانه‌ها با ip های چندگانه به پیچیدگی اضافه می‌شوند. (این روش به روش زامبی معروف است که با آلوده کردن گروهی از سیستم ها اقدام به هک توسط شخص هکر می شود)

دو نوع حمله اصلی وجود دارد که می‌تواند بر علیه وب سایت‌های وردپرس انجام شوند:

  • حملات خودکار غیر هدفمند

این نوع از حملات عمومی هستند و از یک آسیب‌پذیری شناخته‌شده ای استفاده می کنند. این حملات ممکن است با اسکن کردن گستره‌ای از آدرس‌های IP کار کنند. سیستم خودکار به دنبال یک نسخه خاص از وردپرس یا یک افزونه است.به عبارت دیگر در جستجوی نسخه هایی از وردپرس یا افزونه ها که دارای آسیب پذیری هستند.(exploit).

  • حملات هدفمند

زمانی انجام می شوند به طور خاص هدف هکر، یک وب سایت باشد و اساساً یک وب سایت را مورد هک قرار می دهد. توجه داشته باشید که وب سایت‌های معروف و محبوب احتمال بیشتری برای هک شدن دارند.


لیست زیر، روش های هک و موارد امنیتی مشترک مهمی است که وب سایت های وردپرسی را تهدید می کند.

  • حمله بروت فورس یا Brute Force Attack

این حمله به ورود مکرر نام کاربری و ترکیباتی از رمز عبورهایی که به صورت لیست تهیه شده اند، تا رسیدن به موفقیت اشاره دارد.(به Password List معروف هستند).

در این روش لیستی از نام کاربری های پیش فرض به همراه لیستی از پسوردها تهیه و شروع به تست از طریق صفحه Login شده تا به موفقیت ختم شود. متاسفانه وردپرس به طور پیش‌فرض تلاش‌های ورود به سیستم را محدود نمی‌کند. ربات‌ها می‌توانند با استفاده از روش brute – force به صفحه ورود به سیستم وردپرس حمله کنند.

  • File Incoits Exploits یا استفاده از فایل اکسپلویت

یک سایت وردپرسی در قسمت Back-End با کدهای PHP اجرا می شود. وجود آسیب پذیری در کدهای PHP را می توان یکی از آسیب پذیری های رایج در وردپرس دانست. سوء استفاده از آپلود فایل ها زمانی اتفاق می افتد که از یک کد آسیب پذیر برای بارگذاری پرونده های ناامن از راه دور استفاده می شود.
این امر به هکرها امکان دسترسی به وب سایت و پرونده wp-config.php آن را می دهد.

  • SQL Injections یا تزریق کد SQL

وردپرس برای پرس و جو از دیتابیس از کوئری های SQL استفاده می کند و این امر باعث آسیب پذیر بودن وردپرس در برابر حملات Sql Injection شود.

تزریق SQL زمانی رخ می دهد که یک مهاجم (هکر) به پایگاه داده (database) وردپرس و داده های وب سایت دسترسی پیدا کند. بعد از دسترسی به پایگاه داده، می تواند یک حساب کاربری جدید ساخته، وارد سیستم شده و در نهایت دسترسی کامل به سایت وردپرسی داشته باشد.

تزریق SQL همچنین ممکن است داده های جدیدی را در پایگاه داده وردپرس مانند لینک به وب سایت های مخرب یا Spam وارد کند.

  • Cross-site scripting (XSS) یا حمله XSS

بیشترین آسیب پذیری موجود در افزونه های وردپرس، آسیب پذیری XSS است. مهاجم اقدام به بارگذاری اسکریپت های مخرب خود در صفحات وب می کند. این دستورالعمل‌ها برای دزدیدن اطلاعات از وب سایت آسیب‌پذیر وردپرس به کار می‌روند.

  • Cross-site Request Forgery (CSRF) یا جعل درخواست از سایت های دیگر

مکانیسم هک در این روش، یک کاربر را به انجام یک اقدام ناخواسته هدایت می‌کند.این عمل معمولاً از طریق یک برنامه تحت وب که در آن تأیید اعتبار صورت می گیرد، انجام می شود.

برای مثال، یک ایمیل فیشینگ با لینک به صفحه ای که باعث حذف حساب کاربری در مدیریت وردپرس می شود.

  • Malware یا بدافزار

نرم‌افزارهای مخرب یا بدافزارها، کدهای مخربی است که می‌تواند دسترسی غیرمجاز به وب سایت را به دست آورده و داده‌های حساس را جمع‌آوری کند.

با وجود انواع مختلفی از بدافزارها، وردپرس در مواردی از آن ها آسیب پذیر نیست، چهار مورد از مهم ترین بدافزارها به شرح زیر است:

  • Backdoors
  • Drive-by downloads
  • Pharma hacks
  • Malicious redirects
102 بازدید


اشتراک گذاری کنید:


رضا دهقان

رضا دهقان اینستاگرام
طراح و توسعه دهنده وب | فارغ التحصیل مهندسی امنیت اطلاعات

  • دیدگاه های ارسال شده توسط شما، پس از تایید توسط تیم مدیریت در وب منتشر خواهد شد.
  • پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • پیام هایی که به غیر از زبان فارسی یا غیر مرتبط باشد منتشر نخواهد شد.


هنوز دیدگاهی ارسال نشده! نظر شما چیست؟