مشکلات اصلی:
قالب ها :
استفاده از قالب های رایگان و بدون گسترش دهنده. عموما احتمال اینکه محتوای مخرب در قالب های رایگانی که در سایت های متفرقه ارائه می شود بسیار زیاد است، بنابراین توصیه ما این است که هرگز از قالب های آماده استفاده نکنید.
همیشه نسبت به بروزرسانی قالب ها اقدام کنید، هر لحظه ممکن است راه نفوذی در کدهای قالب پیدا شود بنابراین اگر تا کنون مشکلی برای سایت و قالب سایت شما رخ نداده است به این معنی نیست که در آینده نیز مشکلی وجود نخواهد داشت.
· همیشه از یک متخصص کدنویسی یا وردپرس برای سایت خود استفاده کنید!
پلاگین ها:
مکانی بسیار مناسبی برای مخفی کردن کد های آلود است، به سه علت :
– کاربران به پلاگین ها دقت و توجه نمیکنند و تنها آن را نصب میکنند.
– کاربران علاقه ای به بروز رسانی پلاگین ها ندارد.
– برخی پلاگین های از کدهای ضعیف و دارای احتمال آسیب پذیری استفاده میکنند.
· از نصب بیش از اندازه پلاگین ها پرهیز کنید و هر پلاگینی را به صرف رایگان بودن فعال نکنید، همیشه بصورت مداوم پلاگین ها را بروز کنید.
پوشه آپلود:
به عنوان یک مدیر وب سایت هرگز پوشه آپلود را بررسی نمیکنید! تنها فایل های خود را آپلود میکنید. آپلود کردن یک backdoor در این پوشه بسیار راحت است زیرا این فایل در میان هزاران فایل دیگر پنهان میشود. از طرفی دسترسی به این پوشه در حالت write قرار دارد و این نفوذ را برای هکر ها آسان تر میکند.
راهکارهایی برای پیدا کردن فایل های آلوده و مخرب:
– استفاده از ابزارهای اسکن فایل های سایت مانند cxs (این ابزار باید از طریق مدیر سرور نصب شود)
– استفاده از WAF بروی سرور برای جلوگیری از باگ های شناخته شده (این ابزار باید از طریق مدیر سرور نصب شود)
– استفاده از ابزارهای اسکن آنلاین سایت مانند:
https://sucuri.net/scanner
https://freescan.qualys.com
– از پلاگین های malware scanner مانند Sucuri (نسخه پرداخت شده بسیار کارامد است)
– بررسی لاگ های ورود به کنترل پنل و FTP و بخش مدیریت سایت
– بررسی کدهای موجود در قالب های و پلاگین های
– بررسی فایل config و محدود کردن دسترسی به این فایل
– استفاده از پسوردهای قدرتمند و غیر ساده
– استفاده از password protect برای صفحه ورود به بخش مدیریت
– استفاده از پلاگین های محدود کننده لاگین Login Attempts
– غیر فعال کردن Editor قالب ها و پلاگین ها در داخل مدیریت
– محدود کردن دسترسی ها به پوشه ها و فایل های پر اهمیت
– بروز کردن هسته CMS و پلاگین ها بصورت مداوم
– حذف دیتابیس ها، فالب ها، پلاگین های اضافه و بدون کاربرد
