در گوشه و کنار خبرها و سخن‌ها بود اما هیچ کس مطمئن نبود تا اینکه یکی از غول‌های دنیای وردپرس، lorelle پستی در این‌باره نوشت. حالا شما یک راه بیشتر ندارید وگرنه شاید مجازات سختی در انتظار شما باشد. مجازاتی سخت و تلخ. هک شدن!

مهم: هک وبلاگ من با این مسئله مربوط نیست. با این حال اصلا قضیه را دست‌کم نگیرید. بعد از خواندن پست یک ثانیه هم صبر نکنید. هیچ‌کس از چند دقیقه بعد شما خبر ندارد.

• همین الان آپدیت کنید! همین الان!
  همه شواهد حاکی از آن است که تنها راه خلاصی از دست این حملات ارتقای وردپرس‌تان به آخرین نسخه است. اصولا در هر نسخه کلی به امنیت وردپرس افزوده می‌شود. حتما وردپرس خود را از سایت وردپرس به نسخه 2.8.4 ارتقا دهید.

اگر برای شما سوال است که چطور متوجه شوید وردپرس‌تان از چه ورژنی استفاده می‌کند ساده‌ترین راه این است که به پیش‌خوان بروید و در پایین‌ترین قسمت به دنبال ورژن آن بگردید. مثلا برای من نوشته شده است: “نگارش 2.8.4″

اگر چنین چیزی را پیدا نکردید یعنی وردپرس شما خیلی قدیمی‌تر از این حرف‌هاست. بروید جلوی کولر بنشینید و نماز شکر به جای آورید که مشکلی تاکنون نداشته‌اید. اگر چنین چیزی را پیدا کردید که مثلا نوشته شده است 2.7.1 آنگاه کار برای هکرها کمی سخت‌تر است اما از آنجایی که باز هم فکر می‌کنم وبلاگ‌تان ارزش آن را داشته باشد که کمی زحمت به خودتان بدهید باز هم توصیه می‌کنم به ( حداقل ) 2.8.4 ارتقا دهید.

برای ارتقا می‌توانید از آپگرید اتوماتیک استفاده کنید. اما به نظر من بد نیست ریسک نکنید و این بار را دستی ارتقا دهید. البته این حرفم مثل بقیه ‌حرف‌هایم نیست که بی‌دلیل باشد :)
در ارتقای دستی بیشتر متوجه فایل‌های مهم روی سرورتان می‌شوید و اگر فایل مشکوکی دیدید سریعا می‌توانید دست به کار شوید و برای شناسایی و حتی نابودی آن اقدام کنید.
در ثانی مشاهده شده است که تعدادی از کاربران بعد از ارتقای اتوماتیک با مشکل مواجه شده‌اند. من حدس می‌زنم اشکال مربوط به افزونه‌ای خاص و مشخصا افزونه پادپرس بوده باشد ( چنین افزونه‌ای روی سیستم خود دارید؟ ) برای همین است که می‌گویم دستی آپدیت کنید. این بار دستمال نبندید به سری که درد نمی‌کند!

• آیا با این کار از نظر امنیتی دیگر مشکل نخواهم داشت؟
  ابدا. هکرها روز به روز قدرتمند‌تر و وحشی‌تر می‌شوند. به شدت باید مراقب وبلاگ خود باشید. برای همین در اولین قدم توصیه می‌کنم پست «مت بزرگ» با عنوان How to Keep WordPress Secure را از دست ندهید.

برای امنیت وردپرس‌تان از افزونه استفاده می‌کنید؟ کار خوبی می‌کنید! اما فراموش نکنید این برای زمان آرامش است. به شدت به دنبال راهکارهای امنیتی باید بود. البته نیازی به ترس هم نیست. تمام این کارها برای محکم‌کاری است وگرنه شما یک وردپرس امن ( 2.8.4 ) در اختیار دارید. اما باز هم توصیه می‌کنم توصیه‌های امنیتی بسیار ساده‌ای که وجود دارد را انجام دهید. بعضی از آنها فقط چند ثانیه وقت شما را می‌گیرد!
یک مورد ساده این است که از پسورد‌های جدید و قدرتمند استفاده کنید. سوالات و درخواست‌ها در این مورد زیاد است و من حتما باید برای این مورد یک پست تقدیم شما کنم ولی اصول کار بسیار ساده است. سعی کنید حتما از پسوردهای جدیدی برای دیتابیس‌ها، FTP و وبلاگ و کلا جاهای مهم استفاده کنید. به روز کردن پسورد امری ساده اما ضروری است. این را همیشه به یاد داشته باشید.

از آنجایی که نمی‌خواهم ابدا مشکلی برای شما پیش بیاید در آخر توصیه می‌کنم یک بک‌آپ از وبلاگتان بگیرید. هم به صورت خروجی از وردپرس و هم به صورت بک‌آپ از دیتابیس و کل سرور. این جوری دیگر راحت راحت خواهیم بود و اگر شب خوابیدم و صبح وبلاگم هک شده بود مشکلی نخواهیم داشت :)

• از کجا بفهمیم وبلاگ‌مان زیر آتش حملات است؟
  یک سر نخ مهم برای فهمیدن این موضوع اضافه شدن یوزر و ادمین است که به دو صورت اتفاق می‌افتد. اول اینکه یوزرهای اضافه درست شده باشد ( مانند عکس زیر ) که به راحتی از بخش کاربران قابل ردیابی است. هم‌اکنون وبلاگ من سه مدیر دارد که همه را هم خودم مدیر کردم ( دو مدیر دیگر برای بررسی‌های امنیتی فنی اجازه مدیریت یافته‌اند ) پس مشکلی نیست. شما هم به همین راحتی می‌توانید از این بخش مطمئن بشوید.

یک سرنخ دیگر این است که یک ادمین مخفی درست شده باشد که چون Hidden است ممکن است از دید شما دور مانده باشد. روی هاست خودتان بگردید و اگر به back door یا اسامی ناشناخته‌ای مانند Administrator (2) برخوردید نگران شوید!

سرنخ سوم به وجود آمدن آدرسهایی است که دارای کلیدواژه‌هایی چون eval و base64_decode است. اگر چنین آدرسهایی دیدید سریعا با مدیر سرور تماس بگیرید.

• اگر وبلاگ‌مان زیر حمله بود چه کار کنیم؟
  از خدا می‌خواهم امیدم را ناامید نکند از این که وبلاگ تمامی دوستان‌مان در وبلاگستان فارسی سالم بماند. اما اگر بعد از خواندن این مقاله باز هم تنبلی کردید و بک‌آپ نگرفتید و هک شدید حق‌تان است :)

واقعا امیدوارم از دوستان کسی هک نشود اما اگر هک شدید با من تماس بگیرید. حتی با دیدن هر سرنخی با من تماس بگیرید. من سعی می‌کنم اطلاعاتم را در این زمینه به روز نگه دارم که در صورت نیاز بتوانم اطلاعات دقیق‌تری ارائه کنم.
یک ایمیل کاربردی برای این منظور هم security@wordpress.org است که در صورت هک شدن یا دیدن هر چیز مشکوکی قبل از خوردن آب به آنها اطلاع دهید. یک تیم فوق قدرتمند از کارشناسان مسائل امنیتی به شما پاسخ می‌دهند.

یک نکته بسیار مهم!
این هک روی دیتابیس صورت می‌گیرد پس ابدا در صورت بروز مشکل از بک‌آپی که از دیتابیس گرفتید استفاده نکنید. تماس بگیرید یا در صورت واجب بودن حتما از بک‌آپی استفاده کنید که به صورت خروجی از وردپرس گرفتید.

و سوال آخر: آیا وردپرس امن است؟
من به شما می‌گویم که بی‌نهایت! وردپرس یک پروژه اوپن سورس است که از دو عنصر فوق‌العاده برای امنیت بهره می‌برد. یکی کاربرانش است که از نظر فنی در سطح بسیار بالایی هستند و به شدت در زمینه امنیت و پیدا کردن مشکلات امنیتی کمک می‌کنند. بد نیست بدانید تیم‌هایی در جهان هستند که روی مشکلات امنیتی وردپرس کار می‌کنند و همواره راه‌حل‌هایی برای مشکلاتی که هکرهای خلاق به وجود می‌آورند پیدا می‌کنند. این از مزایای اوپن سورسی بودن وردپرس است.
در سویی دیگر پشت نام تیم امنیتی وردپرس، همان‌ها که ایمیل security@wordpress.org را پاسخ می دهند تیمی از غولهای دنیای امنیت شبانه‌روز کار می‌کند. فراموش هم نکنید افرادی چون مت با این که سمتی در بخش امنیت ندارد باز خودش هم یک متخصص امنیت است و در این زمینه از اطلاعات خوبی برخوردار است ( همین‌طور بقیه تیم وردپرس! )
برای همین است که عرض کردم من که فکر نمی‌کنم وردپرس.کام روزی هک شود و از این هک مشکلی برای کاربرانش به وجود آید! وبلاگنویسانی که روی وردپرس.کام می‌نویسند که از هفت دولت آزادند چون خیالشان راحت است شاید هر سال در حد یک ساعت هم وبلاگشان داون نباشد! چه برسد به مشکلات جدی مانند هک!

در پایان باز هم تاکید می‌کنم. راه‌کارهای امنیتی بسیار ساده هستند. انجام دادن آنها چند دقیقه شاید در ماه وقت شما را بگیرد. تنبلی نکنید. انجام اصول امنیتی خیلی کمتر از بازیابی یک وبلاگ ( اگر بشود باز گرداند! ) زمان می‌برد. همین الان وردپرس خود را آپدیت کنید.

پی‌نوشت: از این دست پستهای مهم حتما توصیه می‌کنم پست «چه چیزهایی باعث معلق شدن اکانت توییتری شما می‌شود؟» را از دست ندهید.