یکی از وب‌سایت‌های من هک شد و مقصر خودم بودم!

در دنیای امروزی، تمام وب‌سایت‌ها اهداف متحرک هستند.

هیچ وب‌سایتی نباید به حال خود رها شود، حتی اگر مطالب موجود در آن قدیمی باشد.

تکنــــــــــــــازدانلود:نویسنده‌ی مطالب امنیت دیجیتال برای ZD Net، شرحی از هک شدن یکی از وب‌سایت‌هایش نوشته‌است که روایتی جالب از بی‌احتیاطی فردی است که خود دیگران را به احتیاط توصیه می‌کند. او می‌نویسد، نرم‌افزار سرویس‌دهنده و سیستم‌های امنیتی که پشتیبان یک سایت اینترنتی هستند، باید به طور ثابت و منظم به روز رسانی شوند تا از خطراتی چون حمله و تخریب در امان باشند. ماجرا با یک پیام از طرف همسرم شروع شد: «سایت ZATZ توسط مطالب پورن و غیر اخلاقی آلوده شده.» این اصلا خبری نیست که انتظار شنیدن آنرا در ساعت ۶ عصر روز قبل از تعطیلات داشته باشید. من برای تعطیلات آخر هفته برنامه‌ریزی کرده بودم که شبی طولانی را صرف لم دادن و تماشای تلویزیون کنم، ولی مثل اینکه مقدر نبود! به جای آن مشغول حذف مطالب پورن از سایت شدم که تا حدود ۲ صبح زمان برد.

مسئله اینجاست که می‌دانستم چنین بلایی به سرم خواهد آمد؛ در واقع چیزی حدود یک سال پیش بود که تصمیمی گرفتم که مستقیما به همین واقعه‌ی دلخراش و غم انگیز مربوط می‌شد. آن زمان به خوبی می‌دانستم که سرانجام متضرر خواهم شد.

ماجرا از این قرار بود: در دنیای امروزی، تمام وب‌سایت‌ها اهداف متحرک هستند. همیشه این یک جدال تسلیحاتی مابین اپراتورهای وب‌سایت‌ها و اسپمرها و کلاهبرداران اینترنتی بوده که می‌خواستند از آنها برای هر هدفی استفاده کنند؛ از بد افزار گرفته تا وصل کردن به سایت‌های پورن و دزدیدن ترافیک. چون این یک جدال تسلیحاتی است، امنیت سایت، کاملا به نحوه عملکرد اپراتور وبسایت بستگی دارد. اینکه به طور مداوم وبسایت، نرم‌افزار سرویس‌دهنده‌‌ی آن و سیستم‌های امنیتی و حفاظتی را به روز رسانی کند. کوتاهی در هریک از موارد بالا می‌تواند سبب شود که خرابکاران حفره‌ای در وبسایت پیدا کرده و در آن رخنه کنند.

این بلایی بود که بر سر وبسایت من آمد و آنها دقیقا به همین شیوه وارد شدند! اتفاقی که افتاد از این قرار بود که آنها در نسخه‌ی موبایل (همراه) وبسایت یک کد تغییر مسیر جاسازی کردند. نتیجه این عمل این است که اگر من از مرورگر نسخه‌ی رومیزی از وبسایت بازدید می‌کردم، همه چیز عادی به نظر می‌آمد، ولی اگر وبسایت به وسیله مرورگر موبایل بازدید می‌شد، متوجه می‌شدید که خرابکاران به کدهای هسته وبسایت نفوذ کرده‌اند و کدهای تغییر مسیر به آدرس سایت‌های پورن را به جای کدهای اصلی قرار داده اند.

این اتفاق کاملا قابل جلوگیری بود.

بله می‌دانم که خیلی تمسخر انگیز است که یک متخصص امنیت سایبری «هک» شود! این مثل همان داستان قدیمی آرایشگری است که هیچ وقت موهای خودش را کوتاه نمی‌کرد. اصولا هیچ وقت به هیچ کسی پیشنهاد نمی‌کنم که سایتی را دست نخورده رها کنند، ولی یک تفاوت عمده بین “جناب آقای مشاور امنیت سایبری «کبیر»” و یک اپراتور معمولی وبسایت وجود دارد: من می‌دانم که چطور تعمیرش کنم. اما به هر حال، واقعاً تعمیر و کاهش خرابی‌ها طاقت فرساست مخصوصا وقتی که برنامه ریزی کرده باشید که یک شب به خودتان استراحت دهید.

خب حالا ما چطور به اینجا رسیدم؟ سایت ZATZ دیگر مرتب به روز رسانی نمی‌شد، در صورتی که یکی از وبسایت‌های پر بازدید بود که بارها در طول روز بازدید می‌‌شد، ولی از زمانی که من عنوان شغلم را از موسس شرکت به مشاور، مقاله‌نویس و مربی تغییر دادم، هزاران مقاله موجود در سایت ZATZ در حال حاضر فقط آرشیو هستند. ما هیچ پرداختی و درآمدی از سوی تبلیغات نداشتیم، هر چند که تعدادی از تبلیغات قدیمی بر روی سایت موجود بود. به این دلیل، من به ندرت زمانم را صرف آن می‌کردم.

نکته‌ی مهم این است که این یک سایت وردپرس بود. چند سال پیش من سایت را از سیستم UserLand به وردپرس منتقل کردم، خصوصاً به خاطر پشتیبانی سطح بالا و قابل قبولی که در دنیای وردپرس موجود بود. بی شک در کنار مزایای وردپرس، عیبی هم وجود داشت و آن وجود سایت‌های زیادی روی سیستم وردپرس بود که این وبسایت را بیشتر در تیر رس هکرها قرار می‌داد. راههای زیادی برای افزایش استقامت سایت‌های مبنی بر وردپرس وجود دارد که یکی از آنها استفاده از پلاگین‌های (افزونه) امنیتی است. سایت ZATZ از مقاومت بالایی برخوردار بود و از این دسته افزونه‌ها بهره مند بود.

پس اشتباه من کجا بود و چرا مقصر ماجرا من بودم؟

خیلی کارها نیازمند انجام است تا سایت وردپرس از حملات هکر‌ها و عملاً هک در امان بماند. در این میان یک قانون طلایی وجود دارد، و این همان قانونی است که من از آن چشم پوشی کردم: همیشه وردپرس را به آخرین نسخه بروز رسانی کنید. این بدان معناست که همیشه سیستم وردپرس، قالب‌ها و پوسته‌ها و همچنین تمام افزونه‌هایی که از آنها بر روی سایت استفاده می‌کنید را، به آخرین نسخه بروز رسانی کنید.

من اینکار را نکردم و حدودا یک سال پیش بود که تصمیم خیلی ظالمانه‌ای در اولویت و زمان بندی در حق وبسایت گرفتم: وبسایت‌ها را رها کردم و مشغول انجام کارهای متفرقه شدم. بعضی وقتها از این قبیل اولویت بندی‌های ظالمانه می‌کنم ولی این بیش از اندازه بود! می‌دانستم که احتمال هک شدن خیلی بالاست ولی تنبلی کردم و زمانی که می‌توانستم در هر ماه آخر هفته‌ها را به سایت اختصاص داده و حتی به صورت جزئی به آن سامان دهم؛ این کار را نکردم. کارهای متفرقه‌ای که گفتم خیلی هم متفرقه نیستند و من آواری از این کارهای طاقت فرسا داشتم، و واقعاً این کار وبسایت آنقدرها برایم مهم نبود.

من وبسایت را به حال خود رها کرده‌بودم

بروز رسانی وب‌سایت منوط به نصب نسخه‌ی جدید وردپرس و هزینه کردن برای بروز رسانی پوسته‌ها و افزونه‌ها بود. نه تنها من تصمیم گرفتم که مدیریت وبسایت را در اولویت پایین‌تری قرار دهم، از جمله به این دلیل که بعد از این همه مدت نمی‌‌توانستم روی آن به عنوان یک سایت درآمدزا حساب کنم، بلکه نمی‌خواستم هزینه‌ی زیادی هم صرف مخارجش کنم.

مدتی گذشت و توسعه‌گران وردپرس و افزونه‌ها و پوسته‌ها؛ محصولات خود را بروز رسانی کردند و اکسپلویت‌های (تکه کدی که دارای ایراد است و سبب وجود اشکال و در نتیجه هک آن می‌شود) موجود را که تا آن زمان وجود داشت؛ بارها و بارها شناسایی رفع و حذف کردند. ولی سایت من هنوز در حال خود بود و دقیقا دو نسخه عقب تر از آخرین بروزرسانی‌ها بود. در نتیجه سایت من دارای “اکسپلویت” بود.

خدا را شکر که وردپرس خیلی محبوب است و از همین‌رو منابع یدکی بیشماری دارد که از جمله شامل سرویس کاهش آسیب پذیری در مقابل هک می‌شوند. من با بعضی از آنها آشنایی زیادی داشتم و بسیاری از توسعه گران را در WordCamp (کنفرانسی که مربوط به وردپرس است) ملاقات کرده بودم. در مقایسه با خدماتی که این سرویس‌ها ارایه می‌دهند، یک کاربر باید زمان قابل توجهی را صرف شناسایی و حذف هک و عیب یابی و تعمیر وبسایت کند.

بالاخره Sucuri را انتخاب کردم، بخاطر اینکه این شرکت یک سرویس رایگان اسکن سایت جهت شناسایی بد افزار‌ها در اختیارتان می‌گذارد (به شدت پیشنهاد می‌کنم که هم اکنون از این سرویس بر روی وبسایت خود استفاده کنید)، به علاوه‌ی نظارت تمام وقت برای کاهش نفوذ و هک وبسایت. بدیهی ترین امر ممکن همین نظارت مداوم و ثابت Sucuri جهت شناسایی حفره‌های امنیتی است. همچنین خیال استفاده از InfiniteWP، ManageWP و یا MainWP را دارم تا بتوانم از یک کنسول مدیریت مرکزی بر روی تمام وب‌سایتهایم بهره مند شوم.

من از این هک خیلی راحت خلاص شدم. ولی محض اطلاعتان هک شدن اصلا جالب نیست، اصلا انتظار اینکه مبلغ و زمان قابل توجهی را در تعطیلات آخر هفته صرف بروز رسانی و تعمیر کنم را نداشتم. همچنین هرگز به تماشای برنامه‌های تلویزیونی مورد علاقه‌ام نرسیدم!

بزرگترین نکته این است که هیچ وب‌سایتی نمی‌تواند و نباید از لحاظ سیستم مدیریتی و نرم‌افزاری قدیمی شود! حتی اگر مطالب موجود در آن قدیمی باشند و جزو آرشیو محسوب شوند، سیستم‌های اصلی راه انداز سایت از قبیل نرم‌افزار سرویس‌دهنده و سیستم‌های امنیتی و هسته‌ی وبسایت باید مرتباً بروز رسانی شوند تا از این قبیل خطرات جلوگیری به عمل آید.