برای طرح سوال و دسترسی به آموزش ها  کانال ما در تلگرام بپویندید  

XMEN Team

وردپرس: بمب ساعتی که ممکنه هر لحظه هک بشه!

مقدمه

امروز می‌خوام درباره وردپرس حرف بزنم، همون سیستم مدیریت محتوا که خیلیامون باهاش سایت راه انداختیم. ولی خب، یه مشکلی هست: اگه حواستون به قالب‌ها و افزونه‌های نال‌شده (کرک‌شده) نباشه، سایتتون مثل یه بمب ساعتی می‌شه که هر لحظه ممکنه منفجر بشه! 💥 نگران نباشید، قراره با هم این بمب رو خنثی کنیم، یه کم اطلاعات بگیریم، و راه‌حل‌های امن پیدا کنیم. پس بشینید، یه چایی بریزید، و بیاید دقیق تر به موضوع بپردازیم.

 

یه اعتراف خنده‌دار: این خودمم سایتم وردپرسه چون از سال ۹۲ فعال دیگه دست نزدیم! 😅 ولی قسم می‌خورم که جرئت ندارم یه خط کد نال‌شده روش بندازم. آخه من که نمی‌خوام وسط شب، هکرا بیان سایت منو تبدیل به تبلیغ قرص لاغری کنن!

قالب‌های نال‌شده: بمب ساعتی واقعی!

تصور کن می‌ری تو یکی از این سایت‌های فروش قالب (اسم نمی‌برم که دردسر درست نشه)، یه قالب خفن می‌بینی که تو ThemeForest  قیمتش۶۰ دلاره، ولی اینجا فقط ۲۰۰ هزار تومنه! می‌گی: «ایولا، چه معامله‌ای!» نصبش می‌کنی، دو روز بعد یهو به خودت میای می‌بینی سایتت پر از بدافزاره یا هکرا دارن اطلاعات مشتریاتو می‌دزدن. 😱 چرا؟ چون خیلی از این قالب‌ها نال‌شده‌ان نمیگم ۱۰۰٪ ولی درصد قابل توجهی.

null شده یعنی چی؟

نال‌شده یعنی یه نفر قالب یا افزونه پرمیوم (پولی) رو از یه منبع معتبر خریده، لایسنسش رو دستکاری یا حذف کرده، و گاهی یه کد مخرب هم بهش اضافه کرده. بعد اینو با قیمت مفت می‌فروشه. تو فکر می‌کنی معامله کردی، ولی در واقع یه بمب ساعتی تو سایتت کار گذاشتی.

یه نمونه معروف: Revolution Slider

یکی از افزونه‌های پرطرفدار که تو ایران زیاد نال‌شده استفاده می‌شه، Revolution Sliderه. این افزونه اسلایدرهای قشنگی می‌سازه، ولی نسخه‌های نال‌شده‌ش یه فاجعه‌ان. گزارش شده که هکرا از باگ‌های امنیتی این افزونه سوءاستفاده کردن و سایت‌های زیادی رو هک کردن. مثلاً یه باگ قدیمی تو نسخه‌های نال‌شده اجازه می‌داد هکرا فایل آپلود کنن و کنترل سایت رو بگیرن. نتیجه؟ سایتت می‌شه زمین بازی هکرا!

ریسک‌های استفاده از قالب و افزونه‌های نال‌شده

استفاده از قالب و افزونه‌های نال‌شده مثل اینه که در خونه‌ت رو باز بذاری و یه تابلو بزنی: «هکرای عزیز، بفرمایید تو!» بیایم ریسک‌ها رو تو یه جدول خلاصه کنیم که هم شیک باشه، هم برای سئو به‌دردبخور:

ریسک توضیح چرا خطرناکه؟
هک و بدافزار (Malware) قالب‌های نال‌شده پر از کدهای مخربن که می‌تونن سایتت رو هک کنن یا بدافزار پخش کنن. یه روز سایتت باز می‌شه، پر از تبلیغ‌های عجیب‌غریب شده یا اطلاعات مشتریات غیبش زده.
عدم آپدیت خودکار بدون لایسنس اصلی، آپدیت‌ها دستی و ناقصن. باگ‌های امنیتی وردپرس درست نمی‌شن. یه باگ قدیمی تو وردپرس می‌مونه و هکرا ازش سوءاستفاده می‌کنن.
سرقت داده‌ها کدهای پنهان می‌تونن اطلاعات کاربران (مثل ایمیل و رمز) رو بدزدن. مشتریات شکایت می‌کنن، اعتبار سایتت نابود می‌شه.
مشکلات سئو گوگل سایت‌هایی که بدافزار دارن یا لینک‌های اسپم پخش می‌کنن رو شناسایی می‌کنه و از نتایج جستجو حذفشون می‌کنه (پنالتی). این یعنی ترافیک سایتت به صفر می‌رسه و زحماتت برای سئو به باد می‌ره. یه قالب نال‌شده می‌تونه لینک‌های مخفی به سایت‌های اسپم اضافه کنه و گوگل سریع سایتت رو جریمه می‌کنه.
هزینه‌های پنهان درست کردن یه سایت هک‌شده گاهی گرون‌تر از خرید قالب اورجیناله. فکر کردی ۲۰۰ هزار تومن صرفه‌جویی کردی، ولی حالا باید میلیون‌ها تومن خرج تعمیر بدی.

آمار واقعی: بیش از ۹۰٪ هک‌های وردپرس به خاطر قالب‌ها و افزونه‌های نال‌شده‌ست! حتی FBI سایت‌هایی که اینجور چیزا پخش می‌کنن رو مسدود کرده. حالا تو ایران، با این همه محدودیت، هکرا حسابی کیف می‌کنن!

چرا تو ایران انقدر نال‌شده پرطرفداره؟

ما ایرانی‌ها عاشق چیزای ارزونیم، نه؟ 😄 پرداخت دلاری برای قالب اورجینال برامون سخته: باید VPN روشن کنیم، حساب پی‌پال یا کردیت‌کارت جور کنیم، و کلی دردسر بکشیم. واسه همین می‌ریم سراغ «بعضی سایت‌های فروش قالب» که یه قالب خفن رو با ۲۰۰-۳۰۰ تومن می‌دن. ولی خب، ارزونی بی‌دلیل نیست. این سایت‌ها معمولاً قالب رو از منابع خارجی می‌خرن، نال می‌کنن، و با یه پشتیبانی نیم‌بند می‌فروشن. اگه شانس بیاری، فقط آپدیت‌ها به مشکل می‌خوره. اگه بدشانس باشی، سایتت می‌شه هدف هکرا.

حالا چی کار کنیم؟ راه‌حل‌های امن

نگران نباشید، رفقا! چندتا راه‌حل دارم که هم سایتتون رو امن نگه می‌دارن، هم لازم نیست جیب‌تون رو خالی کنید. بیاید ببینیم:

۱. قالب‌های رایگان و امن وردپرس

وردپرس یه مخزن رسمی داره (wordpress.org) که پر از قالب‌های رایگان و امنه. مثلاً Astra یا GeneratePress هم سریعن، هم شیکن، هم هیچ خطری ندارن. اینا رو نصب کن، خیالت راحت باشه که هکرا نمی‌تونن از کدهای نال‌شده سوءاستفاده کنن.

۲. برو سراغ پروژه اختصاصی

اگه سایتت برات مهمه (مثلاً فروشگاه آنلاین یا وبلاگ حرفه‌ای داری)، بهترین کار اینه که یه برنامه‌نویس ماهر پیدا کنی و یه سایت اختصاصی بزنی. چرا؟

  • امنیت بالا: کد از صفر نوشته می‌شه، خبری از کدهای نال‌شده نیست.
  • انعطاف‌پذیری: هر چی بخوای می‌تونی بهش اضافه کنی، بدون وابستگی به افزونه‌های نال‌شده.
  • سئو بهتر: سایت اختصاصی معمولاً سریع‌تره و گوگل عاشق سرعت و امنیت می‌شه.

مثلاً لاراول یه فریم‌ورک PHP خفنه که تو ایران هم کلی برنامه‌نویس باهاش کار می‌کنن. یه سایت با لاراول بزنی، انگار داری با یه ماشین مدل‌بالا تو جاده چالوس گاز می‌دی! حالا اگر دنبال پورشه هستی یه نگاهی به پروژه xshop بنداز دیگه وردپرس از سرت میپره، حتی شما همکار عزیز 😂، هم مناسب فروشگاهه و هم مناسب سایت های بلاگ، باور کن اگر سال ۹۲ که این سایت راه انداختیم xshop بود سمت وردپرس نمیرفتیم

۳. اگه مجبوری وردپرس استفاده کنی…

اگه عاشق وردپرسی و نمی‌تونی دل بکنی یا به درد من دچاری که سایت سالهاست رو وردپرس هست، این نکات رو رعایت کن:

  • اسکن قبل از نصب: هر قالب یا افزونه‌ای که می‌خوای نصب کنی، با VirusTotal اسکن کن که کد مخرب نداشته باشه.
  • پلاگین امنیتی: پلاگین‌هایی مثل Wordfence یا Sucuri نصب کن که مثل نگهبان سایتت عمل می‌کنن.
  • بک‌آپ منظم: همیشه از سایتت بک‌آپ بگیر. اگه هک شدی، می‌تونی سریع برگردی به حالت نرمال.
  • آپدیت دستی: اگه قالب اورجینال نداری، آپدیت‌ها رو از منابع معتبر بگیر و دستی نصب کن.

۴. اگه سایتت هک شده، چی؟

اگه سایتت هک شده، نترس! این کارا رو بکن:

  • اسکن و پاکسازی: پلاگین MalCare یا Sucuri نصب کن که سایتت رو اسکن و بدافزارا رو پاک کنه.
  • عوض کردن قالب: قالب نال‌شده رو بنداز دور و یه قالب امن (ترجیحاً رایگان از مخزن وردپرس) نصب کن.
  • رمزها رو عوض کن: رمز ادمین، دیتابیس، و هاستینگ رو سریع عوض کن.
  • بک‌آپ برگردون: اگه بک‌آپ داری، برگرد به نسخه قبل از هک.

جمع‌بندی: بمب رو خنثی کن!

رفقا، وردپرس یه ابزار باحاله، ولی اگه بخوای سایتت امن بمونه، باید حواست جمع باشه. قالب‌ها و افزونه‌های نال‌شده مثل یه بمب ساعتی‌ان که هر لحظه ممکنه سایتت رو نابود کنن. پس چی کار کنیم؟

  • یا برو سراغ قالب‌های رایگان و امن وردپرس.
  • یا یه برنامه‌نویس ماهر پیدا کن که با لاراول (یا هر فریم‌ورک دیگه) یه سایت اختصاصی برات بزنه.
  • اگه وردپرس استفاده می‌کنی، پلاگین امنیتی و بک‌آپ فراموشت نشه.
  • سایت منم وردپرسه، ولی چون از قالب‌ها و افزونه‌های امن استفاده می‌کنم، خیالم راحته. توام اگه می‌خوای سایتت یه جای امن برای خودت و کاربرات باشه، از این بمب‌های ساعتی دوری کن. حالا برو یه چایی دیگه بریز، و اگه سوالی داشتی، تو کامنتا بگو تا باهم گپ بزنیم!

    منابع:

    https://www.interactivepalette.com/nulled-themes-and-plugins/

    WordPress Nulled Plugins & Themes: Why You Must Avoid Them

    Free vs. Safe: Why You Should Avoid Nulled WordPress Themes


    https://instawp.com/nulled-wordpress-theme-guide-for-agencies/
    https://blogvault.net/nulled-wordpress-themes-plugins/
    https://themeforest.net/item/the-law-lawyer-theme-rtl/9559609?srsltid=AfmBOoqMNmnc_tgjUN8si1U4k0IfgT8aysJHD8izJXvQ01iMuGMZOLsz

    ۷ Reasons To Stop Using Nulled WordPress Themes And Plugins


    https://themeforest.net/category/wordpress?term=rtl&srsltid=AfmBOoodf5Yh3r5YKjNKHKT69gA5iEJSrv1bYAM9uhEm0oIUw_GSBWr-

پست های مرتبط:
  1. آموزش گام به گام طراحی قالب برای وردپرس – قسمت اول
  2. آموزش گام به گام طراحی قالب برای وردپرس – قسمت دوم
  3. افزودن ستون به جداول مدیریت در وردپرس
  4. ارسال اطلاعات فرم به آدرس دلخواه در Contact Form 7
  5. گراواتار یا gavatar چیست و نحوه استفاده از آن

انتشار

در

, , ,

توسط

‌A1Gard

برچسب‌ها:

, , , ,

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *