امنیت وردپرس
من بزرگترین مشکلی که دارم تو ایران میبینم که باعث شده سایت ها امنیت پایینی داشته باشند استفاده از قالب و افزونه هایی است که راه را برای نفوذ باز میگذارند، که همش برمیگرده به تجربه کم طراحان سایت، البته ممکنه نفوذ از طریق سرور هم صورت بگیره و یا از طریق هک کردن ایمیل به سایت وارد شوند ولی در کل با توجه به اینکه در حال حاضر طراحی سایت (منظورم ایجاد یک صفحه وب هستش) کار چندان مشکل و پیچیدهای نیست. برای داشتن یک سایت خبری، شخصی، شرکتی یا حتی فروشگاهی میتوان به سراغ سیستمهای مدیریت محتوا (Content Management) رفت. یکی از CMSهای مطرح که در ایران و جهان توانسته است طرفداران بسیاری در بین مخاطبان پیدا کند وردپرس است. خب طبیعیه، آپشن های خیلی زیادی داره، توسعه دهندگان زیادی داری، طی سال های زیادی که لانچ شده و یه جورایی تمام ایراداتش گرفته شده و از لحاظ امنیت و سرعت با توجه به امکاناتی که داره بسیار بهینه و فوق العاده هستش.
نصب و راهاندازی سایت با وردپرس نسبتا کار سادهای است، مخصوصا الان که تمام پلت فرم های فروش قالب و پلاگین مثل ژاکت و راست چین بسته های نصب آسان وردپرس را ارائه میکنند. که شما با استفاده از آن ها میتوانید هر نوع سایتی را با آن راهاندازی کرد. امّا طراحی سایت با این CMS دغدغه تامین امنیت وردپرس را برای کاربران ایجاد میکند که خیلی چیز پیچیده ای نیست و با رعایت یک سری نکات میتوان امنیت بسیار بالایی را وردپرس تامین کرد.
برای جلوگیری از هک شدن سایت وردپرسی باید در درجه اول از یک تیم متخصص کمک بگیرید و به نکاتی که درادامه نوشتم توجه کنیم. در این مقاله قصد داریم تا به بررسی اقدامات ضروری برای تامین امنیت وردپرس بپردازیم.
آیا وردپرس امنیت پایینی دارد؟
این سئوالی است که در ذهن بسیاری از استفاده کنندگان از وردپرس شکل میگیرد. درست است که هر روزه اخبار متعددی از نقصهای امنیت وردپرس یا افزونههای مرتبط با آن میشنویم. امّا واقعیت این است که وردپرس آن قدر هم فکر میکنیم به لحاظ امنیتی ضعیف نیست، درواقع به نظر من اصلا ضعیف که نیست هیچ، بسیار هم قوی تر از بسیاری از سیستم های دیگه هستش و از لحاظ فاکتور اقتصادی که بی نظیره و هیچ مشابهی برای وردپرس در عمل وجود ندارد. حال با توجه به این شرایط مهمترین دلیلی که اخبار زیادی درباره ضعف امنیتی وردپرس مطرح میشود را میتوان در موارد زیر جستجو کرد:
1- تعداد زیاد استفاده کنندگان از وردپرس
در ابتدا بهتر است که به آمار استفاده از وردپرس توجه کنید.
- 40 درصد از وب سایت های جها با استفاده از وردپرس ساخته شده است!
- 70 درصد از سهم سایت ساز ها رو از طریق ورد پرس تامین میکنن.
- در حدود 70 میلیون وب سایت در سراسر دنیا در حال استفاده از وردپرس هستند.
- قسمت بلاگ بسیاری از سایت های بزرگ از طریق وردپرس ساخته شده است.
پس در نتیجه وردپرس محبوبیت زیادی دارد و افراد بسیاری از این سیستم مدیریت محتوا استفاده میکنند. به همین دلیل تعداد هک یا ضعفهای امنیتی به نسبت سایر سیستمهای مدیریت محتوا بیشتر به چشم میآید، ولی اگر قرا باشد درصد هک های صورت گرفته روی سایت وردپرس را با سایر سیستم های مدیریت محتوا مقایسه کنید ، به عدد بسیار ناچیزی میرسید.
2- وجود افزونههای غیر رسمی برای وردپرس
تقریبا اصلی ترین راه نفوذ به وب سایت های ساخته شده با وردپرس و هک کردن آن ها استفاده از پلاگین های نال شده و غیر معتبر می باشد که در سراسر وب موجود میباشد. حال باید بدانید که افزونههای زیادی وجود دارند که در مخزن وردپرس قرار ندارند و کاربرانی که به دنبال استفاده از پلاگین های دزدی و رایگان هستند اقدام به نصب آنها از منابع غیر معتبر میپردازند. به همین دلیل شاهد باگهای امنیتی در این CMS از ناحیه این پلاگینهای نامعتبر هستیم.
3- عدم تجربه کاربران در استفاده از وردپرس
چون فراگیری و کار با وردپرس فارسی ساده است، کاربران تازهکار به سراغ این سیستم مدیریت محتوا میآیند. این در حالی است که آنها توجه چندانی به حفظ امنیت وردپرس ندارند و ساده ترین کار ممکن در جهت امنیت اولیه وردپرس یرا انجام نمیدهند.
4- اشتباهات طراحان سایت
برخی از اوقات طراحان سایت موارد ساده اولیّه را رعایت نمیکنند. به عنوان مثال نام کاربری اصلی در بسیاری از سایتهای وردپرسی بعد از طراحی نهایی همچنان admin باقی میماند. یا صفحه لاگین به کنترل پنل سایت وردپرسی در مسیر پیش فرض قرار دارد.
عدم رعایت این مسائل ساده باعث میشود تا امنیت وردپرس با مشکلاتی مواجه شود.
همانطور که در بالا اشاره شد هسته وردپرس به لحاظ ساختاری از امنیّت قابل قبولی برخوردار است. امّا برخی از اشتباهات و بیدقتیها موجب میشود تا امنیت وردپرس با مخاطره مواجه شود. در ادامه این مقاله به معرفی راهکارهایی میپردازیم تا بتوان با کمک آنها یک سایت وردپرسی امن را در اختیار داشت.
توجه داشته باشید که برای افزایش امنیت وردپرس و جلوگیری از هک شدن و نفوذ به داخل آن توسط افراد بی گانه بهتر است از پسورد های بسیار قوی که خود سیستم پیشنهاد میدهد استفاده کنید تا به هیچ عنوان قابل حدس زدن و پیش بینی توسط هکر ها نباشد.
چرا حفظ امنیت وردپرس مهم است؟
همانطور که گفتیم سایتهای زیادی با وردپرس طراحی میشوند. از سایت خبری گرفته تا سایتهای شخصی و فروشگاهی با استفاده از هسته وردپرسی طراحی شدهاند. حال اگر امنیّت این سیستم مدیریت محتوا در حد قابل قبولی نباشد ممکن است سایتهای زیادی با مشکل مواجه شوند.
اکر سایتی به هر دلیلی هک شود، ممکن است:
- اطلاعات مشتریان از بین برود یا در اختیار افراد غیرمرتبط قرار بگیرد.
- جایگاه و رتبه سایت در موتورهای جستجو کاهش پیدا کند
- منابع سایت از جمله پهنای باند سرور یا حافظه مورد استفاده بیش از حد قرار بگیرند.
پس در این مسیر جهت کاهش ضررهای وارده به مالکین وب سایت ها رعایت موارد زیر پیشنهاد میگردد.
مراحل افزایش امنیت وردپرس
توجه به نکات زیر برای اینکه یک سایت وردپرسی امن را در اختیار داشته باشیم ضروری است:
1- بکآپ گیری منظم بر روی هاست
در ادامه برای اینکه بتوان امنیت وردپرس را تامین کرد به مراحلی اشاره میکنیم ولی بهتر است همیشه از سرور یا هاستی که سایت شما بر روی آن میزبانی میشود یک فول بکآپ بگیرید. این بکآپ به شما کمک میکند تا در شرایطی که سایت شما با مشکل امنیتی مواجه شد، امکان بازگشت به آخرین نسخه پشتیبان برای شما وجود داشته باشد.
2- به روزرسانی هسته وردپرس و افزونهها
وردپرس یک پروژه مشترک است که توسعه دهندگان زیادی بر روی آن کار میکنند. در صورتی که در یک بخش از هسته وردپرس یا افزونههای موجود در مخزن وردپرس مشکل امنیتی دیده شود، بلافاصله برای آن یک بروزرسانی داده میشود.
حالا این از وظایف یک وبمستر است که بعد از ارائه بروزرسانی وردپرس یا افزونههای به نصب نسخه جدید بپردازد. تجربه نشان داده سایتهایی به لحاظ امنیت وردپرس دچار مشکل میشوند که مدّت زمان زیادی از بروزرسانی آنها گذشته باشد.
3-تهیه فایلها و افزونه از مخزن وردپرس یا مارکتهای معتبر
یک مشکلی که باعث کاهش امنیت وردپرس میشود تهیه افزونهها یا فایل اصلی وردپرس از منابع غیر رسمی و مشکوک است. متاسفانه در بسیاری از مواقع کاربران کم تجربه با تصور اینکه تهیه افزونه رایگان، هزینههای آنها را کاهش خواهد داد به تهیه پلاگینها از سایتهای غیر معتبر میپردازند.
این در حالی است که بسیاری از این افزونهها دارای ویروس یا کدهای مخرب هستند که پس از مدّتی بر روی هاست و دیتابیس فعال میشوند و اطلاعات را دچار مشکل میکنند.
4-بکآپ گیری دستی از سایت وردپرسی
شرکتهای هاستینگ معمولا به صورت دورهای از اطلاعات سایتهای وردپرسی بکآپ میگیرند. ولی متاسفانه ممکن است این اطلاعات به دلایل مختلفی دچار مشکل شوند و از بین بروند.
به همین دلیل مدیر یک سایت برای تامین امنیت وردپرس باید به صورت دورهای از اطلاعات سایت فول بکآپ تهیه کند تا در صورتی که مشکلی در سایت پیش آمد بتوان از این بکآپ برای بازگردانی اطلاعات استفاده کرد.
5-محدود کردن دسترسی به فایلهای حساس وردپرس
بسیاری از سایتهای وردپرسی بر روی هاست اشتراکی قرار دارند. هر چند دسترسی به یک هاست از طریق سایر هاستهای مستقر بر روی سرور به سادگی امکانپذیر نیست. امّا ممکن است در شرایطی که یک سرور دچار مشکل امنیتی میشود، افراد غیر مرتبط به فایلهای هاستهای دیگر دسترسی پیدا کنند.
به همین دلیل بهتر است برای افزایش امنیت وردپرس، سطح دسترسی به فایلهای حساسی نظیر wp- config.php یا .htaccess را افزایش دهید.
6-تغییر مسیر دسترسی به کنترل پنل وردپرس
یکی از مشکلاتی که اکثر سایتهای وردپرسی دارند این است که پوشه کنترل پنل(wp-admin) در مسیر پیش فرض نصب میشود. به همین دلیل هکرها میتوانند به راحتی به این پوشه دسترسی پیدا کنند. برای تامین امنیت وردپرس باید مسیر این پوشه را عوض کرد و با کمک افزونههای امنیتی از تزریق کدهای مخرب به این پوشه جلوگیری کرد.
7-به خطر انداختن امنیت وردپرس توسط کاربران
یکی از شایعترین مشکلات امنیتی وردپرس، لو رفتن رمز عبور کاربران است. این مشکل از آنجا ایجاد میشود که نویسندگان، ویراستاران و حتی مدیرکل در یک سایت وردپرسی رمز خود را بر روی پنل مدیریتی وردپرس ذخیره میکنند.
این در حالی است که سیستم کامپیوتری آنها چندان امن(Safe) نیست و توسط افراد غیرمرتبط زیادی مورد استفاده قرار میگیرد. مدیر یک سایت باید سطوح دسترسی مختلفی برای کاربران یک سایت تعیین کند. همچنین به صورت دورهای، رمز عبور تمامی کاربران را تغییر دهد.
رعایت امنیت سطح دسترسی به هاست
رعایت امنیّت رمز عبور تنها مربوط به کاربران نهایی(End-User) نیست. در برخی از مواقع عدم ذخیره و نگهداری مطمئن رمز عبور هاست توسط طراح سایت نیز منجر به افشا اطلاعات حساس یک سایت خواهد شد.
فراموش نکنیم که بخش عمدهای از امنیّت وردپرس مربوط به عملکرد درست مدیران سایت و وبمستران است. بنابراین سعی کنیم به آنها برای حفظ امنیت سایت، آموزشهای لازم را ارائه دهیم.
8-استفاده از پروتکل امن در وردپرس
بخشی از امنیت وردپرس مربوط به نوع پروتکل ارتباطی یک سایت در محیط ناامن اینترنت میشود. بهتر است در زمان راهاندازی سایت وردپرسی یک SSL برای سایت خود تهیه کنید. داشتن SSL و استفاده از پروتکل https این اطمینان خاطر را به کاربران میدهد که دادهها در یک محیط امن در اینترنت جا به جا خواهند شد.
9-استفاده از افزونههای امنیت وردپرس
رعایت تمامی موارد فوق میتواند تا حدود زیادی امنیت وردپرس را افزایش دهد. امّا برای تقویت امنیت سایت بهتر است پلاگینهای امنیتی نیز بر روی سایت نصب کنیم. در مخزن وردپرس انواع مختلفی از افزونهها برای امنیت وردپرس موجود هستند.
به عنوان مثال افزونه wordfence به اسکن امنیتی سایت وردپرسی میپردازد. یا افزونه iThemes security به صورت دورهای از سایت وردپرسی و فایلهای آن بکآپ تهیه میکند تا در صورتی که سایت دچار مشکل شد بتوان از آنها استفاده کرد.
10-هاست و سرور مناسب انتخاب کنید
بخشی از امنیت وردپرس مربوط به سروری میشود که فایلهای سایت شما را میزبانی میکند. بهتر است برای راهاندازی سایت خود کمی بیشتر هزینه کنید و از هاستینگهایی خدمات بگیرید که سرور قویتری به لحاظ امنیت و فایروال دارند.
11-استفاده از CDN برای افزایش امنیت وردپرس
داشتن CDN بر روی سایت علاوه بر اینکه جلوی حملات DDos را میگیرد باعث بهبود سرعت یک سایت میشود. در حال حاضر انواع CDN رایگان و پولی وجود دارد که میتوان بر حسب نیاز از آنها استفاده کرد.
12-استخدام متخصص امنیت وردپرس
اگر شما تا حدودی با وردپرس و افزونههای آن آشنایی دارید میتوانید خودتان امنیت وردپرس را تامین کنید. ولی اگر آشنایی چندانی با وردپرس ندارید، بهتر است از متخصصان امنیت استفاده کنید تا به شما برای داشتن یک سایت وردپرسی امن کمک کنند.
باید توجه داشت اگر سایت وردپرسی امن نباشد میتواند یک کسب وکار را دچار مشکل کند. افشا اطلاعات یک سایت نه تنها باعث ضرر مالی میشود بلکه اعتبار یک بیزینس را در بین مشتریانش خدشهدار خواهد کرد.
سخن پایانی در ازتباط با امنیت وردپرس
برای امنیت وردپرس باید سایت به صورت مستمر بروزرسانی شود. وردپرس از آنجایی که توسط تیمی از توسعه دهندگان، گسترش یافته است به نسبت بسیاری از CMS های اختصاصی امنتر است.
با رعایت مسائل ساده امنیتی میتوان یک سایت ایمن و قدرتمند را در اختیار داشت. در صورتی که برای تامین امنیت وردپرس با مشکل مواجه هستید با ما تماس بگیرید و از خدمات ما استفاده کنید.
همچنین میتونین دوره امنیت سایت رو تهیه کنید