امنیت ووردپرس

چگونه امنیت وردپرس را تامین کنیم؟

با توجه به اینکه در حال حاضر طراحی سایت (منظورم ایجاد یک صفحه وب هستش) کار چندان مشکل و پیچیده‌ای نیست. برای داشتن یک سایت خبری، شخصی، شرکتی یا حتی فروشگاهی می‌توان به سراغ سیستم‌های مدیریت محتوا (Content Management) رفت. یکی از CMSهای مطرح که در ایران و جهان توانسته است طرفداران بسیاری در بین مخاطبان پیدا کند وردپرس است. خب طبیعیه، آپشن های خیلی زیادی داره، توسعه دهندگان زیادی داری، طی سال های زیادی که لانچ شده و یه جورایی تمام ایراداتش گرفته شده و از لحاظ امنیت و سرعت با توجه به امکاناتی که داره بسیار بهینه و فوق العاده هستش.
نصب و راه‌اندازی سایت با وردپرس نسبتا کار ساده‌ای است، مخصوصا الان که تمام پلت فرم های فروش قالب و پلاگین مثل ژاکت و راست چین بسته های نصب آسان وردپرس را ارائه میکنند. که شما با استفاده از آن ها میتوانید هر نوع سایتی را با آن راه‌اندازی کرد. امّا طراحی سایت با این CMS دغدغه تامین امنیت وردپرس را برای کاربران ایجاد می‌کند که خیلی چیز پیچیده ای نیست و با رعایت یک سری نکات میتوان امنیت بسیار بالایی را وردپرس تامین کرد.

برای جلوگیری از هک شدن سایت وردپرسی باید به نکاتی توجه کنیم. در این مقاله قصد داریم تا به بررسی اقدامات ضروری برای تامین امنیت وردپرس بپردازیم.

آیا وردپرس امنیت پایینی دارد؟

این سئوالی است که در ذهن بسیاری از استفاده کنندگان از وردپرس شکل می‌گیرد. درست است که هر روزه اخبار متعددی از نقص‌های امنیت وردپرس یا افزونه‌های مرتبط با آن می‌شنویم. امّا واقعیت این است که وردپرس آن قدر هم فکر می‌کنیم به لحاظ امنیتی ضعیف نیست، درواقع به نظر من اصلا ضعیف که نیست هیچ، بسیار هم قوی تر از بسیاری از سیستم های دیگه هستش و از لحاظ فاکتور اقتصادی که بی نظیره و هیچ مشابهی برای وردپرس در عمل وجود ندارد. حال با توجه به این شرایط مهمترین دلیلی که اخبار زیادی درباره ضعف امنیتی وردپرس مطرح می‌شود را می‌توان در موارد زیر جستجو کرد:

1-     تعداد زیاد استفاده‌ کنندگان از وردپرس

در ابتدا بهتر است که به آمار استفاده از وردپرس توجه کنید.

  • 40 درصد از وب سایت های جها با استفاده از وردپرس ساخته شده است!
  • 70 درصد از سهم سایت ساز ها رو از طریق ورد پرس تامین میکنن.
  • در حدود 70 میلیون وب سایت در سراسر دنیا در حال استفاده از وردپرس هستند.
  • قسمت بلاگ بسیاری از سایت های بزرگ از طریق وردپرس ساخته شده است.

پس در نتیجه وردپرس محبوبیت زیادی دارد و افراد بسیاری از این سیستم مدیریت محتوا استفاده می‌کنند. به همین دلیل تعداد هک یا ضعف‌های امنیتی به نسبت سایر سیستم‌های مدیریت محتوا بیشتر به چشم می‌آید، ولی اگر قرا باشد درصد هک های صورت گرفته روی سایت وردپرس را با سایر سیستم های مدیریت محتوا مقایسه کنید ، به عدد بسیار ناچیزی میرسید.

2-     وجود افزونه‌های غیر رسمی برای وردپرس

تقریبا اصلی ترین راه نفوذ به وب سایت های ساخته شده با وردپرس و هک کردن آن ها استفاده از پلاگین های نال شده و غیر معتبر می باشد که در سراسر وب موجود میباشد. حال باید بدانید که افزونه‌های زیادی وجود دارند که در مخزن وردپرس قرار ندارند و کاربرانی که به دنبال استفاده از پلاگین های دزدی و رایگان هستند اقدام به نصب آنها از منابع غیر معتبر می‌پردازند. به همین دلیل شاهد باگ‌های امنیتی در این CMS از ناحیه این پلاگین‌های نامعتبر هستیم.

3-     عدم تجربه کاربران در استفاده از وردپرس

چون فراگیری و کار با وردپرس فارسی ساده است، کاربران تازه‌کار به سراغ این سیستم مدیریت محتوا می‌آیند. این در حالی است که آنها توجه چندانی به حفظ امنیت وردپرس ندارند و ساده ترین کار ممکن در جهت امنیت اولیه وردپرس یرا انجام نمیدهند.

4-     اشتباهات طراحان سایت

برخی از اوقات طراحان سایت موارد ساده اولیّه را رعایت نمی‌کنند. به عنوان مثال نام کاربری اصلی در بسیاری از سایت‌های وردپرسی  بعد از طراحی نهایی همچنان admin باقی می‌ماند. یا صفحه لاگین به کنترل پنل سایت وردپرسی در مسیر پیش فرض قرار دارد.

عدم رعایت این مسائل ساده باعث می‌شود تا امنیت وردپرس با مشکلاتی مواجه شود.

همانطور که در بالا اشاره شد هسته وردپرس به لحاظ ساختاری از امنیّت قابل قبولی برخوردار است. امّا برخی از اشتباهات و بی‌دقتی‌ها موجب می‌شود تا امنیت وردپرس با مخاطره مواجه شود. در ادامه این مقاله به معرفی راهکارهایی می‌پردازیم تا بتوان با کمک آنها یک سایت وردپرسی امن را در اختیار داشت.

توجه داشته باشید که برای افزایش امنیت وردپرس و جلوگیری از هک شدن و نفوذ به داخل آن توسط افراد بی گانه بهتر است از پسورد های بسیار قوی که خود سیستم پیشنهاد میدهد استفاده کنید تا به هیچ عنوان قابل حدس زدن و پیش بینی توسط هکر ها نباشد.

امنیت وردپرس
افزایش امنیت وردپرس فارسی

چرا حفظ امنیت وردپرس مهم است؟

همانطور که گفتیم سایت‌های زیادی با وردپرس طراحی می‌شوند. از سایت خبری گرفته تا سایت‌های شخصی و فروشگاهی با استفاده از هسته وردپرسی طراحی شده‌اند. حال اگر امنیّت این سیستم مدیریت محتوا در حد قابل قبولی نباشد ممکن است سایت‌های زیادی با مشکل مواجه شوند.

اکر سایتی به هر دلیلی هک شود، ممکن است:

  • اطلاعات مشتریان از بین برود یا در اختیار افراد غیرمرتبط قرار بگیرد.
  • جایگاه و رتبه سایت در موتورهای جستجو کاهش پیدا کند
  • منابع سایت از جمله پهنای باند سرور یا حافظه مورد استفاده بیش از حد قرار بگیرند.

پس در این مسیر جهت کاهش ضررهای وارده به مالکین وب سایت ها رعایت موارد زیر پیشنهاد میگردد.

 

مراحل افزایش امنیت وردپرس

توجه به نکات زیر برای اینکه یک سایت وردپرسی امن را در اختیار داشته باشیم ضروری است:

1- بک‌آپ گیری منظم بر روی هاست

در ادامه برای اینکه بتوان امنیت وردپرس را تامین کرد به مراحلی اشاره می‌کنیم ولی بهتر است همیشه از سرور یا هاستی که سایت شما بر روی آن میزبانی می‌شود یک فول بک‌آپ بگیرید. این بک‌آپ به شما کمک می‌کند تا در شرایطی که سایت شما با مشکل امنیتی مواجه شد، امکان بازگشت به آخرین نسخه پشتیبان برای شما وجود داشته باشد.

2- به روزرسانی هسته وردپرس و افزونه‌ها

وردپرس یک پروژه مشترک است که توسعه دهندگان زیادی بر روی آن کار می‌کنند. در صورتی که در یک بخش از هسته وردپرس یا افزونه‌های موجود در مخزن وردپرس مشکل امنیتی دیده شود، بلافاصله برای آن یک بروزرسانی داده می‌شود.

حالا این از وظایف یک وبمستر است که بعد از ارائه بروزرسانی وردپرس یا افزونه‌های به نصب نسخه جدید بپردازد. تجربه نشان داده سایت‌هایی به لحاظ امنیت وردپرس دچار مشکل می‌شوند که مدّت زمان زیادی از بروزرسانی آنها گذشته باشد.

3-تهیه فایل‌ها و افزونه از مخزن وردپرس یا مارکت‌های معتبر

یک مشکلی که باعث کاهش امنیت وردپرس می‌شود تهیه افزونه‌ها یا فایل اصلی وردپرس از منابع غیر رسمی و مشکوک است. متاسفانه در بسیاری از مواقع کاربران کم تجربه با تصور اینکه تهیه افزونه رایگان، هزینه‌های آنها را کاهش خواهد داد به تهیه پلاگین‌ها از سایت‌های غیر معتبر می‌پردازند.

این در حالی است که بسیاری از این افزونه‌ها دارای ویروس یا کدهای مخرب هستند که پس از مدّتی بر روی هاست و دیتابیس فعال می‌شوند و اطلاعات را دچار مشکل می‌کنند.

4-بک‌آپ گیری دستی از سایت وردپرسی

شرکت‌های هاستینگ معمولا به صورت دوره‌ای از اطلاعات سایت‌های وردپرسی بک‌آپ می‌گیرند. ولی متاسفانه ممکن است این اطلاعات به دلایل مختلفی دچار مشکل شوند و از بین بروند.

به همین دلیل مدیر یک سایت برای تامین امنیت وردپرس باید به صورت دوره‌ای از اطلاعات سایت فول بک‌آپ تهیه کند تا در صورتی که مشکلی در سایت پیش آمد بتوان از این بک‌آپ برای بازگردانی اطلاعات استفاده کرد.

5-محدود کردن دسترسی به فایل‌های حساس وردپرس

بسیاری از سایت‌های وردپرسی بر روی هاست اشتراکی قرار دارند. هر چند دسترسی به یک هاست از طریق سایر هاست‌های مستقر بر روی سرور به سادگی امکان‌پذیر نیست. امّا ممکن است در شرایطی که یک سرور دچار مشکل امنیتی می‌شود، افراد غیر مرتبط به فایل‌های هاست‌های دیگر دسترسی پیدا کنند.

به همین دلیل بهتر است برای افزایش امنیت وردپرس، سطح دسترسی به فایل‌های حساسی نظیر wp- config.php  یا .htaccess را افزایش دهید.

6-تغییر مسیر دسترسی به کنترل پنل وردپرس

یکی از مشکلاتی که اکثر سایت‌های وردپرسی دارند این است که پوشه کنترل پنل(wp-admin)  در مسیر پیش فرض نصب می‌شود. به همین دلیل هکرها می‌توانند به راحتی به این پوشه دسترسی پیدا کنند. برای تامین امنیت وردپرس باید مسیر این پوشه را عوض کرد و با کمک افزونه‌های امنیتی از تزریق کدهای مخرب به این پوشه جلوگیری کرد.

7-به خطر انداختن امنیت وردپرس توسط کاربران

یکی از شایع‌ترین مشکلات امنیتی وردپرس، لو رفتن رمز عبور کاربران است. این مشکل از آنجا ایجاد می‌شود که نویسندگان، ویراستاران و حتی مدیرکل در یک سایت وردپرسی رمز خود را بر روی پنل مدیریتی وردپرس ذخیره می‌کنند.

این در حالی است که سیستم کامپیوتری آنها چندان امن(Safe)  نیست و توسط افراد غیرمرتبط زیادی مورد استفاده قرار می‌گیرد. مدیر یک سایت باید سطوح دسترسی مختلفی برای کاربران یک سایت تعیین کند. همچنین به صورت دوره‌ای، رمز عبور تمامی کاربران را تغییر دهد.

رعایت امنیت سطح دسترسی به هاست

رعایت امنیّت رمز عبور تنها مربوط به کاربران نهایی(End-User)  نیست. در برخی از مواقع عدم ذخیره و نگهداری مطمئن رمز عبور هاست توسط طراح سایت نیز منجر به افشا اطلاعات حساس یک سایت خواهد شد.

فراموش نکنیم که بخش عمده‌ای از امنیّت وردپرس مربوط به عملکرد درست مدیران سایت و وبمستران است. بنابراین سعی کنیم به آنها برای حفظ امنیت سایت، آموزش‌های لازم را ارائه دهیم.

امنیت عالی وردپرس در مقابل هک
امنیت عالی وردپرس در مقابل هک

8-استفاده از پروتکل امن در وردپرس

بخشی از امنیت وردپرس مربوط به نوع پروتکل ارتباطی یک سایت در محیط ناامن اینترنت می‌شود. بهتر است در زمان راه‌اندازی سایت وردپرسی یک SSL برای سایت خود تهیه کنید. داشتن SSL و استفاده از پروتکل https  این اطمینان خاطر را به کاربران می‌دهد که داده‌ها در یک محیط امن در اینترنت جا به جا خواهند شد.

9-استفاده از افزونه‌های امنیت وردپرس

رعایت تمامی موارد فوق می‌تواند تا حدود زیادی امنیت وردپرس را افزایش دهد. امّا برای تقویت امنیت سایت بهتر است پلاگین‌های امنیتی نیز بر روی سایت نصب کنیم. در مخزن وردپرس انواع مختلفی از افزونه‌ها برای امنیت وردپرس موجود هستند.

به عنوان مثال افزونه wordfence به اسکن امنیتی سایت وردپرسی می‌پردازد. یا افزونه iThemes security  به صورت دوره‌ای از سایت وردپرسی و فایل‌های آن بک‌آپ تهیه می‌کند تا در صورتی که سایت دچار مشکل شد بتوان از آنها استفاده کرد.

10-هاست و سرور مناسب انتخاب کنید

بخشی از امنیت وردپرس مربوط به سروری می‌شود که فایل‌های سایت شما را میزبانی می‌کند. بهتر است برای راه‌اندازی سایت خود کمی بیشتر هزینه کنید و از هاستینگ‌هایی خدمات بگیرید که سرور قوی‌تری به لحاظ امنیت و فایروال دارند.

11-استفاده از CDN برای افزایش امنیت وردپرس

داشتن CDN بر روی سایت علاوه بر اینکه جلوی حملات DDos را می‌گیرد باعث بهبود سرعت یک سایت می‌شود. در حال حاضر انواع CDN رایگان و پولی وجود دارد که می‌توان بر حسب نیاز از آنها استفاده کرد.

12-استخدام متخصص امنیت وردپرس

اگر شما تا حدودی با وردپرس و افزونه‌های آن آشنایی دارید می‌توانید خودتان امنیت وردپرس را تامین کنید. ولی اگر آشنایی چندانی با وردپرس ندارید، بهتر است از متخصصان امنیت استفاده کنید تا به شما برای داشتن یک سایت وردپرسی امن کمک کنند.

باید توجه داشت اگر سایت وردپرسی امن نباشد می‌تواند یک کسب وکار را دچار مشکل کند. افشا اطلاعات یک سایت نه تنها باعث ضرر مالی می‌شود  بلکه اعتبار یک بیزینس را در بین مشتریانش خدشه‌دار خواهد کرد.

سخن پایانی در ازتباط با امنیت وردپرس

برای امنیت وردپرس باید سایت به صورت مستمر بروزرسانی شود. وردپرس از آنجایی که توسط تیمی از توسعه دهندگان، گسترش یافته است به نسبت بسیاری از CMS های اختصاصی امن‌تر است.
با رعایت مسائل ساده امنیتی می‌توان یک سایت ایمن و قدرتمند را در اختیار داشت. در صورتی که برای تامین امنیت وردپرس با مشکل مواجه هستید با ما تماس بگیرید و از خدمات ما استفاده کنید.