آیا وردپرس امن است؟

آیا وردپرس امن است؟

در سال‌های اخیر، از بین بیش از ۶۰ میلیون سایت وردپرس در سراسر جهان حدود یک میلیون سایت دچار نقض امنیتی شدند، که یکی از معروف­ترین مواردی که این نقض‌ها را ایجاد می‌کرد، بدافزار معروف Spectre بود. برخی از کارشناسان امنیت وردپرس تخمین می‌زنند در هر دقیقه بیش از ۹۰ هزار حمله سایبری به سایت‌های مختلف وردپرس صورت می‌گیرد.

آمار این‌چنینی، هم کاربران جدید هم کاربرانی که سال‌ها از این بستر استفاده می‌کردند را نگران و این پرسش را مطرح می کند که آیا یک وب‌سایت وردپرس امن است و می‌تواند پلتفرم مطمئنی برای میزبانی تجارت یا سایت شخصی آن‌ها باشد؟ اما وردپرس به‌خودی‌خود فقط یک عنصر در یک اکوسیستم بزرگ‌تری از نهادهایی است که به روی امنیت و سلامت سایت‌های وردپرس تأثیر دارد. سؤال اصلی که اینجا به وجود می‌آید این نیست که آیا وردپرس امن است یا خیر، بلکه مسئله اصلی این است که چطور کاربران می‌توانند امنیت وب‌سایت وردپرس خود را در دست بگیرند و از هک شدن یا هر حمله‌ی سایبری دیگری در امان بمانند.

امنیت وردپرس چندین لایه دارد

وقتی کاربران درباره امنیت وردپرس می‌پرسند، اغلب منظورشان خود هسته‌ی وردپرس یا WordPress Core است، پکیج نرم‌افزاری رایگان و open source که به‌راحتی قابل دانلود شدن و نصب به روی هر فضای میزبانی است. اما کد وردپرس به‌تنهایی وجود ندارد، بلکه چندین عنصر دیگر در تعامل با وردپرس  هستند که هر یک ازآن‌ها می‌توانند به روی امنیت یک سایت وردپرس تأثیر بگذارند. در حقیقت، وردپرس در مرکز یک اکوسیستم پویا قرار می‌گیرد که شامل موارد زیر می‌شود:

  • شرکت میزبانی وب
  • پلاگین ­ها و تم‌های دولوپرها و اشخاص ثالث
  • صاحبان و مدیران سایت وردپرس

خطرات امنیتی یک سایت وردپرس می‌تواند از طریق هر یک از این موارد یا حتی ترکیبی از آن‌ها رخ دهد.

امنیت هسته وردپرس

کد هسته وردپرس یک نرم‌افزار متن‌باز با استفاده عمومی است، یعنی هر کاربری می‌تواند این کد را دست‌کاری و ویرایش کند و به هر شکلی که می‌خواهد استفاده کند. برای کاربرانی که با جامعه وردپرس آشنا نیستند، این مسئله نشان می‌دهد که وردپرس به‌شدت در برابر هک شدن، سرقت هویت و بسیاری از حمله‌های سایبری دیگر آسیب‌پذیر است.

اگرچه ممکن است به نظر برسد خود وردپرس می‌تواند توسط اشخاصی به‌منظور آسیب رساندن با بدافزار یا هر راه دیگری تغییر کند، اما این‌طور نیست. تیم برنامه‌نویس‌های هسته‌ی وردپرس در نهایت مسئول ثابت و امن نگه‌داشتن کد اصلی یا همان هسته هستند که این کار شامل بررسی صلاحیت تغییرات پیشنهادی و کار به روی اصلاح و تعمیر هر گونه آسیب پس از به‌روزرسانی‌های موقت است.

به محضی که یک مورد امنیتی شناسایی شود، تیم توسعه وارد کار شده و آن را رفع کرده و سپس کاربران وردپرس را درباره­ی نسخه‌ی به‌روزرسانی شده­ مطلع می‌کند. هرچند هیچ ضمانتی وجود ندارد که خود وردپرس به‌طور کامل امن باشد، اما معمولاً هر مشکل امنیتی که ظاهر می‌شود، بعد از دانلود جدیدترین نسخه نرم‌افزار برطرف می­گردد.

میزبانی وب و امنیت وردپرس

برای اجرای سایت‌های وردپرس به شرکت میزبانی وب قابل‌اعتماد نیاز است، چرا که این میزبان نیز نقشی در امن نگه‌داشتن سایت کاربران دارد، چه بخواهد توسط خود وردپرس راه‌اندازی شده باشد یا هر سیستم مدیریت محتوای دیگر.

شرکت‌های خدمات میزبانی وب مسئول امن نگه‌داشتن سرورهای شرکت، در برابر حملات سایبری و ارائه پکیج‌های هاستینگ با گزینه‌های امنیتی مختلف برای نیازهای مختلف مشتریان هستند که از آن‌ها می‌توان به سرور مجازی (VPS) اشاره کرد که می‌تواند از آلودگی‌هایی که از یک سایت در سرور مشترک به سایت‌های دیگر منتقل می‌شود جلوگیری کند. برخی از ارائه‌کنندگان خدمات میزبانی وب (هاستینگ) همچنین پکیج‌های هاستینگ امن برای وردپرس ارائه می‌دهند که مخصوص سایت­ های وردپرس هستند و با در نظر گرفتن مشکلات امنیتی که ممکن است به روی سیستم تأثیر بگذارند، طراحی شده است.

امنیت با تم­ ها و پلاگین ­ها

در کنار کد هسته، تم ­ها و پلاگین ­ها نیز به روی عملکرد سایت‌های وردپرس تأثیر دارند – اما آن‌ها هم‌چنین می‌توانند راهی برای خطرات امنیتی باز کنند. تم­ ها ظاهر یک سایت وردپرس را تعریف می‌کنند، معمولاً وقتی وردپرس را نصب می‌کنید صدها تم به‌صورت پیش‌فرض در دایرکتوری تم‌های وردپرس قرار می‌گیرد. اما هزاران تم دیگر نیز وجود دارد که توسط طراحان و برنامه‌نویس‌های دیگر از سرتاسر جهان تهیه می‌شوند و به‌صورت رایگان یا پولی قابل استفاده هستند.

همانند تم ­ها، پلاگین­ ها نیز به روی عملکرد کد هسته وب تأثیر دارند. این قطعات کوچک کد می‌توانند به روی هر سایت وردپرسی اضافه شوند تا عملکرد آن را نسبت به عملکرد اولیه و اصلی سایت تغییر داده و بهبود بخشند. پلاگین­های امنیتی وردپرس نیز هنگامی‌که وردپرس را نصب می‌کنید به‌طور پیش‌فرض در WordPress Plugin Directory قرار می‌گیرند، اما همچنان پلاگین ­های دیگری برای کاربردهای خاص و گوناگون توسط دولوپرها ایجاد می‌شود.

هم تم­ ها و هم پلاگین ­ها می‌توانند خطرات امنیتی به روی یک سایت وردپرس ایجاد کنند. اگرچه دولوپرهای وردپرس تمامی تم ­ها و پلاگین ­هایی که از پیش برای استفاده به روی وردپرس قرار گرفته را موشکافانه بررسی کرده‌اند تا امنیت و سلامت آن‌ها تضمین شود، اما این مسئله همیشه برای پلاگین­ ها و تم‌هایی که توسط شخص ثالث طراحی شده و به‌صورت رایگان دانلود شده یا خریداری می‌گردد صدق نمی‌کند.


پلاگین­ ها و تم‌هایی که به یک سایت وردپرس اضافه می‌شوند می‌توانند کدهای خراب یا بدافزاری که می‌تواند به روی یک سایت و سایر سایت‌های مرتبط با آن تأثیر بگذارند را با خود حمل کنند. دولوپرها و طراحان مسئول هستند تا اطمینان حاصل کنند محصولی که طراحی کرده‌اند می­تواند با امنیت کامل و بدون ایجاد هیچ مشکلی در یک سایت وردپرس قرار بگیرند. اما این مسئله در مورد پلاگین ­ها و تم‌هایی که از منابع ناشناس استفاده می‌شود صدق نمی‌کند. به‌خصوص آن‌هایی که رایگان هستند و مدت ­هاست که به‌روزرسانی نشده‌اند.

کاربران می‌توانند سایت‌ها را امن نگه‌ دارند

هر عضوی از اکوسیستم وردپرس نقشی در امن نگه‌داشتن سایت‌های وردپرس دارد. اما کارشناسان و متخصصان امنیت سایبری وردپرس معتقدند کاربران وردپرس بیشترین قدرت و مسئولیت را در امن نگه‌داشتن سایت­های وردپرسشان دارند. آن‌ها می‌توانند با رعایت نکات امنیتی، وب‌سایت خود را در برابر حملات سایبری و سایر موارد امنیتی محافظت کنند. این نکات شامل موارد زیر می‌شود:

  • نصب سریع نسخه‌های به‌روزرسانی شده‌ی وردپرس، پلاگین ­ها و تم­ ها.
  • انتخاب نام کاربری و کلمات عبور قدرتمند ( بخصوص برای ادمین اصلی سایت ) جهت جلوگیری از ورود اشخاص ناشناس به سایت
  • خرید و نصب تم­ ها و پلاگین­ هایی تائید شده‌ی وردپرس
  • مدیریت دسترسی ادمین­ها به سایت و محدود کردن دسترسی برخی از کاربران
  • حذف پلاگین ­ها، تم ­ها وفایل‌هایقدیمی و بلا استفاده
  • بک آپ گیری مداوم
  • نصب گواهی SSL برای اضافه کردن یک لایه رمزگذاری شده برای تمامی تعاملات
  • نصب پلاگین ­های امنیتی وردپرس به روی سایت

امنیت سایت وردپرس می‌تواند به طرق مختلفی در معرض خطر قرار بگیرد. برخی از جنبه‌های امنیتی سایت شما در دستان تیم هسته‌ی وردپرس، میزبان وب، تولیدکنندگان تم و پلاگین ­هایی که به روی سایتتان نصب می‌کنید است. اما صاحبان سایت و ادمین­ ها معمولاً بهترین محافظان سایت‌های وردپرس خود هستند که این کار را با انتخاب گزینه‌های هوشمند و مدیریت صحیح سایت در برخورد با دیگر اعضای اکوسیستم وردپرس انجام می‌دهند.

منبع: هاست ایران

 

لینک کوتاه این مطلب: 


سایتنا

تصویر امنیتی