امنیت وردپرس

امتیاز 4.00

تمام نرم‌افزارها آسیب‌پذیر هستند. این جمله ممکن است کمی ترسناک باشد اما واقعیت دارد. افزایش سطح ایمنی وبسایت برای جلوگیری از اقدامات خرابکارانه هکرها از نقض محتوای وبسایت گرفته تا وجود backdoors در سایت، نرم‌افزارهای ثانویه، کنترل حساب‌های کاربری و سایر اشکال حملات مخرب، بسیار مهم است. حملاتی که ذکر شد بیشتر اتفاق می‌افتند. برقراری امنیت وردپرس نیز نیازمند مدیریت و نظارت‌های هوشمندانه است.

امنیت وردپرس

گوگل هر هفته لیست سیاهی بالغ‌ بر ۷۰۰۰۰ وبسایت برای تروجان‌ها و فیشینگ ارائه می‌دهد. لیست‌های سیاه شامل وبسایت های ناسالمی هستند که از فهرست گوگل حذف شده‌اند، قرار گرفتن در لیست سیاه منجر به از دست دادن ترافیک و درآمد وبسایت خواهد شد.

برای جلوگیری از این نوع حملات مخرب و متضرر شدن، برای حفظ امنیت وردپرس و سلامت وبسایت باید یک سری اقدامات امنیتی انجام داد تا سطح ایمنی سایت به حد مطلوبی برسد.

مزایای امنیت وردپرس

 

حدود ۳۰ درصد از وبسایت‌ها توسط سیستم مدیریت محتوای وردپرس پشتیبانی می‌شوند. این سیستم مدیریت محتوا (CMS) منبع باز است و طبق آمار حدود ۷۵ میلیون وبسایت بر پایه وردپرس طراحی و اجرا شده‌اند. پشتیبانی وردپرس به قدری گسترده است که تقریباً ۳۰ درصد از تمام وبسایت‌های اینترنتی را شامل می‌شوند.

بیشترین مشکلاتی که در ارتباط با وردپرس رخ می‌دهد مربوط به نسخه‌های قدیمی این پلت‌فرم است. نسخه‌های قدیمی و منسوخ می‌توانند خطرناک باشند. هسته وردپرس، افزونه‌ها و قالب‌های نصب شده همیشه باید بروز باشند. عدم بروزرسانی منظم، موجب بروز مشکلاتی از جمله ضعف‌های امنیتی خواهد شد. هسته وردپرس بسیار امن است و مزایای متعددی نسبت به سایر سیستم‌های مدیریت محتوا ارائه می‌دهد اما باز هم باید نسبت به بروز نگه داشتن وردپرس تلاش کرد.

بروزرسانی‌های مداوم و امنیت وردپرس

وردپرس یک تیم امنیتی ویژه با ۵۰ کارشناس دارد که به طور مداوم بروزرسانی‌هایی را برای تقویت کدهای هسته و جلوگیری از حملات مخرب هکرها تهیه می‌کنند که همه این اقدامات در جهت افزایش امنیت وردپرس صورت می‌پذیرند. کارشناسان تیم امنیتی وردپرس همواره در تلاش‌اند که آسیب‌پذیری‌های امنیتی را شناسایی و تهدیدات بالقوه را از بین ببرند.

۱۰ مورد از خطرناک‌ترین ضعف‌های امنیتی

  1. تزریق کدهای مخرب
  2. عدم تائید اعتبارات و مدیریت نشست‌ها
  3. وجود و افشاء داده‌ها و اطلاعات آسیب‌پذیر
  4. دسترسی‌های غیر مجاز اشخاص ثالث
  5. عدم کنترل دسترسی‌های ناقص
  6. عدم وجود تنظیمات امنیتی لازم
  7. اسکریپت‌های ناقض امنیت
  8. عدم بروزرسانی‌های منظم که موجب آسیب‌پذیری می‌شود.
  9. استفاده از عناصری با آسیب‌پذیری‌های شناخته شده
  10. عدم نظارت کافی بر ورود کاربران

بخشی از مواردی که تیم امنیتی روی آن کار می‌کنند، برنامه امنیتی (Web Application Security (OWASP برای مقابله با رایج‌ترین تهدیدات امنیتی است. تیم امنیتی پس از ارزیابی و تحقیقات جامع روی کدها، اظهار داشته که پس از انجام اقدامات پیشنهادی، میزان نفوذپذیری‌ها از طریق هسته وردپرس، افزونه‌ها و قالب‌ها کاهش یافته است.

۲- وردپرس سازگار با ویژگی‌های عقب‌گرد

بر خلاف سایر سیستم‌های مدیریت محتوا مانند دروپال، وردپرس با ویژگی عقب‌گرد سازگاری دارد. این ویژگی به کاربر اطمینان می‌دهد که پس از بروزرسانی هسته وردپرس، مشکلی در عملکرد افزونه‌ها و قالب رخ نخواهد داد و همچنان به درستی کار می‌کنند. سازگاری وردپرس با ویژگی عقب‌گرد باعث می‌شود که در صورت پشیمانی از نسخه بروز شده و یا بروز مشکل پس از بروزرسانی، به نسخه قبلی بازگردند و مشکل را حل کنند.

۳- افزونه‌های امنیتی

افزونه‌ها به عنوان گزینه‌ای برای گسترش قابلیت‌های وردپرس عمل می‌کنند. افزونه‌های امنیتی نیز می‌توانند به حفاظت از وبسایت شما کمک کنند. نه اینکه از همه نوع افزونه امنیتی استفاده کنید! از افزونه‌ای مناسب که موجب امنیت وردپرس شود، وبسایت را محافظت کند و وجود موارد مشکوک و حملات بالقوه را هشدار دهد. افزونه‌های امنیتی شامل اسکنر بدافزارها، فایروال‌ها، پشتیبان‌گیر، احراز هویت و… هستند. برخی از افزونه‌های امنیتی رایج و قابل اعتماد عبارت‌اند از:

  • WordFence
  • Sucuri Security
  • BulletProof Security
  • iThemes Security
  • All In One WP Security Firewall

تا اینجا به مزیت‌های هسته وردپرس در جهت تأمین امنیت وردپرس اشاره کردیم اما باز هم می‌توان گام‌هایی را در جهت افزایش سطح امنیت وردپرس برداشت. این اقدامات پیشگیرانه میزان نفوذپذیری‌های احتمالی را به حداقل می‌رسانند.

ارتقاء سطح امنیت وردپرس

همان‌طور که ذکر کردیم بروزرسانی هسته وردپرس بسیار مهم است. درصد بالایی از وبسایت‌ها به دلیل بروز نبودن مورد نفوذ قرار می‌گیرند. به طور کلی یک سیستم مدیریت محتوای وردپرس دارای میزان امنیت مطلوبی است اما چند مرحله ساده برای ارتقای امنیت وردپرس وجود دارد که انجام آن‌ها را توصیه می‌کنیم.

فقط افزونه‌های مورد نیاز را نصب کنید

همان‌طور که قبلاً هم ذکر کردیم، افزونه‌های امنیتی می‌توانند از حملات جلوگیری کرده و فعالیت‌های مشکوک را هشدار دهند. بااین‌حال، برخی از افراد غفلت می‌کنن. قبل از نصب هر افزونه‌ای در مورد آن تحقیق کنید. هزاران افزونه برای وردپرس وجود دارد، اما این بدان معنا نیست که همه آن‌ها برای استفاده مناسب و امن هستند!

نکته: قبل از نصب، افزونه را به طور کامل ارزیابی کنید. توصیه می‌کنیم معیارهای زیر را بررسی کنید.

  • از خودتان بپرسید آیا این افزونه برای امنیت وردپرس مناسب است؟ و وبسایتم را به خطر نمی‌اندازد؟ اگر توجیهی برای امنیت افزونه نداشتید از نصب آن صرف نظر کنید.
  • سن افزونه چقدر است؟ اگر جدید است، می‌تواند یک پرچم قرمز باشد.
  • آیا این افزونه اخیراً بروزرسانی شده است؟ آیا بروزرسانی‌های مکرر انجام می‌شود؟ این اطلاعات می‌توانند موجب تشخیص کارایی افزونه شوند.
  • آیا افزونه رتبه‌بندی خوبی دارد؟ قسمت نظرات کاربران را به طور کامل مطالعه کنید و ببینید میزان انتقادات و رضایت کاربران به چه صورت است.
  • تعیین اینکه آیا به جز نصب افزونه، یک راه جایگزین برای انجام این کار وجود دارد؟ به‌عنوان‌مثال ریدایرکت ۳۰۱ با استفاده از قوانین .htaccess انجام می‌شود، بنابراین لازم نیست افزونه اختصاصی برای آن نصب کرد. نصب بیش از حد افزونه‌ها می‌تواند مسائل امنیتی و تداخل با هسته وردپرس ایجاد کند؛ بنابراین افزونه‌های کمتر، بهتر است.

یکی دیگر از مواردی که باید در نظر داشته باشید اجتناب از سنگین شدن وبسایت با نصب بیش از حد افزونه‌ها است. نصب نامعقول و نامتعادل افزونه‌های جدید در کنار افزونه‌های قدیمی و عدم توجه به موارد امنیتی، موجب بروز مشکلاتی مانند کاهش سرعت وبسایت و یا کاهش کارایی خواهد شد.

شرایط ورود سخت، اعتبار سنجی قوی و محدود کردن تعداد مدیران

 

سرقت گذرواژه‌ها یکی از رایج‌ترین روش‌های هکرها برای دسترسی به وبسایت است. با قوی بودن رمزهای عبور، شناسایی آن‌ها نیز سخت‌تر خواهد شد. از به کار بردن واژه‌های بسیار معمول و ناامن مانند “۱۲۳۴۵۶” و “password123” اجتناب کنید برخی برای به خاطر سپردن رمز، آن را ساده انتخاب می‌کنند که یک اشتباه بزرگ است چون کار هکرها برای کشف رمز عبور ساده می‌شود.

پیشنهاد می‌کنیم یک رمز عبور منحصربه‌فرد با حداقل ۸ کاراکتر با ترکیبی از اعداد، کاراکترهای خاص و حروف بزرگ داشته باشید.

علاوه بر انتخاب یک رمز عبور قوی، انتخاب یک نام کاربری خوب هم بسیار مهم است. بعضی افراد ممکن است کلمه پیش‌فرض “admin” را به عنوان نام کاربری خود انتخاب کنند، این کار موجب ضعف امنیت وردپرس خواهد شد. با انتخاب یک نام کاربری رایج، اساساً یک قدم از جلوی پای هکرها کم می‌کنید! یعنی نیمی از اطلاعات مورد نیاز برای ورود به سیستم را در اختیار هکر قرار می‌دهید.

هال بورگس می‌گوید: برخی تصور می‌کنند که امینت وردپرس مطلوب نیست و آن را سیستم مدیریت محتوایی ناامن می‌نامند ولی این تفکر منصفانه نیست. بسیاری از وبسایت های وردپرسی در برابر حملات سنگین مقاومت می‌کنند. به طور کلی، هسته وردپرس بسیار امن است.

یکی دیگر از جنبه‌های مهم امنیت وردپرس، محدود کردن دسترسی افراد به سایت است. بهتر است اختیارات و سطح دسترسی مدیران بسیار کنترل شود. این نقش تنها باید در اختیار افرادی قرار بگیرد که واقعاً به این دسترسی‌ها نیاز دارند. افرادی که به مدیریت دسترسی دارند اما کم تجربه هستند، ممکن است امنیت وردپرس را تهدید کنند. مدیران قدرت فوق‌العاده‌ای دارند و دسترسی آن‌ها برای انجام امور بسیار گسترده است در حالی که دیگر نقش‌های کاربری این امکانات را ندارند.

خروج خودکار کاربران

حضور در وبسایت و عدم فعالیت، کمی خطرناک است. هکرها می‌توانند با تصاحب اکانت‌های کاربران باعث بروز مشکلات متعددی از جمله نقض اطلاعات تا سرقت اکانت کاربری شوند.

برای جلوگیری از وقوع چنین مسائلی در سایت، می‌توانید افزونه‌هایی به منظور خروج خودکار کاربران نصب و فعال کنید. به‌عنوان‌مثال افزونه Idle User Logout یک گزینه مناسب است که می‌توان بازه‌های زمانی برای خروج خودکار کاربران تعیین کرد. این کار باعث می‌شود کاربران فاقد فعالیت از چرخه خارج شوند.

فعال‌سازی Login Lockdown

به صورت پیش‌فرض تنظیمات تلاش برای ورود به وردپرس نامحدود است. کاربران می‌توانند به هر تعداد که می‌خواهند نسبت به وارد کردن اطلاعات و تلاش برای ورود به سیستم اقدام کنند. این امر برای کاربرانی که اعتبارات ورودی خود را فراموش کرده و می‌خواهند برای ورود تلاش کنند، مفید است اما از جهت دیگر یک فرصت بی‌پایان برای هکرها به منظور تلاش برای نفوذ به سیستم است.

خوشبختانه می‌توانید از افزونه‌هایی که در زمینه محدودسازی دفعات ورود ناموفق به سیستم طراحی شده‌اند کمک بگیرید. به‌عنوان‌مثال افزونه Login Lockdown به شما اجازه می‌دهد حداکثر تعداد تلاش‌های ناموفق برای ورود به سیستم را تنظیم کنید. مورد دیگر مدت زمانی است که کاربر پس از تلاش‌های ناموفق باید سپری کند.

بروزرسانی‌های منظم

توصیه می‌کنیم هسته وردپرس را همیشه بروز نگه دارید. سریعاً پس از انتشار نسخه‌های جدید، هسته وردپرس بروزرسانی شود. این امر موجب می‌شود تا همیشه ایمن‌ترین و بروزترین نسخه وردپرس در دسترس شما و مورد استفاده قرار گیرد. بروزرسانی‌های هسته وردپرس بسیار ساده است. از بروز نگه داشتن قالب و افزونه‌ها نیز غافل نشوید.

 


ثبت دیدگاه

    • دیدگاه های ارسال شده توسط شما، پس از تایید توسط تیم مدیریت در وب منتشر خواهد شد.
    • پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
    • پیام هایی که به غیر از زبان فارسی یا غیر مرتبط باشد منتشر نخواهد شد.

برای ارسال دیدگاه شما باید وارد سایت شوید.