تمام نرمافزارها آسیبپذیر هستند. این جمله ممکن است کمی ترسناک باشد اما واقعیت دارد. افزایش سطح ایمنی وبسایت برای جلوگیری از اقدامات خرابکارانه هکرها از نقض محتوای وبسایت گرفته تا وجود backdoors در سایت، نرمافزارهای ثانویه، کنترل حسابهای کاربری و سایر اشکال حملات مخرب، بسیار مهم است. حملاتی که ذکر شد بیشتر اتفاق میافتند. برقراری امنیت وردپرس نیز نیازمند مدیریت و نظارتهای هوشمندانه است.
امنیت وردپرس
گوگل هر هفته لیست سیاهی بالغ بر ۷۰۰۰۰ وبسایت برای تروجانها و فیشینگ ارائه میدهد. لیستهای سیاه شامل وبسایت های ناسالمی هستند که از فهرست گوگل حذف شدهاند، قرار گرفتن در لیست سیاه منجر به از دست دادن ترافیک و درآمد وبسایت خواهد شد.
برای جلوگیری از این نوع حملات مخرب و متضرر شدن، برای حفظ امنیت وردپرس و سلامت وبسایت باید یک سری اقدامات امنیتی انجام داد تا سطح ایمنی سایت به حد مطلوبی برسد.
مزایای امنیت وردپرس
حدود ۳۰ درصد از وبسایتها توسط سیستم مدیریت محتوای وردپرس پشتیبانی میشوند. این سیستم مدیریت محتوا (CMS) منبع باز است و طبق آمار حدود ۷۵ میلیون وبسایت بر پایه وردپرس طراحی و اجرا شدهاند. پشتیبانی وردپرس به قدری گسترده است که تقریباً ۳۰ درصد از تمام وبسایتهای اینترنتی را شامل میشوند.
بیشترین مشکلاتی که در ارتباط با وردپرس رخ میدهد مربوط به نسخههای قدیمی این پلتفرم است. نسخههای قدیمی و منسوخ میتوانند خطرناک باشند. هسته وردپرس، افزونهها و قالبهای نصب شده همیشه باید بروز باشند. عدم بروزرسانی منظم، موجب بروز مشکلاتی از جمله ضعفهای امنیتی خواهد شد. هسته وردپرس بسیار امن است و مزایای متعددی نسبت به سایر سیستمهای مدیریت محتوا ارائه میدهد اما باز هم باید نسبت به بروز نگه داشتن وردپرس تلاش کرد.
بروزرسانیهای مداوم و امنیت وردپرس
وردپرس یک تیم امنیتی ویژه با ۵۰ کارشناس دارد که به طور مداوم بروزرسانیهایی را برای تقویت کدهای هسته و جلوگیری از حملات مخرب هکرها تهیه میکنند که همه این اقدامات در جهت افزایش امنیت وردپرس صورت میپذیرند. کارشناسان تیم امنیتی وردپرس همواره در تلاشاند که آسیبپذیریهای امنیتی را شناسایی و تهدیدات بالقوه را از بین ببرند.
۱۰ مورد از خطرناکترین ضعفهای امنیتی
- تزریق کدهای مخرب
- عدم تائید اعتبارات و مدیریت نشستها
- وجود و افشاء دادهها و اطلاعات آسیبپذیر
- دسترسیهای غیر مجاز اشخاص ثالث
- عدم کنترل دسترسیهای ناقص
- عدم وجود تنظیمات امنیتی لازم
- اسکریپتهای ناقض امنیت
- عدم بروزرسانیهای منظم که موجب آسیبپذیری میشود.
- استفاده از عناصری با آسیبپذیریهای شناخته شده
- عدم نظارت کافی بر ورود کاربران
بخشی از مواردی که تیم امنیتی روی آن کار میکنند، برنامه امنیتی (Web Application Security (OWASP برای مقابله با رایجترین تهدیدات امنیتی است. تیم امنیتی پس از ارزیابی و تحقیقات جامع روی کدها، اظهار داشته که پس از انجام اقدامات پیشنهادی، میزان نفوذپذیریها از طریق هسته وردپرس، افزونهها و قالبها کاهش یافته است.
۲- وردپرس سازگار با ویژگیهای عقبگرد
بر خلاف سایر سیستمهای مدیریت محتوا مانند دروپال، وردپرس با ویژگی عقبگرد سازگاری دارد. این ویژگی به کاربر اطمینان میدهد که پس از بروزرسانی هسته وردپرس، مشکلی در عملکرد افزونهها و قالب رخ نخواهد داد و همچنان به درستی کار میکنند. سازگاری وردپرس با ویژگی عقبگرد باعث میشود که در صورت پشیمانی از نسخه بروز شده و یا بروز مشکل پس از بروزرسانی، به نسخه قبلی بازگردند و مشکل را حل کنند.
۳- افزونههای امنیتی
افزونهها به عنوان گزینهای برای گسترش قابلیتهای وردپرس عمل میکنند. افزونههای امنیتی نیز میتوانند به حفاظت از وبسایت شما کمک کنند. نه اینکه از همه نوع افزونه امنیتی استفاده کنید! از افزونهای مناسب که موجب امنیت وردپرس شود، وبسایت را محافظت کند و وجود موارد مشکوک و حملات بالقوه را هشدار دهد. افزونههای امنیتی شامل اسکنر بدافزارها، فایروالها، پشتیبانگیر، احراز هویت و… هستند. برخی از افزونههای امنیتی رایج و قابل اعتماد عبارتاند از:
- WordFence
- Sucuri Security
- BulletProof Security
- iThemes Security
- All In One WP Security Firewall
تا اینجا به مزیتهای هسته وردپرس در جهت تأمین امنیت وردپرس اشاره کردیم اما باز هم میتوان گامهایی را در جهت افزایش سطح امنیت وردپرس برداشت. این اقدامات پیشگیرانه میزان نفوذپذیریهای احتمالی را به حداقل میرسانند.
ارتقاء سطح امنیت وردپرس
همانطور که ذکر کردیم بروزرسانی هسته وردپرس بسیار مهم است. درصد بالایی از وبسایتها به دلیل بروز نبودن مورد نفوذ قرار میگیرند. به طور کلی یک سیستم مدیریت محتوای وردپرس دارای میزان امنیت مطلوبی است اما چند مرحله ساده برای ارتقای امنیت وردپرس وجود دارد که انجام آنها را توصیه میکنیم.
فقط افزونههای مورد نیاز را نصب کنید
همانطور که قبلاً هم ذکر کردیم، افزونههای امنیتی میتوانند از حملات جلوگیری کرده و فعالیتهای مشکوک را هشدار دهند. بااینحال، برخی از افراد غفلت میکنن. قبل از نصب هر افزونهای در مورد آن تحقیق کنید. هزاران افزونه برای وردپرس وجود دارد، اما این بدان معنا نیست که همه آنها برای استفاده مناسب و امن هستند!
نکته: قبل از نصب، افزونه را به طور کامل ارزیابی کنید. توصیه میکنیم معیارهای زیر را بررسی کنید.
- از خودتان بپرسید آیا این افزونه برای امنیت وردپرس مناسب است؟ و وبسایتم را به خطر نمیاندازد؟ اگر توجیهی برای امنیت افزونه نداشتید از نصب آن صرف نظر کنید.
- سن افزونه چقدر است؟ اگر جدید است، میتواند یک پرچم قرمز باشد.
- آیا این افزونه اخیراً بروزرسانی شده است؟ آیا بروزرسانیهای مکرر انجام میشود؟ این اطلاعات میتوانند موجب تشخیص کارایی افزونه شوند.
- آیا افزونه رتبهبندی خوبی دارد؟ قسمت نظرات کاربران را به طور کامل مطالعه کنید و ببینید میزان انتقادات و رضایت کاربران به چه صورت است.
- تعیین اینکه آیا به جز نصب افزونه، یک راه جایگزین برای انجام این کار وجود دارد؟ بهعنوانمثال ریدایرکت ۳۰۱ با استفاده از قوانین .htaccess انجام میشود، بنابراین لازم نیست افزونه اختصاصی برای آن نصب کرد. نصب بیش از حد افزونهها میتواند مسائل امنیتی و تداخل با هسته وردپرس ایجاد کند؛ بنابراین افزونههای کمتر، بهتر است.
یکی دیگر از مواردی که باید در نظر داشته باشید اجتناب از سنگین شدن وبسایت با نصب بیش از حد افزونهها است. نصب نامعقول و نامتعادل افزونههای جدید در کنار افزونههای قدیمی و عدم توجه به موارد امنیتی، موجب بروز مشکلاتی مانند کاهش سرعت وبسایت و یا کاهش کارایی خواهد شد.
شرایط ورود سخت، اعتبار سنجی قوی و محدود کردن تعداد مدیران
سرقت گذرواژهها یکی از رایجترین روشهای هکرها برای دسترسی به وبسایت است. با قوی بودن رمزهای عبور، شناسایی آنها نیز سختتر خواهد شد. از به کار بردن واژههای بسیار معمول و ناامن مانند “۱۲۳۴۵۶” و “password123” اجتناب کنید برخی برای به خاطر سپردن رمز، آن را ساده انتخاب میکنند که یک اشتباه بزرگ است چون کار هکرها برای کشف رمز عبور ساده میشود.
پیشنهاد میکنیم یک رمز عبور منحصربهفرد با حداقل ۸ کاراکتر با ترکیبی از اعداد، کاراکترهای خاص و حروف بزرگ داشته باشید.
علاوه بر انتخاب یک رمز عبور قوی، انتخاب یک نام کاربری خوب هم بسیار مهم است. بعضی افراد ممکن است کلمه پیشفرض “admin” را به عنوان نام کاربری خود انتخاب کنند، این کار موجب ضعف امنیت وردپرس خواهد شد. با انتخاب یک نام کاربری رایج، اساساً یک قدم از جلوی پای هکرها کم میکنید! یعنی نیمی از اطلاعات مورد نیاز برای ورود به سیستم را در اختیار هکر قرار میدهید.
هال بورگس میگوید: برخی تصور میکنند که امینت وردپرس مطلوب نیست و آن را سیستم مدیریت محتوایی ناامن مینامند ولی این تفکر منصفانه نیست. بسیاری از وبسایت های وردپرسی در برابر حملات سنگین مقاومت میکنند. به طور کلی، هسته وردپرس بسیار امن است.
یکی دیگر از جنبههای مهم امنیت وردپرس، محدود کردن دسترسی افراد به سایت است. بهتر است اختیارات و سطح دسترسی مدیران بسیار کنترل شود. این نقش تنها باید در اختیار افرادی قرار بگیرد که واقعاً به این دسترسیها نیاز دارند. افرادی که به مدیریت دسترسی دارند اما کم تجربه هستند، ممکن است امنیت وردپرس را تهدید کنند. مدیران قدرت فوقالعادهای دارند و دسترسی آنها برای انجام امور بسیار گسترده است در حالی که دیگر نقشهای کاربری این امکانات را ندارند.
خروج خودکار کاربران
حضور در وبسایت و عدم فعالیت، کمی خطرناک است. هکرها میتوانند با تصاحب اکانتهای کاربران باعث بروز مشکلات متعددی از جمله نقض اطلاعات تا سرقت اکانت کاربری شوند.
برای جلوگیری از وقوع چنین مسائلی در سایت، میتوانید افزونههایی به منظور خروج خودکار کاربران نصب و فعال کنید. بهعنوانمثال افزونه Idle User Logout یک گزینه مناسب است که میتوان بازههای زمانی برای خروج خودکار کاربران تعیین کرد. این کار باعث میشود کاربران فاقد فعالیت از چرخه خارج شوند.
فعالسازی Login Lockdown
به صورت پیشفرض تنظیمات تلاش برای ورود به وردپرس نامحدود است. کاربران میتوانند به هر تعداد که میخواهند نسبت به وارد کردن اطلاعات و تلاش برای ورود به سیستم اقدام کنند. این امر برای کاربرانی که اعتبارات ورودی خود را فراموش کرده و میخواهند برای ورود تلاش کنند، مفید است اما از جهت دیگر یک فرصت بیپایان برای هکرها به منظور تلاش برای نفوذ به سیستم است.
خوشبختانه میتوانید از افزونههایی که در زمینه محدودسازی دفعات ورود ناموفق به سیستم طراحی شدهاند کمک بگیرید. بهعنوانمثال افزونه Login Lockdown به شما اجازه میدهد حداکثر تعداد تلاشهای ناموفق برای ورود به سیستم را تنظیم کنید. مورد دیگر مدت زمانی است که کاربر پس از تلاشهای ناموفق باید سپری کند.
بروزرسانیهای منظم
توصیه میکنیم هسته وردپرس را همیشه بروز نگه دارید. سریعاً پس از انتشار نسخههای جدید، هسته وردپرس بروزرسانی شود. این امر موجب میشود تا همیشه ایمنترین و بروزترین نسخه وردپرس در دسترس شما و مورد استفاده قرار گیرد. بروزرسانیهای هسته وردپرس بسیار ساده است. از بروز نگه داشتن قالب و افزونهها نیز غافل نشوید.
برای ارسال دیدگاه شما باید وارد سایت شوید.