بیدلیل نیست که وردپرس محبوبترین سیستم مدیریت محتوا به حساب میآید. کاربرپسند است، برای سئو خوب است، به راحتی قابل شخصیسازی است و میتوان به وسیله آن امکانات مختلفی را به وب سایت اضافه کرد. پس جای تعجب ندارد که چرا وردپرس 35 درصد وب سایتها را تامین میکند.
این سیستم مدیریت محتوا 17 سال گذشته کار خود را شروع کرد و در این مسیر طرفداران زیادی هم پیدا کرده است. وردپرس در درجه اول به عنوان یک پلتفرم وبلاگ نویسی راهاندازی گردید، اما بعدها به پلتفرمی مناسب برای کسب و کارهای مختلف تبدیل شد.
محبوبیت اغلب میتواند با صرف هزینههایی همراه باشد. چرا که وردپرس طی این سالها مورد حمله هکرهای بسیاری در سراسر جهان واقع شده است. طبق آمار Sucuri از 8000 وب سایت آلوده، 74 درصد توسط وردپرس ساخته شدهاند.
بنابراین اگر یک وب سایت تجاری، وبلاگ شخصی یا یک فروشگاه تجارت الکترونیک در وردپرس دارید، امنیت آن را باید در اولویت قرار دهید.
هک شدن چگونه میتواند به کسب و کارتان آسیب برساند؟
هکرها همیشه در حال انجام عملیات پیچیده هستند و هرگز بیکار نمینشینند. حملات سایبری نه تنها وب سایتتان را دچار مشکل میکند، بلکه تمام دادهها از جمله اطلاعات مشتریان را نیز به خطر میاندازد. طبق گزارش Inc.com تقریبا 60 درصد از وب سایتهایی که هک میشوند، در عرض 6 ماه ورشکست میگردند.
این موضوع به طرز نگرانکنندهای خطرناک است. چرا که حتی ممکن است به روشهای دیگری نیز به کسب و کارتان آسیب برساند:
- شما یا هر یک از مشتریانتان میتوانید قربانی سرقت هویت شوید.
- سرعت وب سایتتان کاهش مییابد.
- وب سایتتان ممکن است به طور کامل خراب شود.
- به اعتبار شرکت شما ضربه بزرگی وارد میشود.
- ممکن است مشتریان خود را از دست بدهید.
همانطور که گفته میشود پیشگیری بهتر از درمان است، پس قبل از اینکه اتفاقی جدی بیفتد، باید اقداماتی را برای ایمنسازی سایت خود انجام دهید.
دلایل زیادی میتواند برای به خطر افتادن سایتتان وجود داشته باشد از جمله یک باگ خاص، پلاگین آلوده، پسوردهای ضعیف، از دست دادن بهروزرسانیهای امنیتی، مهندسی اجتماعی، نشت دادهها و مواردی از این دست.
حقایق جالب در مورد امنیت وردپرس
وردپرس به عنوان پرکاربردترین سیستم مدیریت محتوا در سراسر جهان، یک هدف خوب برای افشای دادهها، تلاش برای هک، گسترش بدافزارها و حملات تروجان در نظر گرفته میشود.
آمار نشان میدهد که 8 درصد از وب سایتهای وردپرسی به دلیل پسوردهای ضعیف هک میشوند. بنابراین استفاده از رمزهای عبور پیچیده برای اطمینان از آسیبپذیر نبودن وب سایتتان بسیار اهمیت دارد. طبق گزارش Sucuri تقریبا 60 درصد از وب سایتهای وردپرس آلوده قدیمی بودهاند.
همچنین بر اساس آمار WP White Security حدود 30 درصد از یک میلیون وب سایت برتر الکسا از نسخه قدیمی وردپرس یعنی 3.6 استفاده کرده و این موضوع آنها را در برابر حملات آسیبپذیر میکند. در نتیجه مطمئن شوید که سایتتان از آخرین نسخه وردپرس بهره میگیرد. این کار به شما امکان میدهد هرگونه باگ را برطرف کنید و وب سایت خود را ایمن نگه دارید.
طبق گفته WPScan بالغ بر 52 درصد از آسیبپذیریهای وردپرس به علت پلاگینهای نامعتبر نصب شده بر روی آن است. در یک مطالعه گزارش شد که 4000 وب سایت به دلیل یک پلاگین جعلی سئو توسط بدافزار آلوده شدند. پس قبل از نصب هر پلاگین باید مطمئن شوید که از یک منبع قابل اعتماد، سازگار با آخرین نسخه و بهروزشده آن را دریافت نمایید.
WordFence نیز میگوید تقریبا 90000 حمله در دقیقه در وب سایتهای وردپرسی انجام میشود. همچنین اعلام میکند که 3972 آسیبپذیری شناخته شده در وردپرس وجود دارد. از این تعداد 52 درصد مربوط به پلاگینهای وردپرس، 37 درصد به دلیل فایلهای اصلی وردپرس و 11 درصد هم از قالبهای وردپرسی هستند.
انواع حمله عبارتند از:
- تزریق SQL
- آپلود اکسپلویت
- درخواست بین سایتی (XSS)
- دور زدن احراز هویت
- انکار سرویس
- افشای مسیر
به گفته WebsiteBuilder، گوگل هر هفته 70000 وب سایت را به دلیل مسائل امنیتی در لیست سیاه قرار میدهد. از بین سایتهای لیست سیاه، 50000 مورد به فیشینگ متهم بوده در حالی که بقیه به دلیل مشکلات بدافزاری هستند.
شاید تعجب کنید The Panama Paper Leak که در آن 8/4 میلیون ایمیل مورد سوءاستفاده قرار گرفت، به دلیل آسیبپذیری پلاگین وردپرس بود. رایجترین آلودگیهای بدافزار در وردپرس عبارتند از درب پشتی یا درب مخفی، دانلودهای Drive-by، هکهای دارویی و تغییر مسیرهای مخرب.
طبق آمار Sucuri:
- 83 درصد از تمام وب سایتهای مبتنی بر CMS که هک میشوند، توسط وردپرس ساخته شدهاند.
- 39 درصد از وب سایتهای وردپرسی هک شده نیز از نسخههای قدیمی این CMS استفاده میکنند.
- 90 درصد درخواستهای پاکسازی مربوط به وردپرس است.
یک مطالعه نشان داد که از تمام وب سایتهای وردپرسی، تنها 11 درصد از رمزگذاری SSL (پروتکل https) استفاده میکنند.
چگونه امنیت وردپرس را تضمین کنیم
اکنون که میدانید ایمنسازی سایت چقدر مهم است، بیایید به چند دستورالعمل در مورد نحوه انجام آن نگاه کنیم.
1. از به کارگیری پسوردهای رایج خودداری کنید
اولین سپر در برابر هرگونه تلاش هک انتخاب یک رمزعبور قوی است. این موضوع بیشتر هنگام کار بر روی امنیت مطبوعات نادیده گرفته میشود. هنگامی که یک رمزعبور قوی داشته باشید، میتوانید از هرگونه تلاش برای هک جلوگیری کنید یا حداقل آن را به تاخیر بیاندازید.
بنابراین از داشتن رمزهای عبور رایج خودداری کنید (فقط کاراکترهای عددی یا حروف الفبا). هرچند به خاطر سپردن این موارد ممکن است آسان باشد، اما شکستن آنها نیز به تبع ساده است. سعی کنید ترکیبی از حروف، اعداد و نمادها استفاده کنید. به علاوه استفاده همزمان از VPN و SSL نیز میتواند سرمایهگذاری خوبی برای ایمنسازی وب سایت شما در برابر هک باشد.
2. ورود به سیستم با احراز هویت دو مرحلهای راهاندازی کنید
یکی دیگر از راههای موثر برای ایمنسازی وب سایت، استفاده از ماژول احراز هویت دو مرحلهای (2FA) است. به این ترتیب هر کسی که بخواهد وارد وب سایت وردپرسی شما شود، قبل از ورود باید از دو مانع عبور کند.
این قابلیت میتواند ترکیبی از یک رمزعبور و یک سؤال محرمانه یا یک کد مخفی ارسال شده به تلفن همراه شما (با استفاده از پیامک یا اپلیکیشن Google Authenticator) باشد.
3. محدود کردن تلاش برای ورود
اجازه دادن به تعداد محدودی از تلاش برای ورود به سیستم نیز به بهبود امنیت وردپرس شما کمک میکند. وردپرس به طور پیش فرض تعداد نامحدودی تلاش برای ورود به سیستم را ارائه میدهد. با این وجود میتوانید از پلاگین WP Limit Login Attempts برای تغییر آن استفاده کنید.
در صورتی که نمیخواهید از یک پلاگین کمک بگیرید، میتوانید برای انجام آن به صورت دستی (در کدنویسی بک-اند) نیز اقدام کنید. با محدود کردن تعداد تلاش برای ورود، میزان موفقیت حملات را کاهش میدهید. در این صورت هکرها قبل از اتمام کار به نوعی قفل میشوند.
4. به طور منظم نسخه وردپرس خود را بهروزرسانی کنید
شما باید بهروزرسانی نسخه وردپرس خود را دائما انجام دهید. این موضوع مهمی است، زیرا توسعه دهندگان ویژگیهای امنیتی را در هر بهروزرسانی قرار میدهند که به امنیت وب سایت شما کمک میکند. همچنین فراموش نکنید که پلاگینها و قالبهای خود را نیز حتما آپدیت کنید.
5. از پلاگینهای امنیتی وردپرس استفاده کنید
برنامه نویسی و کدنویسی چیزی است که هر روز در حال تغییر و تحول است. همچنین یادگیری همه چیز در این زمینه سخت و تقریبا غیرممکن است. بدون این دانش ممکن است حتی متوجه بدافزاری که در کد شما نوشته شده است نشوید. به همین دلیل باید از پلاگینهای امنیتی وردپرس استفاده کنید.
طیف گستردهای از پلاگینهای امنیتی وجود دارد که میتوانید یکی از آنها را انتخاب نمایید. بهترین گزینهها به طور منظم بهروز میشوند، همین امر باعث میشود که قادر به شناسایی هرگونه تلاش برای هک کردن و اضافه شدن هرگونه بدافزار به کد شما باشند.
ایده خوبی است که یک پلاگین امنیتی انتخاب کنید تا وب سایت شما را به صورت شبانهروزی نظارت و اسکن کرده و از سایت شما در برابر نفوذ و تلاش برای هک محافظت نماید.
6. از نصب قالبهای رایگان خودداری کنید
استفاده رایگان از هر چیزی وسوسهانگیز است. به همین منظور وردپرس چندین قالب حرفهای دارد که توسط کدنویسهای سطح بالا توسعه یافتهاند، اما برای آن هزینهای از شما دریافت میکنند. این قالبها سفارشیسازی به طور نامحدود، بهروزرسانی منظم و... را ارائه میدهند.
از طرفی قالبهای رایگان زیادی هم در وردپرس موجود بوده، اما امکانات آنها محدود است. میتوانید نسخههای کرک شده قالبها را در جاهایی پیدا کنید. تقریبا همه را وسوسه میکند ولی آنها یک نکته اساسی را نادیده میگیرند. این نوع قالبها نسخههای هک شده نمونههای ممتاز هستند و ممکن است همراه با بدافزارهای مخرب به دست شما برسند. آنها به هکرها کمک میکنند تا به راحتی به وب سایت شما نفوذ کرده و آن را از بین ببرند. بنابراین به جای اینکه کمی بیشتر پسانداز کنید، خود را از دست ضررهای هنگفت نجات دهید.
7. ویرایش داخلی فایل را غیرفعال کنید
هنگام توسعه سایت وردپرس خود، ممکن است از ویرایشگر کد در داشبوردتان استفاده کرده باشید. برای کسانی که در این زمینه تازه وارد هستند باید بگوییم عملکرد ویرایشگر کد به شما کمک میکند تا کد قالبها و پلاگینها را ویرایش کنید.
به طور خلاصه این قابلیت به شما امکان میدهد یک سایت سفارشی بسازید. اما هنگامی که توسعه وب سایت خود را به پایان رساندید، فراموش نکنید این قابلیت را غیرفعال کنید. در غیر این صورت ممکن است به هکرها اجازه دهید بدافزاری را در کد شما تزریق کنند. این یکی از نادیده گرفتهترین اقدامات امنیتی وردپرس به حساب میآید.
8. آدرس WP-Login خود را تغییر دهید
وردپرس یک URL پیشفرض برای همه سایتها دارد که با استفاده از خود CMS توسعه داده شدهاند. این URL معمولا (site.com/wp-admin) است که آن را مستعد تهدیدات خارجی میکند.
برای جلوگیری از این امر میتوانید تأیید دو عاملی را فعال کنید یا یک سؤال محرمانه برای آن قرار دهید. علاوه بر این سفارشی کردن URL نیز ایده خوبی است، زیرا همه آدرس پیشفرض را میشناسند.
9. به طور منظم نسخه پشتیبان تهیه کنید
فرض کنیم وب سایتتان به خطر افتاده است، اولین راهکار امنیتی شما چیست؟ قطعا ایمنسازی دادهها خواهد بود.
اگر چنین است، چرا اقدامات پیشگیرانه برای این سناریو انجام نمیدهید؟ بکاپگیری منظم از دادهها و محتوای وبسایت یک روش خوب است. این کار به شما کمک میکند که اگر مشکلی پیش آمد سریع به عقب برگردید و اطلاعات خود را بازیابی نمایید. بنابراین هرگز تهیه نسخه پشتیبان را فراموش نکنید.
جمعبندی
ایمنسازی وب سایت بسیار ضروری است. همچنین داشتن یک ایده واضح از تهدیدها و ابزارهایی که میتوانید برای مقابله با آن استفاده کنید، از اهمیت بسیار بالایی برخوردار است. اولین و مهمترین اولویت شما باید ایجاد یک فایروال و پروتکل امنیتی غیر قابل نفوذ باشد.
به دلیل محبوبیت، وردپرس یک هدف همیشگی برای هکرهاست. بنابراین همواره باید یک قدم جلوتر باشید تا بتوانید از ایمنی سایت خود اطمینان حاصل کنید، به هر حال این جنبه آنلاین کسب و کار شماست. در نهایت به خاطر داشته باشید داشتن یک وب سایت ضد هک مطمئنا اعتماد مشتریان را جلب میکند و از این رو به رشد کسب و کارتان کمک مینماید.
دیدگاه و پرسش
در حال دریافت نظرات از سرور، لطفا منتظر بمانید
در حال دریافت نظرات از سرور، لطفا منتظر بمانید