تحلیل و بررسی امنیت وردپرس
ﺯﻣﺎﻥ ﻣﻄﺎﻟﻌﻪ: 11 دقیقه

تحلیل و بررسی امنیت وردپرس

بی‌دلیل نیست که وردپرس محبوب‌ترین سیستم مدیریت محتوا به حساب می‌آید. کاربرپسند است، برای سئو خوب است، به راحتی قابل شخصی‌سازی است و می‌توان به وسیله آن امکانات مختلفی را به وب سایت اضافه کرد. پس جای تعجب ندارد که چرا وردپرس 35 درصد وب سایت‌ها را تامین می‌کند.

این سیستم مدیریت محتوا 17 سال گذشته کار خود را شروع کرد و در این مسیر طرفداران زیادی هم پیدا کرده است. وردپرس در درجه اول به عنوان یک پلتفرم وبلاگ نویسی راه‌اندازی گردید، اما بعدها به پلتفرمی مناسب برای کسب و کارهای مختلف تبدیل شد.

محبوبیت اغلب می‌تواند با صرف هزینههایی همراه باشد. چرا که وردپرس طی این سال‌ها مورد حمله هکرهای بسیاری در سراسر جهان واقع شده است. طبق آمار Sucuri از 8000 وب سایت آلوده، 74 درصد توسط وردپرس ساخته شده‌اند.

بنابراین اگر یک وب سایت تجاری، وبلاگ شخصی یا یک فروشگاه تجارت الکترونیک در وردپرس دارید، امنیت آن را باید در اولویت قرار دهید.

هک شدن چگونه می‌تواند به کسب و کارتان آسیب برساند؟

هکرها همیشه در حال انجام عملیات پیچیده هستند و هرگز بی‌کار نمی‌نشینند. حملات سایبری نه تنها وب سایتتان را دچار مشکل می‌کند، بلکه تمام داده‌ها از جمله اطلاعات مشتریان را نیز به خطر می‌اندازد. طبق گزارش Inc.com تقریبا 60 درصد از وب سایت‌هایی که هک می‌شوند، در عرض 6 ماه ورشکست می‌گردند.

این موضوع به طرز نگران‌کننده‌ای خطرناک است. چرا که حتی ممکن است به روش‌های دیگری نیز به کسب و کارتان آسیب برساند:

  • شما یا هر یک از مشتریان‌تان می‌توانید قربانی سرقت هویت شوید.
  • سرعت وب سایتتان کاهش می‌یابد.
  • وب سایتتان ممکن است به طور کامل خراب شود.
  • به اعتبار شرکت شما ضربه بزرگی وارد می‌شود.
  • ممکن است مشتریان خود را از دست بدهید.

همانطور که گفته می‌شود پیشگیری بهتر از درمان است، پس قبل از اینکه اتفاقی جدی بیفتد، باید اقداماتی را برای ایمن‌سازی سایت خود انجام دهید.

دلایل زیادی می‌تواند برای به خطر افتادن سایت‌تان وجود داشته باشد از جمله یک باگ خاص، پلاگین آلوده، پسوردهای ضعیف، از دست دادن به‌روزرسانی‌های امنیتی، مهندسی اجتماعی، نشت داده‌ها و مواردی از این دست.

در زیر یک اینفوگرافیک فوق‌العاده را آورده‌ایم که آمارهای مختلفی در مورد امنیت وردپرس ارائه می‌دهد.

حقایق جالب در مورد امنیت وردپرس

وردپرس به عنوان پرکاربردترین سیستم مدیریت محتوا در سراسر جهان، یک هدف خوب برای افشای داده‌ها، تلاش برای هک، گسترش بدافزارها و حملات تروجان در نظر گرفته می‌شود.

آمار نشان می‌دهد که 8 درصد از وب سایت‌های وردپرسی به دلیل پسوردهای ضعیف هک می‌شوند. بنابراین استفاده از رمزهای عبور پیچیده برای اطمینان از آسیب‌پذیر نبودن وب سایتتان بسیار اهمیت دارد. طبق گزارش Sucuri تقریبا 60 درصد از وب سایت‌های وردپرس آلوده قدیمی بوده‌اند.

همچنین بر اساس آمار WP White Security حدود 30 درصد از یک میلیون وب سایت برتر الکسا از نسخه قدیمی وردپرس یعنی 3.6 استفاده کرده و این موضوع آن‌ها را در برابر حملات آسیب‌پذیر می‌کند. در نتیجه مطمئن شوید که سایتتان از آخرین نسخه وردپرس بهره می‌گیرد. این کار به شما امکان می‌دهد هرگونه باگ را برطرف کنید و وب سایت خود را ایمن نگه دارید.

طبق گفته WPScan بالغ بر 52 درصد از آسیب‌پذیری‌های وردپرس به علت پلاگین‌های نامعتبر نصب شده بر روی آن است. در یک مطالعه گزارش شد که 4000 وب سایت به دلیل یک پلاگین جعلی سئو توسط بدافزار آلوده شدند. پس قبل از نصب هر پلاگین باید مطمئن شوید که از یک منبع قابل اعتماد، سازگار با آخرین نسخه و به‌روزشده آن را دریافت نمایید.

WordFence نیز می‌گوید تقریبا 90000 حمله در دقیقه در وب سایت‌های وردپرسی انجام می‌شود. همچنین اعلام می‌کند که 3972 آسیب‌پذیری شناخته شده در وردپرس وجود دارد. از این تعداد 52 درصد مربوط به پلاگین‌های وردپرس، 37 درصد به دلیل فایل‌های اصلی وردپرس و 11 درصد هم از قالب‌های وردپرسی هستند.

انواع حمله عبارتند از:

  • تزریق SQL
  • آپلود اکسپلویت
  • درخواست بین سایتی (XSS)
  • دور زدن احراز هویت
  • انکار سرویس
  • افشای مسیر

به گفته WebsiteBuilder، گوگل هر هفته 70000 وب سایت را به دلیل مسائل امنیتی در لیست سیاه قرار میدهد. از بین سایت‌های لیست سیاه، 50000 مورد به فیشینگ متهم بوده در حالی که بقیه به دلیل مشکلات بدافزاری هستند.

شاید تعجب کنید The Panama Paper Leak که در آن 8/4 میلیون ایمیل مورد سوءاستفاده قرار گرفت، به دلیل آسیب‌پذیری پلاگین وردپرس بود. رایج‌ترین آلودگی‌های بدافزار در وردپرس عبارتند از درب پشتی یا درب مخفی، دانلودهای Drive-by، هک‌های دارویی و تغییر مسیرهای مخرب.

طبق آمار Sucuri:

  • 83 درصد از تمام وب سایت‌های مبتنی بر CMS که هک می‌شوند، توسط وردپرس ساخته شده‌اند.
  • 39 درصد از وب سایت‌های وردپرسی هک شده نیز از نسخه‌های قدیمی این CMS استفاده می‌کنند.
  • 90 درصد درخواست‌های پاکسازی مربوط به وردپرس است.

یک مطالعه نشان داد که از تمام وب سایت‌های وردپرسی، تنها 11 درصد از رمزگذاری SSL (پروتکل https) استفاده می‌کنند.

چگونه امنیت وردپرس را تضمین کنیم

اکنون که می‌دانید ایمن‌سازی سایت چقدر مهم است، بیایید به چند دستورالعمل در مورد نحوه انجام آن نگاه کنیم.

1. از به کارگیری پسوردهای رایج خودداری کنید

اولین سپر در برابر هرگونه تلاش هک انتخاب یک رمزعبور قوی است. این موضوع بیشتر هنگام کار بر روی امنیت مطبوعات نادیده گرفته می‌شود. هنگامی که یک رمزعبور قوی داشته باشید، می‌توانید از هرگونه تلاش برای هک جلوگیری کنید یا حداقل آن را به تاخیر بیاندازید.

بنابراین از داشتن رمزهای عبور رایج خودداری کنید (فقط کاراکترهای عددی یا حروف الفبا). هرچند به خاطر سپردن این موارد ممکن است آسان باشد، اما شکستن آن‌ها نیز به تبع ساده است. سعی کنید ترکیبی از حروف، اعداد و نمادها استفاده کنید. به علاوه استفاده همزمان از VPN و SSL نیز می‌تواند سرمایه‌گذاری خوبی برای ایمن‌سازی وب سایت شما در برابر هک باشد.

2. ورود به سیستم با احراز هویت دو مرحله‌ای راه‌اندازی کنید

یکی دیگر از راه‌های موثر برای ایمن‌سازی وب سایت، استفاده از ماژول احراز هویت دو مرحله‌ای (2FA) است. به این ترتیب هر کسی که بخواهد وارد وب سایت وردپرسی شما شود، قبل از ورود باید از دو مانع عبور کند.

این قابلیت می‌تواند ترکیبی از یک رمزعبور و یک سؤال محرمانه یا یک کد مخفی ارسال شده به تلفن همراه شما (با استفاده از پیامک یا اپلیکیشن Google Authenticator) باشد.

3. محدود کردن تلاش برای ورود

اجازه دادن به تعداد محدودی از تلاش برای ورود به سیستم نیز به بهبود امنیت وردپرس شما کمک می‌کند. وردپرس به طور پیش فرض تعداد نامحدودی تلاش برای ورود به سیستم را ارائه می‌دهد. با این وجود می‌توانید از پلاگین WP Limit Login Attempts برای تغییر آن استفاده کنید.

در صورتی که نمی‌خواهید از یک پلاگین کمک بگیرید، می‌توانید برای انجام آن به صورت دستی (در کدنویسی بک-اند) نیز اقدام کنید. با محدود کردن تعداد تلاش برای ورود، میزان موفقیت حملات را کاهش می‌دهید. در این صورت هکرها قبل از اتمام کار به نوعی قفل می‌شوند.

4. به طور منظم نسخه وردپرس خود را به‌روزرسانی کنید

شما باید به‌روزرسانی نسخه وردپرس خود را دائما انجام دهید. این موضوع مهمی است، زیرا توسعه دهندگان ویژگی‌های امنیتی را در هر به‌روزرسانی قرار می‌دهند که به امنیت وب سایت شما کمک می‌کند. همچنین فراموش نکنید که پلاگین‌ها و قالب‌های خود را نیز حتما آپدیت کنید.

5. از پلاگین‌های امنیتی وردپرس استفاده کنید

برنامه نویسی و کدنویسی چیزی است که هر روز در حال تغییر و تحول است. همچنین یادگیری همه چیز در این زمینه سخت و تقریبا غیرممکن است. بدون این دانش ممکن است حتی متوجه بدافزاری که در کد شما نوشته شده است نشوید. به همین دلیل باید از پلاگین‌های امنیتی وردپرس استفاده کنید.

طیف گسترده‌ای از پلاگین‌های امنیتی وجود دارد که می‌توانید یکی از آن‌ها را انتخاب نمایید. بهترین گزینه‌ها به طور منظم به‌روز می‌شوند، همین امر باعث می‌شود که قادر به شناسایی هرگونه تلاش برای هک کردن و اضافه شدن هرگونه بدافزار به کد شما باشند.

ایده خوبی است که یک پلاگین امنیتی انتخاب کنید تا وب سایت شما را به صورت شبانه‌روزی نظارت و اسکن کرده و از سایت شما در برابر نفوذ و تلاش برای هک محافظت نماید.

6. از نصب قالب‌های رایگان خودداری کنید

استفاده رایگان از هر چیزی وسوسه‌انگیز است. به همین منظور وردپرس چندین قالب حرفه‌ای دارد که توسط کدنویس‌های سطح بالا توسعه یافته‌اند، اما برای آن هزینه‌ای از شما دریافت می‌کنند. این قالب‌ها سفارشی‌سازی به طور نامحدود، به‌روز‌رسانی منظم و... را ارائه می‌دهند.

از طرفی قالب‌های رایگان زیادی هم در وردپرس موجود بوده، اما امکانات آن‌ها محدود است. می‌توانید نسخه‌های کرک شده قالب‌ها را در جاهایی پیدا کنید. تقریبا همه را وسوسه می‌کند ولی آن‌ها یک نکته اساسی را نادیده می‌گیرند. این نوع قالب‌‌ها نسخه‌های هک شده نمونه‌های ممتاز هستند و ممکن است همراه با بدافزارهای مخرب به دست شما برسند. آن‌ها به هکرها کمک می‌کنند تا به راحتی به وب سایت شما نفوذ کرده و آن را از بین ببرند. بنابراین به جای اینکه کمی بیشتر پس‌انداز کنید، خود را از دست ضررهای هنگفت نجات دهید.

7. ویرایش داخلی فایل را غیرفعال کنید

هنگام توسعه سایت وردپرس خود، ممکن است از ویرایشگر کد در داشبوردتان استفاده کرده باشید. برای کسانی که در این زمینه تازه وارد هستند باید بگوییم عملکرد ویرایشگر کد به شما کمک می‌کند تا کد قالب‌ها و پلاگین‌ها را ویرایش کنید.

به طور خلاصه این قابلیت به شما امکان می‌دهد یک سایت سفارشی بسازید. اما هنگامی که توسعه وب سایت خود را به پایان رساندید، فراموش نکنید این قابلیت را غیرفعال کنید. در غیر این صورت ممکن است به هکرها اجازه دهید بدافزاری را در کد شما تزریق کنند. این یکی از نادیده گرفته‌ترین اقدامات امنیتی وردپرس به حساب می‌آید.

8. آدرس WP-Login خود را تغییر دهید

وردپرس یک URL پیش‌فرض برای همه سایت‌ها دارد که با استفاده از خود CMS توسعه داده شده‌اند. این URL معمولا (site.com/wp-admin) است که آن را مستعد تهدیدات خارجی می‌کند.

برای جلوگیری از این امر می‌توانید تأیید دو عاملی را فعال کنید یا یک سؤال محرمانه برای آن قرار دهید. علاوه بر این سفارشی کردن URL نیز ایده خوبی است، زیرا همه آدرس پیش‌فرض را می‌شناسند.

9. به طور منظم نسخه پشتیبان تهیه کنید

فرض کنیم وب سایتتان به خطر افتاده است، اولین راهکار امنیتی شما چیست؟ قطعا ایمن‌سازی داده‌ها خواهد بود.

اگر چنین است، چرا اقدامات پیشگیرانه برای این سناریو انجام نمی‌دهید؟ بکاپ‌گیری منظم از داده‌ها و محتوای وب‌سایت یک روش خوب است. این کار به شما کمک می‌کند که اگر مشکلی پیش آمد سریع به عقب برگردید و اطلاعات خود را بازیابی نمایید. بنابراین هرگز تهیه نسخه پشتیبان را فراموش نکنید.

جمع‌بندی

ایمن‌سازی وب سایت بسیار ضروری است. همچنین داشتن یک ایده واضح از تهدیدها و ابزارهایی که می‌توانید برای مقابله با آن استفاده کنید، از اهمیت بسیار بالایی برخوردار است. اولین و مهم‌ترین اولویت شما باید ایجاد یک فایروال و پروتکل امنیتی غیر قابل نفوذ باشد.

به دلیل محبوبیت، وردپرس یک هدف همیشگی برای هکرهاست. بنابراین همواره باید یک قدم جلوتر باشید تا بتوانید از ایمنی سایت خود اطمینان حاصل کنید، به هر حال این جنبه آنلاین کسب و کار شماست. در نهایت به خاطر داشته باشید داشتن یک وب سایت ضد هک مطمئنا اعتماد مشتریان را جلب می‌کند و از این رو به رشد کسب و کارتان کمک می‌نماید.

منبع

چه امتیازی برای این مقاله میدهید؟

خیلی بد
بد
متوسط
خوب
عالی
در انتظار ثبت رای

5 ماه پیش
/@heshmati74
عرفان حشمتی
Full-Stack Web Developer

مهندس معماری سیستم های کامپیوتری، طراح و توسعه دهنده وب سایت

دیدگاه و پرسش

برای ارسال دیدگاه لازم است وارد شده یا ثبت‌نام کنید

ورود یا ثبت‌نام

در حال دریافت نظرات از سرور، لطفا منتظر بمانید

در حال دریافت نظرات از سرور، لطفا منتظر بمانید

عرفان حشمتی

Full-Stack Web Developer