در سالهای اخیر، از بین بیش از ۶۰ میلیون سایت وردپرس در سراسر جهان حدود یک میلیون سایت دچار نقض امنیتی شدند، که یکی از معروفترین مواردی که این نقضها را ایجاد میکرد، بدافزار معروف Spectre بود. برخی از کارشناسان امنیت وردپرس تخمین میزنند در هر دقیقه بیش از ۹۰ هزار حمله سایبری به سایتهای مختلف وردپرس صورت میگیرد.
آمار اینچنینی، هم کاربران جدید هم کاربرانی که سالها از این بستر استفاده میکردند را نگران و این پرسش را مطرح می کند که آیا یک وبسایت وردپرس امن است و میتواند پلتفرم مطمئنی برای میزبانی تجارت یا سایت شخصی آنها باشد؟ اما وردپرس بهخودیخود فقط یک عنصر در یک اکوسیستم بزرگتری از نهادهایی است که به روی امنیت و سلامت سایتهای وردپرس تأثیر دارد. سؤال اصلی که اینجا به وجود میآید این نیست که آیا وردپرس امن است یا خیر، بلکه مسئله اصلی این است که چطور کاربران میتوانند امنیت وبسایت وردپرس خود را در دست بگیرند و از هک شدن یا هر حملهی سایبری دیگری در امان بمانند.
امنیت وردپرس چندین لایه دارد
وقتی کاربران درباره امنیت وردپرس میپرسند، اغلب منظورشان خود هستهی وردپرس یا WordPress Core است، پکیج نرمافزاری رایگان و open source که بهراحتی قابل دانلود شدن و نصب به روی هر فضای میزبانی است. اما کد وردپرس بهتنهایی وجود ندارد، بلکه چندین عنصر دیگر در تعامل با وردپرس هستند که هر یک ازآنها میتوانند به روی امنیت یک سایت وردپرس تأثیر بگذارند. در حقیقت، وردپرس در مرکز یک اکوسیستم پویا قرار میگیرد که شامل موارد زیر میشود:
- شرکت میزبانی وب
- پلاگین ها و تمهای دولوپرها و اشخاص ثالث
- صاحبان و مدیران سایت وردپرس
خطرات امنیتی یک سایت وردپرس میتواند از طریق هر یک از این موارد یا حتی ترکیبی از آنها رخ دهد.
امنیت هسته وردپرس
کد هسته وردپرس یک نرمافزار متنباز با استفاده عمومی است، یعنی هر کاربری میتواند این کد را دستکاری و ویرایش کند و به هر شکلی که میخواهد استفاده کند. برای کاربرانی که با جامعه وردپرس آشنا نیستند، این مسئله نشان میدهد که وردپرس بهشدت در برابر هک شدن، سرقت هویت و بسیاری از حملههای سایبری دیگر آسیبپذیر است.
اگرچه ممکن است به نظر برسد خود وردپرس میتواند توسط اشخاصی بهمنظور آسیب رساندن با بدافزار یا هر راه دیگری تغییر کند، اما اینطور نیست. تیم برنامهنویسهای هستهی وردپرس در نهایت مسئول ثابت و امن نگهداشتن کد اصلی یا همان هسته هستند که این کار شامل بررسی صلاحیت تغییرات پیشنهادی و کار به روی اصلاح و تعمیر هر گونه آسیب پس از بهروزرسانیهای موقت است.
به محضی که یک مورد امنیتی شناسایی شود، تیم توسعه وارد کار شده و آن را رفع کرده و سپس کاربران وردپرس را دربارهی نسخهی بهروزرسانی شده مطلع میکند. هرچند هیچ ضمانتی وجود ندارد که خود وردپرس بهطور کامل امن باشد، اما معمولاً هر مشکل امنیتی که ظاهر میشود، بعد از دانلود جدیدترین نسخه نرمافزار برطرف میگردد.
میزبانی وب و امنیت وردپرس
برای اجرای سایتهای وردپرس به شرکت میزبانی وب قابلاعتماد نیاز است، چرا که این میزبان نیز نقشی در امن نگهداشتن سایت کاربران دارد، چه بخواهد توسط خود وردپرس راهاندازی شده باشد یا هر سیستم مدیریت محتوای دیگر.
شرکتهای خدمات میزبانی وب مسئول امن نگهداشتن سرورهای شرکت، در برابر حملات سایبری و ارائه پکیجهای هاستینگ با گزینههای امنیتی مختلف برای نیازهای مختلف مشتریان هستند که از آنها میتوان به سرور مجازی (VPS) اشاره کرد که میتواند از آلودگیهایی که از یک سایت در سرور مشترک به سایتهای دیگر منتقل میشود جلوگیری کند. برخی از ارائهکنندگان خدمات میزبانی وب (هاستینگ) همچنین پکیجهای هاستینگ امن برای وردپرس ارائه میدهند که مخصوص سایت های وردپرس هستند و با در نظر گرفتن مشکلات امنیتی که ممکن است به روی سیستم تأثیر بگذارند، طراحی شده است.
امنیت با تم ها و پلاگین ها
در کنار کد هسته، تم ها و پلاگین ها نیز به روی عملکرد سایتهای وردپرس تأثیر دارند – اما آنها همچنین میتوانند راهی برای خطرات امنیتی باز کنند. تم ها ظاهر یک سایت وردپرس را تعریف میکنند، معمولاً وقتی وردپرس را نصب میکنید صدها تم بهصورت پیشفرض در دایرکتوری تمهای وردپرس قرار میگیرد. اما هزاران تم دیگر نیز وجود دارد که توسط طراحان و برنامهنویسهای دیگر از سرتاسر جهان تهیه میشوند و بهصورت رایگان یا پولی قابل استفاده هستند.
همانند تم ها، پلاگین ها نیز به روی عملکرد کد هسته وب تأثیر دارند. این قطعات کوچک کد میتوانند به روی هر سایت وردپرسی اضافه شوند تا عملکرد آن را نسبت به عملکرد اولیه و اصلی سایت تغییر داده و بهبود بخشند. پلاگینهای امنیتی وردپرس نیز هنگامیکه وردپرس را نصب میکنید بهطور پیشفرض در WordPress Plugin Directory قرار میگیرند، اما همچنان پلاگین های دیگری برای کاربردهای خاص و گوناگون توسط دولوپرها ایجاد میشود.
هم تم ها و هم پلاگین ها میتوانند خطرات امنیتی به روی یک سایت وردپرس ایجاد کنند. اگرچه دولوپرهای وردپرس تمامی تم ها و پلاگین هایی که از پیش برای استفاده به روی وردپرس قرار گرفته را موشکافانه بررسی کردهاند تا امنیت و سلامت آنها تضمین شود، اما این مسئله همیشه برای پلاگین ها و تمهایی که توسط شخص ثالث طراحی شده و بهصورت رایگان دانلود شده یا خریداری میگردد صدق نمیکند.
پلاگین ها و تمهایی که به یک سایت وردپرس اضافه میشوند میتوانند کدهای خراب یا بدافزاری که میتواند به روی یک سایت و سایر سایتهای مرتبط با آن تأثیر بگذارند را با خود حمل کنند. دولوپرها و طراحان مسئول هستند تا اطمینان حاصل کنند محصولی که طراحی کردهاند میتواند با امنیت کامل و بدون ایجاد هیچ مشکلی در یک سایت وردپرس قرار بگیرند. اما این مسئله در مورد پلاگین ها و تمهایی که از منابع ناشناس استفاده میشود صدق نمیکند. بهخصوص آنهایی که رایگان هستند و مدت هاست که بهروزرسانی نشدهاند.
کاربران میتوانند سایتها را امن نگه دارند
هر عضوی از اکوسیستم وردپرس نقشی در امن نگهداشتن سایتهای وردپرس دارد. اما کارشناسان و متخصصان امنیت سایبری وردپرس معتقدند کاربران وردپرس بیشترین قدرت و مسئولیت را در امن نگهداشتن سایتهای وردپرسشان دارند. آنها میتوانند با رعایت نکات امنیتی، وبسایت خود را در برابر حملات سایبری و سایر موارد امنیتی محافظت کنند. این نکات شامل موارد زیر میشود:
- نصب سریع نسخههای بهروزرسانی شدهی وردپرس، پلاگین ها و تم ها.
- انتخاب نام کاربری و کلمات عبور قدرتمند ( بخصوص برای ادمین اصلی سایت ) جهت جلوگیری از ورود اشخاص ناشناس به سایت
- خرید و نصب تم ها و پلاگین هایی تائید شدهی وردپرس
- مدیریت دسترسی ادمینها به سایت و محدود کردن دسترسی برخی از کاربران
- حذف پلاگین ها، تم ها وفایلهایقدیمی و بلا استفاده
- بک آپ گیری مداوم
- نصب گواهی SSL برای اضافه کردن یک لایه رمزگذاری شده برای تمامی تعاملات
- نصب پلاگین های امنیتی وردپرس به روی سایت
امنیت سایت وردپرس میتواند به طرق مختلفی در معرض خطر قرار بگیرد. برخی از جنبههای امنیتی سایت شما در دستان تیم هستهی وردپرس، میزبان وب، تولیدکنندگان تم و پلاگین هایی که به روی سایتتان نصب میکنید است. اما صاحبان سایت و ادمین ها معمولاً بهترین محافظان سایتهای وردپرس خود هستند که این کار را با انتخاب گزینههای هوشمند و مدیریت صحیح سایت در برخورد با دیگر اعضای اکوسیستم وردپرس انجام میدهند.
