در هر دقیقه بیش از ۹۰.۰۰۰ سایت وردپرسی مورد حمله هکر ها قرار میگیرند. این اتفاق نهتنها برای وبسایت شرکتهای بزرگ و دادههای حساسشان پیش میآید، بلکه سایتهای کسبوکارهای کوچک، کارآفرینان مستقل و وبلاگهای شخصی افراد را نیز تهدید میکند. امنیت سایتهای وردپرسی معمولاً بزرگترین نگرانی صاحبان تازهکار و باتجربه وبسایتها است. آمارها نشان میدهد صاحبان وبسایتها بیشتر از آنکه نگران امنیت وبسایت وردپرسی باشند، از امنیت خود وردپرس نگراناند.
هیچ پلتفرمی بهطور کامل در برابر بدافزارها، هک و دیگر حملات سایبری امن نیست؛ اما امنیت وردپرس شامل محافظت از سورسکد وردپرس و همچنین شامل اقدامات احتیاطی است که ارائهدهنده هاست و صاحبان وبسایت باید انجام دهند.
آیا وردپرس امن است؟
ممکن است از خودتان بپرسید که «آیا وردپرس امن است؟» تعداد قابلتوجهی از حملات سایبری و انواع مختلفی از آنها وجود دارد که وبسایتهای وردپرسی را تهدید میکند و نشان میدهد که وردپرس بهطور ذاتی مستعد ابتلا به خطرات امنیتی است. این حقیقت که وردپرس یک بسته نرمافزاری منبع باز و رایگان است که هرکسی میتواند آن را دانلود کرده، تغییر دهد و به اشتراک بگذارد باعث میشود تا بسیار آسیبپذیر به نظر برسد، زیرا هر هکر ماهری میتواند یک قطعه کد مخرب را به هسته وردپرس وارد کند.
اما وردپرس محصول توسعهدهندگان و طراحانی از سراسر دنیاست که آن را بهروز و پایدار نگه میدارند و امنیت، کار تیمی از توسعهدهندگان خاص وردپرس است که آن را از لحاظ آسیبپذیریهای امنیتی تحت نظر دارند و بهمحض شناسایی آسیبها، پچهای امنیتی لازم را نصب میکنند. از سال ۲۰۰۳ و زمان پیدایش وردپرس تا اوایل ۲۰۱۸، نزدیک به ۲۵۰۰ آسیب امنیتی شناساییشده و از بین رفته است. وردپرس نسخههای متعددی را منتشر میکند که شامل این پچها است؛ بنابراین زمانی که نسخه جدید ارائه میشود، کاربران باید آنها را نصب کنند.
نخستین اقدام امنیتی برای وبسایت شما، کارهایی است که توسعهدهندگان وردپرس برای هرچه امنتر نمودن پلتفرم انجام میدهند؛ اما آنها بهتنهایی کافی نیستند. ارائهدهندگان هاست و صاحبان سایت نیز باید وظایفی را برای امن نگهداشتن سایت وردپرسی انجام دهند.
میزبانی وبسایت و امنیت وردپرس
ارائهدهندگان هاست باکیفیت و معتبر، از پروتکلهایی برای حفاظت وردپرس و دیگر سایتهایی که میزبان آنها هستند، استفاده میکنند. کار نگهداری امنیت سرورهای مورد استفاده در میزبانی و پیادهسازی خصوصیات ضروری نظارت بر امنیت، بر عهده ارائهدهنده هاست است.
هاست اشتراکی نسبت به هاست اختصاصی یا VPS (Virtual Private Server) خطرات بیشتری را به دنبال دارد، زیرا تعداد زیادی سایت یک فضای مشترک در یک سرور را با یکدیگر به اشتراک میگذارند.
در چنین شرایطی، باید بدون توجه به پلتفرم مورد استفاده، اقدامات امنیتی روی همه سایتهایی که میزبانی شدهاند انجام شود. ممکن است این اقدامات برای همه سایتها به بک اندازه مؤثر نباشند.
هاست اختصاصی که برای سایتهای وردپرسی طراحی شود میتواند ویژگیهای امنیتی بیشتری را با هدف شناسایی آسیبپذیریهای خاص وردپرس اضافه کند.
روشهای افزایش امنیت سایت وردپرس
در کنار تلاشهای وردپرس و کارهایی که ارائهدهندگان هاست وب انجام میدهند، صاحبان سایتهای وردپرس نیز میتوانند اقدامات زیادی را برای افزایش امنیت و جلوگیری از حملات سایبری انجام دهند. در زیر به برخی از بهترین شیوههای امنیت وردپرس میپردازیم:
بروز نگهداشتن وردپرس
بسیاری از حملات سایبری در سایتهای وردپرسی کوچک یا سایتهایی اتفاق میافتد که از نسخههای قدیمی وردپرس استفاده میکنند و آخرین پچها و بهروزرسانیها را نصب نکردهاند. صاحبان این سایتها ممکن است انتظار نداشته باشند که سایتهایشان هدف این حملات قرار گیرد، این سایتها حتی ممکن است بیشتر از سایتهای بزرگتر حاوی اطلاعات ذخیره شده حساس باشند. نصب تمام بهروزرسانیهای منتشر شده توسط وردپرس یک گام کلیدی در حفظ امنیت سایت است. این نهتنها شامل بهروزرسانیهای وردپرس میشود، بلکه شامل تمها و پلاگینهای نصب شده وردپرس و نصب شده از طریق دیگر توسعهدهندگان نیز هست.
امن نگهداشتن دستگاهها
اگر دستگاههایی که برای مدیریت وردپرس از آنها استفاده میکنید امن نباشند، امنیتی که وردپرس فراهم کرده بیفایده است. کارشناسان امنیتی توصیه میکنند همه کامپیوترها و دستگاههای موبایلی که برای دسترسی به مدیریت یک سایت وردپرسی از آنها استفاده میشود همواره تحت نظارت باشند و با فایروالهای مؤثر و اسکنهای بدافزار بهروزرسانی شوند.
مجوزها و پسوردهای امن
هکرها اغلب سعی در دسترسی به سایتها از طریق «حمله BRUTE FORCE» دارند. وارد کردن چندین و چندباره نامهای کاربری و پسوردها تا بالاخره یکی از آنها کار کند. نام کاربری پیشفرض برای یک وبسایت وردپرسی کلمه «Admin» است و حدس زدن آن بسیار ساده است. عاقلانه است که هرچه سریعتر آن را به نام کاربری دیگری تغییر دهید.
محدود کردن مجوز برای دسترسی به سایت و دایرکتوریهای آن و غیرفعال کردن ویرایش فایل نیز میتواند به امنیت بیشتر کمک کند، زیرا کدهای وردپرس بهراحتی توسط هرکسی که میتواند آن را باز کند ویرایش میشود. به همین ترتیب، تلاشهای ورود به سیستم را محدود کنید و اعلانها را برای تلاشهای بیش از اندازه برای ورود به وردپرس تنظیم کنید – تلاشهای بسیار برای ورود به وردپرس یکی از نشانههای هک با استفاده از تاکتیکهای BRUTE FORCE است.
پلاگینهای امنیتی وردپرس را نصب کنید
لیست بلندبالایی از پلاگینهای امنیتی و نظارت بر سایت از وردپرس و دیگر طراحان متعدد و توسعهدهندگان در سراسر دنیا در دسترس است؛ که میتواند روی هر وبسایت سازگار با وردپرس نصب شود و امنیت بیشتری را برای عملکردهای منحصربهفرد سایتها به دنبال داشته باشد. هر پلاگین امنیتی که برای حفاظت از سایت شما نصب شده است باید مستقل از بهروزرسانیهایی که برای وردپرس انجام میشود، بهروزرسانی گردد.
از سایت وردپرسی خود بکآپ بگیرید
بهتر است از وبسایت وردپرسی خود حداقل یکبار و ترجیحاً چند بار بکآپ بگیرید تا در مواردی مثل از دست رفتن تصادفی و یا خطاهای ناشی از ویرایش وردپرس بتوان از آن استفاده کرد. این مسئله از نظر امنیتی نیز مفید است. اگر سایت با کد مخرب یا ویروسها آلوده شود، یک نسخه بکآپ سالم را میتوان در هر زمان جایگزین آن کرد. یا در صورت لزوم با استفاده از نسخه بکآپ میتوان سایت را به یک هاست جدید منتقل کرد.
از هرزنامهها دوری کنید
سایتهای وردپرسی جدید و آنهایی که بهطور مرتب نگهداری نمیشوند، هدف اولیه هرزنامهها هستند و هرزنامهها میتوانند بهراحتی یک سایت را با نرمافزارهای مخرب آلوده کنند. فیلترهای هرزنامه را کاملاً تنظیم کنید و آنها را به آخرین نسخهها بهروزرسانی کنید. نظرات را بهدقت بررسی کنید و نظرات مشکوک را از داشبورد وردپرس بلاک کنید. با توجه به ماهیت و محبوبیت فراوان، وردپرس بهویژه از نظر حملات سایبری و هک آسیبپذیر به نظر میرسد؛ اما سایتهای وردپرس را میتوان در هر سطح، از خود وردپرس گرفته تا میزبانی و صاحبان وبسایت امن ساخت – و با بهروزرسانیهای منظم و گامهای عملی میتوان سایتهای وردپرس را از هر لحاظ امن نگه داشت.
