هر فردی که وارد حوزه طراحی سایت شده و یا حتی کم و بیش اسمی از وردپرس را شنیده است حتما حداقل چندین بار بحثی که بین افراد فعال در این کار وجود دارد یعنی اختلاف نظر پیرامون امنیت وردپرس را شاهد بوده است. عدهای آن را کاملا امن و عدهای دیگر بسیار ناامن میدانند. اما نظر شما چیست؟ آیا آن را یک پلتفرم کاملا امن میدانید یا خیر؟
اگر شما نیز در این مورد دچار شک و تردید هستید به شما پیشنهاد میکنیم تا اخر این مقاله همراه ما باشید زیرا قرار است در اینجا این اختلاف نظر که سالها است در بین طراحان سایت وجود دارد برای همیشه رفع کنیم.
داستان امنیت وردپرس
در سال 2009 میلادی، CMS وردپرس، به دلیل ضربههایی که در این زمینه از کاربران و فعالان وردپرسی خورد سبب شد تا تصمیم به افزایش هر چه بیشتر امنیت بگیرد. در واقع صاحبان و مدیران این شرکت به حرفهایی که شبکه جهانی اینترنت درباره امنیت زدند نیز به خوبی گوش کردند. آنها گفتند که باید امنیت سیستم را ضدگلوله کنید! و همین امر سبب شد تا تلاشهای بسیاری انجام دهند تا سرانجام در همان سال سیستم مدیریت محتوای وردپرس تبدیل به یکی از امنترین پلتفرمها در این حوزه شود.
وردپرس تنها در 34 روز، چهار آپدیت برای امنیت وردپرس 2.8 ارائه کرد! پیشتر از این باید فقط به صورت دستی آپدیتها انجام میشد و این برای مدیران سایت چندان خوشایند نبود. خستگی آنها از این آپدیتها سبب میشد تا راه نفوذ را برای هکرها باز بگذارند. از این رو این شرکت تصمیم به ارتقا اتوماتیک پلتفرم خود گرفت که این یک نقطه عطف خوبی در راستای امنیت بود.
بهترین CMS کدام است؟
اکثر افرادی که در زمینه طراحی سایت و سئو سایت یا به صورت کلی دیجیتال مارکتینگ متخصص هستند بر سر این مسئله اتفاق نظر دارند که وردپرس بهترین CMS است. این سیستم مدیریت محتوا علاوه بر امنیتی که دارد به صورت متن باز و رایگان است و به طراحان کمک میکند تا خیلی راحت و با صرف زمان کمی یک سایت را بسازند. از طرف دیگر مزیت آن در صرفه جویی هزینهها نیز میباشد زیرا نیاز چندانی به کدنویسی اختصاصی ندارد.
از این رو برای افرادی که قصد یادگیری طراحی سایت را دارند وردپرس یک پیشنهاد عالی است زیرا تنظیمات آن راحت و بدون دردسر است.
آیا وردپرس امن است؟
همانطور که در ابتدای مقاله اشاره کردیم یک اختلاف نظری که درباره طراحی سایت وردپرسی وجود دارد این است که عدهای از افراد میگویند این پلتفرم امن نیست! در راستای رفع ابهام در این مورد باید بگوییم که هیچ سایتی وجود ندارد که امکان هک شدن آن صفر باشد و حتی سایتهایی که با کدنویسی اختصاصی نیز ساخته شدند باز هم در معرض خطر هک شدن قرار میگیرند. پس هیچ تفاوتی نمیکند که سایت ما از چه طریقی طراحی شده باشد و میزان بالا بردن امنیت یک وب سایت قطعا به موارد بسیار دیگری نیز بستگی دارد.
یک سایت وردپرسی چگونه هک میشود؟
حتما همیشه این سوال نیز برای شما پیش آمده است که چه کارهایی میتواند امنیت وردپرس را پایینتر آورده و یک هکر را بسیار خوشحال کند؟! آیا برای جلوگیری از ورود هکرها حتما باید کارهای بسیار پیچیده و تخصصی انجام دهیم تا امنیت برقرار گردد؟
در پاسخ به سوالات بالا باید بگوییم گاهی انجام کارهای بسیار ساده که زمان زیادی نیز نمیخواهد میتواند امنیت سایت را بالا ببرد که ما در زیر به 2 مورد از راحتترین آنها اشاره میکنیم:
طبق آمار، ۳۹.۳% از سایتهای وردپرسی زمانی هک شدند که نرمافزار اصلی وردپرس آنها منقضی شده بود! یعنی چیزی حدود نیمی از سایتها فقط به دلیل آپدیت نبودن هسته آن دچار این مشکل شدند. در واقع میتوان گفت یک آپدیت ساده نزدیک به 40 درصد ضریب امنیتی را بالا میبرد.
اگر بخواهیم آسیبپذیرترین نسخه وردپرس را نام ببریم میتوانیم بگوییم که وردپرس X.3بوده است.
البته نواقص وردپرس نسخه ۴.۷.۱ هم میتوانست کمی کار را برای هکرها راحت کند اما کمی قبل از اینکه این اتفاق بیافتد نسخه جدید آن یعنی ۴.۷.۲ در دسترس همگان قرار گرفت تا دیگر مشکلات امنیتی قبل را نداشته باشیم. تمام افرادی که بخش امنیت خودکار را فعال کرده بودند و سریعا هسته را آپدیت کردند از هک شدن آن مصون ماندند.
- آپدیت نبودن قالب و پلاگینها
وقتی یک قالب یا پلاگین به روزرسانی نشده باشد کار هک کردن آن سایت بسیار ساده و راحت میشود. اگر بخواهیم دلایلی که برای این ادعا وجود دارد را بگوییم میتوانیم به موارد زیر اشاره کنیم:
- به دلیل اینکه بر روی قالب و افزونه نظارت چندانی وجود ندارد از این رو این موارد برای امنیت از سوی مدیران سایتها مورد کم توجهی قرار میگیرد.
- اگر دولوپر از یک زمانی به بعد بر روی پلاگین خود کاری انجام ندهد اما همچنان افراد آن را برای سایتی که دارند نصب و استفاده کنند این مورد سبب نفوذ راحت یک هکر میشود.
- اگر دولوپر مشکلی که در قالب یا پلاگین وجود دارد را پیدا کند اما مدیران سایت آن را آپدیت نکنند نیز امینت به خطر میافتد.
چک لیست افزایش امنیت وردپرس
اگر به دنبال افزایش امنیت سایت خود هستیم هیچ گاه نباید این 9 مورد را که از ابتداییترین اما مهمترین کارها در این زمینه محسوب میشوند را فراموش نکنید.
- نام کاربری را از کلمه admin تغییر دهیم.
- بهتر است کاری کنیم تا کاربران پس از گذشت زمان مشخصی از اکانت خود بیرون بروند. این کار را باید با محدود کردن IP دسترسی کاربران در زمان معینی انجام دهیم.
- نصب ریکپچای گوگل یک فاکتور مهم در امنیت است.
- بهتر است که حسابهای کاربری را به صورت دستی تایید کنیم.
- به هیچ وجه بکاپ گرفتن از سایت فراموش نشود. بسته به نوع سایت، روزانه، هفتگی یا ماهانه باید این کار انجام گردد.
- محدودیت دسترسی بهreadme.html, license.txt و wp-config-sample.php
- فعال کردن Scanner پلاگین All In One Security
- غیر فعال کردن کلیک راست
- استفاده از رمزهای خیلی قوی جهت ورود به پنل
جمع بندی
هیچگاه نمیتوان ادعا کرد که یک سایت از روز اولی که ساخته میشود تا ابد احتمال هک شدن آن وجود ندارد بلکه برعکس این گفته صحیحتر است زیرا هر لحظه ممکن است این اتفاق تلخ رخ بدهد. در اینجا تنها چیزی که مهم است این میباشد که با کارهای مختلف راههای نفوذ این افراد را ببندیم. غفلت کردن از این مورد به دلیل ناآشنا بودن با مراحل امنیتی یک سایت، ضربهای بسیار بزرگ را به صاحبان آن کسب و کار وارد میکند. از این رو اگر هر فردی با این پروسه آشنا نیست میتواند با شرکتهایی که در زمینه طراحی سایت متخصص هستند مانند مجموعه راش وب در ارتباط باشد تا درصد این خطر بزرگ را کاهش دهد.