021-46047410
0920-3610131
آیا وردپرس به عنوان یک بستر ساخت وب سایت امن است؟
سیستم مدیریت محتوای وردپرس (WordPress) تاکنون محبوبترین روش برای ایجاد و برپایی یک وبسایت است.
این محبوبیت همچنین تأثیرات ناخوشایندی دارد و باعث میشود سایتهای وردپرس به عنوان شکار خوشمزهی شکارچیان وب در سراسر جهان تبدیل شوند.
ممکن است این سوال برای شما ایجاد شود که آیا وردپرس به اندازه کافی ایمن است تا بتواند آن حملات را کنترل کند؟
وردپرس امن است! دلیل را میگوییم!
وردپرس محبوبترین CMS در جهان است که بیش از ۱.۳ میلیارد وب سایت فعال دارد! (باورتان میشود؟!) چنین محبوبیتی به طور طبیعی توجه هکرها را به خود جلب می کند.
اما انتخاب جایگزینی کممحبوبیت لزوماً راه حل نیست. به این دلیل که: هیچ چیز در دنیای دیجیتال ۱۰۰٪ ایمن نیست!
بنابراین به راحتی می توان گفت که هیچ CMS کاملاً ایمنی وجود نداشته و وردپرس هم از این قاعده مستثنی نیست!
در گذشته وردپرس با مسائل امنیتی زیادی دست به گریبان بود که باعث شد بسیاری از سایت های وردپرسی هک شوند. آخرین هک سراسری و مهم وردپرس، در سال ۲۰۱۷ و هنگامی که این آسیبپذیری منجر به از بین رفتن ۱.۵ میلیون وب سایت وردپرس شد اتفاق افتاد. با این حال، تیم توسعه دهندگان وردپرس سریعاً وارد عمل شدند و این آسیب پذیری را فوراً و اساساً برطرف کردند.
از آن زمان تاکنون ، وردپرس با مشکلی روبرو نشده است. بنابراین برای پاسخ به این سؤال که «آیا وردپرس امن است؟» باید گفت: بله ، به جرات می توان گفت این CMS ایمن است!
حال بیایید چند دلیل محکم برای اثبات امن بودن وردپرس را مرور کنیم:
میتوانید اطمینان داشته باشید که وردپرس امنیت را بسیار جدی میگیرد تا از حفاظت اطلاعات کلیه وبسایتهای موجود بر روی سیستم خود اطمینان حاصل کند.
اما علیرغم داشتن چنین امنیت سنگین، سایتهای وردپرس هنوز هم مورد هدف قرار گرفته و هک شده اند! چه طور ممکن است؟ ما این مسئله را حل می کنیم!
با ایجاد یک سایت براساس پلتفرم وردپرس، افراد و عوامل ثالثی هستند که با وردپرس سر و کار دارند:
این اشخاس و عوامل ثالث نقش مهمی در حفظ یا به خطر انداختن امنیت وبسایت وردپرسی از هکرها دارند. بعضی اوقات اشتباهاتی وجود دارد که هکرها از آنها استفاده میکنند.
اینجا میتوانید مهمترین این اشتباهات را بخوانید:
۱. اعتبارنامههای آسان (نام کاربری و گذرواژه)
هنگام راه اندازی یک سایت وردپرس، یک کاربر باید یک نام کاربری و گذرواژه ایجاد کند. بیشتر کاربران تمایل دارند از نام کاربری پیش فرض “admin” استفاده کنند. آنها همچنین اصرار به استفاده از گذرواژههایی که به راحتی به خاطر سپرده میشوند دارند! (مثل ۱۲۳۴۵)
هکرها این را موضوع را میدانند و از یک بانک اطلاعاتی عظیم از نامهای کاربری و پسوردهای آسان و پرتکرار برای نفوذ به وردپرس استفاده میکنند. آنها برای دسترسی به وردپرس و برای تغییرات و ترکیبات این لیست، رباتهایی را برنامه ریزی می کنند. به این نوع حمله هکری، Brute-force attack (حملهی نیروی وحشیانه!) گفته میشود.
به این ترتیب، با استفاده از اعتبارنامههای پراستفاده کاربران، هکرها رمزهای عبور و نامهای کاربری زیادی را تست کرده و به سایتهای وردپرسی نفوذ میکنند.
۲. نادیده گرفتن بهروز رسانیهای وردپرس
عموم نرم افزارها (مانند وردپرس) به همراه قالبها، ماژولها و افزونههای آنها هرگز بینقص نیستند.
تیم توسعهدهندگان وردپرس به طور مداوم نرمافزار خود را بهبود میبخشند تا با پیشرفتهای فنآوری و امنیتی همگام باشند.
در به روز رسانیها، ویژگیهای جدیدی را اضافه میکنند و همچنین اشکالات و نقصهای موجود را برطرف میکنند.
وقتی این کار را انجام دادند، نسخه جدیدی از نرم افزار خود را منتشر میکنند. به عنوان مثال، وردپرس ۵.۰ شامل ویرایشگر گوتنبرگ بود که انقلابی در نحوه ایجاد صفحات وب در وردپرس ایجاد کرد. اما به روز رسانی شماره ۵.۰.۱ شامل رفع اشکالات است.
اما آنچه در اینجا مهمترین است این است که این به روزرسانیها گاهاً دارای وصلههای امنیتی (Security Patch) هستند. وقتی توسعهدهندگان آسیبپذیری یا مسائل امنیتی را پیدا میکنند، آنها را برطرف میکنند و وصله امنیتی را با آپدیت جدید منتشر میکنند.
با این حال، بسیاری از دارندگان سایت وردپرس تمایل دارند تا به روزرسانی سایت خود را به تاخیر بیاندازند.
وقتی صاحبان سایت به روزرسانیای را که دارای یک وصلهی امنیتی است، نادیده میگیرند، در واقع خودشان یک مشکل امنیتی بزرگ را ایجاد کردهاند!
۳. اختصاص نقش نادرست کاربر
سایتهای وردپرس به ندرت توسط یک نفر مدیریت می شوند. آنها معمولاً توسط چندین کاربر مختلف اداره میشوند اما همه آنها به دسترسی کامل به سایت احتیاج ندارند.
برای این منظور، وردپرس از ویژگیای برخوردار است که به صاحب سایت اجازه میدهد، نقشها و مجوزهای مختلفی را برای هر کاربر اختصاص دهد.
۶ نقش کاربری پیشفرض در وردپرس وجود دارد:
هر نقش تعیین میکند که کاربر دارای چه قدرتهایی و چه مسئولیتهایی است. به عنوان مثال، کاربر «سوپر ادمین» کنترل کاملی بر وب سایت دارد. اما کاربر «مشترک» کمترین دسترسی را دارد.
نقشها و دسترسیها (Roles and Permissions) نقشی اساسی در امنیت وبسایت ایفا میکنند. اعطای اختیارات سوپر ادمین به همهی مدیران وبسایت میتواند فاجعه بار باشد!
۴. عدم استفاده از گواهینامه SSL
یک وبسایت، دائما دادهها را از مرورگر کاربر و سرور وب ارسال و دریافت میکند. بعضی اوقات این دادهها، حاوی اطلاعات حساس مانند نام کاربری و گذرواژهی ورود به سیستم و یا اطلاعات پرداخت هستند.
اگر وبسایت از HTTP (پروتکل انتقال اَبَر متن) استفاده کند، دادهها با متن ساده تبادل میشوند. هکرها سعی میکنند این داده ها را رهگیری کرده و اگر متن ساده باشند، میتوانند از آنها استفادهی مخرب کنند.
برای جلوگیری از این اتفاق، صاحبان سایت باید یک گواهینامه SSL (لایه سوکت ایمن) خریداری و نصب کنند. در این حالت وبسایت به جای HTTP از HTTPS استفاده میکند. (حتما این عبارت را در ابتدای آدرس بعضی سایتها دیدهاید!) کلیه دادههای منتقل شده در حالت HTTPS رمزگذاری شده و بنابراین حتی اگر هکرها این دادهها را بدست آورند، نمیتوانند اطلاعات را رمزگشایی کنند.
۵. استفاده از قالبها و افزونههای غیرمعتبر
بسیاری از افزونهها (Plugin) و قالبهای (Themes / Templates) آمادهی وردپرس ویژگیها و کارکردهای شگفتانگیزی را برای ایجاد یک سایت بینظیر ارائه میدهند. اما بسیاری از این افزونهها و قالبها محصولات پولی هستند. وقتی یکی از این محصولات را میخرید، توسعهدهنده آن محصول، کد مجوز (License Code) استفاده از آن را برای شما صادر می کند.
کاربران برای اینکه جهت خرید قالب پولی پرداخت نکنند، از قالبهای قفلشکسته (Nulled) استفاده کرده، اما آگاه نیستند که با این کار چه خسارت بزرگی به وبسایتشان وارد میکنند!
قابل چشمپوشی نیست که وردپرس، ساخت و ایجاد وبسایت را آسان و ارزان کرده است، اما برخی صاحبان سایتها حاضرند به هر قیمتی از این سامانه رایگان و سریع استفاده کنند و براحتی تسلیم وسوسه استفاده از قالبها و افزونههای رایگان و غیرقابل اطمینان شوند.
استفاده از قالبها و افزونههای غیر استاندارد، تایید نشده و یا سرقت شده (قفلشکسته) در سایت وردپرس، یک دعوت آزاد برای هکرها است! به هر قیمتی از آنها دوری کنید.
پیشنهاد نهایی ما این است: برای برپایی وبسایتتان با وردپرس، یا از قالبهای به تایید رسیده تیم توسعهدهنده وردپرس (که در وبسایت رسمی وردپرس قابل دسترسی هستند) استفاده کنید، یا اگر نیاز به وبسایتی حرفهای تر، شکیلتر و با امکانات بیشتر دارید، این کار به شرکتها و اشخاص متخصص توسعهدهندهی وردپرس بسپارید!