آیا وردپرس به عنوان یک بستر ساخت وب‌سایت امن است؟

آیا وردپرس به عنوان یک بستر ساخت وب سایت امن است؟

سیستم‌ مدیریت محتوای وردپرس (WordPress) تاکنون محبو‌بترین روش برای ایجاد و برپایی یک وب‌سایت است.

این محبوبیت همچنین تأثیرات ناخوشایندی دارد و باعث می‌شود سایت‌های وردپرس به عنوان شکار خوش‌مزه‌ی شکارچیان وب در سراسر جهان تبدیل شوند.

ممکن است این سوال برای شما ایجاد شود که آیا وردپرس به اندازه کافی ایمن است تا بتواند آن حملات را کنترل کند؟

وردپرس امن است! دلیل را می‌گوییم!

وردپرس محبوب‌ترین CMS در جهان است که بیش از ۱.۳ میلیارد وب سایت فعال دارد! (باورتان می‌شود؟!) چنین محبوبیتی به طور طبیعی توجه هکرها را به خود جلب می کند.

اما انتخاب جایگزینی کم‌محبوبیت‌ لزوماً راه حل نیست. به این دلیل که: هیچ چیز در دنیای دیجیتال ۱۰۰٪ ایمن نیست!

بنابراین به راحتی می توان گفت که هیچ CMS کاملاً ایمنی وجود نداشته و وردپرس هم از این قاعده مستثنی نیست!

در گذشته وردپرس با مسائل امنیتی زیادی دست به گریبان بود که باعث شد بسیاری از سایت های وردپرسی هک شوند. آخرین هک سراسری و مهم وردپرس، در سال ۲۰۱۷ و هنگامی که این آسیب‌پذیری منجر به از بین رفتن ۱.۵ میلیون وب سایت وردپرس شد اتفاق افتاد. با این حال، تیم توسعه دهندگان وردپرس سریعاً وارد عمل شدند و این آسیب پذیری را فوراً و اساساً برطرف کردند.

از آن زمان تاکنون ، وردپرس با مشکلی روبرو نشده است. بنابراین برای پاسخ به این سؤال که «آیا وردپرس امن است؟» باید گفت: بله ، به جرات می توان گفت این CMS ایمن است!

حال بیایید چند دلیل محکم برای اثبات امن بودن وردپرس را مرور کنیم:

• تیم اصلی وردپرس شامل تعدادی از بهترین توسعه‌دهندگان در جهان است و آنها برای ارتقاء نرم افزار و بهبود امنیت و کیفیت وردپرس سخت تلاش می‌کنند.
• مهم‌تر از همه، آنها با آزمایش نرم‌افزار خود و رفع هرگونه عیب و نقص، امنیت محصول خود را تضمین می‌کنند.
• این تیم همچنان به سازوکارهای دفاعی جدیدی ادامه می دهد که وردپرس را محکم‌تر از قبل در برابر هکرها نگه می‌دارد.
• علاوه بر این‌ها، وردپرس هر سال میلیون‌ها دلار برای اطمینان از امنیت سیستم خود خرج می‌کند.

می‌توانید اطمینان داشته باشید که وردپرس امنیت را بسیار جدی می‌گیرد تا از حفاظت اطلاعات کلیه وب‌سایت‌های موجود بر روی سیستم خود اطمینان حاصل کند.

اما علیرغم داشتن چنین امنیت سنگین، سایت‌های وردپرس هنوز هم مورد هدف قرار گرفته و هک شده اند! چه طور ممکن است؟ ما این مسئله را حل می کنیم!

با ایجاد یک سایت براساس پلتفرم وردپرس، افراد و عوامل ثالثی هستند که با وردپرس سر و کار دارند:

• قالب‌ها (Themes / Templates) و افزونه‌ها (Plugin / Modules)
• کاربران (توسعه‌دهندگان، مالکین وب سایت، نویسندگان و غیره)

این اشخاس و عوامل ثالث نقش مهمی در حفظ یا به خطر انداختن امنیت وب‌سایت وردپرسی از هکرها دارند. بعضی اوقات اشتباهاتی وجود دارد که هکرها از آنها استفاده می‌کنند.

اینجا می‌توانید مهم‌ترین این اشتباهات را بخوانید:

۱. اعتبارنامه‌های آسان (نام کاربری و گذرواژه‌)

هنگام راه اندازی یک سایت وردپرس، یک کاربر باید یک نام کاربری و گذرواژه‌ ایجاد کند. بیشتر کاربران تمایل دارند از نام کاربری پیش فرض “admin” استفاده کنند. آنها همچنین اصرار به استفاده از گذرواژه‌هایی که به راحتی به خاطر سپرده می‌شوند دارند! (مثل ۱۲۳۴۵)

هکرها این را موضوع را می‌دانند و از یک بانک اطلاعاتی عظیم از نام‌های کاربری و پسوردهای آسان و پرتکرار برای نفوذ به وردپرس استفاده می‌کنند. آنها برای دسترسی به وردپرس و برای تغییرات و ترکیبات این لیست، ربات‌هایی را برنامه ریزی می کنند. به این نوع حمله هکری،  Brute-force attack (حمله‌ی نیروی وحشیانه!) گفته می‌شود.

به این ترتیب، با استفاده از اعتبارنامه‌های پراستفاده کاربران، هکرها رمزهای عبور  و نام‌های کاربری زیادی را تست کرده و به سایت‌های وردپرسی نفوذ می‌کنند.

۲. نادیده گرفتن به‌روز رسانی‌های وردپرس

عموم نرم افزارها (مانند وردپرس) به همراه قالب‌ها، ماژول‌ها و افزونه‌های آنها هرگز بی‌نقص نیستند.

تیم توسعه‌دهندگان وردپرس به طور مداوم نرم‌افزار خود را بهبود می‌بخشند تا با پیشرفت‌های فن‌آوری و امنیتی هم‌گام باشند.

در به روز رسانی‌ها، ویژگی‌های جدیدی را اضافه می‌کنند و همچنین اشکالات و نقص‌های موجود را برطرف می‌کنند.

وقتی این کار را انجام دادند، نسخه جدیدی از نرم افزار خود را منتشر می‌کنند. به عنوان مثال، وردپرس ۵.۰ شامل ویرایش‌گر گوتنبرگ بود که انقلابی در نحوه ایجاد صفحات وب در وردپرس ایجاد کرد. اما به روز رسانی شماره ۵.۰.۱ شامل رفع اشکالات است.

اما آنچه در اینجا مهم‌ترین است این است که این به روزرسانی‌ها گاهاً دارای وصله‌های امنیتی (Security Patch) هستند. وقتی توسعه‌دهندگان آسیب‌پذیری یا مسائل امنیتی را پیدا می‌کنند، آنها را برطرف می‌کنند و وصله امنیتی را با آپدیت جدید منتشر می‌کنند.

با این حال، بسیاری از دارندگان سایت وردپرس تمایل دارند تا به روزرسانی سایت خود را به تاخیر بیاندازند.

وقتی صاحبان سایت به روزرسانی‌ای را که دارای یک وصله‌ی امنیتی است، نادیده می‌گیرند، در واقع خودشان یک مشکل امنیتی بزرگ را ایجاد کرده‌اند!

۳. اختصاص نقش نادرست کاربر

سایت‌های وردپرس به ندرت توسط یک نفر مدیریت می شوند. آنها معمولاً توسط چندین کاربر مختلف اداره می‌شوند اما همه آنها به دسترسی کامل به سایت احتیاج ندارند.

برای این منظور، وردپرس از ویژگی‌‌ای برخوردار است که به صاحب سایت اجازه می‌دهد، نقش‌ها و مجوزهای مختلفی را برای هر کاربر اختصاص دهد.

۶ نقش کاربری پیش‌فرض در وردپرس وجود دارد:

• سوپر ادمین
• ادمین
• ویرایشگر
• نویسنده
• مشارکت‌کننده
• مشترک

هر نقش تعیین می‌کند که کاربر دارای چه قدرت‌هایی و چه مسئولیت‌هایی است. به عنوان مثال، کاربر «سوپر ادمین» کنترل کاملی بر وب سایت دارد. اما کاربر «مشترک» کمترین دسترسی را دارد.

نقش‌ها و دسترسی‌ها (Roles and Permissions) نقشی اساسی در امنیت وب‌سایت ایفا می‌کنند. اعطای اختیارات سوپر ادمین به همه‌ی مدیران وب‌سایت می‌تواند فاجعه بار باشد!

۴. عدم استفاده از گواهی‌نامه SSL

یک وب‌سایت، دائما داده‌ها را از مرورگر کاربر و سرور وب ارسال و دریافت می‌کند. بعضی اوقات این داده‌ها، حاوی اطلاعات حساس مانند نام کاربری و گذرواژه‌ی ورود به سیستم و یا اطلاعات پرداخت هستند.

اگر وب‌سایت از HTTP (پروتکل انتقال اَبَر متن) استفاده کند، داده‌ها با متن ساده تبادل می‌شوند. هکرها سعی می‌کنند این داده ها را رهگیری کرده و اگر متن ساده باشند، می‌توانند از آن‌ها استفاده‌ی مخرب کنند.

برای جلوگیری از این اتفاق، صاحبان سایت باید یک گواهی‌نامه SSL (لایه سوکت ایمن) خریداری و نصب کنند. در این حالت وب‌سایت به جای HTTP از HTTPS استفاده می‌کند. (حتما این عبارت را در ابتدای آدرس بعضی سایت‌ها دیده‌اید!) کلیه داده‌های منتقل شده در حالت HTTPS رمزگذاری شده و بنابراین حتی اگر هکرها این داده‌ها را بدست آورند، نمی‌توانند اطلاعات را رمزگشایی کنند.

۵. استفاده از قالب‌ها و افزونه‌های غیرمعتبر

بسیاری از افزونه‌ها (Plugin) و قالب‌های (Themes / Templates) آماده‌ی وردپرس ویژگی‌ها و کارکردهای شگفت‌انگیزی را برای ایجاد یک سایت بی‌نظیر ارائه می‌دهند. اما بسیاری از این افزونه‌ها و قالب‌ها محصولات پولی هستند. وقتی یکی از این محصولات را می‌خرید، توسعه‌دهنده آن محصول، کد مجوز (License Code) استفاده از آن را برای شما صادر می کند.

کاربران برای اینکه جهت خرید قالب پولی پرداخت نکنند، از قالب‌های قفل‌شکسته (Nulled) استفاده کرده، اما آگاه نیستند که با این کار چه خسارت بزرگی به وب‌سایتشان وارد می‌کنند!

قابل چشم‌پوشی نیست که وردپرس، ساخت و ایجاد وب‌سایت را آسان و ارزان کرده است، اما برخی صاحبان سایت‌ها حاضرند به هر قیمتی از این سامانه رایگان و سریع استفاده کنند و براحتی تسلیم وسوسه استفاده از قالب‌ها و افزونه‌های رایگان و غیرقابل اطمینان شوند.

استفاده از قالب‌ها و افزونه‌های غیر استاندارد، تایید ‌نشده و یا سرقت شده (قفل‌شکسته) در سایت وردپرس، یک دعوت آزاد برای هکرها است! به هر قیمتی از آنها دوری کنید.

پیشنهاد نهایی ما این است: برای برپایی وب‌سایتتان با وردپرس، یا از قالب‌های به تایید رسیده تیم توسعه‌دهنده وردپرس (که در  وب‌سایت رسمی وردپرس قابل دسترسی هستند) استفاده کنید، یا اگر نیاز به وب‌سایتی حرفه‌ای تر، شکیل‌تر و با امکانات بیشتر دارید، این‌ کار به شرکت‌ها و اشخاص متخصص توسعه‌دهنده‌ی وردپرس بسپارید!