طراحی سایت تیکو – بسیاری از افراد که مخالف استفاده از وردپرس هستند، اولین چیزی که زیر سوال میبرند، امنیت آن است. این افراد معتقدند وردپرس به علت متن باز بودن، از امنیت کافی برخوردار نیست. چراکه کدهای آن در اختیار همه قرار دارد و هکرها میتوانند به راحتی راههای نفوذ به آن را پیدا کنند. بیایید در کنار من ابوالفضل انصاری، موضوع امنیت وردپرس را بررسی کنیم و ببینیم آیا وردپرس امن است یا خیر؟
هکرها به طور متوسط روزانه 30 هزار وبسایت را هک میکنند. یعنی تقریبا هر 3 ثانیه یک وبسایت. دانستن این آمار باعث میشود که حتما فکری برای امنیت سایت خود کنیم. زیرا هیچ تضمینی نیست که سایت شما هدف حمله بعدی هکرها نباشد.
چرا باید به فکر امنیت سایت خود باشیم؟
- تنها در سال جاری، حملات سایبری 300 درصد افزایش یافته است. زیرا هکرها تلاش خود را برای سوءاستفاده از وبسایتهایی که آسیبپذیرند یا امنیت ضعیفتری دارند، افزایش میدهند.
- تقریباً شکار نیمی از حملات سایبری مشاغل کوچک تا متوسط است. زیرا هکرها میدانند که اکثر آنها تدابیر امنیتی محکمی ندارند.
- تقریباً نیمی از صاحبان وبسایتها میگویند که تدابیر امنیتی لازم برای دفاع از سایت خود در برابر حملات ندارند.
آمارهای ناگوار بالا نشان میدهد که صاحبان وبسایتها تا چه مقدار به اتخاذ تدابیر امنیتی فعال نیاز فوری دارند. به نظرم نیازی به توضیح بیشتر نیست و آمارها گویای همه چیز هستند.
آیا وردپرس امنیت دارد؟
در حال حاضر که این مقاله را مینویسم بیش از 43% سایتها به وسیله وردپرس ایجاد شدهاند. با اینکه وردپرس به خودی خود امنیت بسیار خوبی دارد اما با توجه به متن باز بودن آن و آشکار بودن کدهایش، اینگونه سایتها جزو اهداف پرتکرار هکرها قرار دارند.
البته این به معنی ناامن بودن وردپرس نیست. چرا که هر سایتی همواره در معرض آسیب و هک شدن قرار دارد. فراموش نکنید امنیت یک مقوله 100درصدی نیست. همیشه احتمال نفوذ و هک شدن وجود دارد و این ربطی به زبان برنامهنویسی سایت ندارد. اگر بخواهیم به صورت منطقی به امنیت نگاه کنیم باید بگوییم که امنیت کاهش آسیب و خطر است، نه حذف کامل آن. زیرا حذف و از بین بردن کامل خطر، مسلما ممکن نیست. ولی میتوان با رعایت یک سری نکات احتمال نفوذ هکرها را کاهش داد.
سایت وردپرسی هم مانند تمامی سایتها نیاز به یک استراتژی امنیتی دارد. هکرهای حرفهای همیشه به دنبال راههای نفوذ هستند که ما به عنوان مدیر سایت باید این راهها را شناسایی کرده و ببندیم تا بتوانیم امنیت سایتمان را افزایش دهیم.
روشهای افزایش امنیت وردپرس
مسلما دیر یا زود به سایت شما هم حمله خواهد شد. اما اگر الزامات امنیتی را رعایت کرده باشید، مهم نیست که چه زمانی سایت شما به یک هدف تبدیل میشود. شما به یک استراتژی امنیتی نیاز دارید تا با آن افراد خرابکار را از سایت خودتان دور نگه دارید. همه این استراتژیهای امنیتی در سه چیز خلاصه میشود: آمادهسازی، پیشگیری و شناسایی.
ابتدا باید بستر امنیتی را برای سایت خود آماده کنید و با رعایت نکات ایمنی، به پیشگیری از هک شدن سایت بپردازید. در هر حال باز هم ممکن است سایت شما مورد حمله قرار گرفته و هکرها هم به موفقیتهایی دست پیدا کنند. پس نیازمند شناسایی آسیبها و رفع آنها هستید. در ادامه با ما باشید تا با اتخاذ روشهایی امنیت سایت وردپرسی خود را افزایش دهیم. با این کارها 99.9درصد سایت شما غیرقابل هک خواهد شد.
استفاده از رمزهای عبور قوی
همیشه اولین قدم در تامین امنیت داشتن یک رمز عبور قوی و غیرقابل حدس است. بسیاری از کاربران متاسفانه به این امر توجه کافی نمیکنند و به سراغ رمزهایی میروند که حفظ کردن آنها آسان است. رمزهایی مانند تاریخ تولد، شماره شناسنامه، تلفن همراه، کدملی، تاریخ ازدواج و … بدترین انتخاب برای هر پنلی است که نیازمند رمز عبور است.
در تامین امنیت وردپرس برای ورود به سیپنل هاست و پیشخوان وردپرس از رمزهای عبور مستحکم که شامل ترکیبی از حروف بزرگ، حروف کوچک، علائم و اعداد هستند، استفاده کنید. استفاده از اعداد ساده یا حروف معنادار به شدت به امنیت سایتتان آسیب میزند. هکرها با استفاده از نوشتن برنامههای مختلف، شروع به تست رمزها با سرعت بسیار بالا میکنند و اگر این رمز ساده باشد خیلی راحت به آن دسترسی پیدا خواهند کرد.
شاید به کارتان بیاید: افزودن فیلد تکرار رمز عبور به فرم ثبت نام ووکامرس
از نام کاربری admin استفاده نشود
اولین نام کاربری که توسط هکرها چک و امتحان میشود admin است. اگر از این نام کاربری استفاده نشود، کار آنها برای پیدا کردن اطلاعات ورود چندین برابر سختتر میشود. چرا که علاوه بر رمز عبور باید به دنبال نام کاربری هم باشند.
تغییر پیشوند جداول وردپرس
وردپرس یک سیستم مدیریت محتوای متنباز است که تمام تنظمیات و اطلاعات آن در جداول دیتابیس یا پایگاهداده MySql ذخیره میشود. جداول وردپرس هم به صورت پیشفرض با پیشوند wp_ در این دیتابیس ثبت میشوند. این پیشوند نامی آشنا و کاملا قابل حدس برای هکرهاست و کمک زیادی به آنها میکند تا بتوانند راحتتر به دیتابیس شما دسترسی داشته باشند. هکرها پس از دسترسی به دیتابیس میتوانند کدهای مخرب را در جداول پایگاه داده تزریق کنند و امنیت سایتتان را به خطر بیندازند. پیشنهاد میکنیم در اولین قدم هنگام نصب وردپرس این پیشوند را تغییر داده و پیشوند پیچیدهتری برای جداول وردپرس خود انتخاب کنید. اگر هم جداول وردپرس خود را ایجاد کردهاید و پیشوند آن را تغییر ندادهاید، نگران نباشید زیرا این کار با افزونههایی قابل انجام است. از جمله این افزونهها که در انتهای همین مقاله به آن اشاره کردهایم، افزونه امنیتی iThemes Security است.
استفاده از SSL و HTTPS
فناوری امنیتی استاندارد SSL مخفف عبارت Secure Sockets Layer به معنی «لایه سوکتهای امن» است. وجود این فناوری به این معنی است که اطلاعات مبادله شده با وبسایت امن و رمزگذاری شده است. به عبارت دیگر دادههایی که بین سایت و مرورگر رد و بدل میشود محرمانه باقی میماند و دیگر توسط هکرها قابل مشاهده نیست. وبسایتهایی که به فناوری SSL مجهز هستند در url خود به جای http با https آغاز میشوند. بسیاری از شرکتهای هاستینگ این گواهینامه را به صورت رایگان در اختیار شما قرار میدهند. پس در انتخاب هاست دقت کنید که این امکان را برای شما فراهم کرده باشد.
به خطر افتادن امنیت وردپرس با استفاده از قالبها و افزونههای نامعتبر
قالبها و افزونههای نال شده امکان دارد دارای کدهای مخربی باشند که اطلاعات ورود سایتتان را برای هکرها ارسال کنند. بنابراین سعی شود افزونهها و قالبها از منابع معتبر و بهویژه از منبع اصلی آن خریداری شود. در ایران هم سایت ژاکت در این راه پیشقدم است.
معرفی بهترین قالبهای وردپرس
بروزرسانی مرتب هسته وردپرس، نسخه PHP هاست، قالبها و افزونهها
معمولا اگر ارائه دهندگان هسته وردپرس، نسخه PHP هاست، قالبها یا افزونهها قصد داشته باشند امکانات جدیدی به آنها اضافه کنند یا مشکلی از آنها را حل کنند، یک نسخه جدید ارائه میدهند. لازم است در اولین فرصت نسبت به بروزرسانی آنها اقدام کنیم. چرا که رفع باگهای امنیتی اولین دلیل ارائه نسخه جدید هسته وردپرس، نسخه PHP هاست، قالبها و افزونههاست. نکتهای که باید یادآور شوم این است که قبل از اقدام به بروزرسانی حتما از سایت خودتان یک نسخه پشتیبان یا بکاپ تهیه کنید. زیرا ممکن است ناهماهنگی و تداخلی به وجود آید و کارکرد صحیح سایت شما را از کار بیندازد.
استفاد از هاستینگهای معتبر برای امنیت وردپرس
در انتخاب شرکت هاستینگ برای سایت خود بسیار دقت کنید. اگر هاستی از نظر کانفیگ امنیتی دچار ضعف باشد و توسط هکرها هک شود، مطمئنا سایت شما نیز هک خواهد شد.
انواع هاست و تفاوتهای آنها
فایلهای بلااستفاده به امنیت وردپرس آسیب میزند
گاهی اوقات ما مجبور هستیم فایلهایی را در سایت خود آپلود کنیم که بعدا دیگر نیازی به آنها نیست. به عنوان مثال برخی از سرویس دهندهها برای انجام احراز هویت از شما میخواهند فایل تکستی را در هاست خود آپلود کنید. مانند سایت گوگل یا اینماد. این فایلها را پس از انجام احراز هویت از سایت خود پاک کنید. چرا که این فایلها میتواند مورد هدف حمله هکرها قرار بگیرد.
به فکر امنیت ایمیل مدیریت سایت هم باشید
همانطور که میدانید شرکتهای هاستینگ اطلاعات ورود به هاست را برای شما ایمیل میکنند. همچنین مدیران سایت برای ثبتنام در وردپرس نیازمند اعلام یک ایمیل هستند. به همین دلیل گاهی اوقات هکرها با هک کردن ایمیل مدیریت سایت، اقدام به کسب اطلاعات ورود به سایت میکنند. پس علاوه بر توجه به موارد امنیتی سایت، باید موارد امنیتی لازم برای ایمیل هم تامین شود.
برای تامین امنیت ایمیل علاوه بر انتخاب رمزهای عبور قوی، حتما از باز کردن ایمیلهای ناشناس و کلیک بر روی لینکهای مشکوک هم خودداری کنید.
عدم اعتماد به افراد دیگر
گاهی مشاهده شده سایت برخی از افراد توسط دوستان و آشنایان خودشان مورد حمله قرار گرفته است. دلیل این مورد هم این است که برخی افراد نام کاربری و رمز عبور سایت خود را در اختیار دیگران قرار میدهند که به آنها اعتماد دارند. با گذشت زمان ممکن است مشکلاتی بین این افراد به وجود آید و فردی که اطلاعات سایت را دارد برای انتقامگیری، اقدام به انجام اقدامات خرابکارنه در سایت کند. پس به هر کسی اعتماد نکنید و در دادن اطلاعات ورود به دیگران بسیار مراقب و سختگیر بوده و آینده را نیز پیشبینی کنید.
از سایت خود به طور مرتب بکاپ یا پشتیبان تهیه کنید
داشتن بکاپ و پشتیبان از سایت موجب میشود اگر به هر دلیل سایتتان هک شد، بتوانید در اولین فرصت آن را به حالت قبل برگردانده و خسارتهای احتمالی را کاهش دهید.
از افزونههای امنیتی وردپرس استفاده کنید
با انجام تمام اقداماتی که در این مقاله به آن اشاره کردیم، باز هم وردپرس نقصهای امنیتی دارد که باید آنها را برطرف کرد. به عنوان مثال وردپرس فعالیت ورود کاربر را ردیابی نمیکند. اگر شخصی 1000 بار تلاش برای ورود به سایت کند و ورودش ناموفق باشد بازهم میتواند به کار خود ادامه دهد.
نصب افزونههای امنیتی کمک زیادی به تامین امنیت سایتهای وردپرسی میکنند. این افزونهها با تغییر صفحه ورود، عدم دسترسی به فایلهای مهم سایت مثل .htaccess و wp-config، بلاک کردن کاربرانی که با نام کاربری Admin سعی در ورود به سایت دارند یا تعداد تلاش ناموفق نامتعارفی برای ورود داشتهاند، جلوگیری از حملات brute force، تغییر پیشوند جداول وردپرس و … وظیفه حفاظت از سایت را بر عهده میگیرند.
بهترین افزونه امنیت وردپرس
iThemes Security با ارائه بیش از 30 ماژول امنیتی را به جرات میتوان به عنوان بهترین افزونه تامین امنیت سایت معرفی کرد. این افزونه بر تمام مهمترین فعالیتهای امنیتی که در سایت شما اتفاق میافتد و شما نمیتوانید آنها را ببینید، نظارت میکند.
iThemes Security حدس و گمان را از امنیت وردپرس حذف میکند تا امنیت و محافظت از وبسایت وردپرس شما را آسان کند. اگر شخصی موفق به هک کردن سایت شما هم شد، در اسرع وقت آسیبی که میتواند وارد کند را محدود میکند. شناسایی بخش کلیدی یک استراتژی امنیتی کلی است که به انعطافپذیری بیشتر در برابر حمله موفقیتآمیز کمک میکند و این افزونه این امکان را برای شما فراهم کرده است.
افزونه iThemes Security عملکرد فوقالعادهای در برابر حملات Brute Force دارد. این حملات به روش آزمون و خطای مورد استفاده برای کشف نام کاربری و رمز عبور برای هک کردن یک وبسایت اشاره دارد. با توجه به اینکه در وردپرس چیزی برای مقابله با این حملات تعبیه نشده است ضرورت استفاده از افزونه چند برابر میشود.iThemes Security با مسدود کردن این حملات خودکار، برای ایمنسازی و محافظت بیشتر ورود به سیستم وردپرس، کار میکند.
البته این افزونه قابلیتهای بسیار زیاد دیگری هم دارد. احراز هویت دومرحلهای با استفاده از نرمافزارهای تلفن همراه، اسکن زمانبندی شده تروجانها، ایجاد کلمات عبور قوی از طریق پنلکاربری، قابلیت افزودن کد reCAPTCHA برای مقابله با اسپم، غیرفعال کردن قابلیت ویرایش فایلها از طریق پنل مدیریتی وردپرس، تغییر آدرسهای صفحه ورود و مدیریت، تغییر نام کاربری admin، تغییر پیشوند جداول وردپرس، تغییر مسیر پوشه wp-content، بلاک کردن IPهای مشکوک، خارج از دسترس کردن پیشخوان وردپرس در ساعات خاصی از شبانه روز و … از مهمترین امکانات این افزونه است.
سخن پایانی
در پاسخ به افرادی که امنیت وردپرس را زیر سوال میبرند، باید بگویم این باور کاملا اشتباه است. زیرا در دنیای اینترنت وبسایتهای زیادی وجود دارند که همیشه در معرض خطر هک شدن و نفوذ هستند. فرقی هم نمیکند این سایتها با سیستم مدیریت محتوا ساخته شدهاند یا به صورت کدنویسی اختصاصی. اکثر سایتها به دلیل مشکلاتی که کاملا قابل پیشگیری هستند، هک میشوند. مثل استفاده از کلمه عبور ساده و ناامن.
با مطالعه این مقاله دیگر باید متوجه شده باشید که امنیت سایت کاملا به خودمان بستگی دارد. با رعایت کردن اصولی که در این مقاله به آن اشاره شد، میتوانیم تا حدود زیادی (نه 100درصد) خیالمان را از امنیت سایت راحت کنیم.