نقش امنیت در سایتهای وردپرسی

وردپرس یکی از رایج‌ترین و پراستفاده‌ترین سیستم های مدیریت محتوا (CMS) می‌باشد و این موضوع باعث می‌شود که بیشتر مورد توجه هکرها و نفوذگرها (attacker) قرار بگیرد.
امنیت وب‌سایت‌های وردپرسی، یکی از مهم‌ترین موضوعاتی است که باید به آن توجه داشت و لازم است تا موارد و اقداماتی را انجام داد تا یک وب‌سایت با امنیت بالا داشته باشیم.
هسته‌ی وردپرس توسط بیش از صدها توسعه‌دهنده (developer) بازبینی و به‌روز می‌شود و امنیت آن تا حد بسیار بالایی تامین می‌شود.
با این حال اقداماتی وجود دارد که با انجام و رعایت آن، می‌توانیم امنیت وب‌سایت وردپرسی را به مقدار زیادی افزایش دهیم.
برای اطلاع از آخرین اخبار و اطلاعات وردپرس می‌توانیم به صفحه‌ی رسمی‌ وب‌سایت وردپرس، مراجعه کنید.

همینطور آخرین اخبار و اطلاعات مربوط به وردپرس به صورت پادکست، در این لینک در دسترس می‌باشد.

چرا امنیت وب‌سایت مهم است ؟

در صورت هک‌شدن، اطلاعات وب‌سایت شما ممکن است حذف و یا تغییر داده شود.
همین‌طور در صورت هک شدن، ممکن است اطلاعات کاربران و مشتریان مانند اطلاعات خرید، آدرس و مشخصات شخصی، شماره همراه و … افشا شود که باعث خدشه‌دار شدن اعتبار وب‌سایت و از دست‌رفتن اعتماد کاربران خواهد شد.
هک‌شدن، ویروسی‌شدن یا از دسترس خارج شدن وب‌سایت، ضربه سنگینی به اعتبار وب‌ سایت وارد می‌کند و از دست رفتن کاربران و کاهش فروش و خدمات را در پی خواهد داشت.

نقش تنظیمات سرور بر امنیت وب‌سایت‌های وردپرسی

یکی از مهم‌ترین موارد امنیت وب‌سایت‌ها، به خصوص وب‌سایت‌های وردپرسی، داشتن یک‌ هاست مطمئن و با کیفیت بر روی یک سرور قوی و با امنیت بالاست، که به خوبی کانفیگ شده باشد و موارد امنیتی در آن به خوبی رعایت شده باشد.
در‌ هاست‌های وردپرس و سایر‌ هاست‌های پربازدید،‌ هاست حرفه ای و‌ هاست اختصاصی پارس‌وب‌سرور، تنظیمات لازم بر افزایش امنیت روی سرور انجام شده است و اسکریپت‌ها و ماژول‌های امنیتی بر روی سرور نصب و کانفیگ شده است تا امنیت‌ هاست و وب‌سایت از سمت سرور تامین باشد.

هک و ویروسی شدن وردپرس

از جمله دلایل ضعف‌های امنیتی و دلیل هک و ویروسی شدن وردپرس، مربوط به قالب و افزونه‌های وردپرسی است.
قالب و افزونه‌های وردپرس توسط شرکت‌های مختلف توسعه داده می‌شوند و امکاناتی را به هسته اصلی آن اضافه می‌کنند.
چنانچه کدنویسی قالب و افزونه‌ها اصولی نباشد و موارد امنیتی در زمان طراحی و کدنویسی افزونه رعایت نشده باشد، باعث ایجاد ضعف‌های امنیتی می‌شود که نفوذپذیری وردپرس را تحت تاثیر قرار می‌دهد.
در صفحه زیر لیستی از افزونه‌ها و دلیل آسیب پذیری آن‌ها، با توضیحات کوتاه لیست شده است :

https://patchstack.com/database

عموما شرکت‌های بزرگ توسعه دهنده قالب ها و افزونه های وردپرسی، در کنار تیم تحقیق و توسعه، یک واحد با نام امنیت نیز برای بررسی امنیت قالب و افزونه و افزایش ضریب امنیتی محصولات دارند که به صورت مداوم در حال بروزرسانی و بررسی وضعیت امنیت آنها هستند و با انتشار به‌روز رسانی‌های مداوم، امنیت قالب و افزونه های منتشر شده را بالا می‌برند.

متاسفانه به دلیل تحریم‌ها و عدم دسترسی به وب‎سایت اصلی قالب و افزونه و عدم امکان پرداخت‌ آنلاین، اکثر وب‌سایت‌های ایرانی مجبور به استفاده از قالب ها و افزونه‌های Null شده و دستکاری شده هستند که در اغلب موارد قابلیت به‌روز رسانی آنها غیرفعال شده است و این باعث آسیب پذیری و پایین آمدن ضریب امنیت وردپرس شود.

اقدامات پیشنهادی برای افزایش امنیت وب‌سایت‌های وردپرسی :

1- رمز عبور قوی و غیرقابل حدس:

عموما اولین موردی که باید در ایمنی یک سایت رعایت شود، انتخاب رمز عبور قوی می‌باشد که شامل حروف کوچک، حروف بزرگ، اعداد و کاراکترهای خاص بوده تا قابل حدس نباشد.

بهتر آن است رمز عبور به صورت دوره‌ای و ماهانه تغییر کند.

2- بک آپ گیری روزانه:

از دست رفتن اطلاعات، یکی از بدترین اتفاقاتی است که مدیر یک سایت می تواند با آن مواجه شود. با داشتن نسخه پشتیبان، می‌توانید در صورت بروز مشکل، اطلاعات را بازگردانی کنید.
به همین دلیل پیشنهاد می‌شود به صورت دوره ای، نسخه پشتیبان کامل تهیه و دانلود شود.

3- تغییر آدرس پیشخوان وردپرس:

لینک ورود به پیشخوان وردپرس به صورت پیش فرض https://yourdomain.com/wp-admin می‌باشد. تغییر این لینک باعث می‌شود تا هکر‌ها نتوانند از لینک ورود پیش فرض به پیشخوان سایت دسترسی داشته باشند.

تمام افزونه‌های امنیتی وردپرس از جمله وردفنس (wordfence)، امکان تغییر لینک پیش فرض پیشخوان وردپرس را دارند.

4- استفاده نکردن از نام کاربری پیش فرض admin :

به صورت پیش‌فرض نام کاربری مدیر وردپرس admin است.

بهتر است زمان نصب وردپرس، این مقدار به یک مقدار غیرقابل حدس تغییر کند.

5- انتقال فایل wp-config.php به یک پوشه بالاتر و روت اصلی‌ هاست:

هسته وردپرس به صورت پیش فرض در کنار فایل های اصلی وردپرس مانند index.php به دنبال فایل wp-config.php می‌گردد. یکی از راه های افزایش امنیت سایت های وردپرسی، انجام تنظیماتی برای تغییر مسیر این فایل به یک پوشه بالاتر می باشد.

7- عدم استفاده از افزونه‌های ناشناخته:

یکی از مواردی که باعث هک شدن و ویروسی شدن وب‌سایت‌های وردپرسی می‌شود، استفاده و نصب افزونه‌های Null شده و افزونه‌هایی با منابع نامشخص و اغلب رایگان است.
بیشتر این افزونه‌ها دست‌کاری‌شده هستند و کدهای مخرب به آن اضافه شده است. ممکن است بعد از نصب آن‌ها، سایت شما به سایت‌های دیگر ارجاع (redirect) شود.

مواردی که نشان می دهد وب‌سایت شما آلوده است:
مصرف بالای منابع،
ارجاع به صفحات سایت‌های ناشناخته،
یا نمایش صفحه سفید بدون محتوا در صفحه نخست وب‌سایت است.

در صورت ویروسی شدن وب‌سایت، عموما کدهای ناشناخته‌ای به ابتدای فایل index.php اضافه می‌شوند و همین‌طور ممکن است کدهایی به فایل htaccess اضافه شوند که عملکرد وب‌سایت را مختل کنند.
چنان‌چه هر کدام از این موارد را مشاهده کردید باید از یک وردپرس کار برای رفع کدهای مخرب و ایمن سازی وب‌سایت کمک و مشاوره بگیرید.

8- آزمایش افزونه‌های جدید، بروزرسانی‌ها و تغییرات بر روی سایت demo و یا آزمایشی:

توجه داشته باشید در برخی موارد به هنگام به‌روزرسانی وردپرس ممکن است افزونه‌های نصب شده‌ی سایت به دلیل عدم سازگاری باعث بروز تغییرات ناخواسته شوند.
پیشنهاد می‌شود یک وب‌سایت مشابه با سایت اصلی با همان افزونه‌ها و قالب راه‌اندازی شود و برای تست افزونه‌ها و به‌روزرسانی‌ها و یا تغییرات دیگر، ابتدا از آن استفاده کرد و بعد از تست و بررسی و اطمینان از صحت عملکرد و عدم تداخل، بر روی وب‌سایت اصلی نصب و اعمال شود. (تهیه نسخ پشتیبان کامل قبل از به‌روزرسانی توصیه می‌شود.)

9- انتخاب رمز بر روی پوشه wp-admin :

انتخاب رمز بر روی پوشه wp-admin باعث می‌شود که فقط کسانی که نام کاربری و رمز این پوشه را دارند به آن دسترسی داشته باشند و صفحه ورود فقط برای آنها باز شود.

البته افزونه‌هایی نیز برای این مورد وجود دارند که با کمک آن می‌توانید ورود به پیشخوان را با کمک این افزونه‌ها به صورت دو مرحله‌ای فعال کنید.

با استفاده از آموزش این می توانید بدون نیاز به افزونه ای و صرفا از داخل سی پنل بر روی پوشه wp-admin رمز قرار دهید.

10- محدود کردن دسترسی به آی پی خاص:

در صورتی که آی پی استاتیک دارید، می‌توانید ورود به بخش مدیریت را با استفاده از فایل htaccess فقط به آی پی‌های خاص محدود کنید.

در این صورت افراد مهاجم که آی پی آنها متفاوت است، پیام خطا دریافت می‌کنند و صفحه ورود برای آنها باز نخواهد شد.

11- نصب افزونه‌های امنیتی مانند iThemes Security و یا wordfence:

این افزونه‌ها به صورت تخصصی برای افزایش امنیت وب‌سایت‌های وردپرسی نوشته شده‌اند که تنظیمات متنوعی دارند.
از جمله امکانات این افزونه‌ها برای افزایش امنیت وب‌سایت شما:
محدود کردن تلاش برای ورود ناموفق
قرار دادن ip در فهرست مسدودی
و ارسال گزارش‌های دوره‌ای است

البته نصب و تنظیم صحیح این افزونه‏‌ها نیاز به دانش فنی نیز دارد.
در صورت نیاز باید از یک وردپرس کار مشورت و راهنمایی بگیرید.

12- به‌ روز نگه داشتن وردپرس، افزونه‌ها و قالب وب‌سایت:

و در نهایت، همواره توصیه می‌شود تا وردپرس و افزونه‌های آن به آخرین نسخه‌ی پایدار، به روز شوند.

اگر شما هم در مورد افزایش امنیت در وردپرس، نکته ای را مد نظر دارید می‌توانید در بخش نظرات همین مقاله ارسال کنید.

نتیجه گیری :

با استفاده از نکات فوق می توانید امنیت وب سایت وردپرسی خود را تا حد خوبی افزایش دهید. با این حال توجه داشته باشید که امنیت یک موضوع نسبی است و امکان ارائه تضمین همیشگی آن وجود ندارد. اما عدم رعایت نکات فوق می تواند به شکل جدی اطلاعات سایت شما را به خطر بیندازد.