امنیت وردپرس، آنچه باید بدانید

با اینکه ایجاد وب‌سایت با استفاده از سیستم محتوایی مانند وردپرس بسیار آسان‌تر شده است و به هزینه بالایی نیاز ندارد، اما برای پیشرفت وب‌سایت خود باید مانند دیگر وب‌سایت‌ها با آن رفتار کنید و برای بهبود سئو و امنیت آن تلاش کنید. این مقاله درباره امنیت وردپرس است و افرادی که دوست دارند درباره وردپرس، امنیت و اهمیت آن و یا افزونه‌هایی که می‌توان استفاده کرد، اطلاعات بیشتری کسب کنند، تا پایان با ما همراه باشند.

اما قبل از آن در عنوان‌های بعدی، ابتدا توضیحی مختصر درباره سیستم‌های مدیریت محتوا و وردپرس ارائه خواهیم داد.

سیستم‌ مدیریت محتوا چیست؟

شیوه طراحی وب‌سایت اینگونه است که طراح با استفاده از زبان‌های برنامه‌نویسی رایج، لایه به لایه وب‌سایت را کد می‌نویسد و اقدام به ایجاد آن می‌کند. اما این شیوه یا ظهور سیستم مدیریت محتوا یا همان  content management system که به اختصار CMS خوانده می‌شود، شکسته شد؛ در واقع CMS‌ها رابط گرافیکی آسان و مجموعه‌ای از ابزارها برای ویرایش، ایجاد و انتشار محتوا در بستر اینترنت، بدون نیاز به نوشتن حتی یک قطعه کد از ابتدا را ارائه می‌دهند. موردی که باعث شد، ایجاد وب‌سایت در زمان کمتری صورت گیرد. معروفترین CMS برای توسعه وب‌سایت، وردپرس است.

وردپرس چیست؟

وردپرس همانگونه که گفتیم، معروفترین سیستم مدیریت محتوا برای ایجاد و توسعه وب‌سایت است. در حال حاضر تعداد وب‌سایت‌هایی که از وردپرس استفاده می‌کنند در حدود 64 میلیون می‌باشند و به صورت روزانه تقریبا 600 وب‌سایت جدید با وردپرس ایجاد می‌شوند. در واقع طبق آمار و ارقام، نزدیک به 40 درصد از کل وب‌سایت‌هایی که در اینترنت وجود دارند، از وردپرس استفاده می‌کنند، که آمار بسیار بالایی است و ارزش این سیستم مدیریت محتوا را نشان می‌دهد. در عنوان بعدی نشان خواهیم داد که چرا امنیت وردپرس اهمیت زیادی دارد.

وردپرس و امنیت، بررسی کلی

امنیت وردپرس یکی از مسائلی است که به عنوان یکی از معایب این سیستم مدیریت محتوا معرفی می‌شود و افراد فعال در حوزه فناوری انتظار دارند که وردپرس برای ارتقا امنیت خود راهکارهای جدیدی را ارائه دهد. طبق آمار و ارقام منتشر شده، از هر 10 حمله‌ سودجویانه که به وب‌سایت وردپرسی انجام می‌شود، یک حمله، موفقیت آمیز است و با این وجود که بسیار آمار کمی است، اما بسیاری از افراد اعتقاد دارند که هسته و امنیت وردپرس باید تقویت شود، تا دیگر راهی برای هک شدن باقی نگذارد.

با این حال اما بعضی از افراد نظر دیگری دارند و اعتقاد دارند که امنیت به مدیران وب‌سایت وابسته است و تا زمانی که این افراد امنیت وب‌سایت را جدی بگیرند و بهترین شیوه‌ها را دنبال کنند، وب‌سایت آنها به بهترین شکل عمل خواهد کرد. منظور از بهترین شیوه‌ها، استفاده از افزونه‌ها و تم‌های ایمن، استفاده از شیوه login مناسب، استفاده از پلاگین‌های امنیتی برای نظارت بر سایت و به روز رسانی منظم است

اما سوالی که پیش می‌آید این است که چرا امنیت وردپرس و به صورت کلی امنیت وب‌سایت‌ها مهم است؟ به این سوال در عنوان بعدی پاسخ خواهیم داد.

چرا امنیت وب‌سایت مهم است؟

امنیت وب‌سایت مهم نیست؛ بلکه یک ضرورت است. در واقع همه وب‌سایت‌ها در هر زمان و هر مکان مستعد حمله هستند و مجرمان سایبری هنگام برنامه ریزی برای اجرای یک حمله، وب‌سایت خاصی را در ذهن ندارند. این افراد از برنامه‌هایی برای شناسایی خودکار وب‌سایت‌های آسیب پذیر استفاده می‌کنند و از این نقاط آسیب‌پذیر به ‌عنوان دروازه‌های ورودی برای اجرای حمله به آن وب‌سایت استفاده می‌کنند.

با پیشرفت تهدیدات و حمله‌های سایبری، مسئله امنیت وب‌سایت اهمیت بیشتری پیدا کرده است؛ زیرا صاحبان وب‌سایت اکنون مشتاق محافظت از وب‌سایت‌ها و بازدیدکنندگان خود در برابر این حملات خطرناک هستند. همانطور که همه ما می‌دانیم، جرایم سایبری در واقع یک تجارت بزرگ است و مجرمان سایبری همیشه به دنبال نقاط ضعف وب‌سایت شما هستند. این حملات علاوه بر سرقت داده یا ترافیک، می‌توانند وب‌سایت را ار نتایج برتر جستجو پاک کنند و یا اینکه وب‌سایت را خراب و یا کند کنند؛ اما شاید مهمترین هدف این حمله‌ها، سرقت اطلاعات حساس مشتری، مانند شماره تلفن یا اطلاعات کارت اعتباری و یا سایر موارد دیگر است که کاربر برای پرداخت و یا ثبت‌نام از آنها استفاده کرده است.

نکته دیگر این است که در صورت هک شدن، تمام کارهایی که برای بهبود سئو خود انجام داده‌اید از بین می‌روند و باید از ابتدا، وب‌سایت خود را توسعه دهید. پس امنیت وب‌سایت برای محافظت از کسب و کار، نام تجاری و شهرت وب‌سایت و همچنین جلوگیری از ضرر مالی و بسته شدن وب‌سایت بسیار مهم است. و همانطور که اشاره کردیم، امنیت وردپرس و به طور کلی امنیت وب‌سایت یک انتخاب نیست و یک ضرورت است و اگر به فکر پیشرفت خود هستید باید به امنیت اهمیت ویژه‌ای بدهید.

راهکارهایی برای افزایش امنیت وب‌سایت وردپرسی

رعایت مجموعه نکاتی که در زیر می‌آیند، باعث می‌شود که گربه را دم حجله بکشید و امنیت وب‌سایت خود را افزایش دهید. بعضی از این مراحل بسیار ساده هستند و فقط نیاز به بررسی و یا تیک خوردن دارند. این نکات در قالب، نکات اولیه و اساسی، نکات ساده و نکات پیشرفته ارائه خواهد شد، با ما همراه باشید.

وردپرس را به روز نگه دارید

وردپرس یک نرم افزار open source است که به طور مرتب توسط افراد زیادی در سراسر جهان نگهداری و به روز می‌شود. به صورت پیش فرض، وردپرس به طور خودکار به روز رسانی‌های جزئی را نصب می‌کند، اما برای نسخه‌های اصلی، باید به‌روزرسانی را به‌صورت دستی انجام دهید. نکته دیگر درباره به روزرسانی‌ها این است که اطمینان داشته باشید، تم، افزونه‌ها و پلاگین‌های وردپرس همیشه به‌روز باشند. این به روز رسانی‌های برای امنیت و ثبات سایت وردپرس بسیار مهم هستند و باید مطمئن شوید که هسته وردپرس، افزونه‌ها و قالب شما به روز هستند و همچنین اطمینان حاصل کنید هاست وردپرس شما به جدیدترین تکنولوژی ها بروزرسانی شده باشد.

انتخاب گذرواژه‌های قوی و مدیریت دسترسی کاربران

رایج‌ترین تلاش‌ها برای هک وردپرس، استفاده از گذرواژه‌های سرقت شده است و در واقع عدم مدیریت گذرواژه‌ها، مشکلی است که امنیت وردپرس را به خطر می‌اندارد.

با انتخاب گذرواژه‌های قوی و منحصر به فرد، می‌توانید احتمال یافتن و سرقت گذرواژه‌ها توسط افراد سودجو را بسیار کاهش دهید. البته انتخاب گذرواژه قوی نه تنها برای بخش مدیریت وردپرس، بلکه برای حساب‌های FTP، پایگاه داده، حساب میزبانی وردپرس و آدرس‌های ایمیل سفارشی که از نام دامنه سایت شما استفاده می‌کنند، نیز بسیار مهم و ضروری است.

اگر به خاطر سپردن گذرواژه‌های قوی و طولانی برای شما سخت است، می‌توانید از یک پسورد منیجر استفاده کنید و به بهترین شکل امنیت وردپرس خود را مدیریت کنید.

اما راه دیگر برای افزایش امنیت این است که به افراد متفرقه اجازه دسترسی به حساب مدیریت وردپرس خود را ندهید. اگر یک تیم بزرگ یا نویسندگان مهمان دارید، قبل از اینکه حساب‌های کاربری و نویسندگان جدیدی را به سایت وردپرس خود اضافه کنید، مطمئن شوید درباره بخش کاربران و مدیریت‌ آن در وردپرس اطلاعات کافی دارید.

از سرویس میزبانی با امنیت عالی استفاده کنید

سرویس میزبانی وردپرس شما مهمترین نقش را در امنیت سایت وردپرس ایفا می‌کند. شرکت‌های برتر در ارائه میزبانی می‌تواند فعالیت‌های مشکوک را شناسایی کنند و ابزاری برای برای جلوگیری از حملاتDDOS  در مقیاس بزرگ دارند، همچنین سرور، نسخه‌های php و سخت افزار خود را به روز نگه می‌دارند تا از سوء استفاده هکرها از یک آسیب پذیری امنیتی شناخته شده در نسخه قدیمی جلوگیری کنند. در واقع، با استفاده از یک میزبانی امن، می‌توانید، تا حدود زیادی امنیت وب‌سایت خود را افزایش دهید.

پس از رعایت موارد گفته شده، اکنون پایه و اساس وب‌سایت شما قوی است و رعایت نکات بعدی، می‌تواند امنیت وردپرس را افزایش دهد. با ما همراه باشید.

از فایل‌های وب‌سایت خود Backup بگیرید

هیچ چیز صد در صد امن نیست و اگر وب‌سایت‌های دولتی و وب‌سایت‌های بزرگ هک شوند، سایت شما نیز می‌تواند هک شود. Backup گرفتن به شما این امکان را می‌دهد تا در صورت هک شدن، به سرعت سایت وردپرس خود را بازیابی کنید. تعداد زیادی افزونه وردپرس وجود دارد که می‌توانید از آنها استفاده کنید. اما قبل از معرفی آنها مهمترین مسئله در مورد Backup، این است که باید به طور منظم نسخه‌های پشتیبان کامل سایت را در یک مکان راه دور (نه حساب میزبانی خود) ذخیره کنید.

برای Backup گرفتن می‌توانید از افزونه‌هایی مانند  UpdraftPlus یا BlogVault استفاده کرد که هر دو آنها هر دو قابل اعتماد هستند و از همه مهمتر استفاده از آنها آسان است و به کدنویسی نیاز ندارد.

استفاده از افزونه‌های امنیت وردپرس

افزونه‌های امنیتی زیادی وجود دارند که می‌توان برای افزایش امنیت وردپرس از آنها استفاده کرد، اما پیشنهاد ما، افزونه رایگان Sucuri Security است که امنیت بالا دارد و با استفاده از آن می‌توانید مشکلات امنیتی وب‌سایت خود را شناسایی کنید.

فعال‌سازی فایروال نرم‌افزارهای تحت وب (WAF)

ساده‌ترین راه برای محافظت از سایت خود و اطمینان از امنیت وردپرس خود استفاده از فایروال برنامه تحت وب (WAF) است که تمام ترافیک مخرب را حتی قبل از رسیدن به وب‌سایت شما مسدود می‌کند. برای فعال‌سازی این ویژگی می‌توانید به شرکت‌های مختلفی که در این حوزه فعالیت می‌کنند مراجعه کنید. قبل از انتخاب، به خدماتی که هر کدام از شرکت‌ها ارائه می‌دهند، دقت کنید.

WAF را فعال کنید

از لایه اتصال امن یا SSL/HTTPS استفاده کنید

SSL پروتکلی است که انتقال داده‌ها بین وب‌سایت و مرورگر کاربران را رمزگذاری می‌کند و باعث می‌شود که سرقت اطلاعات سخت‌تر از قبل شود. وب‌سایت‌هایی که از این پروتکل استفاده می‌کنند در نوار آدرس آنها قفل سبز رنگی قابل مشاهده است که نشان می‌دهد اطلاعات به درستی رمزگذاری شده‌اند.

نکته مهمی که هنگام انتخاب میزبانی وب‌سایت در نظر بگیرید این است که شرکت ارائه دهنده خدمات، گواهینامه SSL را ارائه می‌دهند یا خیر. بسیاری از شرکت‌ها این ویژگی را به صورت رایگان در بسته‌های میزبانی خود دارند.

نکات پیشرفته امنیت وردپرس

اگر تمام کارهای گفته شده را انجام داده‌اید پس امنیت وردپرس شما رتبه بالایی دارد و با انجام موارد زیر، می‌توانید امنیت وب‌سایت خود را افزایش دهید.

نام کاربری پیش‌فرض admin را تغییر دهید

به این دلیل که بسیاری ار افراد از نام کاربری admin استفاده می‌کنند، این امر احتمال وقوع حمله brute-force را انجام افزایش می‌دهد و بهترین راه این است که نام کاربری خود را تغییر دهید. البته این کار به صورت مستقیم و از طریق خود وردپرس غیرقابل اجرا است و برای تغییر نام کاربری می‌توانید از افزونه Username Changer استفاده کنید.

غیرفعال کردن File Editing

وردپرس با یک code editor داخلی ارائه می‌شود که کاربران با استفاده از آن می‌توانند، تم و فایل‌های افزونه خود را به صورت مستقیم از طریق مدیریت وردپرس خود ویرایش کنند. البته این ویژگی اگر در دستان افراد سوجو باشد، یک خطر بزرگ برای امنیت وردپرس است و بهتر است که غیر فعال شود.

برای غیرفعال سازی آن کافی است که به فایل wp-config.php مراجعه و کد زیر را اضافه کنید.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

محدود کردن تعداد تلاش ناموفق برای ورود

به طور پیش فرض، وردپرس به کاربران این امکان را می‌دهد که هر چند بار که می‌خواهند وارد سیستم شوند. این باعث می‌شود سایت وردپرس شما در برابر حملات brute force  آسیب پذیر باشد. هکرها با تلاش برای ورود به سیستم با ترکیبات مختلف سعی در شکستن رمزهای عبور دارند.

این را می‌توان به راحتی با محدود کردن تلاش‌های ناموفق برای ورود به سیستم برطرف کرد. برای این کار می‌توانید از افزونهLogin LockDown  استفاده کنید که این کار را به سادگی برای شما مدیریت خواهد کرد.

احراز هویت دو مرحله‌ای را فعال کنید.

احراز هویت دو مرحله‌ای به این معنی است که کاربر پس از ورود به وب‌سایت با استفاده از نام کاربری و گذرواژه باید با استفاده از پیامک و یا روش‌های دیگر نیز هویت خود را احراز کند. این کار باعث می‌شود که افراد متفرقه نتوانند به سیستم مدیریت شما وارد شوند و امنیت وردپرس افزایش یابد. نکته دیگر این است که برای این کار می‌توانید از افزونه Two Factor Authentication استفاده کنید.

نکته نهایی

امنیت وردپرس و به صورت کلی امنیت وب‌سایت مسئله مهمی است که امنیت کسب و کار و پیشرفت شما به آن وابسته است و قبل از اینکه مهم باشد، یک ضرورت بسیار مهم است.

مجموعه تکنیک‌هایی که در بخش آخر معرفی شدند، بخشی از کارهایی است که می‌توانید برای افزایش امنیت وب‌سایت وردپرسی انجام دهید و موارد دیگری را نیز می‌توان به این لیست اضافه کرد. اگر به امنیت وب‌سایت خود اهمیت می‌دهید، در کنار موارد گفته شده، در بازه‌های زمانی منظم با استفاده از ابزار مناسب، وب‌سایت خود را اسکن کنید و مشکلات آن را شناسایی و برطرف کنید.