آیا وردپرس امن است؟ هر چیزی که باید درباره امنیت وردپرس بدانید

یک نرم افزار خوب و پراستفاده، همیشه تحت نظر هکرها است و گزینه خوبی برای تهدیدات امنیتی محسوب می‌شود. وردپرس به عنوان بهترین و بزرگترین سیستم مدیریت محتوای رایگان و متن‌باز در دنیا، اهمیت ویژه‌ای برای این افراد دارند؛ زیرا با پیدا کردن یک حفره امنیتی، قادر به دسترسی اطلاعات میلیون‌ها وب‌سایت در سرتاسر اینترنت خواهند بود! به همین دلیل، حفاظت از اطلاعات سایت‌های وردپرسی تبدیل به یکی از دغدغه‌های مهم مدیران آنها شده و اهمیت افزایش امنیت وردپرس را ضروری کرده است. این موضوع تا حدی مهم است که مبحث امنیت وردپرس، تبدیل به یکی از مهمترین مباحث در آموزش وردپرس شده است!

آشنایی با امنیت سایت‌های وردپرسی و راهکارهایی برای افزایش آن، موضوعی است که در این مطلب از وبلاگ سبزلرن به آن می‌پردازیم.

امنیت وردپرس چیست؟

ابتدا اجازه دهید درباره مفهوم امنیت سایت صحبت کنیم.

به صورت کلی، امنیت سایت به اقداماتی گفته می‌شود که دسترسی به اطلاعات حساس و دیتابیس توسط افراد غیرمجاز را مسدود می‌کند. امنیت، یک معیار نسبی است و امکان تعریف معیارهای کاملا دقیق برای آنها وجود ندارد. زیرا همانطور که ابزارها و متخصصان امنیت سایبری در حال پیشرفت و بهبود هستند، هکرها، کلاهبرداران و نرم افزارهای مخرب نیز روز به روز پیشرفته‌تر می‌شوند.

امنیت سایت وردپرسی، به کانفیگ امکانات امنیتی یک سایت مبتنی بر سیستم مدیریت محتوای وردپرس گفته می‌شود که امکانات پایه‌ای برای محافظت از اطلاعات را فراهم می‌کند. البته این به معنای امنیت فوق العاده پایین هسته وردپرس نیست؛ بلکه به اقداماتی مربوط می‌شود که تنظیمات امنیتی پیشفرض وردپرس را تغییر می‌دهند. برای مثال، همه افراد می‌دانند که برای ورود به وردپرس و پیشخوان آن، باید به انتهای دامین سایت، عبارت wp-admin را اضافه کنند؛ زیرا این آدرس، کاربر را به صفحه پیشفرض ورود به پیشخوان وردپرس راهنمایی می‌کند.

غیر از این، موتورهای جستجو نیز سایت‌های ناامن را دوست ندارند! برای مثال، موتور جستجوی گوگل اعتبار کمتری به سایت‌های فاقد گواهی SSL (یک پروتکل رمزنگاری درخواست‌های HTTP در وب) می‌دهد و این نوع سایت‌ها، معمولا در نتایج جستجوهای گوگل دیده نمی‌شوند.

در نتیجه، توجه به امنیت سایت وردپرس علاوه بر جلوگیری از درز یا هک شدن اطلاعات و سایت، اعتبار سایت را نزد موتورهای جستجو بالاتر می‌برد. این موضوع برای افرادی که قصد کسب درآمد و بازاریابی اینترنتی از سایت خود را دارند، بسیار مهم و حیاتی است.

روش‌های افزایش امنیت سایت وردپرسی

همین الان بهتر است بدانید که قرار نیست با یک چک‌لیست ثابت برای همه سایت‌ها مواجه شوید که با رعایت آنها، سایت شما تبدیل به یک دژ نفوذناپذیر در برابر تهدیدات امنیتی باشد! در این بخش به معرفی اقدامات مهم که بسیاری از سایت‌ها در انجام آنها کوتاهی می‌کنند اما تاثیر قابل توجهی بر امنیت سایت دارند، می‌پردازیم.

فعالسازی گواهی SSL

یکی از اولین کارهایی که در مسیر بهبود وضعیت امنیت سایت باید انجام شود، فعالسازی گواهی SSL است. این گواهی یک لایه امنیتی جدید برای رمزگذاری اطلاعات ارسال شده بین دستگاه شما و سرور ایجاد می‌کند. این کار کمک می‌کند که هکرها و افرادی که به هر طریقی موفق به دریافت این اطلاعات شوند، امکان مشاهده آنها را نداشته باشند. تفاوتی بین سایت‌های فروشگاهی یا سایت‌های مجله‌ای و خبری نیست؛ بهتر است همه سایت‌ها از این گواهی استفاده کنند.

پنهان کردن یا تغییر آدرس صفحه ورود به وردپرس

همه افرادی که حداقل یک دفعه با وردپرس کار کرده باشند، می‌دانند که آدرس Example.com/wp-admin آنها را به صفحه ورود در وردپرس هدایت می‌کند. با تغییر این آدرس و عدم نمایش آن در موتورهای جستجو (No Index کردن آن)، می‌توانید از این صفحه محافظت کنید. البته که اگر سایت فروشگاهی دارید، بهتر است دو صفحه مجزا برای ورود مدیران و ورود کاربران عادی داشته باشید!

محدود کردن تعداد درخواست‌های ورود

می‌توانید با استفاده از افزونه‌های امنیتی وردپرس که در ادامه معرفی می‌شوند، یک سقف برای تعداد درخواست‌های لاگین مجاز به ازای هر آدرس IP تعریف کنید. به این صورت، آدرس IP شخصی که بیشتر از تعداد دفعات تعریف شده، ورود ناموفق داشته باشد، مسدود خواهد شد.

پیشوند جدول‌های دیتابیس را تغییر دهید

یکی از مهمترین عوامل تهدید کننده امنیت وردپرس، روش تزریق SQL یا SQL Injection است. در این روش، هکرها با پیدا کردن فرم‌هایی که اطلاعات را مستقیما به دیتابیس ارسال می‌کنند، تلاش می‌کنند دستورات خاصی را وارد دیتابیس کنند تا از طریق آن، بتوانند داده‌های حساس یا دسترسی برای خود ایجاد کنند و امنیت سایت را تهدید کنند. البته تغییر پیشوند جدول‌های دیتابیس به صورت کامل جلوی این مشکل را نمی‌گیرد؛ اما شانس رخ دادن آن را به حداقل می‌رساند.

اضافه کردن قابلیت احراز هویت دومرحله‌ای

اگر به امنیت سایت وردپرسی خود اهمیت ویژه‌ای می‌دهید، می‌توانید برای مدیران و افرادی که دسترسی‌هایی بیشتر از کاربران عادی دارند، قابلیت احراز هویت دومرحله‌ای را فعال کنید. در این حالت، علاوه بر لزوم وارد کردن نام کاربری یا ایمیل و کلمه عبور، نیاز است کاربر کد تایید دریافت شده در ایمیل خود را نیز ارائه دهد تا امکان ورود به پنل سایت را کسب کند. در نتیجه، زمانی که فردی غیرمجاز از ایمیل و پسورد شخصی استفاده کند، نمی‌تواند به ایمیل دسترسی پیدا کرده و کد تایید را وارد کند.

غیرفعال کردن REST API و XML-RPC (در صورت عدم نیاز)

در وردپرس، دو قابلیت به نام REST API و XML-RPC برای اتصال سایت به اپلیکیشن‌ها و سرویس‌های خارجی وجود دارند. REST API امکان تبادل اطلاعات از طریق آدرس‌های خاص را فراهم می‌کند و برای ساخت اپلیکیشن‌های موبایلی از سایت (PWA) یا نمایش محتوا در سایت‌های دیگر استفاده می‌شود. XML-RPC نیز یک راه ارتباطی قدیمی‌تر است که اجازه می‌دهد از راه دور، مطالب منتشر یا اطلاعاتی به سایت ارسال شود.

با وجود کاربردهای مفیدی که REST API و XML-RPC دارند، هر دو می‌توانند تهدیدی بالقوه برای امنیت سایت باشند. REST API ممکن است اطلاعات کاربران را بدون احراز هویت به نمایش بگذارد و XML-RPC نیز امکان اجرای حملات Brute Force با ارسال هزاران درخواست در زمانی اندک را فراهم می‌کند. این آسیب‌پذیری‌ها می‌توانند باعث دسترسی غیرمجاز، افشای اطلاعات یا حتی از کار افتادن سایت شوند و امنیت اطلاعات کاربران و مدیران سایت را به خطر بیندازند.

در صورتی که استفاده‌ای از این دو قابلیت کاربردی اما تهدیدآمیز وردپرس ندارید، بهتر است آنها را غیرفعال کنید تا از آسیب‌ها و حملات احتمالی جلوگیری کنید.

غیرفعال کردن ویرایشگر سایت در داشبورد

اگر همین الان وارد داشبورد وردپرس شوید و نشانگر موس را روی گزینه نمایش در ستون کناری ببرید، آخرین گزینه با نام ویرایشگر پرونده جا خوش کرده است! این ویرایشگر، امکان ایجاد تغییرات در فایل‌ها و اسکریپت‌های وردپرس، قالب، افزونه‌ها و در نهایت کل سایت را فراهم می‌کند. در صورتی که یک هکر یا فرد غیرمجاز بتواند وارد پنل وردپرس شده و این فایل‌ها را تغییر دهد، می‌تواند با اجرای یک اسکریپت مخرب یا حذف دسترسی مدیران سایت، مشکلات زیادی ایجاد کند. در نتیجه بهتر است این قابلیت را برای بهبود امنیت سایت وردپرسی خود غیرفعال کنید!

بهترین افزونه‌های امنیت وردپرس

غیرممکن است درباره وردپرس صحبت کنیم و حرفی از بهترین افزونه‌های آن برای کاربردهای مرتبط زده نشود؛ اما قبل از آن، بهتر است نکاتی را درباره این افزونه‌ها بدانید.

اکثر کارهایی که این افزونه‌ها در سایت شما انجام می‌دهند، توسط شرکت‌های ارائه دهنده فضای میزبانی سایت نیز ارائه می‌شوند؛ زیرا در صورت هک شدن سایت شما و دسترسی هکر به هاست اشتراکی سایت، تمام سایت‌هایی که در آن سرور هستند نیز امکان آلودگی و نشت اطلاعات را دارند. در نتیجه، بسیاری از شرکت‌های هاستینگ اقدام به ارائه برخی از خدمات امنیت سایت نظیر فایروال، مانیتورینگ سرور و خدمات پیشگیرانه در لایه سرور کرده‌اند! بسیاری از این خدمات به صورت رایگان ارائه می‌شوند و در صورتی که نیاز شما را پوشش می‌دهند، نیازی به تهیه افزونه‌های امنیتی وردپرس نخواهید داشت. البته نوع سایت و هدف آن نیز اهمیت زیادی دارد.

از بحث اصلی دور نشویم. در وردپرس افزونه‌های امنیتی زیادی وجود دارند که هرکدام دارای مزایا و امکانات خاص خودشان هستند. در لیست زیر بهترین افزونه‌های امنیت وردپرس را براساس تعداد نصب‌های فعال و میانگین امتیازها را جمع کرده‌ایم!

• افزونه Wordfence: امتیاز 4.7 از 5 با +5 میلیون نصب فعال
• افزونه Solid Security (قبلا با نام Ithemes Security فعال بود): امتیاز 4.6 از 5 با +800 هزار نصب فعال
• افزونه All in One WP Security: امتیاز 4.7 از 5 با +1 میلیون نصب فعال
• افزونه Security Optimizer: نمره 4.6 از 5 و +1 میلین نصب فعال

چطور تبدیل به یک متخصص امنیت وردپرس شویم؟

برای تبدیل شدن به یک متخصص امنیت وردپرس، مسیری پر از چالش و پیچیدگی‌های جذاب در انتظار شما خواهد بود. در این مسیر، شما باید توانایی تشخیص انواع حملات مخرب در سایت‌های وردپرسی را کسب کنید تا بتوانید با استفاده از ابزارها و تکنیک‌های مناسب، از بروز آنها جلوگیری کنید.

این کار با استفاده از ابزارهایی نظیر افزونه‌های امنیت وردپرس و ایجاد تغییرات در فایل‌های وردپرس انجام خواهد شد. در مراحل بعد، می‌توانید مهارت‌های خود در زمینه تشخیص حفره‌های امنیتی، ابزارنویسی و ایجاد امکانات جدید برای بهبود امنیت سایت وردپرسی معطوف کنید و خود را به عنوان یک متخصص امنیت در وردپرس به بازار کار معرفی کنید!

اما در هر حال، اولین قدم از این مسیر را باید به یادگیری وردپرس اختصاص دهید! به خوبی با کدهای آن، ساختار فایل‌ها، افزونه‌ها و قالب‌ها آشنا شوید و به مرور، توانایی ایجاد تغییرات سازنده در آنها را کسب کنید! دوره آموزش وردپرس آکادمی سبزلرن، همه مباحثی که باید درباره وردپرس یاد بگیرید را در یک دوره واقعا جامع بدست می‌آورید!