آیا وردپرس امن است؟ بررسی امنیت وردپرس بر اساس آمار

واقعیت این است که همه سایت‌ها و سیستم‌های مدیریت محتوا (CMS) در معرض هک شدن هستند اما هر سیستم حتی یک سایت با کدنویسی اختصاصی نیز به مجموعه‌ای از اقدامات امنیتی نیاز دارد. البته این فرایند پیوسته و مستمر است و نباید هیچ گاه از افزایش امنیت سایت خود دست بردارید. اگر شما هم سایت وردپرسی دارید و نگران هک شدن آن هستید با رعایت چک لیست افزایش امنیت وردپرس می‌توانید از سایت خود محافظت کنید. در ادامه می‌گوییم که به راستی وردپرس امن است یا خیر و راه‌هایی که می‌توانید سایت خود را امن کنید را نیز ارائه می‌دهیم.

کدام CMS بیشتر در معرض خطر هک است؟

آیا وردپرس تا به حال هک شده است؟ گزارش سالانه سایت Sucuri نشان می‌دهد که وردپرس متداول‌ترین سیستم مدیریت محتوا و همیشه مورد نظر هکرها بوده است؛ حدود 95.2% از آلودگی‌های شناخته شده، مربوط به سایت‌های وردپرسی بوده است. البته این مساله به این معنی نیست که وردپرس ذاتا آسیب‌پذیر است بلکه بیشتر نشان می‌دهد که وردپرس پرطرفدارترین سیستم مدیریت محتوا است. این آمار که در تصویر هم می‌بینید نشان می‌دهد به ترتیب CMS های جوملا، مجنتو، دروپال و اپن کارت در رتبه‌های بعدی قرار دارند.

بدافزارها؛ رایج‌ترین حملات وردپرس

اما هنوز سوال این است که آیا وردپرس امن است؟ پاسخ این است که وردپرس امن است اما اگر آسیب پدیری‌های آن را نشناسید می‌تواند به یک سیستم غیر امن تبدیل شود. بدافزارها (Malwares) یکی از رایج‌ترین انواع هک هستند و بر اساس آمار سایت Sucuri نشان می‌دهد که 72.72% از حملات مربوط به بدافزارها هستند و سایر حملات به ترتیب مربوط به بک دورها، SEO spam، ابزار هک و فیشینگ‌ها هستند. بدافزارها و بک دورها معمولا در قالب‌ها و افزونه‌های وردپرسی یافت می‌شوند.

وردپرس بیشتر از چه طریق هک می‌شود؟

بیشترین ریسک‌های امنیتی از پلاگین‌های وردپرسی ناشی می‌شود. توسعه‌دهندگان متنوع به عنوان افراد شخص ثالث، مسئول حفاظت از امنیت شما هستند بر اساس گزارش سایت وردفنس حدود 56% از آسیب‌پذیری‌های وردپرسی مربوط به افزونه‌ها هستند. آسیب‌پذیری افزونه‌‌ها با آپدیت به موقع حل می‌شود پس حتما افزونه‌ها را از یک سایت معتبر مثل کدکنیون یا مارکت‌های ایرانی معتبر مثل راست چین تهیه کنید. در تصویر سایر روش‌های هک وردپرس را با هم می‌بینید که بروت فورس (Brute Force) در رتبه بعدی را دارد. در ادامه توضیح بیشتری درباره این روش‌ها و جلوگیری از آنها می‌گوییم.

1. امنیت هسته وردپرس

آمار نشان می‌دهد که هسته وردپرس بسیاری از سایت‌های هک شده به روز نشده‌اند. اما از نسخه 4.0 به بعد وردپرس تعداد آسیب پذیری‌ها کاهش یافته است؛ در واقع بر اساس گزارشات، وردپرس در میان سایر سیستم‌های مدیریت محتوا کمترین میزان هک را از نظر آپدیت نبودن هسته وردپرس داشته است که این نشان دهنده عملکرد درست آن است. زیرا در سال‌های اخیر و با ارائه ورژن‎‌های جدیدتر وردپرس، این درصد نیز کمتر شده است.

2. افزونه‌ها و قالب‌های وردپرسی

ییشنهاد می‌کنم پلاگین‌ها و قالب‌ها را از جای معتبر تهیه کنید، زیرا بسیاری از هکرها از طریق آسیب پذیری‌های افزونه‌ها به سایت شما دسترسی پیدا می‌کنند. بسیاری از سایت‌ها، افزونه‌های پولی را به صورت رایگان در اختیار کاربران قرار می‌دهند؛ مشکلی که این سایت‌ها دارند آپدیت منظمی برای افزونه‌ها ارائه نداده و همین عدم آپدیت و رفع مشکلات آنها به نفوذ هکرها کمک می‌کند. به‌علاوه ممکن است بعضی از افراد سودجو هنگام ارائه پلاگین‌ها و قالب‌ها کدهای مخرب یا بک دورهایی قرار دهند تا از آن به عنوان نفوذ به سایت شما استفاده کنند. در واقع آمار نشان می‌دهد که بیشترین دلیل هک سایت‌های وردپرسی عدم آپدیت آنها توسط صاحب سایت است. بر اساس آمار سایت وردفنس، بیش از 60% افراد هک سایت خود را افزونه و قالب آلوده نسبت داده‌اند.

نکته: برای امنیت افزونه وردپرس، پلاگین‌های بدون استفاده را حذف کنید زیرا عدم آپدیت و رفع آسیب‌پذیری‌های آنها می‌تواند یک خطر امنیتی بالقوه باشد. این افزونه‌ها عملکرد و سرعت سایت شما را کاهش می‌دهند.

در تصویر زیر سهم آسیب‌پذیری‌های امنیتی وردپرس را برای قالب، افزونه و هسته وردپرس از منظر دیگر می‌بینید. در واقع افزونه‌های وردپرسی همانطور که در نمودار قبل هم مشاهده کردید بیشترین محل آسیب پذیری وردپرس هستند.

3. ورژن پایین PHP هاست؛ یکی از دلایل هک وردپرس

یکی دیگر از دلایلی که امنیت سایت شما را به خطر می‌اندازد نسخه PHP پایین هاست است که هنوز بسیاری از سایت‌ها از آن استفاده می‌کنند

دلایل هک سایت وردپرسی و راه حل آنها

در ادامه مجموعه‌ای از عواملی که روی هک وردپرس تاثیر دارند را آورده‌ و برای اینکه بدانید چگونه وردپرس را امن کنیم راهکار هر مشکل را در زیر آن توضیح داده‌ایم.

⚠️ هاست غیر ایمن

بعضی از شرکت‌های هاستینگ امن نیستند و این باعث می‌شود تمام سایت‌هایی که روی این هاستینگ قرار دارند در برابر هکرها آسیب پذیر شوند.

راهکار : انتخاب یک ارائه دهنده هاست ایمن که رایج‌ترین حملات به سایت‌های وردپرسی را مسدود می‌کند؛ به‌علاوه می‌توانید برای طراحی سایت خود از یک هاست وردپرس استفاده کنید که برای این سیستم مدیریت محتوا بهینه شده است.

⚠️ استفاده از پسوردهای ضعیف

پسوردها اولین دروازه ورود هکرها هستند و استفاده از رمز عبور ضعیف باعث می‌شود که هکرها با اولین تلاش بتوانند رمز عبور را بشکنند.

راهکار امنیتی: برای ورود به همه حساب‌های خود یعنی پیشخوان مدیریت وردپرس، پنل هاست، حساب‌های FTP، اکانت پایگاه داده و ایمیل خود یک رمز عبور قدرتمند، پیچیده و منحصر به فرد تنظیم کنید.

⚠️ دسترسی محافظت نشده به پیشخوان وردپرس wp-admin

پیشخوان وردپرس رایج‌ترین بخش وردپرس است که مورد حمله قرار می‌گیرد و هکرها با روش‌های مختلف می‌توانند به آن دسترسی داشته باشند.

راهکار امنیتی: اولین لایه برای محافظت از پیشخوان وردپرس یا wp-admin، افزودن امکان احراز هویت (Two-step authentication) است. احراز هویت یک لایه اضافی و یک رمز عبور دوم اضافه می‌کند که هر کسی بخواهد به سایت شما وارد شود باید یک رمز عبور اضافی ارائه دهد. با اضافه کردن احراز هویت دو عاملی (2AF) ورود هکرها به سایت شما دشوار می‌شود؛ به خصوص اگر سایت شما چند کاربره است.

⚠️ مجوز نادرست برای فایل‌ها

مجوزها دسترسی به فایل‌های شما را کنترل می‌کنند و اگر این مجوزها به درستی تخصیص داده نشده باشند هکرها امکان تغییر و حذف این فایل‌ها را خواهند داشت. مجوز همه فایل ها باید 644 و مجوز پوشه‌ها باید 755 باشد.

راهکار امنیتی: مجوزهای فایل‌های هاست را به درستی تخصیص دهید.

⚠️ عدم به روزرسانی هسته وردپرس

ممکن است به عنوان یک کاربر که سایت وردپرسی دارد فکر کنید با آپدیت وردپرس سایت شما به هم بریزد یا خراب می‌شود. با هر آپدیت وردپرس، نسخه جدید بخشی‌ها از باگ‌های امنیتی این CMS را برطرف کرده و عدم آپدیت وردپرس سایت شما را آسیب پذیر می‌کند.

راهکار امنیتی: قبل از آپدیت هسته وردپرس حتما از سایت‌تان بکاپ کامل تهیه کنید (با افزونه داپلکیتور می‌توانید در چند دقیقه از کل سایت‌تان بکاپ بگیرید تا اگر مشکلی به وجود آمد بتوانید سایت خود را برگردانید.)

⚠️ آپدیت نکردن افزونه‌ها و قالب‌ها

به روزرسانی قالب و افزونه‌ها هم به اندازه وردپرس اهمیت دارد؛ زیرا پلاگین‌های قدیمی سایت شما را آسیب پذیر می‌کنند. با توجه به اینکه توسعه دهندگان اشخاص ثالث و خارج از تیم وردپرس هستند، با وجود همه بررسی های کیفی ممکن است برخی نقص‌ها و باگ‌های امنیتی در افزونه‌ها پیدا شوند. به مرور طراح قالب یا افزونه این آسیب پذیری‌ها را شناسایی و برطرف می‌کند. اگر افزونه به روز نشود این مشکلات برطرف نمی‌شوند.

راهکار امنیتی: افزونه و قالب را از یک مرکز معتبر خریداری کرده و برای امنیت افزونه و قالب وردپرس به موقع و منظم آنها را بروزرسانی کنید.

⚠️ استفاده از FTP ساده به جای SFTP / SSH

FTP یکی از روش‌های انتقال مستقیم و سریع فایل به هاست شما است؛ تفاوت پروتکل SFTP و SSH با FTP در این است که این دو برخلاف FTP از یک کانال امن برای انتقال اطلاعات استفاده می‌کنند.

راهکار امنیتی: برای یک انتقال امن‌تر از SFTP به جای FTP استفاده کنید.

⚠️ استفاده از نام کاربری Admin

با توجه به اینکه نام کاربری پیش فرض وردپرس ادمین است و همه هکرها آن را می‌دانند استفاده از آن، امکان دسترسی به پیشخوان وردپرس شما را بالا می‌برد.

راهکار افزایش امنیت وردپرس: به هیچ عنوان از کلمه Admin به عنوان نام کاربری استفاده نکنید و نام کاربری پیش فرض را به سرعت از بخش کاربران در مدیریت وردپرس تغییر دهید.

⚠️ قالب‌ها و پلاگین‌های نال شده

بسیاری از سایت‌ها، پلاگین‌های پولی را به صورت رایگان توزیع می‌کنند. اما پیشنهاد می‌کنم که از این پلاگین‌ها و تم‌های نال شده (Nulled Theme) استفاده نکنید. دانلود افزونه‌ها و قالب‌های نال شده از منابع نامعتبر، بسیار خطرناک است زیرا ممکن علاوه بر به خطر انداختن امنیت سایت ممکن است منجر به سرقت اطلاعات حساس نیز شود.

راهکار امنیتی: حتما از مارکت‎‌های معتبر و یا مخزن وردپرس (wordpress.org) تم خود را تهیه کنید.

⚠️ فایل wp-config.php محافظت نشده

فایل wp-config.php حاوی مجموعه‌ای از اطلاعات برای ورود به پایگاه داده وردپرس است و اگر هکر به آن دسترسی پیدا کند می‌تواند به سایت شما دسترسی کامل پیدا کند.

راهکار امنیتی : با استفاده از فایل htaccess می‌توانید دسترسی به این فایل را محدود کنید. با افزودن کد زیر به فایل htaccess و یک لایه امنیتی اضافی می‌توانید از دسترسی به فایل wp config جلوگیری کنید.

<files wp-config.php>
order allow,deny
deny from all
</files>

نکته: به جز افزایش امنیت وردپرس از طریق فایل htacces، راهکارهای دیگری برای امن کردن این فایل خواهید داشت.

⚠️ عدم تغییر پیشوند جداول وردپرس

وردپرس به طور پیش فرض از wp_ برای پیشوند جداول پایگاه داده استفاده می‌کند. عدم تغییر پیشوند جداول، امنیت سایت شما را پایین می‌آورد و استفاده از پیشوندهای پیچیده دسترسی به جداول دیتابیس را برای هکرها سخت می‌کند.

راهکار افزایش امنیت وردپرس: هنگام نصب وردپرس می‌توانید این پیشوندها را تغییر دهید اما اگر در آن زمان پیشوند را تغییر ندادید، بعدا و با استفاده از افزونه‌های امنیتی مثل وردفنس و آیتم سکوریتی می‌توانید این کار را انجام دهید. در تغییر پیشوند جداول پایگاه داده 3 روش کاربردی را برای این کار توضیح داده‌ایم.

محصول پیشنهادی

افزونه وردفنس، پلاگین wordfence به همراه کانفیگ رایگان

دسته بندی : افزونه امنیت وردپرس

7681

فروش

88%

رضایت

مشاهده و خرید

راهکار کلی برای اینکه از در صورت هک بتوانید به سایت خود دسترسی داشته باشید، گرفتن بکاپ منظم و دوره‌ای از سایت‌تان است.

در نهایت آیا وردپرس امن است؟

در این مقاله پاسخ این سوال را دادیم که آیا وردپرس امن است و چگونه آن را امن کنیم. اگر شما مانند هر سایت دیگر اقدامات امنیتی را برای سایت‌های وردپرسی انجام دهید قطعا این سیستم مدیریت محتوا امن خواهد بود. این را باید بدانید که هیچ سیستم مدیریت محتوا و یا سایتی 100% امن نیست؛ در واقع هک سایت به دلیل عدم رعایت اقدامات امنیتی اتفاق می‌افتد و اگر امنیت اولیه سایت خود را تامین و راهکارهای گفته شده را رعایت کنید، سایت شما هک نخواهد شد. امیدوارم به پاسخ سوالات خود رسیده باشید و نظرتان را در دیدگاه‌ها با ما به اشتراک بگذارید.