آيا وردپرس امن است؟ ببينيم داده‌ها چه مي‌گويند

وردپرس با اختلاف محبوب‌ترين راه ساختن يك وب سايت است. اين محبوبيت متاسفانه عوارضي را نيز در كنار خود دارد و سايت‌هاي وردپرس را به هدفي جذاب براي آن‌هايي كه در تمام دنيا دنبال ضرر رساندن هستند تبديل كرده است. اين ممكن است باعث شود فكر كنيد كه آيا وردپرس براي مديريت اين حمله‌ها به قدر كافي امن است يا خير و امنيت سايت وردپرس چگونه است.

در ابتدا با خبري بد آغاز مي‌كنيم: هر سال صدها هزار سايت وردپرس هك مي‌شوند.

به نظر ترسناك مي‌رسد درست است؟ اما نه زياد. چون خبرهاي خوبي هم وجود دارند:

حمله‌ي هكرها به دليل آسيب‌پذيري آخرين نرم‌افزار هسته‌اي وردپرس نيست. اكثر سايت‌ها به دليل مشكلاتي كه كاملا قابل پيش‌گيري هستند، هك مي‌شوند. مانند به‌روز رساني نكردن يا استفاده از كلمه عبورهاي ناامن.

در نتيجه پاسخ به اين سوال كه « آيا وردپرس امن است؟ » به نكات ريز و ظريفي نياز دارد.

براي اين كار، موضوع را از چند زاويه مختلف پوشش مي‌دهيم:

• آماري در خصوص اين كه سايت‌هاي وردپرس در واقع چگونه هك شدند تا بفهميم آسيب‌پذيري‌هاي امنيتي كجا هستند.
• نحوه حل مشكلات امنيتي توسط تيم اصلي وردپرس تا بدانيد چه كساني، در حوزه امنيت در چه چيزي مسئول هستند.
• اين كه آيا هنگامي كه بهترين روش‌ها را به كار مي‌گيريد وردپرس امن است و خواهيد دانست كه وبسايت شما نيز امن خواهد بود؟

وبسايت‌هاي وردپرس چگونه هك مي‌شوند؟ (طبق داده‌ها)

خب، شما مي‌دانيد كه سالانه وبسايت‌هاي وردپرسي بسياري هك مي‌شوند. اما، اين اتفاق چگونه رخ مي‌دهد؟ آيا يك مشكل جهاني در وردپرس است؟ يا موضوع از فعاليت‌هاي وب‌مسترها ناشي مي‌شود؟

در ادامه دليل هك شدن اغلب سايت‌هاي وردپرسي با توجه به داده‌هاي جمع‌آوري شده، آورده شده است.

منقضي شدن نرم‌افزار اصلي

در اينجا يك همبستگي پيش‌بيني شده‌اي با گزارش ۲۰۱۷ سوكوري از وبسايت‌هاي هك شده وجود دارد. بين تمام سايت‌هاي هك شده وردپرس، سوكوري نگاهي داشته به ۳۹.۳درصد آن‌ها كه تاريخ نرم‌افزار اصلي وردپرسشان در زمان وقوع حادثه منقضي شده بوده است. 

پس شما بلافاصله مي‌توانيد رابطه نزديك بين هك شدن و استفاده از يك نرم‌افزار تاريخ گذشته را ببينيد. اما اين موضوع پيشرفت قابل ملاحظه‌اي از سال ۲۰۱۶ داشته كه اين آمار ۶۱ درصد بوده است.

طبق پايگاه‌داده آسيب‌پذيري WPScan، حدود ۷۴درصد آسيب‌پذيري‌هاي شناخته شده، در نرم‌افزار اصلي وردپرس بوده‌اند. اما نكته تعجب‌آور اينجاست: نسخه‌هايي كه بيشترين آسيب‌پذيري را داشته‌اند به وردپرس X.۳ بازمي‌گردد.

اما متاسفانه تنها ۶۲ درصد از سايت‌هاي وردپرس از آخرين نسخه استفاده مي‌كنند كه باعث مي‌شود بسياري از سايت‌ها همچنان نسبت به هكرها، آسيب‌پذير باشد در حالي كه اين امر قابل پيش‌گيري است.

در نهايت مي‌توانيد اين ارتباط را يك بار ديگر با آسيب‌پذيري اساسي وردپرس REST API در فوريه ۲۰۱۷ ببينيد. جايي كه صدها هزار سايت با مشكل روبه‌رو شدند.

وردپرس ۴.۷.۱ شامل ايرادهاي مي‌شد كه براي آسيب زدن به آن سايت‌ها مورد استفاده قرار گرفتند. اما چند هفته پيش از آن‌كه از آن عيب و ايرادها سوءاستفاده شود، وردپرس ۴.۷.۲ ارائه شد تا تمام نواقص را رفع كند.

تمام مالكان سايت‌هاي وردپرسي كه بخش‌هاي امنيت اتوماتيك را غيرفعال نكرده بودند يا بي‌درنگ به نسخه جديد وردپرس به‌روز رساني كرده بودند، در اما ماندند. اما كساني كه از به‌روز رساني استفاده كردند به مشكل خوردند.

نكته:تيم امنيتي وردپرس در خصوص رفع مشكلات در نرم‌افزار اصلي وردپرس و امنيت سايت وردپرس ، بسيار خوب كار مي‌كند. اگر شما به موقع تمام به‌روز رساني‌هاي امنيتي را به كار بگيريد، احتمال اينكه سايت شما با مشكلي به علت آسيب‌پذيري‌هاي هسته‌اي روبه‌رو شود،كم است. اما اگر اين كار را نكنيد، وقتي ويروسي وارد كار شود، شما ريسك كرده‌ايد.

تم‌ها يا افزونه‌هاي تاريخ گذشته

يكي از چيزهايي كه افراد در خصوص وردپرس خيلي دوست دارند، آرايش گيج‌كننده تم‌ها(پوسته) و افزونه‌هاي آن است. در زمان نوشتن اين مطلب، بيش از ۵۶ هزار مورد در مخزن وردپرس و هزاران افزونه پرميوم ديگر در اينترنت پخش شده‌اند.

با اين كه اين‌ها گزينه‌هاي عالي جهت گسترش سايت شما هستند، هر بسط ، مسير بالقوه جديدي براي يك هكر است. در حالي كه غالب توسعه‌گران وردپرس در خصوص دنبال كردن استانداردهاي كدي و استفاده سريع از هر به‌روز رساني خوب عمل مي‌كنند، همچنان چند مشكل بالقوه وجود دارد:

• يك تم يا افزونه آسيب‌پذيري دارد و چون برخلاف نرم‌افزار هسته‌اي وردپرس نظارت‌هاي زيادي دريافت نمي‌كند، اين آسيب‌پذيري ناشناخته مي‌ماند.
• توسعه‌دهنده ،كار روي آن بسط را متوقف كرده ، اما افراد همچنان از آن استفاده مي‌كنند.
• توسعه‌دهنده ، به سرعت مشكل را پيدا مي‌كند ، اما ديگران به‌روز رساني را انجام نمي‌دهند.

مشكل چقدر اساسي است؟

در گزارشي از Wordfence در خصوص مالكان سايت‌هاي هك شده، بيش از ۶۰ درصد آن‌ها مي‌دانند كه هكر چگونه با استفاده از ويژگي آسيب‌پذيري يك تم يا افزونه وارد شده است.

به طور مشابه در گزارش ۲۰۱۶ سوكوري، تنها ۳ افزونه براي بيش از ۱۵ درصد سايت‌هاي هك شده‌ي مورد بررسي ، مقصر شناخته شدند.

نكته شوكه كننده اما اينجاست:

آسيب‌پذيري اين افزونه‌ها مدت‌ها بوده كه شناخته شده ، اما مالكان سايت‌ها تنها افزونه را جهت حفاظت از سايت خود به‌روز رساني نكرده بودند.

نكته: تم‌ها و افزونه‌هاي وردپرس فرانويسه‌اي را ايجاد مي‌كنند و باعث مي‌شوند سايت وردپرس شما به روي هكرها باز شود و امنيت سايت وردپرس شما به خطر بيافتد. با اين حال بخش اعظم اين ريسك را مي‌توان با استفاده از بهترين شيوه‌ها متوقف كرد. افزونه‌هاي خود را به‌روز نگه داريد و آن‌ها را تنها از منابع قابل اعتماد نصب كنيد.

همچنين بايد انجمن‌هاي گواهي عمومي همگاني (GPL) افزونه پرميوم وردپرس را دريافت كنيد. در حالي كه وردپرس تحت GPL گواهي گرفته و اين عالي است و يكي از دلايلي است كه ما وردپرس را دوست داريم، خريدار بايد آگاه باشد. به اين افزونه‌ها گاه افزونه تهي نيز اطلاق مي‌شود.

خريد افزونه از انجمن‌هاي GPL به اين معناست كه شما داريد به يك شخص ثالث اعتماد مي‌كنيد كه آخرين نسخه به‌روز رساني‌ها را از توسعه دهنده دريافت كند و اكثر مواقع شما هيچ پشتيباني دريافت نمي‌كنيد. دريافت به‌روز رساني‌هاي افزونه از توسعه‌دهنده ، ايمن‌ترين مسير است. همچنين ما طرفدار توسعه‌دهندگان و كار سخت آن‌ها هستيم!

براي مطالعه ادامه متن به امنيت سايت وردپرس مراجعه كنيد.