آيا وردپرس امن است؟ ببينيم دادهها چه ميگويند
وردپرس با اختلاف محبوبترين راه ساختن يك وب سايت است. اين محبوبيت متاسفانه عوارضي را نيز در كنار خود دارد و سايتهاي وردپرس را به هدفي جذاب براي آنهايي كه در تمام دنيا دنبال ضرر رساندن هستند تبديل كرده است. اين ممكن است باعث شود فكر كنيد كه آيا وردپرس براي مديريت اين حملهها به قدر كافي امن است يا خير و امنيت سايت وردپرس چگونه است.
در ابتدا با خبري بد آغاز ميكنيم: هر سال صدها هزار سايت وردپرس هك ميشوند.
به نظر ترسناك ميرسد درست است؟ اما نه زياد. چون خبرهاي خوبي هم وجود دارند:
حملهي هكرها به دليل آسيبپذيري آخرين نرمافزار هستهاي وردپرس نيست. اكثر سايتها به دليل مشكلاتي كه كاملا قابل پيشگيري هستند، هك ميشوند. مانند بهروز رساني نكردن يا استفاده از كلمه عبورهاي ناامن.
در نتيجه پاسخ به اين سوال كه « آيا وردپرس امن است؟ » به نكات ريز و ظريفي نياز دارد.
براي اين كار، موضوع را از چند زاويه مختلف پوشش ميدهيم:
- آماري در خصوص اين كه سايتهاي وردپرس در واقع چگونه هك شدند تا بفهميم آسيبپذيريهاي امنيتي كجا هستند.
- نحوه حل مشكلات امنيتي توسط تيم اصلي وردپرس تا بدانيد چه كساني، در حوزه امنيت در چه چيزي مسئول هستند.
- اين كه آيا هنگامي كه بهترين روشها را به كار ميگيريد وردپرس امن است و خواهيد دانست كه وبسايت شما نيز امن خواهد بود؟
وبسايتهاي وردپرس چگونه هك ميشوند؟ (طبق دادهها)
خب، شما ميدانيد كه سالانه وبسايتهاي وردپرسي بسياري هك ميشوند. اما، اين اتفاق چگونه رخ ميدهد؟ آيا يك مشكل جهاني در وردپرس است؟ يا موضوع از فعاليتهاي وبمسترها ناشي ميشود؟
در ادامه دليل هك شدن اغلب سايتهاي وردپرسي با توجه به دادههاي جمعآوري شده، آورده شده است.
منقضي شدن نرمافزار اصلي
در اينجا يك همبستگي پيشبيني شدهاي با گزارش ۲۰۱۷ سوكوري از وبسايتهاي هك شده وجود دارد. بين تمام سايتهاي هك شده وردپرس، سوكوري نگاهي داشته به ۳۹.۳درصد آنها كه تاريخ نرمافزار اصلي وردپرسشان در زمان وقوع حادثه منقضي شده بوده است.
پس شما بلافاصله ميتوانيد رابطه نزديك بين هك شدن و استفاده از يك نرمافزار تاريخ گذشته را ببينيد. اما اين موضوع پيشرفت قابل ملاحظهاي از سال ۲۰۱۶ داشته كه اين آمار ۶۱ درصد بوده است.
طبق پايگاهداده آسيبپذيري WPScan، حدود ۷۴درصد آسيبپذيريهاي شناخته شده، در نرمافزار اصلي وردپرس بودهاند. اما نكته تعجبآور اينجاست: نسخههايي كه بيشترين آسيبپذيري را داشتهاند به وردپرس X.۳ بازميگردد.
اما متاسفانه تنها ۶۲ درصد از سايتهاي وردپرس از آخرين نسخه استفاده ميكنند كه باعث ميشود بسياري از سايتها همچنان نسبت به هكرها، آسيبپذير باشد در حالي كه اين امر قابل پيشگيري است.
در نهايت ميتوانيد اين ارتباط را يك بار ديگر با آسيبپذيري اساسي وردپرس REST API در فوريه ۲۰۱۷ ببينيد. جايي كه صدها هزار سايت با مشكل روبهرو شدند.
وردپرس ۴.۷.۱ شامل ايرادهاي ميشد كه براي آسيب زدن به آن سايتها مورد استفاده قرار گرفتند. اما چند هفته پيش از آنكه از آن عيب و ايرادها سوءاستفاده شود، وردپرس ۴.۷.۲ ارائه شد تا تمام نواقص را رفع كند.
تمام مالكان سايتهاي وردپرسي كه بخشهاي امنيت اتوماتيك را غيرفعال نكرده بودند يا بيدرنگ به نسخه جديد وردپرس بهروز رساني كرده بودند، در اما ماندند. اما كساني كه از بهروز رساني استفاده كردند به مشكل خوردند.
نكته:تيم امنيتي وردپرس در خصوص رفع مشكلات در نرمافزار اصلي وردپرس و امنيت سايت وردپرس ، بسيار خوب كار ميكند. اگر شما به موقع تمام بهروز رسانيهاي امنيتي را به كار بگيريد، احتمال اينكه سايت شما با مشكلي به علت آسيبپذيريهاي هستهاي روبهرو شود،كم است. اما اگر اين كار را نكنيد، وقتي ويروسي وارد كار شود، شما ريسك كردهايد.
تمها يا افزونههاي تاريخ گذشته
يكي از چيزهايي كه افراد در خصوص وردپرس خيلي دوست دارند، آرايش گيجكننده تمها(پوسته) و افزونههاي آن است. در زمان نوشتن اين مطلب، بيش از ۵۶ هزار مورد در مخزن وردپرس و هزاران افزونه پرميوم ديگر در اينترنت پخش شدهاند.
با اين كه اينها گزينههاي عالي جهت گسترش سايت شما هستند، هر بسط ، مسير بالقوه جديدي براي يك هكر است. در حالي كه غالب توسعهگران وردپرس در خصوص دنبال كردن استانداردهاي كدي و استفاده سريع از هر بهروز رساني خوب عمل ميكنند، همچنان چند مشكل بالقوه وجود دارد:
- يك تم يا افزونه آسيبپذيري دارد و چون برخلاف نرمافزار هستهاي وردپرس نظارتهاي زيادي دريافت نميكند، اين آسيبپذيري ناشناخته ميماند.
- توسعهدهنده ،كار روي آن بسط را متوقف كرده ، اما افراد همچنان از آن استفاده ميكنند.
- توسعهدهنده ، به سرعت مشكل را پيدا ميكند ، اما ديگران بهروز رساني را انجام نميدهند.
مشكل چقدر اساسي است؟
در گزارشي از Wordfence در خصوص مالكان سايتهاي هك شده، بيش از ۶۰ درصد آنها ميدانند كه هكر چگونه با استفاده از ويژگي آسيبپذيري يك تم يا افزونه وارد شده است.
به طور مشابه در گزارش ۲۰۱۶ سوكوري، تنها ۳ افزونه براي بيش از ۱۵ درصد سايتهاي هك شدهي مورد بررسي ، مقصر شناخته شدند.
نكته شوكه كننده اما اينجاست:
آسيبپذيري اين افزونهها مدتها بوده كه شناخته شده ، اما مالكان سايتها تنها افزونه را جهت حفاظت از سايت خود بهروز رساني نكرده بودند.
نكته: تمها و افزونههاي وردپرس فرانويسهاي را ايجاد ميكنند و باعث ميشوند سايت وردپرس شما به روي هكرها باز شود و امنيت سايت وردپرس شما به خطر بيافتد. با اين حال بخش اعظم اين ريسك را ميتوان با استفاده از بهترين شيوهها متوقف كرد. افزونههاي خود را بهروز نگه داريد و آنها را تنها از منابع قابل اعتماد نصب كنيد.
همچنين بايد انجمنهاي گواهي عمومي همگاني (GPL) افزونه پرميوم وردپرس را دريافت كنيد. در حالي كه وردپرس تحت GPL گواهي گرفته و اين عالي است و يكي از دلايلي است كه ما وردپرس را دوست داريم، خريدار بايد آگاه باشد. به اين افزونهها گاه افزونه تهي نيز اطلاق ميشود.
خريد افزونه از انجمنهاي GPL به اين معناست كه شما داريد به يك شخص ثالث اعتماد ميكنيد كه آخرين نسخه بهروز رسانيها را از توسعه دهنده دريافت كند و اكثر مواقع شما هيچ پشتيباني دريافت نميكنيد. دريافت بهروز رسانيهاي افزونه از توسعهدهنده ، ايمنترين مسير است. همچنين ما طرفدار توسعهدهندگان و كار سخت آنها هستيم!
براي مطالعه ادامه متن به امنيت سايت وردپرس مراجعه كنيد.