طراحی سایت و تولید نرم افزار تحت وب

آیا وردپرس امن است؟ ببینیم داده‌ها چه می‌گویند

وردپرس با اختلاف محبوب‌ترین راه ساختن یک وب سایت است. این محبوبیت متاسفانه عوارضی را نیز در کنار خود دارد و سایت‌های وردپرس را به هدفی جذاب برای آن‌هایی که در تمام دنیا دنبال ضرر رساندن هستند تبدیل کرده است. این ممکن است باعث شود فکر کنید که آیا وردپرس برای مدیریت این حمله‌ها به قدر کافی امن است یا خیر و امنیت سایت وردپرس چگونه است.

در ابتدا با خبری بد آغاز می‌کنیم: هر سال صدها هزار سایت وردپرس هک می‌شوند.

به نظر ترسناک می‌رسد درست است؟ اما نه زیاد. چون خبرهای خوبی هم وجود دارند:

حمله‌ی هکرها به دلیل آسیب‌پذیری آخرین نرم‌افزار هسته‌ای وردپرس نیست. اکثر سایت‌ها به دلیل مشکلاتی که کاملا قابل پیش‌گیری هستند، هک می‌شوند. مانند به‌روز رسانی نکردن یا استفاده از کلمه عبورهای ناامن.

در نتیجه پاسخ به این سوال که « آیا وردپرس امن است؟ » به نکات ریز و ظریفی نیاز دارد.

برای این کار، موضوع را از چند زاویه مختلف پوشش می‌دهیم:

• آماری در خصوص این که سایت‌های وردپرس در واقع چگونه هک شدند تا بفهمیم آسیب‌پذیری‌های امنیتی کجا هستند.
• نحوه حل مشکلات امنیتی توسط تیم اصلی وردپرس تا بدانید چه کسانی، در حوزه امنیت در چه چیزی مسئول هستند.
• این که آیا هنگامی که بهترین روش‌ها را به کار می‌گیرید وردپرس امن است و خواهید دانست که وبسایت شما نیز امن خواهد بود؟

وبسایت‌های وردپرس چگونه هک می‌شوند؟ (طبق داده‌ها)

خب، شما می‌دانید که سالانه وبسایت‌های وردپرسی بسیاری هک می‌شوند. اما، این اتفاق چگونه رخ می‌دهد؟ آیا یک مشکل جهانی در وردپرس است؟ یا موضوع از فعالیت‌های وب‌مسترها ناشی می‌شود؟

در ادامه دلیل هک شدن اغلب سایت‌های وردپرسی با توجه به داده‌های جمع‌آوری شده، آورده شده است.

منقضی شدن نرم‌افزار اصلی

در اینجا یک همبستگی پیش‌بینی شده‌ای با گزارش 2017 سوکوری از وبسایت‌های هک شده وجود دارد. بین تمام سایت‌های هک شده وردپرس، سوکوری نگاهی داشته به 39.3درصد آن‌ها که تاریخ نرم‌افزار اصلی وردپرسشان در زمان وقوع حادثه منقضی شده بوده است. 

پس شما بلافاصله می‌توانید رابطه نزدیک بین هک شدن و استفاده از یک نرم‌افزار تاریخ گذشته را ببینید. اما این موضوع پیشرفت قابل ملاحظه‌ای از سال 2016 داشته که این آمار 61 درصد بوده است.

طبق پایگاه‌داده آسیب‌پذیری WPScan، حدود 74درصد آسیب‌پذیری‌های شناخته شده، در نرم‌افزار اصلی وردپرس بوده‌اند. اما نکته تعجب‌آور اینجاست: نسخه‌هایی که بیشترین آسیب‌پذیری را داشته‌اند به وردپرس X.3 بازمی‌گردد.

اما متاسفانه تنها 62 درصد از سایت‌های وردپرس از آخرین نسخه استفاده می‌کنند که باعث می‌شود بسیاری از سایت‌ها همچنان نسبت به هکرها، آسیب‌پذیر باشد در حالی که این امر قابل پیش‌گیری است.

در نهایت می‌توانید این ارتباط را یک بار دیگر با آسیب‌پذیری اساسی وردپرس REST API در فوریه 2017 ببینید. جایی که صدها هزار سایت با مشکل روبه‌رو شدند.

وردپرس 4.7.1 شامل ایرادهای می‌شد که برای آسیب زدن به آن سایت‌ها مورد استفاده قرار گرفتند. اما چند هفته پیش از آن‌که از آن عیب و ایرادها سوءاستفاده شود، وردپرس 4.7.2 ارائه شد تا تمام نواقص را رفع کند.

تمام مالکان سایت‌های وردپرسی که بخش‌های امنیت اتوماتیک را غیرفعال نکرده بودند یا بی‌درنگ به نسخه جدید وردپرس به‌روز رسانی کرده بودند، در اما ماندند. اما کسانی که از به‌روز رسانی استفاده کردند به مشکل خوردند.

نکته:تیم امنیتی وردپرس در خصوص رفع مشکلات در نرم‌افزار اصلی وردپرس و امنیت سایت وردپرس ، بسیار خوب کار می‌کند. اگر شما به موقع تمام به‌روز رسانی‌های امنیتی را به کار بگیرید، احتمال اینکه سایت شما با مشکلی به علت آسیب‌پذیری‌های هسته‌ای روبه‌رو شود،کم است. اما اگر این کار را نکنید، وقتی ویروسی وارد کار شود، شما ریسک کرده‌اید.

تم‌ها یا افزونه‌های تاریخ گذشته

یکی از چیزهایی که افراد در خصوص وردپرس خیلی دوست دارند، آرایش گیج‌کننده تم‌ها(پوسته) و افزونه‌های آن است. در زمان نوشتن این مطلب، بیش از 56 هزار مورد در مخزن وردپرس و هزاران افزونه پرمیوم دیگر در اینترنت پخش شده‌اند.

با این که این‌ها گزینه‌های عالی جهت گسترش سایت شما هستند، هر بسط ، مسیر بالقوه جدیدی برای یک هکر است. در حالی که غالب توسعه‌گران وردپرس در خصوص دنبال کردن استانداردهای کدی و استفاده سریع از هر به‌روز رسانی خوب عمل می‌کنند، همچنان چند مشکل بالقوه وجود دارد:

• یک تم یا افزونه آسیب‌پذیری دارد و چون برخلاف نرم‌افزار هسته‌ای وردپرس نظارت‌های زیادی دریافت نمی‌کند، این آسیب‌پذیری ناشناخته می‌ماند.
• توسعه‌دهنده ،کار روی آن بسط را متوقف کرده ، اما افراد همچنان از آن استفاده می‌کنند.
• توسعه‌دهنده ، به سرعت مشکل را پیدا می‌کند ، اما دیگران به‌روز رسانی را انجام نمی‌دهند.

مشکل چقدر اساسی است؟

در گزارشی از Wordfence در خصوص مالکان سایت‌های هک شده، بیش از 60 درصد آن‌ها می‌دانند که هکر چگونه با استفاده از ویژگی آسیب‌پذیری یک تم یا افزونه وارد شده است.

به طور مشابه در گزارش 2016 سوکوری، تنها 3 افزونه برای بیش از 15 درصد سایت‌های هک شده‌ی مورد بررسی ، مقصر شناخته شدند.

نکته شوکه کننده اما اینجاست:

آسیب‌پذیری این افزونه‌ها مدت‌ها بوده که شناخته شده ، اما مالکان سایت‌ها تنها افزونه را جهت حفاظت از سایت خود به‌روز رسانی نکرده بودند.

نکته: تم‌ها و افزونه‌های وردپرس فرانویسه‌ای را ایجاد می‌کنند و باعث می‌شوند سایت وردپرس شما به روی هکرها باز شود و امنیت سایت وردپرس شما به خطر بیافتد. با این حال بخش اعظم این ریسک را می‌توان با استفاده از بهترین شیوه‌ها متوقف کرد. افزونه‌های خود را به‌روز نگه دارید و آن‌ها را تنها از منابع قابل اعتماد نصب کنید.

همچنین باید انجمن‌های گواهی عمومی همگانی (GPL) افزونه پرمیوم وردپرس را دریافت کنید. در حالی که وردپرس تحت GPL گواهی گرفته و این عالی است و یکی از دلایلی است که ما وردپرس را دوست داریم، خریدار باید آگاه باشد. به این افزونه‌ها گاه افزونه تهی نیز اطلاق می‌شود.

خرید افزونه از انجمن‌های GPL به این معناست که شما دارید به یک شخص ثالث اعتماد می‌کنید که آخرین نسخه به‌روز رسانی‌ها را از توسعه دهنده دریافت کند و اکثر مواقع شما هیچ پشتیبانی دریافت نمی‌کنید. دریافت به‌روز رسانی‌های افزونه از توسعه‌دهنده ، ایمن‌ترین مسیر است. همچنین ما طرفدار توسعه‌دهندگان و کار سخت آن‌ها هستیم!

برای مطالعه ادامه متن به امنیت سایت وردپرس مراجعه کنید.