امنیت وردپرس
مقدمه: در هر پروژهای، چه مجازی باشد و چه فیزیکی، حفظ امنیت در محصول نهایی و فضای کار، مهمترین بخش از وظیفه تیم مدیریت و مهندسین آن پروژه است. تحت هیچ شرایطی نمیتوان گفت خسارتها در محصولات مجازی جبران ناپذیرتر خواهد بود یا در محصولات فیزیکی، اما همهی ما این موضوع را خوب میدانیم که ایده، تجارت و کسب و کار هر شخص برای خود او دارای اهمیت بالاییست، بنابراین بجای پرداختن به مسائل سطحی، مستقیما به اصل ماجرا یعنی “امنیت” خواهیم پرداخت. با توجه به اینکه مبحث امنیت بسیار گسترده است و نمیتوان طی یک مقاله همهی مطالب مورد نیاز را بیان کرد، ترجیح من هم این است که فقط به رشته کاری خودمان – امنیت در طراحی وب سایت – و طرح پرسش های متداول در این باره بپردازیم. امنیت سایبری را میتوان به این صورت تعریف کرد “حفاظت از داده های خصوصی در برابر نفوذ، نابودی و یا سرقت توسط افراد بی صلاحیت”. پیش از رسیدن به موضوع اصلی دو نکتهی زیر را به خاطر بسپارید:
نکته اول) امنیت هرگز صد در صد قابل تضمین نخواهد بود و یا به عبارت دیگر “امنیت هرگز صد در صد نیست”.
نکته دوم) یک کامپیوتر امن، یک کامپیوتر خاموش است. (شاید هم نه!)
بنابراین هرگز دلتان به امنیت رایانه و یا سرور و یا وب سایتتان خوش نباشد بلکه با بدبینی تمام و بصورت پویا به رفع معایب و بستن حفره های امنیتی بپردازید.
وردپرس
پیش تر اسکریپ مدیریت محتوای وردپرس را به عنوان یک پلتفورم وبلاگی میشناختیم، یک سرویس وبلاگی منعطف و متن باز و رایگان با هزاران پوسته و افزونه با شبکه ای گسترده از کاربران و توسعه دهندگانی که همواره به رفع معایب امنیتی و ایرادات کاربردی و ارتقاع سطح تجربهی کاربری این پلتفورم محبوب پرداخته اند. اما امروزه وردپرس را نه به عنوان یک سرویس وبلاگی بلکه به عنوان یک سامانه مدیریت محتوا (Content management system) بسیار قدرتمند و منعطف میشناسیم، تا به این تاریخ بیش از ۲۵ درصد از وب سایتها و وبلاگ های ساخته شده در سراسر جهان به کمک این سامانه دوست داشتنی بوده است، چیزی حدود ۷۷ میلیون پایگاه اینترنتی که تقریبا نیمی از این تعداد تحت آدرس WordPress.com و مابقی تحت دامنه های مستقل به ثبت رسیده اند که در این میان وبسایت های خبری، وبلاگهای کمپانی های مشهور، وب سایت های شخصی و وب سایت های فروشگاهی به ترتیب بیشترین آمار را به خود اختصاص داده اند. همچنین از میان اسکریپت های متن باز، وردپرس با جذب ۷۲ درصد از کاربران، در صدر پر کاربردترین سامانه های مدیریت محتوای متن باز قرار گرفته است.
آیا وردپرس امن است؟
به عنوان یک پاسخ کوتاه میتوان گفت “وردپرس امن است اگر همه موارد امنیتی را رعایت کنیم” این پاسخ نه تنها در مورد وردپرس، بلکه در مورد سایر اسکریپتها نیز صدق میکند. اما چطور؟ دقیقا چه مواردی را باید مد نظر قرار بدهیم؟
چطور امنیت وردپرس را حفظ کنیم؟
اصلیترین مواردی که برای حفظ امنیت یک وبلاگ یا وب سایت وردپرسی باید مد نظر قرار بگیرند:
- استفاده از فضای میزبانی امن – در انتخاب میزبان (Host) وب سایتتان دقت کنید.
- نصب صحیح اسکریپت – مانند: انتقال wp-config.php به پوشهای بالاتر از ریشه، تغییر پرفیکس _wp برای بانک اطلاعاتی، انتخاب یک نام کاربری مناسب بجز واژه admin و بسیاری موارد دیگر.
- تعیین مجوزهای دسترسی (Permissions) بصورت صحیح – مانند: پوشه ها ۷۵۵، فایلها ۶۴۴، فایل index.php و wp-config.php روی ۴۰۰ و…
- عدم دستکاری فایلهای اصلی (WordPress Core) – مانند فایلهای موجود در ریشه و پوشه های wp-admin و wp-includes.
- بروزرسانی مداوم و به موقع وردپرس، پوسته ها و افزونه ها.
- استفاده از پوسته ها و افزونه های استاندارد – از پوسته های دستکاری شده و یا پوسته های ارزان قیمت استفاده نکنید.
- حذف افزونه ها (پلاگینها)ی بی استفاده.
- در صورت عدم داشتن دانش کافی در مورد زبان Php از دستکاری کردن فایلهای پوسته خودداری کنید.
- گذرواژه ها و نام کاربری خود را سخت و غیر قابل حدس انتخاب کنید – مانند: ترکیبی از حروف کوچک و بزرگ و اعداد و کاراکتر های خاص (!@#$%^&*).
- اطلاعات کاربری را در دسترس دیگران قرار ندهید.
- مواظب “مهندسین اجتماعی” باشید.
با این تفاسیر چرا وردپرس هک میشود؟
در صورت رعایت نکردن یک مورد از مواردی که در بخش “چطور امنیت وردپرس را حفظ کنیم” گفته شد، امنیت وب سایت وردپرسی شما بشدت به خطر خواهد افتاد. ضمنا این مورد را نیز به خاطر بسپارید: ۷۷ درصد از سامانه های مدیریت محتوای استفاده شده توسط کاربران، وردپرس است، به این ترتیب احتمال اینکه از هر ۱۰ CMS هک شده ۷ تای آن وردپرس باشد به قطعیت بسیار نزدیک است، واقعیت این است که نمیتوان همهی کاربران اینترنت را حرفه ای دانست بلکه برخی از ایشان چندان هم حال و حوصلهی رعایت موارد امنیتی را ندارند، با در نظر گرفتن فراوانی استفاده کنندگان در میابیم که تنها دلیل هک شدن CMS ها وجود ضعف امنیتی در خود آنها نیست بلکه این کاربران هستند که باید تلاش و دقت خود را در حفظ امنیت وب سایتشان بالاتر ببرند.
چرا بیشتر وب سایت های هک شده وب سایت های وردپرسی هستند؟
لطفا این مورد را به خاطر بسپارید: ۷۷ درصد از سامانه های مدیریت محتوای استفاده شده توسط کاربران، وردپرس است، به این ترتیب احتمال اینکه در هر ۱۰ CMS هک شده ۷ وردپرس وجود داشته باشد به قطعیت بسیار نزدیک است، واقعیت این است که نمیتوان همهی کاربران اینترنت را حرفه ای دانست بلکه برخی از ایشان چندان هم حال و حوصلهی رعایت موارد امنیتی را ندارند، با در نظر گرفتن فراوانی استفاده کنندگان در میابیم که تنها دلیل هک شدن CMS ها وجود ضعف امنیتی در خود آنها نیست بلکه این کاربران هستند که باید تلاش و دقت خود را برای حفظ امنیت بالاتر ببرند.
چرا وردپرس اینقدر بروزرسانی میشود؟
این پرسش بسیاری از کاربران است، هرچند کاربران حرفه ای دلیل این بروزرسانی ها را خیلی خوب میدانند اما تصور عامه کاربران این است که علت، ضعف امنیتی وردپرس است، البته ما بطور تمام قد این موضوع را رد میکنیم و این بروزرسانی ها را بسیار هم مفید میدانیم. تصور کنید عدم بروزرسانی اتوموبیل پیکان را دلیل خوب بودن و دلیل بروزرسانی های شرکت سیتروئن – تولید کننده اتوموبیل ژیان و زانتیا – را مبنی بر وجود ضعف در این شرکت بدانیم! عجیب نیست؟
در اصل وجود یک شبکه ی گسترده از حامیان وردپرس باعث شده است تا ضعف های کوچک و بزرگ وردپرس خیلی زودتر از سایرین کشف و رفع شود، در واقع خیلی قبلتر از آنکه این ضعف ها توسط هکر ها مورد استفاده قرار بگیرد، توسط کامونیتی وردپرس شناسایی و برطرف میشوند.