سلام؛
با توجه به اینکه وردپرس توسط میلیونها کاربر مورد استفاده قرار گرفته و هر از چندی اخباری در خصوص آن روی سایتهای خبر حوزه آیت ی منتشر میشود، عموماً شک و تردیدهای زیادی پیرامون امنیت وردپرس وجود دارد و تا به حال اطلاعیههای امنیتی متعددی در رابطه با این سیستم و بالطبع نکات، اخبار و مقالات متعددی برای رفع مسائل امنیتی آن توسط هسته مرکزی تیم وردپرس یا توسعه دهندگان آزاد ارائه شده تا شک و شبههها را از بین برده و بار دیگر به وردپرس استحکام ببخشند. یکی از افرادی که در این زمینه بارها با جدیت توضیحاتی را در مورد امنیت سیستم وردپرس ارائه کرده، جیسون کوپر (Json Coper) هست که حدود ۱۰ سال سرپرستی و مدیریت تیم وردپرس را بر عهده داشته و در مدیریت موتور وردپرس ایفای نقش میکند، و در واقع اطلاعات فوق العاده قوی در مورد امنیت، رشد و پیشرفت وردپرس در بین جامعهی هکرهای لس آنجلس دارد …
مقاله ای که امروز در مورد امنیت هستهی وردپرس از نظر میگذرانید بر اساس گفتههای جیسون ترجمه و تکمیل شده است؛ امیدوارم کاربران فارسی زبان وردپرس نسبت به مسائل امنیتی وردپرس حساسیت و اهمیت بیشتری قائل شده و دایره ی اطلاعات خودشان را پیرامون این مسئله بالا ببرند …
hamyar-security-core
با وجود این همه شک و تردید از سوی افراد مختلف، به خصوص افرادی که با این سیستم مخالف هستند، باید بگوییم هستهی وردپرس بدون شک یکی از ایمنترین پلتفرمهایی است که شما میتوانید آن را برای ایجاد سایت خود به کار ببرید!
هر از چند گاهی در مورد تلاش زیاد هکرها که بیرحمانه دنبال یافتن راهی برای نفوذ به برخی سایتهای وردپرس هستند، خبرهایی به گوشمان میرسد، که گاهی در این راه موفق و گاهی ناکام بودهاند. اما چه زمانی هکرها به در بسته میخورند ؟
انتقادهای فراوان
در تابستان سال ۲۰۰۹ میلادی، سیستم وردپرس تحت ضربههایی از سوی جامعهی ناشران وب برای بهره برداری از امنیت جدی و قوی قرار گرفت. در اینترنت به این باور رسیدند که سیستم وردپرس میتواند بسیار بزرگ شود، و همین امر باعث شد که با نقدهای سازنده از سوی متخصصین به ایجاد امنیت کافی دست یابند.
به عنوان مثال به صحبتی که شبکه ی جهانی اینترنت در مورد وردپرس مطرح کرد اشاره می کنیم: “ما می دانیم که شما جاه طلب هستید و به همین علت بسیار به تیم و سیستم شما علاقه مند شدیم! اما قبل از اینکه در عموم جایگاهی پیدا کنید و مردمی شوید باید امنیت سیستم خود را بسیار قوی و به عبارتی ضد گلوله نمایید و ما نیز از این امر مطمئن شویم.”
توسعه دهندگان هسته ی وردپرس به این امر پاسخ دادند و از آن پیروی کردند. تلاشهای بسیاری در بخش امنیت وردپرس صورت گرفت تا سیستم مدیریت محتوای وردپرس به عنوان یکی از ایمن ترین سیستمها در اینترنت معرفی شد! این نوآوریها دقیقاً در سال ۲۰۰۹ اتفاق افتاد و امروزه وردپرس به عنوان یکی از قدرتمندترین و ایمنترین بسترها در اینترنت جایگاه ویژهی خود را دارد.
اگر موافق باشید روند تلاش های تیم وردپرس را در بحث امنیت با هم بررسی میکنیم…
داستان تابستان سال ۲۰۰۹
در سال ۲۰۰۹ میلادی در طی چند هفته، تیم وردپرس چهار وصلهی امنیتی (patch) را به صورت جدی افزایش و ارائه داد. این تیم بهصورت کاملاً جدی و با سرعت بالا، باقی ماندهی موارد امنیتی را که مربوط به هستهی وردپرس میشد بررسی کرد و در پایان تابستان همان سال، تمامی موارد امنیتی سیستم وردپرس به صورت کامل، انجام و تکمیل شد.
هر چند، اگر شخصی در آن زمان صاحب چند سایت وردپرسی بود در هنگام بروز رسانی میتوانست امنیت آن را ارتقا داده و تغییرات آن را متوجه شود، اما در واقع این تغییر از نسخه ی ۲٫۸٫۱ در نهم جولای آغاز و با نسخه ی ۲٫۸٫۶ پایان یافت. یعنی فقط همین نسخه ها بودند که پچ امنیتی جدید شامل حال آنها نشده بود که با روزرسانی به این امنیت رسیدند. سپس در بروز رسانی بعدی نیز تمامی همین موارد دوباره تست میشوند، اما این را بدانید که نرم افزار اصلی همیشه به آخرین نسخه باید بروز رسانی شود تا به تمامی تغییرات پاسخ مثبت دهد. بنابراین به صلاح شماست که همیشه سیستم وردپرسی خود را به آخرین نسخه به روز کنید.
تغییرات ریشهای در کانالهای وردپرس
فقط در طول ۳۴ روز، چهار آپدیت امنیتی برای وردپرس ۲٫۸ ارائه شد. قبل از این، ابزارهای مدیریت هاست و سیستم وردپرس نصب و نگهداری را بسیار ساده کرده بود، اما مشکلاتی نیز داشت ؛ زیرا یکبار و به صورت دستی انجام میشد! و افراد از بروز رسانیهای متداول خسته میشدند و دیگر به آن ادامه نمیدادند، به همین دلیل بررسیهای ریشه ای در کانال های وردپرس صورت گرفت تا ارزیابیهایی انجام شود.
حال چرا مشکلاتی داشت ؟ زیرا افراد معمولاً به صورت منظم این بروز رسانی ها را انجام نمیدادند و همین امر سبب افزایش هک شدن سایت آنها میشد، بنابراین وردپرس تصمیم گرفت که با بررسیهای متعددی آپدیت های اتوماتیک برای وردپرس خلق کند.
توجه به اهمیت بروزرسانیها
سیستم وردپرس از سال ۲۰۰۹ قابل بروز رسانی به صورت اتوماتیک است و تمامی این حماسه وردپرسی به صورت ریشهای انجام میشود و این مسئله دقیقاً به شکلی انجام شد که به ایمن سازی وردپرس منجر شود، به شرط اینکه کاربران آن حتما پیگیر بروز رسانی ها باشند، در غیر اینصورت به راحتی مورد حمله قرار خواهند گرفت.
کاربران وردپرسی باید در برابر امنیت سیستم خود، گذاشتن پسورد قوی و به روز نگه داشتن افزونه ها و قالبها مسئول بوده و این مسئولیت کاربران هرگز نباید نادیده گرفته شود. خیلی از کاربران ارزش این مسئله را هم برای هاست و هم برای سیستم وردپرس کاملاً میدانند و به صورت منظم وبسایت خود را بروز نگه میدارند و از همه مهم تر اینکه به صورت کاملاً روتین از آن نسخهی پشتیبان تهیه میکنند!
محبوبیت وردپرس
از بین ۱ میلیون وبسایت برتر رتبه بندی شده در وبسایت الکسا، ۲۲.۵ درصد وبسایتهای این لیست از CMS استفاده میکنند که از بین این وبسایتها ۱۲.۴ درصد WordPress را نصب کردهاند. این یعنی وردپرس سهم ۵۵.۳ درصدی از بازار CMS دنیا را در اختیار دارد. به جرات میتوان گفت که هیچ تکنولوژی در این حوزه به این موفقیت دست نیافته و موضوع مهم تر اینکه وردپرس به راحتی میتواند حجم عظیمی از کاربران را پشتیبانی کند و همیشه این امر برای کاربران بسیاری مهم و ضروری بوده است.
نفوذپذیریها از کجا سرچشمه میگیرد ؟!
وقت آن است که شک و تردید خود را در مورد امنیت هسته وردپرس از بین برده و نگاه خود را به افزودنی های آن معطوف کنید. همانقدر که بروزرسانی وردپرس نیازمند توجه ویژهای است، دقت در انتخاب، نصب، استفاده و بروزرسانی افزونه و قالبهای رایگان یا تجاری عرضه شده برای این سیستم نیز از اهمیت بالایی برخوردار میباشد. وردپرس با توجه به مجبوبیت خود در کانون توجه قرار گرفته و به واسطه یک مخزن از هزاران و شاید میلیونها افزونهی رایگان حساسیت ها در خصوص امنیت آن که عموماً افزودنی ها توسط برنامه نویسان آزاد فراهم میگردد، افزایش مییابد.
شاید آشنایی به سایت intelligentexploit.com و ترجیحاً عضویت در خبرنامه آن بتواند برای علاقهمندان به وردپرس جالب توجه باشد، چرا که توسط خبرنامه روزانه آن میتوانند در جریان آخرین باگها و حفرههای کشف شده در وردپرس که اکثریت نزدیک به مطلق مربوط به پلاگینهای رایگان میباشد قرار گرفته و حساسیت بیشتری نسبت به استفاده از پلاگینها و افزودنیهای این سیستم محبوب از خود نشان دهند.
پیشنهادات همیار وردپرس
هسته وردپرس را همیشه بروز نگاه دارید ؛ همواره سعی میکنیم آخرین مسائل امنیتی وردپرس را از طریق همیار وردپرس با شما در میان بگذاریم
در استفاده از پلاگینها و قالبهای رایگان و حتی موارد تجاری دقت کافی داشته باشید ؛ بروزرسانیهای آنها را دنبال کنید
از هاست مطمئن و مناسب استفاده کنید ؛ بکآپ روزانه، هفتگی و ماهانه فراموش نشود
به صورت دورهای اطلاعات موجود در هاست خود را توسط آنتیویروس cPanel اسکن کنید
از افزونههای امنیتی وردپرس که قبلاً به صورت مجزا در همیار معرفی شده بهره بگیرید
فولدر wp-content که شامل زیر فولدرهای پلاگین، آپلود و تم میشود را توسط htaccess امن کنید
و مسائلی از این دست، که در فراگیری آنها در مقالات بعدی همراهیتان خواهیم کرد …