سلام؛

با توجه به اینکه وردپرس توسط میلیون‌ها کاربر مورد استفاده قرار گرفته و هر از چندی اخباری در خصوص آن روی سایت‌های خبر حوزه آی‌ت ی منتشر میشود، عموماً شک و تردیدهای زیادی پیرامون امنیت وردپرس وجود دارد و تا به حال اطلاعیه‌های امنیتی متعددی در رابطه با این سیستم و بالطبع نکات، اخبار و مقالات متعددی برای رفع مسائل امنیتی آن توسط هسته مرکزی تیم وردپرس یا توسعه دهندگان آزاد ارائه شده تا شک و شبهه‌ها را از بین برده و بار دیگر به وردپرس استحکام ببخشند. یکی از افرادی که در این زمینه بارها با جدیت توضیحاتی را در مورد امنیت سیستم وردپرس ارائه کرده، جیسون کوپر (Json Coper) هست که حدود ۱۰ سال سرپرستی و مدیریت تیم وردپرس را بر عهده داشته و در مدیریت موتور وردپرس ایفای نقش می‌کند، و در واقع اطلاعات فوق العاده قوی در مورد امنیت، رشد و پیشرفت وردپرس در بین جامعه‌ی هکرهای لس آنجلس دارد …

مقاله ای که امروز در مورد امنیت هسته‌ی وردپرس از نظر می‌گذرانید بر اساس گفته‌های جیسون ترجمه و تکمیل شده است؛ امیدوارم کاربران فارسی‌ زبان وردپرس نسبت به مسائل امنیتی وردپرس حساسیت و اهمیت بیشتری قائل شده و دایره ی اطلاعات خودشان را پیرامون این مسئله بالا ببرند …

با وجود این همه شک و تردید از سوی افراد مختلف، به خصوص افرادی که با این سیستم مخالف هستند، باید بگوییم هسته‌ی وردپرس بدون شک یکی از ایمن‌ترین پلتفرم‌هایی است که شما می‌توانید آن را برای ایجاد سایت خود به کار ببرید!
هر از چند گاهی در مورد تلاش زیاد هکرها که بی‌رحمانه دنبال یافتن راهی برای نفوذ به برخی سایت‌های وردپرس هستند، خبرهایی به گوشمان می‌رسد، که گاهی در این راه موفق و گاهی ناکام بوده‌اند. اما چه زمانی هکرها به در بسته می‌خورند ؟

انتقادهای فراوان

در تابستان سال ۲۰۰۹ میلادی، سیستم وردپرس تحت ضربه‌هایی از سوی جامعه‌ی ناشران وب برای بهره برداری از امنیت جدی و قوی قرار گرفت. در اینترنت به این باور رسیدند که سیستم وردپرس میتواند بسیار بزرگ شود، و همین امر باعث شد که با نقدهای سازنده از سوی متخصصین به ایجاد امنیت کافی دست یابند.

به عنوان مثال به صحبتی که شبکه ی جهانی اینترنت در مورد وردپرس مطرح کرد اشاره می کنیم:  “ما می دانیم که شما جاه طلب هستید و به همین علت بسیار به تیم و سیستم شما علاقه مند شدیم! اما قبل از اینکه در عموم جایگاهی پیدا کنید و مردمی شوید باید امنیت سیستم خود را بسیار قوی و به عبارتی ضد گلوله نمایید و ما نیز از این امر مطمئن شویم.”

توسعه دهندگان هسته‍ ی وردپرس به این امر پاسخ دادند و از آن پیروی کردند. تلاش‍های بسیاری در بخش امنیت وردپرس صورت گرفت تا سیستم مدیریت محتوای وردپرس به عنوان یکی از ایمن ترین سیستم‍ها در اینترنت معرفی شد! این نوآوری‌ها دقیقاً در  سال ۲۰۰۹  اتفاق افتاد و امروزه وردپرس به عنوان یکی از قدرتمندترین و ایمن‌ترین بسترها در اینترنت جایگاه ویژه‌ی خود را دارد.

 

داستان تابستان سال ۲۰۰۹

در سال ۲۰۰۹ میلادی در طی چند هفته، تیم وردپرس چهار وصله‌ی امنیتی (patch) را به صورت جدی افزایش و ارائه داد. این تیم به‌صورت کاملاً جدی و با سرعت بالا، باقی مانده‌ی موارد امنیتی را که مربوط به هسته‌ی وردپرس میشد بررسی کرد و در پایان تابستان همان سال، تمامی موارد امنیتی سیستم وردپرس به صورت کامل، انجام و تکمیل شد.
هر چند، اگر شخصی در آن زمان صاحب چند سایت وردپرسی بود در هنگام بروز رسانی می‌توانست امنیت آن‌ را ارتقا داده و تغییرات آن را متوجه شود، اما در واقع این تغییر از نسخه ی ۲٫۸٫۱ در نهم جولای آغاز و با نسخه ی ۲٫۸٫۶ پایان یافت. یعنی فقط همین نسخه ها بودند که پچ امنیتی جدید شامل حال آنها نشده بود که با روزرسانی به این امنیت رسیدند. سپس در بروز رسانی بعدی نیز تمامی همین موارد دوباره تست می‌شوند، اما این را بدانید که نرم افزار اصلی همیشه به آخرین نسخه باید بروز رسانی شود تا به تمامی تغییرات پاسخ مثبت دهد. بنابراین به صلاح شماست که همیشه سیستم وردپرسی خود را به آخرین نسخه به روز کنید.

تغییرات ریشه‌ای در کانال‌های وردپرس

فقط در طول ۳۴ روز، چهار آپدیت امنیتی برای وردپرس ۲٫۸ ارائه شد. قبل از این، ابزارهای مدیریت هاست و سیستم وردپرس نصب و نگهداری را بسیار ساده کرده بود، اما مشکلاتی نیز داشت ؛ زیرا یکبار و به صورت دستی انجام میشد! و افراد از بروز رسانی‌های متداول خسته میشدند و دیگر به آن ادامه نمی‌دادند، به همین دلیل بررسی‌های ریشه ای در کانال های وردپرس صورت گرفت تا ارزیابی‌هایی انجام شود.
حال چرا مشکلاتی داشت ؟ زیرا افراد معمولاً به صورت منظم این بروز رسانی ها را انجام نمی‌دادند و همین امر سبب افزایش هک شدن سایت آنها میشد، بنابراین وردپرس تصمیم گرفت که با بررسی‌های متعددی آپدیت های اتوماتیک برای وردپرس خلق کند.

توجه به اهمیت بروزرسانی‌ها

سیستم وردپرس از سال ۲۰۰۹ قابل بروز رسانی به صورت اتوماتیک است و تمامی این حماسه وردپرسی به صورت ریشه‌ای انجام می‌شود و این مسئله دقیقاً به شکلی انجام شد که به ایمن سازی وردپرس منجر شود، به شرط اینکه کاربران آن حتما پیگیر بروز رسانی ها باشند، در غیر اینصورت به راحتی مورد حمله قرار خواهند گرفت.
کاربران وردپرسی باید در برابر امنیت سیستم خود، گذاشتن پسورد قوی و به روز نگه داشتن افزونه ها و قالب‌ها مسئول بوده و این مسئولیت کاربران هرگز نباید نادیده گرفته شود. خیلی از کاربران ارزش این مسئله را هم برای هاست و هم برای سیستم وردپرس کاملاً می‌دانند و به صورت منظم وبسایت خود را بروز نگه میدارند و از همه مهم تر اینکه به صورت کاملاً روتین از آن نسخه‌ی پشتیبان تهیه می‌کنند!

محبوبیت وردپرس

از بین ۱ میلیون وب‌سایت برتر رتبه‌ بندی شده در وب‌سایت الکسا، ۲۲.۵ درصد وب‌سایت‌های این لیست از CMS استفاده می‌کنند که از بین این وب‌سایت‌ها ۱۲.۴ درصد WordPress را نصب کرده‌اند. این یعنی وردپرس سهم ۵۵.۳ درصدی از بازار CMS دنیا را در اختیار دارد. به جرات می‌توان گفت که هیچ تکنولوژی در این حوزه به این موفقیت دست نیافته و موضوع مهم تر اینکه وردپرس به راحتی می‌تواند حجم عظیمی از کاربران را پشتیبانی کند و همیشه این امر برای کاربران بسیاری مهم و ضروری بوده است.

نفوذپذیری‌ها از کجا سرچشمه می‌گیرد ؟!

وقت آن است که شک و تردید خود را در مورد امنیت هسته وردپرس از بین برده و نگاه خود را به افزودنی‌ های آن معطوف کنید. همانقدر که بروزرسانی وردپرس نیازمند توجه ویژه‌ای است، دقت در انتخاب، نصب، استفاده و بروزرسانی افزونه و قالب‌های رایگان یا تجاری عرضه شده برای این سیستم نیز از اهمیت بالایی برخوردار می‌باشد. وردپرس با توجه به مجبوبیت خود در کانون توجه قرار گرفته و به واسطه یک مخزن از هزاران و شاید میلیون‌ها افزونه‌ی رایگان حساسیت‌ ها در خصوص امنیت آن که عموماً افزودنی‌ ها توسط برنامه نویسان آزاد فراهم می‌گردد، افزایش می‌یابد.
شاید آشنایی به سایت intelligentexploit.com و ترجیحاً عضویت در خبرنامه آن بتواند برای علاقه‌مندان به وردپرس جالب توجه باشد، چرا که توسط خبرنامه روزانه آن می‌توانند در جریان آخرین باگ‌ها و حفره‌های کشف شده در وردپرس که اکثریت نزدیک به مطلق مربوط به پلاگین‌های رایگان می‌باشد قرار گرفته و حساسیت بیشتری نسبت به استفاده از پلاگین‌ها و افزودنی‌های این سیستم محبوب از خود نشان دهند.

پیشنهادات رجیران

  1. هسته وردپرس را همیشه بروز نگاه دارید ؛ همواره سعی می‌کنیم آخرین مسائل امنیتی وردپرس را از طریق رجیران  با شما در میان بگذاریم
  2. در استفاده از پلاگین‌ها و قالب‌های رایگان و حتی موارد تجاری دقت کافی داشته باشید ؛ بروزرسانی‌های آنها را دنبال کنید
  3. از هاست مطمئن و مناسب استفاده کنید ؛ بک‌آپ روزانه، هفتگی و ماهانه فراموش نشود
  4. به صورت دوره‌ای اطلاعات موجود در هاست خود را توسط آنتی‌ویروس cPanel اسکن کنید
  5. از افزونه‌های امنیتی وردپرس که قبلاً به صورت مجزا در رجیران معرفی شده بهره بگیرید
  6. فولدر wp-content که شامل زیر فولدرهای پلاگین، آپلود و تم می‌شود را توسط htaccess امن کنید
    و مسائلی از این دست، که در فراگیری آنها در مقالات بعدی همراهیتان خواهیم کرد …

شما در رابطه با امنیت وردپرس چه تجربه‌ای داشته‌اید ؟!
تجربیات خود را با سایرین به اشتراک بگذارید …