در این نوشتار قصد دارم در مورد تکنیکها و روشهای افزایش امنیت وردپرس صحبت کنم. بحث امنیت در وردپرس توسط توسعهدهندگان هسته آن به شدت جدی گرفته میشود اما مشابه سایر سیستمها، چنانچه اقدامات و راهکارهای مراقبتی لازم توسط ادمینها و مدیران سایت به کار برده نشود، همواره احتمال بروز مشکلات امنیتی وجود خواهد داشت.
در این رشته مقاله، مبحث افزایش امنیت وردپرس یا همان ایمنسازی وردپرس (WordPress Hardening) را با جزییات بیشتر مورد واکاوی قرار میدهیم. ناگفته پیداست که این مقاله یا هیچ نوشته دیگری به تنهایی نمیتواند تمامی نگرانیهای صاحبان سایت در مورد امنیت وردپرس را برای همیشه از بین ببرد. پس سعی کنید همواره اطلاعات خود و وبسایت خود را به روز نگه دارید تا از گزند مخاطرات امنیتی به دور بمانید. همه مطالبی که طی این سلسله مقالات منتشر خواهد شد در زمانی کارآمد است که شما وبسایت خود را به چشم یک سرمایه و دارایی ارزشمند، مورد توجه و مراقبت قرار دهید.
فهرست مطالب:
امنیت سایت چیست؟
به طور کلی، امنیت به معنای یک سیستم کاملاً ایمن و به دور از هر گونه گزند و آسیب نیست. چنین تعریفی شاید خیلی غیرعملی و رسیدن به آن و نگهداری آن ناممکن باشد. اما از دیدگاه عملی، امنیت یعنی کاهش ریسکها و مخاطرات. در این رویکرد، افزایش امنیت سایت به معنی کلیه راهکارها و کنترلهایی است که شما باید به عنوان ادمین یا مالک سایت به کار گیرید تا وبسایت خود را از مشکلات امنیتی دور نگاه دارید. در ادامه دو مؤلفه تأثیرگذار بر امنیت یک سایت را با هم مرور میکنیم.
مؤلفههای موثر بر افزایش امنیت وردپرس
هاست یا سرور میزبانی
اغلب، بهترین مکان برای شروع بررسی امنیت یک وبسایت، هاست یا سرور میزبانیکننده آن است. با رشد و توسعه وب، در حال حاضر شرکتهای داخلی و خارجی زیادی برای ارائه خدمات میزبانی وب وجود دارند که دست شما را برای انتخاب میزبان مناسب باز میگذارند. پس قبل از هر چیز، محدوده پاسخگویی هاستینگ مدنظر به مشکلات امنیتی احتمالی را مطالعه کنید. همه شرکتهای معتبر ارائهدهنده خدمات هاست و سرور، این موارد را در قسمت قوانین و مقررات خدماتدهی (ToS) و یا موافقتنامه سطح ارائه خدمات (SLA) مشخص میکنند.
نصب و استفاده از فایروالهای مناسب بر روی سرور، دارا بودن ابزارهای مقابله با حملات اینترنتی مانند Anti-DDoS و …، برخورداری از پایدارترین نسخه وبسرورها و نرمافزارهای مربوطه، بکاپگیری منظم و نگهداری دادههای پشتیبان بر روی سرورهای مستقل از جمله پارامترهایی است که به هنگام انتخاب شرکت ارائهدهنده خدمات میزبانی میبایست مورد توجه قرار گیرد.
نرمافزارهای وبسایت
اگرچه امنیت هاست و سرور میزبانی وبسایت بسیار مهم است اما تقریباً همه شرکتهای معتبر ارائهدهنده خدمات میزبانی وب، اصول امنیت سرور و ایمنسازی زیرساختها را رعایت میکنند. لذا بخش زیادی از امنیت وبسایت به نرمافزارهایی که ما برای راهاندازی آن استفاده کردهایم مربوط میشود. به طور کلی چند راهکار ساده و مقدماتی برای افزایش امنیت نرمافزارهای وبسایت وجود دارد:
- ایجاد محدودیت دسترسی: دقت کنید به چه کسانی دسترسی پنل ادمین وردپرس خود را میدهید و دسترسی آنها به این پنل مدیریتی تا چه حد است! استفاده از رمز عبور قوی برای خود و سایر افرادی که به پنل ادمین وردپرس دسترسی دارند از ملزومات اولیه امنیت وردپرس میباشد.
- استفاده از منابع موثق: پوستهها و افزونههای مورد استفاده در وبسایت وردپرسی خود را از منابع معتبر و شناختهشده تهیه کنید. معتبرترین منبع برای دانلود پوستهها و افزونهها سایت اصلی وردپرس به نشانی WordPress.org است. سایتهایی مانند تمفارست (themeforest.net)، کد کنیون (codecanyon.net)، انواتو المنتس (elements.envato.com) و ووکامرس (woocommerce.com) از دیگر سایتهایی هستند که معتبر بوده و میتوانید با خیال راحت از آنها پوسته و افزونه تهیه کنید.
- بهروز رسانی منظم: به صورت منظم هسته وردپرس، پوستهها و افزونههای خود را آپدیت کنید تا همواره جدیدترین نسخه نرمافزارهای سایت خود را در اختیار داشته باشید. استفاده از نسخههای قدیمی میتواند میزان نفوذپذیری امنیت وبسایت را افزایش دهد.
- بکاپگیری منظم: به صورت منظم از وردپرس خود بکاپ تهیه کنید و آنها را در مکانی مناسب نگهداری کنید. بهترین کار این است که از سایت خود حداقل دو نسخه پشتیبان در دو مکان متفاوت داشته باشید. یک نسخه را روی کامپیوتر شخصی و نسخه دیگر را در فضای ابری (مانند گوگل درایو، دراپ باکس، وان درایو و …) یا هاست و سرور جداگانه نگهداری کنید.
جمعبندی
در قسمت اول این مقاله، تعریف کلی امنیت وردپرس و راهکاری عمومی افزایش امنیت وبسایت پرداخته شد. در قسمت بعدی، انواع آسیبپذیری یک وبسایت وردپرسی را با هم مرور خواهیم کرد. البته این موضوع که چگونه یک وبسایت هک میشود را در مقاله دیگری با جزییات بیشتر مورد بحث قرار میدهیم.
