در قسمت اول از نوشتار افزایش امنیت وردپرس به تعریف کلی امنیت وبسایت و روش‌های عمومی افزایش امنیت سایت پرداخته شد. نکات کلیدی برای انتخاب شرکت ارائه‌دهنده خدمات میزبانی را مرور کردیم و راهکارهای مقدماتی برای افزایش امنیت نرم‌افزارهای وبسایت را بررسی نمودیم. در قسمت دوم از رشته مطالب مربوط به امنیت وردپرس، مروری بر شایع‌ترین آسیب‌پذیری‌های وردپرس خواهیم داشت.

آسیب‌پذیری‌های وردپرس ناشی از کامپیوتر شما

قبل از هر چیز، مطمئن شوید که سیستم کامپیوتر یا لپتاپی که برای مدیریت سایت وردپرسی خود استفاده می‌کنید عاری از هر گونه بد‌افزار، جاسوس‌افزار و آلودگی ویروسی باشد. مثلاً اگر یک ابزار Keylogger روی کامپیوتر شما نصب باشد، هر چقدر هم امنیت وبسایت مبتنی بر وردپرس خود را افزایش دهید و از بهترین وبسرورها نیز استفاده کنید، همچنان در معرض خطر خواهید بود. این مطلب در مورد کلیه افرادی که به پنل ادمین وردپرس یا فضای هاست شما دسترسی دارند نیز صدق می‌کند.

همواره سیستم عامل و نرم‌افزارهای کامپیوتر شخصی یا لپتاپ خود را به روز نگه دارید؛ خصوصاً مرورگرها! ابزارهایی مانند NoScript می‌توانند تجربه وبگردی امنی را برای شما ایجاد کنند. به سادگی و با نصب ادآن مربوطه بر روی مرورگر خود، اسکریپت‌های مخرب جاوا اسکریپت و … را دور بزنید.

آسیب‌پذیری‌های وردپرس ناشی از وردپرس

مشابه هر پکیج نرم‌افزاری، وردپرس نیز با ارائه آپدیت‌های منظم سعی در حذف آسیب‌پذیری‌های شناخته شده دارد. به همین دلیل، می‌بایست همیشه وردپرس خود را به روز نگه دارید. نسخه‌های قدیمی وردپرس شامل به‌روز رسانی‌های امنیتی نمی‌شوند و استفاده از آنها می‌تواند شما را در معرض خطرهای بزرگی قرار دهد.

تنها سایت معتبر و رسمی برای آپدیت وردپرس، سایت wordpress.org است. هرگز وردپرس را از منابع دیگر دانلود نکنید.

از سال 2013 و همزمان با انتشار نسخه 3.7 وردپرس، ویژگی آپدیت خودکار به هسته وردپرس افزوده شده است. این ویژگی در نسخه 5.5 وردپرس تکمیل شد و برای کلیه پوسته‌ها و افزونه‌های وردپرس نیز توسعه پیدا کرد. با استفاده از این قابلیت می‌توانید از به‌روز بودن وردپرس خود اطمینان حاصل کنید. به محض انتشار نسخه جدیدی از وردپرس، یک اعلان (نوتیف) در پنل ادمین شما نمایان می‌شود. این اعلان‌ها را جدی بگیرید. زیرا به محض انتشار پچ‌های امنیتی، آسیب‌پذیری‌های نسخه قبلی در معرض دید عموم قرار می‌گیرد. اگر شما همچنان از نسخه قدیمی وردپرس استفاده کنید، دست هکرها برای استفاده از آسیب‌پذیری گزارش شده و نفوذ به سایت شما باز خواهد بود.

نکته: به‌روز رسانی‌های جزئی و امنیتی مانند آپدیت از 6.5.0 به 6.5.1 بدون نیاز به اجازه شما و به صورت خودکار انجام می‌شوند اما به‌روز رسانی‌های کلی، نیازمند اقدام توسط شما هستند. تنظیمات مربوط به آپدیت خودکار را در مقاله دیگری با جزییات بیشتر مورد بحث قرار می‌دهیم.

آسیب‌پذیری‌های وردپرس ناشی از وبسرور

وبسرور مورد استفاده توسط هاست یا سرور شما نیز می‌تواند در معرض برخی آسیب‌پذیری‌ها باشد. پس همیشه از پایدارترین و امن‌ترین نسخه نرم‌افزار وبسرور خود استفاده کنید. ماژول‌های وبسرور را نیز فراموش نکنید!

نکته: در صورتی که از هاست اشتراکی برای میزبانی سایت خود استفاده می‌کنید و یکی از سایت‌های دیگر روی همان سرور دچار نفوذ یا آسیب شود، این احتمال وجود دارد که عامل مخرب وارد فضای میزبانی شما نیز شده و باعث آلودگی وبسایت شما شود. در نتیجه یکی از راهکارهای حرفه‌ای برای افزایش امنیت وردپرس، استفاده از سرور مجازی یا اختصاصی است.

آسیب‌پذیری‌های وردپرس ناشی از شبکه

شبکه مورد استفاده در هر دو سمت (سمت سرور وردپرس شما و سمت سیستم کامپیوتر شما) می‌بایست امن و قابل اعتماد باشد. در صورتی که از شبکه وایفای رایگان کافه‌ها، فرودگاه و سایر مکان‌های عمومی برای دسترسی به وبسایت خود استفاده می‌کنید، هرگز اطلاعات حساس مانند رمز عبور ادمین یا هاست خود را با پروتکل‌های ناایمن مثل http ارسال نکنید. درخواست‌های ارسال شده توسط پروتکل http به دلیل عدم رمزنگاری داده‌ها، قابل شنود هستند!

جمع‌بندی

در این قسمت از سلسله مطالب ایمن‌سازی وردپرس، مروری بر انواع آسیب‌پذیری‌های رایج در وردپرس داشتیم. در قسمت سوم این نوشتار، کمی عمیقتر سراغ فایل‌ها و دسترسی‌های آنها رفته و با انجام تنظیمات ساده‌ای، وردپرس خود را ایمن‌تر می‌کنیم.