یک راهنمای خودمانی برای هک و امنیت وردپرس
چه در ایران و چه خارج از ایران یک انتقاد همیشگی به وردپرس بحث نا امن بودن آن است و این تصور که سایت های ساخته شده بر وردپرس زیاد هک می شوند.
از دید یک کاربر وردپرس و نه یک کارشناس امنیت چند نکته را مرور می کنم.
هک کردن و هک شدن به هر صورت مثل گل خوردن در فوتبال است، به همان نسبت که هر دروازه بانی گل می خورد هر سایتی هم – البته به تعداد بسیار کمتر – هک می شود و سایت غیرقابل هک به تقریب تخیل است. ولی همیشه می توان احتمال وقوع هک را کاهش داد.
نگاه به امنیت باید دربرگیرنده حداکثر عوامل موثر و یک نگاه هایبریدی و چند لایه باشد. امنیت سایت از کامپیوتری که با آن کار می کنید شروع می شود که در ادامه چند توصیه را به عرض خواهم رساند.
سه علت موثر در راحتی هک کردن سایت های وردپرس
ضعف فنی کاربران وردپرس
وقتی بحث امنیت درورد پرس مطرح می شود، باید توجه کنیم که بسیاری از کاربرهای وردپرس افرادی نا آشنا با فن آوری هستند. کم نیستند افرادی که به مایکروسافت آفیس تسلط ندارند ولی سایت وردپرس راه اندازی می کنند، این هیچ ایرادی ندارد و اصلن وردپرس برای همین افراد هم امکاناتی ایجاد کرده که بتوانند یکی از شعارهای وردپرس یعنی آزادسازی انتشار محتوا را عملی کنند. اما باید توجه کنیم که هیچ وقت این دسته از کاربرهای وردپرس یک سایت نوشته شده با پایتون را خودشان راه اندازی نمی کنند. این عدم آشنایی با فن اوری اولین ایرادی است که به نظرم در هک شدن سایت ها تاثیر گذار است.
ارزان گرایی
از طرفی کسانی سراغ وردپرس می روند که می خواهند هزینه کمتری متحمل شوند. البته “کد باز” رایگان بودن هسته وردپرس و ارزان بودن کار با این سیستم به هیچ عنوان نشانه ضعیف بودن آن نیست، وردپرس ارزان است چون حدود ۶۰ هزار برنامه نویس و طراح وب وقت و استعداد و تخصص خود را وقف آن می کنند، و به همین دلیل که وردپرس دارنده بزرگترین مجموعه از نیروی انسانی متخصص وردپرس بسیار قوی تر از برنامه ها و پلت فرم هایی است که ممکن است برای ساخت یک سایت مشابه تا صد برابر هزینه داشته باشند. به هر روی چون کاربران وردپرس بودجه محدودی دارند از هاست های ارزاتر هم استفاده می کنند. و این ارزان گرایی در همه زمینه ها اعمال می شود.
یک ایراد ایرانی
به طور خاص در ایران هم نرمافزارهای ویندوز و هم بسیاری از تم ها و پلاگین های پولی وردپرس به دلیل تحریم ها و عدم وجود پرداخت الکترونیک برای ارزهای بین المللی، به صورت آپدیت نشده استفاده می شود، این مسئله به تنهایی برای هک شدن سایت ها کافیست چون در بررسی های مختلف در خرج از ایران نیز مهمترین علت هک شدن آپدیت نبودن تم و یا افزونه ها بوده است. راه حل این است که حتما از تم و افزونه های اصل ولو رایگان استفاده شود و در موارد بسیار ضروری به هر ترتیب ممکن از تم و پلاگین های به روز شده استفاده کنید.
راهنمای امنیت و پیشگیری از هک در وردپرس
پیشگیری های عمومی در امنیت وردپرس:
امنیت را از کامپیوتر خود شروع کنید، حتمن ویروس کش و فایروال به روز داشته باشید، نرم افزارهای غیرضرروری را پاک کنید، از گوگل کروم استفاده کنید، دو افزونه کروم SSL EveryWhere و KB SSL Enforcer برای اکثر سایت ها یک پوشش اس اس ال ایجاد می کنند و به این صورت رابطه کامپیوتر شما با آن سایت از یک کانال رمزگزاری شده جریان می یابد حتی اگر سایت مقصد اس اس ال نداشته باشد. در ضمن تولبارهای مرورگرها نیز ممکن است دارای بدافزار باشند و بهتر است همه را پاک کنید.
من برای احتیاط از FTP و Filezilla استفاده نمی کنم که مثلا درصورت گم شدن لپ تاپ خطری حاصل شود. وردپرس را از ابتدا روی سرور نصب می کنم و هیچ وقت فایل های بک آپ را روی کامپیوتر شخصی ذخیره نمی کنم، این فایلها حاوی تمامی پسوردهای سایت و کاربران است و یک راه رایگان و مطمئن برای سایت های کوچک بک آپ گیری بر روی دراپ باکس است با این پلاگین UpdraftPlus یا Backup to Dropbox
خوب مرحله بعد انتخاب رمزعبور قوی است، وبحث پلاگین هاست، تا می توانید از پلاگین های کمتری استفاده کنید برای تست از یک سایت آزمایشی استفاده کنید و تنها پلاگین های امتحان شده و خیلی شروری را در سایت اصلی نصب و فعال کنید، تم ها و پلاگین های غیر فعال را کلا پاک کنید. و در نهایت استفاده از پلاگین زیر که فکر می کنم تا حد زیادی ریسک هک را کاهش می دهند.
بهترین افزونه یا پلاگین امنیت و هک وردپرس؟
All In One WP Security & Firewall
با وجود عرضه پلاگین های مختلف امنیتی، پلاگین فوق یکی از جدیدترین موارد عرضه شده است و کاربری آن ساده و انتخابها و امکانات آن همه چانبه می باشند امتیاز ۴.۹ از ۵ برای یک پلاگین امنیتی امری نیست که بتوان راحت از کنار آن گذشت و نشانه قابل اعتماد بودن این پلاگین است.
برای جلوگیری از ایرادات احتمالی پلاگین های امنیتی دیگر را پیش از نصب این یکی غیرفعال کنید و چنانچه پلاگینی نظیر Bullet Proof Security یا سایر پلاگین هایی که htaccess را تغییر می دهند استفاده می کردید ( لیست این پلاگین ها) بهتر است از راهنمای همان پلاگین برای نحوه پاک کردن آن استفاده کنید.
سحر