آیا وردپرس ناامن است؟

خانه » نوشته ها » آیا وردپرس ناامن است؟

آیا وردپرس ناامن است؟

مقدمه

برخی اشخاص بدون شناخت یک سیستم و با استفاده از دانش ناکافی قضاوت هایی در مورد سیستم های مدیریت محتوا انجام میدهند. مساله ی امنیت ربطی به سیستم مدیریت محتوای خاصی همچون وردپرس ندارد. وردپرس هم مانند سایر نرم افزار هایی است که با php نوشته شده است. امنیت به مسائل زیادی ربط دارد. مثلا این که سرور هاستینگ شما تا چه حد مسائل امنیتی را انجام داده است. یا این که سرور شما و حتی وبسایت شما تا چه حد تست های مربوط به تست نفوذ را انجام داده است.

مثلا فرض کنید فردی پلاگین های مربوط به ایمیل هایspam را فعال نکرده است، از این رو هکر میتواند حجم زیادی ایمیل مزاحم برای شما در قالب کامنت ارسال کند؛ یا این که امکان ایندکس یک پوشه را فعال گذاشته است و یک هکر تنها با باز کردن آن پوشه میتواند فایلهای کد وبسایت را دانلود کند و تنظیمات آن را بخواند. خب مسلم است که این سیستم ها مورد حمله قرار می گیرند و شخص هکر زمان ورود خود را نشان نمیدهد. تمامی هکر ها مخرب نیستند. هکری که وارد سیستم شما می شود تا محتوای ارزشمند شما را بردارد تا هر زمانی که دیده نشود بهتر میتواند از وبسایت شما سود ببرد.

امنیت یک مقوله خاص است که بسته به سیستم شما و ارزش و نوع محتوای شما متفاوت است.

هرسیستم مدیریت محتوا برای کار خاصی ساخته شده است. پس استفاده از آن برای هدفهای دیگر باعث ناامنی و حتی کاهش کارایی سیستم میگردد.

وردپرس در ابتدا یک سیستم مدیریت محتوای بلاگ می باشد. کاربران با نصب پلاگین های خاص آن را به فروشگاه، پورتال خبری و سیستمهای دیگری که مورد نیازشان هست تبدیل میکنند. از این رو کیفیت پلاگین کاربردی و پلاگین های امنیتی مورد نظر بسیار مهم است. از این رو یکسری تست ها مانند تست نفوذ باید بر روی وبسایت شما انجام گیرد تا وبسایت شما ایمن و کارا باشد.

نکته ای که صاحبان وبسایت ها باید همیشه مد نظر قرار دهند این است که طراحی و پیاده سازی خود را به افراد خبره بسپارند. برای امنیت وبسایت خود هزینه کنند. همانطور که برای زیبایی هزینه میکنند از یک کارشناس خبره امنیت بخواهند تا سیستمشان را بررسی کرده و بخش های قابل نفوذ را برای آنها برطرف کند. اگر سرور یا vps دارند ایمن تر آن است تا از vps یا سرور خود استفاده کرده و پورت های بی استفاده را ببندند و عملیات hardening و ایمن سازی سرور آنها خوب و اصولی انجام شده باشد. برای هر کدام از بخش های وبسایت خود رمز مجزا و پیچیده قرار دهند. CMS و پلاگینهای خود را دائم آپدیت کنند. چرا که معمولا حفره های امنیتی در وردپرس پیدا میشود که در نسخه جدید آن برطرف شده است. در ضمن CMS هایی مانند وردپرس دائم در حال پشتیبانی هستند و این نکته خود بر امنیت آن سیستم می افزاید. همچنین وردپرس یک سیستم مدیریت محتوای Open Source می باشد که بسیاری از کاربران در سطح دنیا از آن استفاده میکنند. از این رو مشکلات و حفره های آن زود پیدا شده و برطرف می گردد.

کارایی نباید فدای امنیت گردد

این نکته بسیار مهم است که بدانید چه دارید و با امنیت از چه چیزی میخواهید مراقبت کنید.

امنیت، کارایی و سرعت وبسایت هرکدام یک ضلع مثلث هستند که هر کدام را بلندتر بکشید از دو ضلع دیگر کاسته می گردد. پس بسته به نیاز خود باید این سه ضلع را در حالت توازن قرار دهید. چون هرچقدر امنیت بالاتر رود سرعت شما کاسته می شود. دارایی برخی سایت ها کاربران دنبال کننده وبسایتشان هستند پس اگر سرعت کم شود دارایی خود را از دست میدهند. چرا که کاربران ناراضی می گردند.

اهمیت مانیتورینگ

نکته مهم دیگر این است که دائم سیستم خود را از نظر کارایی و امنیتی مانیتور کنید. این کار از ضروریات یک سیستم است. این کار کمک میکند حال سیستم خود را دانسته تا مطابق نیاز، برای آن هزینه کنید. مانیتورینگ لاگها کمک میکند تا از تحرکات خطرناکی که بر روی سیستم شما رخ داده مطلع شوید. یکی از این موارد لاگین یا تلاش جهت لاگین به سرور یا وبسایت موردنظر است.

از https استفاده کنید

نکته مهم دیگر این است که برای وبسایت خود https استفاده کنید. تا از snif در کش سرور ها و دستگاه های مرکزی در امان باشد. شایان ذکر است که داشتن https به seo سایت شما کمک میکند و وبسایت شما دارای رنکینگ بالاتری خواهد بود.

یک کاربر مدیر دیگر ایجاد کنید و اولین کاربر پیشفرض که توسط وردپرس ساخته میشود را پاک کنید تا id آن کاربر یک نباشد. چرا که هکر ها از آن استفاده میکنند.

از پیشفرض ها اجتناب کنید

پورتهای پیشفرض را به پورتی خاص تغییر دهید. مثلا اگر از وردپرس استفاده می کنید مسیر پنل مدیریت را عوض کنید تا کاربر با وارد کردن wp-admin صفحه ورود مدیریت را زود پیدا نکند. خلاصه که پیشفرض ها خطرناک هستند و با این پیشفرض ها در ورود شما به سیستم مشخص است.

رباط ها را مجازات کنید

اجازه ندهید کاربر دائم جهت لاگین اقدام کند. اگر کاربر در ۱ دقیقه بیش از ۶ تلاش ناموفق داشت کاربر را برای ۱۰ دقیقه قفل کنید. اگر سرور اختصاصی دارید سرویس fail2ban میتواند مفید باشد. مطمئن باشید که پلاگین هایی هم برای این مقصود وجود دارد. البته بسیاری از ارائه دهندگان Host معتبر، این مورد را در نظر گرفته اند. و اینجاست که فرق بین Host گران قیمت و ارزان قیمت حس میشود.

از Captcha برای ورود به پنل مدیریت استفاده کنید. Captcha  از پیشرفت کار رباط ها جلوگیری می کند.

برخی از هاستینگ ها از سخت افزار نامناسب استفاده میکنند و برای همین سرعتشان پایین می آید. برای همین نمیتوانند موارد امنیتی را هم به خوبی درنظر بگیرند چون امنیت در سیستم آنها باعث کندی سیستمشان می گردد. پس host خود را به خوبی انتخاب کنید.

اگر سرور اختصاصی یا مجازی دارید اجازه ندهید از بیرون به پایگاه داده شما دسترسی وجود داشته باشد. این از موارد مهمی است که بسیاری از اشخاص رعایت نمی کنند.

توسط | ۱۳۹۸-۵-۵ ۰۶:۲۷:۰۰ +۰۰:۰۰ دی ۲۷ام, ۱۳۹۷|امنیت, وردپرس|بدون ديدگاه

درباره نویسنده:

ساکن شیراز و علاقه مند به یادگیری و اشتراک مطالب هستم. دارای مدرک کارشناسی ارشد از دانشگاه شیراز سرگرمی: خواندن کتاب، گوش دادن به پادکست و ورزش رو در اوقات فراغت انتخاب می کنم.

ثبت ديدگاه