امنیت در سایت‌های وردپرسی

امنیت در سایت‌های وردپرسی از جمله مسائلی است که کاربران همیشه نگران آن هستند.در این مطلب به امنیت وردپرس می‌پردازیم.

ایمن بودن یا نبودن وردپرس و از سوالاتی است که همچینان با گذشت چندین سال جوابی ۱۰۰% برای آن پیدا نشده است.

برخی وردپرس را ضعیف‌ترین سیستم مدیریت محتوا می‌نامند و عده‌ای معتقدند که با پیاده سازی روش‌های صحیح امکان مدیریت بهتر و افزایش ایمنی آن وجود دارد.

در این مقاله قصد داریم ایمن بودن یا نبودن وردپرس را مورد ارزیابی موشکافانه قرار دهیم.

قبل از شروع هر کاری بهتر است از سرویس trend گوگل به ادرس https://trends.google.com/trends/ استفاده کنیم تا میزان جستجو کاربران پیرامون سیستم مدیریت محتواهای مختلف را بررسی کنیم.

در گام اول ۳ کلمه wordpress , joomla و drupal را در دنیا و در ۵ سال گذشته مورد ارزیابی قرار دادیم.

نتایج نشان میدهند در طی ۵ سال گذشته جستجو برای کلمه drupal تغییر چشم‌گیری نداشته اما جستجو برای joomla و wordpress تغییرات عمده‌ای را نشان می‌دهد، به نحوی که در سال‌های پیشین جستجو برای joomla بسیار بیشتر بوده است اما با گذشت زمان جای خود را به کلمه wordpress داده است.

همین کار را این بار برای کلمات وردپرس، جوملا و دروپال و مخصوص کشورعزیزمان ایران انجام دادیم.

جالب است که نتایج دقیقا مثل قبل بود.

نتیجه گیری اولیه:

پس می توان نتیجه گرفت طی سالیان گذشته جوملا از محبوبیت بیشتری برخوردار بوده است، اما الان جای خود را به وردپرس داده است.

افزایش محبوبیت وردپرس را می‌توان افزایش themeها، pluginها و از همه مهم‌تر open source بودن وردپرس دانست.

البته محبوب بودن واستفاده بیشتر نشان ‌دهنده برتری وردپرس نیست.

چون اگر به این شکل در نظر بگیریم که پراید در کشورمان بیشتر استفاده می شود پس در نتیجه بهتراست، یک آنالیز ۱۰۰% اشتباه است.

مقایسه اکسپلویت‌ها

اما برای این که مقایسه ما رنگ و بوی امنیت داشته باشد بهتراست وضعیت اکسپلویت‌های ثبت شده برای این cms‌ها در وب‌سایت‌های ثبت اکسپلویتی همچون exploit-db.com را بررسی کنیم.

در این وب‌سایت اکسپلویت‌های مختلف در زمینه هک سایت، هک سیستم‌های شخصی و … منتشر می شود و به عنوان مرجع وب سایت‍‌های ثبت اکسپلویت دنیا شناخته می‌شود.

لازم است بدانید که اکسپلویت در واقع همانند یک دفترچه راهنما عمل می‌کند که هم نفوذگران و هم امنیت کاران از آن استفاده می‌کنند.

نفوذگر با استفاده از اکسپلویت به کار نفوذ می‌پردازد و امنیت کار با استفاده از آن مباحث امنیتی را پیاده می‌کند.

اکسپلویت همانند یک چاقو عمل می‌کند که می تواند در دست یک پزشک و یا در دست یک انسان با افکار پلید باشد‌، این که چطور از آن استفاده شود بسته به شخصیت فرد دارد.

با جستجو پیرامون اکسپلویت‌های ثبت شده برای این cms‌ها نتایج قابل توجهی را به دست آوردیم.

تعداد اکسپلویت‌هایی که برای جوملا منتشر شده بود بسیار زیاد بود و این در حالی است که برای وردپرس اندکی کمتر و برای دروپال بسیار بسیار کمتر بود.

به صورت حدودی برای وردپرس در مقایسه با دروپال ۱۰۰ برابر اکسپلویت داشتیم.

البته به خوبی می‌دانیم که میزان استفاده از دروپال در مقایسه با وردپرس هم تقریبا به همین مقدار است.

یعنی سایت‌هایی که با ورردپرس ساخته می‌شوند در مقایسه با سایت‌هایی که از دروپال استفاده می‌کنند صدها برابر است.

پس شاید کمی طبیعی باشد که نفوذگران به دنبال کشف حفره‌های امنیتی برای وردپرس باشند تا دروپال، اما به هر حال چیزی که مشخص است، آن است که امنیت دروپال از وردپرس و وردپرس از جوملا بالاتر است.

همیشه یکسری اشتباهات ساده و پیش پا افتاده، امنیت یک سایت وردپرسی را به خطر می اندازد که در اینجا مواردی را بررسی می‌کنیم.

مورد اول نام‌گذاری نادرست برای نام دیتابیس‌، نام کاربری و رمز عبور سایت است.

در زمان نصب وردپرس از شما نامی را برای دیتابیس می‌خواهد که بسیاری از افراد متاسفانه از نام‌هایی همچون wordpress , site , password و … استفاده می‌کنند که این مورد کار نفوذگر را بسیار آسان می کند.

همین مشکلات را در بحث قرار دادن نام کاربری و رمزعبور هم داریم.

بسیاری از افراد از نام خودشان، نام سایت، نام شهر و موارد این چنینی را به عنوان نام کاربری استفاده می‌کنند که کمک بزرگی به نفوذگران است.

مورد دوم عدم به روزرسانی به موقع است.

باور کنید به روزرسانی‌هایی که منتشر می‌شود برای زیبایی نیست.

بسیاری از افراد به دلایل خنده‌دار همچون از بین نرفتن حجم اینترنت، از به روزرسانی‌های منتشر شده برای پلاگین‌ها استفاده نمی‌کنند.

لازم است بدانید این به روزرسانی‌ها در ۹۵ درصد مواقع برای رفع یک مشکل امنیتی منتشر شده‌اند.

در صورتی که از آن‌ها استفاده نکنید، وب‌سایت خود را تبدیل به یک طعمه برای نفوذگران کرده‌اید.

مورد سوم عدم استفاده از تصاویر امنیتی است که در واقع به صورت پیش فرض در وردپرس تعریف نشده‌اند.

نیاز است که در بخش‌هایی که از سایت خصوصا صفحه ورود به بخش مدیریت سایت از گوگل کپچا یا همان ریکپچا استفاده کنید.

با انجام این کار جلوی نوع خاصی از حملات را که در مقاله‌ای جدا به صورت کامل به آن‌ها می‌پردازیم بگیرید.

این افزونه را می توان از طریق مخازن وردپرس به صورت رایگان دریافت و استفاده نمود.

مورد چهارم استفاده از wp-login.php به عنوان صفحه مدیریت سایت است.

این مورد در وردپرس به صورت پیش‌فرض تعیین شده است و همان طور که شما از آن اطلاع دارید، نفوذگران نیز به خوبی با خبر هستند.

پس پیشنهاد می‌کنیم در اولین فرصت این صفحه را تغییر نام داده و در جهت افزایش امنیت وب‌سایت وردپرسی خود اقدام کنید.

مورد پنجم مربوط به ۲ مشکل پیش‌فرض در وردپرس است.

اول آن که با اضافه کردن عبارت ?author=1 در ادامه آدرس سایت نام کاربری مدیر سایت مشخص می‌شود.

دوم این که در صفحه مدیریت وردپرس (wp-login.php)، با وارد کردن نام کاربری و رمز عبور نادرست پیغام اشتباه وارد کردن نام کاربری را می‌دهد.

اما زمانی که فقط رمزعبور را اشتباه وارد می‌کنید ارور تغییر می‌کند و به ما می‌گوید رمز عبور استفاده شده برای نام کاربری x اشتباه است.

یعنی غیر مستقیم به ما می گوید که نام کاربری درست است و فقط رمز عبور را اشتباه وارد کرده‌اید.

این اطلاعات بسیار ارزشمند هستند و نباید به این سادگی در اختیار افراد دیگر قرار گیرند.

برای رفع این مشکل افزونه‌هایی در نظر گرفته شده است پس نیاز نیست نگران باشید.

چند توصیه:

اگر به بحث تامین امنیت وب‌سایت وردپرسی خودتان علاقه مند هستید پیشنهاد می کنم از این دوره آموزشی استفاده کنید.

همچنین اگر از علاقه مندان مطالعه کتاب هستید.می توانید از این کتاب نیز بهره ببرید.

پس همان‌طور که متوجه شدید وردپرس مشکلات امنیتی مختلفی را به صورت پیش‌فرض داراست.

اما اگر مدت کوتاهی روی آن زمان بگذارید می‌توانید همه آنها را برطرف کرده و سایتی ایمن داشته باشید.

بهروز منصوری

دانلود مقاله