رایج‌ترین حفره‌های امنیتی وردپرس و نحوه بستن آن‌ها

Q: آیا نصب بودن چندین افزونه امنیتی با هم خوب است؟

خیر، نصب همزمان چند افزونه امنیتی سنگین مثل Wordfence و Ithemes Security ممکن است باعث تداخل و کندی شدید سایت شود. بهتر است یک افزونه جامع و قدرتمند را انتخاب کنید.

Q: اگر سایتم هک شد چه کار کنم؟

اولین قدم حفظ آرامش است. سپس دسترسی تمام کاربران را مسدود کنید، رمزهای عبور را تغییر دهید و از نسخه پشتیبان (بکآپ) سالم که قبلاً تهیه کردهاید استفاده کنید.

امنیت در دنیای وب، درست مثل امنیت یک دفتر کار یا شرکت، از نان شب واجب‌تر است. همان‌طور که در مجموعه آفیس، امنیت اطلاعات و پایگاه داده (مثل اکسس) اهمیت حیاتی دارد، در وردپرس هم اگر مراقب نباشید، زحمات شما ممکن است با یک نفوذ ساده به باد برود. در این مقاله می‌خواهیم به زبان ساده اما حرفه‌ای، به سراغ سوراخ‌سنبه‌هایی برویم که هکرها عاشقش هستند و یاد بگیریم چطور این درها را به روی آن‌ها ببندیم.

وردپرس دقیقاً چیست؟ (به نقل از ویکی‌پدیا)

طبق تعریف دانشنامه ویکی‌پدیا: «وردپرس (WordPress) یک سیستم مدیریت محتوا (CMS) آزاد و متن‌باز است که بر پایه مجوز GPL منتشر شده است. وردپرس در ابتدا تنها برای وبلاگ‌نویسی بود اما بعدها با پیشرفت‌های فراوان، برای ساخت انواع وب‌سایت‌ها از جمله فروشگاهی، شرکتی و... مورد استفاده قرار گرفت.»

۱. حملات Brute Force؛ وقتی هکر پشت در خانه شماست

یکی از رایج‌ترین روش‌ها برای نفوذ، حدس زدن نام کاربری و رمز عبور است. بسیاری از کاربران هنوز از نام کاربری admin و رمزهای ساده‌ای مثل 123456 استفاده می‌کنند. این بزرگترین هدیه به یک هکر است!

راه حل: نام کاربری پیش‌فرض را به هیچ وجه admin نگذارید.
از رمزهای عبور ترکیبی (اعداد، حروف بزرگ و کوچک و علائم) استفاده کنید.
تعداد دفعات ورود ناموفق را محدود کنید.

۲. افزونه‌ها و قالب‌های قدیمی؛ درهای نیمه‌باز

همان‌طور که مایکروسافت هر ساله آفیس را برای بهبود تجربه و امنیت به‌روزرسانی می‌کند، وردپرس و افزونه‌های آن هم مدام آپدیت می‌شوند. استفاده از افزونه‌های قدیمی یا "Nulled" (کرک شده) یعنی دعوت رسمی از هکرها.

نقل قول از متخصصین:

"امنیت یک محصول نیست، بلکه یک فرآیند است." — بروس اشنایر (Bruce Schneier)

راه حل: فقط از مخزن رسمی وردپرس یا مارکت‌های معتبر افزونه تهیه کنید.
هر هفته وضعیت به‌روزرسانی قالب و افزونه‌ها را چک کنید.
افزونه‌هایی که دیگر پشتیبانی نمی‌شوند را حذف کنید.

۳. تزریق کد یا SQL Injection

هکرها گاهی از طریق فرم‌های سایت (مثل فرم تماس یا نظرات) کدهای مخربی را وارد پایگاه داده شما می‌کنند. این موضوع دقیقاً مثل مدیریت پایگاه داده در نرم‌افزار Access حساس است؛ اگر ورودی‌ها کنترل نشوند، کل داده‌های شما در خطر است.

راه حل:
از افزونه‌های امنیتی معتبر مثل Wordfence یا Sucuri استفاده کنید.
پیشوند جداول دیتابیس (wp_) را به یک عبارت سخت و اختصاصی تغییر دهید.

۴. کدنویسی امن و تغییر پیشوند جداول

برای افزایش امنیت، می‌توانید به صورت دستی تغییراتی در فایل‌های حساس ایجاد کنید. برای مثال، تغییر پیشوند جداول در فایل wp-config.php یکی از اولین قدم‌های هوشمندانه است.

/* Changing the database prefix for better security. 
   Instead of the default 'wp_', use something unique.
*/
$table_prefix = 'tosinso_secure_789_'; 

// Database settings and other configurations follow...
var dbName = 'Main_Database';
var dbUser = 'Alireza_Admin';

چک‌لیست نهایی برای امنیت وردپرس

استفاده از گواهی امنیتی SSL (https).
غیرفعال کردن ویرایشگر فایل در پیشخوان وردپرس.
پشتیبان‌گیری (Backup) منظم؛ درست مثل ذخیره کردن اطلاعات در OneNote برای روز مبادا.

استفاده از احراز هویت دو مرحله‌ای (2FA).