پلاگینها ابزارهای کاربردی و ضروری برای بهبود عملکرد سایتهای وردپرسی هستند؛ اما هرچه پلاگینهای بیشتری به وبسایت اضافه کنید، خطر تهدیدهای احتمالی نیز بیشتر خواهد شد. در واقع پلاگینهای آسیبپذیر بهترین راه برای دسترسی مهاجمان به سایتهای وردپرسی به شمار میروند. بهعلاوه، با نصب یک پلاگین روی وبسایت ممکن است با مشکلاتی مانند افزایش زمان بارگذاری وبسایت، گزارشهای ترافیک مشکوک و همچنین سیل ایمیلهای اسپم مواجه شوید. برای جلوگیری از چنین خطرات و مشکلاتی ابتدا باید تشخیص دهید که کدام یک از پلاگینها ناامن هستند و سپس اقدامات امنیتی برای کاهش خطرات نصب پلاگین روی وردپرس را انجام دهید. در این مقاله بهطور کامل درباره چگونگی افزایش امنیت وردپرس بعد از نصب پلاگین صحبت میکنیم.
همه پلاگینهای وردپرس ایمن نیستند!
با توجه به اینکه 43 درصد از وبسایتهای موجود در اینترنت با وردپرس ساخته شدهاند، جای تعجب نیست که وبسایتهای وردپرسی هدف اصلی هکرها و مجرمان سایبری باشند. استفاده آسان از پلاگینهای رایگان از مهمترین دلایل محبوبیت طراحی وبسایت با وردپرس است؛ بهطوری که کاربران این سیستم مدیریت محتوا میتوانند به بیش از 60 هزار پلاگین دسترسی داشته باشند.
بسیاری از پلاگینها توسط توسعهدهندگان معتبر ایجاد میشوند که بهطور کامل تحت کنترل هستند؛ اما بعضی از افزونههای وردپرسی امنیت مناسبی ندارند و حتی با هدف تخریب ساخته میشوند. کدهای مخرب آسیبپذیری وبسایت در برابر حملات سایبری را افزایش داده و حتی عملکرد وبسایت را تحت تاثیر قرار میدهند. برای افزایش امنیت وردپرس باید تشخیص دهید که کدام پلاگین امن است و کدام مخرب.
بهطور کلی برای کاهش خطرات حملات سایبری پیشنهاد میکنیم از سرویس امنیت ابری استفاده کنید که با تشخیص سریع ترافیک مخرب، از ضررهای سنگین جلوگیری میکند.
چگونه پلاگینهای ایمن را برای افزایش امنیت وردپرس تشخیص دهیم؟
صرف نظر از اینکه کسبوکار شما چقدر بزرگ است، استفاده از پلاگینهای مخرب میتواند ضررهای سنگینی به شما وارد کند. تشخیص پلاگینهای آسیبپذیر مهمترین کاری است که میتوانید برای افزایش امنیت وردپرس انجام دهید. در ادامه به بررسی روشهای تشخیص پلاگینهای ایمن از مخرب میپردازیم:
پلاگین را فقط از مخزن (Repository) رسمی دانلود کنید!
مخزن (Repository) رسمی پلاگین وردپرس امنترین و مطمئنترین منبع پلاگین است. بنابراین توصیه میکنیم پلاگینهای وردپرس را در صورت امکان از دایرکتوری رسمی پلاگین WordPress.org دانلود کنید. هر پلاگین جدیدی که قرار است به بازار ارائه شود، تحت یک فرایند بررسی قرار میگیرد تا استانداردهای کیفیتی آن بررسی شود.
پلاگینهایی که توسط سایر وبسایتها ارائه میشوند، ممکن است ناامن باشند و امنیت سایت وردپرس شما را تهدید کنند. بااینحال اگر نیاز به دانلود پلاگین از یک سایت دیگر دارید، با توجه به نکات زیر اعتبار سایت مورد نظرتان را بسنجید:
- سایت باید Eye test را گذرانده باشد: طراحی حرفهای و استفاده از زبان واضح برای توصیف پلاگین.
- نام شرکت معتبر باید در فوتر باشد.
- شرایط خدمات و حریم خصوصی بهراحتی در دسترس باشد.
- باید بتوانید یک آدرس فیزیکی را در صفحه تماس یا شرایط خدمات مشاهده کنید.
- اگر نام دامنه را بهصورت نقل قول (داخل «») جستوجو کنید، نباید هیچ گزارشی از فعالیت مخرب آن بیابید. با اضافه کردن کلماتی مانند «malware»، «exploit» و «vulnerability» ممکن است اطلاعات بیشتری به دست آورید.
نظرات و رتبهبندی پلاگین مورد نظرتان را بررسی کنید!
خواندن نظرات و بررسی رتبهبندی برای یک پلاگین وردپرس میتواند دید خوبی در مورد عملکرد، امنیت و کیفیت کلی آن به شما بدهد. کاربرانی که با مشکل یا مسئله بزرگی در پلاگین مواجه شدهاند، احتمالا تجربه خود را با دیگران به اشتراک میگذارند. از جمله مواردی که میتوانید در بررسی پلاگین به آنها توجه کنید، عبارتاند از:
- تعداد کل نظرات: تعداد بالای نظرات یک پلاگین میتواند نشاندهنده خوب بودن آن باشد. بااینحال، حتما تعدادی از نظرات را حتما بخوانید و سایر منابع را نیز برای اطمینان از صحت نظرات بررسی کنید.
- میانگین امتیاز: میانگین امتیاز بالای 4 ستاره برای یک پلاگین، ایدهآل است و نشان میدهد که اکثر کاربران تجربه مثبتی از این افزونه وردپرسی داشتهاند.
- نظرات اخیر: نظرات اخیر کاربران درباره یک پلاگین تایید میکنند که پلاگینهای نصبشده همچنان عملکرد خوبی دارند. همچنین با بررسی نظرات اخیر متوجه خواهید شد که آیا این پلاگین همچنان حفظ میشود یا خیر.
- مشکلات رایج: قبل از دانلود، حتما نگاهی به نظرات منفی بیندازید که با مشکلات احتمالی استفاده از آن پلاگین آشنا شوید. بهاینترتیب راحتتر میتوانید برای افزایش امنیت وردپرس اقدام کنید.
توجه کنید که اگر یک پلاگین نظرات بسیاری دارد، اما همه آنها قدیمی هستند، باید گزینههای جایگزین را در نظر بگیرید و برای حفظ امنیت سایت وردپرسی از آن استفاده نکنید. همچنین اگر یک پلاگین نصب پایینی دارد (زیر 1000 نصب فعال) باید در انتخاب آن احتیاط کنید؛ زیرا ممکن است توسط توسعهدهنده نگهداری و بهروزرسانی نشود.
اعتبار توسعهدهندگان پلاگین را بسنجید!
یک توسعهدهنده معتبر احتمالا پلاگینهای باکیفیت و ایمن را حفظ میکند و پشتیبانی و بهروزرسانیهای لازم را در طول زمان ارائه میدهد. برای سنجش اعتبار توسعهدهنده ابتدا وبسایت آن را بررسی کنید و اطلاعاتی در مورد سابقه، تخصص و سایر محصولاتی که ارائه میدهد، جمعآوری کنید. یک وبسایت حرفهای با اطلاعات دقیق نشاندهنده اعتبار توسعهدهنده است. همچنین تاریخچه تغییرات و بهروزرسانیهای پلاگین نشان میدهد که توسعهدهنده آن همواره مشکلات احتمالی را برطرف میکند.
یک راه عالی برای جلوگیری از حملات سایبری و ارتقای امنیت وبسایت استفاده از CDN است. با مطالعه مقاله «CDN چیست» به مزایای شبکه توزیع محتوا برای بهبود عملکرد، امنیت و سرعت پی خواهید برد.
تعداد بهروزرسانیها و سازگاری پلاگین وردپرس را ارزیابی کنید!
افزونهای که بهطور منظم بهروزرسانی میشود، خطر کمتری برای امنیت در وردپرس دارد. اگر توسعهدهنده برای مدت طولانی پلاگین را بهروزرسانی نکرده باشد، احتمالا دیگر از آن پشتیبانی نمیکند. استفاده از پلاگین پشتیبانینشده تهدیدی برای امنیت سایت وردپرس محسوب میشود.
همچنین هنگام دانلود پلاگین باید سازگاری آن را با نسخه فعلی وردپرس خود بررسی کنید. پلاگینهای ناسازگار امنیت سایت وردپرسی را به خطر میاندازند. اکثر توسعهدهندگان نسخههای سازگار وردپرس را در توضیحات یا مستندات پلاگین ذکر میکنند.
مستندات پلاگین را بررسی کنید!
وجود مستندات پلاگین نشان میدهد که توسعهدهندگان اهمیت ویژهای برای محصول و کاربران قائل هستند. مطالعه مستندات میتواند چندین ساعت در وقت شما صرفهجویی کرده و از هر گونه مشکل یا چالشی هنگام استفاده از پلاگین جلوگیری کند.
از اسکنرها و تسترهای امنیتی استفاده کنید!
اسکنرهای امنیتی این امکان را به شما میدهد که قبل از نصب پلاگینها، امنیتشان را بررسی کرده و مشکلات احتمالی را شناسایی کنید. برخی از محبوبترین ابزارهای تست امنیت عبارتاند از:
- Solid Security Pro
- WPScan – Plugin Security Scanner
- Jetpack Protect
بعد از نصب پلاگین وبسایتتان را مانیتور کنید!
بعد از انجام همه اقدامات احتیاطی لازم، توصیه میکنیم که عملکرد و وضعیت وبسایتتان را تحت نظر بگیرید. بهاینمنظور زمان بارگذاری وبسایت، دادهها و گزارشهای خطا را برای رفتار غیرعادی یا مشکلات احتمالی بررسی کنید. همچنین میتوانید از یک پلاگین امنیت سایت وردپرسی برای محافظت از وبسایت خود در برابر تهدیدهای احتمالی استفاده کنید. این ابزارها ترافیک مخرب از جمله حمله DDoS را شناسایی و مسدود میکنند، آسیبپذیری را اسکن میکنند و به شما در مورد مسائل امنیتی وبسایت هشدار میدهند.
آموزش افزایش امنیت وردپرس با 7 راهکار ساده
تا این قسمت از مقاله به بررسی نکات مهم برای بررسی امنیت پلاگین وردپرس پرداختیم. توجه کنید که وجود یک مشکل در پلاگین لزوما بهمعنای ناامن بودن آن نیست؛ اما دو یا چند مورد مشکوک برای امنیت سایت وردپرسی تهدیدآفرین خواهد بود. بعد از انتخاب پلاگین امن، توصیه میکنیم از راهکارهای زیر برای افزایش امنیت وردپرس استفاده کنید:
تا حد امکان از پلاگینهای کمتری استفاده کنید!
با نصب هر پلاگین روی وبسایت خود، سطح حمله (Attack surface) افزایش پیدا میکند. هرچقدر که کد بیشتری اجرا کنید، احتمال سوءاستفاده از یک آسیبپذیری امنیتی نیز بیشتر خواهد شد. به بیان دیگر، هر پلاگینی که به وبسایت اضافه میکنید، نشاندهنده این است که به یک توسعهدهنده دیگر برای ایمن نگه داشتن وبسایت خود اعتماد کردهاید. ازهمینرو برای افزایش امنیت وردپرس توصیه میشود پلاگینهای کمتری روی وبسایتتان نصب کنید.
در صورت استفاده نکردن از پلاگین، فورا آن را حذف کنید!
شاید شنیده باشید که بهترین راه برای ایمنسازی دادهها، حذف کامل آنها است. این تئوری درباره افزونههای وردپرس نیز صدق میکند. بنابراین چنانچه دیگر قصد استفاده از پلاگین را ندارید، بلافاصله آن را حذف کنید تا احتمال خطر کاهش پیدا کند.
پلاگینهای وردپرس خود را بهروز نگه دارید!
آسیبپذیریهای امنیتی بهطور مداوم در پلاگینهای وردپرسی کشف میشوند. در بسیاری از موارد، جزئیات آسیبپذیریها بهصورت عمومی منتشر میشوند و در دسترس همه قرار میگیرند. اکثر حملاتی که به وبسایتهای وردپرسی میشود، تلاشهایی برای سوءاستفاده از حفرههای امنیتی شناختهشده است. مهاجمان بهجای جستوجوی آسیبپذیریهای جدید، بهدنبال وبسایتی هستند که پلاگینهای نصبشده روی آنها بهروزرسانی نشده است. بنابراین با بهروزرسانی پلاگینها میتوانید بهراحتی جلوی بسیاری از حملات به وبسایتهای وردپرسی از جمله DoS و DDoS را بگیرید. برای آشنایی با تفاوتهای این دو حمله، شما را به خواندن مقاله «تفاوت DoS و DDoS چیست» دعوت میکنیم.
پلاگینهای قدیمی را جایگزین کنید!
بعضی از توسعهدهندگان پلاگینهای وردپرس بعد از مدتی پروژه خود را رها کرده و آن را بهروزرسانی نمیکنند. در واقع بیش از 46 درصد از پلاگینها به مدت 2 سال بهروزرسانی نشدهاند که این بهمعنای آسیبپذیری شدید آنها در برابر حملات سایبری است. ازهمینرو توصیه میکنیم پلاگینهایی را که بیش از 2 سال از آخرین بهروزرسانی آنها میگذرد، حذف یا جایگزین کنید.
گاهی اوقات نیز تیم پلاگین WordPress افزونههایی را به دلیل وجود آسیبپذیریهای امنیتی از دایرکتوری پلاگین WordPress.org حذف میکنند. بنابراین توصیه میکنیم افزونههایی که از این دایرکتوری حذف میشوند را فورا از وبسایت خود حذف کنید.
فایروال وردپرس نصب کنید!
هر از چند گاهی ممکن است مهاجمی یک آسیبپذیری روز صفر (Zero-day) کشف کرده و با استفاده از آن شروع به حمله به وبسایت کند. در چنین شرایطی حتی نصب آخرین نسخه پلاگین نیز کمکی به امنیت سایت وردپرس نمیکند. بااینوجود فایروال وب اپلیکیشن (WAF) میتواند از وبسایت در برابر این حمله محافظت کند. فایروالهای وب اپلیکیشن ترافیک ورودی به وبسایت را بررسی کرده و درخواستهای مخرب را فیلتر میکنند. در مقاله «WAF چیست» بهطور کامل به توضیح این نوع فایروال پرداختهایم که برای کسب اطلاعات بیشتر میتوانید آن را مطالعه کنید.
افزایش امنیت وردپرس با راهاندازی وبسایت وردپرسی روی CDN
در این مقاله به بررسی نحوه انتخاب پلاگینهای امن برای وردپرس پرداختیم و راهکارهای افزایش امنیت وردپرس را به شما آموزش دادیم. همانطور که گفتیم بهطور کلی نصب پلاگین سطح آسیبپذیری وبسایت را افزایش میدهد و حتی نصب پلاگین امنیتی وردپرس نیز تضمینی برای جلوگیری از حملات نیست. برای افزایش امنیت وردپرس توصیه میکنیم وبسایت خود را روی CDN راهاندازی کنید تا از مزایای شبکه توزیع محتوا برای جلوگیری از حملات DDoS بهرهمند شوید.
برای یادگیری راهاندازی وبسایت روی CDN بهصورت گام به گام و تصویری مقاله استفاده از CDN در وردپرس را مطالعه کنید تا بهراحتی و در کمترین زمان بتوانید این کار را انجام دهید. همین حالا برای ارتقای امنیت سایت وردپرسی، آن را بهصورت رایگان روی CDN ابر دراک راهاندازی کنید و از مزایای شبکه توزیع محتوا از جمله بهبود عملکرد و سرعت وبسایت بهرهمند شوید.
