راهکارهای وردپرس فابین

WP Security Issues 1 scaled

آمار امنیتی وردپرس در سال 2024: آیا وردپرس امن است؟

توسط

مسعود گل‌چین

آیا وردپرس واقعاً امن است؟ احتمالاً این سوالی است که ذهن بسیاری از کاربران جدید را مشغول می‌کند؛ به خصوص زمانی که می‌شنوند این یک پروژهٔ متن باز (open source) است. بنابراین، آیا آمارهایی در مورد امنیت وردپرس وجود دارد که بتواند پاسخی به این سؤال بدهد؟

در واقع، آمار و اطلاعاتی دربارهٔ این موضوع موجود است و ما در این پست سعی کرده‌ایم تا حد امکان، اعداد و ارقام معناداری را در مورد امنیت وردپرس گردآوری کنیم. در ادامه، گزارش‌ها و آمارها را در رابطه با امنیت هستهٔ وردپرس، قالب‌ها و افزونه‌ها، اطلاعات ورود و محیط‌های میزبانی‌وب بررسی خواهیم کرد.

هدف نهایی ما در آژانس طراحی سایت فابین این است که شما نه تنها درک درستی از وضعیت امنیت وردپرس داشته باشید، بلکه به طور دقیق از محل ریسک‌ها نیز آگاه شوید تا بتوانید آن‌ها را برطرف کنید.

چرا از نظر آماری، وردپرس محبوب‌ترین هدف برای هکرها است؟

آمار و نمودار

زمانی که در مورد امنیت وردپرس صحبت می‌کنیم باید به این توجه داشته باشیم که بر اساس آمار W3Techs، حدود ۴۳ درصد از کل وبسایت‌هایی که بر روی اینترنت وجود دارند توسط سیستم مدیریت محتوای وردپرس طراحی و پیاده‌سازی شده‌اند.

۴۳٪ عدد نسبتا بزرگی است. بنابراین، در حالی که این آمار نشان ‌می‌دهد طرفداران وردپرس بسیار زیاد هستند، باید به این نکته هم توجه داشته باشیم که این مساله یک جنبه منفی نیز دارد: «قرار گرفتن در معرض هک!».

زیاد بودن تعداد وب‌سایت‌هایی که بر روی وردپرس اجرا می‌شوند به این معنی است که این سیستم مدیریت محتوی، می‌تواند هدف اصلی هکرها نیز باشد. در واقع، در گزارش Sucuri پیرامون تهدیدات امنیتی در سال ۲۰۲۲، سایت‌های وردپرسی ۹۶.۲٪ از کل وب‌سایت‌های آلوده را تشکیل می‌دهند.

نمودار پلتفرم های هک شده

وردپرس واقعا ایمن است!

وقتی چنین آماری را مشاهده می‌کنید، ممکن است اولین فکری که به ذهن‌تان برسد این باشد که: وردپرس واقعاً ایمن نیست! اما این‌طور نیست و وردپرس یکی از ایمن‌ترین پلتفرم‌های موجود است.

پس چرا بیشتر هک‌های موفق در بستر وردپرس اتفاق می‌افتند؟

جامعه کاربری بالا، وردپرس را به هدفی بسیار برجسته و سودآور برای هکرها تبدیل کرده است. سالانه صدها هزار وب‌سایت وردپرسی با موفقیت هک می‌شوند. اما خبر خوب این است که وردپرس به خودی خود ناامن نیست! در واقع بسیاری از هک‌ها بعلت اشتباهات فردی و به علت استفاده از قالب‌ها و افزونه‌های نامطمئن و ناایمن اتفاق می‌افتند. در ادامه با توجه به آمار این مساله را بررسی خواهیم کرد.

آمار آسیب‌پذیری هسته وردپرس چقدر است؟

برای پاسخ به اینکه آیا وردپرس ایمن است یا خیر، اجازه دهید با آماری در مورد امنیت هسته‌ی مرکزی وردپرس شروع کنیم:

اکثر وب‌سایت‌های هک شده به روز نشده‌اند

طبق گزارش Sucuri، اکثر وب‌سایت‌های وردپرسیِ که هک شده‌اند، قدیمی هستند. در سال ۲۰۲۲، بیش از نیمی از وب‌سایت‌هایی که به بدافزار آلوده شده بودند، بر روی آخرین نسخه وردپرس اجرا نمی‌شدند.

نمودار سیستم های مدیریت محتوی آپدیت شده و نشده

این تعجب آور نیست، زیرا برخی از نسخه‌های قدیمی CMS دارای مشکلات امنیتی شناخته شده‌ای هستند که به طور عمومی افشا شده است. بنابراین، اگر به استفاده از نسخه‌های قدیمی وردپرس بر روی وب‌سایت خود ادامه دهید، عملاً دارید از یک هکر دعوت می‌کنید تا وب‌سایت شما را هک کند.

در واقع، نسخه‌های وردپرس که دارای بیشترین مشکلات امنیتی بودند، همگی تا نسخه ۴.۰ هستند. از این نسخه به بعد، تعداد آسیب‌پذیری‌ها به طور پیوسته کاهش یافته است.

آسیب پذیری های امنیتی در نسخه‌های وردپرس

گزارش Sucuri نیز منعکس کننده همین امر است. در مقایسه با نسخه‌های قبلی، سهم سایت‌های هک شده مبتنی بر وردپرس به دلیل به روز نشدن کاهش یافته است.

امنیت نسخه‌های آپدیت نشده وردپرس

توجه به این مساله دارای اهمیت است که بدانیم وردپرس در زمینه‌ی آسیب‌پذیری به واسطه‌ی قدیمی بودن، کمترین سهم را در میان تمام سیستم‌های مدیریت محتوا داشته است.

سیستم های مدیریت محتوی ناامن در سال ۲۰۲۲

این مورد برای دو سال متوالی اتفاق افتاده و سهم وردپرس در این مدت کمتر نیز شده است. تصویر زیر که مربوط به سال ۲۰۲۱ است را مقایسه کنید با تصویر بالا که مربوط به سال ۲۰۲۲ است.

سیستم های مدیریت محتوی نا امن در سال ۲۰۲۱

ایراد خطای انسانی است و نه وردپرس!

وضعیت به‌روزرسانی وب‌سایت‌ها توسط کاربران وردپرس چگونه است؟ خب، بسیاری از آن‌ها این کار را انجام نمی‌دهند. در اینجا، بر اساس آمار رسمی سایت وردپرس، نگاهی می‌کنیم به نسخه‌های مختلف وردپرسی که در سطح اینترنت در حال استفاده هستند:

نمودار نسخه‌های وردپرس و امنیت آنها

همانطور که می‌بینید، تنها حدود ۶۰٪ از وب‌سایت‌ها با آخرین نسخه در حال فعالیت هستند. با این حال، خبر خوب این است که اکثریت قریب به اتفاق در وردپرس ۴.۰ یا بالاتر هستند؛ جایی که وضعیت آسیب‌پذیری بسیار بهتر شده است. به علاوه، سه چهارم با آخرین نسخهٔ اصلی به‌روزرسانی شده‌اند که نسبت به قبل، آمار بسیار خوبی است. باید توجه داشت که در سال ۲۰۱۶، این سهم فقط ۵۰٪ بود.

یکی از دلایل بهتر شدن وضعیت به‌روزرسانی‌ها، ویژگی به‌روزرسانی‌های خودکار است که در نسخه‌ی ۵.۶ معرفی شده‌اند. دیگر لازم نیست به صورت دستی روی دکمه‌ی Update کلیک کنید. زیرا وردپرس در نسخه‌های جدید این امکان را دارد که به طور خودکار خودش را به‌روزرسانی کند؛ که این موضوع به روند مثبتِ به‌روزرسانی کمک کرده است.

آپدیت خودکار وردپرس

زیرساخت امنیتی وردپرس همیشه بروزرسانی می‌شود

اگرچه اغلب کاربران تمایل ندارند وب‌سایت خود را به‌روزرسانی کنند، اما سیستم ایمنی هسته‌ی وردپرس کار خود را به خوبی انجام می‌دهد. تیم امنیتی وردپرس به سرعت مشکلات را در هر نسخه‌‌ای از وردپرس پیدا کرده و اصلاح می‌کند.

در سال ۲۰۲۳، سه نسخه‌ی امنیتی وجود داشت که ۲۰ تا ۳۰ آسیب‌پذیری را اصلاح کردند. وردپرس ۶.۰.۳ به تنهایی شامل ۱۶ اصلاح امنیتی است. همچنین چهار نسخه‌ی امنیتی در پروژه‌ی سال ۲۰۲۲ وجود داشت که در مجموع ۲۶ باگ امنیتی در آن برطرف شد.

اخبار امنیتی وردپرس

این هوشیاری و بروز بودن به سایر بخش‌های اکوسیستم نیز گسترش یافته است. افزونه Elementor با یک آسیب‌پذیری حیاتی مواجه شد که به سرعت اصلاح شد. Ninja Forms یک به‌روزرسانی اجباری را از WordPress.org دریافت کرد و BackupBuddy یک نقص امنیتی با شدت بالا را اصلاح کرد و نسخهٔ به‌روز شده را برای کاربران خود فرستاد.

لیست پلاگین‌های وردپرس با آپدیت امنیتی

وردپرس سابقه‌ی طولانی در زمینه‌ی آسیب‌پذیری‌های امنیتی دارد، اما در پاسخگویی سریع به این آسیب‌پذیری‌ها نیز سابقه‌ی طولانی دارد. یکی از بزرگترین چالش‌هایی که همچنان باقی مانده است، تشویق کاربران به به‌روزرسانی وب‌سایت‌هایشان است.

امنیت پوسته و افزونه‌های وردپرس چگونه است؟

به عنوان محبوب‌ترین سیستم مدیریت محتوا، وردپرس طیف گسترده‌ای از افزونه‌ها را نیز ارائه می‌دهد که بسیاری از آن‌ها رایگان هستند. در زمان نگارش این متن، تقریبا ۶۰,۰۰۰ افزونه و بیش از 11,000 قالب در مخزن رسمی وردپرس موجود است.

مخزن پلاگین‌های وردپرس

ولی این همه‌‌ی ماجرا نیست! به غیر از این تعداد، هزاران افزونه‌‌ی دیگر هم در گوشه و کنار وب پیدا می‌شود که بسیاری از آن‌ها به صورت پولی ارائه می‌شوند. نکتهٔ جالب در مورد وردپرس همین است؛ تقریباً برای هر مشکلی که داشته باشید، به احتمال زیاد قبلاً راه حلی ارائه شده است.

اما هر افزونه‌ای که بر روی سایت خود نصب می‌کنید، به منز‌له‌ی یک نقطه‌ی ورود بالقوه برای مهاجمین است. قالب‌ها و افزونه‌هایی که توسط توسعه دهندگان مستقل ساخته می‌شوند، به اندازه‌ی هسته‌ی وردپرس به طور دقیق مورد بررسی و آزمایش قرار نمی‌گیرند. در نتیجه، احتمال وجود حفره‌های امنیتی در آن‌ها بیشتر است. علاوه بر این، گاهی اوقات توسعه دهندگان پشتیبانی از کارهای خود را متوقف کرده و افزونه یا قالب منسوخ می‌شود.

بنابراین، جای تعجب ندارد که افزونه‌ها به طور کلی و به ویژه پلاگین‌ها، نقش بزرگی در آمار امنیت وردپرس ایفا می‌کنند. در واقع، طبق آمار وب‌سایت WPScan.com، بخش عظیمی از آسیب‌پذیری‌های وردپرس در پلاگین‌ها قرار دارند.

آسیب پذیری وردپرس در پلاگین‌ها

Patchstack نیز به اعداد مشابهی رسید.

باگ امنیتی وردپرس

ظاهرا به طور خاص پلاگین‌های رایگان بیشتر مشکل‌ساز هستند. گزارش‌های Sucuri نشان می‌دهند که قالب‌ها و افزونه‌های پولی تنها ۸.۶۲٪ از کل آسیب‌پذیری‌ها را تشکیل می‌دهند، در حالی که افزونه‌های رایگان ۹۱.۳۸٪ را به خود اختصاص داده‌اند.

یک مشکل رایج این است که مالکان وب‌سایت از نسخه‌های قدیمی که دارای مشکلات امنیتی است استفاده می‌کنند. Sucuri گزارش می‌دهد که ۳۶٪ از تمام وب‌سایت‌های هک شده، در هنگام تلاش برای رفع مشکل، حداقل یک پلاگین یا قالب آسیب‌پذیر داشته‌اند.

حساب افزونه‌های محبوب برای اکثر هک‌ها

اینکه کدام پلاگین‌ها و قالب‌ها بیشتر دچار مشکل می‌شوند نیز جالب است. طبق گزارش Sucuri، شایع‌ترین اجزای آسیب‌پذیر شناسایی شده، شامل نسخه‌های قدیمی (Contact Form 7 (27/44% و (Freemius Library (20.85% و (WooCommerce (14.51% بودند. چند مورد دیگر نیز وجود داشت.

لیست پلاگین‌های وردپرس دارای ضعف امنیتی

چرا هنوز اجازه می‌دهیم این افزونه‌ها وجود داشته باشند در حالی که عملکرد امنیتی بسیار ضعیفی دارند؟ اینجا هم همان منطقی که برای وردپرس به طور کلی وجود دارد، صدق می‌کند. لزوماً این‌طور نیست که این افزونه‌ها ذاتاً ناامن‌ترند، بلکه به سادگی بسیار محبوب هستند. تنها افزونه‌ی Contact Form 7 بیش از پنج میلیون نصب دارد.

علاوه بر این، توسعه‌دهندگان این افزونه‌ها معمولاً در برطرف کردن مشکلات امنیتی شناخته شده، عملکرد خوبی دارند. مشکل فقط زمانی رخ می‌دهد که کاربران، این به‌روزرسانی‌ها را اعمال نمی‌کنند.

ما از این همه توضیح چه نکته‌ای دریافت می‌کنیم؟ بله، قالب و افزونه‌های خود را درست مانند سایر بخش‌های سایت وردپرسی خود به‌روز نگه داریم.

آسیب‌پذیری‌های ورود یعنی چه؟

گذرواژه‌های ضعیف یک عامل خطرزای جدّی در موفقیت نفوذ به وب‌سایت‌ها هستند. گذرواژه‌های آسان و قابل حدس، به راحتی با حملات brute force attack و credential stuffing به خطر می‌افتند.

وقتی چنین اتفاقی رخ می‌دهد، واقعا مهم نیست که سایت شما چقدر به‌روز باشد یا افزونه‌ها و قالب‌های شما چقدر امن باشند. وقتی کسی دسترسی کامل به سایت شما داشته باشد، کارهای کمی وجود دارد که نمی‌تواند انجام دهد!

به عنوان مثال، Sucuri نام کاربری که هکر‌ها برای خود ایجاد کرده‌اند را در ۳۲.۶۹٪ از وب‌سایت‌های آلوده پیدا کرده و مورد بررسی قرار داده است. فقط برای سرگرمی، نگاهی به تصویر پایین داشته باشیم که در آن نام‌های کاربری و ایمیل‌هایی که بیشتر استفاده می‌کرده‌اند، آورده شده است.

نام های کاربری مورد استفاده توسط هکرها

وردپرس یک ابزار تولید خودکار گذرواژه‌های امن هم دارد. چرا از آن استفاده نکنیم؟

علاوه بر این، اقدامات دیگری برای محافظت از صفحه ورود به پیشخوان وردپرس، مانند محدود کردن تلاش‌های ورود و احراز هویت دو مرحله‌ای وجود دارد که در مطلبی دیگر به آنها خواهیم پرداخت.

امنیت سرویس‌های هاستینگ و میزبانی وب

محیط هاست و فناوری‌های موجود در آن نیز نقش بسزایی در امنیت دارند؛ به ویژه نسخه‌ی PHP که وردپرس روی آن اجرا می شود. به عنوان مثال، PHP 7 ویژگی‌های امنیتی بهتری نسبت به PHP 5 ارائه کرده است.

علاوه بر این، توسعه دهندگان PHP یک سیاست به نسبت سختگیرانه‌ای برای پایان پشتیبانی از نسخه‌‌های قدیمی‌شان دارند. در زمان نگارش این مطلب، هر نسخه‌ی PHP قبل از ۸.۰ دیگر وصله‌ی امنیتی دریافت نخواهد کرد. بنابراین بهتر است از استفادهٔ بلند مدت از نسخه‌های قدیمی‌تر اجتناب کنیم.

نمودار مشکلات امنیتی نسخه‌های PHP

از این استفاده از نسخه‌های جدید PHP، وضعیت وبسایت‌های مبتنی بر وردپرس چندان مطلوب نیست. در حالی که اکثر قریب به اتفاق وب‌سایت‌های وردپرسی حداقل بر روی PHP نسخه‌ی ۷.۰ اجرا می‌شوند و تقریبا نیمی از آن‌ها از نسخه‌ی ۷.۴ استفاده می‌کنند. قابل توجه است که تنها کمی بیش از یک چهارم وب‌سایت‌ها هستند که از نسخه‌های فعال PHP استفاده می‌کنند.

نمودار استفاده‌ی وبسایت های وردپرس از نسخه‌های PHP

متأسفانه، هنوز هم ۶٪ از وبسایت‌های وردپرسی بر روی نسخه‌های PHP 5.x اجرا می‌شوند که سال‌هاست به‌روزرسانی و پشتیبانی دریافت نکرده‌اند. بنابراین، اگر تا به حال این کار را انجام نداده‌اید، حتماً نسخه PHP خود را به‌روزرسانی کنید.

خلاصهٔ آمار امنیتی وردپرس چیست؟

هیچ سیستم مدیریت محتوایی‌ای صد در صد ایمن نیست. در واقع هر چیزی که به اینترنت و وب متصل و مرتبط است، کاملاً ایمن نیست. با این حال، با وجود آنچه ممکن است در جای دیگری شنیده باشید، آمار امنیتی وردپرس به طور کلی بسیار خوب است. بله، مسائلی وجود دارد که نیاز به رفع دارند، اما اکثر آن‌ها به طور فعال در حال رسیدگی و برطرف شدن هستند.

اگر می‌خواهید در بهبود امنیت وردپرس وبسایت‌تان کمک کنید، می‌توانید با رعایت این نکات بهترین نتیجه را دریافت کنید:

  • همیشه وردپرس، افزونه‌ها و قالب‌های آن را به‌روز نگه دارید.
  • فقط از افزونه‌هایی استفاده کنید که از منابع معتبر و شناخته شده تهیه شده باشند.
  • برای تمام وب‌سایت خود، از جمله پنل مدیریت، از رمزهای عبور قوی استفاده کنید.
  • استفاده از فایروال و یا شبکه‌ی توزیع محتوا (CDN) را در نظر بگیرید.
  • تعداد تلاش‌های ورود به وب‌سایت را محدود کنید.
  • برای رمزگذاری تمامی ترافیک وب‌سایت خود، از جمله پنل مدیریت، از گواهی‌نامه‌های SSL استفاده کنید.
  • میزبانی را انتخاب کنید که به شما امکان دهد نسخه‌ی PHP خود را به‌روز نگه دارید.

اگر این نکات را رعایت کنید، می‌توانید اطمینان داشته باشید که وبسایت یا وبلاگ‌تان از امنیت مناسبی برخوردار است.