پلاگین ها و تم های وردپرس ممکن است آسیب پذیری داشته باشند: چگونه سایت خود را ایمن کنیم

وردپرس خود ممکن است ایمن باشد، اما افزونه هایی که برای به حداکثر رساندن پتانسیل وبلاگ شما استفاده می شوند ممکن است منجر به حملات سایبری شوند. در اینجا چیزی است که شما باید بدانید.

وردپرس به عنوان محبوب ترین سیستم مدیریت محتوا، میلیون ها وب سایت مختلف را نیرو می دهد. این نرم افزار منبع باز است، به این معنی که کد منبع آن برای عموم قابل دسترسی است و تقریباً هر کسی که دانش کافی را دارد می تواند آن را تغییر دهد.

اگرچه می توان افزونه ها و تم های وردپرس را خریداری کرد، ده ها هزار مورد از آنها به صورت رایگان در دسترس هستند. همانطور که می توان انتظار داشت، این بدون جنبه های منفی نیست. بنابراین سایت های وردپرس چقدر آسیب پذیر هستند؟ در مورد تم ها و افزونه های آن چطور؟ و چگونه می توانید از سایت های خود محافظت کنید؟

وردپرس چقدر آسیب پذیر است؟

در فوریه 2022، Jetpack متوجه شد که مضامین و افزونه‌های محبوب فروشنده AccessPress Themes (همچنین به عنوان کلیدهای دسترسی شناخته می‌شوند) در معرض خطر قرار گرفته‌اند. محققان پس از کشف کد مشکوک در یک وب سایت در معرض خطر، به طور تصادفی آسیب پذیری را شناسایی کردند. پس از بررسی بیشتر، آنها متوجه شدند که اکثر پلاگین های AccessPress و هر تم حاوی کد یکسانی است.

بعداً مشخص شد که AccessPress Themes در سپتامبر 2021 قربانی یک حمله سایبری شده است که در آن هکرها یک درب پشتی را در پلاگین ها و تم های فروشنده تزریق کردند.

مطلب مرتبط: آیا اپل به اندازه کافی برای ایمن کردن AirTag ها انجام داده است؟

AccessPress در نهایت محصولات خود را به‌روزرسانی و پاکسازی کرد، اما احتمالاً هزاران کاربر برای مدت طولانی در معرض حملات قرار داشتند.

آیا پلاگین ها و تم های وردپرس دارای آسیب پذیری هستند؟

یافته های Jetpack نشان می دهد که وردپرس چقدر می تواند آسیب پذیر باشد. اما این یک مورد مجزا نبود.

به عنوان مثال، در مارس 2021، Wordfence آسیب‌پذیری‌های عمده‌ای را در دو افزونه وردپرس فاش کرد که اگر با موفقیت مورد سوء استفاده قرار می‌گرفت، به مهاجم اجازه می‌داد تا یک وب‌سایت را تصرف کند. این آسیب‌پذیری‌ها در افزونه‌های Elementor و WP Super Cache کشف شدند. Elementor یک سازنده وب سایت است که در بیش از هفت میلیون وب سایت استفاده می شود، در حالی که WP Super Cache یک افزونه کش محبوب است.

در فوریه 2022، همانطور که ژورنال موتور جستجو گزارش داد، پایگاه داده آسیب پذیری دولت ایالات متحده و محققان امنیتی وردپرس در مورد آسیب پذیری های جدی در ده ها افزونه وردپرس هشدار دادند.

از این افزونه‌ها، 9 پلاگین در بیش از 1.3 میلیون وب‌سایت استفاده شده‌اند: مدیریت کد سرصفحه، درج کننده آگهی—مدیر آگهی و تبلیغات AdSense، Popup Builder، امنیت ضد بدافزار و فایروال Brute-Force، حفاظت از کپی محتوای WP و بدون کلیک راست، پشتیبان گیری از پایگاه داده برای وردپرس، GiveWP، مدیریت دانلود و پاک کننده پیشرفته پایگاه داده.

چگونه سایت وردپرس خود را ایمن کنیم

می توان فرض کرد که این آسیب پذیری ها همیشه پس از کشف اصلاح می شوند یا حذف می شوند، اما در واقع اینطور نیست.

تحقیقات Patchstack نشان داد که در سال 2021 شاهد افزایش 150 درصدی آسیب‌پذیری‌های گزارش‌شده وردپرس در مقایسه با سال 2020 بودیم و 29 درصد از این آسیب‌پذیری‌ها هیچ وصله‌ای دریافت نکردند. Patchstack همچنین دریافت که تنها 0.58 درصد از نقص های گزارش شده در هسته وردپرس بوده است، به این معنی که آسیب پذیری ها تقریباً همیشه در افزونه ها یافت می شوند.

مطلب مرتبط: 6 دلیل برای جلوگیری از استفاده از سایت های تورنت برای دانلود نرم افزار

بسیار مهم است که مطمئن شوید همه افزونه هایی که استفاده می کنید و همچنین هسته وردپرس به روز هستند.

قبل از دانلود و نصب یک افزونه، ابتدا کمی تحقیق کنید. تعداد نصب های افزونه را بررسی کنید، نظرات را به صورت آنلاین بخوانید، ببینید آخرین بار چه زمانی به روز شده است و بررسی کنید که آیا با آخرین هسته وردپرس آزمایش شده است یا خیر. این فقط چند دقیقه طول می کشد، اما می تواند شما را از مشکلات زیادی در مسیر نجات دهد.

از طرف دیگر، می توانید از WPScan استفاده کنید که یک اسکنر آسیب پذیری وردپرس نسبتاً ساده و کارآمد است. این ابزار همچنین می تواند برای جستجوی یک پلاگین بر اساس نام مورد استفاده قرار گیرد. نسخه رایگان حداکثر 25 درخواست API در روز را امکان پذیر می کند.

خوشبختانه، برخی از افزونه ها در واقع برای محافظت از سایت وردپرس شما در برابر نفوذگران طراحی شده اند. Login LockDown، Wordfence، BulletProof Security برخی از بهترین افزونه های امنیتی وردپرس امروزی هستند. Login LockDown کاملا رایگان است، در حالی که دو مدل دیگر دارای مدل‌های اولیه و رایگان هستند.

نکات ایمنی وردپرس

همانطور که وردپرس می تواند آسیب پذیر باشد، رعایت اقدامات احتیاطی اولیه در مورد جلوگیری و دفع حملات سایبری بسیار موثر است.

استفاده از جزئیات منحصر به فرد ورود و احراز هویت دو مرحله ای، به روز نگه داشتن همه نرم افزارها، پنهان کردن نام تم ها و جزئیات ورود باید پایه و اساس بهداشت امنیتی وردپرس شما باشد.