بررسی افزونه های نصب شده در وبسایت وردپرس از نظر آسیب پذیری و امنیت

0 588 خواندن این مطلب 6 دقیقه زمان میبرد

افزونه ها می توانند کار های زیادی برای وب سایت مشاغل کوچک شما، انجام دهند. می توانید از آن ها برای بارگیری سریعتر سایت وردپرس خود، اشتراک گذاری مطالب خود، جمع آوری آدرس ایمیل بازدیدکنندگان برای لیست بازاریابی خود و انجام بهتر نتایج جستجو، استفاده کنید. همچنین، بسیاری از بهترین افزونه های وردپرس که می توانند وب سایت شما و وبلاگ تجاری شما را ارتقا دهند رایگان هستند. اما، چگونه مطمئن شویم افزونه ای که در سایت وردپرسی نصب می کنیم، مطمئن است و آسیب پذیری امنیتی ندارد؟ در ادامه، راه حل هایی را برای بررسی امنیت افزونه وردپرس، توضیح خواهیم داد.

این که مطمئن شوید افزونه هایی که انتخاب می کنید، معتبر و مطمئن هستند، نکته بسیار مهمی است که باید به آن توجه داشته باشید. متأسفانه هکر ها و بسیاری از مهاجمان، می توانند از افزونه ها سوء استفاده کنند و می کنند. معمولاً، این شامل اسکریپت های مخرب است که به پلاگین هایی با شکاف امنیتی، نفوذ می کنند.

این اسکریپت های مخرب چه می کنند؟ نصب نرم افزار های جاسوسی و استخراج ارز های رمزنگاری شده و همچنین سرقت اطلاعات مشتریان و داده های کارت اعتباری از سایت های تجارت الکترونیک، نمونه هایی از این موارد است.

البته، همه این ها بدان معنا نیست که وردپرس ناامن است. بین ژانویه و ژوئیه 2021، محققان تنها سه آسیب پذیری را در نرم افزار اصلی پیدا کردند. اما با وجود ده ها هزار افزونه از تعداد ناشران، احتمال بروز مشکل امنیتی در افزونه ها بیشتر از خود پلتفرم است.

آیا افزونه وردپرس شما در معرض تهدید است؟

انتخاب افزونه ها، مانند خرید خودرو است. البته شما بهترین عملکرد را می خواهید، اما همچنین چیزی را می خواهید که ایمن، قابل اعتماد و آسان برای نگهداری باشد. شما باید افزونه های دارای رتبه برتر را، از یک منبع معتبر تهیه کنید و با بررسی امنیت افزونه وردپرس خود، در نهایت به یک افزونه مخرب یا دارای آسیب پذیری امنیتی، گرفتار نشوید.

قبل از بارگیری آن نظرات را بررسی کنید، نه فقط رتبه بندی ستاره، بلکه بازخورد کاربران را نیز بررسی کنید. ببینید مردم در مورد افزونه چه چیزی را دوست دارند. مشکلات مربوط به افزونه یا به روزرسانی های اصلی را بخوانید. درک کنید که ناشر چقدر از افزونه پشتیبانی می کند.

همچنین تعداد نصب های فعال را بررسی کنید تا از میزان اعتماد کاربران به افزونه اطمینان حاصل کنید. یک افزونه خوب می تواند فقط چند صد کاربر داشته باشد، اما افزونه ای با هزاران کاربر اعتماد زیادی را به خود جلب کرده است.

آیا میزبان وب برای سایت من امنیت ندارد؟

میزبان وب شما، امنیت زیادی را شامل می شود، از جمله حفاظت فیزیکی و دیجیتالی برای سروری که سایت شما را میزبانی می کند. برنامه میزبانی خاص شما، ممکن است شامل ویژگی های امنیتی وب سایت شما نیز باشد.

همچنین بخوانید

انواع خدمات میزبانی وب یا وب هاستینگ

این لایه های حفاظتی در وقت شما صرفه جویی می کند تا بتوانید بر نیاز های امنیتی خاص وب سایت خود تمرکز کنید: به روز نگه داشتن نسخه وردپرس، قالب ها و افزونه های خود و اطمینان از اینکه بروزرسانی ها باعث خراب شدن وب سایت شما نمی شوند (دلیل دیگری که پشتیبان گیری روزانه بسیار مهم است).

سازگاری با آخرین نسخه وردپرس را بررسی کنید

بنابراین، شما یک افزونه با نظرات خوب و کاربران زیادی پیدا کرده اید. قبل از بارگیری، مطمئن شوید که با نسخه وردپرس شما سازگار است. (برای امنیت و عملکرد، همیشه باید وب سایت خود را در وردپرس نیز به روز نگه دارید.)

برای اطمینان از سازگاری افزونه ها و وردپرس، باید نسخه فعلی وردپرس خود را بدانید. با رفتن به داشبورد وردپرس خود و کلیک بر روی “Updates” می توانید آن را پیدا کنید. اعلانی را مشاهده خواهید کرد که به شما اطلاع می دهد، که از آخرین نسخه استفاده می کنید یا خیر و در نهایت شماره نسخه را به شما می دهد.

اگر آخرین نسخه وردپرس را دارید، پیامی به این شکل مشاهده خواهید کرد:
تصویری از رایانه ای که روی آن نوشته شده است: آخرین نسخه وردپرس را دارید (You have the latest version of WordPress).

اگر از نسخه قدیمی وردپرس استفاده می کنید، یک دکمه را مشاهده خواهید کرد، که شما را برای به روز رسانی دعوت می کند:

بروزرسانی وردپرس، برای بررسی امنیت افزونه های وردپرس.

همچنین باید تأیید کنید که افزونه مورد نظر شما، بروز است. اکثر نویسندگان افزونه، در مورد بروز رسانی محصولات خود خوب هستند، اما گاهی اوقات افزونه ها رها می شوند یا بروزرسانی ها به آرامی انجام می شود. اگر یک اعلان جعبه زرد در بالای صفحه افزونه در WordPress.org مشاهده می کنید، به آن توجه کنید.

کادر اعلان زرد رنگ، برای بررسی امنیت افزونه های وردپرس. — هشدار برای نسخه وردپرس بروزرسانی نشده

همچنین کادر مشخصات موجود در صفحه را بررسی کنید تا ببینید کدام نسخه از وردپرس، با این افزونه کار می کند و اخیراً چگونه بروزرسانی شده است.

کادر مشخصات نسخه افزونه، برای بررسی امنیت افزونه های وردپرس. — وردپرس در این عکس، نسخه 5.8 است، بنابراین این افزونه به طور جدی قدیمی است.

این افزونه مثال زده شده، ممکن است با نسخه فعلی وردپرس به درستی کار نکند. همچنین می تواند ضعف های امنیتی داشته باشد که هکر ها می توانند از آن استفاده کنند. در واقع، حمله به سایت ها از طریق افزونه های قدیمی از جمله وب سایت های رها شده، تاکتیک مورد علاقه مهاجمانی است که به دنبال ربودن سایت ها برای پروژه های پلید خود هستند.

اگر افزونه انتخابی شما سازگار است، ادامه دهید و آن را امتحان کنید. اگر تصمیم گرفتید که برای سایت شما مناسب نیست، آن را حذف کنید. هنگامی که افزونه ها بروزرسانی نشوند، هکر ها به راحتی می توانند از این افزونه ها، سوء استفاده کنند.

وردپرس و افزونه های خود را بروز نگه دارید

مانند هر چیزی که با کد ساخته شده است، وردپرس و افزونه ها برای ویژگی های جدید، بهبود ها و تعمیرات، بروز می شوند. گاهی اوقات این مشکلات کوچک هستند و بر ظاهر یا عملکرد یک افزونه تأثیر می گذارند. گاهی اوقات آن ها حفره های امنیتی هستند که باید برای جلوگیری از سوء استفاده هکر ها، بروزرسانی و حل شوند.

وقتی ناشران بروز رسانی های امنیتی را اعلام می کنند، هکر ها نیز آن ها را مشاهده می کنند. آن ها شروع به بررسی سایت هایی می کنند که هنوز بروزرسانی نکرده اند. هکر ها، اغلب از ربات هایی استفاده می کنند که می توانند سایت های آسیب پذیر را به سرعت و در مقیاس بالا اسکن و شناسایی کنند.

حتی اگر از نسخه فعلی وردپرس و افزونه های خود راضی هستید، باز هم باید بروزرسانی کنید. وردپرس و برخی از افزونه ها به شما امکان می دهند آن ها را به صورت خودکار بروز کنید، که باید این کار را انجام دهید.

1. برنامه بروزرسانی دستی خود را تهیه کنید

اگر بتوانید متعهد شوید که سایت خود را برای اطلاع رسانی بروز رسانی، حداقل هفته ای یک بار بررسی کنید، این رویکرد می تواند کار کند. اگر وقتی مشغول هستید، تمایل دارید کار های کوچک را کنار بگذارید، این روش را فراموش کنید. چراکه ممکن است با آسیب پذیری های سایت مواجه شوید.

حتی اگر تصمیم دارید بروزرسانی های دستی را انجام ندهید، بهتر است بدانید چگونه. گاهی اوقات ممکن است نگران باشید که بروزرسانی، سایت شما را خراب می کند، به ویژه اگر افزونه های شما برای پشتیبانی از جدیدترین نسخه وردپرس بروز نشده اند. بنابراین، قبل از بروزرسانی دستی، از سایت خود نسخه پشتیبان تهیه کنید و در صورت بروز مشکل آماده حذف نصب باشید.

درست همانطور که هنگام بررسی اینکه کدام نسخه وردپرس را اجرا می کنید، به داشبورد خود بروید. روی “Updates” در ستون سمت چپ، درست در زیر صفحه اصلی کلیک کنید. وضعیت بروزرسانی وردپرس، افزونه ها و قالب های خود را مشاهده خواهید کرد. اگر مواردی قدیمی هستند، می توانید آن ها را بروز کنید.

2. یک افزونه امنیتی اضافه کنید

یک افزونه امنیتی وردپرس، با اسکن سایت شما برای بررسی امنیت افزونه های وردپرس شما، از جمله افزونه های قدیمی و بروزرسانی های منتظر وردپرس و ارسال هشدار های ایمیل برای هر زمان که سایت شما بروزرسانی انجام می دهد، لایه دیگری از حفاظت را برای سایت شما اضافه می کند.

هنوز وظیفه شماست که بروزرسانی ها را انجام دهید. اما به این ترتیب شما مسائلی را که بین بروزرسانی های منظم برنامه ریزی شده شما ظاهر می شوند، از دست نمی دهید.

اگر برنامه میزبانی شما، شامل سرویس امنیتی مانند SiteLock نمی شود، می توانید آن را به سایت خود اضافه کنید. برنامه اصلی، شامل اسکن روزانه بدافزار، حذف خودکار هرگونه بدافزار تشخیص داده شده توسط اسکن، حفاظت از حملات ربات ها و شبکه تحویل محتوا اساسی است که سایت شما را با جدیدترین گواهینامه های TSL/SSL به طور خودکار ایمن می کند.

سایر برنامه های امنیتی SiteLock، شامل فایروال برای برنامه های وب شما، محافظت در برابر حملات DDoS، اسکن پایگاه داده و اسکن های مداوم بدافزار، است.

3. بروز رسانی خودکار افزونه را تنظیم کنید

اگر افزونه هایی دارید که گزینه بروزرسانی خودکار ندارند، افزونه “Easy Updates Manager” را در نظر بگیرید. بله، افزونه ای برای بررسی امنیت افزونه های وردپرس.
نسخه رایگان، به شما امکان می دهد برخی یا همه افزونه های خود را تنظیم کنید تا به طور خودکار بروز شوند. این کارآمدترین رویکرد است، به ویژه اگر بیش از یک وب سایت را اجرا می کنید یا یک سایت پر بازدید با چندین افزونه را اجرا می کنید.