بیشتر این آسیبپذیریها با آپدیت (یا بهروزرسانی) حل میشوند. مثلاً اگر یکی از افزونههای وردپرس باگ داشته باشد و امنیت سایتتان را بهخطر بیندازید، به احتمال زیاد، با آپدیت کردن مشکلش رفع میشود.حالا این آپدیت کردن هم راهوچاه خودش را دارد و اگر نتوانید درست آن را انجام دهید، ممکن است که کماکان امنیت سایت در خطر باشد، یا اینکه اصلاً همه چیز بهم بریزد. در این مقاله میخواهیم موارد مهمی که باید بهصورت منظم چک کنید و از بهروز بودن آنها مطمئن شوید، یادآور شویم و نکات مهمی را با هم مرور کنیم. پیشنهاد میکنیم حتما به بخش امنیت سایت را در وبلاگ ایرانسرور سری بزنید در این بخش ما بهصورت ماهانه گزارشهایی از آسیبپذیریهای موجود در سیستمهای مختلف، مثل وردپرس و جوملا ارائه میکنیم.
چرا بهروزرسانی وردپرس مداوم خیلی مهم است؟
اگر تا کنون با وردپرس کارکرده باشید و یک وبسایت وردپرسی داشته باشید قطعا متوجه این موضوع شده اید که بروزرسانی های زیادی در فواصل زمانی کوتاه برای هسته وردپرس و افزونه هایی که نصب کرده اید منتشر میشود. شاید این موضوع را بی اهمیت و یا حتی آزاردهنده بدانید و توجهی به آن نکنید. اشتباهی که بسیاری از مدیران وبسایت انجام میدهند.
ضمنا ذکر این نکته ضروری است که بروزرسانی وردپرس فقط مربوط به بحث امنیت وبسایت نیست. بروزرسانی آپدیتهای وردپرس اهمیت زیادی دارد و دلایل اصلی آن به شرح زیر است:
- امنیت: آپدیتهای وردپرس اغلب شامل وصلههای امنیتی هستند که آسیبپذیریهای جدید را برطرف میکنند. عدم بروزرسانی به موقع میتواند وبسایت شما را در معرض حملات هکری و بدافزارها قرار دهد.
- بهبود عملکرد: بروزرسانیهای جدید معمولاً شامل بهبودهای عملکردی و بهینهسازیهایی هستند که میتوانند سرعت بارگذاری وبسایت شما را افزایش دهند و تجربه کاربری بهتری ارائه دهند.
- اضافه کردن ویژگیهای جدید: هر نسخه جدید وردپرس ممکن است ویژگیهای جدیدی را معرفی کند که میتواند به بهبود قابلیتهای وبسایت شما کمک کند.
- سازگاری با پلاگینها و تمها: آپدیت وبسایت میتواند باعث سازگاری بهتر با پلاگینها و تمهای جدید شود. نسخههای قدیمی ممکن است با نسخههای جدید پلاگینها یا تمها سازگار نباشند.
- رفع اشکالات: بروزرسانی وبسایت شامل رفع اشکالات و باگهای موجود در نسخههای قبلی هستند. این اشکالات ممکن است بر عملکرد و امنیت وبسایت تأثیر بگذارند.
- پشتیبانی: نسخههای قدیمی وردپرس ممکن است دیگر پشتیبانی نشوند. با استفاده از نسخههای جدید، میتوانید از پشتیبانی رسمی و بهروز بهرهمند شوید.
چگونه یک وبسایت را آپدیت کنیم؟
البته این یک سوال کلی است و منظور از آپدیت یا بروزرسانی وبسایت میتواند اشاره به بخشهای مختلفی داشته باشد. شما در ۳ زمینه میتوانید وبسایت خود را بروز کنید:
1. آپدیتهای امنیتی
آپدیت امنیتی یعنی تنظیماتی را در سرور و وبسایت خود پیاده کنید که منجر به افزایش سطح امنیت وبسایت شما و کاهش ریسک خطرات هک و … شود. برای آپدیت وبسایت از نظر امنیتی به عنوان مثال باید ورود دو مرحله ای وردپرس، مخفی کردن آدرس ورود ادمین و ربات شناس Captcha را فعال کنید تا احتمال آسیب وبسایت شما کاهش یاید.
2. آپدیتهای محتوایی
آپدیت محتوایی یعنی انتشار محتوای جدید متنی و تصویری در وبسایت که باعث افزایش بازدید و رتبه شما در گوگل نیز میشود. داشتن یک وبلاگ پویا و فعال در کنار اپدیت مطالب قبلی و هرس مطالب بی ارزش به معنای اپدیت محتوایی است.
3. آپدیتهای تکنیکال (فنی)
آپدیت تکنیکال به بحث های مرتبط با سیستم مدیریت محتوا، پلاگین ها و ساختار صفحات وبسایت شماست. بروزرسانی افزونه های وبسایت، تصحیح ساختار صفحات وب با صفحهسازها و کانفیگ سرعت وبسایت جزو آپدیت های تکنیکال محسوب میشوند.
آیا مشکلات امنیتی فقط متوجه وبسایت های مطرح و برندهای معتبر است؟
البته که یک فروشگاه نوپا اینترنتی در مقایسه با ایران سرور و دیجی کالا و اسنپ کمتر در معرض خطر است اما این به معنی این نیست که کلا آسوده خاطر باشد! بلکه گاها این موضوع برعکس میشود. خیلیها فکر میکنند چون کسبوکار کوچکی و نوپایی دارند، اصلاً هکرها از کنارشان هم رد نمیشوند؛ چه برسد به اینکه بخواهند به سیستمشان نفوذ کنند و اطلاعاتشان را گرو بگیرند! اما این تصور اشتباه است!
وبسایتهای کوچک طعمه اصلی هکرها هستند!
بهتر است بدانید، نقاط آسیبپذیر نرمافزارها و عدم دقت و سخت گیری در کنترل سطوح دسترسی، وبسایتهای کوچک را به اهدافی راحت و در دسترس برای هکرها تبدیل میکند. حالا جالب اینجاست که گاهی این سایتهای کوچک که در یک هاست اشتراکی قرار گرفتهاند، زمینۀ نفود به دیگر سایتهای مشترک را هم فراهم میکنند.
چه بخشهایی از سایت باید آپدیت شوند؟
بهطور خلاصه اگر بخواهیم بگوییم، شما باید بهصورت منظم، برای بررسی و بهروزرسانی بخشهای زیر، برنامه داشته باشید:
- سیستم مدیریت محتوای وبسایت
- پلاگینها (افزونه یا ماژول)
- قالبها
- اکستنشنها
- نرمافزارهای مدیریت سرور
1. سیستمهای مدیریت محتوا (CMS)
وردپرس، دروپال، جوملا، وردپرس، پرستاشاپ و … همگی سیستمهای مدیریت محتوا هستند. سیستم مدیریت محتوا به طور خلاصه همان پلتفرمی است که برای طراحی وبسایت از آن استفاده میکنید. معمولا اکثر وبسایت ها از CMS وردپرس استفاده میکنند.
بیشتر بخوانید: آشنایی با انواع cms و انتخاب CMS متناسب با نیاز شما
آخرین گزارش منتشر شده شرکت امنیت سایبری Sucuri درمورد سایتهای هک شده نشان میدهد که 83 درصد تمام وبسایتهای مورد حمله قرار گرفته از سیستم WordPress استفاده میکردهاند. اگرچه این آمار لزوماً به این معنی نیست که WordPress پلتفرمی ناامنتر از بقیه سیستمهای مدیریت محتوا است بلکه دلیل آن ساده است. بیشتر وبسایت ها بر روی پلتفرم وردپرس ساخته میشوند.
در تصویر میتوانید نمودار توزیع CMS وبسایتهای آلوده شده را ببینید
نمودار توزیع پلتفرم های وبسایتهای آلوده شده
سیستم مدیریت محتوای انتخابی شما هر چه که باشد، انجام هرگونه آپدیت مورد نیاز را به شما هشدار میدهد. لطفا این هشدارها را نادیده نگیرید!
حتما بخوانید: اگر از وردپرس استفاده میکنید و میخواهید نحوه تنظیم بروز رسانی در وردپرس آشنا شوید. به مقاله آپدیت خودکار وردپرس مراجعه کنید.
2. پلاگینها
هر پلاگینی پیش از افزوده شدن به وب سایت شما باید خیلی دقیق بررسی شود؛ چون ممکن است که افزونه حامل بدافزار باشد یا آسیبپذیریهایی داشته باشند. برخی از این پلاگینها از ابتدا با نیت بد طراحی شدهاند و برخی دیگر آنقدرها هم بد شروع نمیکنند؛ اما در نبود مدیریت یا توجه کافی، بهآسانی میتوانند تبدیل به یک پلاگین بدجنس و مخرب شوند.
چند توصیه مهم برای وقتی که قصد افزودن پلاگین جدید به وبسایت خود را دارید:
- پس توضیحات پلاگین را بهدقت بخوانید و سابقۀ آن را بررسی کنید.
- پلاگینها را تنها از منابع معتبر و مورد اعتماد مثل مخزن وردپرس یا وبسایت های معتبر تولید کننده دانلود کنید.
- چک کنید که آخرین بهروزرسانی امنیتی ارائه شده برای پلاگین موردنظر شما کِی بوده؟ آیا زمان زیادی از آن گذشته؟
- اگر پلاگینی رایگان نیست به دنبال نسخه رایگان آن در اینترنت نباشید. آن را مستقیما از توسعهدهنده آن بخرید.
- نظرات کاربران را بخوانید. آیا نظراتی منفی در مورد امنیت پلاگین می یابید؟
- گاهی کمتر، بهتر است! پس با پلاگینهای غیرضروری سایتتان را شلوغ نکنید.
بیشتر بخوانید: افزونه وردپرس چیست؟ لیستی از پلاگین های وردپرس
در صورتی که میخواهید همۀ افزونههای موجود را در یک نگاه ببینید، از سایدبار وردپرس روی افزونهها (یا Plugins) کلیک کنید. در صفحۀ بعدی شما میتوانید لیست تمام افزونههای نصب شده را ببینید و در صورت نیاز با کلیک روی «هماکنون بهروز نمایید»، افزونه مورد نظر را آپدیت کنید.
نکته: البته توجه داشته باشید که چنانچه از نسخه کرک شده یا نال شده پلاگین استفاده میکنید قاعدتا نمیتوانید از وبسایت اصلی آپدیت ها را دریافت کنید. برای این منظور باید به صورت دستی و از یک منبع قابل اعتماد آخرین نسخه پلاگین را دریافت و نصب کنید.
3. تمها
درست مثل پلاگینها، تمها هم نیاز به آپدیت مداوم و بررسی دقیق پیش از نصب دارند. یادتان باشد هکرها از هر کجا که بتوانند سوءاستفاده خواهند کرد. پس حواسجمع باشید و پیش از افزودن هرگونه تم به وبسایت، به این نکات مهم توجه کنید:
- آیا تم مورد نظر واقعا برای وبسایت شما ضروریست؟
- آیا میتوانید به منبعی که تم را در آنجا یافتهاید، اعتماد کنید؟
- آیا توسعه دهنده تم، نقاط ضعف امنیتی احتمالی را بهوسیلۀ ارائه وصله (Patch) رفع خواهد کرد؟
تمها بهراحتی می توانند تبدیل به بستر مناسبی برای بدافزارهایی از نوع سئوی کلاه سیاه (ترفیع غیرقانونی وبسایت در موتورهای جستجوگر)، بدافزار تبلیغاتی (Malvertising) و حملات Backdoors شوند.
چنانچه تم رایگانی پیدا کردید که در ۶ ماه گذشته بهروزرسانی نداشته، شاید آنچنان که فکر میکنید این تم رایگان نباشد! کافی است به مبلغ پولی فکر کنید که ممکن است با آلوده شدن وبسایت شما از جیبتان برود!
راه حل: همیشه سعی کنید از محبوب ترین و معتبر ترین تم ها برای وبسایت خود استفاده کنید و اگر نمیتوانید با استفاده از تم های معتبری نظیر Hello Elementor وبسایت خود را بسازید بهتر است هزینه کنید و یک تم معتبر و شناخته شده مثل وودمارت را خریداری کنید.
4. اکستنشنها
مورد مهم بعدی در تمیز نگه داشتن سایت، اطمینان از آلوده نبودن رایانه شما به بدافزارهاست. اطمینان از بهروز بودن سیستم عامل، مرورگر و افزونههای (اکستنشن ها) آن بسیار اهمیت دارد. در این حالت که البته کمتر رخ می دهد، رایانه شما به خودی خود زمینۀ حمله به وبسایت را فراهم میکند. به همین دلیل توصیه میشود مرورگرها و افزونههای مرورگرها را تنها از منابع مورد اعتماد دریافت و نصب کنید و به محض دریافت هشدار آپدیت، فوراً اقدام کنید.
5. نرمافزارهای سرور
نام وبسرورهایی همچون NGINX، Apache، IIS و غیره، ممکن است برای شما زیاد آشنا نباشد؛ مگر آنکه توسعه دهنده (Developer) باشید یا با تنظیمات حرفهای وبسایت خود بهخوبی آشنا باشید.
اگر آشنا نیستید، بد نیست بدانید که وبسایت شما برای آنکه در اینترنت در دسترس قرار گیرد بایستی یک وبسرور داشته باشد. همانطور که حدس زدهاید سرور وبسایت شما نیز میتواند در مقابل حملات هکرها آسیبپذیر باشد. بهترین راه برای مقابله با این خطر نیز بهروزرسانی است.
بنابراین خیلی مهم است که شما از شرکت های میزبانی وب معتبر، سرور یا هاست خود را خریداری کنید. چنین شرکت هایی بخش امنیت مجزایی داشته و مطمئن خواهید بود که آخرین بروزرسانیها و تمهیدات امنیتی لازم در سرور اعمال شده و در صورت وجود مشکل می توانید از آنها راهنمائی بگیرید.
بیشتر بخوانید: web server یا وب سرور چیست؟ بررسی انواع وب سرور
نکتهای از طرف حرفهایها
اغلب سیستم های مدیریت محتوا (CMS) و پلاگینها (Plugins) گزینه ای به نام بهروزرسانی خودکار (Automatic Update) دارند؛ اما شاید این کار بهترین راهحل ممکن نباشد! بهروزرسانی خودکار گاهی میتواند باعث ایجاد اختلالات عملکردی در وبسایت شما شود.
توصیه ما به شما، ایجاد یک نسخه پشتیبان (Backup) کامل از وبسایت و کمک گرفتن از توسعهدهنده برای آپدیت کردن است.
جمعبندی
داشتن وبسایتی امن برای همه کاربران، وظیفهای بر عهده شماست که باید بر اهمیت آن واقف باشید. در مقابل تهدیدات بالقوهای که خدمترسانی وبسایت شما را مختل میکنند به هوش باشید و از «بهروزرسانی بهموقع» اطمینان حاصل کنید.