چگونه خطرات امنیتی افزونه ها را کاهش دهیم؟
افزونه ها برای عملکرد بهتر و کاراتر هر وب سایت وردپرسی ضروری هستند اما هر چه افزونه های بیشتری به سایت خود اضافه کنیم ، خطر تهدیدهای احتمالی نیز افزایش می یابد. چگونه می توانیم خطرات حمله از طریق افزونه های نصب شده را کاهش دهیم؟
این سوال خوبی است. با توجه به نتایج تحقیقاتی که انجام شده ، افزونه های آسیب پذیر بهترین روش برای هکرها برای نفوذ به سایت های وردپرسی می باشند. کاهش ریسک یا خطر امنیتی افزونه یکی از مهم ترین جنبه های حفاظت از سایت می باشد. روش هایی وجود دارند که می توانید برای کاهش خطرات امنیتی افزونه ها از آنها استفاده کنید.
تا جای ممکن از افزونه های کمتری استفاده کنید
هر افزونه ای که روی وب سایت خود نصب می کنید میزان آسیب پذیری شما را افزایش می دهد. با نصب افزونه ، شما از کدهای بیشتری استفاده می کنید ، بنابراین احتمال به خطر افتادن امنیت و آسیب پذیری سایت شما افزایش می یابد. علاوه بر این ، هر افزونه که به سایت خود اضافه می کنید باعث می شود بخشی از تأمین امنیت وب سایت خود را به یک برنامه نویس جدید واگذار کنید. این یعنی برنامه نویس آن افزونه موظف است امنیت افزونه خود را به بالاترین حد برساند و به گزارشات آسیب پذیری افزونه به سرعت پاسخ دهد.
فقط افزونه های موجود در سایت های معتبر را دانلود کنید
در صورت امکان، توصیه می کنم دانلود افزونه را منحصرا به بخش افزونه های سایت رسمی وردپرس محدود کنید. این سایت توسط یک تیم عالی از افراد مشتاق و داوطلب مدیریت می شود و همچنین وجود کاربران زیاد و تحقیقات امنیتی انجام شده در مورد آن سایت به اعتبار سایت می افزایند.
اگر لازم است افزونه ای را از یک سایت دیگر دانلود کنید، می توانید از این نکات برای کمک به تشحیص معتبر بودن سایت استفاده کنید:
- سایت باید “تست چشمی” را پشت سر بگذارد: یعنی دارای یک طراحی حرفه ای بوده و از زبان و طرز نوشتار واضحی برای توصیف افزونه استفاده کرده باشد.
- در قسمت پاورقی (یا فوتر) به دنبال نام یک شرکت معتبر باشید.
- قوانین سایت و سیاست فضای اختصاصی صریحا و به آسانی در دسترس باشند.
- باید بتوانید یک آدرس تماس واقعی در صفحه ی تماس یا در صفحه ی قوانین سایت بیابید.
- اگر نام دامنه را در گوگل جستجو کردید (برای مثال com) نباید هیچ گونه گزارش فعالیت مشکوک و خطرناک بیابید. با افزودن واژه های “بدافزار”، “سابقه” و “آسیب پذیر بودن” به جستجوی خود ممکن است اطلاعات بیشتری به دست آورید.
افزونه های مشهور و معتبر را انتخاب کنید
بخش افزونه های وب سایت رسمی وردپرس با فراهم آوردن خلاصه ای در مورد افزونه ها که تقریبا تمام اطلاعات مورد نیاز شما را دارا می باشد ، ارزیابی افزونه ها را آسان کرده است. موارد زیر نکاتی هستند که توصیه می کنم به آنها توجه کنید.
- هر چه آخرین به روز رسانی افزونه در تاریخ نزدیک تری اتفاق افتاده باشد بهتر است.
- تعداد نصب های فعال (تعداد وب سایت های در حال استفاده ) از افزونه را بررسی کنید. برخی از افزونه های قابل اعتماد و مفید تعداد نصب کمی دارند و بهتر است یک افزونه با تعداد نصب کم را آزمایش کنید (کمتر از 1000 عدد نصب فعال). چون ممکن است دیگر از این افزونه پشتیبانی نشود.
- افزونه باید با ورژن فعلی وردپرس سازگار باشد ، بنابراین لطفا توجه کنید که بلافاصله پس از اینکه یک ورژن از این سیستم مدیریت محتوا منتشر می شود ، بسیاری از افزونه های معتبر یک بخش “تست برای سازگاری:” دارند که نشان می دهد آیا آن نسخه افزونه با وردپرس شما سازگار است یا خیر.
- امتیاز متوسط افزونه باید به اندازه ی کافی بالا باشد تا قابل اعتماد تلقی شود. هر چه این امتیاز بیشتر باشد ، مسلما بهتر است.
همچنین باید هر از گاهی افزونه های نصب شده ی خود را بررسی کنید تا مطمئن شوید که هنوز هم به خوبی به کارشان ادامه می دهند.
به محض اینکه کارتان با یک افزونه تمام می شود آن را حذف کنید
در مورد این حقیقت که بهترین روش برای ایمن نگاه داشتن وب سایت ها خلاص شدن از شر افزونه های بی استفاده است ، مطالب زیادی نوشته شده. در بسیاری از موارد ، جزئیات آسیب پذیری یک افزونه به صورت عمومی منتشر می شوند ، این بدان معنا است که کل دنیا اطلاعات لازم برای آزمایش و بهره برداری از خطرات امنیتی افزونه ها را در اختیار دارند. در واقع، عمده ی حملاتی که در سایت های وردپرسی شاهد هستیم ، تلاش هایی برای شناخت و سوء استفاده از شکاف های امنیتی معروفی هستند که برخی قدمت زیادی هم دارند. هکرها به جای اینکه به دنبال آسیب پذیری های جدید باشند ، به دنبال مدیران وب سایت هایی هستند که سایت خود را به روز رسانی نمی کنند. متاسفانه ، هکرها موفق هم می شوند. می توانید با به روز نگاه داشتن سایت خود به سادگی از این حملات جلوگیری کنید.
بسیاری از افزونه ها مثل Wordfence شامل ویژگی به روز رسانی خودکار می باشند. بهتر است این قابلیت را در هر افزونه ای که دارای آن باشد ، فعال کنید. برای افزونه هایی که این قابلیت را ندارند ، باید هر چه زودتر آخرین ورژن را به روز رسانی کنید ، مخصوصا اگر ورژن جدید دارای قابلیت بهبود امنیت باشد.
افزونه های فراموش شده را جایگزین کنید
تا حالا شده یک پروژه یا سرگرمی را آغاز کنید و بعد از آن خسته شوید؟ این اتفاق برای منتشرکنندگان افزونه های وردپرس نیز افتاده است. در واقع ، زیاد هم اتفاق می افتد. در حال حاضر ، بیش از 46% از افزونه ها بیش از 2 سال است که به روز رسانی نشده اند. آیا این به معنای آن است که افزونه ها دارای آسیب پذیری امنیتی می باشند؟ به احتمال زیاد نه. اما بدان معنا است که آنها خطر و ریسک امنیتی بیشتری نسبت به افزونه های پشتیبانی شده و به روز دارند. ما توصیه می کنیم افزونه هایی که بیش از2 سال به روز رسانی نشده اند را مورد استفاده قرار ندهید.
ریسک و خطر دیگری که متوجه شماست افزونه هایی هستند که از وب سایت وردپرس حذف شده اند. دلایل زیادی وجود دارد که تیم افزونه ی وردپرس یک افزونه را حذف کنند ، دلایلی از جمله داشتن آسیب پذیری امنیتی که تصحیح و برطرف نشده است. چون سیاست آنها این است که دلیل حذف شدن افزونه را برملا نکنند، توصه می کنیم افزونه هایی که از سایت وردپرس حذف شده اند را سریعا از سایت خود حذف کنید.
یک فایروال وردپرسی نصب کنید
هر از گاهی یک هکر ، آسیب پذیری جدیدی در یک افزونه وردپرسی کشف می کند و با استفاده از آن شروع به حمله به سایت ها می کند. در چنین مواردی ، اگر به اندازه ای بد شانس باشید که هنوز از افزونه آسیب پذیر استفاده می کنید ، پس داشتن آخرین ورژن افزونه نیز دیگر به حفاظت از سایت شما کمک نمی کند. اینجاست که نرم افزار فایروال تحت وب یا WAF وارد صحنه می شود. نرم افزارهای فایروال ، ترافیک سایت شما را آزمایش می کنند و درخواست های مخرب را فیلتر می کنند.
فایروال Wordfence شامل مجموعه ی قابل اعتمادی از موارد امنیتی در مقابل مرسوم ترین حملات به وب سایت های وردپرسی می باشد. این حملات عبارتند از تزریق SQL ، دستورات مخرب در سایت ها ، آپلود فایل های مخرب ، تداخل اطلاعات و غیره. علاوه بر این ، وقتی یک مورد جدید در خطرات امنیتی افزونه ها ظهور می کند ، تحلیلگران امنیتی فایروال سریعا کدی برای حفاظت در مقابل آن حمله به خصوص به شکل یک “قانون فایروال” ایجاد می کنند.
نتیجه
به عنوان یک مدیر سایت وردپرسی ، باید بدانید مدیریت افزونه ها از جمله موارد حیاتی و مهم در ایمن نگاه داشتن سایت است. درک ریسک ها و مدیریت فعال آنها یک فعالیت تمام نشدنی و همیشگی است. با استفاده از نکات گفته شده در انتخاب افزونه ، به روز نگاه داشتن افزونه های موجود و استفاده از نرم افزار فایروال تحت وب برای وب سایت خود ، می توانید مطمئن باشید که هر چه در توان دارید برای حفاظت از اطلاعات سایت در مقابل هکرهای مخرب به کار گرفته اید.
منبع : wordfence.com
دیدگاهتان را بنویسید