همانطور که می دانید امروزه وردپرس محبوبترین و پرکاربردترین CMS است. البته وردپرس محبوب هکرها هم هست. چرا؟ چون معمولا کاربران خیلی موارد ساده را برای افزایش امنیت وردپرس هم رعایت نمی کنند و هکرها با روشهای brute force یا روش های دیگر مثل قراردادن backdoor ها در افزونه ها و پوسته های آلوده ، به سایت های وردپرسی نفوذ می کنند.
حالا این سوال پیش می آید که آیا خود وردپرس امن است؟ به جرات می توان گفت هسته وردپرس تا 99% امن است و بمحض مشکلات امنیتی وصله امنیتی آن ارائه می شود.
ببینید جواب این سوال را هم می توان بدین صورت گفت که آیا سایت های کدنویسی شده مثلا با فریم ورک .net امن هستند؟ صد در صد نمی توان گفت امن هستند؟
کافی است در گوگل جستجو کنید net Vulnerabilities. مشاهده می کنید که فریم ورک net. هم که فریم ورک زبان های برنامه نویسی مایکروسافت هست، هم دارای آسیب پذیری هستند.
بنابراین نمی توان گفت چون سایتی وردپرسی است امن نیست و اگر سایتی کدنویسی شده است، امن است.
هر یک از سرویس های یک هاست دارای مشکل یا آسیب پذیری امنیتی شود، سایت هم تهدید می شود.
برای مثال در نسخه آپاچی 2.4.17 تا 2.4.38 این مشکل امنیتی وجود داشت که هرفردی اجازه نوشتن اسکریپت های CGI و PHP برای دسترسی به ریشه هاست را می توانست پیداکند.
درزمان نصب وردپرس مواردی مثل انتخاب نام کاربری ، رمزعبور و پیشوند پیش فرض جداول پایگاه داده وردپرس در امنیت وردپرسی نقشی پررنگ را بازی می کنند.
بخاطر اینکه درصورت انتخاب نام کاربری و رمزعبور رایج و ساده، هکرها با ابزارهایی اقدام به حملات Brute Force برای کشف رمزعبور کاربر می کنند.
انتخاب و استفاده غیراصولی از افزونه ها و پوسته ها هم نقش بسیار مهمی در امنیت وردپرس دارند.
در این مورد مفصل در وبیناری که با عنوان اموزش امنیت وردپرس در ابان ماه برگزار کردم مفصل صحبت کردم، باز اگر سوالی بود در کامنت ها در خدمتم.