آیا وردپرس سیستمی امن است؟

شاید شما هم این سؤال را داشته باشید: با توجه به اینکه وردپرس محبوب‌ترین سیستم مدیریت محتوای دنیاست، آیا واقعاً از نظر امنیت قابل اعتماد است یا خیر؟

وردپرس با بیش از ۴۳ درصد از کل وب‌سایت‌های دنیا، از بلاگ‌های شخصی گرفته تا فروشگاه‌های اینترنتی بزرگ، یکی از پراستفاده‌ترین پلتفرم‌هاست و همین محبوبیت باعث می‌شود بیشتر از بقیه در معرض توجه هکرها قرار بگیرد.
اما این لزوماً به معنی ناامن بودن وردپرس نیست. در واقع، امنیت وردپرس بیشتر به نحوه استفاده کاربران وابسته است تا خود سیستم.

 

امنیت هسته وردپرس

هسته‌ی وردپرس (WordPress Core) همان نرم‌افزاری است که هنگام نصب وردپرس روی وب‌سایتتان دریافت می‌کنید، بدون افزونه، بدون قالب، فقط بخش اصلی که مسئول مدیریت محتوا، کاربران و پست‌هاست.

این بخش توسط تیم رسمی وردپرس به‌صورت متن‌باز (Open Source) توسعه یافته و بیش از دو دهه است که میلیون‌ها توسعه‌دهنده در سراسر جهان در بهبود امنیت آن مشارکت دارند. متن‌باز بودن، برخلاف تصور برخی افراد، یک مزیت امنیتی بزرگ است؛ چون کد منبع برای تمام کارشناسان امنیتی دنیا قابل بررسی است و هر آسیب‌پذیری به‌سرعت شناسایی و گزارش می‌شود.

تیم امنیتی وردپرس چگونه عمل می‌کند؟

وردپرس یک تیم اختصاصی امنیتی (WordPress Security Team) دارد که بیش از ۵۰ عضو فعال رسمی از شرکت‌هایی مانند Google، Automattic، GoDaddy، 10up، و Envato را دربرمی‌گیرد.
این تیم با همکاری گروهی از محققان مستقل امنیت سایبری در سراسر جهان، گزارش‌ها و آسیب‌پذیری‌ها را به‌صورت ۲۴ ساعته بررسی و وصله‌های اصلاحی منتشر می‌کند.

در هر نسخه‌ی جدید وردپرس، جزئیات دقیق تغییرات امنیتی در بخش «Release Notes» مستند می‌شود. علاوه بر آن، وردپرس با سیستم Security Advisory هرگونه هشدار امنیتی را از طریق سایت رسمی یا کانال GitHub اطلاع‌رسانی می‌کند.

چرخه به‌روزرسانی و وصله‌های امنیتی (Security Patches)

وردپرس برخلاف بسیاری از نرم‌افزارهای تجاری، در بازه‌های زمانی کوتاه وصله‌های امنیتی منتشر می‌کند.
اگر یک حفره‌ی امنیتی بحرانی شناسایی شود، حتی لازم نیست تا نسخه‌ی اصلی بعدی صبر کنید؛ وردپرس به‌صورت خودکار پچ امنیتی مربوطه را نصب می‌کند (از قابلیت auto-update core).
این ویژگی از نسخه‌ی ۳٫۷ به بعد فعال شد و امروز از حیاتی‌ترین عوامل ایمنی وردپرس است.

در کنار آن، وردپرس ساختار Permissionها و سطح دسترسی فایل‌ها را به‌گونه‌ای طراحی کرده که خود سیستم حتی با حداقل سطح دسترسی، عملکرد کامل داشته باشد. یعنی برای اجرای صحیح نیازی نیست فایل‌ها یا پوشه‌های حساس را به‌صورت قابل‌نوشتن برای همه تنظیم کنید؛ کاری که در CMSهای قدیمی‌تر معمولاً مرسوم بود و خطر نفوذ را بالا می‌برد.

تکنولوژی‌های امنیتی درون هسته وردپرس

در سال‌های اخیر، قابلیت‌های امنیتی داخلی وردپرس بسیار پیشرفته‌تر شده‌اند:

• غیرفعال‌سازی خودکار اجرای فایل‌ها در مسیرهای خاص (مثلاً uploads)
• استفاده از Nonces و Token اختصاصی برای جلوگیری از حملات CSRF
• Escaping و Sanitization خودکار داده‌ها برای مقابله با XSS
• سیستم REST API با nonce مخصوص هر نشست کاربر
• الگوریتم bcrypt برای رمزنگاری پسوردها
• ماژول Site Health که خطاهای پیکربندی امنیتی را بررسی می‌کند.

تمام این ویژگی‌ها در خود هسته‌ی وردپرس وجود دارند، بدون اینکه نیازی به افزونه‌ی جانبی باشد.

در مجموع، امنیت هسته وردپرس از پایه و به‌صورت ساختاری طراحی شده است، نه وصله‌ای و موقت.
وردپرس امروزی حاصل بیش از بیست سال توسعه و واکنش به میلیون‌ها مورد گزارش امنیتی است.
اگر شما فقط هسته‌ی اصلی را به‌روز نگه دارید و از افزونه‌ها و قالب‌های معتبر بهره ببرید، هسته‌ی وردپرس به‌تنهایی یکی از امن‌ترین پلتفرم‌های متن‌باز جهان برای مدیریت محتوای وب‌سایت است.

 

آیا وردپرس هک می‌شود؟

واقعیت این است که هیچ سیستم آنلاینی صد درصد غیرقابل نفوذ نیست. اما طبق گزارش امنیتی شرکت Sucuri در سال ۲۰۲۴:

• بیش از ۹۰٪ از سایت‌های وردپرسی هک‌شده از نسخه‌های قدیمی استفاده کرده‌اند.
• بخش عمده‌ی مشکلات امنیتی نه از هسته وردپرس، بلکه از افزونه‌ها و قالب‌های تاریخ‌گذشته ناشی می‌شود.

بنابراین اگر سایت وردپرسی به‌روز نباشد یا از منابع نامعتبر افزونه دانلود کند، احتمال نفوذ چند برابر می‌شود.

دلایل اصلی آسیب‌پذیری در وردپرس

اگرچه هسته‌ی وردپرس به‌طور مداوم آزمایش و به‌روزرسانی می‌شود، بیشتر حملات موفق به سایت‌های وردپرسی از عواملی بیرون از خود سیستم ناشی می‌شود. درواقع، این رفتار و عادت‌های کاربران هستند که سطح امنیت سایت را تعیین می‌کنند. در ادامه رایج‌ترین دلایل آسیب‌پذیری را مرور می‌کنیم:

۱. بروزرسانی نکردن منظم وردپرس، افزونه‌ها و قالب‌ها

بسیاری از کاربران پس از نصب اولیه سایت، دیگر به‌روزرسانی‌ها را جدی نمی‌گیرند. این یعنی حفره‌های امنیتی شناخته‌شده در همان نسخه‌ی قدیمی همچنان باز می‌ماند.
وردپرس معمولاً هر چند هفته یک به‌روزرسانی دارد و توسعه‌دهندگان افزونه‌ها نیز مرتب وصله‌های امنیتی منتشر می‌کنند. نصب آن‌ها ساده است، اما بی‌توجهی به همین بروزرسانی‌ها دلیل اصلی بیش از نیمی از نفوذهای گزارش‌شده است.

راهکار: فعال کردن به‌روزرسانی خودکار (auto-update) برای هسته و افزونه‌ها.

۲. نصب افزونه‌ها و قالب‌های ناشناخته یا نال‌شده

افزونه‌ها و قالب‌های نال‌شده (نسخه‌های کرک‌شده) اغلب حاوی بدافزار یا درگاه‌های پنهان برای نفوذ هستند. حتی برخی افزونه‌های رایگان ولی غیررسمی نیز ممکن است داده‌های شما را جمع‌آوری و ارسال کنند.
از آنجایی که وردپرس سیستم باز و منعطفی دارد، افزونه‌ها به تمام بخش‌های سایت دسترسی دارند؛ پس انتخاب اشتباه می‌تواند حکم دادن کلید خانه به یک غریبه را داشته باشد.

برای مطالعه بیشتر در این مورد، مقاله “لزوم استفاده از قالب های اورجینال وردپرس” را مطالعه نمایید.

۳. انتخاب رمز عبور ضعیف و نام کاربری رایج

طبق آمار شرکت NordPass در سال ۲۰۲۴، هنوز “123456” یکی از پرتکرارترین پسوردها در بین مدیران سایت است. برخی مدیران حتی نام کاربری خود را “admin” می‌گذارند که حدس زدنش برای هکرها ساده‌تر از نوشیدن چای است!
درحالی‌که وردپرس از الگوریتم‌های رمزنگاری قوی استفاده می‌کند، ولی اگر رمز اصلی ضعیف باشد، هیچ سیستمی نمی‌تواند دفاع کند.

راهکار: استفاده از رمزهای حداقل ۱۲ کاراکتری شامل حروف بزرگ، کوچک، عدد و نماد و در صورت امکان فعال‌سازی ورود دو مرحله‌ای (2FA).

برای مطالعه بیشتر در این مورد، مقاله “چگونگی انتخاب پسورد مناسب در وردپرس” را مطالعه نمایید.

۴. هاستینگ ارزان یا ناامن

امنیت وردپرس فقط به نرم‌افزار محدود نیست. اگر در سروری میزبانی شود که فایروال قوی نداشته باشد یا از نسخه‌های قدیمی PHP استفاده کند، حتی سایت‌های سالم هم ممکن است قربانی شوند. سرورهای اشتراکی ارزان، معمولاً نظارت امنیتی مداوم ندارند و خطای یک کاربر می‌تواند به بقیه سایت‌ها آسیب بزند.

راهکار: انتخاب هاست‌هایی که از فایروال سطح سرور، اسکن خودکار بدافزار و نسخه‌های به‌روز PHP و MySQL استفاده می‌کنند. همچنین داشتن یک تیم پشتیبانی سایت حرفه‌ای که بتواند در مواقع بحرانی امنیتی فوراً وارد عمل شود، از ملزومات یک هاستینگ امن محسوب می‌شود.

۵. نداشتن نسخه‌ی پشتیبان (Backup) منظم

آخرین، اما حیاتی‌ترین نکته: گاهی همه‌ی تدابیر امنیتی کافی نیستند. در چنین مواقعی تنها راه نجات، نسخه‌ی پشتیبان سالم است. در بسیاری از موارد، سایت‌های هک‌شده چون بک‌آپ نداشتند مجبور به بازسازی کامل از صفر شده‌اند.

راهکار: پشتیبان‌گیری روزانه یا هفتگی با افزونه‌هایی مانند UpdraftPlus یا Jetpack Backup و نگهداری فایل در مکانی جدا از هاست اصلی.

برای آشنایی با نحوه بکاپ گفتن از سایتتان، مقاله “بک آپ از وردپرس” را مطالعه نمایید.

نتیجه اینکه در بیشتر مواقع، خود وردپرس نه‌تنها مقصر نیست بلکه ابزاری پیشرفته است؛ این اشتباهات رایج کاربران هستند که به مهاجمان فرصت ورود می‌دهند. با اصلاح همین پنج عادت، سطح امنیت سایت تا چند برابر افزایش پیدا می‌کند و احتمال هک تقریباً به صفر نزدیک می‌شود.

تاریخچه‌ای کوتاه از امنیت در وردپرس

امنیت در وردپرس از همان سال‌های نخست توسعه این سیستم یکی از موضوعات کلیدی بوده است. از زمان انتشار نسخه‌ی اولیه در سال ۲۰۰۳ تا امروز، وردپرس صدها به‌روزرسانی امنیتی، صدها وصله‌ی (Patch) رسمی و هزاران بهبود زیرساختی داشته؛ روندی که آن را از یک ابزار وبلاگ ساده به یک زیرساخت امن برای سازمان‌ها و فروشگاه‌های بزرگ آنلاین تبدیل کرده است.

نقطه‌ی عطف‌ها در مسیر امنیت وردپرس

🟢 سال ۲۰۰۹ – شکل‌گیری تیم امنیتی رسمی وردپرس

در پی چند حمله‌ی عمده به نسخه‌های قدیمی، وردپرس تیم امنیتی اختصاصی خود را ایجاد کرد. از آن زمان به بعد، روند بررسی آسیب‌پذیری‌ها ساختارمند شد و هر گزارش، مسیر رسمی بررسی و اصلاح دارد. همان سال چند وصله‌ی حیاتی (Patch) در کمتر از یک ماه منتشر شد تا از تکرار آن نفوذها جلوگیری شود.

🟢 سال ۲۰۱۳ – معرفی مرکز هشدار امنیتی و انتشار نسخه‌ی ۳٫۷

از نسخه‌ی ۳٫۷ قابلیت Auto Update برای هسته‌ی وردپرس معرفی شد؛ قابلیتی که انقلابی در کاهش آسیب‌پذیری‌ها به‌وجود آورد. تا قبل از آن، کاربران باید به‌صورت دستی بروزرسانی می‌کردند و بسیاری این کار را فراموش می‌کردند.
در همین بازه، وردپرس سیستمی با عنوان Security Advisory و Release Notes رسمی ایجاد کرد تا کاربران در جریان وصله‌های امنیتی قرار بگیرند.

🟢 سال ۲۰۱۶ – تمرکز بر ایمن‌سازی REST API

با معرفی REST API، وردپرس عملاً هسته‌ای مدرن‌تر شد، ولی ایجاد این درگاه داده نیازمند حفاظت قوی‌تری بود. از سال ۲۰۱۶ تا ۲۰۱۸ چندین به‌روزرسانی بزرگ برای تقویت توکن‌های Nonce و کنترل سطح دسترسی از طریق API منتشر شد. این بخش امروز یکی از ایمن‌ترین اجزای وردپرس است.

🟢 سال ۲۰۱۹ – گام بزرگ در احراز هویت و سلامت سایت

در نسخه‌ی ۵٫۲ ماژول Site Health معرفی شد؛ ابزاری داخلی برای بررسی وضعیت امنیت و پیکربندی‌ها. این ماژول وجود مشکلاتی مثل نسخه قدیمی PHP، افزونه‌های غیرسازگار یا خطاهای سطح سرور را تشخیص و هشدار می‌دهد.
در همین دوره، ساختار جدید رمزنگاری پسوردها با الگوریتم bcrypt عملیاتی شد تا امنیت حساب‌های کاربری چندبرابر گردد.

🟢 سال ۲۰۲۰ به بعد – دوره خودکارسازی امنیت و پیشگیری هوشمند

از نسخه‌ی ۵٫۵ به بعد، وردپرس امکان به‌روزرسانی خودکار افزونه‌ها و قالب‌ها را نیز اضافه کرد. به این ترتیب، یکی از رایج‌ترین دلایل هک (تعلل کاربران در نصب نسخه‌های جدید افزونه‌ها) به حداقل رسید.
در نسخه‌های جدیدتر، وردپرس از رمزنگاری کلیدهای احراز هویت قوی‌تر (Application Passwords) برای ارتباطات خارجی استفاده می‌کند و در سطح کدنویسی، تمام داده‌ها قبل از ورود به پایگاه‌داده پاک‌سازی و ضد XSS می‌شوند.

چرا این تاریخچه اهمیت دارد؟

این روند تاریخی نشان می‌دهد که امنیت در وردپرس هیچ‌گاه موضوعی فرعی نبوده است؛ بلکه در هر نسل از وردپرس، یکی از اولویت‌های اصلی تیم توسعه محسوب شده.
به‌همین دلیل، اگر امروزه وردپرس بخش بزرگی از اینترنت را تشکیل می‌دهد، تنها به‌خاطر سادگی کار با آن نیست، بلکه به‌دلیل سیستم امنیتی پایدار و قابل توسعه است که در طول سال‌ها شکل گرفته.

در حقیقت، وردپرس امروز نتیجه‌ی هزاران گزارش امنیتی، میلیون‌ها خط کد بازبینی‌شده و همکاری جهانی میان توسعه‌دهندگان آزاد و شرکت‌های بزرگ فناوری است، نقطه‌ای که کمتر نرم‌افزار متن‌بازی در آن مقیاس به آن رسیده است.

سهم وردپرس در وب و علت تمرکز زیاد روی امنیت

طبق آمار W3Techs (۲۰۲۴)، حدود ۴۳٪ از کل وب‌سایت‌های اینترنت و نزدیک به ۶۵٪ از کل بازار سیستم‌های مدیریت محتوا در اختیار وردپرس است.
این محبوبیت باعث شده که نه‌تنها جامعه بزرگی از توسعه‌دهندگان برای افزایش امنیت فعال باشند، بلکه هکرها نیز همواره در تلاش برای یافتن حفره‌ها باشند.
نتیجه؟ امنیت وردپرس به‌طور مداوم رشد می‌کند، چون هر ضعف در مقیاس جهانی به‌سرعت شناسایی و رفع می‌شود.

جمع‌بندی: آیا وردپرس امن است؟

در پایان همه این شواهد تاریخی و فنی، پاسخ روشن است:
بله، وردپرس سیستمی کاملاً امن است؛ به شرط آن‌که شما هم بخشی از این امنیت باشید.

وردپرس به‌عنوان محبوب‌ترین سیستم مدیریت محتوا در دنیا، ده‌ها لایه امنیتی درون خود دارد: از رمزنگاری قوی و بروزرسانی خودکار گرفته تا سیستم هشدار امنیتی و قابلیت احراز هویت دو مرحله‌ای.
اما هر وب‌سایت وردپرسی، به اندازه‌ی رفتار کاربرانش امن است.

اغلب هک‌ها و نفوذها نه به خاطر نقص در هسته‌ی وردپرس، بلکه به دلیل اشتباهات انسانی رخ می‌دهند:
نصب افزونه‌های ضعیف یا نال‌شده، استفاده از رمز عبور ساده، یا بی‌توجهی به بروزرسانی‌ها.
این موارد همان حفره‌هایی هستند که مهاجمان به‌دنبالشان می‌گردند.

وردپرس طی بیست سال گذشته با قدرت از آزمون‌های امنیتی بی‌شماری گذشته است. اگر این سیستم ناامن بود، امروز نمی‌توانست بیش از ۴۰ درصد وب را در اختیار داشته باشد.
دلیل ماندگاری‌اش ساده است: توسعه‌ی مستمر، جامعه‌ی فعال، و مسئولیت‌پذیری کاربران.

پس دفعه‌ی بعد که کسی گفت «وردپرس ناامنه»، لبخند بزن و به او بگو امنیت وردپرس دقیقاً به اندازه جدیت کاربرانش در پیگیری بروزرسانی‌هاست.
درواقع، با رعایت چند اصل ساده، سایت وردپرسی شما نه‌تنها امن خواهد ماند، بلکه پایه‌ای قابل اعتماد برای رشد بلندمدت کسب‌و‌کارتان می‌شود.

مقالات مرتبط

• نکات و ترفندهای امنیتی وردپرس
• نحوه چک کردن خطا در وبسایت