در ۲۷ می ۲۰۰۳، اولین نسخه عمومی وردپرس منتشر شد؛ نسخه‌ای که در ابتدا بیشتر به‌عنوان یک ابزار ساده برای وبلاگ‌نویسی شناخته می‌شد، اما امروز به یکی از مهم‌ترین زیرساخت‌های انتشار محتوا در جهان تبدیل شده است. طبق آمار W3Techs در می ۲۰۲۶، وردپرس حدود ۴۱.۹٪ از کل وب‌سایت‌های جهان و ۵۹.۵٪ از وب‌سایت‌هایی که سیستم مدیریت محتوای آن‌ها قابل تشخیص است را در اختیار دارد. همین گستردگی باعث شده موضوع امنیت در وردپرس دیگر فقط یک نگرانی فنی نباشد، بلکه به بخشی حیاتی از اعتماد، پایداری و اعتبار کسب‌وکارهای آنلاین تبدیل شود.

وردپرس در طول ۲۳ سال گذشته فقط از نظر امکانات، طراحی و تجربه کاربری رشد نکرده؛ بلکه نگاه آن به امنیت نیز تکامل چشمگیری داشته است. از روزهایی که به‌روزرسانی‌ها به‌صورت دستی انجام می‌شد تا امروز که تیم امنیتی وردپرس، به‌روزرسانی‌های خودکار، گزارش‌پذیری آسیب‌پذیری‌ها و اکوسیستم بزرگی از ابزارهای امنیتی در کنار آن قرار گرفته‌اند، مسیر امنیت وردپرس داستانی از بلوغ یک پروژه متن‌باز است.

وردپرس در آغاز؛ آزادی بیشتر، مسئولیت امنیتی بیشتر

اولین نسخه وردپرس، یعنی WordPress 0.70، در سال ۲۰۰۳ منتشر شد و هدف اصلی آن ساده‌تر کردن انتشار محتوا در وب بود. در آن زمان، دغدغه‌های امنیتی در مقیاس امروز وجود نداشتند؛ چون نه وردپرس به این اندازه فراگیر بود، نه افزونه‌ها و قالب‌ها چنین اکوسیستم بزرگی ساخته بودند. اما از همان ابتدا یک نکته مهم در ذات وردپرس وجود داشت: متن‌باز بودن.

متن‌باز بودن یعنی کد برای جامعه توسعه‌دهندگان قابل بررسی، بهبود و اصلاح است؛ مزیتی که هم فرصت امنیتی ایجاد می‌کند و هم نیازمند نگهداری مداوم است.

با رشد وردپرس، قابلیت‌هایی مثل افزونه‌ها و قالب‌ها وارد بازی شدند. وردپرس ۱.۲ در سال ۲۰۰۴ منتشر شد و مسیر توسعه افزونه‌ها را جدی‌تر کرد. سپس در وردپرس ۱.۵، سیستم قالب‌ها انعطاف بیشتری پیدا کرد و وردپرس از یک ابزار وبلاگ‌نویسی به بستری جدی‌تر برای ساخت سایت تبدیل شد. این تحولات برای توسعه‌پذیری فوق‌العاده بودند، اما از منظر امنیت یک پیام روشن داشتند: هرچه وردپرس بازتر و قابل توسعه‌تر می‌شود، مدیریت ریسک در افزونه‌ها، قالب‌ها و کدهای جانبی اهمیت بیشتری پیدا می‌کند.

از به‌روزرسانی دستی تا آپدیت یک‌کلیکی؛ نقطه عطف امنیت در وردپرس

در سال‌های ابتدایی، به‌روزرسانی وردپرس برای بسیاری از کاربران ساده نبود. بسیاری از مدیران سایت‌ها یا به‌دلیل ترس از خراب شدن سایت، یا به‌دلیل نداشتن دانش فنی، نسخه‌های قدیمی را نگه می‌داشتند. این موضوع به‌مرور به یکی از بزرگ‌ترین ریسک‌های امنیت در وردپرس تبدیل شد: سایت‌هایی که به‌روزرسانی نمی‌شدند، حتی بعد از انتشار وصله‌های امنیتی نیز در معرض حمله باقی می‌ماندند.

وردپرس ۲.۷ که در دسامبر ۲۰۰۸ منتشر شد، یکی از نقاط مهم در این مسیر بود؛ زیرا تجربه مدیریت و به‌روزرسانی را برای کاربران ساده‌تر کرد. مستندات وردپرس نشان می‌دهد که نسخه ۲.۷ یکی از نسخه‌های مهم از نظر بهبود تجربه مدیریت بود و پس از آن، مسیر به‌روزرسانی از داخل پیشخوان برای کاربران عادی قابل‌دسترس‌تر شد.

این تغییر از نظر امنیتی بسیار مهم بود. وقتی به‌روزرسانی ساده‌تر شود، احتمال نصب وصله‌های امنیتی بیشتر می‌شود. در واقع، وردپرس به‌تدریج فهمید که امنیت فقط نوشتن کد امن نیست؛ امنیت یعنی طراحی تجربه‌ای که کاربر عادی هم بتواند سایت خود را امن نگه دارد.

وردپرس ۳.۷ و تولد به‌روزرسانی‌های خودکار امنیتی

یکی از مهم‌ترین لحظات تاریخ امنیت در وردپرس، انتشار وردپرس ۳.۷ بود. در این نسخه، به‌روزرسانی‌های خودکار پس‌زمینه برای نسخه‌های نگهداری و امنیتی معرفی شد. طبق مستندات رسمی وردپرس، این قابلیت با هدف بهبود امنیت و ساده‌سازی فرایند آپدیت ارائه شد و به‌صورت پیش‌فرض، آپدیت‌های جزئی و امنیتی را برای بیشتر سایت‌ها فعال می‌کند.

این ویژگی امنیتی یک تغییر بنیادین بود. قبل از آن، اگر آسیب‌پذیری مهمی در هسته وردپرس پیدا می‌شد، مدیر سایت باید خودش متوجه می‌شد، وارد پیشخوان می‌شد و به‌روزرسانی را انجام می‌داد. اما با به‌روزرسانی خودکار، وردپرس توانست بخش مهمی از ریسک تأخیر در نصب وصله‌های امنیتی را کاهش دهد.

در مقاله رسمی امنیت وردپرس نیز تأکید شده است که تیم امنیتی وردپرس می‌تواند مشکلات امنیتی هسته را شناسایی، رفع و در قالب به‌روزرسانی‌های امنیتی منتشر کند. این یعنی امنیت وردپرس از یک مسئولیت صرفاً فردی، به ترکیبی از مسئولیت کاربر، تیم توسعه و جامعه متن‌باز تبدیل شده است.

تیم امنیتی وردپرس؛ پشت صحنه اعتماد کاربران

امروز وردپرس دارای تیم امنیتی اختصاصی است که وظیفه آن شناسایی و رفع مشکلات امنیتی در هسته وردپرس، مقاوم‌سازی در برابر تهدیدهای شناخته‌شده و ارائه راهنما برای اکوسیستم وردپرس است. در صفحه رسمی امنیت وردپرس اشاره شده که این تیم برای مقابله با تهدیدهایی مانند OWASP Top Ten و افزایش امنیت هسته فعالیت می‌کند.

همچنین وردپرس برای گزارش آسیب‌پذیری‌ها از اصل افشای مسئولانه پشتیبانی می‌کند؛ یعنی پژوهشگران امنیتی تشویق می‌شوند پیش از انتشار عمومی آسیب‌پذیری، آن را به تیم مربوطه گزارش دهند تا فرصت اصلاح و انتشار وصله وجود داشته باشد. این مدل، یکی از پایه‌های امنیت در پروژه‌های متن‌باز بزرگ است.

این ساختار نشان می‌دهد که امنیت در وردپرس فقط به نصب یک افزونه امنیتی محدود نمی‌شود. هسته وردپرس، فرایند گزارش آسیب‌پذیری، آپدیت‌های امنیتی، جامعه توسعه‌دهندگان و مدیر سایت، همگی در کنار هم یک زنجیره امنیتی می‌سازند.

افزونه‌ها و قالب‌ها؛ قدرت بزرگ وردپرس و چالش اصلی امنیت

اگر بخواهیم صادقانه درباره امنیت وردپرس صحبت کنیم، باید میان «هسته وردپرس» و «اکوسیستم افزونه‌ها و قالب‌ها» تفاوت قائل شویم. بسیاری از حملات و آسیب‌پذیری‌هایی که با نام وردپرس شناخته می‌شوند، در واقع مربوط به افزونه‌ها و قالب‌های شخص ثالث هستند، نه خود هسته وردپرس.

گزارش Patchstack درباره وضعیت امنیت وردپرس در سال ۲۰۲۵ نشان می‌دهد که در سال ۲۰۲۴ تعداد ۷,۹۶۶ آسیب‌پذیری جدید در اکوسیستم وردپرس ثبت شده و ۹۶٪ آن‌ها مربوط به افزونه‌ها بوده‌اند. در همین گزارش آمده است که فقط تعداد بسیار کمی از آسیب‌پذیری‌ها مربوط به هسته وردپرس بوده و آن‌ها نیز تهدید گسترده‌ای برای کل اکوسیستم ایجاد نکرده‌اند.

گزارش Wordfence نیز همین الگو را تأیید می‌کند. طبق گزارش سالانه امنیت وردپرس Wordfence برای سال ۲۰۲۴، تنها ۵ مورد از آسیب‌پذیری‌های افشاشده مربوط به هسته وردپرس بوده و افزونه‌ها همچنان اصلی‌ترین منبع ریسک امنیتی در سایت‌های وردپرسی محسوب می‌شوند.

بنابراین وقتی درباره امنیت در وردپرس صحبت می‌کنیم، نباید صرفاً بپرسیم «آیا وردپرس امن است؟» سؤال درست‌تر این است: «آیا وردپرس، افزونه‌ها، قالب‌ها، هاست، رمزهای عبور و فرایند نگهداری سایت به‌درستی مدیریت می‌شوند؟»

وردپرس ۵.۲، سلامت سایت و نگاه آموزشی به امنیت

در سال ۲۰۱۹ و با وردپرس ۵.۲، قابلیت Site Health یا سلامت سایت معرفی شد. هدف این بخش کمک به مدیران سایت بود تا مشکلات رایج پیکربندی، وضعیت فنی و برخی موارد مرتبط با امنیت و عملکرد را بهتر تشخیص دهند. در Make WordPress Core توضیح داده شده که وردپرس ۵.۲ دو صفحه جدید در پیشخوان اضافه کرد تا کاربران بتوانند مشکلات رایج سایت خود را بهتر بررسی کنند.

اهمیت ابزار Site Health در این است که وردپرس متوجه شد امنیت فقط موضوع توسعه‌دهندگان نیست. بسیاری از مدیران سایت‌ها برنامه‌نویس نیستند، اما باید بتوانند هشدارهای مهم را ببینند؛ مثلاً نسخه PHP قدیمی، نبود HTTPS، افزونه‌های غیرفعال یا مشکلات پیکربندی. این نگاه آموزشی باعث شد امنیت در وردپرس به تجربه روزمره مدیر سایت نزدیک‌تر شود.

امنیت در وردپرس امروز؛ امن بودن یعنی نگهداری مداوم

در ۲۳ سالگی وردپرس، می‌توان گفت هسته وردپرس نسبت به گذشته بسیار بالغ‌تر، ساخت‌یافته‌تر و امن‌تر شده است. اما چالش اصلی امروز، نگهداری سایت در یک اکوسیستم بزرگ و پویاست. وردپرس محبوب است، و همین محبوبیت آن را به هدف جذابی برای مهاجمان تبدیل می‌کند. از طرف دیگر، افزونه‌ها و قالب‌ها امکانات بی‌نظیری به وردپرس می‌دهند، اما هر افزونه اضافه می‌تواند سطح حمله سایت را گسترده‌تر کند.

گزارش‌های امنیتی سال‌های اخیر نشان می‌دهند که بیشترین ریسک در سایت‌های وردپرسی معمولاً از چند مسیر تکراری ایجاد می‌شود: افزونه‌های قدیمی، قالب‌های به‌روزرسانی‌نشده، رمزهای عبور ضعیف، نبود احراز هویت دومرحله‌ای، هاست ناامن، فایل‌های آلوده و بی‌توجهی به نسخه‌های جدید. بنابراین امنیت در وردپرس بیش از آنکه یک اقدام یک‌باره باشد، یک فرایند دائمی است.

چک‌لیست امنیتی پیشنهادی برای سایت‌های وردپرسی

برای حفظ امنیت سایت وردپرسی، رعایت چند اصل ساده اما حیاتی ضروری است:

1. هسته وردپرس، افزونه‌ها و قالب‌ها را همیشه به‌روز نگه دارید.
2. افزونه‌ها و قالب‌های غیرضروری را حذف کنید، نه فقط غیرفعال.
3. از منابع معتبر برای نصب افزونه و قالب استفاده کنید.
4. برای مدیران سایت رمزهای عبور قوی و منحصربه‌فرد تعریف کنید.
5. احراز هویت دومرحله‌ای را فعال کنید.
6. از هاست امن و به‌روز استفاده کنید.
7. دسترسی کاربران را بر اساس نقش واقعی آن‌ها محدود کنید.
8. به‌صورت منظم از سایت بکاپ بگیرید.
9. گزارش خطاها، لاگ‌ها و فعالیت‌های مشکوک را بررسی کنید.
10. برای سایت‌های تجاری، از فایروال، اسکن بدافزار و مانیتورینگ امنیتی استفاده کنید.

امنیت وردپرس، بخشی از امنیت بزرگ‌تر سازمان

امنیت یک سایت وردپرسی تنها به هسته وردپرس، افزونه‌ها و قالب‌ها محدود نمی‌شود. اگر سایت بخشی از زیرساخت دیجیتال یک سازمان باشد، امنیت آن باید در کنار امنیت شبکه، endpointها، سرورها و داده‌های حساس دیده شود. به همین دلیل، سازمان‌ها برای کاهش ریسک حملات سایبری معمولاً به ترکیبی از راهکارهایی مانند آنتی ویروس سازمانی، فایروال سازمانی، EDR و DLP نیاز دارند.

جمع‌بندی؛ وردپرس امن است، اگر درست نگهداری شود

وردپرس در ۲۳ سال گذشته مسیر بزرگی را طی کرده است؛ از یک ابزار ساده وبلاگ‌نویسی تا پلتفرمی که بخش قابل‌توجهی از وب را میزبانی می‌کند. در این مسیر، امنیت وردپرس نیز از آپدیت‌های دستی و پراکنده به تیم امنیتی، به‌روزرسانی‌های خودکار، گزارش آسیب‌پذیری، Site Health، رمزهای عبور برنامه‌ای و اکوسیستم گسترده ابزارهای امنیتی رسیده است.

اما نکته کلیدی این است: امنیت در وردپرس یک وضعیت ثابت نیست؛ یک فرایند مداوم است. هسته وردپرس امروز ساختار امنیتی قدرتمندی دارد، اما امنیت نهایی هر سایت به انتخاب افزونه‌ها، کیفیت هاست، نظم در به‌روزرسانی، مدیریت دسترسی‌ها و آگاهی مدیر سایت وابسته است.

به مناسبت ۲۳ سالگی وردپرس، شاید بهترین پیام برای صاحبان سایت این باشد: وردپرس به‌اندازه‌ای رشد کرده که بتواند میزبان جدی‌ترین کسب‌وکارها باشد؛ اما این قدرت زمانی ارزشمند است که با نگهداری درست، نگاه امنیتی و انتخاب‌های آگاهانه همراه شود.