چگونه مطمئن شویم یک افزونه وردپرس کد مخرب ندارد؟

مقدمه

افزونه‌ها ابزارهایی قدرتمند برای گسترش امکانات وردپرس هستند، اما اگر از منابع نامطمئن دریافت شده باشند یا بررسی امنیتی نشده باشند، می‌توانند حاوی کدهای مخرب یا درب‌های پشتی (Backdoor) باشند که امنیت کل سایت را به خطر می‌اندازند. در این مقاله، راهکارها و ابزارهای کاملاً کاربردی برای اطمینان از سالم بودن افزونه‌های وردپرس معرفی شده‌اند.

🔍 ۱. بررسی فایل افزونه با ابزارهای آنلاین

✅ VirusTotal

www.virustotal.com
این ابزار تحت مالکیت گوگل است و فایل‌های آپلودشده را با بیش از ۷۰ موتور آنتی‌ویروس بررسی می‌کند. فایل ZIP افزونه را آپلود کرده و گزارش کامل دریافت کنید. اگر حتی یکی از آنتی‌ویروس‌ها به آن مشکوک باشد، باید احتیاط کنید.

✅ WPScan

www.wpscan.com
یک پایگاه داده امنیتی تخصصی وردپرس است. این ابزار می‌تواند آسیب‌پذیری‌های شناخته‌شده در افزونه‌ها، قالب‌ها و خود وردپرس را شناسایی کند. اگر افزونه‌ای در لیست آسیب‌پذیرها باشد، WPScan به شما هشدار می‌دهد.

✅ WP Sec

www.wpsec.com
سایتی ساده و سریع برای اسکن خودکار سایت وردپرسی شما. می‌تواند مشکلات امنیتی افزونه‌ها و تنظیمات اشتباه امنیتی را شناسایی کند.

✅ WP Recon

www.wprecon.com
ابزاری پیشرفته‌تر برای اسکن آسیب‌پذیری‌ها، لیست افزونه‌های نصب‌شده، و بررسی خطاهای امنیتی رایج در وردپرس.

🧩 ۲. بررسی کد افزونه به‌صورت دستی

اگر با کدنویسی آشنایی دارید، فایل‌های افزونه را بررسی کرده و به دنبال توابع زیر باشید که اغلب در کدهای مخرب استفاده می‌شوند:

  • eval() – اجرای رشته‌های کد، بسیار خطرناک اگر به صورت داینامیک باشد.
  • base64_decode() – رمزگشایی کد مخفی‌شده؛ زیاد بودن آن مشکوک است.
  • shell_exec() / exec() – اجرای دستور در سیستم؛ به شدت خطرناک.
  • file_put_contents() – نوشتن فایل روی سرور؛ بررسی شود که در کجا و چرا.

نکته: استفاده این توابع در برخی موارد ممکن است طبیعی باشد، اما در صورت تکرار زیاد یا استفاده غیرمنطقی، نشانه خطر است.

🛡️ ۳. استفاده از افزونه‌های امنیتی وردپرس

وردپرس دارای افزونه‌هایی برای اسکن و تشخیص کد مخرب است:

✅ Wordfence Security

یکی از قدرتمندترین افزونه‌های امنیتی با قابلیت اسکن فایل‌ها، شناسایی افزونه‌های مشکوک، فایروال، و هشداردهی در لحظه. نسخه رایگان هم دارد و برای بسیاری از سایت‌ها کافی است.

✅ Sucuri Security

افزونه‌ای با تمرکز بر مانیتورینگ فایل‌ها، اسکن کدهای تغییر یافته و حفاظت از حملات رایج مانند XSS یا SQL Injection.

✅ iThemes Security

امکاناتی مثل غیرفعال کردن اجرای فایل PHP در پوشه‌های خاص، مانیتورینگ لاگ‌ها، و جلوگیری از لاگین‌های مشکوک.

⚠️ ۴. توجه به منبع افزونه

تنها از منابع زیر برای دانلود افزونه استفاده کنید:

هیچ‌وقت افزونه‌های نال‌شده یا کرک‌شده را از کانال‌های تلگرام یا سایت‌های نامعتبر دانلود نکنید.

⭐ ۵. بررسی امتیاز و بازخورد کاربران

پیش از نصب افزونه، نظرات، امتیاز و تعداد نصب فعال آن را بررسی کنید. افزونه‌هایی با سابقه منفی یا نظرات کاربران ناراضی را کنار بگذارید.

🔁 ۶. بروزرسانی و پشتیبانی توسعه‌دهنده

اگر افزونه ماه‌ها یا سال‌ها آپدیت نشده، نشان‌دهنده توقف پشتیبانی است. این افزونه‌ها معمولاً با نسخه‌های جدید وردپرس ناسازگارند یا دارای باگ‌های امنیتی شناخته‌شده‌اند که رفع نشده‌اند.

🧪 ۷. تست افزونه در محیط آزمایشی

پیش از نصب افزونه بر روی سایت اصلی، آن را روی نسخه تست (Staging) نصب کرده و عملکرد آن را بررسی کنید. این کار مخصوصاً برای سایت‌های فروشگاهی یا پرترافیک بسیار حیاتی است.

✅ نتیجه‌گیری

نصب افزونه بدون بررسی، مانند باز کردن در خانه به روی یک غریبه‌ی مشکوک است! با استفاده از ابزارهای آنلاین، اسکن امنیتی، بررسی منبع، و تست اولیه می‌توانید مطمئن شوید که افزونه موردنظر، سالم و قابل‌اعتماد است.

امنیت سایت وردپرس شما با همین تصمیم‌های کوچک تضمین می‌شود.