WordPress تم إطلاقه في الأصل كمنصة تدوين أصبحت فيما بعد الحل الكامل لشبكة الويب اليوم ، لمتاجر التجارة الإلكترونية والمدونات والأخبار وتطبيقات المؤسسات. هذا التطور من WordPress جلبت العديد من التغييرات إلى جوهرها وجعلتها أكثر استقرارًا وأمانًا من الإصدارات السابقة.
لأن WordPress هي عبارة عن منصة مفتوحة المصدر مما يعني أنه يمكن لأي شخص المساهمة في وظائفه الأساسية. هذه المرونة استفادت كلا المطورين الذين طوروا الموضوعات والمكونات الإضافية والمستخدم النهائي الذي يستخدمهم لإضافة وظائف إلى WordPress المواقع.
لكن هذا الانفتاح يثير بعض الأسئلة الخطيرة فيما يتعلق بأمان المنصة والتي لا يمكن تجاهلها. هذا ليس عيبًا في النظام نفسه ، بل هو هيكل مبني عليه ويفكر في مدى أهمية ذلك ، WordPress يعمل فريق الأمن ليل نهار للحفاظ على النظام الأساسي آمن للمستخدمين النهائيين.
بعد قولي هذا كمستخدم نهائي ، لا يمكننا الاعتماد ببساطة على آلية الأمان الافتراضية الخاصة به حيث نقوم بالكثير من التغييرات من خلال تثبيت مختلف الإضافات والمواضيع لدينا WordPress الموقع التي يمكن أن تخلق الثغرات للاستغلال من قبل المتسللين.
في هذه المقالة سوف نستكشف مختلف WordPress الثغرات الأمنية وسوف تتعلم كيف تتجنبها وتصلحها لتظل آمنة!
WordPress نقاط الضعف وقضايا الأمن
سوف نرى كل قضية وحلها واحدا تلو الآخر.
- هجوم القوة الغاشمة
- حقن SQL
- البرمجيات الخبيثة
- البرمجة عبر الموقع
- هجوم DDoS
- قديم WordPress و PHP الإصدارات
1. هجوم القوة الغاشمة
في المدى العادي ، هجوم القوة الغاشمة ينطوي على نهج محاولة متعددة والخطأ باستخدام مئات من الجمع لتخمين اسم المستخدم أو كلمة المرور الصحيحة. يتم ذلك باستخدام خوارزميات وقواميس قوية تخمين كلمة المرور باستخدام نوع من السياق.
يصعب تنفيذ هذا النوع من الهجوم ولكنه لا يزال أحد الهجمات الشعبية التي تم تنفيذها WordPress المواقع. بشكل افتراضي، WordPress لا يمنع المستخدم من تجربة محاولات فاشلة متعددة والتي تتيح للإنسان أو الروبوت تجربة آلاف المجموعات في الثانية.
كيفية منع ، وإصلاح القوة الغاشمة الهجمات
تجنب القوة الغاشمة بسيط إلى حد ما. كل ما عليك فعله هو إنشاء كلمة مرور قوية تتضمن أحرفًا كبيرة وأحرفًا صغيرة وأرقامًا وأحرفًا خاصة لأن كل حرف له قيمة ASCII مختلفة وسيكون من الصعب تخمين كلمة مرور طويلة ومعقدة. تجنب استخدام كلمة المرور مثل johnny123 or whatsmypassword.
أيضًا ، قم بدمج مصادقة عاملين لتوثيق المستخدمين الذين يقومون بتسجيل الدخول إلى موقعك مرتين. توثيق ذو عاملين هو البرنامج المساعد كبيرة للاستخدام.
2. حقن SQL
واحدة من أقدم الخارقة في كتاب القرصنة على شبكة الإنترنت هو حقن استعلامات SQL لإحداث أو تدمير قاعدة البيانات بالكامل باستخدام أي نموذج ويب أو حقل إدخال.
عند الاختراق الناجح ، يمكن للمتسلل معالجة قاعدة بيانات MySQL وربما الوصول إلى حسابك WordPress المشرف أو ببساطة تغيير بيانات الاعتماد الخاصة به لمزيد من الضرر. يتم تنفيذ هذا الهجوم عادة من قِبل الهواة للمتسللين المتوسطي الذين يختبرون في معظمهم قدرات القرصنة لديهم.
كيفية الوقاية ، وإصلاح حقن SQL
باستخدام مكون إضافي ، يمكنك تحديد ما إذا كان موقعك قد وقع ضحية أم لا حقن SQL أم لا. يمكنك استخدام WPScan or Sucuri SiteCheck للتحقق من ذلك.
أيضا ، تحديث الخاص بك WordPress وكذلك أي موضوع أو مكون إضافي تعتقد أنه يمكن أن يسبب مشاكل. تحقق من الوثائق الخاصة بهم وزيارة منتديات الدعم الخاصة بهم للإبلاغ عن مثل هذه المشاكل حتى يتمكنوا من تطوير التصحيح.
3. البرمجيات الخبيثة
رمز الخبيثة يتم حقن في WordPress من خلال أي موضوع المصابة ، البرنامج المساعد عفا عليها الزمن أو البرنامج النصي. يمكن لهذا الرمز استخراج البيانات من موقعك بالإضافة إلى إدراج محتوى ضار قد لا يلاحظه أحد بسبب طبيعته السرية.
يمكن أن تسبب البرامج الضارة أضرارًا خفيفة إلى خطيرة إذا لم يتم التعامل معها في الوقت المحدد. في بعض الأحيان كله WordPress يجب إعادة تثبيت الموقع لأنه أثر على النواة. يمكن أن يؤدي ذلك أيضًا إلى إضافة تكلفة إلى حساب الاستضافة الخاص بك حيث يتم نقل كمية كبيرة من البيانات أو يتم استضافتها باستخدام موقعك.
كيفية الوقاية ، وإصلاح البرامج الضارة
عادة ، تشق البرامج الضارة طريق الإضافات المصابة والمظاهر الفارغة. يوصى بتنزيل السمات فقط من الموارد الموثوقة والتي تكون خالية من المحتوى الضار.
يمكن استخدام الإضافات الأمنية مثل Succuri أو WordFence لتشغيل مسح ضوئي كامل وإصلاح البرامج الضارة. في أسوأ الحالات سيناريو التشاور مع WordPress خبير.
4. عبر موقع البرمجة
واحدة من الهجمات الأكثر شيوعا هو البرمجة النصية للمواقع المعروفة أيضًا باسم هجوم XSS. في هذا النوع من الهجوم ، يقوم المهاجم بتحميل كود جافا سكريبت خبيث والذي يبدأ عند تحميله من جانب العميل في جمع البيانات وربما إعادة التوجيه إلى مواقع ضارة أخرى تؤثر على تجربة المستخدم.
كيفية منع ، وإصلاح البرامج النصية عبر المواقع
لتجنب هذا النوع من الهجوم يستخدم التحقق من صحة البيانات عبر WordPress موقع. استخدم التعقيم الناتج لضمان إدراج النوع الصحيح من البيانات. الإضافات مثل منع ثغرة أمنية XSS يمكن أن تستخدم أيضا.
5. هجوم دوس
أي شخص قام بتصفح شبكة الإنترنت أو يدير موقعًا على الويب قد يواجه هجوم DDoS سيئ السمعة. رفض الخدمة الموزع (DDoS) هي النسخة المحسّنة من رفض الخدمة (DoS) التي يتم فيها تقديم عدد كبير من الطلبات إلى خادم ويب مما يجعله بطيئًا ويتعطل في النهاية.
يتم تنفيذ DDoS باستخدام مصدر واحد بينما DDoS هو هجوم منظم يتم تنفيذه عبر أجهزة متعددة في جميع أنحاء العالم. يتم إهدار ملايين الدولارات كل عام بسبب هذا الهجوم الأمني على الويب.
كيفية الوقاية ، وإصلاح هجمات DDoS
من الصعب منع هجمات DDoS باستخدام التقنيات التقليدية. تلعب مضيفات الويب دورًا مهمًا في التدريع الخاص بك WordPress موقع من مثل هذه الهجمات. فمثلا، Cloudways - استضافة سحابية مُدارة يقوم المزود بإدارة أمان الخادم والإبلاغ عن أي شيء مشبوه قبل أن يتسبب في أي أضرار لموقع العميل.
عفا عليها الزمن WordPress & PHP الإصدارات
عفا عليها الزمن WordPress الإصدارات أكثر عرضة للتأثر بتهديد أمني. مع مرور الوقت ، يجد المتسللون طريقهم لاستغلال جوهره وتنفيذ الهجوم على المواقع التي لا تزال تستخدم إصدارات قديمة.
لنفس السبب، WordPress يقوم فريق بإصدار تصحيحات وإصدارات أحدث مع آلية أمان محدثة. جري الإصدارات القديمة من PHP يمكن أن يسبب مشاكل عدم التوافق. مثل WordPress يعمل على PHP ، فإنه يتطلب إصدار محدث للعمل بشكل صحيح.
حسب WordPress إحصائيات رسمية ، 42.6% من المستخدمين لا يزالون يستخدمون مختلف الإصدارات القديمة من WordPress.
بينما فقط 2.3% WordPress تعمل المواقع على أحدث إصدار من PHP 7.2.
كيفية الوقاية ، وإصلاح عفا عليها الزمن WordPress & PHP الإصدارات
هذا هو واحد سهل. يجب عليك دائما تحديث الخاص بك WordPress التثبيت إلى أحدث إصدار. تأكد من أنك تستخدم دائمًا أحدث إصدار (تذكر أن تقوم دائمًا بعمل نسخة احتياطية قبل الترقية). أما بالنسبة للترقية PHP ، بمجرد اختبار الخاص بك WordPress موقع للتوافق ، يمكنك تغيير إصدار PHP.
افكار اخيرة!
تعرفنا على مختلف WordPress نقاط الضعف وحلولها الممكنة. تجدر الإشارة إلى أن التحديث يلعب دورا أساسيا في الحفاظ على WordPress الأمن سليمة. وعندما تلاحظ أي نشاط غير عادي ، استمر في أصابع قدميك وابدأ في الحفر حتى تجد المشكلة لأن هذه المخاطر الأمنية قد تسبب أضرارًا بآلاف الدولارات.
اترك تعليق