WordPress تم إطلاقه في الأصل كمنصة تدوين أصبحت فيما بعد الحل الكامل لشبكة الويب اليوم ، لمتاجر التجارة الإلكترونية والمدونات والأخبار والتطبيقات على مستوى المؤسسة. هذا التطور من WordPress جلبت العديد من التغييرات إلى جوهرها وجعلتها أكثر استقرارًا وأمانًا من الإصدارات السابقة.
لأن WordPress هي عبارة عن منصة مفتوحة المصدر مما يعني أنه يمكن لأي شخص المساهمة في وظائفه الأساسية. هذه المرونة استفادت كلا المطورين الذين طوروا الموضوعات والمكونات الإضافية والمستخدم النهائي الذي يستخدمهم لإضافة وظائف إلى WordPress المواقع.
لكن هذا الانفتاح يثير بعض الأسئلة الخطيرة فيما يتعلق بأمان المنصة والتي لا يمكن تجاهلها. هذا ليس عيبًا في النظام نفسه ، بل هو هيكل مبني عليه ويفكر في مدى أهمية ذلك ، WordPress يعمل فريق الأمن ليل نهار للحفاظ على النظام الأساسي آمن للمستخدمين النهائيين.
بعد قولي هذا كمستخدم نهائي ، لا يمكننا الاعتماد ببساطة على آلية الأمان الافتراضية الخاصة به حيث نقوم بالكثير من التغييرات من خلال تثبيت مختلف الإضافات والمواضيع لدينا WordPress الموقع التي يمكن أن تخلق الثغرات للاستغلال من قبل المتسللين.
في هذه المقالة ، سوف نستكشف مختلف WordPress الثغرات الأمنية وسوف تتعلم كيف تتجنبها وتصلحها لتظل آمنة!
WordPress الثغرات الأمنية ومشكلات الأمان
سوف نرى كل قضية وحلها واحدا تلو الآخر.
- هجوم القوة الغاشمة
- حقن SQL
- البرمجيات الخبيثة
- البرمجة عبر الموقع
- هجوم DDoS
- قديم WordPress و PHP الإصدارات
1. هجوم القوة الغاشمة
في مصطلح ليمان ، هجوم القوة الغاشمة ينطوي متعددة حاول والخطأ النهج باستخدام مئات من الجمع لتخمين اسم المستخدم أو كلمة المرور الصحيحة. يتم ذلك باستخدام خوارزميات وقواميس قوية تخمين كلمة المرور باستخدام نوع من السياق.
من الصعب تنفيذ هذا النوع من الهجمات ولكنه لا يزال أحد الهجمات الشعبية التي تم تنفيذها WordPress المواقع. بشكل افتراضي، WordPress لا يمنع المستخدم من تجربة محاولات فاشلة متعددة والتي تتيح للإنسان أو الروبوت تجربة آلاف المجموعات في الثانية.
كيفية منع ، وإصلاح القوة الغاشمة الهجمات
إن تجنب القوة الغاشمة أمر بسيط إلى حد ما. كل ما عليك فعله هو إنشاء ملف كلمة سر قوية والذي يتضمن الأحرف الكبيرة ، والأحرف الصغيرة ، والأرقام والأحرف الخاصة حيث أن كل حرف له قيم ASCII مختلفة وسيكون من الصعب تخمين كلمة مرور طويلة ومعقدة. تجنب استخدام كلمة مرور مثل johnny123 or whatsmypassword.
أيضًا ، قم بدمج مصادقة عاملين لتوثيق المستخدمين الذين يقومون بتسجيل الدخول إلى موقعك مرتين. توثيق ذو عاملين هو البرنامج المساعد كبيرة للاستخدام.
2. حقن SQL
واحدة من أقدم الخارقة في كتاب القرصنة على شبكة الإنترنت هو حقن استعلامات SQL لإحداث أو تدمير قاعدة البيانات بالكامل باستخدام أي نموذج ويب أو حقل إدخال.
عند الاختراق الناجح ، يمكن للمتسلل معالجة قاعدة بيانات MySQL وربما الوصول إلى حسابك WordPress المشرف أو ببساطة تغيير بيانات الاعتماد الخاصة به لمزيد من الضرر. يتم تنفيذ هذا الهجوم عادة من قِبل الهواة للمتسللين المتوسطي الذين يختبرون في معظمهم قدرات القرصنة لديهم.
كيفية الوقاية ، وإصلاح حقن SQL
باستخدام مكون إضافي ، يمكنك تحديد ما إذا كان موقعك قد وقع ضحية أم لا حقن SQL أم لا. يمكنك استخدام WPScan or Sucuri SiteCheck للتحقق من ذلك.
أيضا ، تحديث الخاص بك WordPress وكذلك أي موضوع أو البرنامج المساعد الذي تعتقد أنه يمكن أن يسبب مشاكل. تحقق من الوثائق الخاصة بهم وزيارة منتديات الدعم الخاصة بهم للإبلاغ عن مثل هذه المشكلات حتى يتمكنوا من تطوير التصحيح.
3. البرمجيات الخبيثة
رمز الخبيثة يتم حقن في WordPress من خلال موضوع مصاب أو مكون إضافي أو نص برمجي قديم. يمكن لهذه الشفرة استخراج البيانات من موقعك بالإضافة إلى إدراج محتوى ضار قد يمر دون أن يلاحظه أحد بسبب طبيعته السرية.
يمكن أن تسبب البرامج الضارة أضرارًا خفيفة إلى خطيرة إذا لم يتم التعامل معها في الوقت المحدد. في بعض الأحيان كله WordPress يجب إعادة تثبيت الموقع لأنه أثر على النواة. يمكن أن يؤدي ذلك أيضًا إلى إضافة تكلفة إلى حساب الاستضافة الخاص بك حيث يتم نقل كمية كبيرة من البيانات أو يتم استضافتها باستخدام موقعك.
كيفية الوقاية ، وإصلاح البرامج الضارة
عادة ، تشق البرامج الضارة طريق الإضافات المصابة والمظاهر الفارغة. يوصى بتنزيل السمات فقط من موارد موثوقة خالية من المحتوى الضار.
يمكن استخدام المكونات الإضافية للأمان مثل Succuri أو WordFence لإجراء فحص كامل وإصلاح البرامج الضارة. في أسوأ السيناريوهات ، استشر أ WordPress خبير.
4. عبر موقع البرمجة
واحد من الهجمات الأكثر شيوعا is البرمجة النصية للمواقع المعروفة أيضًا باسم هجوم XSS. في هذا النوع من الهجوم ، يقوم المهاجم بتحميل رمز JavaScript ضار يبدأ عند تحميله من جانب العميل في جمع البيانات وربما إعادة التوجيه إلى مواقع ضارة أخرى تؤثر على تجربة المستخدم.
كيفية منع ، وإصلاح البرامج النصية عبر المواقع
لتجنب هذا النوع من الهجوم يستخدم التحقق من صحة البيانات عبر WordPress موقع. استخدم التعقيم الناتج لضمان إدراج النوع الصحيح من البيانات. الإضافات مثل منع ثغرة أمنية XSS يمكن أن تستخدم أيضا.
5. هجوم دوس
أي شخص قام باستعراض الشبكة أو يدير موقعًا إلكترونيًا قد يكون قد واجه هجوم DDoS السيئ السمعة. رفض الخدمة الموزع (DDoS) هي النسخة المحسّنة من رفض الخدمة (DoS) التي يتم فيها تقديم عدد كبير من الطلبات إلى خادم ويب مما يجعله بطيئًا ويتعطل في النهاية.
يتم تنفيذ DDoS باستخدام مصدر واحد بينما DDoS هو هجوم منظم يتم تنفيذه عبر أجهزة متعددة في جميع أنحاء العالم. يتم إهدار ملايين الدولارات كل عام بسبب هذا الهجوم الأمني على الويب.
كيفية الوقاية ، وإصلاح هجمات DDoS
من الصعب منع هجمات DDoS باستخدام التقنيات التقليدية. تلعب مضيفات الويب دورًا مهمًا في التدريع الخاص بك WordPress موقع من مثل هذه الهجمات. فمثلا، تمكنت Cloudways من استضافة سحابة يقوم المزود بإدارة أمان الخادم والإبلاغ عن أي شيء مشبوه قبل أن يتسبب في أي أضرار لموقع العميل.
عفا عليها الزمن WordPress & إصدارات PHP
عفا عليها الزمن WordPress الإصدارات أكثر عرضة للتأثر بتهديد أمني. مع مرور الوقت ، يجد المتسللون طريقهم لاستغلال جوهره وتنفيذ الهجوم على المواقع التي لا تزال تستخدم إصدارات قديمة.
لنفس السبب ، فإن WordPress يقوم فريق بإصدار تصحيحات وإصدارات أحدث مع آليات الأمان المحدثة. ادارة الإصدارات القديمة من PHP يمكن أن يسبب مشاكل عدم التوافق. مثل WordPress يعمل على PHP ، فإنه يتطلب إصدار محدث للعمل بشكل صحيح.
حسب WordPressالإحصائيات الرسمية ، 42.6% من المستخدمين لا يزالون يستخدمون مختلف الإصدارات القديمة من WordPress.
بينما فقط 2.3% WordPress تعمل المواقع على أحدث إصدار من PHP 7.2.
كيفية الوقاية ، وإصلاح عفا عليها الزمن WordPress & إصدارات PHP
هذا هو واحد سهل. يجب عليك دائما تحديث الخاص بك WordPress التثبيت إلى أحدث إصدار. تأكد من أنك تستخدم دائمًا أحدث إصدار (تذكر أن تقوم دائمًا بعمل نسخة احتياطية قبل الترقية). أما بالنسبة للترقية PHP ، بمجرد اختبار الخاص بك WordPress موقع للتوافق ، يمكنك تغيير إصدار PHP.
افكار اخيرة!
تعرفنا على مختلف WordPress نقاط الضعف وحلولها الممكنة. تجدر الإشارة إلى أن التحديث يلعب دورا أساسيا في الحفاظ على WordPress الأمن سليمة. وعندما تلاحظ أي نشاط غير عادي ، استمر في أصابع قدميك وابدأ في الحفر حتى تجد المشكلة لأن هذه المخاطر الأمنية قد تسبب أضرارًا بآلاف الدولارات.
اترك تعليق