“الأمن يؤثر على الجميع بالتساوي. لا يوجد موضوع أو هدف أو جمهور محدد عندما يتعلق الأمر بأمان موقع الويب ، “قال فيكتور سانتويو ، كبير مسؤولي الحسابات في Sucuri Security ، خلال جلسته ” دروس الأمان المستفادة من عام 2021 “ في WordCamp Europe 2022.
لكن WordPress هو أكثر أنظمة إدارة المحتوى شيوعًا على الإنترنت . إنه أيضًا الأكثر اختراقًا. على سبيل المثال ، في عام 2020 ، أبلغ Wordfence عن أكثر من 2800 هجوم في الثانية تستهدف WordPress .
تهدر الهجمات الإلكترونية الوقت والطاقة والمال. ويمكنهم أيضًا أن يهددوا سلطتك وسمعتك ، خاصة إذا تأثر زوار موقعك بالهجمات. في حين أنه من المستحيل تحديد عدد التهديدات اليومية التي قد يواجهها موقعك ، فمن الضروري التعرف على المشكلات الخاصة بـ WordPress وفهمها إذا وقعت ضحية لأحدها.
ستتناول هذه المقالة بعضًا من أكثر مشكلات الأمان والثغرات الأمنية شيوعًا في WordPress ، ولماذا تؤثر على مواقع WordPress ، والخطوات التي يمكنك اتخاذها لضمان عدم تأثرك.
1. البرامج الأساسية التي عفا عليها الزمن
تتمثل إحدى ميزات استخدام نظام أساسي لإنشاء مواقع الويب بدلاً من إنشاء موقع من البداية في أن المطورين سيعملون باستمرار على تحسين وظائف النظام الأساسي وأمانه لتوفير تجربة مستخدم سلسة .
يطرح مطورو WordPress تحديثات كل ثلاثة أشهر أو نحو ذلك . يوصى بشدة أن يقوم جميع مستخدمي WordPress بتنزيل هذه التحديثات عندما تصبح متاحة إما يدويًا أو عن طريق تمكين التحديثات التلقائية. يشتمل كل إصدار من هذه الإصدارات عادةً على تحسينات وإصلاحات للأخطاء وإصلاحات لثغرات أمنية أكثر خطورة. لذا فإن تحديث ملفاتك الأساسية يمكن أن يساعد في تحسين وظائف موقعك وأدائه وتوافقه بالإضافة إلى الأمان.
على الرغم من ميزة التحديث التلقائي ، قال سانتويو إنه وفقًا لقاعدة بيانات سوكوري ، “50.3٪ من مواقع WordPress المصابة قديمة”.
تبدو هذه النسبة أفضل من أنظمة إدارة المحتوى الأخرى مثل PrestaShop و vBulletin و Typo3 ، والتي كانت تعمل بنسبة 100٪ من مواقع الويب المصابة على برامج قديمة. قال سانتويو “[لكن] من المهم ملاحظة أن 50٪ من WordPress عبارة عن مواقع ويب أكثر من 100٪ من Typo3 ومنصات أخرى. لذلك لا يزال هناك جزء كبير من مواقع WordPress تعمل على برامج قديمة”.
لماذا مواقع WordPress عرضة للخطر؟
يترك برنامج WP الأساسي القديم المواقع عرضة للخطر لأن التحديثات عادةً ما تكون مصممة لمعالجة مشكلات الأمان الحرجة. المستخدمون الذين لا يقومون بتنزيل تحديث يكونون عرضة للمتسللين. على سبيل المثال ، تضمن الإصدار 5.8.1 من WordPress إصلاحات لثلاث نقاط ضعف رئيسية ، بما في ذلك ثغرة في البرمجة النصية عبر المواقع (XSS) في محرر كتلة Gutenberg.
إذا كان برنامجك قديمًا ، فلن تتمكن أيضًا من تحديث السمات والمكونات الإضافية ( التي سنغطيها أدناه ) ، ويصبح موقعك أكثر عرضة للعديد من تهديدات الأمان في هذه القائمة.
ما تستطيع فعله
يقدم WordPress تحديثات تلقائية لكل إصدار جديد من WordPress. يمكنك تشغيل تلك الموجودة في لوحة المعلومات الخاصة بك للتأكد من أن ملفاتك الأساسية تظل محدثة. إذا لم تقم بذلك ، فأنت بذلك تترك موقعك عرضة للتهديدات المعروفة وكذلك التهديدات المعروفة.
2. الموضوعات والمكونات الإضافية التي عفا عليها الزمن
إحدى أهم ميزات WordPress هي قابليتها للتخصيص. ينشئ المطورون مئات السمات والإضافات الفريدة التي يمكن لمالكي مواقع WordPress استخدامها لتخصيص مواقعهم.
ومع ذلك ، تتطلب هذه الإضافات من مالكي المواقع اتخاذ الاحتياطات الأمنية المناسبة. كما هو مذكور أعلاه ، يمكن أن يعرض البرنامج الأساسي القديم موقعك لمخاطر أمنية ، وكذلك السمات والمكونات الإضافية التي عفا عليها الزمن.
في الواقع ، وفقًا لبيانات WPScan ، ما يقرب من 97٪ من نقاط الضعف في قاعدة بياناتهم عبارة عن مكونات إضافية وموضوعات و 4٪ فقط هي برامج أساسية.
وشهدت شركة Sucuri Security نتائج مماثلة في قاعدة بياناتها. قال سانتويو خلال جلسة WCEU 2022: “في عام 2021 ، استحوذت الإضافات والإضافات الضعيفة على تنازلات أكثر بكثير من مجرد وجود جوهر قديم على موقع الويب الخاص بك”.
لماذا مواقع WordPress عرضة للخطر؟
غالبًا ما يقوم مطورو السمات والمكونات الإضافية بإصدار تحديثات مع تحسينات وظيفية وإجراءات أمان إضافية. ومع ذلك ، ليس كل المطورين يفعلون ذلك.
عندما لا يفعلون ذلك ، تصبح المواقع التي تستخدم هذه الموارد عرضة للقراصنة الذين يمكنهم استخدام أدوات قديمة كنقاط دخول. على سبيل المثال ، لنفترض أن WordPress أصدر تحديثًا مع تصحيح أمان جديد ولكن لم يقم المطور بتحديث موضوعه ليكون متوافقًا مع المتطلبات الجديدة. في هذه الحالة ، يمكن للمخترق استغلال الثغرة الأمنية للسمة والتحكم في الموقع.
بالإضافة إلى ذلك ، إذا قام المطورون بإصدار تحديثات ، فإن مالكي المواقع الذين يفشلون في تثبيتها يمكن أن يجعلوا مواقعهم أكثر عرضة للخطر.
ما تستطيع فعله
“يجب على كل من يدير موقعًا إلكترونيًا أن يتأكد باستمرار من تحديث مخزونه من البرامج”.
تعمل التحديثات على تحسين أمان سمات WordPress وستحمي موقع الويب الخاص بك. عندما تكون التحديثات متاحة للمكونات الإضافية والسمات ، يمكنك تثبيتها يدويًا أو استخدام مكون إضافي لتثبيتها تلقائيًا أثناء نشرها.
3. البرامج الضارة
البرامج الضارة هي مصطلح واسع يشمل أي برامج ضارة (ومن ثم ، “البرامج الضارة”). يمكن للقراصنة وضع ملفات البرامج الضارة في ملفات موقع ويب شرعية أو تعليمات برمجية في ملفات موجودة للسرقة من مواقع الويب وزوارها. يمكن للبرامج الضارة أيضًا محاولة تسجيل الدخول غير المصرح به عبر ملفات “الباب الخلفي” أو إحداث فوضى عامة.
في عام 2021 ، أصيب 61.65٪ من مواقع الويب التي تمت معالجتها في قاعدة بيانات Sucuri ببرامج ضارة. في عام 2019 ، كانت نسبة 39.53٪ ، بحسب سانتويو.
لماذا مواقع WordPress عرضة للخطر؟
مثل العديد من المشكلات في هذه القائمة ، فإن التعرض للبرامج الضارة يرتبط ارتباطًا مباشرًا بمشكلات أخرى. على سبيل المثال ، عادةً ما تدخل البرامج الضارة إلى مواقع WordPress من خلال سمات ومكونات إضافية غير مصرح بها وعفا عليها الزمن.
يستفيد المتسللون من مشاكل الأمان في المكونات الإضافية والسمات ، أو يقلدون الموجود منها ، أو حتى إنشاء إضافات جديدة تمامًا لغرض وحيد هو وضع تعليمات برمجية ضارة على موقعك.
على سبيل المثال ، كان اختراق AnonymousFox هو النوع الأكثر شيوعًا لعدوى البرامج الضارة في عام 2021. قال سانتويو خلال عرضه التقديمي في WCEU: “لا يزال يمثل تهديدًا كبيرًا لمواقع WordPress المبنية على cPanel”. باستخدام مجموعة أدوات القرصنة هذه ، يمكنهم الوصول إلى لوحة الإدارة وتثبيت المكونات الإضافية الضارة داخل بنية ملفك ، من بين ملفات المكونات الإضافية الأصلية الأخرى. هذا فعال لأنه “إذا لم تبحث دائمًا داخل دليل الملفات الخاص بك ، فلن تراه ،” قال سانتويو.
ما تستطيع فعله
بشكل افتراضي ، يقيد WordPress أنواع الملفات التي يمكن للمستخدمين تحميلها إلى مكتبة الوسائط. إذا حاولت تحميل ملف غير مضمن ، فستتلقى رسالة خطأ ولن يتم تحميل ملفك. بالطبع ، هناك طرق للتغلب على هذا كمسؤول ، ولكن هذه خطوة واحدة يتخذها WordPress لإيقاف البرامج الضارة.
علاوة على ذلك ، إليك ما يمكنك فعله: أولاً ، افحص بعناية كل مكون إضافي وموضوع تقوم بتثبيته على موقع WordPress الخاص بك. يسرد WordPress.com إحصائيات قيمة لجميع المكونات الإضافية في دليلهم ، مثل المثال أدناه:
يجب عليك أيضًا إجراء فحوصات أمنية منتظمة للعثور على أي برامج ضارة محتملة مختبئة على موقع WordPress الخاص بك. قال سانتويو: “الرؤية هي الحل الأكبر”. “لهذا السبب يمكن أن تكون مراقبة الكشف أداة جيدة: ستخبرك بالضبط بتغييرات الملف التي تم إجراؤها في الأيام القليلة الماضية.”
المكونات الإضافية هي في الواقع صديقك هنا: هناك العديد من المكونات الإضافية للأمان القوية التي يمكنها البحث عن البرامج الضارة وإصلاح الملفات التالفة. على سبيل المثال ، يحتوي Defender بواسطة WPMU DEV على مسح للبرامج الضارة وميزات أخرى لمنع العديد من المشكلات الأخرى في هذه القائمة.
تقدم بعض منصات الاستضافة فحصًا للبرامج الضارة واكتشاف التهديدات مدمجين ، هذا بديل مفيد إذا كنت لا ترغب في الاعتماد على الماسحات الضوئية الأمنية WP.
4. القشط على بطاقات الائتمان
يعد سرقة بطاقة الائتمان نوعًا من البرامج الضارة المصممة لسرقة معلومات بطاقة ائتمان العميل. تقوم معظم كاشطات بطاقات الائتمان بضخ JavaScript لسرقة تفاصيل الدفع التي تم إدخالها في نماذج الدفع على صفحات الخروج ، وتكون مخفية جيدًا لتجنب الاكتشاف.
قال سانتويو خلال حديثه في برنامج WordCamp: “يتمثل الاتجاه الأكبر في البحث عن بطاقات الائتمان”. “في العام الماضي ، تم اكتشاف مقشدة بطاقة ائتمان واحد من كل ثلاثة مواقع تعمل على WordPress. من 1 كانون الثاني (يناير) إلى هذا الأربعاء ، تم اكتشاف مقشدة بطاقة ائتمان في موقعين من كل ثلاثة مواقع عند الضغط عليهما من خلال الماسح الخاص بنا.” إنه يتوقع أن يصبح هذا أكثر شيوعًا لأن WordPress يحظى بشعبية كبيرة.
لماذا مواقع WordPress عرضة للخطر؟
بواسطة CMS ، يستحوذ WordPress على الجزء الأكبر من إصابات الكاشطة ، بنسبة 34.5٪ في عام 2021. قال سانتويو: “في العام الماضي ، تفوقت WordPress على Magento ، وهو نظام تجارة إلكترونية رئيسي CMS ، لوجود أكبر عدد من كاشطات بطاقات الائتمان التي تم اكتشافها”.
وفقًا لبيانات من Builtwith ، تعد WooCommerce أشهر منصة للتجارة الإلكترونية لأفضل مليون موقع. قال سانتويو: “المهاجمون يريدون أكبر عائد استثمار يمكنهم الحصول عليه في مثل هذه الهجمات”. لذلك فمن المنطقي أن مهاجمي مقشطات بطاقات الائتمان حولوا تركيزهم إلى أكثر منصات التجارة الإلكترونية شيوعًا على الويب.
مثل مشكلات الأمان الأخرى في هذه القائمة ، تستغل كاشطات بطاقات الائتمان البرامج الضعيفة وكلمات المرور الضعيفة ونقاط الدخول الأخرى. بمجرد وصولهم إلى مناطق الإدارة الخاصة بك ، سيقوم المهاجمون بحقن حمولة ضارة بين مكون إضافي أو سمة أو ملفات شرعية أخرى لموقع الويب ، ويقومون بتشويشها من أجل الحصول على أكبر عدد ممكن من تفاصيل بطاقة الائتمان من موقعك.
ما تستطيع فعله
“المهاجمون يكسبون مالياً من كاشطات بطاقات الائتمان أكثر من الأنواع الأخرى من العدوى. وأوضح سانتويو أن مجموعات استغلال الثغرات من المرجح أن تكون أكثر تعقيدًا وتعقيدًا لأنها ستصبح أكثر ربحية لهؤلاء المهاجمين. ونتيجة لذلك ، قد تصبح عمليات التنظيف التي تقوم بها بنفسك أكثر تعقيدًا ، على حد قوله.
الحل الموصى به هو أداة مراقبة مثل Sucuri SiteCheck ، التي تفحص موقع الويب الخاص بك بحثًا عن محتوى ضار معروف وحقن البرامج الضارة وتسمح لك بمعرفة ما يريد المهاجمون معلوماتك عنه.
5. عمليات تسجيل الدخول غير المصرح بها
عادةً ما يتم تنفيذ عمليات تسجيل الدخول غير المصرح بها بواسطة “القوة الغاشمة”. في عملية تسجيل الدخول باستخدام القوة الغاشمة ، يستخدم المهاجم روبوتًا لتشغيل المليارات من مجموعات اسم المستخدم وكلمة المرور المحتملة بسرعة. إذا كانوا محظوظين ، فسيخمنون في النهاية بيانات الاعتماد الصحيحة وسيحصلون على حق الوصول إلى المعلومات المحمية.
تبدو هذه العملية وكأنها مشهد تجسس نمطي عن طريق تكسير الكود من الأفلام حيث يندفع أحد المتسللين للوصول إلى جهاز كمبيوتر بينما يكون على وشك أن يتم القبض عليه.
لماذا مواقع WordPress عرضة للخطر؟
هناك سببان رئيسيان لحدوث هذه الهجمات بنجاح على مواقع WordPress. أولاً ، من السهل نسبيًا العثور على صفحة تسجيل الدخول الخلفية الافتراضية لأي موقع WordPress معين. يمكن لأي شخص ببساطة أن يأخذ عنوان URL الرئيسي للموقع أو إلحاق / wp-admin أو /wp-login.php حتى النهاية ، وسوف يتمكن من الوصول إلى صفحة تسجيل الدخول. إذا لم تقم بتخصيص صفحة تسجيل الدخول الافتراضية ، يمكن للمهاجمين الوصول بسهولة ومحاولة الدخول بالقوة الغاشمة.
أكد سانتويو خلال جلسة WCEU: “قم دائمًا بتغيير ملف wp-admin والإعدادات الافتراضية”. “الإعدادات الافتراضية غالبًا ما تدعو إلى التهديدات.”
في حالة حوادث تسجيل الدخول غير المصرح بها إلى WordPress ، تقع المسؤولية أيضًا على عاتق مستخدم WordPress. يمكن للمهاجمين الوصول بسهولة عن طريق إقران اسم المستخدم الافتراضي “المسؤول” بكلمة مرور بسيطة وشائعة.
ما تستطيع فعله
يعتبر الدفاع الأسهل والأكثر فاعلية ضد القرصنة العنيفة هو كلمة مرور قوية يصعب اكتشافها ، حتى مع وجود تقنية قوية تبدو وكأنها شيء خارج The Matrix. التحذيرات ضد كلمات المرور الضعيفة والتي يمكن التنبؤ بها ليست شيئًا جديدًا ، لكن الكثير لا يزالون لا يتلقون الرسالة. (اقرأ فقط قائمة NordPass لأكثر كلمات المرور شيوعًا لعام 2019 وابكي .)
اسمح لي أن أوضح لك لماذا تعد إضافة القليل من التعقيد إلى بيانات الاعتماد الخاصة بك أمرًا قويًا بشكل مدهش.
يوضح الجدول أدناه الوقت التقريبي الذي تستغرقه خوارزمية القوة الغاشمة العشوائية لتخمين كلمة مرور بمعدل حوالي مليار في الثانية ، بناءً على طول كلمة المرور واستخدام الأحرف الصغيرة (LC) والأحرف الكبيرة (UC) ، أحرف خاصة (SC) وأرقام.
كما هو موضح ، فإن استخدام كلمة مرور مع مجموعة من أنواع الأحرف و / أو الطول سيجعل من المستحيل تقريبًا أن تنجح محاولة القوة الغاشمة.
حسنًا ، أنت مقتنع بأن كلمات المرور القوية تفعل شيئًا في الواقع. ولكن هل يبدو التفكير في كل كلمات المرور هذه وتذكرها يتطلب الكثير من العمل؟ هذا هو سبب وجود مديري كلمات المرور . ستنشئ هذه التطبيقات المفيدة كلمات المرور الخاصة بك وتتذكرها وتخزنها بأمان لاستخدامها في المستقبل.
بالإضافة إلى كلمات المرور القوية ، هناك إجراءات إضافية يمكنك اتخاذها للحد من الإدخالات غير المرغوب فيها:
- تتطلب المصادقة ذات العاملين أن يتحقق المستخدمون من تسجيل الدخول على جهاز منفصل.
- ضع في اعتبارك التخلص من حساب WordPress باسم المستخدم “admin” (أول شيء سيخمنه المتسللون) وإنشاء حساب مسؤول جديد باسم مستخدم سري.
- يمكن للعديد من مكونات WordPress ذات السمعة الطيبة أن تحد من محاولات تسجيل الدخول وتضيف حروف التحقق (captchas) لصد هجمات القوة الغاشمة في مهدها.
تذكر أن طريقة القوة الغاشمة قابلة للتطبيق في أي مكان توجد فيه كلمة مرور مطلوبة ، لذا تأكد من تقوية عمليات تسجيل الدخول الخاصة بك لأي معلومات محمية بكلمة مرور. ولا تكررها عبر صفحات تسجيل الدخول أو تتركها مكشوفة على ورقها!
ضع في اعتبارك أن طريقة القوة الغاشمة قابلة للتطبيق في أي مكان توجد فيه كلمة مرور مطلوبة ، لذا تأكد من تقوية عمليات تسجيل الدخول الخاصة بك لأي معلومات محمية بكلمة مرور. ولا تكررها عبر صفحات تسجيل الدخول أو تتركها مكشوفة على ورقها!
6. أدوار مستخدم غير محددة
عند إنشاء موقع WordPress ، هناك ستة أدوار مختلفة للمستخدم للاختيار من بينها ، مثل المشترك أو المسؤول. يأتي كل دور مع أذونات أصلية تسمح للمستخدمين أو تمنعهم من اتخاذ إجراءات معينة على موقعك ، مثل تعديل المكونات الإضافية ونشر المحتوى. دور المستخدم الافتراضي هو المسؤول ، وهذا الدور له أكبر قدر من التحكم في أي موقع WordPress محدد.
لماذا مواقع WordPress عرضة للخطر؟
إذا كان لديك عدة مستخدمين ولم تغير الإعدادات الافتراضية ، فكل شخص مسؤول ، وقد يصبح هذا مشكلة. لا يعني هذا بالضرورة أن الأشخاص الذين تنشئ معهم موقعًا سوف يتسببون في ضرر لك ، ولكن هذا يعني أن المخترق الذي يمكنه الوصول إلى موقعك سيكون قادرًا على إجراء تغييرات كمسؤول.
تؤدي أدوار المشرف المحددة بشكل سيئ إلى تعريض موقعك لمخاطر متزايدة إذا نجحت هجمات القوة الغاشمة ، حيث يمكن لأدوار المسؤول أن تمنح المخترق تحكمًا كاملاً في موقعك. بالإضافة إلى ذلك ، تتيح البرمجة النصية عبر المواقع (المغطى أدناه) للمتسللين الوصول إلى إمكانات الواجهة الأمامية للحصول على معلومات إضافية من زوار موقعك.
ما تستطيع فعله
بغض النظر عن الغرض من موقع WordPress الخاص بك ، راقب جميع الأذونات. إذا كنت المسؤول الوحيد على موقعك ، فتأكد من اتخاذ إجراءات أمنية إضافية لمنع المتسللين من دخول موقعك ، مثل المصادقة ذات العاملين أو كلمات المرور الأطول. إذا قمت بتعيين أدوار للآخرين ، فتأكد من منحهم الأذونات الضرورية فقط. يمكن أن تحدث الأخطاء ، لذلك تريد أيضًا التأكد من أن المساهم لا يمكنه حذف منشور عالي الأداء بطريق الخطأ ، على سبيل المثال.
7. لغة الاستعلام الهيكلية (SQL) الحقن
SQL هي لغة برمجة تُستخدم للوصول بسرعة إلى البيانات المخزنة على موقع معين. إنها اللغة المفضلة في WordPress لإدارة قواعد البيانات ، وفي حين أنها آمنة إلى حد ما ، يمكن للأطراف الخبيثة استخدامها للاستفادة من موقعك.
أثناء إدخال SQL ، يكتسب المخترق القدرة على عرض قاعدة بيانات موقعك وتعديلها مباشرة. يمكن للمهاجمين استخدام SQL لإنشاء حسابات جديدة على موقعك وإضافة روابط ومحتوى غير مصرح به وتسريب البيانات وتحريرها وحذفها.
لماذا مواقع WordPress عرضة للخطر؟
مواقع WordPress عرضة لهذا النوع من الهجوم لأن معظمها مصمم لتعزيز الشعور بالانتماء للمجتمع. يستخدم المهاجمون عادةً حقن SQL من خلال نماذج الإرسال التي تواجه الزائر ، مثل نماذج الاتصال وحقول معلومات الدفع ونماذج العملاء المتوقعين. عندما يقوم المتسللون بإدخال المعلومات في هذه النماذج ، فإنهم لا يأملون في استخدام عرض المحتوى الخاص بك – فهم يرسلون رمزًا سيتم تشغيله وإجراء تغييرات من الداخل.
ما تستطيع فعله
أفضل مسار للعمل هو أن تكون متشككًا في مدخلات المستخدم. يُعد إرسال أي نموذج على موقعك فرصة للزائرين ذوي النية الخبيثة لإرسال المعلومات مباشرةً إلى قاعدة بيانات SQL الخاصة بك.
تقييد إرسال الأحرف الخاصة في تقديمات الزوار. بدون رموز ، تقوم بتحويل سلسلة من التعليمات البرمجية الضارة إلى هراء غير ضار. ضع في اعتبارك استخدام مكون إضافي لنموذج WordPress و / أو مكون إضافي للأمان في WordPress للقيام بهذا العمل نيابة عنك. يمكنك أيضًا استخدام captcha كخطوة أخيرة في عملية الإرسال لمنع الروبوتات من إجراء محاولات الحقن.
8. تحسين محركات البحث (SEO) البريد العشوائي
تشبه هذه الاختراقات غير المرغوب فيها حقن SQL ، لكنها تستهدف أكثر ما يقدّره مالك موقع الويب: تحسين محركات البحث ( SEO ) . يستفيد هؤلاء المخترقون من صفحاتك ذات الترتيب الأعلى ، ويملئونها بكلمات رئيسية غير مرغوب فيها وإعلانات منبثقة ، ويستخدمون عملك الجاد لبيع العناصر أو البضائع المزيفة.
لماذا مواقع WordPress عرضة للخطر؟
تكون مواقع WordPress عرضة لهذه الهجمات بنفس طريقة مشكلات الأمان الأخرى في هذه القائمة: المكونات الإضافية والسمات والبرامج الأساسية القديمة. يمكن للهجمات الغاشمة الناجحة وأدوار المستخدم غير المحددة أن تجعل موقعك عرضة للخطر.
يصعب أيضًا اكتشاف هذه الاختراقات ، مما يجعلها أكثر خطورة. غالبًا ما يحصل المتسللون على إمكانية الوصول ولكنهم ينتظرون إجراء أي تغييرات حتى لا تثير شكوكًا فورية. نظرًا لأنها تستند إلى مُحسّنات محرّكات البحث ، يتم وضع إضافات الكلمات الرئيسية غير المرغوب فيها هذه فقط على صفحاتك عالية الترتيب ، لذلك لن تحددها عند إجراء مراجعة على مستوى الموقع. يقوم المتسللون ببساطة بإدخال كلمة رئيسية هنا وهناك داخل الصفحات ذات الصلة ، مثل “حقائب شانيل الرخيصة” ، لذلك تظل شفرتك سليمة نسبيًا.
هذا يعني أن الرسائل غير المرغوب فيها لتحسين محركات البحث تكون ملحوظة أكثر لبرامج زحف تحسين محركات البحث ، حيث ستقوم بفهرسة موقعك بحثًا عن الكلمات الرئيسية غير المرغوب فيها والمستخدمين الذين يبحثون عن حقائب شانيل (أو أيًا كانت الكلمة الرئيسية غير المرغوب فيها).
ما تستطيع فعله
من أول الأشياء التي يمكنك القيام بها هو اتباع إجراءات الأمان المذكورة أعلاه مثل التحديث في الوقت المحدد وتحديد أدوار المستخدم. يمكنك أيضًا استخدام مكون إضافي للأمان في WordPress يمكنه إجراء عمليات فحص للبرامج الضارة. لقد أنشأنا قائمة من المكونات الإضافية للأمان عالية الجودة وقائمة التحقق من الأمان التي يمكنك استخدامها لحماية موقعك من البريد العشوائي لتحسين محركات البحث (ومشكلات أخرى في هذه القائمة).
إذا كنت حريصًا على تحديد هذه الاختراقات بنفسك ، فاحرص على الانتباه الشديد لبيانات التحليلات الخاصة بك ولاحظ أي تغييرات مفاجئة في مواقف SERP أو زيادة حركة المرور على الموقع دون سبب واضح. قد يتم إخطارك أيضًا من خلال مستعرض الإنترنت الذي يلاحظ أن موقعك يظهر في نتائج البحث عن شيء لا يبدو مرتبطًا بموقعك. إذا كانت لديك معرفة بالترميز ، فيمكنك التدقيق في صفحاتك عالية الترتيب التي يبدو أنها قد تأثرت ومحاولة تحديد الكلمات الرئيسية في غير محلها.
بغض النظر عن المسار الذي تختاره ، من الضروري استهداف ومعالجة هذه الاختراقات في وقت مبكر لأن برامج زحف تحسين محركات البحث ستضرب موقعك بسبب الأساليب غير المرغوب فيها ، وسيذهب كل العمل الشاق الذي بذلته سدى.
9. البرمجة عبر المواقع
تحدث البرمجة النصية عبر المواقع (XSS) عندما يضع المهاجم كودًا ضارًا في كود الواجهة الخلفية لموقع الويب المختار. تشبه هجمات XSS عمليات حقن قاعدة البيانات حيث يحاول المهاجمون زرع رمز يتم تشغيله في ملفاتك ، لكن XSS يستهدف بشكل أساسي وظائف صفحة الويب. بمجرد وصولهم إلى شاشة الواجهة الأمامية ، قد يحاول المتسللون إلحاق الضرر بالزائرين عن طريق ، على سبيل المثال ، نشر رابط مقنع إلى موقع ويب معيب أو عرض نموذج اتصال مزيف لسرقة معلومات المستخدم.
لماذا مواقع WordPress عرضة للخطر؟
مرة أخرى ، المكونات الإضافية والسمات WordPress هي الجناة هنا. إذا وجد المهاجم مكونًا إضافيًا قديمًا أو لا تتم صيانته بشكل جيد من جانبك ، فيمكنه استغلاله للوصول إلى الملفات التي تملي الواجهة الأمامية لموقع الويب الخاص بك. الشيء نفسه ينطبق على مواضيع WordPress.
ما تستطيع فعله
التحديث ، التحديث ، التحديث! احتفظ دائمًا ببرنامج WordPress Core والإضافات والقوالب التي تعمل بأحدث إصداراتها ، وكن حذرًا جدًا عند تنفيذ أي برنامج تابع لجهة خارجية على موقع الويب الخاص بك.
أداة أخرى مفيدة لمنع XSS هي جدار حماية تطبيق الويب (WAF) ، الذي يفحص حركة المرور ويمنع الزوار غير المعتمدين من دخول نظامك من الشبكات الخارجية. من السهل إعداد WAFs وصيانتها ، لذلك نوصي بتصفح ملحقات WAF ذات السمعة الطيبة لحماية موقع WordPress الخاص بك من XSS وحقن SQL والهجمات الأخرى.
10. هجمات الحرمان من الخدمة
يهدف هجوم رفض الخدمة (DoS) إلى منع مسؤولي الموقع والزوار من الوصول إلى موقع ويب. يتم ذلك عن طريق إرسال الكثير من حركة المرور إلى خادم مستهدف بحيث يتعطل ، ويزيل جميع مواقع الويب المستضافة عليه. في النهاية ، يتم استعادة الخادم ومواقع الويب المستضافة ، ولكن قد يكون من الصعب إعادة بناء سمعة المواقع التي تعرضت للهجوم.
غالبًا ما يتم تنفيذ هذه الهجمات من أجهزة متعددة في وقت واحد (تشكل شبكة الروبوتات) ، مما يخفي المصدر الأصلي لحركة المرور ويضاعف حجم البريد العشوائي. يُعرف هذا بهجوم رفض الخدمة الموزع (DDoS) ، وهو أسوأ بكثير.
لماذا مواقع WordPress عرضة للخطر؟
مثل أي موقع ويب ، يحتاج أولئك المدعومون من WordPress إلى استضافة. تستهدف هجمات DoS و DDoS خوادم الاستضافة ، وبالتحديد تلك الخوادم ذات الأمان المحدود في المكان.
ما تستطيع فعله
لا تعتمد فقط على المكونات الإضافية لهذا ؛ أفضل دفاع ضد هجمات DoS / DDoS هو استضافة WordPress الآمنة.
ستحتاج إلى العثور على مزود استضافة موثوق به يناسب احتياجات عملك ويحافظ على سمعته في التعامل مع الأمان على محمل الجد. على سبيل المثال ، تتضمن خطط الاستضافة المُدارة الخاصة بـ WP Engine أدوات DDos Mitigation بالإضافة إلى حل أمان عالي القدرة يُعرف باسم Global Edge Security مصمم خصيصًا لتأمين مواقع WordPress ، ويمكن أن يساعد هذا الدفاع الإلكتروني على مستوى المؤسسات في منع هجمات DDoS على موقعك.
11. التصيد
يحصل التصيد الاحتيالي على اسمه من الصيد الفعلي ، حيث يتخلى الناس عن الخط بعد سطر على أمل الحصول على لقمة. عند التصيد الاحتيالي ، يرسل المتسللون كميات هائلة من الروابط غير المرغوب فيها على أمل أن يقوم شخص واحد على الأقل بالنقر فوقها ويتم اختراق معلوماتهم. ربما تكون قد سمعت عن هجمات التصيد الاحتيالي أو تعرضت لها من خلال رسائل بريد إلكتروني تبدو شرعية في بريدك الوارد ، أو رسائل نصية من أرقام غير معروفة.
لسوء الحظ ، WordPress ليس محصنًا ضد هذه الممارسات غير المرغوب فيها.
لماذا مواقع WordPress عرضة للخطر؟
مثل مشكلات الأمان الأخرى في هذه القائمة ، تصبح مواقع WordPress عرضة لمحاولات التصيد الاحتيالي من خلال المكونات الإضافية أو السمات أو البرامج القديمة أو عدم وجود فحوصات أمنية لتقديم نماذج التعليقات.
إذا تمكن مستخدم لديه نية ضارة من الوصول إلى موقعك بامتيازات المسؤول ، فيمكنه نشر روابط غير مرغوب فيها للمستخدمين للنقر عليها مما يؤدي إلى تعريض معلوماتهم للخطر. يستفيد التصيد الاحتيالي من الثقة التي يتمتع بها المستخدمون لك وللمحتوى الخاص بك ، لأنه من غير المحتمل أن يكون افتراضهم الأساسي هو أنك تحاول خداعهم. يمكن للقراصنة أيضًا ترك تعليقات على صفحات موقعك مع روابط قد توجه المستخدم على ما يبدو إلى موارد إضافية غير مرغوب فيها.
فيما يلي مثال على تعليق غير مرغوب فيه يحث القراء على النقر فوق ارتباط.
ما تستطيع فعله
تتضمن الحماية من التصيد الاحتيالي الخطوات المعتادة: إجراء تحديثات منتظمة ومراقبة نشاط الموقع واستخدام كلمات مرور آمنة. يجب عليك أيضًا تنزيل إجراءات أمان إضافية لموقعك ، مثل ReCAPTCHA ، للحماية من برامج التصيد الاحتيالي غير المرغوب فيها. تستخدم ReCAPTCHA التعلم الآلي لفهم أنماط التصفح للتمييز بين البشر والروبوتات.
12. هجمات سلسلة التوريد
تستفيد هجمات سلسلة التوريد أيضًا من واحدة من أكثر ميزات WordPress المحبوبة: السمات والمكونات الإضافية. هناك طريقتان لحدوث هذا الهجوم: يقوم مالك المكون الإضافي بتثبيت برامج ضارة على مواقع العملاء ، أو يشتري أحد المخترقين مكونًا إضافيًا شائعًا ويحقن رمزًا غير مرغوب فيه متخفيًا في شكل تحديث.
نتيجة لكلتا الطريقتين ، يتم منح المتسللين الوصول إلى إمكانات الواجهة الخلفية لموقعهم. على سبيل المثال ، يمكنهم الوصول إلى الملفات الآمنة وإحداث فوضى في المعلومات الآمنة لزوار الموقع أو تنفيذ عمليات اختراق إضافية مثل البريد العشوائي لتحسين محركات البحث والتصيد الاحتيالي.
لماذا مواقع WordPress عرضة للخطر؟
مواقع WordPress عرضة لهذه الأنواع من الهجمات لأنها تستند إلى شيء من المفترض أن تفعله ، وما نوصي به لمكافحة معظم المشكلات في هذه القائمة: التحديثات المنتظمة.
ما تستطيع فعله
لحسن الحظ ، غالبًا ما تتمتع هجمات سلسلة التوريد بفترة صلاحية قصيرة لأن مطوري WordPress يتعرفون بنشاط على هذه المكونات الإضافية والسمات المزيفة ويحظرون المتأثرين بسرعة. ومع ذلك ، إذا حدث أن تطير شخص ما تحت الرادار ، فإن تثبيت المكونات الإضافية للأمان التي تقوم بإجراء فحوصات منتظمة على موقعك سيحدد بسرعة أي ثغرات أمنية.
من المفيد أيضًا إجراء نسخ احتياطي لبيانات موقع WordPress الخاص بك ، حتى تتمكن من حفظها إذا تم اختراقها. كما هو الحال دائمًا ، يمكن القيام بذلك يدويًا أو عن طريق تنزيل مكونات إضافية .
13. Hotlinking
يعد Hotlinking – حيث يستخدم الآخرون عملك دون إذن أو ائتمان – أحد أسوأ الأشياء التي يمكنك تجربتها كمنشئ محتوى. عادةً ما يقوم موقع ويب آخر بتضمين محتوى ، مثل الصور ، من موقع الويب الخاص بك المستضاف على الخادم الخاص بك بدلاً من تنزيله بأنفسهم. إنهم يستفيدون من الأموال التي تنفقها للحفاظ على موقعك وتشغيله لتحميل الصور على موقعهم ، مما قد يؤدي إلى فواتير شهرية أعلى من مزود الاستضافة الخاص بك .
إنه ليس هجومًا غير مرغوب فيه مباشرًا ، حيث من المحتمل أن الأشخاص الذين يقومون بالربط الساخن ليسوا متسللين ، لكنها ممارسة سيئة على الإنترنت. إذا كان المحتوى الخاص بك مرخصًا ومقيّدًا للاستخدام الفردي ، فإن الارتباط السريع ليس مجرد آداب سيئة – إنه غير قانوني.
لماذا مواقع WordPress عرضة للخطر؟
بصفتك مالكًا للموقع ، فأنت تريد مشاركة المحتوى عالي الجودة الخاص بك مع زوار الموقع. لسوء الحظ ، فإن مواقع WordPress عرضة للارتباط السريع لأن الناس يستفيدون من ذلك.
يقومون ببساطة بنسخ ولصق ارتباط إلى صورة أو ملف رقمي من موقع آخر على موقعهم دون منح الائتمان. قد لا يكون لدى العديد من مالكي مواقع WordPress الوقت لاتخاذ تدابير وقائية ضد الارتباط الساخن – أو حتى التفكير في القيام بذلك.
ما تستطيع فعله
هناك طرق مختلفة لحماية المحتوى الخاص بك من الروابط الساخنة ، ولكن الخيار السهل هو إضافة علامات مائية يمكن تمييزها. إنه حل سهل الاستخدام لن يوقف بالضرورة جميع الأطراف الخبيثة ، ولكنه سيتطلب خطوة إضافية لإزالة علامتك الشخصية.
يمكن أن تكون العلامة المائية ببساطة اسمك أو مجال موقع الويب أو شعار علامة تجارية لحقوق الطبع والنشر للمحتوى المسجل. يمكنك شخصيًا إضافة هذه العلامة المائية إلى المحتوى الخاص بك ، أو يمكنك استخدام طريقة WordPress المجربة والصحيحة: مكون إضافي.
14. التزوير عبر المواقع (CSRF)
تزوير الطلبات عبر المواقع (CSRF) هو ثغرة أمنية تسمح للمهاجمين بالتأثير على المستخدمين لاتخاذ إجراءات لا يريدون اتخاذها.
على سبيل المثال ، باستخدام CSRF ، يمكن للمهاجمين حث المستخدمين على تغيير عناوين بريدهم الإلكتروني أو تحويل الأموال أو تغيير كلمات المرور أو اتخاذ إجراء آخر. اعتمادًا على الإجراء الذي يتخذه المستخدم ، يمكن للمهاجم التحكم في حساب المستخدم وإحداث الفوضى. إذا كان المستخدم مسؤولاً ، فيمكن للمهاجم أن يتحكم بشكل كامل في موقع الويب.
لماذا مواقع WordPress عرضة للخطر؟
مواقع WordPress التي تستخدم بعض المكونات الإضافية الأكثر شيوعًا معرضة بشكل خاص لهجمات CSRF. وبشكل أكثر تحديدًا ، تكون المكونات الإضافية التي تستخدم الوظيفة check_url () ، مثل WP Fastest Cache ، عرضة لهجمات CSRF.
ما تستطيع فعله
يمكنك منع هجمات CSRF من خلال مراقبة المكونات الإضافية لموقعك عن كثب. على الرغم من أن المكونات الإضافية ضرورية ، فلا تثق بشكل أعمى في كل مكون إضافي تصادفه.
يمكنك حماية نفسك من تزوير الطلبات عبر المواقع عن طريق تثبيت مكون إضافي قوي للأمان في WordPress. هناك العديد من المكونات الإضافية الرائعة ، ويمكن أن تبقيك في مأمن من جميع أنواع الهجمات ، بما في ذلك هجمات CSRF.
يمكنك أيضًا منع هذا الهجوم عن طريق تقوية موقع الويب الخاص بك عن طريق المصادقة الثنائية وتعطيل محرر الملفات وتنفيذ PHP في مجلدات غير موثوق بها.
حماية ما قمت بإنشائه
نعلم جميعًا أن الإنترنت يمكن أن يكون مكانًا مخيفًا. قد يبدو الأمر مربكًا ، لكن من المهم فهم المخاطر والتهديدات المحتملة التي تجعل الإنترنت مخيفًا في بعض الأحيان. من المهم بشكل خاص إذا كنت قد قضيت وقتًا في إنشاء موقع شخصي غني بالمحتوى على WordPress.
يعد البقاء على اطلاع بشأن الأمن السيبراني من أفضل الطرق للدفاع عن تواجدك عبر الإنترنت وحماية نمو عملك وكسب ثقة عملائك.
لا تعليق