طرق هجمات WordPress الشائعة
أولاً ، دعونا نلقي نظرة على الهجوم الشائع الذي قد يواجهه مالكو مواقع WordPress.
1. حقن SQL
تعتمد منصة WordPress CMS على طبقة قاعدة بيانات تخزن معلومات البيانات الوصفية بالإضافة إلى المعلومات الإدارية الأخرى. على سبيل المثال ، ستحتوي قاعدة بيانات WordPress النموذجية المستندة إلى SQL على معلومات المستخدم ومعلومات المحتوى وبيانات تكوين الموقع.
عندما ينفذ المتسلل هجوم حقن SQL ، فإنه يستخدم معلمة طلب ، إما من خلال حقل إدخال أو عنوان URL ، لتشغيل أمر قاعدة بيانات مخصص. سيسمح استعلام “SELECT” للمتسلل بعرض معلومات إضافية من قاعدة البيانات ، بينما سيسمح استعلام “UPDATE” بتغيير البيانات بالفعل.
في عام 2011 ، وقعت شركة أمن شبكات تسمى Barracuda Networks ضحية لهجوم حقن SQL . قام المتسللون بتشغيل سلسلة من الأوامر عبر موقع Barracuda بأكمله ، ووجدوا في النهاية صفحة ضعيفة يمكن استخدامها كبوابة لقاعدة البيانات الأساسية للشركة.
2. البرمجة عبر المواقع
هجوم البرمجة النصية عبر المواقع ، المعروف أيضًا باسم XSS ، مشابه لحقن SQL ، يقبل أنه يستهدف عناصر JavaScript على صفحة ويب بدلاً من قاعدة البيانات الموجودة خلف التطبيق. يمكن أن يؤدي الهجوم الناجح إلى اختراق المعلومات الخاصة للزائر الخارجي.
باستخدام هجوم XSS ، يضيف المخترق كود JavaScript إلى موقع ويب من خلال حقل تعليق أو إدخال نص آخر ، ثم يتم تشغيل هذا البرنامج النصي الضار عندما يزور المستخدمون الآخرون الصفحة. عادةً ما تقوم JavaScript المحتالة بإعادة توجيه المستخدمين إلى موقع ويب احتيالي سيحاول سرقة كلمة المرور الخاصة بهم أو بيانات تعريف أخرى.
حتى مواقع الويب الشهيرة مثل eBay يمكن أن تكون أهدافًا لهجمات XSS. في الماضي ، نجح المتسللون في إضافة تعليمات برمجية ضارة إلى صفحات المنتج وأقنعوا العملاء بتسجيل الدخول إلى صفحة ويب مخادعة.
3. حقن الأوامر
تعمل الأنظمة الأساسية مثل WordPress على ثلاث طبقات أساسية: خادم الويب وخادم التطبيق وخادم قاعدة البيانات. لكن كل من هذه الخوادم يعمل على أجهزة بنظام تشغيل محدد ، مثل Microsoft Windows أو Linux مفتوح المصدر ، وهذا يمثل منطقة ضعف محتملة منفصلة.
باستخدام هجوم إدخال الأوامر ، سيدخل المتسلل معلومات ضارة في حقل نصي أو عنوان URL ، على غرار حقن SQL. الفرق هو أن الكود سيحتوي على أمر تتعرف عليه أنظمة التشغيل فقط ، مثل الأمر “ls”. إذا تم تنفيذه ، فسيتم عرض قائمة بجميع الملفات والأدلة الموجودة على الخادم المضيف.
تبين أن بعض الكاميرات المتصلة بالإنترنت معرضة بشكل خاص لهجمات حقن الأوامر. يمكن أن تعرض البرامج الثابتة الخاصة بهم تكوين النظام بشكل غير صحيح للمستخدمين الخارجيين عند إصدار أمر خادع.
4. ملف التضمين
تسمح لغات ترميز الويب الشائعة مثل PHP و Java للمبرمجين بالإشارة إلى الملفات والبرامج النصية الخارجية من داخل التعليمات البرمجية الخاصة بهم. الأمر “include” هو الاسم العام لهذا النوع من النشاط.
في حالات معينة ، يمكن للمخترق التلاعب بعنوان URL لموقع الويب لخرق قسم “التضمين” من الكود والوصول إلى أجزاء أخرى من خادم التطبيق. تم العثور على بعض المكونات الإضافية لمنصة WordPress لتكون عرضة لهجمات تضمين الملفات . عند حدوث مثل هذه الاختراقات ، يمكن للمتسلل الوصول إلى جميع البيانات الموجودة على خادم التطبيق الأساسي.
نصائح للحماية
الآن بعد أن عرفت ما الذي يجب أن تبحث عنه ، إليك بعض الطرق السهلة لتعزيز أمان WordPress الخاص بك. من الواضح أن هناك العديد من الطرق لتأمين موقعك أكثر مما هو مذكور أدناه ، ولكن هذه طرق بسيطة نسبيًا لتبدأ بها ويمكن أن تحقق عوائد رائعة في حالة إحباط المتسللين.
1. استخدم مضيفًا آمنًا وجدار حماية
يمكن تشغيل منصة WordPress إما من خادم محلي أو إدارتها من خلال بيئة استضافة سحابية. لغرض الحفاظ على نظام آمن ، يفضل الخيار المستضاف. سيقدم أفضل مضيفي WordPress في السوق تشفير SSL وأشكال أخرى من الحماية الأمنية.
عند تكوين بيئة WordPress مستضافة ، من الضروري تمكين جدار حماية داخلي يحمي الاتصالات بين خادم التطبيق الخاص بك وطبقات الشبكة الأخرى. سيتحقق جدار الحماية من صحة جميع الطلبات بين الطبقات لضمان السماح بمعالجة الطلبات الشرعية فقط.
2. تحديث المظاهر والإضافات
يمتلئ مجتمع WordPress بمطوري الطرف الثالث الذين يعملون باستمرار على سمات ومكونات إضافية جديدة للاستفادة من قوة النظام الأساسي CMS. يمكن أن تكون هذه الوظائف الإضافية إما مجانية أو مدفوعة. يجب دائمًا تنزيل المكونات الإضافية والسمات مباشرة من موقع WordPress.org.
يمكن أن تكون المكونات الإضافية والسمات الخارجية محفوفة بالمخاطر ، لأنها تتضمن التعليمات البرمجية التي سيتم تشغيلها على خادم التطبيق الخاص بك. ثق فقط في الوظائف الإضافية التي تأتي من مصدر ومطور حسن السمعة. بالإضافة إلى ذلك ، يجب عليك تحديث المكونات الإضافية والسمات بشكل منتظم ، حيث سيصدر المطورون تحسينات أمنية.
داخل وحدة تحكم المشرف في WordPress ، يمكن العثور على علامة التبويب “التحديثات” في أعلى قائمة قائمة “لوحة المعلومات”.
3. قم بتثبيت ماسح الفيروسات و VPN
إذا كنت تقوم بتشغيل WordPress في بيئة محلية أو لديك وصول كامل للخادم من خلال موفر الاستضافة الخاص بك ، فأنت بحاجة إلى التأكد من وجود ماسح ضوئي قوي للفيروسات يعمل على نظام التشغيل الخاص بك. ستتحقق الأدوات المجانية لفحص موقع WordPress الخاص بك مثل Virus Total من جميع الموارد للبحث عن نقاط الضعف.
عند الاتصال ببيئة WordPress الخاصة بك من موقع بعيد ، يجب عليك دائمًا استخدام عميل شبكة افتراضية خاصة (VPN) ، والذي سيضمن أن جميع اتصالات البيانات بين الكمبيوتر المحلي والخادم مشفرة بالكامل.
4. تأمين ضد هجمات القوة الغاشمة
تتخذ واحدة من أكثر هجمات WordPress شيوعًا وشعبية شكل ما يسمى بهجمات القوة الغاشمة. هذا ليس أكثر من برنامج آلي يفقده المخترق عند “الباب الأمامي”. إنه موجود هناك وجرب الآلاف من مجموعات كلمات المرور المختلفة ويتعثر عبر المجموعة الصحيحة في كثير من الأحيان بما يكفي لجعلها جديرة بالاهتمام.
الخبر السار هو أن هناك طريقة سهلة لإحباط القوة الغاشمة. الأخبار السيئة هي أن الكثير من مالكي المواقع لا يطبقون الإصلاح. تحقق من All in One WP Security and Firewall. إنه مجاني ويسمح لك بتعيين حد صارم لمحاولات تسجيل الدخول. على سبيل المثال ، بعد ثلاث محاولات ، يقوم المكون الإضافي بإغلاق الموقع مقابل المزيد من عمليات تسجيل الدخول بواسطة عنوان IP هذا لفترة زمنية محددة مسبقًا. ستتلقى أيضًا إشعارًا بالبريد الإلكتروني يفيد بتشغيل ميزة التأمين.
5. المصادقة الثنائية
تعتمد هذه الطريقة الرائعة لتأمين موقعك على حقيقة أنه من المحتمل ألا يتمكن المخترق من التحكم في اثنين من أجهزتك في وقت واحد. على سبيل المثال ، الكمبيوتر والهاتف الخلوي. المصادقة الثنائية (2FA) تحول تسجيل الدخول إلى موقع الويب الخاص بك إلى عملية من خطوتين. كالعادة ، تقوم بتسجيل الدخول بالطريقة المعتادة ولكن بعد ذلك ستجد نفسك مطالبًا بإدخال رمز إضافي يتم إرساله إلى هاتفك.
ذكي ، أليس كذلك؟ تزيد هذه الخطوة الإضافية من أمان موقعك بشكل كبير عن طريق فصل تسجيل الدخول إلى خطوات مختلفة. تحقق من قائمة المكونات الإضافية المجانية التي ستساعدك في إعداد 2FA. هؤلاء المتسللون الذين كانوا يفكرون في محاولة العبث بموقعك ربما يغيرون رأيهم بالفعل.