أهم ستة تهديدات أمنية في WordPress وحلولها

يعد WordPress أكثر أنظمة إدارة المحتوى شيوعًا (CMS) اليوم! باعتباره نظام إدارة المحتوى الأعلى تقييمًا ، يشغل WordPress 34٪ من الإنترنت. إنها منصة ذكية ذات امتدادات قوية تساعد مالكي المواقع على تخصيص مواقعهم الإلكترونية.

بمعنى آخر ، يهيمن WordPress على عالم CMS! ولكن ، مثل أي نظام إدارة محتوى آخر ، يمكن أن يكون WordPress عرضة لتهديدات أمان الويب إذا لم يتم صيانته بشكل مناسب.

في هذه المقالة ، ستتعرف على أحدث تهديدات أمان الويب التي يواجهها نظام إدارة المحتوى وكيف يمكنك التعامل معها بصفتك مالك موقع WordPress.

1. البرامج غير المحدثة والبنية الأساسية

هناك مشكلة شائعة في أمان WordPress تتمثل في الخطأ البشري في أطر عمل التعليمات البرمجية الضعيفة وغير المحدثة ، مما قد يؤدي إلى ثغرات أمنية وأخطاء.

على الرغم من أن الحقيقة هي أن معظم مشكلات أمان WordPress تحدث عند استخدام إصدارات أقدم من WordPress أو مكونات إضافية غير محدثة أو سمات مشفرة بشكل سيئ تحتوي على نقاط ضعف خطيرة. يمكن أن تتركك إصدارات WordPress القديمة أو المكونات الإضافية أو السمات ، عرضة للهجمات.

لحسن الحظ ، عند ظهور مشكلات أمان رئيسية في WordPress ، يقوم فريق أمان WordPress بحلها. يحافظ الفريق أيضًا على تحديث Core ويصدر تصحيحات الأمان عند الحاجة.

يوفر WordPress أدلة أمان السمات والمكونات الإضافية التي تساعد المطورين على كتابة رمز آمن. يمكنهم مساعدتك في حماية الكود وكل شيء يمكن أن يتأثر بالكود المكتوب بشكل سيء.

هذا هو السبب الذي يجعل تشغيل أحدث إصدار من WordPress والبرامج المصاحبة له أمرًا بالغ الأهمية. ستظهر التحديثات على لوحة التحكم.

حقوق الصورة: WordPress.org

عندما يتعلق الأمر بالتحديثات ، يمكن القيام بالكثير من الإجراءات القانونية باستخدام مزود الاستضافة المناسب. يقوم شريك استضافة WordPress المُدار لدينا Pagely بإجراء تحديثات تلقائية على Core والمكونات الإضافية. يحافظ نظامهم على تحديث مواقع الويب وأمانها وتشغيلها بسلاسة.

Pagely لا تتعجل مع التحديثات الهامة. عادة ما ينتظرون لمدة أسبوعين إلى خمسة أسابيع منذ الإصدار الجديد. يوفر ذلك للمطورين وقتًا كافيًا لتحديث إصداراتهم الأساسية إذا لزم الأمر.

بشكل عام ، تحتوي إصدارات WP الرئيسية على بعض الأخطاء الموجودة هنا وهناك والتي تم تصحيحها في الإصدارات الثانوية اللاحقة.

2. الإضافات سيئة الكتابة

يجب أن تخضع كل إضافة WordPress للتحكم الأمني ​​تمامًا مثل Core. لكن هذا ليس هو الحال دائمًا. هناك سمات وإضافات "مميزة" ملغاة موزعة مجانًا ، أو يتم بيعها في أماكن مثل Themeforest. ومثلما حدث في عصر قرصنة الأقراص المضغوطة ، يمكن لهذه "الاختراقات" إصابة نظامك بشفرات ضارة.

في WPScan Vulnerability Database ، ستجد المكونات الإضافية التي أكدت وجود نقاط ضعف ومشكلات أمنية.

من يقوم بإنشاء هذه الوظائف الإضافية؟

ينشئ المطورون مكونات إضافية لجعل مجتمع WP بأكمله مكانًا أفضل. ومع ذلك ، هناك أيضًا حالات يقوم فيها الأشخاص بتوزيع إصدارات مصابة من المكونات الإضافية الشائعة. من الأسهل كثيرًا جعل شخص ما يقوم بتثبيت المكون الإضافي الخاص بك إذا كان شائعًا.

إذا لم تكن هناك معلومات عن المطورين الذين نشروا المكون الإضافي ، فلا تثق بهم. من المحتمل أن يتسبب المكون الإضافي الذي يقدمونه في إلحاق ضرر جسيم بموقعك.

اختطاف موقع الويب الخاص بك

يعد الاستيلاء على موقعك من أسوأ الأشياء التي يمكن أن تحدث نتيجة لإضافات ضارة. يمكن القيام بذلك بعدة طرق ، مثل ، على سبيل المثال ، ربط وظائف مختلفة بالإجراء "wp_head" الذي يتم تنفيذه في كل مرة يتم فيها تحميل الصفحة.

الدعم والتحديثات المشبوهة

تخيل مواجهة المشكلات والاضطرار إلى التعامل معها دون أي دعم مناسب. هذا ما سيحدث عندما لا تستخدم المكونات الإضافية من ناشر حسن السمعة. علامات تحذير المكون الإضافي الرئيسية هي:

• التعليقات السيئة : التقييمات والمراجعات مهمة هذه الأيام. فكر في مواقع الويب مثل Airbnb أو Booking ، حيث يمكن أن يكون التقييم السيئ ضارًا. الأمر نفسه ينطبق على إضافات WordPress ودرجاتها.
• كود مشكوك فيه : افحص الكود وتأكد من أن كل شيء على ما هو مفترض أن يكون. إذا لم تكن تقنيًا بدرجة كافية ، فأنت بحاجة إلى الاتصال بخبير للقيام بذلك. إنه مثل شراء جزء من السيارة ، دون معرفة ما إذا كان يناسب السيارة. سيكون من الأفضل إذا سألت الميكانيكي أولاً.
• تنزيلات أقل : عادةً ما يعني عدد كبير من عمليات التثبيت والتقييمات الجيدة أن المكون الإضافي ممتاز. ما لم يكن ، بالطبع ، مكونًا إضافيًا متخصصًا نادرًا ما يقوم بشيء غريب ولا يحتاج إلى تحديث مستمر.
• لا توجد وثائق : أقل ما يمكن لأي شخص القيام به هو تقديم لقطات شاشة أو أسئلة وأجوبة. إذا لم يكن ذلك متاحًا ، فلا تقم بتنزيل المكون الإضافي.
• عدم توافق الإصدار : انتبه لما إذا كان المكون الإضافي متوافقًا مع إصدار WordPress الخاص بك.
• لا يوجد دعم : قم بفحص ردود مطوري البرنامج المساعد في منتدى الدعم. إذا لم يقدموا إجابات محددة ، فهذه ليست علامة إيجابية.

3. حقن SQL

أحد أكثر الأشياء الضارة التي يمكن أن تحدث لموقع WordPress الخاص بك هو حقن SQL (لغة الاستعلام الهيكلية).

يحدث ذلك نتيجة سوء تعقيم مدخلات المستخدم. من خلال إدراج مقتطفات من التعليمات البرمجية في علامة إدخال مستند HTML ، فإنه يهاجم قاعدة البيانات المقابلة. مع تعديل علامة الإدخال ، يقوم المتسللون بتشغيل أوامر SQL وتعديل قاعدة البيانات.

يمكن أن يحدث ذلك بسبب نقاط الدخول المباشرة المختلفة الموجودة في مواقع WordPress. وتشمل هذه نماذج التسجيل وتسجيل الدخول والاتصال ، وحقول البحث ، بالإضافة إلى عربات التسوق.

على سبيل المثال ، لديك نموذج اتصال حيث يجب على المستخدمين إدخال رقم هاتفهم لإرسال الرسالة إليك. يجب أن يكون لهذا الحقل عدد محدد من الحدود والشكل. قد يقوم المطور عديم الخبرة بتعيين الحقل كنص عادي. هذا يفتح الطريق لأي شخص لإدراج سلسلة ضارة من التعليمات البرمجية.

لا يتأثر WordPress Core بشكل مباشر بحقن SQL. ومع ذلك ، في عام 2017 ، ظهر تصحيح لوضع حد لإدخالات SQL التي قد تؤثر على المكونات الإضافية والسمات في WordPress. ومع ذلك ، لا توجد طريقة للتخلص من هذا التهديد تمامًا.

يمكنك تقليل مخاطر حقن SQL من خلال الممارسات التالية.

تحديث بانتظام

كن منتبهاً لتحديثات WordPress. التحديثات لا تتعلق فقط بـ WordPress Core. يجب عليك أيضًا التأكد من تحديث برنامج الخادم الأساسي أيضًا.

قم دائمًا بتشغيل موقع الويب الخاص بك على أحدث إصدار من PHP! نجح فريق PHP الداخلي في إنشاء أسرع إصدار حتى الآن من PHP. ستعمل الترقية على تحسين سرعة موقعك أيضًا ، سواء بالنسبة لك أو للزائرين.

استخدم ملحقات موثوقة

تعد نماذج الاتصال وتسجيل الدخول والتسجيل مهمة للغاية. مع كل المكونات الإضافية المتاحة ، غالبًا ما يكون من الصعب اختيار المكون المناسب. يرجى الالتزام بنصيحة البرنامج المساعد التي ذكرناها أعلاه. وتحقق دائمًا من المكونات الإضافية بحثًا عن نقاط الضعف والتصحيحات السابقة قبل تنزيلها.

تحديد إدخالات الحقول

حدد أنواع البيانات التي يمكن إدخالها في الحقل. على سبيل المثال ، يجب أن يسمح حقل الاسم فقط بالإدخالات الأبجدية. يجب ألا يشتمل حقل بيانات الهاتف أو الدفع على أحرف أبجدية أو أحرف خاصة. هذا من شأنه أن يقلل من خطر عدم كفاية التحقق من صحة البيانات والتعقيم الخلفي.

تغيير بادئة قاعدة البيانات

تغيير بادئة قاعدة بيانات WordPress القياسية. بشكل افتراضي ، يجب أن تحتوي قاعدة بيانات WordPress على بادئة "wp_." يمكن أن تسمح هذه البادئة بتنفيذ البرامج النصية الآلية بمجرد إدخال إدخال SQL في مكانه. لا يسمح تغيير البادئة للحقن بالتأثير على بياناتك ، وفي النهاية - يحمي موقع الويب الخاص بك.

4. ممارسات تسجيل الدخول المكشوفة

بشكل افتراضي ، لا يضع WordPress حدًا لمحاولات تسجيل الدخول. هذا هو السبب في أن الروبوتات يمكنها تنفيذ هجمات القوة الغاشمة على بيانات اعتماد تسجيل الدخول الخاصة بك. إذا كنت تستخدم الاستضافة المشتركة ، فقد يؤدي هجوم القوة الغاشمة إلى تعليق حسابك بسبب نقص موارد الخادم.

كخطوة أولى لحماية موقع الويب الخاص بك من ممارسات تسجيل الدخول المكشوفة ، نوصيك بالحد من محاولات تسجيل الدخول. يتتبع المكون الإضافي Limit Login WordPress عدد محاولات تسجيل الدخول الضارة ويمنع المستخدمين من تنفيذها مرة أخرى.

يمكنك أيضًا إضافة أسئلة أمان لتكون بمثابة كلمة مرور جديدة لموقعك على الويب. سؤال الأمان المثالي هو شيء لا يمكن لأحد سواك الإجابة عليه. والأفضل من ذلك ، يمكنك تعيين إجابة لا تتعلق بالسؤال على الإطلاق. على سبيل المثال ، "The White Stripes" ردًا على "مشروبك المفضل؟".

هناك طريقة أخرى لحماية صفحة تسجيل الدخول وهي استخدام المصادقة الثنائية. بصرف النظر عن كلمة المرور الأساسية ، يمكنك استخدام رمز مميز قابل للانتهاء. حتى إذا عرف المتسللون كلمة مرورك ، فلن يتمكنوا من تسجيل الدخول دون إدخال الرمز الكامل. لهذا الغرض ، يمكنك استخدام المكون الإضافي Google Authenticator.

إذا كنت لا تزال تعتقد أن كلمة مرورك ضعيفة ، فيمكنك حماية المسؤول باستخدام المكون الإضافي AskApache Password Protect. يقوم هذا المكون الإضافي بإنشاء ملف htpasswd ويقوم بتشفير كلمة المرور الخاصة بك.

لكلمات المرور الخاصة بك ، استخدم مجموعة من الأحرف الخاصة والأحرف والأرقام. لا تسمح بالوصول إلى شخص ما إلا إذا كان ذلك ضروريًا. إذا كان الأمر كذلك ، فلا تنس تغيير كلمة مرورك بعد مرور الحاجة إلى المشاركة.

تأكد من أن كل عضو من أعضاء فريقك يحصل على دوره. إذا وجدت صعوبة في التعامل مع عدد كبير جدًا من كلمات المرور ، فابدأ في استخدام برنامج إدارة كلمات المرور ، مثل:

• LastPass
• داشلان
• KeePass

شيء آخر يجب مراعاته هو عدم استخدام كلمة مرور مسؤول WP لبرنامج آخر. إذا قام أحد المتطفلين باختراق حساب واحد على الأقل من حساباتك الأخرى ، فيمكنه أيضًا الحصول على كلمة مرور مسؤول WP الخاصة بك. في هذه الحالة ، يبدو الأمر كما لو لم يكن لديك كلمة المرور هذه مطلقًا.

5. تحديد أدوار المستخدم بشكل سيئ

إذا كان لديك فريق كامل من المستخدمين تريد تعيين دور معين له ، فقد تصبح الأمور صعبة. السماح للجميع بالوصول الإداري يضع أمن موقع WordPress الخاص بك على المحك!

لبدء تعيين الأدوار ، افتح لوحة معلومات WordPress وانتقل إلى المستخدمون> كل المستخدمين. هذا هو المكان الذي يمكنك فيه إضافة المستخدمين وتعيين الأدوار لهم.

حقوق الصورة: FirstSiteGuide

يأتي WordPress مع أدوار وإمكانيات مستخدم WordPress مختلفة. يتيح لك ذلك تعيين مستويات الوصول الضرورية بدلاً من تعيين الجميع لدور مسؤول WordPress.

إذا كان فريق بأكمله يعمل على موقع ما ، فمن الأفضل أن يكون لديك حسابات مسؤول منفصلة ، بدلاً من أن يكون الفريق بأكمله يستخدم نفس حساب المسؤول. يمكن استخدام حسابات المسؤول للصيانة ، مثل ترقيات المكونات الإضافية والسمات أو عمليات تثبيت المكونات الإضافية.

تعيين أدوار مستخدم WordPress

هناك خمسة أدوار مضمنة لمستخدم WordPress: المسؤول والمحرر والمؤلف والمساهم والمشترك. من خلال هذه الأدوار ، بصفتك مالك موقع WordPress ، يمكنك التحكم فيما يمكن للمستخدمين وما لا يمكنهم فعله على الموقع.

دور مسؤول WordPress : يمكن للمسؤول الوصول إلى كل شيء في تثبيت WordPress. يمكن للدور تثبيت السمات والإضافات وإلغاء تثبيتها وتنشيطها وإلغاء تنشيطها وإنشاء وحذف وتعديل باقي المستخدمين.

دور محرر WordPress : يمكن للمحررين الوصول إلى كل جزء من المحتوى. يمكنهم تغييره ، لكن لا يمكنهم فعل أي شيء بشأن التكوين والإعداد والوظائف وتصميم موقع الويب.

دور مؤلف WordPress : يُسمح للمؤلفين فقط بالوصول إلى منشورات مدونتهم. يمكنهم كتابة ونشر منشورات المدونة الخاصة بهم ، وتغيير منشورات المدونة الحالية ، وتعديل ملفات تعريف المستخدمين الخاصة بهم.

دور المساهم في WordPress : يمكن للمساهمين أيضًا كتابة مشاركاتهم. ولكن على عكس المؤلفين ، لا يمكن للمساهمين في WordPress نشر منشوراتهم. يجب الموافقة عليها ونشرها من قبل المحرر أو المسؤول.

دور مشترك WordPress : يمكن للمشتركين قراءة المحتوى فقط على موقع WordPress الذي اشتركوا فيه. يحتاج المستخدم أحيانًا إلى التسجيل لترك تعليق.

6. ضعف البنية التحتية للاستضافة

هل تعلم أن أكثر من 30٪ من أفضل 10 ملايين موقع يستخدم WordPress كنظام إدارة محتوى خاص بهم؟ لا عجب أن شركات الاستضافة تناضل من أجل كسب أكبر عدد ممكن من العملاء.

في الوقت نفسه ، لا تتساوى شركات الاستضافة في الجودة. تبدو الحلول منخفضة السعر رائعة ، ولكن ما تحصل عليه مقابل 0.99 دولارًا في الشهر أمر مشكوك فيه.

يمنحك الدفع الإضافي مقابل استضافة مُدارة عالية الجودة أمانًا إضافيًا ودعمًا على مدار الساعة طوال أيام الأسبوع ومسح البرامج الضارة والمزيد. من واقع خبرتنا ، لا يوجد شيء أفضل في السوق من Pagely.

الأمان محفور بعمق في طريقة عمل فريق Pagely! يستخدمون جدار حماية لتطبيق الويب الديناميكي (WAF) الذي يوقف حقن التعليمات البرمجية والمآثر الأخرى. هذا يقلل من خطر DDoS أو هجوم القوة الغاشمة على موقع الويب الخاص بك.

يستخدم Pagely أيضًا فصل مستخدم chroot ومسحًا للبرامج الضارة للنظام في الوقت الفعلي ، مما يحمي موقعك من التهديدات مثل أحصنة طروادة والفيروسات والديدان و keyloggers وبرامج التجسس والبرامج الإعلانية. علاوة على ذلك ، يقومون بتصفية معظم حركة المرور المشكوك فيها قبل أن تتاح لها فرصة المرور إلى شبكاتهم.

علاوة على ذلك ، سيكون Pagely متاحًا دائمًا على مدار الساعة طوال أيام الأسبوع لمساعدتك في تنظيف موقع الويب الخاص بك واستعادته إذا تعرض للاختراق ، مجانًا.

بالطبع ، المضيف الجيد لا يأتي بثمن بخس. إنه استثمار طويل الأجل في عملك يتيح لك النوم ليلاً ، مع العلم أن شخصًا ما يعتني بموقعك على مدار الساعة طوال أيام الأسبوع.

تغليف

ستظل مشكلات أمان الويب موجودة دائمًا. ولكن يمكن تجنب معظمها من خلال نشر أفضل ممارسات WordPress والاهتمام بالمخاطر الأمنية المحتملة عبر الإنترنت.

نأمل أن يساعدك فهم أهم التهديدات الأمنية في WordPress في جعل موقعك غير قابل للاختراق. من خلال المعرفة والتكتيكات والشركاء المناسبين ، يمكنك تقليل الهجمات الأمنية والحفاظ على أمان موقع WordPress الخاص بك.