BBQ: Block Bad Queries WordPress Plugin Review

نشرت: 2014-01-30

BBQ: Block Bad Queries عبارة عن جدار حماية لتطبيق ويب WordPress يحظر طلبات HTTP الضارة

هناك العديد من المكونات الإضافية لأمان WordPress المتاحة ولكن القليل منها فقط يعالج أمان WordPress بشكل صحيح ويساعدك على حماية تثبيت WordPress الخاص بك من هجمات المتسللين الضارة.

أحد هذه المكونات الإضافية هو BBQ: Block Bad Queries. يشبه هذا المكون الإضافي جدار حماية لتطبيق الويب WordPress قابل للتخصيص بدرجة عالية ولكنه بسيط وخالي من الصيانة يجب على كل مسؤول ومدير WordPress تثبيته.

يوضح منشور أمان WordPress هذا:

  • كيف يعمل برنامج BBQ: Block Bad Queries Plugin
  • كيفية تخصيص BBQ: Block Bad Queries Plugin
    • تعديل / إضافة أنماط ليتم حظرها
    • منع الزوار باستخدام سلسلة محددة من وكيل المستخدم
    • تكوين الحد الأقصى لعدد الأحرف المسموح به في طلبات HTTP
  • كيفية اختبار BBQ: حظر الاستعلامات السيئة وتخصيصاتك

كيف يعمل BBQ: Block Bad Queries WordPress Plugin

يحلل المكون الإضافي BBQ: Block Bad Queries كل طلب يتم إرساله إلى WordPress الخاص بك قبل تنفيذه بواسطة نواة WordPress. إذا كان الطلب ضارًا ، فإن البرنامج المساعد يمنع الزائر من الوصول إلى هذا المورد من خلال الاستجابة برمز حالة HTTP 403 ، الوصول محظور.

لن تحمي القائمة الافتراضية للأنماط الضارة كتل الاستعلامات السيئة من WordPress من هجمات WordPress المستهدفة فحسب ، بل ستحمي أيضًا WordPress الخاص بك من نقاط الضعف المحتملة في يوم الصفر والهجمات النموذجية الأخرى مثل البرمجة النصية عبر المواقع وإدخال SQL واجتياز الدليل. لذلك ، إذا قمت بتثبيت BBQ: Block Bad Queries ، فلا يزال المتسللون الضارون غير قادرين على استغلال نقاط الضعف المعروفة إذا كنت تقوم بتشغيل تثبيت WordPress (قديم) أو مكون إضافي أو سمة.

نصيحة أمان WP White : حتى إذا قمت بتشغيل BBQ: Block Bad Queries ، فلا يزال يتعين عليك تشغيل أحدث الإصدارات وأكثرها أمانًا من WordPress والإضافات والسمات. يجب استخدام المكون الإضافي WordPress BBQ كطبقة أمان إضافية بدلاً من إغلاق الثغرات الأمنية الموجودة.

تخصيص BBQ: حظر البرنامج المساعد للاستعلامات السيئة

بشكل افتراضي ، لا يحتاج حظر الاستعلامات السيئة إلى أي تخصيصات أو تغييرات في التكوين ، ولكن هناك دائمًا استثناءات للقواعد. إذا كنت بحاجة إلى تخصيص BBQ: Block Bad Queries ، فإليك شرحًا لما يمكنك تخصيصه. للبدء ، يقوم بمسح ثلاثة أجزاء من كل طلب يتم إرساله إلى تثبيت WordPress:

طلب URI : عنوان URL الذي طلبه المستخدم ، على سبيل المثال https://www.wpwhitesecurity.com/wordpress-security/

سلسلة الاستعلام : سلسلة الاستعلام المضمنة مع عنوان URL ، على سبيل المثال https://www.wpwhitesecurity.com/wordpress-security/ ؟query_string=1

سلسلة وكيل المستخدم : يتم إرسال سلسلة وكيل المستخدم تلقائيًا من برنامج العميل الذي يصل إلى WordPress الخاص بك لتعريف نفسه. على سبيل المثال ، يستخدم Google Chrome سلسلة وكيل المستخدم التالية:

Mozilla / 5.0 (Windows NT 6.2؛ Win64؛ x64) AppleWebKit / 537.36 (KHTML ، مثل Gecko) Chrome / 32.0.1667.0 Safari / 537.36

يتم تخزين جميع الأنماط المستخدمة عادةً في الطلبات الضارة في ثلاث مصفوفات في المكون الإضافي واسمها واضح بذاته:

  • request_uri_array $
  • query_string_array $
  • $ user_agent_array

BBQ: Block Bad Queries ليس له واجهة تكوين. لذلك إذا كنت ترغب في إجراء أي تعديلات كما هو موضح في الأمثلة أدناه ، فيجب عليك تحرير الكود من ملف البرنامج المساعد php.

تعديل طلبات HTTP التي يجب أن يحظرها البرنامج المساعد BBQ: Block للاستعلامات التالفة

إذا كنت ترغب في منع نوع معين من سلسلة الاستعلام ، أضف نمط سلسلة الاستعلام إلى مصفوفة $ query_string_array. بمجرد إضافة نمط جديد ، اختبره للتأكد من أنك لا تحظر الطلبات المشروعة. فيما يلي مثال بناء الجملة:

$query_string_array  = apply_filters( 'query_string_items',  array( 'PATTERN_1', 'PATTERN_2', 'PATTERN_3');

ملاحظة: يجب الإعلان عن كل نمط تضيفه بين علامتي اقتباس مفردتين (') وفصلهما عن الأنماط الأخرى بفاصلة (،).

حظر الزوار باستخدام وكيل مستخدم معين من WordPress

لحظر الزائرين باستخدام وكيل مستخدم معين ، مثل برامج الروبوت الآلية للفيروسات والبرامج الضارة ، أضف سلسلة وكيل المستخدم الخاصة بهم في $ user_agent_array.

تكوين حد أقصى لطول URL لـ WordPress

من خلال الحد من عدد الأحرف التي يمكن استخدامها في طلب HTTP ، يمكنك حماية تثبيت WordPress الخاص بك من هجمات يوم الصفر والعديد من الهجمات الضارة الأخرى. هجمات Zero day هي ثغرات في البرامج يتم استغلالها بواسطة قراصنة ضارين ولكن لم يعرفها بائع البرنامج حتى الآن ، وبالتالي لا يوجد تصحيح حتى الآن.

تستخدم معظم هجمات تطبيقات الويب الضارة عناوين URL طويلة لاستغلال نقاط الضعف المعروفة. لذلك ، إذا قمت بتحديد عدد الأحرف التي يمكن استخدامها في طلب HTTP ، فأنت تقوم تلقائيًا بحماية تثبيت WordPress الخاص بك من هذا النوع من الهجمات.

من خلال تحديد عدد الأحرف المستخدمة في عنوان URL ، قد تحظر أيضًا الطلبات المشروعة. لذلك قبل تمكين ميزة الأمان هذه ، تحقق من طول أطول عنوان URL لديك على تثبيت WordPress الخاص بك (بما في ذلك في قسم صفحات مسؤول WordPress (/ wp-admin /).

لتمكين وتهيئة الحد الأقصى لطول عنوان URL ، قم بإلغاء التعليق (عن طريق حذف "//") السطر أدناه من التعليمات البرمجية في المكون الإضافي وتحديد الحد الأقصى لعدد الأحرف التي يمكن أن يحتوي عليها طلب HTTP. القيمة الافتراضية في البرنامج المساعد هي 255 ، كما هو موضح أدناه.

strlen( $_SERVER['REQUEST_URI'] ) > 255 ||

اختبار جدار حماية تطبيق الويب الخاص بـ WordPress

بمجرد تثبيت BBQ: Block Bad Queries WordPress ، قم بإجراء عدة اختبارات عن طريق طلب القائمة أدناه لعينة عناوين URL للتأكد من أنها تعمل (استبدل some_site.com بنطاقك):

  • http://www.some_site.com/../../../etc/passwd
  • http: // www. some_site.com/path/؟q=٪00
  • http: // www. some_site.com/path/base64_

إذا كان المكون الإضافي يعمل بشكل صحيح ، فيجب أن يستجيب الخادم برمز حالة HTTP 403 ممنوع عند طلب عناوين URL هذه. الطلب أعلاه هو مجرد أمثلة لعناوين URL يجب حظرها بواسطة المكون الإضافي BBQ: Block Bad Orders. يمكنك إجراء العديد من الاختبارات الأخرى باستخدام الطلبات التي تُستخدم عادةً في هجمات القرصنة الواقعية.

اختبار BBQ: Block Bad Queries Plugin with Fiddler

إذا لم تكن متأكدًا من استجابة الخادم عند إرسال طلبات HTTP ضارة ، يمكنك تأكيد الاستجابة باستخدام وكيل Fiddler.

كما هو موضح في لقطة الشاشة أدناه ، طلبنا في هذا الاختبار عنوان URL https://www.wpwhitesecurity.com/contact/base64_ ويمكننا تأكيد أن الخادم يستجيب باستجابة HTTP 403 محظورة.

اختبار BBQ: حظر البرنامج المساعد للطلبات السيئة لـ WordPress مع Fiddler

حظر البرنامج المساعد للاستعلامات السيئة - جدار حماية لتطبيق الويب لـ WordPress

ها أنت ذا! إذا كنت تبحث عن جدار حماية تطبيق ويب قوي وقابل للتخصيص بدرجة كبيرة لمدونات ومواقع WordPress الخاصة بك ، فقم بتثبيت المكون الإضافي BBQ: Block Bad Queries ونسيانه. يمكنك تنزيل BBQ: Block Bad Queries من مستودع البرنامج المساعد WordPress أو شراء إصدار PRO من هنا.

من ناحية أخرى ، إذا كنت تفضل شيئًا لا يحتاج إلى أي تكوين ويقوم أيضًا بمسح البرامج الضارة ، فإنني أوصي بفحص البرامج الضارة Malcare.