هل موقع WordPress الخاص بك آمن؟ هل مواقع WordPress الإلكترونية عرضة للخطر؟

قبل عقدين أو ثلاثة عقود ، اقتصر السرقة على السرقة والدخول لسرقة أموال أو أشياء ثمينة لشخص ما. سيكون صانعو الأذى واللصوص اليوم ، يتخذون شكل المتسللين. أي شخص يكتشف ويستغل الثغرات الأمنية في البرامج لأغراض تحقيق مكاسب شخصية أو لأسباب سياسية.

قبل أن أبدأ ، يجب أن تعرف أن هذه المقالة لا تتناول التفاصيل الجوهرية لأمن WP ولكنها تناقش أسباب ثغرات WordPress. إذا لم يكن هذا ما تبحث عنه ، أقترح عليك قراءة - "تعزيز أمان WordPress - دليل كامل لتأمين مواقع WordPress". على الرغم من أنني يجب أن أوضح أن فهم طبيعة نقاط الضعف في WP في الماضي ، يوفر نظرة ثاقبة حول كيفية التأكد من بروتوكولات أمان موقع الويب الخاص بك.

لماذا يقتحم الناس مواقع الويب ومراكز البيانات؟ يعد اقتحام مواقع الويب التي تحتوي على معلومات العميل ومعرفات البريد الإلكتروني وأرقام بطاقات الائتمان وما إلى ذلك أكثر ربحية من سرقة البنوك. إذا كنت تدير موقعًا ناجحًا بشكل معقول ، فأنا متأكد من أنه قد تم بالفعل إجراء المئات ، إن لم يكن الآلاف من المحاولات للوصول إلى معلومات موقع الويب الخاص بك.

في الآونة الأخيرة ، تم اختراق موقع AshleyMadison.com وسرقت تفاصيل 37 مليون مستخدم. طالب المتسللون بإغلاق الموقع ، وإلا فإنهم سيصدرون تفاصيل معلومات المستخدم المسروقة بما في ذلك التخيلات الجنسية. يمنحك هذا طعمًا لنوع الدمار الذي يمكن أن يتسبب فيه المتسلل بمجرد الوصول إلى المعلومات.

يعد أمان الويب موضوعًا مهمًا للغاية ويزداد ارتباطه مع عدد مواقع الويب التي ظهرت لجمع المعلومات الشخصية لمستخدميها.

يعمل ما يصل إلى 65 ٪ من الويب باستخدام WordPress مثل نظام إدارة المحتوى ، لذلك سأناقش اليوم أمان WordPress وكيف تم استهداف مواقع WP أو اختراقها في الماضي.

لماذا الاستثمار في الممارسات الأمنية الجيدة؟

• أنت مدين لعملائك وعملائك الذين يثقون بك بمعلومات شخصية حساسة للحفاظ عليها آمنة.
• يتعرض موقعك للاختراق - تخسر المال.
• تعرض موقعك للاختراق - تأخذ تصنيفات محرك البحث الخاص بك رحلة في اتجاه واحد تقريبًا إلى الجحيم.

يتم اختراق مواقع WordPress بالآلاف ، إن لم يكن مئات الآلاف. لا يُبلغ كل موقع عن حقيقة تعرضه للاختراق في الماضي. إنه ليس تأييدًا رائعًا لعلامتهم التجارية كما قد تتخيل.

أود إلقاء بعض الضوء على ضرورة وجود هذا المقال حول أمان WordPress.

وفقًا لدراسة تمت مشاركتها بواسطة Sandro Gucci (مؤسس Enable Security).

• 73.2٪ من أكثر عمليات تثبيت WordPress شيوعًا عرضة للثغرات الأمنية التي يمكن اكتشافها باستخدام أدوات آلية مجانية.
• فقط 7814 موقعًا (18.55٪) تمت ترقيتها إلى WordPress 3.6.1 ، وكان هذا هو أحدث إصدار من WP عند إجراء الاختبار.
• كان 13034 موقعًا (30.95٪) لا يزال يشغل إصدارًا ضعيفًا من WordPress ، الإصدار 3.6. كان لدى WordPress 3.6 5 نقاط ضعف معروفة في ذلك الوقت.

وإذا كنت تتساءل ، حسنًا ، هذا مجرد وصف معمم غير عادل لمواقع صغيرة غير معروفة في مكان ما على الويب المظلم ، فستكون مخطئًا. تم إنتاج الإحصائيات بناءً على دراسة حول 42000 موقع WordPress على مواقع Alexa Top One Million. هذا عدد كبير من مواقع الويب المعرضة للخطر والتي يُفترض أنها أكثر مواقع الويب زيارةً على الويب. تجمع هذه المواقع قدرًا هائلاً من المعلومات عن زوارها ومشتركيها.

كانت الإحصائيات صحيحة كما في سبتمبر 2013 ، ولا أعتقد أنها كانت ستنحرف كثيرًا منذ ذلك الحين ، وحتى لو حدث ذلك ، فإن الإحصائيات المعروضة هنا تعرض حجم المشكلات الأمنية التي يعاني منها WordPress.

إذا كنت تريد المزيد من الأدلة التي تثبت إمكانية اختراق WordPress. أحيلك إلى دراسة أجرتها شركة Netcraft ،

• في فبراير 2014 ، كان هناك 12000 مدونة على WordPress تعمل كمنصات لمواقع التصيد الاحتيالي.
• أكثر من 8٪ من جميع عناوين URL الخاصة بالبرامج الضارة التي حظرتها Netcraft لتوزيع البرامج الضارة المستضافة على الويب كانت مدونات WordPress.

يجب أن أشير إلى أنه لم يتم تشغيل أي من هذه المدونات على Automattic wordpress.com. يجب أن يوضح هذا بوضوح أنه حتى WordPress ، إذا لم يتم استخدامه بحذر وبعض المعرفة بأمان WP يمكن أن يكون ضعيفًا. قد يكون سبب آخر لذلك مرتبطًا بحقيقة أن جميع المدونات المستضافة على wordpress.com يتم تحديثها تقريبًا بمجرد إصدار تحديثات WordPress. تجدر الإشارة إلى أنه منذ ذلك الحين تم تقديم تحديثات WordPress التلقائية في الإصدار 3.7 من WP لحماية مواقع الويب من عمليات استغلال يوم الصفر.

وحتى بعد ذلك ، كانت هناك مجموعة من المشكلات الأمنية التي أصابت WordPress. تحقق من هذه القائمة من نقاط الضعف في WordPress في إصدارات مختلفة من النظام الأساسي.

الآن لا يوجد شيء يمكنك القيام به لمنع حدوث ذلك ، سيتم دائمًا اكتشاف نقاط ضعف جديدة. من الواضح أن فريق WP الأساسي قد أخذ الأمان على محمل الجد وجعلوا WordPress أكثر أمانًا.

ولكن كما هو الحال مع كل البرامج الشائعة الأخرى ، يصبح استغلال الثغرات أكثر ربحية عندما يبدأ المزيد من الأشخاص في استخدامها.

لا تثق بي؟ إذا كنت تعتقد أن WordPress بطريقة ما سيصبح فجأة خاليًا من جميع نقاط الضعف ، تحقق من هذا الرسم البياني!

بينما انخفض عدد الثغرات بمرور الوقت من أعلى مستوياته في عامي 2007 و 2014 ، فإن الحافز لاكتشاف نقاط الضعف الجديدة واستغلال الثغرات يتزايد إلى الأبد نظرًا للربحية المتزايدة بسبب زيادة شعبية WordPress.

قد يكون WordPress آمنًا خارج الصندوق ، ولكن بعد إضافة العديد من المكونات الإضافية / السمات والرموز المخصصة ، يبدأ عدد الثغرات الأمنية في النمو بسرعة كبيرة.

ومع ذلك ، يمكننا إجراء تغييرات صغيرة على WordPress الخاص بك ، لجعله أكثر أمانًا. نحتاج أولاً إلى فهم شامل لأمن WordPress ، وهذا مفيد جدًا في اكتشاف أسباب الفشل في الأمان.

قد تتفاجأ عندما تعلم أنه نادرًا ما يكون هناك خطأ في النظام الأساسي WP الأساسي في حالات الخرق الأمني. من المحتمل جدًا أن يؤدي شيء ما أضفته إلى WP الخاص بك إلى حدوث ثغرة أمنية قد يستغلها المتسللون.

كيف يتم اختراق مواقع WordPress؟

الصعوبة في ضمان الأمن الكامل هي أنه لا يوجد شيء من هذا القبيل.

بافتراض أن WordPress الخاص بك آمن تمامًا ، فلا يزال لديك Apache و FTP client و MySQL وأي برنامج يتم تشغيله على الخادم الخاص بك والذي يجب أن تقلق بشأنه. موقع الويب الخاص بك آمن فقط مثل أضعف رابط له. وهذا يشمل جودة برنامج مضيفك ، والقوالب والمكونات الإضافية التي تعمل عليها مواقع الويب الخاصة بك.

أتمنى لو كان لدي إحصائيات أكثر حداثة يمكنني توجيهك إليها أيضًا ، لكن هذه الدراسة المقدمة على شكل رسم بياني على مدونة WpWhiteSecurity توفر قدرًا كبيرًا من الأفكار حول كيفية اختراق مواقع WordPress وما يجعلها عرضة للخطر.

أجريت الدراسة بناءً على معلومات عن 170 ألف موقع تم اختراقها في عام 2012. زيادة بنسبة 18٪ في عدد الاختراقات عن العام السابق (2012) ، والشيء المضحك هو أن عدد الثغرات لم يزداد بنفس النسبة. ولكن حتى الزيادة الطفيفة في نقاط الضعف تؤثر على عدد أكبر بكثير من مواقع الويب ، بسبب زيادة استخدام المنتجات المستندة إلى WordPress و WordPress.

• 41٪ من WordPress التي تم اختراقها تم اختراقها من خلال ثغرة أمنية على منصة الاستضافة الخاصة بهم.
• 29٪ تم اختراقهم عبر مشكلة أمنية في WordPress Theme التي كانوا يستخدمونها.
• تم اختراق 22٪ من خلال مشكلة أمنية في مكونات WordPress الإضافية التي كانوا يستخدمونها.
• تم اختراق 8٪ لأن لديهم كلمة مرور ضعيفة.
• مما سبق ، يمكننا أن نستنتج أن أكثر من 51٪ من مواقع WordPress التي تم اختراقها قد تم اختراقها عبر ثغرة أمنية في سمات WordPress أو المكونات الإضافية التي كانوا يستخدمونها.

جاءت الغالبية العظمى من الاختراقات نتيجة تثبيت البرامج في شكل مكونات إضافية ، وموضوعات ولأن مزودي خدمة استضافة الويب فشلوا في تعزيز الأمن بشكل كافٍ في نهاية الخادم.

ليس هناك أي جدوى من مناقشة التدابير لحماية موقع الويب الخاص بك ، قبل معالجة الخيارات الجيدة التي لديك من حيث الأمان عندما يتعلق الأمر بالاستضافة والسمات والمكونات الإضافية. وسأناقش بالتأكيد كيف يمكنك العثور على برنامج جيد تابع لجهة خارجية واستضافة آمنة لموقع الويب الخاص بك ، قبل أن أبدأ في التوصية بإجراءات أمان محددة لتعزيز أمان WP.

استنتاج

نادرًا ما تكون مواقع WordPress عرضة للخطر بسبب الأخطاء في الكود الأساسي لنظام إدارة المحتوى. لكن موقع الويب لا يعمل فقط على أساس نظام إدارة المحتوى ، فهو يتطلب مضيف ويب لاستضافة CMS على الويب ، وموضوعات تجعله خياليًا ومكونات إضافية لإضافة الوظائف الضرورية. تبدأ الآن إضافة طبقات متعددة من برامج الجهات الخارجية إلى تثبيت WordPress الخاص بك في جعل الأمان الخاص بك مساميًا بعض الشيء ، إذا لم يتم ذلك بشكل صحيح.

يحتاج قلب WordPress والمكونات الإضافية والسمات ومضيف الويب إلى التواصل للحفاظ على تشغيل موقع WordPress الخاص بك. هذا التفاعل أحيانًا به عيوب ويجعل مواقع الويب عرضة للخطر.

من المؤكد أن 8٪ من مواقع الويب قد تتعرض للاختراق بسبب كلمات المرور الضعيفة ولكن هناك قدرًا هائلاً من الأدلة التي تشير إلى أن إضافة المكونات الإضافية / السمات المكتوبة بشكل سيئ أو مضيف الويب الذي يعمل على برامج قديمة هو السبب الرئيسي لنسبة كبيرة من جميع مواقع WordPress اخترق أو أغلق.

الآن بعد أن توصلنا إلى بعض الوضوح فيما يتعلق بأسباب ثغرات WordPress ، كجزء من المنشور التالي في سلسلة WP Security ، سأناقش الخطوات التي تحتاج إلى اتخاذها لتعزيز أمان WordPress الخاص بك.

إذا سبق لك أن تعرض موقع WordPress الخاص بك للاختراق أو وقع ضحية لهجوم DDOS ، فالرجاء مشاركة التفاصيل. سأحاول إما Aigars أو أنا معالجة المشكلة ، إذا كان ذلك في حدود سلطاتنا. هتافات