تسليط الضوء على ميزة iThemes Security Pro - إدارة الإصدار

نشرت: 2021-04-13

في منشورات Feature Spotlight ، نسلط الضوء على ميزة في iThemes Security Pro ونشارك قليلاً حول سبب تطويرنا لهذه الميزة ، ومن هي الميزة ، وكيفية استخدام الميزة.

سنقوم اليوم بتغطية إدارة الإصدار ، وهي أداة رائعة تجعل إدارة تحديثات WordPress أو السمات والإضافات في غاية السهولة.

لماذا قمنا بتطوير إدارة الإصدار

يعد تحديث البرامج باستمرار جزءًا أساسيًا من أي استراتيجية أمنية. التحديثات ليست فقط لإصلاحات الأخطاء والميزات الجديدة. يمكن أن تتضمن التحديثات أيضًا تصحيحات أمان مهمة. بدون هذا التصحيح ، فإنك تترك هاتفك أو جهاز الكمبيوتر أو الخادم أو جهاز التوجيه أو موقع الويب عرضة للهجوم.

التصحيح الثلاثاء

يوم الثلاثاء التصحيح هو المصطلح غير الرسمي للإشارة إلى إصلاحات الأخطاء والأمان العادية التي تصدرها Microsoft في الثلاثاء الثاني من كل شهر. إنه لأمر رائع أن تقوم Microsoft بإصدار إصلاحات أمنية على مثل هذا الإيقاع الموثوق. يعد يوم الثلاثاء التصحيح أيضًا هو اليوم الذي يتم فيه الكشف عن الثغرات الأمنية التي يتم الكشف عنها علنًا عن طريق تصحيحات Microsoft.

تحقق من قسم ما يجب تحديثه وكيفية أتمتة تحديثاتك في الدليل النهائي لأمن WordPress في الكتاب الإلكتروني لعام 2020 لمعرفة كيفية تطبيق تحديثات يوم الثلاثاء تلقائيًا.

استغلال الأربعاء

في يوم الأربعاء التالي ليوم الثلاثاء ، من الشائع رؤية العديد من المهاجمين يستغلون ثغرة أمنية معروفة سابقًا على أنظمة قديمة وغير مصححة. لذلك ، تمت صياغة يوم الأربعاء الذي يلي يوم الثلاثاء التصحيح بشكل غير رسمي باعتباره Exploit Wednesday.

لماذا يستهدف المتسللون الثغرات المصححة؟

يستهدف المتسللون نقاط الضعف المصححة لأنهم يعرفون أن الأشخاص لا يقومون بالتحديث (بما في ذلك المكونات الإضافية والسمات على موقع الويب الخاص بك). يعد الكشف علنًا عن نقاط الضعف في يوم تصحيحها معيارًا صناعيًا. بعد الكشف العلني عن الثغرة الأمنية ، تصبح الثغرة "ثغرة أمنية معروفة" للإصدارات القديمة وغير المصححة من البرنامج. البرامج ذات الثغرات الأمنية المعروفة هي هدف سهل للقراصنة.

يحب المتسللون الأهداف السهلة ، وامتلاك برنامج به نقاط ضعف معروفة يشبه تسليم المتسلل التعليمات خطوة بخطوة لاقتحام موقع WordPress أو الخادم أو الكمبيوتر أو أي جهاز آخر متصل بالإنترنت.

الإفصاح المسؤول

قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا أن يقوم الباحث الأمني ​​باكتشاف الثغرة الأمنية والإبلاغ عنها بشكل خاص إلى مطور البرامج.

مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.

قد يوفر الباحث الأمني ​​موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.

قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم Zero Day - وهو نوع من الثغرات الأمنية التي لا تحتوي على رقعة ويتم استغلاله في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.

إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح.

يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.

الإضافات والسمات التي عفا عليها الزمن هي ثغرة WP الأولى

من الصعب تتبع كل ثغرة تم الكشف عنها في WordPress - نحن نتتبعها ونشاركها في WordPress Vulnerability Roundups - ونقارن هذه القائمة بإصدارات المكونات الإضافية والسمات التي قمت بتثبيتها على موقع الويب الخاص بك. ومع ذلك ، فإن هذا لا يمنع قراصنة WordPress من استهداف المكونات الإضافية والسمات ذات الثغرات المعروفة. إن تثبيت برنامج به ثغرات أمنية معروفة على موقعك يمنح المتسللين المخططات التي يحتاجونها للسيطرة على موقع الويب الخاص بك.

يقوم iThemes Security Pro Site Scan بفحص موقع الويب الخاص بك بحثًا عن ثغرات WordPress المعروفة والمكوِّن الإضافي والثغرات الأمنية ويطبق تصحيحًا عند توفره.

في نهاية عام 2018 ، كان المتسللون يستفيدون بنشاط من إحدى الثغرات الموجودة في المكون الإضافي WP GDPR Compliance. سمح برنامج Exploit للمستخدمين غير المصرح لهم - الأشخاص الذين لم يسجلوا الدخول إلى موقع ويب - بتعديل إعدادات تسجيل مستخدم WP وتغيير دور المستخدم الافتراضي الجديد من مشترك إلى مسؤول. لحسن الحظ ، تصرف مطورو البرنامج الإضافي WP GDPR Compliance بسرعة وأصدروا تصحيحًا للثغرة الأمنية في اليوم التالي للإفصاح عنها للجمهور.

ولكن ، تمامًا كما هو الحال مع Exploit Wednesday ، استهدف المتسللون الثغرة الأمنية على الرغم من إصدار التصحيح. في الأيام والأسابيع التي أعقبت الكشف عن الثغرات الأمنية الخاصة بـ WP GDPR Compliance ، تلقينا سلسلة من التقارير التي تفيد بأن مواقع WordPress قد تم اختراقها من قبل المهاجمين الذين يستغلون الثغرة الأمنية.

يعد وجود مكون إضافي أو سمة ضعيفة يتوفر لها التصحيح ولكن لم يتم تطبيقها هو الجاني الأول لمواقع WordPress التي تم اختراقها. هذا محبط جدا !!!!! هذا يعني أنه كان من الممكن منع معظم عمليات اختراق الفسفور الابيض.

إنه لأمر مزعج أن نفكر في كل الأشخاص الذين أنفقوا أطنانًا من المال لتنظيف موقع الويب الخاص بهم ، والعائد الذي فقدوه أثناء تعطل مواقعهم ، والإيرادات المستقبلية التي خسروها لفقدان ثقة عملائهم. يجعل الأمر أكثر إزعاجًا عندما تعلم أنه كان من الممكن منع كل هذا الألم من خلال تحديث بسيط.

مع إدارة الإصدارات ، أردنا أن نجعل من السهل على الأشخاص إدارة التحديثات والمساعدة في منعهم من استخدام إصدارات البرامج ذات الثغرات الأمنية المعروفة.

ما هي إدارة الإصدار؟

تتيح لك ميزة إدارة الإصدار في iThemes Security Pro التحديث التلقائي لـ WordPress والمكونات الإضافية والسمات.

علاوة على ذلك ، فإن إدارة الإصدارات لديها أيضًا خيارات لتقوية موقع الويب الخاص بك عند تشغيل برامج قديمة والبحث عن مواقع الويب القديمة.

التحديثات التلقائية لـ WP مقابل إدارة الإصدار

أعرف ما تفكر فيه: "ألا يتوفر لدى WordPress خيار التحديث التلقائي؟" نعم ، بفضل إضافة التحديثات التلقائية في WordPress 5.5 ، أصبح هذا صحيحًا الآن ، لكن ميزات التحديث التلقائي في iThemes Security Pro أكثر قوة. لنأخذ دقيقة لمقارنة التحديثات التلقائية لـ WP و iThemes Security Pro.

اسمحوا لي أن أبدأ بالقول إنني أعتقد أن إضافة WordPress للتحديثات التلقائية أمر رائع لمستقبل WordPress. يعني مجتمع WordPress الذي يعتمد التحديثات التلقائية أنه سيتم اختراق عدد أقل من مواقع الويب. قلة مواقع الويب التي يتم اختراقها سيؤدي إلى عدد أقل من الأشخاص الذين لديهم تصور خاطئ بأن WordPress هو نظام أساسي غير آمن.

ستؤدي التحديثات التلقائية أيضًا إلى قيام مطوري المكونات الإضافية والقوالب بدفع إصدارات أفضل. إذا علمنا أن عملائنا يعتمدون على التحديثات التلقائية ، فسوف نتأكد من أن إصداراتنا لا تحتاج إلى سلسلة من إصدارات المتابعة لإصلاح الأخطاء التي تم تقديمها مع الإصدار الأولي. سيساعد هذا في تغيير التصور بأن WordPress يتطلب المزيد من الصيانة اليدوية مقارنة بالمنصات الأخرى.

فيما يلي الطرق الثلاث التي توفر بها إدارة إصدارات iThemes Security Pro مرونة أكبر مقارنةً بالتحديثات التلقائية لـ WordPress.

  • إدارة المكونات الإضافية والقوالب المبسطة - قم بإدارة جميع تحديثات المكون الإضافي والسمات من إعدادات إدارة الإصدار.
  • أضف فترات تأخير مخصصة لتحديثات المكونات الإضافية والقوالب - توفر التحديثات التلقائية لـ WordPress فقط خيار تطبيق التحديثات على الفور. يسمح لك برنامج جدولة التحديث بإنشاء تأخير مخصص. يمكن أن يكون التأخير خيارًا جيدًا للمكونات الإضافية أو السمات التي تميل إلى الحاجة إلى بعض إصدارات المتابعة لإصلاح المشكلات بعد الإصدار الرئيسي.
  • قم فقط بتطبيق التحديثات التي تعمل على إصلاح الثغرات الأمنية المعروفة - قم فقط بتطبيق التحديثات التي تعمل على إصلاح الثغرات الأمنية المعروفة. يعد هذا الخيار مثاليًا إذا كنت ترغب في تشغيل جميع التحديثات يدويًا ولكنك ترغب في تلقي تصحيحات الأمان على الفور.

تحديثات WordPress التلقائية

يقدم WordPress خيارين للتحديثات التلقائية للمكوِّن الإضافي والمظهر ، تشغيل أو إيقاف. ستقوم بتمكين التحديثات التلقائية للمكون الإضافي في صفحة مكونات WordPress الإضافية.

يعد خيار التحديث التلقائي للموضوع مخفيًا نوعًا ما في صفحة تفاصيل السمة.

التحديثات التلقائية لإدارة الإصدار

يحتوي برنامج جدولة تحديث إدارة الإصدار على خيارات لتعطيل التحديثات التلقائية أو التحديث فورًا أو تأخير التحديثات للمدة التي تريدها. بالإضافة إلى ذلك ، يمكنك تكوين جداول تحديث المكون الإضافي والسمات في إعدادات إدارة الإصدار.

حسنًا ، دعنا ننتقل إلى الإعدادات ونلقي نظرة فاحصة على خيارات إدارة الإصدارات المختلفة.

كيفية استخدام إدارة الإصدار في iThemes Security Pro

لبدء استخدام إدارة الإصدار ، قم بتمكين الوحدة النمطية في الصفحة الرئيسية لإعدادات الأمان.

انقر الآن على زر تكوين الإعدادات لإلقاء نظرة فاحصة على الإعدادات.

  • تحديثات WordPress - قم تلقائيًا بتثبيت أحدث إصدار من WordPress.
  • تحديثات البرنامج المساعد - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. سيؤدي تمكين هذا الإعداد إلى تعطيل ميزة المكونات الإضافية للتحديث التلقائي لـ WordPress لمنع التعارضات.
  • تحديثات السمة - قم بتثبيت آخر تحديثات السمة تلقائيًا. سيؤدي تمكين هذا الإعداد إلى تعطيل ميزة سمة التحديث التلقائي لـ WordPress لمنع التعارضات.
  • تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر.
    • إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى.
    • قم بتعطيل WP File Editor (الذي يمنع الأشخاص من تحرير المكوّن الإضافي أو رمز السمة).
    • تعطيل XML-RPC pingbacks ، وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).
  • المسح بحثًا عن مواقع WordPress القديمة - قم بإجراء فحص يومي لحساب الاستضافة لمواقع WordPress القديمة التي قد تسمح للمهاجمين بخرق الخادم. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
  • التحديث التلقائي إذا كان يعمل على إصلاح الثغرة الأمنية - يعمل هذا الخيار جنبًا إلى جنب مع iThemes Security Pro Site Scan للتحقق من موقع الويب الخاص بك بحثًا عن ثغرات أمنية معروفة في WordPress والمكوِّن الإضافي والسمات وتطبيق التصحيح عند توفرها.

تحديثات البرنامج المساعد والموضوع

الآن دعنا نلقي نظرة فاحصة على تكوين تحديثات المكون الإضافي والسمات. قبل أن نبدأ ، أردت أن أعطي تذكيرًا سريعًا بأن تمكين إعدادات المكون الإضافي وتحديث السمة سيعطل ميزة التحديث التلقائي لـ WordPress لمنع التعارضات.

تحتوي كل من إعدادات تحديث المكون الإضافي والمكون الإضافي على ثلاثة خيارات.

  1. فارغ / لا شيء - سيسمح ترك الإعداد فارغًا لـ WordPress بإدارة تحديثات المكون الإضافي والقالب.
  2. مخصص - يسمح لك الخيار المخصص بتخصيص التحديثات بدقة حسب رغبتك. سوف نغطي هذا أكثر في وقت قصير.
  3. الكل - ستعمل الكل على تحديث جميع المكونات الإضافية أو السمات بمجرد توفر تحديث.

الآن دعنا نلقي نظرة فاحصة على الخيار المخصص .

يوفر تحديد الخيار المخصص ثلاثة خيارات مختلفة لتحديثات المكون الإضافي والسمات الخاصة بك.

  1. تمكين - اختر المكونات الإضافية التي تريد تحديثها فورًا بعد إصدار جديد.
  2. تعطيل - استخدم هذا الخيار للمكونات الإضافية التي تريد تحديثها يدويًا.
  3. التأخير - يتيح لك خيار التأخير تعيين عدد الأيام التي تريد تأخير تحديث الإصدار فيها. يمكن أن يكون هذا خيارًا جيدًا للمطورين الذين يحتاجون إلى بعض إصدارات المتابعة لإصلاح المشكلات بعد إصدار رئيسي.

كما نرى ، يوفر إعداد التحديثات التلقائية المخصصة قدرًا أكبر من المرونة من خيار التحديث التلقائي أو إيقاف تشغيله في WordPress.

تغليف

يعد وجود مكون إضافي أو سمة ضعيفة يتوفر لها التصحيح ولكن لم يتم تطبيقها هو الجاني الأول لمواقع WordPress التي تم اختراقها. هذا يعني أنه يمكن منع غالبية عمليات اختراق WordPress ببساطة عن طريق التحديث.

تتيح لك ميزة إدارة إصدار iThemes Security Pro إدارة التحديثات التلقائية وفقًا لجدولك الزمني. لقد قام iThemes Security Pro بتغطية ما إذا كنت تريد تثبيت جميع التحديثات الجديدة بمجرد إصدارها أو فقط إذا كان التحديث يعمل على إصلاح ثغرة أمنية.

ميزة تسليط الضوء