تقرير موجز عن نقاط الضعف في WordPress: أكتوبر 2019 ، الجزء الأول

ثيمات WordPress

كيف تكون استباقيًا فيما يتعلق بموضوع WordPress وثغرات البرنامج المساعد

يعد تشغيل البرامج القديمة السبب الأول وراء اختراق مواقع WordPress. من الأهمية بمكان لأمن موقع WordPress الخاص بك أن يكون لديك روتين تحديث. يجب أن تقوم بتسجيل الدخول إلى مواقعك مرة واحدة على الأقل في الأسبوع لإجراء التحديثات.

يمكن أن تساعد التحديثات التلقائية

تعد التحديثات التلقائية خيارًا رائعًا لمواقع WordPress التي لا تتغير كثيرًا. غالبًا ما يؤدي عدم الانتباه إلى إهمال هذه المواقع وعرضها للهجمات. حتى مع إعدادات الأمان الموصى بها ، فإن تشغيل برنامج ضعيف على موقعك يمكن أن يمنح المهاجم نقطة دخول إلى موقعك.

باستخدام ميزة إدارة الإصدار في البرنامج المساعد iThemes Security Pro ، يمكنك تمكين تحديثات WordPress التلقائية لضمان حصولك على أحدث تصحيحات الأمان. تساعد هذه الإعدادات في حماية موقعك بخيارات للتحديث تلقائيًا إلى الإصدارات الجديدة أو لزيادة أمان المستخدم عندما تكون برامج الموقع قديمة.

خيارات تحديث إدارة الإصدار

• تحديثات WordPress - قم بتثبيت أحدث إصدار من WordPress تلقائيًا.
• التحديثات التلقائية للمكونات الإضافية - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. يجب تمكين هذا ما لم تقم بصيانة هذا الموقع بنشاط بشكل يومي وتثبيت التحديثات يدويًا بعد وقت قصير من إصدارها.
• التحديثات التلقائية للموضوع - قم بتثبيت آخر تحديثات السمة تلقائيًا. يجب تمكين هذا إلا إذا كان المظهر الخاص بك يحتوي على تخصيصات للملف.
• التحكم الدقيق في تحديثات المكونات الإضافية والسمات - قد يكون لديك مكونات إضافية / سمات ترغب في تحديثها يدويًا أو تأخير التحديث حتى يتوفر الوقت للإصدار لإثبات ثباته. يمكنك اختيار Custom لإتاحة الفرصة لتعيين كل مكون إضافي أو سمة إما للتحديث الفوري ( تمكين ) ، أو عدم التحديث تلقائيًا على الإطلاق ( تعطيل ) أو التحديث مع تأخير لمدة محددة من الأيام ( تأخير ).

التقوية والتنبيه للقضايا الحرجة

• تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر. سيقوم المكون الإضافي iThemes Security تلقائيًا بتمكين أمان أكثر صرامة عند عدم تثبيت التحديث لمدة شهر. أولاً ، سيتم إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى. ثانيًا ، سيتم تعطيل WP File Editor (لمنع الأشخاص من تحرير المكون الإضافي أو رمز السمة) و XML-RPC pingbacks وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).
• البحث عن مواقع WordPress القديمة الأخرى - سيؤدي هذا إلى التحقق من تثبيتات WordPress القديمة الأخرى على حساب الاستضافة الخاص بك. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
• إرسال إعلامات البريد الإلكتروني - بالنسبة للمشكلات التي تتطلب التدخل ، يتم إرسال بريد إلكتروني إلى المستخدمين على مستوى المسؤول.

الخروقات من جميع أنحاء الويب

1. قراصنة يستخدمون صور متحركة لمهاجمة دروبال

لاحظت شركة Akami - وهي شركة أبحاث أمنية - زيادة في الهجمات التي تتضمن رموزًا ضارة داخل ملفات .gif. النبأ السار هو أن دروبال قام بتصحيح هذه الثغرة الأمنية منذ أكثر من عام. النبأ السيئ هو أن المواقع التي لا تتم صيانتها بشكل جيد حتى الآن لم يتم تحديثها.

السبب الأول لنجاح الهجمات الضارة هو البرامج القديمة. لا تكن الشخص الذي تعرض موقعه للخطر بسبب تحديث عمره عام. قم بتحديث موقعك

2. تسمح ثغرة الإشارة للمتسللين بالاستماع إلى ميكروفونات Android

كشف Google Project Zero مؤخرًا عن ثغرة أمنية في تطبيق المراسلة Signal. يمكن استخدام الثغرة الأمنية عند الاتصال بهاتف شخص ما باستخدام تطبيق Signal. أثناء المكالمة الهاتفية ، سيحتاج المتسلل إلى الضغط على زر كتم الصوت أثناء رنين هاتف الهدف. سيؤدي الضغط على زر كتم الصوت إلى إجبار جهاز الهدف على الرد على المكالمة ، مما يسمح للمهاجم بالتنصت على علامته.

بعد أن تم إخطار Google Project Zero بالخطأ ، أصدرت Signal تصحيحًا سريعًا. تطلب الاستغلال من المهاجم إزالة وتعديل التعليمات البرمجية في التطبيق. لحسن الحظ ، نظرًا للصعوبة ، لا توجد تقارير عن استغلال الثغرة في البرية.