6 أسباب تجعل موقع WordPress الخاص بك عرضة للقراصنة
نشرت: 2019-04-26مع الميزات الرائعة وخيارات التخصيص التي يوفرها WordPress ، فليس من المستغرب أن ما يقرب من 33 ٪ من مواقع الويب تستخدم WordPress CMS. ومع ذلك ، فإن مشكلات الأمان المحتملة هي شيء يمكن أن يعود لمالكي المواقع.
في الواقع ، من بين 8000 موقع ويب تم اختراقها تم تحليلها في دراسة حديثة ، كان 74٪ يستخدمون WordPress.
إذا كنت تستخدم موقع WordPress على الويب ، فمن المهم التأكد من إعداد الأمان بشكل صحيح لتقليل المخاطر.
إذن ما هو أفضل مسار للعمل يجب اتخاذه؟
تعد مشكلات الأمان التالية من أكثر المشكلات أهمية ويمكن أن تترك موقع WordPress الخاص بك عرضة للمتسللين. من المهم تحديد هذه المشكلات وإصلاحها ؛ على الفور.
1. خدمة الاستضافة غير الآمنة
يعد استضافة الويب أحد الموارد الرئيسية التي تدخل في إنشاء موقع ويب.
من أداء موقعك إلى أمانه ، يمكن أن تؤثر خدمة الاستضافة في كل شيء. على هذا النحو ، من الأهمية بمكان أن تختار مزود استضافة يوفر أمانًا مناسبًا.
أثناء التفكير في خيارات الاستضافة وتحليلها ، يجب أن تساعدك النصائح التالية.
- اطلع على جميع ميزات الأمان التي يوفرها.
- افهم أنه عندما يتعلق الأمر بالاستضافة ، فإن التكلفة لا تعني دائمًا الأفضل.
- بعض مقدمي الخدمة لديهم خططهم المبدئية تكلف بقدر الخطط المتطورة لموفري الاستضافة الآخرين. هذا لا يعني دائمًا أنه يمكن مقارنتها.
- تعرف على الفرق بين النوعين الأكثر شيوعًا من خدمات الاستضافة.
الاستضافة المشتركة:
تقدم خدمة الاستضافة المشتركة عمليات فحص الأمان الأساسية التي يمكنها اكتشاف البرامج الضارة لـ WordPress.
كما يسمح لك بتتبع الزوار القادمين إلى موقعك. يمكن أن يساعدك ذلك في تحديد الزوار الضارين وحظر عناوين IP الخاصة بهم.
أهم ما يميز خدمة الاستضافة المشتركة هو قدرتها على استضافة أكثر من موقع ويب ، مما يجعلها أرخص بكثير من أنواع الاستضافة الأخرى.
ادارة الاستضافات:
هذه هي خدمة الاستضافة التي توفر جدار حماية للأمان بالإضافة إلى فحص روتيني للبرامج الضارة.
يقدم بعض الموفرين "خدمات الاستضافة المُدارة" التي تقيد الوصول إلى ملفات ومجلدات WordPress للحفاظ عليها بأمان.
على سبيل المثال ، يمنع WP-Engine التغييرات في جميع ملفات PHP ، بينما لا يسمح Pantheon بالكتابة على المجلدات باستثناء تلك التي تحتوي على بيانات السمات والمكونات الإضافية.
- اختبار دعم العملاء:
دعم العملاء هو عامل آخر يجب عليك مراعاته أثناء مقارنة موفري الاستضافة.
سواء كانت مسألة تافهة أو انهيار كامل ؛ إذا كان الأمر يتعلق بخدمة الاستضافة ، فيجب على المزود تقديم دعم العملاء الكامل.
لمعرفة مدى تأهيل نظام دعم مقدم الخدمة ، ما عليك سوى الحصول على تفاصيل الاتصال الخاصة بهم والتواصل معهم. اطرح عليهم جميع أسئلتك وشاهد مدى صبرهم وتعاونهم أثناء معالجة مخاوفك.
بناءً على هذه التجربة ، ستحصل على فكرة عن كيفية رد فعلهم في حالة حدوث خرق أمني. من المفترض أن يساعدك ذلك في تحديد ما إذا كنت تريد الشراء منها أم لا.
إذا كنت قد اشتريت بالفعل خطة استضافة من مزود خاطئ ، فلا تقلق. ليس عليك انتظار انتهاء صلاحية خطتك. يمكن أن تساعدك خدمات مثل BlogVault و Migrate Guru على الانتقال إلى موفري استضافة مختلفين دون أي متاعب.
2. تحديثات النظام
مثل أي نظام إدارة محتوى آخر ، يتطلب WordPress تحديثًا منتظمًا. قد يؤدي تجاهل ذلك إلى جعل موقع WordPress الخاص بك يمثل خطرًا أمنيًا محتملاً.
في الواقع ، 80٪ من مواقع WordPress التي تم اختراقها كانت تستخدم سمات و / أو مكونات إضافية قديمة. فتح العين ، أليس كذلك؟
كونك نظام إدارة محتوى مفتوح المصدر مع آلاف المطورين الذين يعملون على موضوعات وإضافات مختلفة يعني أن لوحة معلومات WordPress الخاصة بك قد تتلقى العديد من التحديثات بناءً على المكونات الإضافية والسمات التي تستخدمها.
تحتاج إلى التأكد من تحديث جميع السمات الأساسية والإضافات إلى أحدث إصدار.
خطوات تحديث البرنامج المساعد:
- افتح لوحة معلومات WordPress الخاصة بك وانتقل إلى المكونات الإضافية> المكونات الإضافية المثبتة
- ستأخذك لوحة القيادة إلى الصفحة التي تعرض المكونات الإضافية التي قمت بتثبيتها.
حدد المكونات الإضافية المعلقة وقم بتحديثها وانقر فوق "تحديث الآن".
وبالمثل ، يمكنك تحديث السمات على موقعك بنفس الطريقة من خلال الانتقال إلى المظهر> السمات.
سيؤدي هذا أيضًا إلى فتح أحدث الميزات المضافة إلى السمة / المكون الإضافي / النظام. يساعد ذلك في الحفاظ على أمان واستقرار موقع الويب الخاص بك في نفس الوقت.
3. البرامج المساعدة أو الموضوعات المقرصنة
في حين أن إنشاء موقع WordPress على الويب لن يحرق فجوة في جيبك ، فإن جعله ممتعًا من الناحية الجمالية وغنيًا بالميزات يمكن أن يكلفك سمة / مكون WordPress جيد ما بين 10 إلى 200 دولار.
للهروب من هذه التكاليف "المفترض" غير المرغوب فيها ، غالبًا ما يتخذ مشرفو المواقع الطريق الأرخص ويستخدمون المكونات الإضافية / السمات الفارغة / المقرصنة ، والتي تتوفر مجانًا أو بأسعار لا تذكر.
ما هي نتائج هذا؟
كان هناك عدد من الحالات عندما منح موقع ويب يستخدم سمة فارغة دون قصد وصولًا خلفيًا للمتسللين من خلال عنوان URL: http://www.example.xyz؟backdoor=go
تمكن المتسللون من الوصول إلى الموقع حيث أدى عنوان URL إلى فتح باب خلفي للموقع ، وإنشاء حساب مسؤول WordPress جديد ببيانات الاعتماد التالية:
اسم المستخدم: backdooradmin
كلمة المرور: Pa55W0rd
هذا بشكل عام نتيجة لرمز قصير إضافي تمت إضافته إلى ملف function.php بواسطة مالك القالب الفعلي.
لإنقاذ موقعك من مثل هذه المخاطر. احصل دائمًا على السمات والإضافات من مستودع WordPress الرسمي أو من مصادر أخرى موثوقة مثل Theme Forest أو Themeisle.
4. تفاصيل تسجيل الدخول الوهمية
صفحة تسجيل الدخول الافتراضية:
إن استخدام نفس أسماء المستخدمين القديمة وكلمات المرور سهلة التخمين يجعل الحياة أسهل بكثير للقراصنة الذين يحاولون الوصول إلى النهاية الخلفية لموقع الويب الخاص بك.
كيف تصلح؟
- مشكلة اسم المستخدم وكلمة المرور:
حاول إنشاء اسم مستخدم وكلمة مرور لم تستخدمهما في حساب آخر.
يرجى ملاحظة أنه من الضروري أن يكون لديك اسم مستخدم فريد. إذا كان من السهل تخمين اسم المستخدم ، فإن الشيء الوحيد الذي سيحتاج المتسلل إلى اكتشافه هو كلمة المرور الخاصة بك.
تأكد من عدم عرض اسم المستخدم الخاص بك على موقع الويب الخاص بك. للقيام بذلك سيكون بمثابة إعطاء المتسللين دعوة شخصية لتناول الطعام على لوحة معلومات WordPress الخاصة بك. بدلاً من ذلك ، استخدم لقبًا أو عنوانًا مختلفًا عن اسم المستخدم. مشكلة عنوان URL لصفحة تسجيل الدخول الافتراضية: www.yoursite.com/wp-admin
هذا هو الخيار الأكثر سهولة والأكثر شيوعًا لعنوان URL لصفحة تسجيل الدخول إلى WordPress ، مما يجعل موقعك عرضة للقراصنة.
لا يهاجم معظم المتسللين يدويًا. يقومون ببرمجة الروبوتات للوصول إلى صفحات تسجيل الدخول وكسر بيانات اعتماد تسجيل الدخول للمواقع المستهدفة.
سيؤدي استخدام عنوان URL الافتراضي لصفحة تسجيل الدخول إلى تقليل عمل الروبوتات والمتسللين الذين يحاولون الوصول إلى موقع الويب الخاص بك.
أفضل طريقة للخروج هي تغيير عنوان URL الافتراضي لتسجيل الدخول.
على سبيل المثال ، تغيير - www.yoursite.com/wp-admin إلى www.yoursite.com/welcometomysite
للقيام بذلك ، اتبع هذه الخطوات البسيطة.
- أولاً ، خذ نسخة احتياطية كاملة من موقع WordPress الخاص بك باستخدام UpdraftPlus.- ثم قم بتثبيت وتفعيل المكون الإضافي "Easy Hide Login" (مجاني).
- انتقل إلى إعدادات البرنامج المساعد وأرسل اختيارك لربط تسجيل الدخول (مثل "Welcomeetomysite").
- سيؤدي هذا إلى تغيير عنوان تسجيل الدخول إلى WordPress الخاص بك من yoursite.com/wp-admi n إلى yoursite.com/welcometomysite وسيزيد من صعوبة اختراق الأشخاص لموقعك.
5. ملفات PHP قابلة للكتابة
تمامًا مثل أي برنامج كمبيوتر آخر على الويب أو خارجه ، يتكون موقع WordPress أيضًا من ملفات ومجلدات.
أحد هذه المجلدات هو مجلد "التحميلات". يخزن هذا المجلد جميع السمات وبيانات المكونات الإضافية لموقعك.
يمكن للمتسللين المحتملين إيجاد طريقة لتحميل رمز PHP إلى هذا المجلد للوصول إلى موقع الويب الخاص بك.
بمجرد وصول المتسللين عبر هذه الطريقة ، يمكنهم سرقة المحتوى الذي كنت تخطط لنشره في المستقبل إلى جانب الموارد المهمة الأخرى مثل عناوين البريد الإلكتروني من قائمتك البريدية. يمكنهم أيضًا بيع الروابط الخلفية من موقعك أو استخدام المحتوى الخاص بك لإنشاء روابط إلى مواقع الويب الخاصة بهم دون علمك. أو الأسوأ من ذلك كله ، يمكنهم تدمير الموقع بالكامل وإزالته.
أسوأ جزء من هذا النوع من الاختراق هو أنك لن تعرف أيًا من هذا حتى يقوم مزود الاستضافة أو محرك البحث بحظر موقع الويب الخاص بك.
لإنقاذ نفسك من هذا ، يمكنك تعطيل تنفيذ PHP من خلال الخطوات التالية.
- قم بإنشاء ملف .htaccess في مجلد "التحميلات" في الدليل الجذر لموقع الويب الخاص بك في cPanel.
- قم بإنشاء ملف جديد باستخدام برنامج Notepad (في نظام Windows) أو TextEdit (على نظام Mac).
- الصق التعليمة البرمجية التالية في هذا الملف واحفظها كملف .htaccess (وليس كـ .htaccess.txt).
# ابدأ وورد
أعد كتابة المحرك
إعادة كتابة القاعدة /
RewriteRule ^ index.php $ - [L] RewriteCond٪ {REQUEST_FILENAME}! -f
RewriteCond٪ {REQUEST_FILENAME}! -d
أعد كتابة القاعدة. /index.php [L]
# END WordPress
- قم بتحميل هذا الملف إلى مجلد "التحميلات".
- الآن ، لديك ملف .htaccess جديد مخصص لمجلد "التحميلات" الخاص بك. انقر بزر الماوس الأيمن لتحريره ولصق الكود التالي.
طلب السماح ، رفض
رفض من الجميع
بعد تنفيذ الخطوات المذكورة أعلاه ، سيمنع موقع الويب الخاص بك تنفيذ أي ملفات أجنبية تتكون من "PHP". سيضيف هذا التغيير لبنة أخرى إلى جدار الأمان الخاص بموقعك.
لاحظ أيضًا أن استخدام هذه الطريقة محفوف بالمخاطر بعض الشيء. حتى الخطأ البسيط يمكن أن يلحق الضرر بموقعك. لذلك ، إذا كنت غير متأكد من استخدام cPanel ، فاستشر شخصًا ما.
6. عدم وجود شهادة SSL
بينما يقوم كل من http://yoursite.com و https://yoursite.com بتحميل نفس صفحة الويب ، إلا أن هناك فرقًا بسيطًا يمكن أن يفسد الصفقة.
شهادة SSL.
عنوان URL الأول في المثال أعلاه لا يستخدم شهادة SSL ، بينما المثال الثاني هو.
يمكن أن يؤثر ذلك بشكل كبير على أمان موقع الويب من خلال تعريض الاتصال بين جهاز الزائر وخوادم الويب للخطر.
تقوم شهادة SSL بتشفير المعلومات بحيث لا يمكن الوصول إليها من قبل أي شخص باستثناء المستلمين المقصودين. لحماية موقع الويب الخاص بك من مثل هذه التسريبات ، يوصى بتثبيت شهادة SSL في أقرب وقت ممكن.
عادةً ما يكون تثبيت شهادة SSL أمرًا مباشرًا وسهل التنفيذ. يمكنك عادةً شراء شهادة SSL من مزود الاستضافة الخاص بك ، ولكن إذا لم يبيعوا خدمة SSL ، فيجب أن تفكر في الشراء من مزود آخر.
سيوفر لك الحصول على شهادة SSL من مزود الاستضافة الخاص بك عناء التثبيت. سيقومون بإعداد كل شيء وعليك فقط إعادة توجيه صفحات "http" الخاصة بك إلى "https".
في تلخيص
يمكن أن يؤدي الفشل في تأمين موقع WordPress الخاص بك ضد التهديدات الأمنية إلى الإضرار بعملك بعدة طرق. ليس من المستغرب أن يحتاج جميع مشرفي المواقع إلى الاهتمام بأمان موقع الويب وأن يكون لديهم مكون إضافي ونظام احتياطي مناسب. على الرغم من بذل قصارى جهدك ، في حالة حدوث الأسوأ وتعرض موقعك لهجوم ضار ؛ يمكن لـ UpdraftPlus توفير خيار نسخ احتياطي آمن وآمن واستعادة. سيساعد هذا في ضمان أن موقع الويب الخاص بك يحتوي دائمًا على جميع شبكات الأمان المهمة ، حتى في حالة حدوث اختراق.
في هذا المنشور ، قرأت عن 6 ثغرات يمكن أن تعرض أمان موقع WordPress الخاص بك للخطر بسبب المتسللين. نأمل أن تساعدك هذه المقالة في تأمين موقعك ونقل أمانه إلى المستوى التالي.
بقلم فايبهاف كاكار
ظهرت الأسباب الستة المنشورة التي تجعل موقع الويب الخاص بك على WordPress عرضة للمتسللين أولاً على UpdraftPlus. UpdraftPlus - البرنامج المساعد للنسخ الاحتياطي والاستعادة والترحيل لـ WordPress.