[إحصائيات أمان WordPress] 4 أسباب رئيسية لاختراق مواقع WordPress وكيفية منعها
نشرت: 2021-02-22يُعد WordPress ، بلا شك ، أكثر أنظمة إدارة المحتوى شيوعًا في العالم ، حيث يعمل 34٪ من جميع مواقع الويب على الإنترنت وحصة سوقية تبلغ 60.8٪ في سوق CMS. ومع ذلك ، فإن هذه الشعبية الهائلة لها تكلفة أيضًا.
سنوات بعد سنوات ، كان أمان WordPress دائمًا مشكلة ملحة. بالنسبة لدراسة Sucuri ، من بين 8000 موقع مصاب ، تم بناء 74 ٪ منها على WordPress. اكتشف Wordfence أيضًا أن هناك ما يصل إلى 90.000 هجوم على مواقع WordPress كل دقيقة.
فلماذا يتم استهداف WordPress بشكل كبير من قبل المتسللين؟
هناك الكثير من الأسباب وراء اختراق مواقع WordPress. في هذه المقالة ، سنركز على الأسباب الأربعة الرئيسية جنبًا إلى جنب مع إحصائيات اختراق WordPress الفعلية التي تم فحصها من خلال مصادر مختلفة. إلى جانب ذلك ، نقدم أيضًا بعض النصائح المفيدة حول كيفية ضمان أمان WordPress.
دعنا نتعمق!
- استضافة المواقع غير الآمنة
- كلمات مرور ضعيفة
- موقع ووردبريس قديم
- السمات والإضافات التي عفا عليها الزمن أو لاغية
- كيفية ضمان أمن ووردبريس
استضافة المواقع غير الآمنة
"41٪ من مواقع WordPress تتعرض للهجوم بسبب منصات الاستضافة الضعيفة."
على غرار أي موقع ويب ، يتم استضافة WordPress على مضيف ويب أو خادم. يبدو أن معظم مالكي مواقع WordPress لا يأخذون اعتبارات جادة في اختيار استضافة الويب. بشكل عام ، يستضيفون مواقع الويب الخاصة بهم على خطة استضافة مشتركة لأنها ميسورة التكلفة. تبين للأسف أن هذا هو الفريسة المربحة للمهاجمين.
من المحتمل أن تؤدي أي محاولة اختراق ناجحة على هذا الخادم المشترك إلى ضعف موقعك ، حيث يمكن للقراصنة الوصول إلى موقعك من خلال هذا الموقع الذي تم الاستيلاء عليه.
كلمات مرور ضعيفة
هذا هو أحد الأسباب الأكثر شيوعًا لهجمات القوة الغاشمة الناجحة. يثبت WP Smackdown أن 8٪ من مواقع WordPress تتعرض للاختراق بسبب كلمات المرور الضعيفة.
والمثير للدهشة أنه حتى هذا التاريخ ، لا يزال الأشخاص يستخدمون كلمات مرور سهلة التخمين وشائعة مثل "123456" أو "كلمة المرور" لحماية مواقعهم. لخص موقع NordPass أفضل استخدام لكلمات المرور في عام 2020 وما سيكشفونه سيجعلك تشعر بالذهول.
| أفضل 10 كلمات مرور | عدد المستخدمين | حان الوقت لكسرها |
| 123456 | 2،543،285 | أقل من ثانية |
| 123456789 | 961435 | أقل من ثانية |
| الصورة 1 | 371612 | 3 ساعات |
| كلمه السر | 360،467 | أقل من ثانية |
| 12345678 | 322187 | أقل من ثانية |
| 111111 | 230507 | أقل من ثانية |
| 123123 | 189،327 | أقل من ثانية |
| 12345 | 188268 | أقل من ثانية |
| 1234567890 | 171724 | أقل من ثانية |
| سينها | 167728 | 10 ثواني |
أشار بحثهم إلى أن المستخدمين يميلون إلى تعيين أرقام أو سلاسل أحرف سهلة التذكر ككلمات مرور خاصة بهم. بالإضافة إلى ذلك ، فإنهم يميلون إلى إعادة استخدام نفس كلمة المرور لحسابات متعددة بسبب الراحة. أكثر ما يهم هو كلمات المرور التي يسهل تذكرها ، وكلما زاد تعرضها للاختراق.
إصدارات ووردبريس القديمة
يعد إصدار WordPress القديم أحد أكبر أسباب اختراق الموقع. أظهرت دراسة أجرتها شركة Sucuri أن 36.7٪ من مواقع الويب التي تم اختراقها تعمل بإصدارات قديمة.
ستضيف الإصدارات الجديدة ميزات متقدمة بشكل أفضل وتصلح نقاط الضعف في القديم. ومع ذلك ، يقوم بعض المستخدمين بتعطيل ميزة التحديث الذاتي. وفقًا لـ WordPress ، قام 32.2٪ فقط من مستخدمي WordPress بتحديث مواقعهم إلى أحدث إصدار 5.6.
لماذا يرفض المستخدمون تحديث مواقعهم؟
الأعذار الرئيسية هي:
- إنهم يميلون إلى تأخير أو نسيان إخطارات التحديث بسبب انشغالهم (أو كسلهم).
- إنهم قلقون من أن التحديث سيؤثر على أداء مواقعهم.
لكنك تعلم أحيانًا ما يكلفك الجهل كثيرًا. يعتبر اختراق منصة التدوين لرويترز في عام 2012 درسًا نموذجيًا.
نسيت رويترز إبقاء تثبيت WordPress محدثًا ، مما يمنح المتسللين فرصًا لمهاجمة مواقعهم. قاموا بحشو العديد من المنشورات الكاذبة على موقع رويترز ، بما في ذلك مقابلة مزعومة مع زعيم جيش المتمردين السيبيريين. في ذلك الوقت ، كانت رويترز تستخدم الإصدار 3.1.1 بدلاً من 3.4.1.
السمات والإضافات التي عفا عليها الزمن أو لاغية
تعرض الكثير من مالكي مواقع الويب لهجمات بسبب ثغرات في السمات والمكونات الإضافية. بينما يقوم WordPress بتحديث جوهره على الفور باستخدام تصحيحات الأمان ، فإن هذا التحسين لا ينطبق على مكوناته الإضافية.
وفقًا لإحصائية WP Scan ، حتى عام 2020 ، كان هناك 21،936 ثغرة أمنية في WordPress. من بينها ، ترتبط 52٪ و 11٪ من ثغرات WordPress المبلغ عنها على التوالي بالمكونات الإضافية والسمات ، بينما حسابات WordPress الأساسية للبقية.
ما هو أكثر من ذلك ، في تقرير Wordfence 2020 WordPress ، أكد Wordfence أن البرامج الضارة من المكونات الإضافية والسمات الملغاة تشكل تهديدًا لأمن WordPress. يتفق كل من WP Scan و Wordfence على أن البرمجة النصية عبر المواقع وإدخال SQL هي أكثر أنواع الثغرات الأمنية شيوعًا في المكونات الإضافية والسمات في WordPress.
شاهد أهم 10 سمات ومكونات إضافية مدرجة في Wpwhitesecurity (تم التحديث الأخير في 8 أكتوبر 2020) وستفاجأ.
أهم 10 مكونات إضافية ضعيفة: 
في الرسم البياني أعلاه ، يتصدر Nextgen Gallery و Ninja Forms و WooCommerce المراكز الثلاثة الأولى بأكثر من 20 نقطة ضعف. حتى المكوِّن الإضافي للأمان المسمى "All In One WP Security & Firewall" يظهر في هذه القائمة ، مما يعني أن المكونات الإضافية للأمان يمكن أن يستهدفها المتسللون أيضًا.
أهم 10 مواضيع معرضة للخطر: 
يوضح الرسم البياني المرفق أن السمات لا تسبب الكثير من الثغرات مقارنة بالمكونات الإضافية. أكبر عدد من نقاط الضعف هو خمسة ويقع في موضوع Echelon و Traveler. ذلك لأن السمات لا تتضمن توسيع الوظائف كما تفعل المكونات الإضافية. إنهم يتحملون بشكل أساسي المسؤولية عن شكل ومظهر مواقع WordPress.
كيفية ضمان أمن ووردبريس
من إحصائيات وحقائق أمان WordPress المقلقة أعلاه ، توصلنا إلى 5 حلول قابلة للتطبيق لمساعدتك على ضمان أمان WordPress الخاص بك. ما عليك فعله الآن هو:
- استثمر في استضافة الويب الخاصة بك
- قم بإنشاء كلمات مرور فريدة
- حافظ على تحديث موقعك
- استخدم إضافات أمان WordPress
- تجنب استخدام السمات والإضافات الملغاة
استثمر في استضافة الويب الخاصة بك
انت تحصل على ما تدفع ثمنه. سيؤدي اختيار استضافة ويب موثوقة إلى تقليل احتمالية اختراق موقعك بشكل كبير. لن تدعم استضافة الويب عالية الجودة أحدث إصدار من PHP و MySQL فحسب ، بل ستوفر أيضًا عمليات مسح للبرامج الضارة ونسخ احتياطي منتظم.
يوصى بشدة باستخدام خادم مخصص باعتباره خيار الاستضافة الأكثر أمانًا. بالطبع ، إنه مكلف للغاية ، لكنه مفيد للغاية إذا حصل موقعك على حركة مرور عالية ويحتوي على بيانات حساسة.
ابتعد عن حلول الاستضافة المشتركة. ومع ذلك ، إذا كنت تستخدم بالفعل خطة استضافة مشتركة ، فانتقل إلى استضافة VPS.
إنشاء كلمات مرور فريدة
تعد كلمات المرور الآمنة ضرورية ليس فقط لحسابات مسؤول WordPress ولكن أيضًا لاستضافة الويب وحسابات FTP وقواعد بيانات MySQL.
لإنشاء كلمة مرور قوية ، عليك أولاً تجنب استخدام الأرقام أو الأحرف المتجاورة الشائعة ، مثل "1234567" أو "abcdef" والأحرف المتكررة ، بما في ذلك "abc123" أو "111111111."
إلى جانب ذلك ، امتنع عن استخدام نفس كلمات المرور لمواقع الويب المختلفة. يجب أن تبتكر كلمة مرور طويلة ومعقدة وقوية تتكون من 8 أحرف على الأقل لكل حساب.
يجب خلط كلمة المرور المثالية بين الكلمات والأرقام والرموز ، على سبيل المثال ،! wdf34 * de5. لا تنس إعادة تعيين كلمات المرور الخاصة بك بانتظام بعد كل 90 يومًا.
حافظ على موقعك محدثًا
لتجنب أن تكون رويترز الثانية ، ما عليك فعله هو تحديث موقع WordPress الخاص بك إلى أحدث إصدار. انتبه إلى إشعارات التحديث في لوحة القيادة.
إذا كنت تخشى أن يؤدي التحديث إلى تعطيل مواقعك ، فيجب عليك إنشاء نسخة احتياطية قبل تشغيل التحديث واختبار التحديث على موقع التدريج الخاص بك.
استخدم إضافات أمان WordPress
يعد تثبيت المكونات الإضافية للأمان في WordPress هو الحل الأبسط والأكثر فاعلية لحماية موقعك من أي نوع من الهجمات ، بما في ذلك البرامج الضارة.
اختيار مكون إضافي للأمان يسمح لك بالبحث عن نقاط الضعف ، وفرض كلمات مرور قوية ، وحظر الشبكات الضارة ، وتنفيذ جدار حماية ، وما إلى ذلك. هناك مجموعة كبيرة من المكونات الإضافية الموثوقة للأمان في WordPress في هذا المجال ، والتي تتضمن العديد من اللقطات الكبيرة Sucuri و Wordfence و BlogVault.
تجنب استخدام السمات والإضافات الفارغة
المكونات الإضافية والسمات الفارغة هي النسخة المخترقة من الإضافات المتميزة ، والتي تفتقر إلى ميزة التحقق من الترخيص. عادة ، يتم تعطيل هذه الميزة أو إزالتها من هذه المكونات الإضافية والسمات ، مما يؤدي إلى برامج ضارة محتملة.
لا يمكننا إنكار أن المكونات الإضافية والسمات الفارغة مغرية ، مع الأخذ في الاعتبار أنها مجانية وسهلة التنزيل. ومع ذلك ، يرجى مراعاة هذه الفكرة: إذا كنت تستخدم هذه النسخ المقرصنة ، فلا توجد إصلاحات أمنية ، نظرًا لعدم توفر أي تحديثات من مطوريها.
لذلك ، نقترح عليك تنزيل المكونات الإضافية أو السمات الأصلية من مواقع الويب الموثوقة أو استثمار أموالك في الإضافات المتميزة. فكر فيها على المدى الطويل ، يمكنك تأمين موقعك والحصول على ميزات جديدة أو مزيد من الدعم في إصلاحات الأمان.
استنتاج
لقد أطلعك هذا المقال على 4 أسباب رئيسية لاختراق WordPress بأرقام فعلية. تهدف إحصائيات اختراق WordPress المقدمة إلى تسليط الضوء على مدى أهمية تشديد أمان WordPress الخاص بك.
لقد قدمنا أيضًا نصائح مفيدة حول كيفية منع WordPress من الهجمات المحتملة. "الحذر خير من العلاج." يجب أن تولي اهتمامًا خاصًا لاختيار استضافة الويب الخاصة بك ، وتحديث نواة WordPress ، والإضافات ، والسمات ، بالإضافة إلى إنشاء كلمات مرور قوية.
هل هناك أي إحصائيات اختراق ووردبريس تأمل أن نشاركها في هذه المقالة لكن فاتناها؟ هل لديك أي خبرة في استغلال الموقع؟ لا تتردد في مشاركتنا في قسم التعليقات أدناه!