5 تهديدات الأمان الافتراضية في WordPress وكيفية إصلاحها

وورد الأمن

WordPress هو برنامج برمجي مفتوح المصدر شائع على نطاق واسع. الشيء العظيم في هذا الحكمة الأمنية ، هو أن هناك مجتمعًا ضخمًا يعمل معه ، قادرًا على اكتشاف الأخطاء بالإضافة إلى المخاطر الأمنية بشكل أسرع من المرء باستخدام حل CMS داخلي. (من الصعب معرفة نقاط الضعف عندما تكون إحدى الطرق لمعرفة ذلك هي استغلال الضعف بالفعل ، ووجود قاعدة مستخدمين ضخمة تجعل الاكتشاف أكثر احتمالًا.)


الجانب السلبي هو أن المتسللين ذوي النوايا السيئة يعرفون بالضبط كيف يتم بناء موقع الويب الخاص بك. لديهم بالفعل “مخطط” لموقعك. وإذا كانت هناك أي نقاط ضعف في النواة أو السمات أو المكونات الإضافية التي تستخدمها ، فهذا شيء يمكنهم معرفته دون الوصول إلى الواجهة الخلفية لموقعك.

لذا في هذا المنشور ، سأوضح لك كيفية إصلاح 5 تهديدات أمنية موجودة في أي تثبيت افتراضي تمامًا لـ WordPress. (إذا كنت قد اتخذت بالفعل بعض الاحتياطات ، فقد تجد أنك قد أصلحت بالفعل واحدًا أو اثنين ، ولكن من المهم إصلاح جميع الإجراءات الخمسة لتقليل خطر الاختراق.)

يوضح موقعك أنك تستخدم WordPress ، بالإضافة إلى الإصدار

نسخة وورد

سيحتوي الإصدار الافتراضي من WordPress على سطور من التعليمات البرمجية التي تمنحك أن موقعك تم إنشاؤه باستخدام WordPress ، حتى وصولاً إلى الإصدار للأشخاص الذين يعرفون مكان البحث. اعتمادًا على الموضوع ، قد يتم عرضه بشكل مرئي في كل صفحة من موقعك على الويب.

السبب في أن هذا قد يكون خطرًا أمنيًا ، هو أن الأشخاص قد يستهدفون موقعك دون سبب آخر سوى أنه مبني على WordPress. إذا وجد شخص ما ضعفًا في أمان WordPress core أو سمة أو مكون إضافي ، فقد يجد طريقه إلى موقعك لاستغلال ذلك. بينما إذا كنت قد أخفيت بنجاح أن موقعك تم إنشاؤه باستخدام WordPress ، فإن الأشخاص الذين يبحثون عن مواقع WordPress باستخدام برامج التتبع أو برامج الزحف سيتم خداعهم للاعتقاد بأن موقعك ليس هدفًا قابلاً للتطبيق..

كيف تصلحها:
لإصلاح ذلك ، يمكنك استخدام Hide My WP Plugin. باستخدام هذا المكون الإضافي الصغير المفيد ، يمكنك تجنب حركة المرور غير الضرورية على الخادم الخاص بك ، وفي الوقت نفسه ، تظل آمنة من الهجمات التي تستهدف مواقع WordPress تحديدًا.

الكل يعرف مكان صفحة تسجيل الدخول / منطقة الإدارة

وورد تسجيل الدخول

إذا كنت لا تزال تثبت أنك تستخدم WordPress (المعروف أيضًا باسم عدم إخفائه بنشاط عن طريق استخدام مكون إضافي مثل Hide My WP) ، فإن الأشخاص ذوي النوايا السيئة سيعرفون بالفعل مكان محاولة هجوم القوة الغاشمة على موقعك.

كيف تصلحها:
لإصلاح هذا التهديد ، وتقليل فرص الاختراق بشكل كبير ، ولتقليل ضغط الخادم ، نحتاج إلى إيقاف الأشخاص الضارين وبرامج الروبوت من الوصول إلى صفحة تسجيل الدخول.

هناك طريقتان رئيسيتان للقيام بذلك. يمكنك إما تغيير الموقع الفعلي لصفحة تسجيل الدخول الخاصة بك إلى شيء آخر باستخدام مكون إضافي (أو بضعة أسطر من التعليمات البرمجية) ، أو يمكنك تحديد الوصول إلى صفحة تسجيل الدخول الخاصة بك ومنطقة المسؤول عن طريق عناوين IP. يمكنك القيام بذلك باستخدام مكون إضافي مخصص لهذا الشيء بالتحديد ، أو باستخدام مكون إضافي للأمان مثل Sucuri, Wordfence, iThemes Security Pro أو All In One WP Security & Firewall.

يحتوي WordPress على بادئة جدول افتراضية يستخدمها الجميع

جدول ووردبريس

بادئة الجدول هي ما يأتي قبل أسماء الجداول في قاعدة البيانات الخاصة بك. بدلاً من المستخدمين ، باستخدام بادئة WordPress القياسية ، سيكون wp_users. إذا كنت تستخدم بادئة الجدول الافتراضية ، فإنه يسهل على الأشخاص الوصول إلى موقعك من خلال استغلال نقاط الضعف المحتملة لحقن SQL. لأنهم يعرفون بالضبط مكان إدخال المعلومات في قاعدة البيانات الخاصة بك للوصول إلى موقعك.

لقد قمت بالفعل باختراق أحد مواقع الويب الخاصة بي بسبب حقن sql ، لذلك هذا تهديد حقيقي للغاية أنك بحاجة إلى اتخاذ إجراءات مضادة ضد.

كيف تصلحها:
لحسن الحظ ، من السهل جدًا إزالة هذا التهديد. إذا كنت قد قمت بالفعل بتثبيت WordPress باستخدام البادئة الافتراضية wp_ ، فيمكنك تغييره بسهولة باستخدام مكون إضافي مثل Sucuri. أولاً ، تحتاج إلى نسخ قاعدة بياناتك احتياطيًا قبل استخدام هذا الخيار حيث أن هناك فرصة طفيفة لحدوث خطأ ما. يمكنك القيام بذلك بنقرة زر واحدة. ثم يمكنك اختيار بادئة جديدة ، أو السماح لـ Sucuri ببساطة بإنشاء البادئة الجديدة لك.

ملاحظة: إذا كنت تقوم فقط بتثبيت WordPress للمرة الأولى ، فيمكنك تغييره في واجهة التثبيت.

WordPress Theme & Plugin Files قابلة للتحرير عبر لوحة التحكم

محرر البرنامج المساعد وورد

المشكلة في ذلك هي أنه إذا تمكن أحد المتسللين من الوصول إلى موقع الويب الخاص بك ، فيمكنهم إحداث الكثير من الضرر. يمكنهم جعل موقعك على الويب يغزو أشخاصًا آخرين ببرامج ضارة (والتي قد تنتهي بوضع موقعك على القائمة السوداء لـ Google وإلغاء فهرسته من محركات البحث) ، أو تشويه موقع الويب الخاص بك ، أو فتح الأبواب الخلفية بسهولة.

كيف تصلحها:
يمكنك إما إضافة هذا السطر من التعليمات البرمجية إلى ملف wp-config.php الخاص بك:

تعريف ("DISALLOW_FILE_EDIT" ، صحيح) ؛

أو استخدم مكونًا إضافيًا للأمان للقيام بذلك نيابةً عنك (سيؤدي ذلك بشكل أساسي إلى إدراج هذا السطر من التعليمات البرمجية فقط). المشكلة الوحيدة هي أن هناك مكونات إضافية تسمح للأشخاص بتشغيل هذه القدرة وإيقاف تشغيلها ، لذا قد يتمكن مخترق متخصص جدًا من تثبيت مكون إضافي ، وتشغيل المكون الإضافي ، ومن ثم الوصول إلى تعديل التعليمات البرمجية دون الوصول إلى FTP.

إذا كنت تريد أن تكون دقيقًا للغاية وأن تحمي من ذلك ، فيمكنك تعطيل جميع تحديثات / تثبيت الإضافات والموضوعات عن طريق إضافة سطر التعليمات البرمجية هذا إلى wp-config.php:

تعريف ("DISALLOW_FILE_MODS" ، صحيح) ؛

ولكن من الواضح أن هذا يعني أنك ستضطر إلى تغيير قيمته إلى خطأ في كل مرة تريد فيها تحديث أو تثبيت مكون إضافي أو مظهر (لا نوصي بهذا الخيار حقًا ، نظرًا لأن تحديث السمات والمكونات الإضافية يعد أحد أفضل الطرق للتأكد من أن موقعك أقل عرضة للخطر).

يحتوي WordPress على إعدادات جدار حماية مفتوحة جدًا يمكن أن تسمح حتى بالبرامج الضارة المعروفة لمحاولة الهجمات

وورد جدار الحماية سيرينجز

إعدادات جدار الحماية الافتراضية في WordPress موجودة بالفعل على الجانب الليبرالي. هذا يعني أن بعض برامج الروبوت غير المرغوب فيها وغيرها من الزوار غير المرغوب فيهم يحصلون على ضوء أخضر.

كيف تصلحها:
يمكنك تحسين ذلك عن طريق تثبيت القواعد الأساسية لجدار الحماية في القائمة السوداء 5G ، إما عن طريق نسخه يدويًا في ملف htaccess الخاص بك ، (يمكنك العثور عليه هنا) أو عن طريق تثبيت هذا البرنامج المساعد, أو استخدم مكونًا إضافيًا للأمان لتحسين القواعد في .htaccess بشكل أفضل.

محاولات تسجيل دخول وورد غير محدودة

على الرغم من أن الإعداد الافتراضي هو في الواقع محاولات غير محدودة لتسجيل الدخول ، فقد اخترت تحديد محاولات تسجيل الدخول عند تثبيت WordPress على موقعك. إذا لم تفعل ذلك ، فهو حل سهل للغاية.

كيف تصلحها:
ببساطة تثبيت البرنامج المساعد للحد من محاولات تسجيل الدخول. أو ، إذا كنت تستخدم استضافة WPEngine ، فهذه ميزة مدمجة بالفعل من أجلك – لا يوجد مكون إضافي مطلوب! إذا كنت قد قمت بالفعل بحماية منطقة تسجيل الدخول الخاصة بك عن طريق السماح فقط لعناوين IP الخاصة بك بالوصول إلى لوحة التحكم ، فلن تحتاج إلى القيام بذلك. ولكن إذا أخفيت للتو عنوان صفحة تسجيل الدخول ، فهي حماية مزدوجة لطيفة من هجمات القوة الغاشمة المحتملة.

استنتاج

تتزايد الجرائم السيبرانية بسرعة وشبكة الإنترنت في طريقها لتصبح موطنًا لعدد أكبر من المجرمين من “العالم الحقيقي”. وقد حدث هذا بالفعل في بعض البلدان. وعلى الرغم من أن الكثير من هذا هو الاحتيال على بطاقات الائتمان والبنوك ، إلا أن هناك عددًا متزايدًا من المتسللين ، وبصفتنا مالكي مواقع الويب ، علينا حماية أنفسنا ومواقعنا بأفضل ما نستطيع.

على الرغم من أن التثبيت الافتراضي لـ WordPress به بعض نقاط الضعف ، إلا أن جمال WordPress هو في حقيقة الأمر سهولة في حل أي من مشكلاتك في موقعك ، بما في ذلك التهديدات الأمنية المذكورة في هذا المنشور. بخلاف امتلاك اسم مستخدم فريد وكلمة مرور قوية ، من خلال تثبيت مكون إضافي للأمان وتعديل بعض الإعدادات وربما إدخال سطر من التعليمات البرمجية أو اثنين ، يمكنك بالفعل تقليل خطر اختراق موقعك أو انتشاره ببرامج ضارة.

هل اتخذت أي تدابير لتحسين أمان موقع WordPress الخاص بك؟ اي نوع؟ نود أن نسمع بعض النصائح والحيل الخاصة بك! لو سمحتوا دعونا نعرف في التعليقات.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map