كيف تتأكد تمامًا من أن موقع الويب الخاص بك على WordPress آمن؟

نشرت: 2022-03-08

قبل عقدين أو بضعة عقود ، كان السطو يقتصر على كسر السرقة لسرقة دخل شخص ما أو ممتلكاته الثمينة. سيكون صانعو الأذى واللصوص الآن ، احصل على نوع المتسللين. كل من يكتشف ويستغل الثغرات الأمنية في البرامج لأغراض شخصية أو لأسباب سياسية.

قبل أن أبدأ مباشرة ، يجب أن تعرف أن هذا المنشور لا يتطرق إلى التفاصيل الدقيقة لأمن WP ولكنه يناقش مشغلات نقاط الضعف في WordPress. إذا لم يكن هذا هو ما تبحث عنه ، فإنني أوصيك بدراسة - "تعزيز أمان WordPress - معلومات كاملة لتأمين صفحات ويب WordPress". على الرغم من ذلك ، يجب أن أوضح أن فهم الطبيعة الأم لثغرات WP في السابق ، يوفر تصورًا جيدًا لكيفية التأكد من بروتوكولات حماية موقع الويب الخاص بك.

لماذا ينقسم الناس إلى مواقع ومراكز معرفة؟ يعد اقتحام مواقع الإنترنت التي تحتوي على حقائق العميل ومعرفات البريد الإلكتروني وأرقام بطاقات الائتمان وما إلى ذلك أكثر فائدة من الناحية المالية من سرقة المقرض. إذا كنت تدير موقعًا مزدهرًا بشكل معقول ، فأنا متأكد من أن المئات ، إن لم يكن عددًا لا يحصى من محاولات الوصول إلى تفاصيل موقع الويب الخاص بك قد تم إنتاجها بالفعل.

منذ فترة وجيزة ، تم اختراق موقع AshleyMadison.com وسرقة تفاصيل 37 مليون مشتري. طالب المتسللون بإغلاق الموقع ، وإلا فسيتم إطلاق تفاصيل معلومات المستخدم المسروقة والتي تتضمن تخيلات جنسية. يقدم لك هذا أسلوبًا من نوع التدمير الذي يمكن للقراصنة إحداثه بمجرد الوصول إلى الحقائق.

يعد أمان الويب على مستوى العالم موضوعًا مهمًا للغاية ويتصاعد أكثر من أي وقت مضى بشكل أكثر قابلية للتطبيق على تحديد مجموعة مواقع الويب التي ظهرت للحصول على معلومات وحقائق خاصة بعملائها.

ما يصل إلى 65 ٪ من الشبكة تعمل مع WordPress كعملية إدارة محتوى مكتوب ، لذلك سأناقش هذه الأيام استقرار WordPress وكيف تم تأهيل مواقع الويب الخاصة بـ WP أو اختراقها في السابق.

لماذا تلتزم بأساليب أمنية ممتازة؟

  • أنت مدين للمشترين والعملاء الذين يعتمدون عليك بمعلومات وحقائق فردية حساسة للحفاظ على سلامتها.
  • موقع الويب الخاص بك يتلقى اختراقًا - أنت تفقد الدخل.
  • تم اختراق موقع الويب الخاص بك - تأخذ تصنيفات محرك البحث الخاص بك في رحلة باتجاه واحد فقط إلى الجحيم.

يتم اختراق مواقع الويب الخاصة بـ WordPress من قبل آلاف ، إن لم يكن مئات المئات. لا تدرس كل صفحة ويب أنه تم اختراقها في السابق. إنه ليس تأييدًا كبيرًا لاسم علامتهم التجارية كما قد تتخيل.

أود إلقاء بعض الضوء على متطلبات هذا المنشور على أمان WordPress.

وفقًا لبحث ، شاركه ساندرو غوتشي (مؤسس حماية التصاريح).

  • 73.2٪ من عمليات تثبيت WordPress الأكثر شهرة معرضة لنقاط الضعف التي يمكن اكتشافها باستخدام موارد تلقائية مجانية.
  • تمت ترقية 7814 موقعًا فقط (18.55٪) إلى WordPress 3.6.1 ، وكان هذا هو أحدث إصدار من WP عند إجراء الاختبار.
  • انتهى الأمر بـ 13034 موقعًا (30.95٪) إلى الاستمرار في إدارة إصدار حساس من WordPress ، الإصدار 3.6. كان لدى WordPress 3.6 5 ثغرات معترف بها في ذلك الوقت.

وإذا كنت تفكر جيدًا ، فهذا مجرد توصيف معمم غير عادل لمواقع مدمجة غير مألوفة في مكان ما على موقع الويب المعتم ، فستكون مخطئًا. تم تصنيع البيانات بناءً على مراجعة لحوالي 42000 موقع WordPress على الويب على موقع Alexa Best A single Million. هذه مجموعة كبيرة من المواقع الحساسة التي يُفترض أنها أكثر مواقع الإنترنت زيارةً على شبكة الإنترنت العالمية. تجمع هذه المواقع كميات هائلة من المعلومات عن زوارها ومشتركيها.

كانت البيانات صحيحة كما في سبتمبر 2013 ، ولا أعتقد أنها كانت ستنحرف كثيرًا نظرًا لأنه في ذلك الوقت وحتى لو حدث ذلك ، فإن الإحصائيات المعروضة في هذه المقالة تعرض حجم الصعوبات الأمنية التي يعاني منها WordPress.

إذا كنت ترغب في الحصول على دليل إضافي يثبت إمكانية اختراق WordPress. أحيلك إلى فحص بواسطة Netcraft ،

  • في فبراير 2014 ، انتهى الأمر بـ 12000 مدونة على الويب على WordPress كانت تعمل كمنصات لصفحات الويب للتصيد الاحتيالي.
  • تم حظر أكثر من 8٪ من جميع عناوين URL الخاصة بالبرامج الضارة بواسطة Netcraft لتوزيع البرامج الضارة المستضافة على مستوى العالم ، والتي انتهى بها الأمر إلى مدونات WordPress.

أحتاج إلى التنبيه إلى أنه لم يتم تشغيل مدونة واحدة فقط من مدونات الأفراد على Automattic wordpress.com. يجب أن يوضح هذا حقًا أنه حتى WordPress يمكن أن يكون ضعيفًا إذا لم يتم استخدامه بحذر وبعض الفهم لحماية WP. قد يكون الدافع الإضافي لذلك مرتبطًا بحقيقة بسيطة وهي أن جميع المدونات المستضافة على wordpress.com حديثة إلى حد كبير بمجرد إطلاق تحديثات WordPress. بالنظر إلى ذلك ، يجب الإشارة إلى أن تحديثات WordPress التلقائية قد تم إطلاقها في WP model 3.7 للدفاع عن مواقع الويب من مآثر يوم الصفر.

وحتى بعد ذلك ، كانت هناك مجموعة من المخاوف المتعلقة بالسلامة التي ابتليت بها WordPress. انظر إلى هذا السجل الخاص بنقاط الضعف في WordPress في الإصدارات المميزة من النظام الأساسي.

الآن لا يوجد شيء على الإطلاق يمكنك القيام به لمنع حدوث ذلك ، سيتم اكتشاف نقاط ضعف جديدة بشكل عام. أخذت مجموعة WP الأساسية الاستقرار على محمل الجد وجعلت WordPress أكثر أمانًا.

ولكن كما هو الحال مع البرامج الشائعة الأخرى ، يؤدي استغلال الثغرات إلى الحصول على مكافأة إضافية عندما يبدأ المزيد من الأشخاص في استخدامها اليوم.

لا تؤمن بي؟ إذا كنت تشعر أنه بطريقة ما سيتطور WordPress فجأة ليصبح خاليًا تمامًا من جميع نقاط الضعف ، فراجع هذا الرسم البياني!

ووردبرس - الضعف - على مر السنين

على الرغم من انخفاض كمية الثغرات بمرور الوقت من أعلى مستوياتها في عامي 2007 و 2014 ، إلا أن الحافز لاكتشاف نقاط ضعف جديدة واستغلال الثغرات هو بلا نهاية على زيادة الربحية المتزايدة بسبب تصاعد سمعة WordPress.

قد يكون WordPress آمنًا خارج الصندوق ، ولكن فور دمج العديد من المكونات الإضافية / السمات والرموز المخصصة ، تبدأ الكثير من الثغرات في الزيادة بسرعة كبيرة.

ومع ذلك ، يمكننا إجراء تحسينات صغيرة على WordPress الخاص بك ، لجعله محميًا إضافيًا بدرجة كبيرة. في البداية ، نحتاج إلى معرفة كاملة بأمان WordPress ، وهذا مفيد جدًا في معرفة أسباب الفشل في الأمان.

قد تندهش عندما تكتشف أنه نادرًا ما يكون نظام WP الأساسي مخطئًا في حالات خرق الاستقرار. من المرجح جدًا أن يولد شيء ما لديك إضافي في WP الخاص بك ثغرة أمنية يمكن أن يستغلها المتسللون.

كيف يتم اختراق مواقع WordPress؟

مشاكل ضمان الأمن الشامل هي عدم وجود هذه الأشياء.

بافتراض أن WordPress الخاص بك محمي تمامًا ، ستستمر في امتلاك Apache وعميل FTP و MySQL وأي تطبيق يعمل على خادمك والذي يجب أن تقلق بشأنه. موقعك خالي من المخاطر فقط مثل أضعف عنوان url الخاص به. وهذا يتضمن جودة حزمة برامج مضيفك ، والقوالب والمكونات الإضافية التي تعمل عليها مواقع الإنترنت الخاصة بك.

أريد أن يكون لدي الكثير من أحدث الإحصائيات التي يمكنني تقديمها لك أيضًا. ومع ذلك ، فإن هذه المراجعة المقدمة كمخطط معلوماتي على مدونة WpWhiteSecurity توفر نظرة ثاقبة ممتازة حول كيفية اختراق مواقع WordPress على الإنترنت وما يمكن أن يجعلها عرضة للتأثر.

تم إجراء البحث بناءً على معلومات من 170.000 موقع ويب تم اختراقها في عام 2012. كان هناك تحسين بنسبة 18٪ في مجموعة الاختراقات المتنوعة من السنة التقويمية السابقة (2012) ، والتفاصيل المضحكة هي أن تنوع نقاط الضعف لم يثر بنفس النسبة بالضبط. ولكن حتى الزيادة الطفيفة في نقاط الضعف تؤثر على المزيد من مواقع الويب ، بسبب زيادة استخدام WordPress والبضائع التي تركز على WordPress.

  • 41٪ من ووردبريس الذي تم اختراقه تم اختراقه بواسطة ثغرة أمنية على نظام الاستضافة الخاص بهم.
  • 29٪ تم اختراقهم عن طريق صعوبة الاستقرار في سمة WordPress التي انتهوا من استخدامها.
  • تم اختراق 22٪ من خلال مشكلة حماية في مكونات WordPress الإضافية التي كانوا يستخدمونها.
  • تم اختراق 8٪ بشكل أساسي لأن لديهم كلمة مرور ضعيفة.
  • مما سبق ذكره ، يمكننا أن نستنتج أن أكثر من 51٪ من مواقع WordPress على الإنترنت التي تم اختراقها قد تم اختراقها عبر ثغرة أمنية في سمات WordPress أو المكونات الإضافية التي كانوا يعملون معها.

حدث جزء كبير محبط من الاختراقات بسبب وضع البرامج في نوع المكونات الإضافية والسمات وببساطة لأن مزودي خدمة استضافة الويب في جميع أنحاء العالم فشلوا في تعزيز الأمان على الخادم بشكل كافٍ.

لا يوجد أي مستوى في مناقشة خطوات حماية موقع الويب الخاص بك ، قبل تناول الخيارات الرائعة التي لديك في ظروف الحماية عندما تصل إلى استضافة الويب والسمات والمكونات الإضافية. وسأتحدث عن كيفية الحصول على برنامج ممتاز للمناسبات الثالثة واستضافة آمنة وسليمة لموقع الويب الخاص بك قبل أن أبدأ في التوصية ببعض خطوات الاستقرار لتعزيز أمان WP.

استنتاج

نادرًا ما تكون مواقع الويب الخاصة بـ WordPress ضعيفة بسبب الأخطاء في الكود الأساسي لتقنية إدارة المعلومات. لكن موقع الويب لا يعمل بشكل كامل على أساس تقنية إدارة المحتوى المكتوبة ، فهو يتطلب مضيفًا على الإنترنت لاستضافة CMS على شبكة الويب العالمية ، وموضوعات لجعله خياليًا ومكونات إضافية لإدخال الوظائف المطلوبة. يمكن أن يؤدي تضمين العديد من طبقات برامج التجميع الاجتماعي الثالث إلى إعداد WordPress الخاص بك إلى جعل ثباتك مساميًا بعض الشيء ، إذا لم يتم تحقيقه بشكل مناسب.

سيحتاج كل من WordPress الرئيسي والمكونات الإضافية والسمات ومضيف الشبكة إلى الاتصال للحفاظ على عمل صفحة الويب الخاصة بـ WordPress. هذه المحادثة أحيانًا بها عيوب ، وتجعل مواقع الويب عرضة للتأثر.

يمكن اختراق 8٪ من مواقع الويب بسبب ضعف كلمات المرور. استمر في ذلك ، يشير الحجم الهائل من الأدلة إلى أن إدخال مكونات إضافية / سمات مكتوبة بشكل رهيب أو مضيف إنترنت يعمل على برنامج قديم هو النتيجة الأساسية لنسبة ممتازة من جميع مواقع WordPress على الإنترنت التي تم اختراقها أو إغلاقها.

الآن بعد أن أدركنا بعض الوضوح فيما يتعلق بالخصائص التي تؤدي إلى ثغرات WordPress ، كعنصر من عناصر النشر اللاحق في سلسلة WP Stability ، سأركز على التدابير التي تحتاجها لتعزيز أمان WordPress الخاص بك.

يرجى مشاركة التفاصيل إذا سبق لك أن تعرضت لموقع WordPress الخاص بك للاختراق أو تعرض له لاعتداء DDOS. ربما سأحاول Aigars أو I معالجة المشكلة إذا كانت ضمن صلاحياتنا فقط. هتافات