قم بحماية موقع WordPress الخاص بك باستخدام جدار حماية موقع الويب

نشرت: 2020-08-25
Protect Your WordPress Site With a Website Firewall

جعلت الشعبية الهائلة لـ WordPress منه هدفًا هائلاً للمجرمين والمتسللين الذين يحاولون استغلال موقع WordPress الخاص بك لتحقيق ربح سريع. يمكن أن يكون مجرد أطفال نصوص يتطلعون إلى تسجيل بعض مصداقية الإنترنت مع أقرانهم من خلال تشويه موقعك للركلات. بغض النظر عن كيفية حدوث ذلك ، فإن أي شكل من أشكال المساومة على الموقع سيؤدي إلى فقدان كبير للثقة مع عملائك ويمكن أن يشير بسهولة إلى نهاية علامتك التجارية.

وبالتالي ، فإن حماية موقع الويب الخاص بك وعملائك وعلامتك التجارية هي أولوية أساسية عندما تنشر مثيل WordPress. لسوء الحظ ، طور المتسللون أدوات وتقنيات معقدة لاستغلال WordPress وتدمير ما قمت بإنشائه. الطريقة الوحيدة للبقاء في المقدمة هي فهم كيفية استهداف موقع WordPress الخاص بك وكيفية الحماية من تلك التهديدات.

في هذه المقالة ، سنلقي نظرة على جميع الطرق التي يمكن للقراصنة من خلالها الاستفادة من الطرق التي يتواصل بها موقع WordPress الخاص بك مع الإنترنت والدفاعات التي يمكنك إنشاؤها لإيقافهم قبل أن يتسببوا في أي ضرر.

تصفية البتات والبايت - جدار حماية شبكة

يعد إرسال البيانات عبر الإنترنت عملية معقدة بشكل مدهش. هناك العديد من "الطبقات" من طبقة الأجهزة في الجزء السفلي والتي تحدد البنية التحتية المادية إلى عدة طبقات برامج أعلاه ، كل منها يعتمد على الطبقات الموجودة أدناه. الطبقات التي تهمنا في هذا القسم هي طبقات المضيف إلى المضيف. في هذه الطبقات ، يتم تقسيم البيانات ، مثل الصورة التي ترسلها إلى صديق ، إلى أجزاء صغيرة تسمى الحزم. يتم توجيهها عبر الإنترنت منك (المصدر) إلى صديقك (الوجهة) حيث يتم إعادة تجميعها في الصورة الأصلية التي أرسلتها.

تتميز حزم البيانات هذه بعدة خصائص تشمل:

  • البروتوكول - على سبيل المثال ، TCP ، UDP ، ICMP والمزيد
  • المنفذ - على سبيل المثال ، الويب 80/443 ، البريد الإلكتروني 110/25
  • عناوين IP - عناوين IP للمصدر والوجهة لأجهزة الكمبيوتر التي ترسل الحزم وتستقبلها

يوجد جدار حماية للشبكة بين واجهة الشبكة ونظام التشغيل ويفحص كل حزمة عند وصولها إلى الخادم. سيسمح أو يرفض حزمة للمتابعة إلى نظام التشغيل بناءً على مجموعة من قواعد السماح والحظر. يتم تجاهل الحزم إذا كانت تنتهك أيًا من قواعد جدار الحماية.

يعد جدار حماية الشبكة جزءًا لا غنى عنه من الخادم وتثبيت WordPress لأنه يحظر أي اتصال غير مصرح به مع العمليات التي تستمع بطريق الخطأ أو عن عمد لحركة المرور الضارة. يجب أن تتوافق حركة المرور الوحيدة المسموح بها من خلال نظام التشغيل وما بعده إلى WordPress مع القواعد الصارمة التي يفرضها جدار الحماية.

يعد جدار حماية الشبكة المكون بشكل صحيح جزءًا قياسيًا من كل خادم متصل بالإنترنت. لسوء الحظ ، هذا لا يعني أنه من السهل تثبيتها وإدارتها. في الواقع ، إذا كان لديك حق الوصول إلى مثيل WordPress الخاص بك فقط ، فمن المستحيل القيام بإدارة جدار الحماية بشكل صحيح لأن جدار الحماية الفعال لن يكون متاحًا من داخل WordPress.

تصفية طلبات الويب - جدار حماية تطبيقات الويب

قام المتسللون بتوسيع ترسانتهم باستخدام طريقة معقدة للهجوم على الشبكة حيث يقومون بصنع طلبات الويب الضارة لمهاجمة موقع WordPress الخاص بك. لن تنتهك طلبات الويب هذه أيًا من قواعد جدار حماية الشبكة ، لذا سيسمح لهم بالتفاعل مع موقع WordPress الخاص بك حيث يمكن أن يتسببوا في ضرر جسيم.

لفهم كيفية عمل طلب الويب الضار ، فكر أولاً في كيفية زيادة تعقيد طلبات الويب على مر السنين. قبل تقنيات الويب النشطة مثل PHP ، كان طلب الويب بسيطًا جدًا ويبدو كالتالي:

 http://www.example.com/index.php

ينقسم هذا الطلب إلى أجزاء على النحو التالي:

  • http:// - الطلب يستخدم بروتوكول HTTP.
  • www.example.com - اسم المضيف الذي يتحول إلى عنوان IP لخادم الويب.
  • index.php - الملف المطلوب.

كما ترى ، فإن هذا الطلب مباشر جدًا. عندما تريد تأمين موقع ويب ، قمت ببساطة بإنشاء قائمة حظر من الملفات التي كانت خاصة حتى يرفض خادم الويب تقديمها. لم يكن هناك الكثير لها.

نظرًا لأن تقنية مواقع الويب أصبحت أكثر تعقيدًا ، فقد زادت أيضًا فرص استغلال هذه التعقيدات.

يُعرف أحد الأمثلة على مثل هذا الطلب الضار باسم هجوم حقن SQL. يحاول هذا النوع من الهجوم قراءة المعلومات الحساسة من قاعدة بيانات WordPress أو تعديلها. يقوم بذلك عن طريق صياغة طلب ويب لتشغيل نص PHP ، وإذا لم تتم كتابة السكريب للتحقق من مدخلاته ، فسيسمح للمهاجم بالقراءة أو الكتابة إلى قاعدة بيانات WordPress.

دعنا نلقي نظرة على طلب ويب بسيط لهجوم حقن SQL. على سبيل المثال ، تخيل أن لديك نموذج تسجيل دخول تم إرساله إلى متصفح العملاء. عند ملء النموذج ، يتم إرسال طلب ويب مرة أخرى إلى الخادم الذي يحتوي على اسم مستخدم الحساب الذي قاموا بإدخاله. في طلب المثال هذا ، معرف اسم المستخدم هو JohnSmith والذي يقدم لنا طلب ويب يبدو كالتالي:

 http://www.example.com/accountView?id=JohnSmith

إذا كان نص PHP على الخادم يأخذ هذا الإدخال ولم يتحقق من صلاحيته ، فقد يؤدي ذلك إلى مشاكل خطيرة. على سبيل المثال ، قد يحاول المخترق إرسال عنوان URL التالي المشوه والذي لا يحتوي على معرف على الإطلاق ، على سبيل المثال:

 http://www.example.com/app/accountView? لها أهمية خاصة في SQL ، لغة قواعد البيانات. قد يتسبب ذلك في قيام نص برمجي مكتوب بشكل سيئ بإرسال قائمة كاملة بقاعدة بيانات العملاء ربما تتضمن كلمات مرور ومعلومات حساسة أخرى. من الواضح أن هذه كارثة.


إذن كيف تحمي نفسك من هذه الأشكال من الهجوم؟


هذا هو المكان الذي يأتي فيه جدار حماية تطبيقات الويب (WAF). يتم وضع WAF بين الإنترنت و WordPress ويفحص كل طلب ويب عند وصوله إلى الخادم. إذا عثر على أي طلب مشوه ، مثل الطلب أعلاه ، أو ينتهك قائمة القواعد الخاصة به ، فسيحظر هذا الطلب من إرساله إلى WordPress الخاص بك. يتغلب WAF بشكل فعال على فئات كاملة من أخطاء البرمجة الشائعة التي يمكنها بسهولة اختراق موقع WordPress الذي قد يتطلب بخلاف ذلك فحص كل ملف PHP على موقعك.
		




من الواضح أن هذا ليس سوى مثال واحد على طلب خبيث من مجموعة ضخمة وسريعة التطور من الإمكانات. هذا يجعل WAF الفعال حقًا تحديًا مستمرًا لإضافة القواعد التي تواكب المتسللين. تمامًا مثل جدار حماية الشبكة ، يعد WAF اقتراحًا صعبًا تقنيًا للإعداد والأهم من ذلك الحفاظ عليه.


إيقاف الروبوتات - حماية القوة الوحشية و reCAPTCHA


تتمثل الطبقة الأخيرة من دفاع الشبكة الفعال في إيقاف الهجمات الآلية ضد صفحة تسجيل الدخول إلى لوحة إدارة WordPress الخاصة بك. يتم إطلاق هذه الهجمات من خلال برامج تسمى عادةً "برامج الروبوت" مأخوذة من كلمة robot. يستخدم المتسللون الروبوتات لأنهم يعملون بلا كلل وبأعداد ضخمة لشن هجمات منسقة.
		




الطريقة الأكثر شيوعًا للهجوم هي استهداف صفحة تسجيل الدخول بهجوم القوة الغاشمة. يحاول هذا تخمين أسماء المستخدمين وكلمات المرور حتى يتمكنوا من تسجيل الدخول إلى موقع WordPress الخاص بك.


يعمل هجوم bruteforce من خلال تجربة العديد من مجموعات أسماء المستخدمين وكلمات المرور المختلفة. عادةً ما تكون هذه مجموعات من أسماء المستخدمين الأكثر شيوعًا مثل admin أو root بالإضافة إلى كلمات المرور الأكثر شيوعًا مثل "123456". سيبدأ هجوم bruteforce بإرسال مجموعات اسم المستخدم وكلمة المرور التالية:


    

  • المشرف: 123456
    • 

  • المشرف: passw0rd
    • 

  • المشرف: اسمحوا لي
    • 

  • المشرف: qwerty
    • 

  • الجذر: 123456
    • 

  • الجذر: passw0rd
    • 

  • الجذر: Letmein
    • 

  • الجذر: qwerty
    • 



واستمر من هناك في تجربة مجموعات أقل شيوعًا.
		




سيحاول الروبوت بضع مئات إلى عدة آلاف اعتمادًا على كيفية تكوينه. ستلاحظ حماية bruteforce جميع عمليات تسجيل الدخول الفاشلة ثم تحظر أي طلبات أخرى قادمة من عناوين IP التي ترسل طلبات تسجيل الدخول الزائفة. هذه حماية أساسية من مستخدمي WordPress غالبًا ما يختارون كلمات مرور أضعف عندما يُسمح لهم باختيار كلمات المرور الخاصة بهم.


هجمات Bruteforce ليست الاستخدام الوحيد للروبوتات. يتم توظيفهم أيضًا لفحص موقعك بحثًا عن نقاط الضعف أو كشف الملفات الحساسة أو المكونات الإضافية والسمات التي يمكن اختراقها.


يمكن إيقاف هذه الروبوتات في مسارها عن طريق أداة إساءة استخدام إعلانات مكافحة الاحتيال المتوافقة مع معايير الصناعة من Google والتي تسمى reCAPTCHA. تقوم reCAPTCHA تلقائيًا بفرز البشر من الروبوتات الخبيثة مما يسمح للبشر بزيارة موقعك وإبعاد الروبوتات. يحدث هذا عادةً بشكل غير مرئي وسهل للمستخدم البشري بينما يستحيل على الروبوت الوصول إلى موقع الويب الخاص بك حيث سيبذل قصارى جهده لاقتحام الموقع.
		




لكن كيف أفعل كل هذا؟


إذا لم يكن لديك الوقت أو المعرفة التقنية المتخصصة أو الميزانية لتكوين وصيانة جدار حماية للشبكة و WAF و bruteforce detector و reCAPTCHA ، فعليك ترك الأمر للخبراء مثل Rocket. Rocket هو مزود استضافة مُدار يحصل على أمان WordPress. قم بتضمين جميع أدوات الأمان الأساسية هذه كمعيار في كل تثبيت WordPress.


كل ما عليك فعله هو التسجيل ، وتشغيل موقع WordPress والبدء في الإنشاء بعد ثوانٍ قليلة.


أو تحقق من كيفية إعداد المصادقة بدون كلمة مرور في WordPress