كيف الآمنة هي موقع وورد الخاص بك؟
واحدة من المشاكل الرئيسية مع التكنولوجيا هي الهفوات المتكررة في الأمن الذي نختبره ؛ يتم سرقة الكثير من المعلومات يوميًا واستخدامها في سرقة مزيد من المعلومات وإرسال رسائل غير مرغوب فيها وفتح النوافذ الخلفية إلى الأنظمة وأحيانًا تؤدي إلى تلف أجهزة الكمبيوتر لدينا.
لا شيء من هذه القضايا غير معروفة لـ WordPress ، فقد أصبح عددًا هائلاً من المواقع ضحايا للمجرمين غير المرغوبين الذين يستغلون المجتمع لتحقيق مكاسبهم الشخصية.
لكي نتمكن من التغلب على هذا التهديد قمنا بتجميع تقرير عن بعض الأدوات والنصائح الجيدة حول كيفية تجنب الوقوع ضحية أخرى. أو إذا كنت غير محظوظًا بما يكفي لأن تكون ضحية بالفعل ، كيف تقاوم التثبيت وتركيبه.
استغلال الهجمات
قد تكون سمعت عن ذلك ، قد تعرف حتى التفاصيل ، ولكن بالنسبة لأولئك الذين ليس لديهم مشكلة ، فالاستغلال هو جزء من شفرة خبيثة تم توزيعها لاستغلال نقطة ضعف في الكود الحالي.
TimThumb كان عرضة لهجوم من هذا النوع. واحدة من وظائفها ، والتي تتيح للمستخدمين تحميل الصور من مواقع مختلفة والوصول إليها بحرية ، الصور المخزنة في دليل ذاكرة التخزين المؤقت بحيث لا يكون Timthumb لإعادة معالجتها مرة أخرى. يمكن استغلال هذه الوظيفة من قبل أحد المخترقين الذي يقوم بتحميل الملفات إلى الخادم ، مما يسمح لهم بالوصول إلى أكبر عدد ممكن من الموارد من تثبيت WordPress كما يحلو لهم.
بالضبط نفس المشكلة تتأثر Uploadify ، وهو ملحق يسمح للمستخدمين بتحميل الملفات. عندما لا يتم التحكم بشكل صحيح في البرنامج المساعد يسمح للمتسللين بالدخول المجاني إلى الموقع عن طريق تحميل مخطوطات PHP لمنح أذونات الوصول.
صورة الصيانة عبر Shutterstock.
المشكلة في هذه الحالات ، كما هو الحال مع غالبية هجمات استغلال ، لم يكن وورد ولكن بدلا من الإضافات نفسها. الحل بسيط ، حافظ على تحديث المكونات الإضافية وأبلغ عن أي أخطاء واجهتك للمطورين لمساعدتهم على تصحيح المشكلات المحتملة.
حقن SQL
تركيب WordPress في حد ذاته ليس محصنا ضد المشاكل. اعتمادا على الإصدار ، يمكن أن يكون حقن SQL الصداع الرئيسي. حقن SQL هي عملية يسعى من خلالها مهاجم لتمرير شفرة SQL عبر نموذج موقع أو برنامج نصي على أمل أن يقوم كود SQL بتحليل "بشكل صحيح" واسترداد البيانات من قاعدة البيانات. قد تكون هذه البيانات عناوين بريد إلكتروني ، ولكن من المرجح أن تكون أسماء المستخدمين وكلمات المرور هي التي ستمنح المستخدم مزيدًا من إمكانية الوصول إلى هجمات أخرى.
السبب في أن هجمات SQL يمكن أن تكون مزعجة للغاية لدرجة أن محاربتك تحتاج إلى نسخ احتياطي لقاعدة بياناتك بشكل متكرر. ويفضل على الأقل مرة واحدة في اليوم.
صورة الصيانة عبر Shutterstock.
لتجنب ذلك ، يمكنك محاولة تأمين ملفاتك باستخدام Apache باستخدام رمز مثل هذا في ملف htaccess الخاص بك:
RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteRule ^(.*)$ - [F,L]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{QUERY_STRING} tag= [NC,OR]RewriteCond %{QUERY_STRING} ftp: [NC,OR]RewriteCond %{QUERY_STRING} http: [NC,OR]RewriteCond %{QUERY_STRING} https: [NC,OR]RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^(.*)$ - [F,L] هذا سيؤجل هواة ، ولكن هاكر المهنية سوف تجد حفرة أمنية أخرى لاستغلالها. لحسن الحظ ، يتم تنفيذ معظم الهجمات من قِبل نوّاب أو مرسلي الرسائل غير المرغوب فيها ، باستخدام نصوص برمجية مثل PHP r57 أو Shell. الحد من هذه الهجمات سيقلل إلى حد كبير من عدد المشاكل التي لديك للتعامل معها.
المستخدم الافتراضي
أكبر ثقب أمان في كل نظام هو المستخدم النهائي. لا يهم مدى تعقيد كلمة المرور التي تنشئها. في الواقع ، كلما كانت كلمة المرور أكثر تعقيدًا ، كانت المخاطر الأمنية أسوأ ؛ لأنه يجب حفظ كلمات المرور المعقدة في مكان ما. يقوم المستخدمون بحفظ كلمات المرور بشكل متكرر في ملفات .txt أو .doc على أجهزة الكمبيوتر الخاصة بهم ، مما يترك النظام مفتوحًا لهجمات التصيد باستخدام ملفات الفيروسات مثل أحصنة طروادة.
المكان الوحيد الآمن لتخزين كلمة المرور هو داخل رأسك.
ومع ذلك ، حتى لو لم تقم بتخزين كلمة المرور الخاصة بك إلا في ذاكرتك الخاصة ، فلا تزال غير آمن من هجمات القوة الغاشمة. سيحاول هجوم القوة الغاشمة ببساطة "تخمين" كلمة المرور الخاصة بك مع محاولات متكررة لتسجيل الدخول. قد يبدأ بـ "aaaaaa" ، ثم ينتقل إلى "aaaaab" وهكذا حتى يصل إلى "000000". لا تقتصر هذه العملية على جهاز كمبيوتر واحد ، وعادةً ما يتم تشغيل مئات الأجهزة من خلال كلمات مرور محتملة تبحث عن إمكانية الوصول.
تتمثل إحدى طرق معالجة هجمات القوة الغاشمة في تثبيت محدد تسجيل دخول سيسمح فقط بعدد قليل من محاولات تسجيل الدخول قبل حظر الوصول لهذا المستخدم لمدة ساعة تقريبًا. هذا يقلل من عدد الفرص التي يجب على المهاجم الوصول إليها. هناك العديد من المكونات الإضافية لبرنامج WordPress التي يمكنها مساعدتك في هذا: الحد من محاولات تسجيل الدخول ، أفضل WP الأمن و دخول الأمن الحل .
أخيرًا ، انتبه إلى أسماء المستخدمين. اسم المستخدم الافتراضي لـ WordPress هو "المسؤول" ، وإذا تركته على هذا النحو ، فأنت تخفض مقدار العمل الذي يجب أن يفعله الهاكر للوصول إلى موقعك. إذا لم تقم بتغيير اسم المستخدم الخاص بك أثناء قيامك بتثبيت WordPress ، فقم بذلك الآن. ما عليك سوى تسجيل الدخول إلى حسابك ، وإنشاء حساب جديد باسم المستخدم الذي تريده ، ومنحها أذونات المشرف ثم حذف حساب المشرف.
الوصول المباشر
هناك مشكلة أخرى قد تواجهها مواقع WordPress الخاصة بنا وهي توفير إمكانية الوصول المباشر إلى صفحة تسجيل الدخول ، مما يؤدي إلى تبسيط عملية اختراق موقعك.
في حين أن تأمين كلمات المرور الخاصة بك هو المشكلة الأكثر إلحاحًا ، لن يتمكن المستخدم الخبيث من استخدام أي شيء قاموا بسرقته إذا لم يتمكنوا من العثور على صفحة تسجيل الدخول. أبسط حل لهذا هو استخدام البرنامج المساعد مثل إخفاء تسجيل الدخول لإخفاء موقع صفحة تسجيل الدخول.
يمكن أيضًا الوصول إلى بعض الملفات في تثبيت WordPress الخاص بنا إذا لم يتم تأمينها بشكل صحيح. يمكننا إزالة هذه النهايات السائبة بإضافة بعض القواعد إلى ملف htaccess الخاص بنا ، مثل:
Options All -IndexesOrder allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all البادئة الافتراضية
يجب أن يكون واضحًا أنه كلما زادت المعلومات التي نقدمها لنا ، سيكون من الأسهل عليهم النجاح.
بادئة جدول WordPress الافتراضية هي "wp_". لماذا نريد أن نعطيهم ذلك؟ لنغير تلك البادئة إلى شيء يصعب تخمينه ، مثل "oijrr58_" على سبيل المثال ، ستجعل حياتهم أكثر صعوبة ، وتزيد من فرص بقاء موقعك آمنًا.
بالنسبة إلى عمليات التثبيت الجديدة ، فإن هذا لا يمثل أي تفكير لأن برنامج التثبيت يطلب منا إدخال بادئة. بالنسبة للمواقع الأقدم ، لديك خياران ، يمكنك إما إجراء التغيير يدويًا (فقط حاول ذلك إذا كان لديك الكثير من الوقت وتأكد من أنك تعرف ما تفعله) أو استخدم مكون إضافي مثل أفضل WP الأمن التي ستعتني بها من أجلك.
بعد فوات الأوان…
لم يفت الاوان بعد. يمكنك دائما مكافحة المتسللين ، وتمنع نفسك من أن تصبح ضحية دائمة.
إذا كنت غير متأكد مما إذا كان موقعك مصابًا ، فهناك أدوات تخبرك بذلك. سوكوري SiteCheck على سبيل المثال ، سيتم فحص موقعك ، وإذا كنت مصابًا ، فسننصحك بشأن الخطوات التي يجب اتخاذها لتصحيح المشكلة (المشكلات).
الإصلاحات الأساسية
فيما يلي بعض الخطوات الأساسية التي يجب اتخاذها:
- النسخ الاحتياطي للموقع وقواعد البيانات ، اخترق أم لا ، لا تريد أن تفقد المحتوى الخاص بك.
- قم بعمل نسخ من العناصر غير الموجودة في قاعدة البيانات الخاصة بك ، مثل الصور.
- قم بتنزيل أحدث إصدار من WordPress.
- تأكد من تحديث جميع المكونات الإضافية ، وتحقق من الإصدارات التي تحل المشكلات المعروفة.
- تأكد من تحديث أي قوالب ، وتحقق من الإصدارات التي تحل المشكلات المعروفة.
- استخدم عميل FTP أو cPanel لحذف كل شيء في دليل WordPress.
- قم بتحميل الملفات الجديدة التي قمت بتنزيلها.
- قم بتشغيل ترقية قاعدة البيانات.
- تغيير كلمة المرور الخاصة بك ، لا تريد السماح للمتسللين مرة أخرى مباشرة.
- أخيرًا ، تحقق من كل رسالة ، مع تصحيح أي ضرر تم إجراؤه.
القتال سكريبت r57
r57 هو برنامج PHP الذي يعطي المهاجم مجموعة واسعة من القدرات ، على الرغم من أن المهاجم لديه هذه الإمكانيات ، لن تعمل هذه حتى يتم وضع shell على خادم الويب الخاص بنا ، وبالتالي يمكننا منعه من العمل باستخدام الأوامر التالية:
find /var/www/ -name "*".php -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqسيبحث هذا الأمر عن ملفات PHP الموجودة في مجلد WWW الخاص بك ، ثم في داخل الملفات التي تم العثور عليها سوف يبحث عن أي ذكر لـ r57 في اسم الملف ومحتوياته. ثم يقوم بحذف الملف (الملفات) المصابة.
find /var/www/ -name "*".txt -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqهذا الرمز يفعل نفس الشيء ، باستثناء ملفات TXT بدلاً من ملفات .php.
لاحظ أن هذه الرموز هي لـ Linux ، ولا تجربها على Windows أو MacOS وكن على دراية بأنها قد تكون مدمرة للغاية لأنها ستحذف الملفات دون طلب الإذن.
كود غامض
أحد الأسباب الرئيسية للقلق في إطار المواضيع هو رمز غامض ، لأن التعليمة البرمجية الخبيثة تميل إلى أن تجد صعوبة أكبر في الموضوعات. يمكن أن يتم كل أنواع الضرر ، من إعادة توجيه المستخدمين إلى مواقع أخرى ، إلى غرق SEO الخاص بك.
سلاح رئيسي في مكافحة هذا النوع من المشاكل مدقق أصالة الموضوع . لن يقوم هذا المكون الإضافي بفحص الكود للخطوط المشبوهة فقط ، بل سيكشف عن الروابط الثابتة والشفرة المظلمة مثل الشفرة التي تم إنشاؤها في base64 والتي يصعب رؤيتها بالعين.
خدعني مرة ، عار عليك ...
فقط لأنك وقعت في الماضي ، لا يعني أن عليك الاستمرار في اللعب.
فكر في اتخاذ هذه الخطوات لتأمين نفسك أكثر:
- لا تسمح سوى بـ PHP حيث تكون ضرورية للغاية.
- تأكد من أن خادم الويب الخاص بك لا يسمح للعملاء بتعديل ملف .htacess.
- قم بتطبيق جدار حماية يقيّد البريد الصادر في المنفذ 25 إلى جذر معرف خادم البريد الإلكتروني.
- راقب التحميلات إلى موقعك باستخدام تطبيق مثل الماسح الضوئي eXploit ConfigServer .
أخيرا
يعد أمان WordPress بنفس أهمية أمان أي موقع. يجب التأكد من حماية كل من المستخدمين والمستخدمين من الهجمات غير المرغوب فيها والبرامج الضارة وهجمات التصيّد الاحتيالي. ولكن تذكر أن خط الدفاع الأول هو في الواقع برنامج مكافحة الفيروسات على جهاز سطح المكتب.
هل واجهت مشاكل في أمان WordPress؟ كيف حلت المشكلة؟ اسمحوا لنا أن نعرف في التعليقات.
مكتوبة حصريا ل WDD من The Shock Family: فريق من المتخصصين في الويب ومبدعي وورد المواضيع صدمة (موضوعات ووردية مميزة) ، الفسفور الابيض موضوع مولد (كبير الخالق موضوع الفسفور الابيض) ، و DesignShock seful design sets). (ش مجموعات تصميم seful).