تم إطلاق WordPress في الأصل كنظام أساسي للتدوين والذي أصبح فيما بعد حل الويب الكامل كما هو اليوم ، لمتاجر التجارة الإلكترونية والمدونات والأخبار والتطبيقات على مستوى المؤسسة. جلب هذا التطور في WordPress العديد من التغييرات إلى جوهرها وجعلها أكثر استقرارًا وأمانًا من إصداراتها السابقة.


لأن WordPress هو نظام أساسي مفتوح المصدر مما يعني أنه يمكن لأي شخص المساهمة في وظائفه الأساسية. أفادت هذه المرونة كلاً من المطورين الذين طوروا المظاهر والمكونات الإضافية والمستخدم النهائي الذي يستخدمهم لإضافة وظائف إلى مواقع WordPress الخاصة بهم.

معظم نقاط الضعف الشائعة في WordPress (وكيفية إصلاحها)

ومع ذلك ، فإن هذا الانفتاح يثير بعض الأسئلة الجادة المتعلقة بأمن النظام الأساسي والتي لا يمكن تجاهلها. هذا ليس عيبًا في النظام نفسه بل الهيكل الذي بني عليه والنظر في مدى أهمية ذلك ، يعمل فريق أمان WordPress ليلًا ونهارًا للحفاظ على أمان النظام الأساسي للمستخدمين النهائيين.

بعد أن قلت أنه كمستخدم نهائي ، لا يمكننا ببساطة الاعتماد على آلية الأمان الافتراضية الخاصة به لأننا نقوم بالكثير من التغييرات عن طريق تثبيت العديد من الإضافات والموضوعات على موقع WordPress الخاص بنا والتي يمكن أن تخلق ثغرات ليتم استغلالها من قبل المتسللين.

في هذه المقالة ، سوف نستكشف مختلف نقاط الضعف الأمنية في WordPress وسوف نتعلم كيفية تجنبها وإصلاحها لتظل آمنة!

نقاط الضعف في WordPress & قضايا الأمن

سنرى كل قضية وحلها واحدا تلو الآخر.

  1. هجوم القوة الغاشمة
  2. حقن SQL
  3. البرامج الضارة
  4. عبر موقع البرمجة
  5. هجوم DDoS
  6. إصدارات WordPress و PHP القديمة

1. هجوم القوة الغاشمة

في ولاية ليمان, هجوم القوة الغاشمة ينطوي على نهج المحاولة والخطأ المتعدد باستخدام المئات من التركيبة لتخمين اسم المستخدم أو كلمة المرور الصحيحة. يتم ذلك باستخدام خوارزميات وقواميس قوية تخمن كلمة المرور باستخدام نوع من السياق.

يصعب تنفيذ هذا النوع من الهجمات ولكنه لا يزال أحد الهجمات الشائعة التي يتم تنفيذها على مواقع WordPress. افتراضيًا ، لا يمنع WordPress المستخدم من تجربة محاولات فاشلة متعددة تسمح للبشر أو الروبوت بتجربة آلاف المجموعات في الثانية.

كيفية منع وإصلاح هجمات القوة الغاشمة

تجنب القوة الغاشمة أمر بسيط إلى حد ما. كل ما عليك فعله هو إنشاء كلمة مرور قوية تتضمن أحرفًا كبيرة وحروفًا صغيرة وأرقامًا وأحرفًا خاصة حيث أن لكل حرف قيم ASCII مختلفة وسيكون من الصعب تخمين كلمة مرور طويلة ومعقدة. تجنب استخدام كلمة مرور مثل johnny123 أو whatsmypassword.

قم أيضًا بدمج مصادقة عاملين لمصادقة المستخدمين الذين يقومون بتسجيل الدخول إلى موقعك مرتين. Two Factor Authentication هو مكون إضافي رائع للاستخدام.

2. حقن SQL

واحدة من أقدم القرصنة في كتاب القرصنة على شبكة الإنترنت حقن استعلامات SQL لتفعيل قاعدة البيانات أو تدميرها بالكامل باستخدام أي نموذج ويب أو حقل إدخال.

بعد الاختراق الناجح ، يمكن للمتسلل معالجة قاعدة بيانات MySQL وربما الوصول إلى مسؤول WordPress الخاص بك أو ببساطة تغيير بيانات اعتماده لمزيد من الضرر. عادة ما يتم تنفيذ هذا الهجوم من قبل الهواة للقراصنة المتواضعين الذين يختبرون في الغالب قدرات القرصنة الخاصة بهم.

كيفية منع وإصلاح حقن SQL

باستخدام مكون إضافي يمكنك تحديد ما إذا كان موقعك ضحية لـ SQL Injection أم لا. يمكنك استخدام WPScan أو Sucuri SiteCheck للتحقق من ذلك.

أيضًا ، قم بتحديث WordPress الخاص بك بالإضافة إلى أي موضوع أو مكون إضافي تعتقد أنه يمكن أن يسبب مشاكل. تحقق من وثائقهم وقم بزيارة منتديات الدعم الخاصة بهم للإبلاغ عن مثل هذه المشكلات حتى يتمكنوا من تطوير التصحيح.

3. البرامج الضارة

كود خبيث يتم حقنه في WordPress من خلال سمة مصابة أو مكون إضافي قديم أو نص برمجي. يمكن لهذا الرمز استخراج البيانات من موقعك وكذلك إدراج محتوى ضار قد لا يلاحظه أحد بسبب طبيعته السرية.

يمكن أن تتسبب البرامج الضارة في حدوث أضرار خفيفة إلى خطيرة إذا لم يتم التعامل معها في الوقت المحدد. في بعض الأحيان يحتاج موقع WordPress بالكامل إلى إعادة تثبيت لأنه قد أثر على القلب. يمكن أن يؤدي ذلك أيضًا إلى إضافة تكلفة إلى نفقات الاستضافة حيث يتم نقل كمية كبيرة من البيانات أو تتم استضافتها باستخدام موقعك.

كيفية منع البرامج الضارة وإصلاحها

عادة ، تشق البرامج الضارة طريقها من خلال المكونات الإضافية المصابة والموضوعات الخالية. يوصى بتنزيل السمات فقط من الموارد الموثوقة الخالية من المحتوى الضار.

يمكن استخدام المكونات الإضافية للأمان مثل Succuri أو WordFence لتشغيل فحص كامل وإصلاح البرامج الضارة. في أسوأ الحالات ، استشر خبير WordPress.

4. البرمجة النصية عبر المواقع

واحدة من أكثر الهجمات شيوعا تُعرف البرمجة النصية عبر المواقع أيضًا باسم هجوم XSS. في هذا النوع من الهجمات ، يقوم المهاجم بتحميل كود JavaScript ضار والذي عند تحميله من جانب العميل يبدأ في جمع البيانات وربما إعادة التوجيه إلى مواقع ضارة أخرى تؤثر على تجربة المستخدم.

كيفية منع البرامج النصية عبر المواقع وإصلاحها

لتجنب هذا النوع من الهجوم ، يستخدم التحقق الصحيح من البيانات عبر موقع WordPress. استخدم تعقيم المخرجات لضمان إدخال النوع الصحيح من البيانات. يمكن أيضًا استخدام المكونات الإضافية مثل Prevent XSS Vulnerability.

5. هجوم DDoS

قد يكون أي شخص قام بتصفح الشبكة أو يدير موقعًا على شبكة الإنترنت قد تعرض لهجوم DDoS سيئ السمعة. رفض الخدمة الموزع (DDoS) هو الإصدار المحسن من رفض الخدمة (DoS) حيث يتم إجراء عدد كبير من الطلبات على خادم الويب مما يجعله بطيئًا ويتعطل في النهاية.

يتم تنفيذ DDoS باستخدام مصدر واحد بينما يعد DDoS هجومًا منظمًا يتم تنفيذه عبر أجهزة متعددة في جميع أنحاء العالم. كل عام يتم إهدار ملايين الدولارات بسبب هذا الهجوم السيئ السمعة على الويب.

كيفية منع وإصلاح هجمات DDoS

من الصعب منع هجمات DDoS باستخدام التقنيات التقليدية. يلعب مضيفو الويب دورًا مهمًا في حماية موقع WordPress الخاص بك من مثل هذه الهجمات. على سبيل المثال ، يدير موفر الاستضافة السحابية المُدار بواسطة Cloudways أمان الخادم ويبلغ عن أي شيء مريب قبل أن يتسبب في أي أضرار لموقع الويب الخاص بالعميل.

وورد عفا عليها الزمن & إصدارات PHP

إصدارات وورد قديمة أكثر عرضة للتأثر بتهديد أمني. بمرور الوقت ، يجد المخترقون طريقهم لاستغلال جوهره وتنفيذ الهجوم في نهاية المطاف على المواقع التي لا تزال تستخدم إصدارات قديمة.

للسبب نفسه ، يطلق فريق WordPress تصحيحات وإصدارات أحدث مع آليات أمان محدثة. ادارة الإصدارات القديمة من PHP يمكن أن يسبب مشاكل عدم التوافق. نظرًا لأن WordPress يعمل على PHP ، فإنه يتطلب إصدارًا محدثًا للعمل بشكل صحيح.

وفقًا لإحصاءات WordPress الرسمية ، لا يزال 42.6 ٪ من المستخدمين يستخدمون إصدارات قديمة مختلفة من WordPress.

احصائيات نسخة وورد

في حين أن 2.3٪ فقط من مواقع WordPress تعمل على أحدث إصدار PHP 7.2.

احصائيات نسخة بي

كيفية منع وإصلاح وورد قديمة & إصدارات PHP

هذا واحد سهل يجب عليك دائمًا تحديث تثبيت WordPress الخاص بك إلى أحدث إصدار. تأكد دائمًا من استخدام أحدث إصدار (تذكر دائمًا إجراء نسخة احتياطية قبل الترقية). بالنسبة لترقية PHP ، بمجرد اختبار موقع WordPress الخاص بك للتوافق ، يمكنك تغيير إصدار PHP.

افكار اخيرة!

لقد تعرفنا على العديد من نقاط الضعف في WordPress وحلولها الممكنة. تجدر الإشارة إلى أن التحديث يلعب دورًا أساسيًا في الحفاظ على أمان WordPress كما هو. وعندما تلاحظ أي نشاط غير معتاد ، ركز على أصابع قدميك وابدأ الحفر حتى تجد المشكلة لأن مخاطر الأمان هذه يمكن أن تسبب أضرارًا بآلاف الدولارات.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me