أكثر 10 أخطاء أمنية في ووردبريس وكيفية تجنبها

10 أخطاء أمنية في ووردبريس

من السهل ارتكاب أخطاء أمان WordPress. يمكن أن تستند الأخطاء الأكثر شيوعًا في أمن WordPress الخاص بك إلى معلومات قديمة أو عدم معرفة أفضل ممارسات الأمن.

في حين أن WordPress نفسه آمن، لذا فإن تجنب أخطاء أمان WordPress يتطلب القليل من الجهد من مالكي المواقع. في هذا المنشور، سنغطي أهم 10 أخطاء أمنية في WordPress مع نصائح حول كيفية تجنبها.


1. اختيار استضافة سيئة

لا يتم إنشاء جميع استضافات الويب على قدم المساواة، واختيار استضافة ووردبريس على أساس السعر فقط قد يكلفك أكثر مما توقعت على المدى الطويل ليس فقط مع أخطاء أمان WordPress، ولكن في الكثير من الأمور الأخرى.

معظم بيئات الاستضافة المشتركة آمنة، لكن بعضها لا يفصل بين حسابات المستخدمين بشكل صحيح. إذا لم يتم فصل حسابات المستخدمين بشكل صحيح ، يمكن لحساب واحد تم اختراقه إزالة كل موقع ويب على هذا الخادم المشترك.

يجب أن يكون مضيفك يقظًا بشأن تطبيق أحدث تصحيحات الأمان واتباع أفضل ممارسات أمان الاستضافة المهمة الأخرى المتعلقة بأمان الخادم والملفات.؛ لذلك ننصحك باختيار مضيفًا حسن السمعة لموقع الويب الخاص بك مع سجل أمان قوي.


2. عدم وجود خطة نسخ احتياطي لـ WordPress

لا يبدو أن النسخ الاحتياطي والأمن مرتبطان حقًا. لكن ثق بنا، فوجود نسخة احتياطية من موقع WordPress الخاص بك بعد هجوم برامج فدية يمكن أن يوفر عليك الكثير.

هجوم برامج الفدية هو عندما يقوم أحد المتطفلين بتشفير ملفات موقع الويب الخاص بك ، مما يجعل الوصول إليها غير ممكن. و لتستطيع الوصول إلى موقع الويب الخاص بك ، تحتاج إلى مفتاح لفك تشفير الملفات، مقابل رسوم باهظة ، سيكون المخترق أكثر من سعيد لتقديم المفتاح لك.

يتيح لك الحصول على نسخة احتياطية من موقع WordPress الخاص بك استعادة موقع الويب الخاص بك إلى آخر نسخة ممكنة منه، وبذلك يمكنك استعادة الوصول إلى موقعك دون الحاجة إلى دفع أي شيء.

كيفية تجنب عدم وجود نسخة احتياطية لموقعك

قم بإنشاء جدول زمني لإجراء نسخ احتياطي لموقع الويب الخاص بك بانتظام. يمكنك الاستعانة بواحدة من إضافات النسخ الاحتياطي في ووردبريس للحصول على نسخ احتياطية بشكل دائم.


3. عمليات تسجيل الدخول الغير آمنة

يعد تسجيل الدخول إلى WordPress هو الجزء الأكثر هجومًا والأكثر ضعفًا في أي موقع WordPress. بشكل افتراضي، لا يوجد أي شيء مضمّن في الووردبريس للحد من عدد محاولات تسجيل الدخول الفاشلة التي يمكن لشخص ما القيام بها. يمكنهم الاستمرار في تجربة عدد لا نهائي من أسماء المستخدمين وكلمات المرور حتى تنجح.

تسجيل الدخول إلى WordPress يشبه إلى حد كبير الباب الأمامي لمنزلك. بدون قفل على بابك الأمامي، سيكون من السهل على أي شخص السير مباشرة إلى منزلك، والبدء في تحريك أثاثك، وتحطيم أغراضك، وسرقة التلفزيون. من المنطقي فقط إضافة قفل إلى الباب الأمامي الخاص بك لجعل من الصعب على اللص المحتمل اقتحام منزلك.

كيفية تجنب تسجيلات الدخول الغير آمنة

استخدم مكونًا إضافيًا للأمان في WordPress للحد من محاولات تسجيل الدخول غير الصالحة. تتتبع المكونات الإضافية المختصة في الأمان محاولات تسجيل الدخول غير الصحيحة التي يقوم بها المضيف أو عنوان IP واسم المستخدم. فبمجرد قيام IP أو اسم المستخدم بإجراء العديد من محاولات تسجيل الدخول غير الصالحة بشكل متتالي، سيتم حظرهم ومنعهم من إجراء أي محاولات أخرى.


4. لا توجد حماية ضد هجمات الروبوت الآلية

الروبوت هو جزء من برنامج تمت برمجته لأداء قائمة محددة من المهام. ينشئ المطورون مجموعة من الإرشادات التي سيتبعها الروبوت تلقائيًا دون أن يحتاج المطور إلى إخبارهم للبدء. ستؤدي البوتات مهام متكررة أسرع مما يستطيع الانسان فعله. تمت برمجة بعض هذه الروبوتات بدوافع خبيثة مثل:

  • تجوب روبوتات القوة الغاشمة الإنترنت بحثًا عن عمليات تسجيل دخول إلى WordPress لمهاجمتها.
  • تمت برمجة برامج اقتطاف المحتوى لتنزيل محتويات موقع الويب الخاص بك دون إذنك. يمكن أن يكرر الروبوت المحتوى لاستخدامه على موقع المهاجم لتحسين مُحسّنات محرّكات البحث وسرقة حركة المرور على موقعك.
  • يفسد السبامس تعليقاتك بوعود كأن تصبح مليونيراً أثناء العمل من المنزل على أمل إرسال زوار موقعك إلى مواقع ويب ضارة.

كيفية تجنب هجمات الروبوت الآلية

تجنب هذا الخطأ الأمني ​​في WordPress باستخدام الحماية الآلية للروبوت مثل Google reCAPTCHA على موقع الويب الخاص بك.


5. استخدام الإصدارات الضعيفة من المكونات الإضافية أو السمات أو نواة ووردبريس

تعد إضافات أو سمات WordPress غير المحدثة أكبر خطأ أمني في WordPress يمكنك القيام به. يعد الحفاظ على تحديث البرامج جزءًا أساسيًا من أي استراتيجية أمان، وهذا يشمل نواة WordPress وموضوعاتك ومكوناتك الإضافية.

لا تتعلق تحديثات الإصدار بإصلاحات الأخطاء والميزات الجديدة فقط. يمكن أن تتضمن التحديثات أيضًا تصحيحات أمان مهمة. أنت تترك هاتفك أو جهاز الكمبيوتر أو الخادم أو جهاز التوجيه أو موقع الويب عرضة للهجوم بدون هذا التصحيح.

يستهدف المخترقون الثغرات الأمنية المصححة لأنهم يعرفون أن الأشخاص لا يقومون بالتحديث (بما في ذلك المكونات الإضافية والسمات على موقع الويب الخاص بك). يعد الكشف علنًا عن نقاط الضعف في يوم تصحيحها معيارًا صناعيًا. بعد الكشف العلني عن الثغرة الأمنية، تصبح الثغرة "ثغرة أمنية معروفة" للإصدارات القديمة وغير المصححة من البرنامج. تعد البرامج ذات الثغرات الأمنية المعروفة هدفًا سهلًا للقراصنة.

 يحب المخترقون الأهداف السهلة. إن امتلاك برنامج قديم به نقاط ضعف معروفة يشبه إعطاء المتسلل إرشادات خطوة بخطوة لاقتحام موقع WordPress الخاص بك؛ لذلك يجب عليك أن تحافظ على تحديث جميع المكونات الإضافية والسمات الخاصة بك.


6. ضعف أمان المستخدم

يعد ضعف أمان المستخدم خطأ أمنيا كبيرًا في ووردبريس. ببساطة، يمكن لمستخدم مسؤول (admin) واحد أن يقوض جميع تدابير أمان مواقع الويب الأخرى التي وضعتها بسبب كلمة مرور ضعيفة. هذا هو السبب في أن أمان المستخدم هو جزء أساسي من أي استراتيجية أمان في WordPress.

وفقًا لتقرير تحقيقات Verizon في خرق البيانات، يعيد أكثر من 70٪ من الموظفين استخدام كلمات المرور في العمل. لكن الإحصائيات الأكثر أهمية من التقرير هي أن "81٪ من الانتهاكات المتعلقة بالقرصنة استفادت من كلمات المرور المسروقة أو الضعيفة".

في قائمة تم تجميعها بواسطة Splash Data، كانت كلمة المرور الأكثر شيوعًا المضمنة في جميع عمليات تفريغ البيانات هي 123456. تفريغ البيانات عبارة عن قاعدة بيانات مخترقة مليئة بكلمات مرور المستخدم الملقاة في مكان ما على الإنترنت. هل يمكنك تخيل عدد الأشخاص على موقع الويب الخاص بك الذين يستخدمون كلمة مرور ضعيفة إذا كانت 123456 هي كلمة المرور الأكثر شيوعًا في عمليات تفريغ البيانات؟

تتحسن أدوات الهاكر ، ويمكنها تجاوز كلمات المرور بشكل أسرع من أي وقت مضى. على سبيل المثال ، دعنا نلقي نظرة على مخطط تم إنشاؤه بواسطة Terahash ، وهي شركة عالية الأداء لاختراق كلمات المرور. يوضح الرسم البياني الخاص بهم الوقت الذي يستغرقه اختراق كلمة المرور باستخدام مجموعة تجزئة تبلغ 448x RTX 2080s.

ضعف أمان المستخدم

بشكل افتراضي، يستخدم الووردبريس MD5 لتجزئة كلمات مرور المستخدم المخزنة في قاعدة بيانات الووردبريس. لذلك، وفقًا لهذا الرسم البياني، يمكن لـ Terahash كسر كلمة مرور مكونة من 8 أحرف على الفور تقريبًا. هذا ليس فقط رائعًا ولكنه مخيف أيضًا.

ومما زاد الطين بلة، على الرغم من أن 91٪ من الأشخاص يعرفون أن إعادة استخدام كلمات المرور ممارسة سيئة، إلا أن 59٪ من الأشخاص لا يزالون يعيدون استخدام كلمات المرور الخاصة بهم في كل مكان! لا يزال العديد من هؤلاء الأشخاص يستخدمون كلمات مرور يعرفون أنها ظهرت في ملف تفريغ قاعدة البيانات.

كيفية تجنب ضعف أمان المستخدم

أفضل طريقة لتجنب هذا الخطأ الشائع هي إنشاء سياسة كلمة مرور قوية واستخدام المصادقة الثنائية (two-factor authentication). المصادقة الثنائية هي عملية للتحقق من هوية الشخص من خلال طلب طريقتين منفصلتين للتحقق. شاركت Google على مدونتها أن استخدام المصادقة الثنائية يمكن أن يوقف 100٪ من هجمات الروبوت الآلية.


7. اتصالات غير مشفرة (بدون SSL)

يعد عدم تشفير الاتصالات على موقع الويب الخاص بك خطأ أمنيًا خطيرًا في WordPress.

في أي وقت نقوم بعملية شراء عبر الإنترنت، يحدث الاتصال بين متصفحك والمتجر عبر الإنترنت. على سبيل المثال، عندما ندخل رقم بطاقة الائتمان الخاصة بنا في متصفحنا، سيقوم متصفحنا بمشاركة الرقم مع المتجر عبر الإنترنت. بعد أن يتلقى المتجر الدفعة ، فإنه يخبر متصفحك لإعلامك بأن عملية الشراء تمت بنجاح.

هناك شيء واحد يجب مراعاته بشأن المعلومات التي تتم مشاركتها بين المتصفح وخادم المتجر وهو أن المعلومات تتوقف عدة مرات أثناء النقل. إذا كان الاتصال غير مشفر، يمكن للمتسلل سرقة بطاقة الائتمان الخاصة بنا قبل أن تصل إلى الوجهة النهائية لخادم المتجر.

كيفية تجنب الاتصال الغير مشفر

ستحتاج إلى شهادة SSL لتشفير الاتصال على موقع الويب الخاص بك. تقدم Cloudflare شهادة SSL مشتركة مجانية لمواقع WordPress يمكنك البدء باستخدامها.


8. ضعف التسجيل ومراقبة النشاط

يعد ضعف التسجيل خطأ أمنيًا كبيرًا بما يكفي في WordPress لدرجة أنه وقع في قائمة OWASP للعشرة الأولى من مخاطر أمان تطبيقات الويب. يعد التسجيل جزءًا أساسيًا من استراتيجية أمان WordPress الخاصة بك. ستساعدك مراقبة السلوك الصحيح في تحديد الهجمات وإيقافها ، واكتشاف الاختراق ، والوصول إلى الضرر الذي لحق بموقعك على الويب وإصلاحه بعد هجوم ناجح.

يمكن أن يؤدي هذا الخطأ الأمني إلى تأخير اكتشاف خرق أمني. حيث تظهر معظم دراسات الاختراق أن الوقت اللازم لاكتشاف الاختراق يزيد عن 200 يوم! يسمح هذا المقدار من الوقت للمهاجم باختراق أنظمة أخرى أو تعديل أو سرقة أو إتلاف المزيد من البيانات.

كيفية تجنب ضعف التسجيل ومراقبة النشاط

أضف تسجيل الأمان إلى موقع الويب الخاص بك لتجنب هذا الخطأ الأمني. يمكنك استخدام بعض وظائف المطور وعوامل التصفية التي يوفرها WordPress لإنشاء نظام تسجيل، ولكن أسهل طريقة لبدء سجل الأمان هي تثبيت مكون إضافي للأمان في WordPress.


9. الإضافات والسمات الغير مستخدمة

يعد وجود مكونات إضافية وقوالب غير مستخدمة أو غير نشطة على موقع الويب الخاص بك خطأ أمنيا جسيما في WordPress. كل جزء من الكود على موقع الويب الخاص بك هو نقطة دخول محتملة للمتسلل.

من الشائع للمطورين استخدام كود الطرف الثالث - مثل مكتبات JS - في المكونات الإضافية والسمات الخاصة بهم. لسوء الحظ، إذا لم يتم صيانة المكتبات بشكل صحيح، فيمكنها إنشاء نقاط ضعف يمكن للمهاجمين الاستفادة منها لاختراق موقعك.

كيفية تجنب المكونات الإضافية والسمات

قم بإلغاء تثبيت وحذف أي إضافات أو قوالب ووردبريس غير نشطة أو غير ضرورية على موقع WordPress الخاص بك للحد من عدد نقاط الوصول والرمز القابل للتنفيذ على موقع الويب الخاص بك.

إذا لم يتلق مكون إضافي مثبت على موقع WordPress الخاص بك تحديثًا خلال ستة أشهر أو أكثر، فقم بحذفه على الفور أو استبدله بمصدر آخر محدث.


10. تثبيت البرامج من مصادر غير موثوق بها

يعد تثبيت البرامج من مصادر غير موثوقة من أسرع الطرق لتكافئ نفسك بخطأ أمني ساذج. يجب أن تكون حذرًا من إصدار "ملغى" للمكونات الإضافية التجارية. ففي كثير من الأحيان تحتوي هذه الإصدارات المجانية أو المخفضة للغاية على تعليمات برمجية ضارة.

كيفية تجنب البرامج ذات مصادر غير موثوقة

يجب عليك فقط تثبيت البرامج التي تحصل عليها من WordPress.org، أو المتاجر الإليكترونية التجارية المعروفة، أو مباشرة من المطورين ذوي السمعة الطيبة.

كما رأينا، هناك الكثير من الأخطاء الأمنية المحتملة في WordPress. لحسن الحظ، يمكن بسهولة تجنب جميع هذه الأخطاء الأمنية بجهد بسيط منا.