• حماية الووردبريس
  • اختراق أكثر من 9 ألاف موقع ووردبريس، المشكلة في النظام أم في المستخدم ؟

نشر موقع [سجل الدخول لترى الرابط]المهتم بتقارير الثغرات الأمنية التي تصيب مواقع الإنترنت بشكل عام، ومواقع ووردبريس بشكل خاص، نشر تقريراً يحتوي أكثر من 9 ألاف موقع مصاب بثغرة جديدة استغلها المخربون في إضافات وقوالب الووردبريس. 

قام فريق عمل إضافة sucuri الشهيرة المتخصصة في تأمين وحماية المواقع المبنية باستخدام ووردبريس بنشر تقرير شامل حول الثغرة الجديدة التي استهدفت الكثير من مواقع ووردبريس، وخصوصا تلك التي لا يراعي أصحابها عوامل التأمين والحماية، وتوصل فريق الإضافة إلى التعرف على الملفات التي تم استهدافها وزرع الاكواد البرمجية الخبيثة داخلها. 

في هذه المشاركة سأطلعك على الطريقة التي استخدمها المخربون لإطلاق هذه الحملة الخبيثة على الكثير من مواقع ووردبريس، كذلك سنناقش بعض النصائح الأمنية الهامة لحماية مواقعك من مثل تلك الاختراقات الأمنية. 

ما الهدف من إطلاق الثغرة؟ 

الهدف الأساسي من هذه الثغرة التي نتحدث عنها هو إنشاء عمليات إعادة توجيه لزوار المواقع إلى مواقع أخرى تابعة للمخربين بهدف عرض الإعلانات أمام الزوار بطريقة غير شرعية، وربما إعادة التوجيه مرة أخرى إلى مواقع أخرى بهدف تعبئة نماذج البيانات أو الاتصال بأرقام غير رسمية ومن ثم سرقة أرصدة المستخدمين. 

من خلال أداة الإطلاع على تقرير المواقع التي تأثرت بهذا الإختراق قمت باستخدام بعض أدوات التحقق من عمليات الإختراق مثل أداة [سجل الدخول لترى الرابط]والتي ألصقت بها احد روابط تلك المواقع وكانت النتيجة كما يظهر بالصورة:

كما يشير السهم في الصورة إلى الموقع الذي استخدمه المخربون ( أو لأكون دقيقا أحد المواقع)، لتنفيذ عملية زرع الأكواد الخبيثة داخل ملفات القوالب والإضافات في مواقع الووردبريس التي تم اختراقها. 

ما هي الملفات التي استهدفها القراصنة لتنفيذ الهجوم؟

الووردبريس لا يختلف عليه أثنان من ناحية درجة الحماية والتأمين المتوفرة به بشكل افتراضي، لكن المشكلة تأتي من المرحلة التي يقوم فيها صاحب الموقع بتنصيب القوالب والإضافات والتعديل على الموقع بطريقة ربما تفتح المجال للكثير من المخربين للدخول إلى ملفات الموقع بطريقة أو بأخرى. 

من الملفات التي تم استهدافها لزرع الأكواد الخبيثة الملف الخاص باستدعاء أكواد أحد مكتبات لغة Javascript وهي مكتبة Jquery الشهيرة : ./wp-includes/js/jquery/jquery.min.js 

أيضا الملف ./wp-includes/js/jquery/jquery-migrate.min.js كان أحد الملفات التي تم زرع الأكواد الخاصة بإعادة التوجيه إلى مواقع القراصنة داخلها. 

قام فريق التأمين الخاص بإضافة Secuiri بالإعلان عن الكود البرمجي الذي استخدمه القراصنة في هذه الثغرة، وهو الكود المسؤل عن عملية الحقن Injection الخاصة بحقن الأكواد الخبيثة التي تقوم بدورها بإنشاء عمليات إعادة توجيه إلى المواقع المقصودة:

نلاحظ أن القراصنة يستخدمون ملفات مستضافة على مواقع خاصة بهم مثل الموقع المشار إليه ( أنصح بعدم زيارة الموقع أو أي موقع مستخدم في هذه الثغرة)، وذلك من أجل زرع أكواد خبيثة منها مباشرة إلى مواقع الضحية لتنفيذ أغراضهم. 

بالنظر إلى تقرير (التهديدات الأمنية لمواقع ووردبريس) الصادر على فريق إضافة Secuiri، نجد أن أغلب التهديدات الأمنية تقوم باستهداف الثغرات المتواجدة في الإضافات المشغلة على الموقع، وجاء ترتيب الإضافات من ناحية نسبة محاولات الاختراقات التي استخدمها المخربون للدخول إلى مواقع الووردبريس المخترقة:

هذا يعني أن الحفاظ على تحديث إضافات الموقع وكذلك القوالب المستخدمة أصبح أمر ضروري للغاية ولا يجب الإهمال في تنصيب التحديثات الخاصة بموقعك بصورة مستمرة، وذلك للبقاء في أمان بعيدا عن تلك الثغرات  الخبيثة.

هل المشكلة في الووردبريس أم في مدير الموقع؟

لا يمكننا اتهام ووردبريس كنظام برمجي وذلك لأن الثغرات التي تحدث تستهدف ملفات الإضافات والقوالب التي يقوم القراصنة باستهدافها بشكل مباشرة لزرع الأكواد البرمجية. 

مدير الموقع كذلك لا يمكن توجيه المسؤولية كاملة له في كل الأحيان، وذلك لأنه قد يقوم بتنصيب إضافة وبعد فترة يكتشف المخربون بها احد الثغرات التي تساعدهم على العبث يالموقع بطريقة أو بأخرى، وإن كانت تلك المحاولات تكون ضعيفة للغاية إذا كان هناك اهتمام بتحديث قوالب والإضافات الموقع بشكل مستمر. 

الحصول على القوالب والإضافات من مصادرها الرسمية والموثوقة هو إجراء موصى به بشدة، وذلك لأن الإنترنت أصبح يمتلىء بمئات المصادر الغير رسمية للقوالب والاضافات الخاصة بالووردبريس كونه نظام مشهور بقوة حول العالم ويمتلك ملايين المستخدمين. 

ماذا تفعل حيال تلك التهديدات الأمنية؟

من خلال اطلاعي على تقرير المواقع التي تم اختراقها، اكتشفت أن أغلب المواقع لا تستخدم إتصالا أمنا HTTPS وهو أحد الإجراءات الأمنية التي لا يجب على صاحب الموقع أن يهمل في استخدامها لإضافة طبقات حماية لموقعه. 

كمستخدم ووردبريس لا يجب أن تقلق كثيرا حيال تلك التهديدات إذا كنت تتبع إجراءات حماية وتأمين الووردبريس وتحدثنا كثيرا عنها في مقالات سابقة : [سجل الدخول لترى الرابط

إلى جانب التزامك بإجراءات تأمين وحماية موقعك الووردبريس، من الضروري أن تختار استضافة موقعك بعناية، ولا تنجذب إلى عروض الشركات الغير موثوقة التي توفر لك استضافات بأسعار منخفضة للغاية، وفي النهاية تكتشف أن طبقات الأمان فيها شبه منعدمة. 

هل تعرض موقعك من قبل لأحد التهديدات الأمنية وكيف تعاملت معه ؟ وهل تشعر بالأمان حيال موقعك الحالي ؟

المشكله في النظام أكيد ,

لأنه مصمم ليعتمد على الإضاقات والقوالب الخارجية .

لم يصمم لكي يعمل بمفرده من دون إضافات أو قوالب خارجيه .

لا أعلم ماهذا الدفاع المستميت عن الوردبيرس و كأنه النظام الأعظم و و و

أقل مايقال عنه أنه نظام ناقص .

    @عبدالرحمن@

    إذا نظرت اليه نظرة شمولية أخي عبد الرحمن ستلاحظ أن بدون الأنظمة مفتوحة المصدر مثل ووردبريس وغيره، ربما كنا سنواجه احتكارا كبيرا في سوق البرمجيات، وهو ما أتاح الفرصة لأي شخص حول العالم للبدء بإطلاق موقعه الإليكترونية باستخدام نظام مجاني يوفر له التعديل والتخصيص بمطلق الحرية.

      عبد الفتاح الطيب

      على أي أساس حكمت إن الكل قادر على التعديل , ويملك المعرفه في لغات البرمجه .

      تسبه كبيره من مستخدمين لا يستعطون التعديل على مدوناتهم معتمدين على مبرمج خارجي . لانه لا يتقنون لغات البرمجه .

      عندما تطرح منتج معين التركيز يكون المستخدم النهائي المستخدم البسيط و ليس المستخدم المحترف .

      هذا أحد سباب تتدهور وعدم تطور البرمجيات المفتوحة … هدفها الأساسي إستغلال جيب المستخدم البسيط .

      بنسبة للإحتكار لا يوجد شيء أسمه إحتكار في عالم البرمجيات لأن الأدوات متاحه للكل بالمجان .

      من حقي أي مبرمج جعل منتجه مدفوع ومغلق أو مفتوح ومجاني .

        @عبدالرحمن@

        نعم أخي الووردبريس في الأساس نظام مبني من أجل المستخدم البسيط وكذلك المتوسط والإحترافي، وذلك لانه يعمل بنظام القوالب والإضافات الجاهزة.

        لكن هناك أنظمة برمجة مخصص للخبراء والمطورين فقط مثل Laravel على سبيل المثال لا يمكن للمستخدم العادي ان يتعامل معه لابد أن يكون شخص لديه خبرة في لغة PHP على الأقل.

        لكن ووردبريس يوفر كافة الخيارات لكل شرائح المستخدمين.

          عبد الفتاح الطيب

          هل المستخدم البسيط يستطيع برمجة إضافة مثل yost أو Contact Form 7 او All in One SEO أو Social Media Widget by Acurax أو Speed Booster Pack او عمل قالب إحترافي مثل جنة أو صحيفة أو جريدة

          إذا أثبت لي أن المستخدم البسيط يستيطع برمجة أشياء مثل الإضافات والقوالب هذه مستعد أترك المنتدى ولا أكتب تعليق واحد هنا .

          علمية تركيب الإضافات والقوالب بحد ذاتها ليست ميزه موجوده بأي برنامج .

          شهر لاحقًا

          السلام عليكم ورحمه الله وبركاته

          اخي الكريم اولا كل الاحترام والتقدير لك علي المعلومات القيمه والتي بررت لي ما حدث بموقعي والذي اصيب

          بهذا الامر , ولكن كيف لي ان اقوم باصلاحه فالموقع ما زالت به هذه الثغره وعند فتحه يقوم بالتحويل الي مواقع غريبه

            moelgendy78 وعليكم السلام ورحمة الله وبركاته

            هل قمت بإجراءات الحماية الأساسية، من تأمين الاستضافة؟ القوالب والإضافات؟ الملفات الخارجية؟ حسابات المستخدمين؟

            وقمت باستخدام SSL certificte firewall,

            وهل استخدمت إضافة حماية مثل Wordfence, sucuri

            وهل جربت استعادة آخر نسخ احتياطي قبل حدوث الاختراق؟

            هل قمت بتطبيق خطوات الحماية المذكورة هنا:

            [سجل الدخول لترى الرابط]

            ولا زلت تواجه نفس المشكلة؟

            moelgendy78 عليكم السلام أهلا بك أخي

            شكراً لمرورك الكريم أولا

            ثانيا بالنسبة لموقعك المخترق أرجوا تزويدنا بمزيد من التفاصيل حول عملية إعادة التوجيه، هل يتم إعادة توجيه اسم النطاق إلى اسم نطاق أخر، أم تقصد أن إعادة التوجيه تحدث للروابط التي تظهر على محركات البحث فقط؟

            عموما حتى استقبل رد منك سأوفر لك بعض الإقتراحات التي يمكنك اتباعها لحل المشكلة إن شاء الله.

            1. الحل الأول ( استخدام إضافة حماية)

            هذا الحل هو الأسرع والأكثر كفاءة إذا كنت لا ترغب في البحث عن الملفات المعطوبة بشكل يدوي، وهتلاقي في المقالة دي ترشيحات لأفضل الإضافات اللي هتساعدم في تأمين الموقع وحذف الملفات المصابة بدون تدخل منك: [سجل الدخول لترى الرابط]

            1. الحل الثاني (تنظيف الموقع يدوياً)

            هنا ستقوم بتأمين موقعك بشكل يدوي بدون استخام إضافات، أولا يحب أن تتحقق من مدير مفات موقعك وتقوم بحذف كافة الملفات الخبيثة التي تجدها في مسارات تنصيب الووردبريس، وراجع المشاركة التالية للتعرف على الملفات الخبيثة التي يجب حذفها عند العثور عليها: [سجل الدخول لترى الرابط]

            كذلك قم بفتح قاعدة بيانات الووردبريس، ثم قم بفتح جدول wp_options وإذا وجت أي روابط غريبة داخل الجدول قم بحذفها على الفور.

            كذلك راجع جدول wp_posts داخل قواعد البيانات، وإذا وجدت روابط غريبة بداخله قم بحذفها على الفور.

            طبعاً قبل كل الإجراءات التي أخبرك بها عليك أولا أن تقوم بالأتي:

            • تغيير كلمة مرور الدخول إلى الووردبرس وكذلك إلى مدير قواعد البيانات.
            • الدخول الى توبيب (الأعضاء) وحذف أي عضوية غريبة لم تقم بإنشائها بنفسك، ويفضل تغيير كلمة المرور الخاصة بكل الأعضاء داخل الموقع.
            • تغيير رابط الدخول الى لوحة التحكم wp-admin

            ارجوا تطبيق النصائح وإخبارنا بالنتيجة التي توصلت اليها وتابع معنا في هذه المشاركة باستمرار ما توصلت إليه لكي نقوم بحل المشكلة بصورة جذرية إن شاء الله.

              عبد الفتاح الطيب

              اخي الكريم قمت بتثبيت اضافتين[سجل الدخول لترى الرابط] واضافه الكل للحمايه

              ومازلت مشكله فتح موقع اخر غير موقعي المشكله ببساطه عند طلب الموقع الخاص بي

              111go.net يظهر اول مره موقع اخر المره الثانيه يعمل بدون اي مشاكل هل من حل استاذي

                moelgendy78

                أخي قمت بمراجعة المشاركة التي أشرت اليها: [سجل الدخول لترى الرابط]

                من المهم أن تقوم الأكواد المصدرية للموقع من داخل ملف index وملف header وملف footer. وأيضا قم بمراعجة ملف htaccess مثل وضحت لك.

                بخصوص إضافة Sucuri تأكد أنك قمت بتفعيل الإضافة على الموقع، وضبط اعداداتها بشكل صحيح، وقم بتشغيل خيار المسح للموقع بالكامل.

                moelgendy78

                لو تستطيع مسح للموقع وتقوم بحذف الملفات أو الأكواد الضارة من الاستضافة سيكون ذلك أفضل

                إذا كان معاك ميزانية لشراء إصدار مدفوع من Sucuri فستكون أفضل من المجاني

                أما إذا لم يكن معك ميزانية فاستخدم Wordfence لأن الإصدار المجاني منها به خصائص أفضل من Sucuri

                وقم بعمل المسح وانتظر النتيجة

                إذا لم تتوصل إلى نتيجة من خلال المسح ب wordfence أو من خلال الوصول للملفات الضارة بالاستضافة، فأنصحك بالاعتماد على خدمة مدفوعة من موقع خمسات إن لم يكن لديك الخبرة بعمل هذه الأمور التي نتحدث عنها

                لكن قم بتجربة هذه الأمور وأخبرنا بالنتيجة

                  عمر إسماعيل

                  اخي الكريم لا مشكله لدي في شراء الاضافه ولكنها لم تجد شي كما اني ارغب باحدهم يكون ثقه

                  هل هناك اي ترشيحات من قبلكم لي اي مبرمج بخدمه مدفوعه

                    moelgendy78

                    أنصحك أخي بتصفح خدمات ووردبريس الموجودة في خمسات أو نشر مشروع على مستقل تطلب فيه من أحد المحترفين القيام بهذه المهمة، كما شرحنا في المقال التالي:

                    [سجل الدخول لترى الرابط]

                    وتأكد من احترافية المطوّر الذي تعتمد عليه للقيام بفحص موقعك

                    هذه أحد مشاكل الوردبيرس الحمايه في تحت الصفر تخترق من أشياء تافهه .

                    الأفضل لك هو أنشاء مدونه أخر نظيفه وبعدها تسوي عملية إستيراد للمحتوى من مدونتك القديمه إلى الجديده .

                      @عبدالرحمن@ هذه أحد مشاكل الوردبيرس الحمايه في تحت الصفر تخترق من أشياء تافهه .

                      ما هي الثغرات التي تراها في نظام الووردبريس أخي عبد الرحمن؟

                      بغض النظر عن إجراءات الامان التي لا يهتم بها بعض المستخدمين مثل كلمات المرور الضعيفة وإستخدام الإضافات والقوالب المقرصنة!

                      أتحدث عن النظام نفسه، ما هي نقاط الضعف التي تراها به؟

                      @عبدالرحمن@

                      النظام نفسه آمن ويتم تحديثه بشكل دوري لسد أي ثغرات ويعتمد عليه ملايين المواقع حتى الآن

                      أما الإضافات والقوالب فهي تختلف على حسب مطوّر الإضافة أو القالب وتأمينه إياها

                      ومع ذلك لا يوجد أي نظام في العالم آمن 100%، فحتى مواقع الحكومات ومواقع المخابرات والبنوك وكل التطبيقات التي تستخدمها هي معرضة للاختراق.