ورد بريس هو أحد أنظمة إدارة المحتوى الأكثر شهرة في العالم، حيث يشغل الملايين من المواقع. ومع ذلك، مع الشهرة الكبيرة تأتي المسؤولية الكبيرة، وذلك بفضل المتسللين الذين يطورون باستمرار طرقًا جديدة للاختراق. ولذلك يصدر تحديث لنظام التشغيل بشكل دوري ولكن…
بعد التحديث الاخير( ورد بريس ٦.٢ الذي صدر في ٢٩ مارس من هذا العام أو التحديث الفرعي ٦.٢.١ والذي صدر ١٦ مايو والذي تم فيه إصلاح ٢٠ خطأ في النواة و١٠ إصلاحات في لمحرر البلوكات طبقا لما ذكرته منظمة ورد بريس ) هل يعتبر وردبريس أكثر أمنا ؟
في هذا المقال سوف نناقش بعض من الإصلاحات الرئيسيه و المشكلات الأمنية في الورد بريس والتي تم إصلاحها في التحديث الأخير، كما سوف نعرض بعض النصائح الهامة للتغلب على بعض المشكلات الأمنية التي قد تواجهك .
بعض من الإصلاحات الرئيسية التي تمت في التحديث الاخير في ورد بريس ٦.٢.١
١- منع القالب (الثيم) من ادخال بعض الرموز المختصرة في اكواد البيانات التي تم إنشاؤها من قبل المستخدم
اصلاح مشكلة ادخال الثيم لبعض الرموز المختصرة من قبل منشئ الحساب مما قد يضر قواعد البيانات الخاصه بالموقع حيث يقوم المهاجم عن طريق الرمز المختصر بإرسال الكثير من الطلبات من الموقع للسيرفر ويسمي بهجوم القوه الغاشمه (brutal force attack)
٢- تزوير طلب عبر الموقع عن طريق الصور المصغرة للمرفقات (cross site request forgery).
وهو ثغره امنيه حيث يقوم الهاكر بخداع المستخدم أثناء تسجيله في الموقع ويتم إدخال بعض الأكواد الضارة من خلال الصور المصغرة وذلك لتنفيذ بعض الإجراءات غير المرغوبة مثل تغيير الايميل الخاص بالمستخدم أو تحويل اموال …. الخ
٣- إصلاح خطأ اختراق البرمجة النصية للمواقع عن طريق برمجة النصوص ( cross site scripting)
هي نوع من عمليات الهجوم الألكتروني عن طريق الحقن، حيث يتم حقن سكربتات خبيثة في مواقع ويب غير ضارة ويتم عادة عندما يقوم المهاجم باستخدام تطبيقات ويب لارسال رمز ضار عادة عن طريق النصوص الكتابية
٤- اصلاح مشكله اختراق مسار الملفات في الموقع او السيرفر عن طريق ملفات الترجمه
حيث يتم السماح للمهاجم بالوصول إلى ملفات على السيرفر الخاص بالموقع التي ليس لديهم حق الوصول إليها، ويتم ذلك عن طريق خداع السيرفر لارجاع ملفات موجودة خارج المجلد الرئيسي.
على الرغم من أن التحديثات الأخيرة في ووردبريس تسعى لتحسين الأمان وإصلاح الثغرات الأمنية المعروفة وتتم بشكل دوري علي فترات قصيرة حيث أن التحديث الرئيسي القادم ٦.٣ المخطط له أن يكون في شهر أغسطس القادم، إلا أنه لا يمكن الاعتماد بشكل كامل على التحديثات وحدها لحل جميع المشكلات الأمنية التي قد يواجهها المطور في ووردبريس. قد تظهر ثغرات جديدة أو يتم اكتشاف ثغرات قديمة لم يتم تغطيتها في التحديثات الأخيرة. لذا، من المهم أن يتخذ المطور إجراءات إضافية لتعزيز الأمان وحماية موقعه. ينبغي عليه تنفيذ إجراءات مثل تأمين اتصال قاعدة البيانات، وتنشيط وإعداد إضافات الأمان الموثوقة، وتعزيز قواعد المرور والتحقق من هوية المستخدمين، وإعداد نسخ احتياطية منتظمة للموقع. بالإضافة إلى ذلك، ينبغي على المطور أن يبقى على اطلاع على أحدث الممارسات الأمنية والتحديثات الأمنية ومشاركة المجتمع للحصول على نصائح ومعلومات حول التحسينات الأمنية المستمرة لذلك في السطور القادمة سوف اقوم بعرض بعض من الطرق والأساليب والنصائح لزيادة أمان موقعك الإلكتروني.
بعض المشكلات الأمنية التي قد تواجهها في الوردبريس وكيفية التغلب عليها
١- تحميل سكريبت من خلال موقعك الإلكتروني cross-site scripting XSS
عادة تتضمن هذه الهجمات تحميل صفحات تحتوي على سكريبتات جافا سكريبت غير آمنة بواسطة القرصنة لسرقة بيانات المتصفح.
وتعتبر أحد أفضل الطرق لمنع هجمات الـ XSS هو الحفاظ على تحديث موقعك في جميع الأوقات، وهناك أيضًا مجموعة من الإضافات التي يمكن أن تساعد في تأمين موقعك ضد العديد من هذه الهجمات.مثل [سجل الدخول لترى الرابط]او [سجل الدخول لترى الرابط] مثل [سجل الدخول لترى الرابط] .
٢- تعدين SQL
تحدث هذه الثغرة عندما يحصل القراصنة الإلكترونيون على وصول غير مصرح به إلى [سجل الدخول لترى الرابط] وبالتالي بيانات موقعك، ولمنع حدوث ذلك، من الضروري وضع قيود وتحديات على عمليات تقديم النماذج الخاصة بك. على سبيل المثال، يمكنك منع الأحرف الخاصة في عمليات إنشاء مستخدم جديد ، او اضافة رمز reCAPTCHA في نماذج انشاء حساب جديد.
٣- ثغرات تحسين محركات البحث (SEO spam)
يمكن للمخترقين إرسال سبام تحسين محركات البحث SEO إلى موقعك عن طريق تطبيقات تحسين ال SEO ويسمي هذا البروتوكول بهجوم القوة العنيفة حيث يتم إرسال العديد من الطلبات الي السيرفر الخاص بالموقع مما يؤدي إلى تعطيل السيرفر او الموقع الالكتروني .
ويعد من أفضل الطرق لمنع هذه المشكلة الأمنية في وورد بريس هي إجراء فحوصات للبرامج الضارة باستخدام مواقع wordfence أو sucuri ويعتبر من الحكمة دائما مراقبة تحليلات موقعك.
بعض النصائح التي يمكن أن تساهم في زيادة أمان وحماية موقعك الإلكتروني
٨ نصائح وأساليب لحماية موقعك من الإختراقات
١- " احذف٬ احذف٬ احذف "
قم بتنظيف نسخة الوورد بريس الخاصة بك٬ تأكد من حذف إصدارات ووردبريس غير المستخدمة على السيرفر الخاص بك٬ أحذف القوالب والإضافات والملفات غير المستخدمة في ووردبريس لو كانت غير نشطة أو لا تُستخدم.
٢- حدث دائما٬ استخدم اضافات وقوالب ووردبريس محدثة
ما يقارب من ٣٠٪ من عمليات الاختراق التي تتم تكون بنفس السبب، لذا من الحكمة ان تقوم بتحديث القوالب والاضافات التي تستخدمها.
يجب أن يأخذ المستخدم الأمان في الاعتبار لذا من الأفضل الالتزام بقالب او اضافه تتحدث باستمرار، حافظ على استخدام APIs من موقع موثوق منه مثل Wordpress.org.
تابع النشرات الدوريه الخاصه با افضل القوالب والاضافات من حيث الامان.
٣- قم فقط بتغيير بادئة الجداول (_WP )
الجميع علي علم بادئة الجداول المستخدمين والهاكر على حد السواء، لذلك يوصي دائما عند تنصيب نسخة الوورد بريس الخاصة بك تغيير بادئة الجداول (_WP) لتكون أقرب بخطوة من جعل موقعك أمن و حماية موقعك من هجمات حقن الـ SQL
كما يمكنك دائما تغيير بادئة الجداول (_WP) بعد تنصيب الووردبريس عن طريق تغيير wp_prefix في ملف ال wp_config ثم تغييره في جميع الجداول في قاعدة البيانات الخاصه بموقعك من لوحة phpmyadmin
يمكنك البحث عن كيفية تغير ال table prefix after installation او يمكنك مراجعة [سجل الدخول لترى الرابط]
٤- قم دائما بتنصيب شهادة SSL على موقعك
شهادة تقوم بتشفير الطلبات المرسلة من موقعك الالكتروني على السيرفر الخاص بك والعكس صحيح، تنصيب شهادة SSL على موقعك تجعل من الصعب على القراصنة من التجسس علي موقعك او تزوير بياناتك، كما أن تنصيب شهادة SSL يزيد من منزله موقعك في محركات البحث.
٥- استعمل دائما بروتوكول HTTPS عند الدخول الى لوحة التحكم الخاصة بك
عند استعمال بروتوكول HTTPS يجعل من الصعب على الهاكر من اعتراض وتغيير بياناتك الأساسية (اسم المستخدم، كلمة السر)
استعمل الكود
تسجيل الدخول لعرض الكود
داخل ملف ال wp_config
٦- استخدم مفاتيح الحماية في ملف WP_config
تعتبر مفاتيح الأمان للوردبريس واحدة من أهم احتياطيات الأمان لحمايه مدونتك، حيث توفر تكويد افضل لبيانات المستخدم
الطريقه الاولي : استخدم wordpress SALT keys API لانشاء مفاتيح الأمان وادخالها يدويا في ملف wp_config
الطريقة الثانية: استخدم اضافات مثل Salt Shaker وهي اضافه مجانيه من وردبريس
راجع [سجل الدخول لترى الرابط] لمزيد من المعلومات
٧- قم بإزالة الأعضاء الغير نشطين
الاعضاء الغير نشيطين على موقعك يعتبر تهديد أمني على موقعك الالكتروني، افضل ما يمكن القيام به هو ازالتهم من الموقع
اذهب الى لوحة التحكم > المستخدمين > قم بإزالة المستخدمين الغير نشطين
٨- قم بحمايه مجلد ال admin
مجلد wp-admin هو جزء من الأجزاء الرئيسية لموقع ووردبريس الخاص بك. أي ضرر في هذا الجزء قد يتسبب في تلف الموقع بأكمله. لحماية قسم إدارة ووردبريس من هجمات القراصنة، تأكد من توفير حماية بكلمة مرور لهذا المجلد.
قم بإضافة الكود التالي في ملف htaccess. في مجلد wp_admin
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
ملحوظة: لا تقم بما سبق الا اذا كنت خبير بما تقوم به
في النهاية، يمكننا أن نؤكد أن الحماية والأمان هما أمران حاسمان في موقع ووردبريس الخاص بك. عندما تتخذ الخطوات اللازمة لحماية موقعك، فإنك تحافظ على سلامة المعلومات الحساسة وتعزز سمعة موقعك على الإنترنت.
(التكنولوجيا ليست جيده او سيئه ولكن الإنسان هو من يجعلها كذلك) - مثل معروف
وللمزيد اقرأ أيضًا عن [سجل الدخول لترى الرابط]
