المقال المثبتامن وحماية تطبيقات الويبمواضيع ومقالات

مقال: كيف تحمي موقعك الذي يعمل بسكربت WordPress من الاختراق؟

تم أرشفة هذا المحتوى


يعتبر وردبريس أحد أقوي وأشهر أنظمة إدارة المحتوى من حيث قوة الأرشفة و سهولة استخدامها و توافر أدواتها من قوالب واضافات مجانية و غير مجانية ولكن تكمن المشكلة رغم أن حماية وردبريس قوية في أنه يمكن لمخترق محترف عمل هجوم على المواقع التي تعمل بالوردبريس بكل سهولة.

wordpress_hack

 

ولكن سوف نشرح لكم عدة طرق تمكنك من حماية موقعك الذي يعمل بنظام وردبريس لإدارة المحتوي.

1 – فحص الاضافات [Plugins]:

تكمن الخطورة الكاملة من اختراق الوردبريس في الاضافات. يوجد للوردبريس أكثر من ألف اضافة مجانية عبر متجر الموقع الرسمي لها ولكن العديد من هذه الاضافات يوجد بها ثغرات أمنية تؤدي إلى اختراق موقعك.

مثلاً، أشهر الاضافات التي تسببت في اختراق الوردبريس كانت [Revslider] هي اضافة تمكن المستخدم من اضافة عارض متحرك للصور داخل موقعك أو مدونتك وكانت هذه الاضافة مصابة بثغرة [Local File Inclusion] في الرابط الخاص بعرض الصور وتمكن هذه الثغرة المخترق من سحب ملف WP-Config.php والمتخصص في ربط الموقع بقاعدة البيانات ومن خلال هذا الملف يمكن للمخترق الاتصال خارجيًا بقاعدة البيانات والدخول بحساب المدير أو اضافة حساب مدير جديد.

– لحمايتك من الاختراق عبر هذه الطريقة قم بالبحث عن اسم الاضافة قبل تركيبها والثغرات الأمنية الموجودة بها وملف الاصلاح الخاص بالخلل الموجود بداخلها.

2 – فحص القوالب [Templates]:

في حين أنك استخدمت قالب مجاني من موقع عربي أو أجنبي قم بفحص القوالب من وجود ملفات اختراق [Shell Codes] بداخل ملف القالب لربما يكون هذا القالب مرفوع من خلال أحد القراصنة لاختراق موقعك أو ربما يكون القالب مصاب من الأساس بثغرة أمنية.

مثال: أحد القوالب الأجنبية يدعى [DesignFolio] كان مصاب بثغرة [Arbitrary File Upload] تمكن المخترق من رفع ملف يمكن أن يكون Index & Shell للمخترق يمكنه من حذف واختراق موقعك ولكن حاليًا قامت الشركة المصنعة للقالب بعمل إصلاح للثغرة الأمنية الموجودة به.

إذا كنت تستخدم قالب من تصميم إحدى الشركات باتفاق مسبق قم بمراجعة دوال $_POST في القالب أو التأكد من أنه إن كان القالب به خاصية رفع صور لعضويات قم بربط رفع الصور على اي مركز رفع خارجي مثل [Amazon Simple Storage Service] لأن إذا كان الرفع داخل موقعك حتى وإن حددت رفع صور فقط بصيغة JPG يمكن للمخترق رفع صورة باسم [C99.php.jpg] وباستخدام أداة مثل [Tamper Data] يمكنه تعديل اسم الملف وإزالة JPG ليصبح C99.php ويقوم بعرضه واختراق موقعك من خلاله.

3 – هجوم القوة العمياء [Bruteforce Attack]:

يعتبر هذا النوع من الاختراق أحد أسوأ أنواع الهجوم لأن في هذه الحالة يقوم القرصان باستخدام أداة مثل [CMSMAP] أو أي أداة أخرى بالبحث عن اسم المدير وعمل Wordlist بها مثلاً 10 آلاف رقم سري ويقوم بالتخمين على الموقع حتى الوصول لكلمة السر الخاصة بالمدير ورفع ملفاته على موقع الضحية.

– يمكنك حماية موقعك من هذا الهجوم باستخدام أداة مثل [WPSecureOps Brute Force Protect]، فباستخدام هذه الأداة يمكنك أن تحدد عدد مرات تجربة الرقم السري، بمعنى أنك إذا قمت بإدخال الرقم السري أكثر من 5 مرات يقوم الموقع بحجبك من استخدامه لمدة 30 دقيقة حتى تتذكر الرقم السري في حالة أنك مستخدم عادي أما إذا كنت مخترق فيمنعك من دخول الموقع حتى إيقاف أداة التخمين على الرقم السري.

4 – حماية الوصول للملفات [File Access]:

في هذه الطريقة يمكنك منع أي شخص من الوصول لملفات مدونتك حتى وإن كان موقعك مصاب بثغرة أمنية. يمكنك إضافة هذا الكود إلى ملف [htaccess.] لكي يمنع المخترقين من الوصول إلى ملف قاعدة البيانات.

# protect wp-config.php

<files wp-config.php>

order allow, deny

deny from all

</files>

– يمكنك أيضًا أن تقوم بالتعديل على ملف [functions.php] وحذف [remove_actino(‘wp_head’, ‘wp_generator’);] حتى لا يستطيع المخترق أن يعرف رقم الإصدار حتى في حين إن كان الإصدار نفسه مصاب بثغرة أمنية لا تمكن  المخترق من معرفة نوعه.

يمكنك أيضًا وضع رقم سري لملف [wp-admin] من لوحة [Cpanel] فقم باختيار Password Protect Directories وحدد مسار لوحة التحكم wp-admin وقم بتعيين رقم سري للمدير فقط.

5 – ملحوظات أخرى:

– إذا كنت صاحب مدونة تقنية أو فنية أو مدونتك بها أكثر من كاتب خذ حظرك ولا تعطي حسابات لأشخاص غير موثوق بهم لأن من الممكن أن يكون الشخص الراغب بالتحرير في مدونتك قرصان ويسعى لاختراق مدونتك وقد يستخدم الهندسة الاجتماعية في إقناعك.

– لا تقم برفع أي سكربتات أخرى غير محمية داخل مجلد الوردبريس لربما تكون هذه السكربتات مصابة بثغرات أمنية يتم اختراق موقعك من خلالها.

– يمكنك استخدام العديد من الأدوات في تأمين مدونتك أو موقعك الوردبريس.

مثل:

– NinjaFirewall (WP edition)

– iThemes Security

– BulletProof Security

– 6Scan Security

بهذا ينتهي مقالنا لهذا اليوم ونأمل أن يكون المقال مفيد لكم ونقابلكم في موضوع جديد بإذن الله.

محمد خالد

باحث امني في شركة iSecur1ty , مهوس في البرمجيات الحرة ، مسجل في لوائح شرف Microsoft Redhat & Zendesk & Sony و العديد من المواقع الاخرى.

مقالات ذات صلة

‫5 تعليقات

  1. مقال ممتع جدا و عصارة مركّزة و غنية بمعلومات في غاية الفائدة ، استفدت كثيرا الله يبار ك فيك

  2. من فترة اشاهد اعلانات فتحات اجبارية على موقعي ولا اعرف مصدرها . هل يمكنك معرفة مصدر هذه الاعلانات او كيف احذفها ؟

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى