مستخدم Elementor Pro؟ أنت بحاجة لقراءة هذا!

نشرت: 2020-05-20

لقد قاد WordPress عملي عبر الإنترنت على مدار السنوات السبع الماضية ويمكن القول أنه الأداة الأكثر أهمية في ترسانة أي تحسين لمحركات البحث.

مع تجاوز عدد عمليات التثبيت المقدرة 455.000.000 ، يوافق 35٪ من مالكي مواقع الويب على ما يبدو.

عدد لا يحصى من المكونات الإضافية ومجموعات السمات تجعلها منصة مثالية لمن هم أقل خبرة في التكنولوجيا لإضفاء الحيوية على أفكارهم ووضعها أمام جمهور عبر الإنترنت.

للأسف ، هذا أيضًا يجعل WordPress هدفًا للمسوقين "القبعة السوداء" عديمي الضمير الذين يخترقون طريقهم إلى موقعك لجعله يفعل شيئًا ليس من المفترض أن يفعله - وهو إنجاز حققوه مؤخرًا على نطاق واسع.

بصفتك مستخدم Elementor Pro ، هناك احتمال أن تكون قد تعرضت للعض بالفعل ...

وربما أنت لست أكثر حكمة.

ثغرة أمنية Elementor Pro

في السادس من مايو ، نشر موقع Wordfence هذا المقال الذي يشرح كيف يمكن أن يتعرض مليون موقع لخطر هجوم نشط.

كان المهاجمون يستخدمون نقطة ضعف في أمان Elementor Pro لإعادة توجيه زوار موقعك بشكل ضار إلى مواقعهم الخاصة أو حتى السيطرة على موقع الويب الخاص بك تمامًا.

كان فريق Elementor سريعًا في تصحيح الخلل ، وتم تشجيع المستخدمين على التحديث إلى أحدث إصدار في أقرب وقت ممكن.

وفر التحديث راحة البال للكثيرين - بمن فيهم أنا - حتى اكتشفت أن المهاجم قد تمكن بالفعل من الوصول إلى عدد كبير من المواقع التي أديرها وأن التحديث لن يحدث أدنى فرق.

إذا تم اختراق موقعك بالفعل ، فلن يؤدي التحديث إلى إصلاحه.

ماذا يمكن أن يفعل المخترق بموقعي؟

عند تنفيذه بنجاح ، يقوم هذا الهجوم المحدد بتثبيت webshell يسمى "wp-xmlrpc.php" (يُسمى بهذه الطريقة للاندماج مع ملفات نظامك)

يمنح Webshell للمهاجم وصولاً كاملاً إلى موقعك وخادمك غالبًا ، مما يعني أنه يمكنهم:

  • إضافة أو تغيير أو إزالة المحتوى
  • أدخل روابط لقيمة تحسين محركات البحث
  • إعادة توجيه حركة المرور الخاصة بك إلى موقعهم الخاص
  • احذف كل شيء!
  • ... إلى حد كبير أي شيء آخر يمكن أن يخطر ببالك

ناهيك عن أنه إذا كنت تستخدم WooCommerce ، فقد يتمكن المهاجم من الوصول إلى بعض بيانات العميل الخاصة بك.

كيف يمكنني معرفة ما إذا كنت قد تعرضت للاختراق؟

ليس عليك أن تكون معالجًا تقنيًا لمعرفة ما إذا كان موقعك قد تأثر أم لا.

ما عليك سوى اتباع الخطوات التالية:

1. تحقق من مستخدمي WordPress

عادةً ما يكون المستخدم الجديد على موقعك هو أول علامة على محاولة شخص ما استغلال ثغرة أمنية في Elementor Pro.

الهبة الميتة هي إذا تلقيت بريدًا إلكترونيًا من موقع WordPress الخاص بك لإعلامك بإنشاء مستخدم جديد في الأسبوع الأول أو الثاني من شهر مايو.

أولاً ، قم بتسجيل الدخول إلى منطقة مسؤول WordPress الخاصة بك باستخدام حساب المسؤول الخاص بك ، وانتقل إلى "المستخدمون".

تحقق من وجود أي أسماء مستخدمين مشبوهة أو غير معروفة.

نشر أمان WebARX قائمة بجميع أسماء المستخدمين المعروفة المستخدمة في الهجوم حتى الآن.

إذا رأيت أحد أسماء المستخدمين في لوحتك - فانتقل مباشرةً إلى إذا تم اختراقك.

هام : لا يعني عدم وجود اسم مستخدم مريب أن موقعك آمن.

2. افحص ملفاتك

يمكنك فحص ملفات WordPress الخاصة بك باستخدام FTP / SFTP / File Manager.

في مجلد جذر WordPress الخاص بك (عادة ما يكون المجلد الأول الذي تراه عند تسجيل الدخول) ، ابحث عن ملف يسمى wp-xmlrpc.php.

إذا كان هذا الملف موجودًا ، فهذا يعني أن المهاجم قد نجح في الوصول. من غير المحتمل أن يكون حذف الملف في هذه المرحلة مفيدًا.

يجب عليك أيضًا التحقق من / wp-content / uploads / elementor / custom-icons /

أي ملفات هنا لا تعرفها على أنها شيء قمت بتحميله ربما تم زرعها هناك بواسطة مهاجم.

على وجه التحديد ، ابحث عن:

  • wpstaff.php
  • demo.html
  • اقرأ Mw.txt
  • config.json
  • icon-reference.html
  • اختيار. json
  • fonts.php

3. قم بتشغيل فحص الأمان

إذا كنت تستخدم مضيف WordPress مُدارًا مثل WPEngine و WPX Hosting و SiteGround وما إلى ذلك ، فسيكون بمقدورهم عادةً القيام بذلك نيابة عنك.

يُفضل عادةً إجراء الفحص الخاص بك باستخدام Wordfence أو Sucuri ، حيث قد يتمكن مضيفك من الوصول إلى ملفات النظام التي قد تفوتها هذه المكونات الإضافية.

عادةً ما تكون المكونات الإضافية المجانية لأمان WordPress قادرة على اكتشاف تغيير في ملفات WordPress الأساسية - لكن لا تفسر نتيجة الفحص النظيف كضمان أن موقعك آمن.

عادةً ما يحمي جدار الحماية المشتركين المدفوعين لمثل هذه الأدوات ، وهناك فرصة أكبر لفشل الهجوم.

5. قم بزيارة الموقع الخاص بك

هل زرت موقعك مؤخرًا وتمت إعادة توجيهك إلى موقع آخر؟

كيف تعمل إعادة التوجيه الخبيثة هذه بالضبط لا تزال غير معروفة.

قم بزيارة موقعك باستخدام هذه الطرق:

  • استخدم متصفحات أخرى في الوضع الخاص / التخفي
  • قم بزيارة موقعك باستخدام وكيل
  • انقر للوصول إلى موقعك من Google أو وسائل التواصل الاجتماعي

إذا أدى أي من هذه الأشياء إلى إعادة توجيه إلى أي شيء سوى موقع الويب الخاص بك ، فمن المحتمل أن تكون قد تعرضت للاختراق.

إذا تم اختراقك أو كنت غير متأكد

العودة إلى النسخة السابقة

يقدم العديد من مضيفي الويب نسخًا احتياطية لمدة 14-30 يومًا. نأمل أن تجدك هذه المقالة في الوقت المناسب إذا كنت قد تأثرت ، مما يسمح لك بإعادة موقعك إلى تاريخ سابق قبل الهجوم.

ملاحظة : إذا تم تخزين النسخ الاحتياطية الخاصة بك على الخادم الخاص بك باستخدام شيء مثل Updraft ، فهناك احتمال أن يصابوا أيضًا.

معرفة متى تعرضت للهجوم

بشكل افتراضي ، لن يعرض WordPress تواريخ وأوقات تسجيل المستخدم.

قم بتثبيت مكون إضافي يسمى Admin Columns.

في إعدادات البرنامج المساعد ، قم بتمكين عمود "التسجيل" لـ "المستخدمون".

الآن عندما تنتقل إلى صفحة مستخدمي WordPress ، سيعرض عمود جديد تاريخ إنشاء المستخدم الضار.

بدلاً من ذلك ، إذا كانت لديك سجلات وصول إلى الخادم ، فيمكنك البحث عن الإدخال "wpstaff.php".

استرجع موقعك إلى نسخة احتياطية تم إنشاؤها قبل تاريخ الهجوم ووقته.

بمجرد استعادة النسخة الاحتياطية ، قم بتحديث المكونات الإضافية في أسرع وقت ممكن لمنع هجوم آخر.

بعد ذلك ، تحقق مرة أخرى من المستخدم والملفات الضارة.

دعم الاستضافة المدارة

إذا كان لديك مضيف مُدار مثل المضيفين المذكورين أعلاه ، فتحدث إلى دعمهم حول إجراءات الأمان وما إذا كانوا يقدمون تنظيف البرامج الضارة.

يقوم المضيفون مثل WPX Hosting و WPEngine بتضمين ذلك مجانًا مع جميع الحزم.

خدمة التنظيف

أبلغت العديد من خدمات إزالة البرامج الضارة "تم من أجلك" بالفعل عن مشكلة Elementor Pro الأخيرة.

بعضها مدرج هنا ، يرجى إجراء البحث الخاص بك لأنني لم أختبرها شخصيًا ، ولا أنتمي إليها:

  • https://www.wordfence.com/wordfence-site-cleanings/
  • https://www.getastra.com/website-cleanup-malware-removal
  • https://sucuri.net/website-security-platform/help-now/

إعادة بناء

يبدو أنه إجراء صارم ، ولكن إذا كنت تفكر في إعادة بناء موقعك على أي حال ، فهذه فرصة مثالية للبدء من الصفر.

بهذه الطريقة ، تعرف بالتأكيد أنه ليس لديك أي ملفات ضارة كامنة في الخلفية.

فقط تأكد من استخدام حساب تثبيت أو استضافة مختلف.

منع الاختراق

من الصعب منع الاختراق عندما لا تعرف مسبقًا المكونات الإضافية التي تحتوي على نقاط ضعف.

بعض النصائح الأساسية لمنع الاختراقات المستقبلية:

  • استخدم مضيف WordPress مُدار - عادةً ما يكون لديهم مسح للبرامج الضارة وإزالتها ، ويقويون تثبيتات WP بشكل افتراضي (عن طريق منع تنفيذ ملفات PHP في مجلدات التحميل)
  • حافظ على الإضافات والسمات و WordPress Core محدثًا
  • استخدم مكونًا إضافيًا للأمان. على الأقل ، قم بتمكين جدار الحماية وتقوية WordPress. تعد كل من WordFence Premium و Sucuri و WebARX حلولًا جيدة
  • قم بتشغيل WPScan أو تحقق من WPVulnDB بحثًا عن المكونات الإضافية والسمات الضعيفة التي قد تستخدمها.

هل تم اختراق موقع WordPress الخاص بك؟

كيف عالجت المشكلة؟

اسمحوا لنا أن نعرف في التعليقات.

الإشتراك

لقد قرأت ووافقت على الشروط والأحكام *