كيفية تأمين موقع الويب الخاص بك من مشاكل وتهديدات أمان WordPress
نشرت: 2019-08-21تم تحديث هذا المنشور مؤخرًا في 8 يونيو 2020
WordPress هو نظام إدارة محتوى قوي مع أكثر من 24 ٪ من مواقع الويب على مستوى العالم تستخدم النظام الأساسي ، مما يجعله هدفًا هائلاً للمتسللين والبرامج الضارة. Word Press هو برنامج مفتوح المصدر ، مما يعني أيضًا أن الكود الخاص به مرئي لأي شخص. هذا يجعل النظام الأساسي عرضة للمتسللين الذين يرغبون في إصابة مواقع الويب وإدخال تعليمات برمجية ضارة والتحكم فيها. يجب أن تفهم أولاً من ولماذا وكيف يهاجمون موقع WordPress الخاص بك قبل أن تختار حل أمان WordPress مناسبًا.
في هذه المقالة سوف تعطيك نظرة ثاقبة للحفاظ على موقع WordPress الخاص بك آمنًا وآمنًا من التهديدات. سأزودك أيضًا بمفردات الأمان لمساعدتك على التواصل مع مسؤولي النظام وخبراء الأمن.
باستخدام WordPress ، يحاول المتسللون باستمرار العثور على ثغرات أمنية من خلال البرامج المستخدمة لتشغيل كل موقع ويب. بهذه الطريقة ، يمكنهم إتلاف أكبر عدد ممكن من المواقع باستخدام الهجمات الآلية. يبحث معظم المتسللين عن ما يسمى بالثغرات الأمنية "زيرو داي" في WordPress. تشير ثغرة Zero-Day إلى الأيام التي يحاول فيها البائع اكتشاف التهديد قبل اتخاذ أي إجراء.
أمان WordPress شيء واحد ، ولكن ماذا عن حماية حساباتك الإعلانية من الاحتيال الإعلاني وحركة المرور غير الصالحة؟ اكتشف كيف يمكنك القيام بذلك مع Traffic Cop ولا تخاطر أبدًا بحظر حسابات شبكة الإعلانات الخاصة بك مرة أخرى!
من يريد مهاجمة موقع WordPress الخاص بك؟
بشكل عام ، يتألف المهاجمون الذين ينتهكون موقع WordPress الخاص بك من أي مما يلي:
- البشر - يشير هذا إلى الأفراد الذين يرسلون هجمات إلى مواقع الويب المستهدفة.
- روبوت واحد - هذا هو برنامج روبوت آلي يستخدمه المخترق لتنفيذ هجمات ضارة على نطاق واسع.
- A Botnet - عندما تنسق مجموعة من الأجهزة التي تشغل البرامج من خادم مركزي ، ترسل الهجمات تلقائيًا ، والتي يشار إليها باسم الروبوتات.
مهاجمين بشريين
لقد غير المتسللون تكتيكاتهم ، ونادرًا ما يهاجمون مواقع الويب يدويًا. على عكس تفكير الجميع ، فإن مواقع الويب العامة ليست خاصة لأي شخص لمهاجمتها يدويًا. ومع ذلك ، فإن مستوى التعقيد في هجوم بشري أكبر بكثير من هجمات الروبوت الفردي أو الروبوتات. مع الهجمات البشرية ، يمكن للمرء أن يتحكم في عملية العدوى ويسرعها دون أن يتم اكتشافه.
غالبًا ما يطير المهاجمون البشريون تحت الرادار ويسببون ضررًا أكبر من الروبوتات دون إثارة أي إنذار كبير لمالك الموقع. عادةً ما يستهدف المهاجمون البشريون مواقع مهمة بمعلومات حساسة أو تلك المواقع المربحة ماليًا لغزوها.
الروبوتات والبوت نت
يكتب المتسللون المحترفون برامج روبوت تستهدف مواقع الويب التي بها نقاط ضعف. يفضل المتسللون الروبوتات لأنهم يستطيعون نشر العدوى بسرعة إلى العديد من المواقع. يساعدهم هذا في توفير الوقت بدلاً من زيارة كل موقع ويب يبحث عن ثغرات أمنية لاختراقها أثناء صيانة WordPress. تسمى البرامج الفردية التي تشغل جهازًا واحدًا برامج الروبوت بينما botnet عبارة عن شبكة من الروبوتات ذات إصدارات متعددة تحاول اختراق العديد من المواقع.
يتم تنفيذ معظم هجمات WordPress بواسطة روبوتات أكثر عدوانية وأقل تعقيدًا من الهجمات البشرية ، مما يسهل اكتشافها. لسوء الحظ ، فإن الروبوتات تتطفل على ثغرات يوم الصفر لنشر العدوى إلى مواقع WordPress الأخرى.
لماذا تهاجم مواقع WordPress؟
هدف المتسلل هو الوصول إلى موقع WordPress الخاص بك على المستوى الإداري لقراءة الملفات والبيانات في قاعدة بيانات موقع الويب الخاص بك. يمكنهم أيضًا معالجة قاعدة البيانات وتعديل الملفات بما يناسبهم. يريدون الوصول حتى يتمكنوا من:
- إرسال بريد عشوائي - يريد المتسللون الوصول إلى موقع الويب الخاص بك حتى يتمكنوا من إرسال رسائل بريد إلكتروني عشوائية من موقعك إلى العناوين المستهدفة.
- تجنب الفلاتر عن طريق استضافة المحتوى الضار - يستخدم العديد من هؤلاء المخترقين مواقع WordPress التالفة لاستضافة محتوى صريح أو بريد عشوائي أو مبيعات مخدرات غير قانونية.تسمح استضافة هذا المحتوى الضار على موقع ويب حسن السمعة للمتسللين بتجنب البريد العشوائي وعوامل التصفية عبر الإنترنت.
- سرقة بيانات موقع الويب الخاص بك - يصل المتسللون إلى بياناتك حتى يتمكنوا من حصادها.يتضمن ذلك عناوين البريد الإلكتروني الخاصة بالعميل والأسماء والمعلومات الخاصة الأخرى. من خلال سرقة هذه المعلومات الحساسة ، ينشئ المتسللون أهدافًا جديدة لنشر المحتوى الضار والبريد العشوائي. يمكنهم أيضًا استخدامه لسرقة الهوية في ارتكاب جرائم الإنترنت.
- الاحتيال في الرسائل الاقتحامية والإعلانات - يشير هذا المصطلح إلى استخدام مواقع الويب المصابة لإعادة توجيه حركة المرور إلى مواقع الويب المستهدفة الأخرى ، ونشر المحتوى الضار إلى مواقع الويب الأخرى المطمئنة.يعد استخدام عنوان موقع WordPress الخاص بك كطعم مفيدًا لهم حيث يمكنهم تجنب عوامل تصفية البريد العشوائي. سيؤدي هذا إلى عمليات إعادة التوجيه إلى مواقعهم الضارة عند النقر فوق الارتباط الخاص بك. يمكن أن يشمل أيضًا أنواعًا مختلفة من الاحتيال الإعلاني ، وقد ينتهي بك الأمر بفقدان حسابات شبكة الإعلانات الخاصة بك.
كيف يهاجمون مواقع WordPress؟
يستخدم المتسللون عادةً مرحلتين استراتيجيتين لشن هجوم على أي موقع ويب.
- المرحلة الأولى ، التي تسمىالاستطلاع ، هي المكان الذي يجمع فيه المهاجم البشري أو الروبوت المعلومات على هذا الموقع المستهدف.
- المرحلة الثانية من الهجوم تسمى الاستغلال ، حيث يتم استخدام المعلومات التي تم جمعها لمحاولة الوصول إلى موقع الويب الخاص بك.أثناء الاستطلاع أو "الاستطلاع" ، يتعلم المهاجم معلومات مفيدة حول موقع ويب معين يخطط لغزوها. يستخدمون هذه المعلومات للعثور على نقاط الضعف الموجودة والتي يمكن استخدامها لاستغلال الموقع. هناك شيئان مهمان يريدون اكتشافهما: نوع البرنامج وإصداره. يمكن التلاعب بالإصدارات الأقدم بسهولة أكبر من الإصدارات الأحدث من WordPress. يساعد جمع قائمة السمات والإضافات المستخدمة في تحديد نوع الثغرات الأمنية المتوقعة.
يُطلق على فعل الدخول إلى موقع الويب الخاص بك الاستغلال. هناك العديد من نقاط الضعف في قاعدة البيانات والتفاصيل الفنية المدرجة على الإنترنت ، مما يجعل من السهل استغلال الموقع. يستخدم المهاجمون عدة نقاط دخول أثناء الاستغلال. هؤلاء هم:
- صفحة تسجيل الدخول الخاصة بك - نقطة دخول واحدة يستهدفها المتسللون عادةً هي صفحة تسجيل الدخول إلى WordPress الخاصة بك.يمكنهم القيام بذلك من خلال هجوم القوة الغاشمة ، باستخدام الروبوتات التي تحاول بشكل متكرر تخمين كلمة المرور الخاصة بك.
- كود PHP على موقعك - هذه نقطة إدخال أخرى يستخدمها المتسللون بشكل شائع.يستغل المهاجمون الثغرات الأمنية في كود PHP الخاص بموقعك. يتضمن ذلك WordPress core والسمات والمكونات الإضافية والتطبيقات الأخرى قيد التشغيل.
- تطبيقات الويب القديمة والقديمة - بقدر ما تحاول الحفاظ على أمان موقع الويب الخاص بك ، هناك أماكن أخرى يسعى المهاجمون لاستغلالها.إذا كنت تستخدم تطبيقات قديمة وعفا عليها الزمن ولم تتم صيانتها ، سيستفيد المهاجمون من ذلك بسبب نقاط ضعفهم.
كيفية حماية موقع WordPress الخاص بك
واحدة من أفضل الطرق لحماية موقع WordPress الخاص بك هي إجراء تحديثات متكررة. من المستحسن أيضًا أن تكون على اطلاع دائم بالثغرات الأمنية الجديدة التي تحدث كل يوم. فيما يلي بعض احتياطات السلامة التي ستساعدك.
- استخدم كلمات مرور مختلفة وقوية في حسابات كل مستخدم.
- اختر مزود استضافة موثوق به يلتزم بمستوى عالٍ من الأمان ، خاصة على الخوادم المشتركة.
- قم دائمًا بتحديث السمات ونواة WordPress والمكونات الإضافية.
- تخلص من جميع تطبيقات الويب القديمة التي لم يتم الحفاظ عليها مثل النسخ الاحتياطية القديمة لأنها ضعيفة.
- قم بإزالة الملفات والبيانات الحساسة المستضافة على موقع الويب الخاص بك.
- فكر في الاستعانة بمزود خدمة صيانة WordPress موثوق يمكنه مساعدتك في تقييم المخاطر وتحسين الأمان.
خاتمة
بصفتك ناشرًا ، يعد موقع الويب الخاص بك جزءًا مهمًا من عملك. يمكن أن تتسبب أي عمليات اختراق في أضرار جسيمة لعملك وعلامتك التجارية وعائدات الإعلانات وحسابات شبكة الإعلانات!
تأكد من اتخاذ جميع الاحتياطات الممكنة لضمان حماية بياناتك وملفاتك. يتم تنفيذ الهجمات كل يوم ، وهي تتغير باستمرار. من خلال اتخاذ الاحتياطات واستخدام أحدث المكونات الإضافية والجدران النارية للأمان ، ستحمي جميع استثماراتك.
أيضًا ، لا تنسَ الاحتيال في الإعلانات وحركة المرور غير الصالحة. يمكن أن تؤدي حركة المرور وحركة مرور الروبوت غير الصالحة المرسلة إلى موقعك إلى فقد حسابات شبكة الإعلانات الخاصة بك. بمجرد أن تفقد حسابات شبكة الإعلانات الخاصة بك ، في معظم الأحيان ، لن يكون هناك إمكانية لاستعادتها. قم بحماية حسابات شبكة الإعلانات الخاصة بك وعائدات الإعلانات من خلال الاشتراك في Traffic Cop اليوم!
نامان مودي هو مدون محترف وخبير في تحسين محركات البحث ومدون ضيف في NamanModi.com ، وهو حائز على جوائز ورائد أعمال ويب مستقل يساعد رواد الأعمال الجدد على إطلاق أول أعمالهم الناجحة عبر الإنترنت.