أهم 5 ثغرات أمنية في تثبيتات WordPress

يمكن أن يكون تثبيت WordPress الخاص بك آمنًا أو غير آمن كما تريد. تعرّف على الأشياء الخمسة الأكثر أهمية عندما يتعلق الأمر بالأمان.

المخاوف والشكاوى المتعلقة بأمان WordPress ليست شيئًا جديدًا.

إذا كنت بحاجة إلى CMS وحدثت لاستشارة مزود خدمة غير موجود في WordPress ، فإن الأمان هو الشيء الأول الذي ستسمع عنه. هل هذا يعني أنه يجب على الجميع التخلي عن WordPress والتحول إلى مولدات المواقع الثابتة أو CMS مقطوعة الرأس؟

لا ، لأنه مثل كل حقيقة في الحياة ، فإن لهذه الحقيقة جوانب عديدة.

هل WordPress غير آمن للغاية؟

دعنا نلقي نظرة على بعض المواقع الضخمة التي تم إنشاؤها على WordPress:

  • تك كرانش
  • نيويوركر
  • بي بي سي أمريكا
  • بلومبرج
  • أخبار MTV
  • مدونة بلاي ستيشن

لذا ، ما الذي يجعل هذه الشركات – التي لديها جيوب عميقة بشكل سخيف وقوى عاملة محيرة للعقل – لا تنتقل من WordPress؟ إذا كنت تعتقد أن الإجابة هي رمز قديم ، ففكر مرة أخرى: بالنسبة لهذه الأسماء ، فإن أمان البيانات والصورة العامة أكثر أهمية بلا حدود من الترحيل البسيط الذي سيكلف (أقدر) أقل من 200000 دولار.

من المؤكد أن مهندسيهم يعرفون ما يفعلونه ولا يرون أي مشكلات أمنية أساسية غير قابلة للحل مع WordPress؟

حتى أنني كنت محظوظًا لإدارة تثبيت WordPress الذي يستقبل 3.5-4 مليون زائر شهريًا. إجمالي عدد الخروقات الأمنية في السنوات الثماني الماضية؟ صفر!

لذا . . . هل WordPress آمن؟

أنا آسف إذا بدا الأمر وكأنه تصيد ، ولكن ها هي إجابتي:

أقول ذلك لأنه ، مثل كل حقيقة في الحياة ، الأمر معقد. للوصول إلى إجابة شرعية ، يجب أن نفهم أولاً أن WordPress (أو أي نظام إدارة محتوى تم إنشاؤه مسبقًا ، لهذا الأمر) لا يشبه الخزانة التي تلتصق بها في مكان ما بشكل دائم وتنتهي من ذلك.

إنه برنامج معقد مع العديد من التبعيات:

  • PHP ، وهي اللغة التي بنيت بها
  • جهاز مرئي للجمهور يستضيف التثبيت
  • خادم الويب المستخدم للتعامل مع الزوار (Apache و Nginx وما إلى ذلك)
  • قاعدة البيانات المستخدمة (MySQL / MariaDB)
  • السمات (حزم ملفات PHP و CS و JS)
  • الإضافات (حزم ملفات PHP و CS و JS)
  • وغير ذلك الكثير ، اعتمادًا على مقدار ما يهدف التثبيت إلى تحقيقه

بمعنى آخر ، سيتم تسمية خرق أمني في أي من هذه اللحامات بأنه خرق لـ WordPress.

إذا كانت كلمة مرور جذر الخادم هي admin123 وتم اختراقها ، فهل هذا عيب أمان في WordPress؟

إذا كان إصدار PHP به ثغرة أمنية ، أو إذا كان المكون الإضافي الجديد الذي اشتريته وتثبيته يحتوي على ثغرة أمنية صارخة ؛ وهلم جرا. للتلخيص: فشل النظام الفرعي ، وفشل أمان WordPress.

  كيفية تثبيت Ghost على خادم Ubuntu

جانبا ، من فضلك أيضًا لا تدع هذا يعطيك انطباعًا بأن PHP و MySQL و Apache ليست آمنة. كل جزء من البرنامج به نقاط ضعف ، وعددها مذهل في حالة المصدر المفتوح (لأنه متاح للجميع لرؤيته وتحليله).

هل قال أحدهم “آمن”؟ 😛

ما نتعلمه من كل هذا التمرين هو:

لا شيء آمن أو غير آمن في حد ذاته. المكونات المختلفة المستخدمة هي التي تشكل الروابط في السلسلة ، السلسلة ، بالطبع ، قوية مثل أضعفها. تاريخيًا ، كان تصنيف WordPress “غير آمن” عبارة عن مزيج من إصدارات PHP القديمة ، والاستضافة المشتركة ، وإضافة المكونات الإضافية / السمات من مصادر غير موثوق بها.

في الوقت نفسه ، تجعل بعض عمليات المراقبة الشائعة تثبيت WordPress الخاص بك عرضة لأولئك الذين يعرفون كيفية استغلالها وهم مصممون. وهذا ما يدور حوله هذا المنشور. لذلك بدون مزيد من اللغط (والحجج الدائرية) ، فلنبدأ.

أهم ثغرات WordPress التي يمكن للقراصنة استغلالها

بادئة جدول WordPress

يعد التثبيت الشهير لمدة 5 دقائق هو أفضل شيء يحدث لـ WordPress ، ولكن مثل جميع معالجات التثبيت ، فهو يجعلنا كسالى ويترك الأشياء افتراضيًا.

هذا يعني أن البادئة الافتراضية لجداول WordPress الخاصة بك هي wp_ ، مما ينتج عنه أسماء جداول يمكن لأي شخص تخمينها:

  • مستخدمي wp
  • خيارات wp
  • مشاركات wp

الآن ، ضع في اعتبارك هجومًا يُعرف باسم حقن SQL ، حيث يتم إدخال استعلامات قاعدة البيانات الضارة بذكاء وتشغيلها داخل WordPress (يرجى ملاحظة – هذا ليس بأي حال هجومًا حصريًا لـ WordPress / PHP).

بينما يحتوي WordPress على آليات مدمجة للتعامل مع هذه الأنواع من الهجمات ، لا يمكن لأحد أن يضمن عدم حدوثها.

لذلك إذا تمكن المهاجم بطريقة ما ، بطريقة ما ، من تشغيل استعلام مثل DROP TABLE wp_users ؛ DROP TABLE wp_posts ؛ سيتم مسح جميع حساباتك وملفات تعريفك ومنشوراتك في لحظة دون أي فرصة لاستردادها (ما لم يكن لديك نظام نسخ احتياطي في مكانه ، ولكن حتى ذلك الحين ، ستفقد البيانات منذ آخر نسخ احتياطي ).

يعد تغيير البادئة أثناء التثبيت أمرًا كبيرًا (لا يتطلب أي جهد).

يوصى بشيء عشوائي مثل sdg21g34_ لأنه هراء ويصعب تخمينه (كلما كانت البادئة أطول ، كان ذلك أفضل). أفضل جزء هو أن هذه البادئة لا يجب أن تكون في الذاكرة ؛ البادئة هي شيء سيحفظه WordPress ، ولن تضطر أبدًا للقلق بشأنه مرة أخرى (تمامًا كما لا تقلق بشأن بادئة wp_ الافتراضية!).

عنوان URL الافتراضي لتسجيل الدخول

كيف تعرف أن موقعًا إلكترونيًا يعمل على WordPress؟ إحدى العلامات المنبهة هي أنك ترى صفحة تسجيل الدخول إلى WordPress عند إضافة “/wp-login.php” إلى عنوان موقع الويب.

كمثال ، لنأخذ موقع الويب الخاص بي (http://ankushthakur.com). هل هو موجود على ووردبريس؟ حسنًا ، امض قدمًا وأضف جزء تسجيل الدخول. إذا كنت تشعر بالكسل الشديد ، فإليك ما يحدث:

  Alexa ، لماذا ينظر الموظفون إلى بياناتي؟

¯_ (ツ) _ / ¯

WordPress ، أليس كذلك؟

بمجرد معرفة هذا الأمر ، يمكن للمهاجم أن يفرك يديه بسعادة ويبدأ في تطبيق الحيل السيئة من Bag-O’-Doom على أساس أبجدي. المسكين أنا!

الحل هو تغيير عنوان URL الافتراضي لتسجيل الدخول ومنحه فقط للأشخاص الموثوق بهم.

على سبيل المثال ، هذا الموقع موجود أيضًا على WordPress ، ولكن إذا قمت بزيارة http://admingate.org.com/wp-login.php ، فكل ما ستحصل عليه هو خيبة أمل عميقة. عنوان URL لتسجيل الدخول مخفي وغير معروف إلا للمسؤولين؟

تغيير عنوان URL لتسجيل الدخول ليس علمًا صارخًا أيضًا. فقط خذ هذا توصيل في.

تهانينا ، لقد أضفت للتو طبقة أخرى من الأمان المحبط ضد هجمات القوة الغاشمة.

إصدار PHP وخادم الويب

لقد ناقشنا بالفعل أن كل جزء من البرامج تمت كتابته (ويتم كتابته) مليء بالأخطاء التي تنتظر الاستغلال.

الشيء نفسه ينطبق على PHP.

حتى إذا كنت تستخدم أحدث إصدار من PHP ، فلا يمكنك التأكد من نقاط الضعف الموجودة وقد يتم اكتشافها بين عشية وضحاها. الحل هو إخفاء ترويسة معينة مرسلة من خادم الويب الخاص بك (لم تسمع عن الرؤوس؟ قراءة هذه!) عندما يتصل به المتصفح: x-powered-by.

إليك ما سيبدو عليه الأمر إذا قمت بفحص أدوات التطوير في متصفحك المفضل:

كما نرى هنا ، يخبرنا موقع الويب أنه يعمل على Apache 2.4 ويستخدم إصدار PHP 5.4.16.

الآن ، هذا بالفعل الكثير من المعلومات التي نمررها بدون سبب ، مما يساعد المهاجم على تضييق نطاق اختياره للأدوات.

يجب إخفاء هذه الرؤوس (وما شابهها).

لحسن الحظ ، يمكن القيام بذلك بسرعة ؛ لسوء الحظ ، هناك حاجة إلى معرفة تقنية متطورة حيث ستحتاج إلى الغوص في شجاعة النظام والتلاعب بالملفات المهمة. لذلك ، نصيحتي هي أن تطلب من مزود استضافة موقع الويب الخاص بك القيام بذلك نيابةً عنك ؛ إذا لم يروا ما إذا كان يمكن للمستشار أن يقوم بذلك ، على الرغم من أن هذا سيعتمد إلى حد كبير على مضيف موقع الويب الخاص بك ما إذا كان الإعداد لديه مثل هذه الاحتمالات أم لا.

إذا لم ينجح الأمر ، فقد يكون الوقت قد حان لتبديل موفري الاستضافة أو الانتقال إلى VPS وتوظيف مستشار لمخاوف الأمان والإدارة.

هل تستحق ذلك؟ فقط يمكنك أن تقرر هذا. 🙂

أوه ، وإذا كنت ترغب في التعرف على رؤوس الأمان ، فإليك الحل!

عدد محاولات تسجيل الدخول

يُطلق على أحد أقدم الحيل في كتيب المتسلل هجوم القاموس.

الفكرة هي أن تجرب عددًا كبيرًا يبعث على السخرية (الملايين ، إن أمكن) من التركيبات لكلمة مرور ما لم تنجح إحداها. نظرًا لأن أجهزة الكمبيوتر سريعة جدًا في ما تفعله ، فإن مثل هذا المخطط الأحمق معقول ويمكن أن يؤدي إلى نتائج في وقت معقول.

  يتم إيقاف Stringify بعد خمس سنوات

كان أحد الدفاعات الشائعة (والفعالة للغاية) هو إضافة تأخير قبل إظهار الخطأ. هذا يجعل المستلم ينتظر ، مما يعني أنه إذا كان نصًا يستخدمه مخترق ، فسيستغرق وقتًا طويلاً للانتهاء. هذا هو سبب ارتداد جهاز الكمبيوتر أو التطبيق المفضل لديك قليلاً ثم يقول ، “عفوًا ، كلمة المرور الخاطئة!”.

على أي حال ، النقطة المهمة هي أنه يجب عليك تحديد عدد محاولات تسجيل الدخول لموقع WordPress الخاص بك.

بالإضافة إلى عدد محدد من المحاولات (على سبيل المثال ، خمس محاولات) ، يجب أن يتم قفل الحساب ويجب أن يكون قابلاً للاسترداد فقط من خلال البريد الإلكتروني لصاحب الحساب.

لحسن الحظ ، يعد إنجاز هذا الأمر بمثابة نزهة إذا صادفت مكانًا لطيفًا توصيل في.

HTTP مقابل HTTPS

شهادة SSL التي كان البائع يزعجك بشأنها أكثر أهمية مما تعتقد.

إنها ليست مجرد أداة سمعة لإظهار رمز قفل أخضر في المتصفح يقول “آمن” ؛ بدلاً من ذلك ، يعد تثبيت شهادة SSL وإجبار جميع عناوين URL على العمل على “https” وحده كافياً لنقل موقع الويب الخاص بك من كتاب مفتوح إلى تمرير مشفر.

إذا كنت لا تفهم كيفية حدوث ذلك ، فيرجى قراءة شيء يعرف باسم a رجل في منتصف الهجوم.

هناك طريقة أخرى لاعتراض حركة المرور المتدفقة من جهاز الكمبيوتر الخاص بك إلى الخادم وهي استنشاق الحزم ، وهو شكل سلبي لتجميع البيانات ولا يحتاج حتى إلى بذل مجهود كبير لوضع نفسه في المنتصف.

بالنسبة إلى المواقع التي تعمل عبر “HTTP” العادي ، فإن الشخص الذي يعترض حركة مرور الشبكة ، تظهر كلمات المرور وأرقام بطاقات الائتمان الخاصة بك بنص واضح وواضح.

المصدر: موقع Comparitech.com

مخيف؟ جداً!

ولكن بمجرد تثبيت شهادة SSL وتحويل جميع عناوين URL إلى “https” ، تظهر هذه المعلومات الحساسة على أنها هراء لا يستطيع فك تشفيره سوى الخادم. بمعنى آخر ، لا تقلق من تلك الدولارات القليلة في السنة. 🙂

استنتاج

هل ستتم السيطرة على هذه الأشياء الخمسة لتأمين موقع الويب الخاص بك بشكل جيد؟

لا إطلاقا. كما يقول عدد لا يحصى من المقالات الأمنية ، فأنت لست آمنًا بنسبة 100٪ ، ولكن من الممكن التخلص من فئة كبيرة من هذه المشكلات بجهد معقول. يمكنك التفكير في استخدام SUCURI cloud WAF لحماية مواقعك بشكل شامل.