الرئيسية
شرح اهم الطرق التي تمكنك من حماية موقعك الذي يعمل بنظام وردبريس من الإختراق حماية موقعك الذي يعمل بنظام وردبريس
1 – فحص الاضافات [Plugins]:
أشهر الاضافات التي تسببت في اختراق الوردبريس كانت [Revslider] هي اضافة تمكن المستخدم من اضافة عارض متحرك للصور داخل موقعك أو مدونتك وكانت هذه الاضافة مصابة بثغرة [Local File Inclusion] في الرابط الخاص بعرض الصور وتمكن هذه الثغرة المخترق من سحب ملف WP-Config.php والمتخصص في ربط الموقع بقاعدة البيانات ومن خلال هذا الملف يمكن للمخترق الاتصال خارجيًا بقاعدة البيانات والدخول بحساب المدير أو اضافة حساب مدير جديد.
– لحمايتك من الاختراق عبر هذه الطريقة قم بالبحث عن اسم الاضافة قبل تركيبها والثغرات الأمنية الموجودة بها وملف الاصلاح الخاص بالخلل الموجود بداخلها.
2 – فحص القوالب [Templates]:
إذا كنت تستخدم قالب من تصميم إحدى الشركات باتفاق مسبق قم بمراجعة دوال $_POST في القالب أو التأكد من أنه إن كان القالب به خاصية رفع صور لعضويات قم بربط رفع الصور على اي مركز رفع خارجي مثل [Amazon Simple Storage Service] لأن إذا كان الرفع داخل موقعك حتى وإن حددت رفع صور فقط بصيغة JPG يمكن للمخترق رفع صورة باسم [C99.php.jpg] وباستخدام أداة مثل [Tamper Data] يمكنه تعديل اسم الملف وإزالة JPG ليصبح C99.php ويقوم بعرضه واختراق موقعك من خلاله.
3 – هجوم القوة العمياء [Bruteforce Attack]:
يعتبر هذا النوع من الاختراق أحد أسوأ أنواع الهجوم لأن في هذه الحالة يقوم القرصان باستخدام أداة مثل [CMSMAP] أو أي أداة أخرى بالبحث عن اسم المدير وعمل Wordlist بها مثلاً 10 آلاف رقم سري ويقوم بالتخمين على الموقع حتى الوصول لكلمة السر الخاصة بالمدير ورفع ملفاته على موقع الضحية.
– يمكنك حماية موقعك من هذا الهجوم باستخدام أداة مثل [WPSecureOps Brute Force Protect]، فباستخدام هذه الأداة يمكنك أن تحدد عدد مرات تجربة الرقم السري، بمعنى أنك إذا قمت بإدخال الرقم السري أكثر من 5 مرات يقوم الموقع بحجبك من استخدامه لمدة 30 دقيقة حتى تتذكر الرقم السري في حالة أنك مستخدم عادي أما إذا كنت مخترق فيمنعك من دخول الموقع حتى إيقاف أداة التخمين على الرقم السري.
4 – حماية الوصول للملفات [File Access]:
في هذه الطريقة يمكنك منع أي شخص من الوصول لملفات مدونتك حتى وإن كان موقعك مصاب بثغرة أمنية. يمكنك إضافة هذا الكود إلى ملف [htaccess.] لكي يمنع المخترقين من الوصول إلى ملف قاعدة البيانات.
# protect wp-config.php
<files wp-config.php>
order allow, deny
deny from all
</files>
– يمكنك أيضًا أن تقوم بالتعديل على ملف [functions.php] وحذف [remove_actino(‘wp_head’, ‘wp_generator’);] حتى لا يستطيع المخترق أن يعرف رقم الإصدار حتى في حين إن كان الإصدار نفسه مصاب بثغرة أمنية لا تمكن المخترق من معرفة نوعه.
يمكنك أيضًا وضع رقم سري لملف [wp-admin] من لوحة [Cpanel] فقم باختيار Password Protect Directories وحدد مسار لوحة التحكم wp-admin وقم بتعيين رقم سري للمدير فقط.
كما يمكنك من إسعمال عدة أدوات لحماية موقعك و اهمها
– NinjaFirewall (WP edition)
– iThemes Security
– BulletProof Security
– 6Scan Security
1 – فحص الاضافات [Plugins]:
أشهر الاضافات التي تسببت في اختراق الوردبريس كانت [Revslider] هي اضافة تمكن المستخدم من اضافة عارض متحرك للصور داخل موقعك أو مدونتك وكانت هذه الاضافة مصابة بثغرة [Local File Inclusion] في الرابط الخاص بعرض الصور وتمكن هذه الثغرة المخترق من سحب ملف WP-Config.php والمتخصص في ربط الموقع بقاعدة البيانات ومن خلال هذا الملف يمكن للمخترق الاتصال خارجيًا بقاعدة البيانات والدخول بحساب المدير أو اضافة حساب مدير جديد.
– لحمايتك من الاختراق عبر هذه الطريقة قم بالبحث عن اسم الاضافة قبل تركيبها والثغرات الأمنية الموجودة بها وملف الاصلاح الخاص بالخلل الموجود بداخلها.
2 – فحص القوالب [Templates]:
إذا كنت تستخدم قالب من تصميم إحدى الشركات باتفاق مسبق قم بمراجعة دوال $_POST في القالب أو التأكد من أنه إن كان القالب به خاصية رفع صور لعضويات قم بربط رفع الصور على اي مركز رفع خارجي مثل [Amazon Simple Storage Service] لأن إذا كان الرفع داخل موقعك حتى وإن حددت رفع صور فقط بصيغة JPG يمكن للمخترق رفع صورة باسم [C99.php.jpg] وباستخدام أداة مثل [Tamper Data] يمكنه تعديل اسم الملف وإزالة JPG ليصبح C99.php ويقوم بعرضه واختراق موقعك من خلاله.
3 – هجوم القوة العمياء [Bruteforce Attack]:
يعتبر هذا النوع من الاختراق أحد أسوأ أنواع الهجوم لأن في هذه الحالة يقوم القرصان باستخدام أداة مثل [CMSMAP] أو أي أداة أخرى بالبحث عن اسم المدير وعمل Wordlist بها مثلاً 10 آلاف رقم سري ويقوم بالتخمين على الموقع حتى الوصول لكلمة السر الخاصة بالمدير ورفع ملفاته على موقع الضحية.
– يمكنك حماية موقعك من هذا الهجوم باستخدام أداة مثل [WPSecureOps Brute Force Protect]، فباستخدام هذه الأداة يمكنك أن تحدد عدد مرات تجربة الرقم السري، بمعنى أنك إذا قمت بإدخال الرقم السري أكثر من 5 مرات يقوم الموقع بحجبك من استخدامه لمدة 30 دقيقة حتى تتذكر الرقم السري في حالة أنك مستخدم عادي أما إذا كنت مخترق فيمنعك من دخول الموقع حتى إيقاف أداة التخمين على الرقم السري.
4 – حماية الوصول للملفات [File Access]:
في هذه الطريقة يمكنك منع أي شخص من الوصول لملفات مدونتك حتى وإن كان موقعك مصاب بثغرة أمنية. يمكنك إضافة هذا الكود إلى ملف [htaccess.] لكي يمنع المخترقين من الوصول إلى ملف قاعدة البيانات.
# protect wp-config.php
<files wp-config.php>
order allow, deny
deny from all
</files>
– يمكنك أيضًا أن تقوم بالتعديل على ملف [functions.php] وحذف [remove_actino(‘wp_head’, ‘wp_generator’);] حتى لا يستطيع المخترق أن يعرف رقم الإصدار حتى في حين إن كان الإصدار نفسه مصاب بثغرة أمنية لا تمكن المخترق من معرفة نوعه.
يمكنك أيضًا وضع رقم سري لملف [wp-admin] من لوحة [Cpanel] فقم باختيار Password Protect Directories وحدد مسار لوحة التحكم wp-admin وقم بتعيين رقم سري للمدير فقط.
كما يمكنك من إسعمال عدة أدوات لحماية موقعك و اهمها
– NinjaFirewall (WP edition)
– iThemes Security
– BulletProof Security
– 6Scan Security
