استمع إلى المقال

“ووردبريس” النظام الأكثر شهرة بين أنظمة إدارة المحتوى في العالم، منذ إطلاقه عام 2003، بدأت الكثير من المواقع الإلكترونية الشخصية والتجارية والحكومية بالتوجه لاستخدامه، وذلك لعدة أسباب لعل أهمها هو أن النظام مجاني بالكامل مع التحديث والدعم المستمر له، وسهولة إدارته مقارنة بالأنظمة الأخرى، مع توفيرٍ لآلاف من الإضافات المتنوعة.

 مع ذلك، ونظرا لاستخدامه على نطاق واسع، يُعتبر نظام “ووردبريس”، هدفا شائعا للمتسللين والمخترقين، فاستخدام هذا النظام يصاحبه بعضُ المخاطر التي تحدق به، ويجب علينا التعرف عليها والتحذير منها.

المخاطر التي تواجه نظام إدارة المحتوى “ووردبريس” متنوعة ومتعددة وذات تأثيرات فعّالة، فقد يؤدي اختراق الموقع إلى تسريب المعلومات الحساسة، وسرقة البيانات، وتعرّض الزوار للخطر، والتسبب في أضرار مالية لصاحب الموقع، ومن ثم التأثير على سمعته.

علينا أن نفهم أن نظام إدارة المحتوى “ووردبريس” ليس مثاليا، وأن هناك مخاطر تحدق به، ولكن ما هي هذه المخاطر، وكيف يمكننا تفاديها، وما هي الممارسات الأمنية السليمة لذلك، دعونا نكتشف ذلك معا من خلال التقرير التالي.

قد يهمك: التحديثات الأمنية الدورية للهواتف.. ما مخاطر توقفها؟

استمرار التهديدات

نهاية شباط/فبراير الماضي، اكتشف باحث أمني من موقع “Patchstack” المتخصص في متابعة وكشف الثغرات الأمنية لمنصة “ووردبريس”، عن وجود ثغرتين هامتين ضمن قالب “Houzez”، الذي يتيح إدارة القوائم بشكل سهل وسلس للعميل.

الثغرة الأولى، تشير إلى خطأ في التكوين يؤثر على الإصدار 2.7.1 من “ووردبريس” وكذلك الإصدارات الأكثر ِقدما، ويمكن استغلالها عن بُعد، أما الثغرة الثانية تؤثرعلى عملية تسجيل دخول القالب في الإصدارات 2.6.3 والإصدارات السابقة من المنصة.

الهجمات التي لاحظتها “Patchstack”، كانت عن طريق إنشاء باب خلفي قادر على تنفيذ الأوامر، وحقن الإعلانات في الموقع وإعادة التوجيه إلى المواقع الضارة، لذا أوصى الباحثون الأمنيون بالتحديث الفوري في أقرب وقت ممكن.

نقاط ضعف ومشاكل أمنية وسبل الحماية

البرامج الأساسية القديمة

ذكرنا آنفا أن من ميزات “ووردبريس” هو استمرار المطوّرين بتحديث وتحسين وظائف النظام الأساسي وأدوات الحماية فيه لتوفير تجربة سلسة للمستخدم .

مطوّرو “ووردبريس” يطرحون تحديثات كلّ ثلاثة أشهر تقريبا، ويوصى بشدة أن يقوم جميع مستخدمي “ووردبريس” بتنزيل هذه التحديثات عندما تصبح متاحة إمّا يدويا أو عن طريق تمكين التحديثات التلقائية.

الإصدارات عادة تشمل  تحسينات وإصلاحات للأخطاء والثغرات الأمنية الخطرة، لذا فإن تحديث الملفات الأساسية يمكن أن يساعد على تحسين وظائف الموقع وأدائه وتوافقه، بالإضافة إلى الأمان.

يمكن التأكد من توفّر التحديثات في لوحة التحكم الخاصة بالموقع، للحصول على أحدث إصدار من الشركة.

تهديدات ووردبريس تاتي من الاضافات والقوالب اكثر من البرنامج الاساسي
نسبة توضح أن الإضافات والقوالب تسبب المخاطر اكثر من البرنامج الأساسي

القوالب والمكونات الإضافية القديمة

مطوّرو المنصة ينشؤون مئات القوالب والإضافات المجانية والمدفوعة، والتي يمكن لمستخدمي مواقع “ووردبريس” استخدامها لتخصيص مواقعهم، وإضافة الكثير من الميزات.

هذه القوالب والإضافات، مثلها مثل البرنامج الأساسي، فهي بحاجة مستمرة للتحديث لتجنب المخاطر الأمنية.

 وفقا لبيانات موقع “WPScan“، فإن ما يقارب 97 بالمئة من المخاطر متعلقة بالقوالب والإضافات، فيما 4 بالمئة فقط هي مخاطر متعلقة بالبرامج الأساسية، وتزداد نسبة المخاطر في الإصدارات المجانية أكثر من الإصدارات المدفوعة.

مطوّرو القوالب والمكونات الإضافية غالبا ما يقومون بإصدار تحديثات مع تحسينات وإجراءات أمان إضافية، ولكن هذا الأمر لا ينطبق على جميع المطوّرين، وحينها تصبح المواقع التي تستخدم هذه الموارد عرضة للقراصنة الذين يمكنهم استخدامها كنقاط للدخول.

لذا من المهم جدا، مراقبة التحديثات المتوفرة للقوالب والإضافات التي قمنا بإضافتها إلى مواقعنا، والحرص على تحديثها على نحو متواصل، في المقابل يُفضّل إزالة المكونات الإضافية التي لم تعد تتلقى تحديثا من مطوريها.

الاضافات التي تساهم في تهديدات ووردبريس
الاضافات والقوالب المجانية اكثر خطرا من المدفوعة

كلمات مرور ضعيفة

أكبر الأخطاء التي يرتكبها مستخدمو “ووردبريس” هي استخدام كلمات مرور ضعيفة وسهلة التخمين للدخول للوحة التّحكم، وهذا ما يجعل مهمة المتسللين للوصول إلى إدارة الموقع في غاية البساطة.

على سبيل المثال، يُعد هجوم القوة العمياء (الغاشمة) أحد أكثر الهجمات الإلكترونية شيوعا، والتي تعتمد على النصوص المشفرة، ومن مراحل عملية الاختراق يستخدم المتسللون مجموعات مختلفة من كلمات المرور، حتى يتمكنوا من كسر الشفرة واختراقها، وذلك من خلال استخدام صفحة تسجيل الدخول الخاصة بالموقع.

من الضروري جدا التأكد من أن كل مستخدم لديه حق الوصول إلى لوحة تحكم “ووردبريس” أن يستخدم كلمة مرور صعبة أو حتى معقّدة، ومن ميزات المنصة أيضا أن هناك أداة إنشاء كلمات للمرور مضمنة في لوحة التحكم يوصى باستخدامها بشدة.

علاوة على ذلك، من الحكمة تحديث كلمات مرورك بشكل دوري، مع تمكين المصادقة الثنائية التي يقدمها “ووردبريس” على نحو افتراضي.

البرامج الضارة

القراصنة بإمكانها استخدام البرامج الضارة لإصابة موقع ويب بشفرات ضارة بهدف سرقة البيانات، إذا كنا نتعامل مع موقع ويب تم الاستيلاء عليه سابقا، فهناك احتمال كبير أن تكون ملفاتنا مصابة ببرامج ضارة أيضا.

البرامج الضارة تتعدد أشكالها، وتتطور مع مرور الوقت، بعض الأنواع الأكثر شيوعا التي تؤثر على مواقع “ووردبريس” هي عمليات إعادة التوجيه الضارة، وهجمات الباب الخلفي.

الوقاية هي أفضل طريقة للتعامل مع هذه البرامج الضارة، ولكن بالرغم من ذلك كلّه قد نظل ضحية لتلك البرامج، لذا من أهم الخطوات المتّبعة هي التحقق من إصابتها بهذه البرامج أولا، والتي من الممكن أن تكون ضمن ملفّاتنا أو مجلّداتنا أو حتى قاعدة بيانات موقعنا، وتتم عملية التأكد عن طريق استخدام أداة مثل “Wordfence” لإجراء فحص للبرامج الضارة لموقعنا.

هذه الأداة توفر جدارا جيدا للحماية وماسحا للبرامج الضارة لتساعدنا في الكشف عن مواقع الإصابة، مع توفير ميزة الحماية الثنائية.

قد تتسبب البرامج الضارة بتلف الملفات الخاصة بالموقع، لذا من الضروري إجراء نسخة احتياطية عن الملفات وقاعدة البيانات للموقع، هناك إضافات ممتازة لإجراء هذه العملية على نحو تلقائي وإرسال نسخة منها على البريد الإلكتروني بشكل دوري.

برمجة عابرة للمواقع (XSS)

بعض الإضافات المجانية غير معروفة المصدر، ومن الممكن أن تكون قد حُقنت بنصوص “جافا سكريبت” غير آمنة لسرقة بيانات المتصفح، على سبيل المثال، بمجرد حقن الموقع بالنصوص البرمجية، يمكن سرقة البيانات في المرة التالية التي يزور فيها المستخدم موقع الويب الخاص بنا ويملأ نموذجا.

من أهم الخطوات المتّبعة للحيلولة دون تعرّضنا لهذا النوع من البرمجيات، هي الحفاظ على تحديث موقعنا في جميع الأوقات، بالإضافة إلى التأكد من استخدام إضافات ومكونات من مصادر موثوقة.

تحسين محركات البحث والبريد العشوائي

هذا النوع من الاختراقات غير المرغوب فيه تشبه إلى حدّ كبير عمليات حقن قاعدة البيانات “SQL”، لكنها تستهدف الصفحات ذات الترتيب الأعلى، ويتم ملؤها بكلمات رئيسية غير مرغوب فيها وإعلانات منبثقة، لبيع العناصر أو البضائع المزيفة.

نظام “ووردبريس” عرضة لهذه الهجمات بالطرق نفسها التي تم ذكرها سابقا، أي من خلال الإضافات والقوالب والبرنامج الأساسي القديم، ويمكن للهجمات العمياء الناجحة وأدوار المستخدم غير المحددة أن تجعل الموقع عرضة للخطر.

ما يجعل هذا النوع من الاختراقات أكثر خطورة، هو صعوبة اكتشافها، فغالبا ما يحصل المتسللون على إمكانية الوصول، ولكنهم لا يقوموا بأي إجراء أو أي تغييرات، حتى لا تثير شكوكا فورية، نظرا لأنها تعتمد على تحسين محركات البحث، يتم وضع إضافات الكلمات الرئيسية غير المرغوب فيها فقط على صفحات عالية الترتيب، لذا من الصعب كشفها. يقوم المتسللون ببساطة بإدخال كلمة رئيسية هنا وهناك داخل الصفحات ذات الصلة، لذلك يظل الموقع سليما نسبيا.

من أول الأشياء التي يمكنك القيام بها هو اتّباع الإجراءات الأمنية المذكورة أعلاه مثل التحديث بشكل دوري، وتحديد أدوار المستخدم وأذوناته، يمكنك أيضا استخدام مكون إضافي للأمان في “ووردبريس” من شأنه إجراء عمليات فحص للبرامج الضارة.

من الضروري أيضا مراقبة زيادة حركة المرور على الموقع دون سبب واضح، قد يتم إخطار المستخدم عن ظهور موقعه في نتائج بحث عن شيء لا يبدو مرتبطا بمحتوى الموقع.

جودة الاستضافة

استضافة موقعنا تلعب دورا محوريا في أمانه، فالاستضافة الضعيفة أو منخفضة الجودة ذات الحماية المحدودة هدف شائع للمتسللين، فهناك بعض الاستضافات تقوم بمشاركة المساحة مع عدة مواقع، أي الكل معرض للخطر في حال إصابة أي موقع تم استضافته على نفس الخدمة.

من المهم اختيار مزوّد استضافة موثوق، يوفر الكثير من ميزات الأمان، مع توفير الدعم النشط في حال نشوب حالات للاختراق أو مشاكل أخرى.

هجمات رفض الخدمات

هجوم رفض الخدمة (DOS)، يهدف إلى منع مسؤولي الموقع والزوار من الوصول إلى موقع، يتم ذلك عن طريق إغراق المواقع بسيل من البيانات غير اللازمة، وتشكيل ضغط من حركة المرور إلى خادم مستهدف لدرجة أنه يتوقف عن العمل، في نهاية المطاف سيعود الموقع للعمل، ولكن قد يصعب إعادة بناء سمعة المواقع التي تم الهجوم عليه.

غالبا ما يتم إجراء هذه الهجمات من أجهزة مصابة عن طريق روبوتات، والتي تخفي المصدر الأصلي لحركة المرور، وتقوم بإرسال الكثير من البيانات على نحو تلقائي.

كل ما نحتاجه للحيلولة عدم إصابتنا بهذا النوع من الهجمات، هو العثور على مزود استضافة موثوق يناسب احتياجاتنا، ويحافظ على سمعته في أخذ الأمر على محمل الجد، فالاستضافة ذات الجودة الجيدة تتحمل الكثير من الضغط من حركة مرور البيانات، دون أن تتأثر أو تتوقف عن العمل، في هذه الحالة لن تؤثر هذه الهجمات على أداء موقعنا.

قد يهمك: الإعلانات المزيفة.. أسباب انتشارها ومخاطرها

الوقاية أولا

خلاصة التقرير، يمكن القول إن  المخاطر التي تحدق بنظام “ووردبريس” تتراوح بين الهجمات الإلكترونية والثغرات الأمنية والأخطاء البشرية.

لذلك، يجب على مستخدمي “ووردبريس” تحسين أمان مواقعهم عن طريق اتخاذ بعض الإجراءات الأساسية، مثل تحديث النظام والإضافات والقوالب بشكل منتظم، واستخدام كلمات مرور قوية وغير متكررة، وتثبيت الإضافات والقوالب فقط من المصادر الموثوقة، وتفعيل العديد من الميزات الأمنية المتاحة في “ووردبريس”، مثل “HTTPS” والتحقق الثنائي للعاملين ضمن الموقع والحماية من هجمات التصيّد والحماية من البرامج الضارة.

إضافة إلى ذلك، يمكن للمستخدمين الحصول على المزيد من المعلومات حول أمن النظام عن طريق مراجعة المنتديات والمدونات ذات الصلة.

 في النهاية، يتعين على المستخدمين البقاء على اتصال بمجتمع “ووردبريس” والحصول على التحديثات والمشورات الأمنية الأخرى، حتى يتمكنوا من الحفاظ على سلامة مواقعهم وبياناتهم.

هل أعجبك المحتوى وتريد المزيد منه يصل إلى صندوق بريدك الإلكتروني بشكلٍ دوري؟
انضم إلى قائمة من يقدّرون محتوى إكسڤار واشترك بنشرتنا البريدية.

الكلمات المفتاحية

أمن ووردبريس تهديدات ووردبريس ووردبريس

الأكثر قراءة

02 أبريل 2024 تجربة الوصول الفوري إلى ChatGPT بدون حساب

تجربة الوصول الفوري إلى ChatGPT بدون حساب
01 أبريل 2024 التصاعد المتسارع لسوق برامج التجسس

التصاعد المتسارع لسوق برامج التجسس
08 أبريل 2024 أسرار مذهلة في خرائط جوجل تحتاج إلى اكتشافها الآن – الجزء الاول

أسرار مذهلة في خرائط جوجل تحتاج إلى اكتشافها الآن – الجزء الاول
02 أبريل 2024 تسريب “إيه تي آند تي”.. ملايين المستخدمين تحت التهديد

تسريب “إيه تي آند تي”.. ملايين المستخدمين تحت التهديد