الإعلانات
مع ازدياد شعبية WordPress ، لم تكن مشكلات الأمان أكثر ملاءمة أبدًا - ولكن بخلاف الحفاظ على تحديثها ، كيف يمكن للمستخدم المبتدئ أو المتوسط أن يبقى على رأس الأمور؟ هل تعرف حتى إذا تم اختراق مدونتك؟ خدمة جديدة مفيدة من WebsiteDefender يهدف إلى حل هذه المشكلة.
هل يستحق الجهد رغم ذلك؟ أعني ، هذا لن يحدث لي ، هل هو كذلك? حسنا ، الضعف تم اكتشافه مؤخرًا في timthumb.php، أداة مساعدة لصنع الصور المصغرة تستخدم في نسبة كبيرة إلى حد كبير من السمات والإضافات القديمة (قبل أن يقوم WordPress بإنشاء صور مصغرة وصور مميزة في النظام الأساسي). بالنظر إلى أنه يمكن اكتشاف هذا الملف باستخدام الماسحات الضوئية الآلية ، فإن فرص بلوق الخاص بك يجري اختراق البرامج الضارة الجديدة تسلط الضوء على أهمية تحديث وتأمين مدونة ووردعند حدوث إصابة بالبرمجيات الضارة مثلما يحدث في SoakSoak.ru المكتشفة حديثًا ، فمن الضروري أن يتصرف مالكو مدونة WordPress. بسرعة. اقرأ أكثر خلال الأشهر المقبلة مرتفعة إلى حد ما - ولن تعرف ما إذا كان الأمر كذلك. لقد رأيت ذلك يحدث عدة مرات في الأسبوع الماضي وحده ، والآن يتعاملون مع التداعيات.
كيف يمكنك معرفة ما إذا تم اختراق موقعك؟
عادة ، أنت لا تفعل ذلك. الاختراق الأكثر شيوعًا الذي رأيته هو المكان الذي تعمل فيه لوحات الموقع والمشرف العادية كالمعتاد - ومع ذلك ، يتم اختطاف أي زائر من Google وإرساله إلى موقع في روسيا. بالطبع ، نظرًا لأنه من غير المحتمل أن تقوم Google بموقعك الخاص ، يظل الاختراق غير مكتمل حتى يقدم لك المستخدمون ملاحظاتك ، موقع الويب الخاص بك يقوم المضيفون بإيقاف تشغيلك كتهديد ، أو تحصل على تحذير مروع من Google بأنهم يقولون إن موقع الويب الخاص بك الآن يستضيف برامج ضارة رسميًا. وداعا المرور!
عادةً ما يقوم المتسلل أيضًا بتثبيت خلفية واجهة المستخدم الرسومية كاملة على الخادم الخاص بك ، مما يتيح لأي شخص لديه عنوان URL الوصول إلى جميع الملفات الخاصة بك والعهد المجاني للقيام كما يحلو لهم. إنها أشياء مخيفة للغاية ، وبسبب الطريقة التي يمكن بها ضبط الملفات الأساسية ، فإن التعافي من مثل هذا الهجوم يتطلب الكثير من العمل ، وبالتأكيد ليس شيئًا يمكن للمستخدم العادي القيام به.
لذلك... كيف يمكنني حماية مدونتي؟
لحسن الحظ ، هذا مجانا WebsiteDefender الخدمة يمكن مسح موقعك. وجها لوجه إلى هناك سجل. ومع ذلك ، لا تتوفر هذه الخدمة إلا للمدونين على WordPress الذاتي استضافت شرح الأشكال المختلفة لاستضافة المواقع [شرح التكنولوجيا] اقرأ أكثر تثبيت. إذا كنت تستخدم WordPress.com أو Blogger.com أو مدونة أخرى مستضافة مجانية مماثلة ، فلا يمكنك استخدامها. خطط الاستضافة المجانية لا تعمل أيضًا. يجب أن تكون قادرًا على تحميل ملف التحقق إلى الخادم الخاص بك قبل بدء الفحص ، وتقتصر الحسابات المجانية على موقع ويب واحد.
التسجيل والتحقق
بمجرد التحقق من عنوان بريدك الإلكتروني الذي تم إدخاله أثناء التسجيل ، سيتم إرسالك إلى صفحة يمكنك من خلالها تنزيل ملف التحقق الصغير. يجب تحميل هذا على جذر موقع الويب الخاص بك. عندما تنتهي من ذلك ، عد إلى الموقع وانقر على زر TEST.
إذا تلقيت خطأ مشابهاً لما تلقيته ، فما عليك سوى تنزيل ملف zip وفقًا للإرشادات ، ثم تحميل ملف COMPAT دليل إلى جذر موقعك.
من المفترض أنها تحتاج إلى بعض مكتبات PHP الإضافية للمساعدة في الفحص الذي لا يحتوي عليه خادمك. بعد تحميل المجلد إلى نفس الدليل الجذر كملف التحقق الذي قمت به مرة أخرى ، اضغط على TEST مرة أخرى ويجب أن تحصل على تأكيد بأن الفحص سيتم تشغيله قريبًا.
في الاختبار الذي أجريته ، تم إرسال رسالة إلكترونية بعد حوالي ساعتين تفصل فيها أية مشكلات ، لذا لا تنزعج إذا استغرق الأمر بعض الوقت.
سيتم تصنيف التحذيرات التي تتلقاها من "حرجة" إلى "منخفضة" ، لكنها ظهرت في بعض الأخطاء الأمنية غير المتوقعة في تقريري والتي سأحتاج إلى معالجتها. كما تعتبر تحديثات WordPress والمكونات الإضافية أمانًا متوسطًا ، لذلك إذا لم تقم بتحديث شيء بشكل مخزٍ ، فقد يكون هذا بمثابة تذكير مفيد.
سترتبط كل مشكلة أيضًا بتفسير وتعليمات أكثر تفصيلًا حول كيفية حلها ، وهو أمر مفيد بشكل لا يصدق لأولئك منا الأقل تقنيًا في مواقع الويب والخوادم. لا تقلق إذا حذفت البريد الإلكتروني - يمكنك الوصول إلى تفاصيل كاملة للتقرير في أي وقت من لوحة القيادة.
الإضافات
لدى فريق Website Defender أيضًا بعض الإضافات التي يمكنك استخدامها لتأمين WordPress ، على الرغم من أنه من الغريب أنه لا يذكرها عند إجراء الفحص عبر طريقة موقع الويب الموضحة أعلاه.
يؤدي هذا إجراء تدقيق أمان أساسي لك على أشياء مثل أذونات الدليل وبادئة قاعدة البيانات وأذونات htaccess وأسماء المستخدمين الافتراضية واخفاء إصدار WordPress.
سيؤدي هذا إلى قفل وتنفيذ عدد من التدابير الأمنية لحماية وورد الخاص بك. هذا يرقى أساسًا إلى إزالة جميع المراجع إلى إصدار WordPress الخاص بك ، وإزالة بعض الخطوط من رأس لـ Windows Live Writer ، ومنع سرد السمات الخاصة بك ودليل الإضافات - من بين أشياء أخرى.
يشتمل كلا الملحقين على نماذج الاشتراك لخدمة Online Defender عبر الإنترنت ، ويبدو أنه يتيح لك الارتباط بحساب حالي. ومع ذلك ، أثناء الاختبار ، لم أتمكن من الربط بينهما لأن حصتي المجانية من موقع ويب واحد قد تم استخدامها بالفعل (على الرغم من أنني كنت أحاول ربط عنوان URL نفسه على أي حال ، يبدو أنه كان مختلفًا موقع).
استنتاج
حقيقة أن هناك اثنين من المكونات الإضافية المتاحة وكذلك القدرة على تشغيل المسح الضوئي دون مكون إضافي عبر موقع الويب هو مربكًا جدًا أن أكون أمينًا - ولا يبدأ موقع الويب في المسح الضوئي حتى ذكر المكونات الإضافية ، ولا يمكنني رؤية المنطق وراء ذلك أن. على الرغم من أن كل مكون إضافي فريد من نوعه ، إلا أنه من الصعب معرفة السبب في أنه لم يصنع فقط مكوّنًا أمنيًا واحدًا نهائيًا بدلاً من ذلك يعمل على تقوية WordPress والتحقق من المشكلات. لقد وجدت أيضًا أن طريقة المسح الضوئي عبر الموقع الإلكتروني أظهرت المزيد من مشكلات الأمان التي تستخدم البرنامج المساعد WP-Security-Scan ، ويفترض بسبب القيود المفروضة على ما ووردبريس الإضافات أفضل الإضافات ووردبرس] اقرأ أكثر يمكن أن تفعل في الواقع.
هذا لا يعني أنني لا أوصي تمامًا بالخدمة المجانية - لأنني أعتقد أنه يجب عليك الذهاب اشترك الآن وتأكد من أنك لست عرضة للعدد المتزايد من WordPress يستغل. في الواقع ، أوصي بمزيج من المكون الإضافي لـ Secure WordPress لقفله ، أثناء إجراء الفحص الفعلي من خلال طريقة موقع الويب. اسمحوا لي أن أعرف كيف اتضح في التعليقات.
حصل جيمس على درجة البكالوريوس في الذكاء الاصطناعي ، وهو معتمد من CompTIA A + و Network +. إنه المطور الرئيسي لـ MakeUseOf ، ويقضي وقت فراغه في لعب كرات الألوان VR وألعاب الطاولة. لقد كان بناء أجهزة الكمبيوتر الشخصية منذ أن كان طفلا.