قد تحتوي الإضافات والسمات في WordPress على ثغرات أمنية: كيفية تأمين موقعك

باعتباره أكثر أنظمة إدارة المحتوى شيوعًا ، فإن WordPress يشغل الملايين من مواقع الويب المختلفة. إنه برنامج مفتوح المصدر ، مما يعني أن كود المصدر الخاص به متاح للجمهور ويمكن تعديله إلى حد كبير من قبل أي شخص لديه معرفة كافية.

على الرغم من أنه يمكن شراء الإضافات والسمات الخاصة بـ WordPress ، إلا أن عشرات الآلاف منها متاح مجانًا. وكما قد يتوقع المرء ، فإن هذا لا يأتي بدون سلبيات. إذن ما مدى ضعف مواقع WordPress؟ ماذا عن سماته وإضافاته؟ وكيف يمكنك حماية مواقعك؟

ما مدى ضعف ووردبريس؟

في فبراير 2022 ، Jetpack اكتشفت أن السمات والمكونات الإضافية الشائعة من البائع AccessPress Themes (المعروفة أيضًا باسم مفاتيح الوصول) قد تم اختراقها. اكتشف الباحثون الثغرة الأمنية عن طريق الصدفة ، بعد اكتشاف رمز مشبوه على موقع ويب تم اختراقه. بعد إجراء مزيد من التحقيق ، أدركوا أن معظم مكونات AccessPress الإضافية وكل سمة تحتوي على نفس الكود.

اتضح لاحقًا أن AccessPress Themes وقعت ضحية لهجوم إلكتروني في سبتمبر 2021 ، حيث قام المتسللون بحقن باب خلفي في ملحقات البائع والمواضيع.

قام AccessPress في النهاية بتحديث منتجاته وتنظيفها ، ولكن يُفترض أن آلاف المستخدمين كانوا عرضة للهجمات لفترة طويلة من الزمن.

هل تحتوي المكونات الإضافية والسمات في WordPress على ثغرات أمنية؟

تؤكد نتائج Jetpack على مدى ضعف WordPress. لكن هذه لم تكن حالة منعزلة.

في مارس 2021 ، على سبيل المثال ، Wordfence كشف عن ثغرات أمنية كبيرة في مكونين إضافيين من WordPress ، إذا تم استغلالهما بنجاح ، كان من الممكن أن يسمح للمهاجمين بالاستيلاء على موقع ويب. تم اكتشاف الثغرات الأمنية في الإضافات Elementor و WP Super Cache. Elementor هو منشئ مواقع الويب يستخدم على أكثر من سبعة ملايين موقع ويب ، في حين أن WP Super Cache هو مكون إضافي للتخزين المؤقت.

في فبراير 2022 ، أ مجلة محرك البحث وفقًا للتقرير ، حذر الباحثون الأمنيون في قاعدة بيانات حكومة الولايات المتحدة الأمريكية والباحثون الأمنيون في WordPress من وجود نقاط ضعف خطيرة في العشرات من مكونات WordPress الإضافية.

من بين هذه المكونات الإضافية ، تم استخدام تسعة على أكثر من 1.3 مليون موقع ويب: Header Footer Code Manager و Ad Inserter— Ad Manager & AdSense Ads، Popup Builder، Anti-Malware الأمان وجدار الحماية الغاشم ، وحماية نسخ محتوى WP وعدم النقر بزر الماوس الأيمن ، وقاعدة البيانات الاحتياطية لـ WordPress ، و GiveWP ، ومدير التنزيل ، وقاعدة البيانات المتقدمة منظف.

كيفية تأمين موقع WordPress الخاص بك

قد يفترض المرء دائمًا أن هذه الثغرات الأمنية يتم إصلاحها أو إزالتها بمجرد اكتشافها ، ولكن هذا ليس هو الحال في الواقع.

البحث من باتشستاك وجدت أن عام 2021 شهد زيادة بنسبة 150 في المائة في نقاط ضعف WordPress المبلغ عنها مقارنة بعام 2020 - ولم يتلق 29 في المائة من هذه الثغرات أي تصحيح. وجد Patchstack أيضًا أن 0.58 في المائة فقط من العيوب المبلغ عنها كانت في نواة WordPress ، مما يعني أن الثغرات الأمنية موجودة دائمًا تقريبًا في المكونات الإضافية.

من الأهمية بمكان التأكد من أن جميع المكونات الإضافية التي تستخدمها محدثة ، وكذلك جوهر WordPress نفسه.

قبل تنزيل البرنامج المساعد وتثبيته ، تأكد من إجراء القليل من البحث أولاً. تحقق من عدد عمليات تثبيت المكون الإضافي ، واقرأ المراجعات عبر الإنترنت ، واعرف متى تم تحديثه آخر مرة ، وتحقق مما إذا كان قد تم اختباره باستخدام أحدث نواة من WordPress. سيستغرق هذا بضع دقائق فقط ، ولكنه قد يوفر عليك الكثير من المتاعب على الطريق.

بدلا من ذلك ، يمكنك استخدام WPScan، وهو ماسح ضوئي للثغرات الأمنية بسيط وفعال إلى حد ما. يمكن أيضًا استخدام هذه الأداة للبحث عن مكون إضافي بالاسم. يسمح الإصدار المجاني بما يصل إلى 25 طلبًا لواجهة برمجة التطبيقات يوميًا.

لحسن الحظ ، تم تصميم بعض المكونات الإضافية لحماية موقع WordPress الخاص بك من المتسللين. تسجيل الدخول LockDown و Wordfence و BulletProof Security هي بعض من الأفضل إضافات أمان WordPress اليوم. تسجيل الدخول LockDown مجاني تمامًا ، بينما يحتوي الآخران على نماذج أساسية مجانية.

نصائح أمان ووردبريس

بقدر ما يمكن أن يكون WordPress ضعيفًا ، فإن اتخاذ احتياطات الأمان الأساسية يقطع شوطًا طويلاً عندما يتعلق الأمر بمنع الهجمات الإلكترونية وصدها.

يجب أن يكون استخدام تفاصيل تسجيل الدخول الفريدة والمصادقة الثنائية ، والحفاظ على تحديث جميع البرامج ، وإخفاء أسماء السمات وتفاصيل تسجيل الدخول ، أساسًا لنظافة أمان WordPress الخاصة بك.

كيفية تأمين موقع WordPress الخاص بك في 5 خطوات بسيطة

اقرأ التالي

نبذة عن الكاتب