يعد وورد بريس ، إلى حد بعيد ، الطريقة الأكثر شيوعًا لإنشاء موقع ويب . هذه الشعبية لها آثار جانبية مؤسفة تتمثل في جعل مواقع وورد بريس أيضًا هدفًا مثيرًا للجهات الفاعلة الخبيثة في جميع أنحاء العالم. وهذا قد يجعلك تتساءل عما إذا كان وورد بريس آمنًا بما يكفي للتعامل مع تلك الهجمات.
جرب نسخة تجريبية مجانية
أولاً – بعض الأخبار السيئة: كل عام ، يتم اختراق مئات الآلاف من مواقع وورد بريس ، بالإضافة إلى مواقع التجارة الإلكترونية (لهذا السبب لدينا دليل متعمق حول منع الاحتيال في التجارة الإلكترونية ).
تبدو قاتمة ، أليس كذلك؟ حسنًا … ليس حقًا ، لأن هناك أيضًا أخبارًا جيدة:
لا يدخل المتسللون بسبب نقاط الضعف في أحدث برامج وورد بريس الأساسية. بدلاً من ذلك ، يتم اختراق معظم المواقع من مشكلات يمكن منعها تمامًا ، مثل عدم تحديث الأشياء أو استخدام كلمات مرور غير آمنة.
نتيجة لذلك ، فإن الإجابة عن سؤال “هل وورد بريس آمن؟” يتطلب بعض الفروق الدقيقة. للقيام بذلك ، سنغطي عدة زوايا مختلفة:
إحصائيات حول كيفية اختراق مواقع وورد بريس فعليًا ، حتى تفهم مكان وجود نقاط الضعف الأمنية.
كيف يتعامل فريق وورد بريس الأساسي مع مشكلات الأمان ، حتى تعرف من المسؤول وما هو المسؤول عن تأمينه.
إذا كان وورد بريس آمنًا عند اتباع أفضل الممارسات ، فأنت تعرف ما إذا كان موقع الويب الخاص بك آمنًا.
كيف يتم اختراق مواقع وورد بريس (حسب البيانات)
حسنًا ، أنت تعلم أن الكثير من مواقع وورد بريس تتعرض للاختراق كل عام. لكن … كيف يحدث ذلك؟ هل هي مشكلة ووردبريس عالمية؟ أم أنها تأتي من تصرفات مشرفي المواقع؟
إليك سبب اختراق معظم مواقع وورد بريس ، وفقًا للبيانات الموجودة لدينا …
برنامج أساسي قديم
إليكم ارتباط غير مفاجئ من تقرير موقع الويب المخترق لعام 2017 الصادر عن سوكوري . من بين جميع مواقع وورد بريس التي تم اختراقها والتي بحث عنها Sucuri ، كان 39.3٪ منهم يستخدمون برنامج وورد بريس الأساسي القديم وقت وقوع الحادث .
مواقع الويب التي تم اختراقها
مواقع الويب التي تم اختراقها (مصدر الصورة: Sucuri)
لذا على الفور ، يمكنك أن ترى علاقة وثيقة جدًا بين التعرض للاختراق واستخدام برامج قديمة. ومع ذلك ، يعد هذا بالتأكيد تحسنًا بنسبة تزيد عن 61٪ عن عام 2016 . 👏
وفقًا لقاعدة بيانات WPScan للثغرات الأمنية ، فإن 74٪ من الثغرات الأمنية المعروفة التي قاموا بتسجيلها موجودة في برنامج وورد بريس الأساسي. ولكن هذا هو الدافع – الإصدارات التي تحتوي على أكثر نقاط الضعف تعود جميعها إلى وورد بريس 3.X:
قائمة WPS لنقاط الضعف المعروفة
قائمة WPS لنقاط الضعف المعروفة
لكن – للأسف – فقط 62٪ من مواقع وورد بريس تشغل أحدث إصدار ، وهذا هو السبب في أن العديد من المواقع لا تزال معرضة بشكل غير ضروري لهذه المآثر:
استخدام ووردبريس حسب الإصدار
استخدام ووردبريس حسب الإصدار. (مصدر الصورة: وورد بريس.org)
أخيرًا ، يمكنك رؤية هذا الاتصال مرة أخرى مع ثغرة وورد بريس REST API الرئيسية من فبراير 2017 حيث تم تشويه مئات الآلاف من المواقع.
احتوى وورد بريس 4.7.1 على العديد من الثغرات الأمنية التي تم استخدامها في النهاية لتشويه تلك المواقع. ولكن … قبل أسابيع من استغلال الثغرات الأمنية ، تم إصدار وورد بريس 4.7.2 لإصلاح كل تلك الثغرات.
جميع مالكي مواقع وورد بريس الذين لم يقوموا بتعطيل تصحيحات الأمان التلقائية أو قاموا بالتحديث الفوري إلى وورد بريس 4.7.2 كانوا آمنين. لكن أولئك الذين لم يطبقوا التحديث لم يكونوا كذلك.
نصيحة : يقوم فريق أمان وورد بريس بعمل رائع في إصلاح المشكلات بسرعة في برنامج وورد بريس الأساسي. إذا قمت بتطبيق جميع التحديثات الأمنية على الفور ، فمن غير المرجح أن يواجه موقعك أية مشكلات نتيجة للثغرات الأمنية الأساسية. ولكن إذا لم تفعل ذلك ، فأنت تخاطر بمجرد خروج برمجية إكسبلويت إلى البرية.
2. الإضافات أو السمات منتهية الصلاحية
أحد الأشياء التي يحبها الناس في وورد بريس هو المجموعة المذهلة من المكونات الإضافية والسمات المتاحة . حتى كتابة هذا المقال ، يوجد أكثر من 56000 في مستودع وورد بريس ، وآلاف من المتميزين الإضافيين منتشرين عبر الويب.
في حين أن كل هذه الخيارات رائعة لتوسيع موقعك ، فإن كل امتداد يمثل بوابة محتملة جديدة لممثل ضار. وعلى الرغم من أن معظم مطوري وورد بريس يقومون بعمل جيد في اتباع معايير التعليمات البرمجية وتصحيح أي تحديثات كما أصبحت معروفة ، لا تزال هناك بعض المشكلات المحتملة:
يحتوي المكون الإضافي أو القالب على ثغرة أمنية ، ولأنه لا يوجد الكثير من العيون عليه مثل برنامج وورد بريس الأساسي ، فإن هذه الثغرة لا يتم اكتشافها.
توقف المطور عن العمل على الامتداد لكن الناس ما زالوا يستخدمونه.
يقوم المطور بتصحيح المشكلة بسرعة ، لكن الأشخاص لا يقومون بالتحديث.
إذن ما هو حجم المشكلة؟
حسنًا ، في استطلاع أجراه Wordfence لمالكي مواقع الويب المخترقة ، أرجع أكثر من 60٪ من مالكي مواقع الويب الذين يعرفون كيف دخل المخترق ذلك إلى مكون إضافي أو ثغرة أمنية.
مسح موقع اختراق Wordfence
مسح موقع الويب الذي اخترق Wordfence (مصدر الصورة: Wordfence)
وبالمثل ، في تقرير Sucuri لعام 2016 ، شكلت 3 مكونات إضافية فقط أكثر من 15٪ من مواقع الويب التي تم الاستيلاء عليها التي شاهدوها .
اخترق Sucuri قائمة البرنامج المساعد
اخترق Sucuri قائمة البرنامج المساعد
هذا هو الشيء المهم ، على الرغم من:
تم تصحيح الثغرات الأمنية في تلك المكونات الإضافية منذ فترة طويلة – لم يقم مالكو المواقع بتحديث المكون الإضافي لحماية مواقعهم.
فائدة : تقدم سمات وورد بريس والإضافات حرف بدل ويمكن أن تفتح موقعك على الجهات الفاعلة الضارة. يمكن تخفيف الكثير من هذه المخاطر باتباع أفضل الممارسات. حافظ على ملحقاتك محدثة وقم فقط بتثبيت الامتدادات من مصادر حسنة السمعة.
علينا أيضًا أن نذكر نوادي GPL التي قد تراها تطفو حول الإنترنت حيث يمكنك الحصول على أي مكون إضافي أو سمة وورد بريس مقابل بضعة دولارات فقط. بينما تم ترخيص وورد بريس بموجب GPL ، وهو أمر رائع وأحد أسباب حبنا له ، حذر المشتري. يشار إلى هذه أحيانًا أيضًا باسم الإضافات الفارغة.
يعني شراء المكونات الإضافية من نوادي GPL أنك تثق في طرف ثالث للحصول على آخر التحديثات من المطور وفي كثير من الأحيان لن تحصل على الدعم. الحصول على تحديثات البرنامج المساعد من المطور هو الطريق الأكثر أمانًا . أيضًا ، نحن ندعم المطورين وعملهم الجاد!
تريد أن تعرف كيف زدنا من حركة المرور لدينا أكثر من 1000 ٪؟
انضم إلى أكثر من 20000 آخرين ممن يتلقون رسائلنا الإخبارية الأسبوعية مع نصائح من الداخل حول وورد بريس!
إشترك الآن
3. بيانات اعتماد تسجيل الدخول المخترقة لـ وورد بريس أو FTP أو الاستضافة
حسنًا ، هذا ليس خطأ وورد بريس حقًا. لكن نسبة مئوية غير تافهة من الاختراقات هي من جهات خبيثة تحصل على بيانات اعتماد تسجيل الدخول إلى وورد بريس ، أو بيانات اعتماد تسجيل الدخول لاستضافة مشرفي المواقع أو حسابات FTP.
في نفس استطلاع Wordfence ، شكلت هجمات القوة الغاشمة ما يقرب من 16٪ من المواقع التي تم اختراقها ، مع سرقة كلمات المرور ومحطة العمل والتصيد الاحتيالي وحسابات FTP ، كل ذلك يظهر بشكل صغير ولكنه ملحوظ.
بمجرد أن يحصل الممثل الخبيث على المفتاح المجازي للباب الأمامي ، لا يهم كيف يكون موقع وورد بريس الخاص بك آمنًا.
يقوم وورد بريس في الواقع بعمل رائع في التخفيف من ذلك من خلال إنشاء كلمات مرور آمنة تلقائيًا ، ولكن لا يزال الأمر متروكًا للمستخدمين للحفاظ على أمان كلمات المرور هذه واستخدام كلمات مرور قوية للاستضافة و FTP.
فائدة : اتخاذ الخطوات الأساسية للحفاظ على أمان بيانات اعتماد الحساب يمكن أن يمنع الجهات الضارة من الدخول مباشرة. استخدم / فرض كلمات مرور قوية لجميع حسابات وورد بريس والحد من محاولات تسجيل الدخول لمنع هجمات القوة الغاشمة ( تقوم استضافة Kinsta بهذا افتراضيًا 👍).
لاستضافة الحسابات ، استخدم المصادقة ذات العاملين إذا كانت متوفرة ولا تقم بتخزين كلمة مرور FTP في نص عادي (كما تفعل بعض برامج FTP).
إذا كان لديك خيار بين FTP و SFTP (بروتوكول نقل ملفات SSH) ، فاستخدم دائمًا SFTP (تعرف على الفرق بين FTP و SFTP حتى تتمكن من فهم السبب). إذا كان مضيفك يستخدم FTP فقط ، نوصي بالاستعلام عن دعم SFTP أو التبديل إلى مضيف يدعم بروتوكول SFTP. وهذا يضمن عدم نقل كلمات مرور نصية واضحة أو بيانات ملف على الإطلاق. هنا في Kinsta ، ندعم SFTP فقط لنقل الملفات.
4. هجمات سلسلة التوريد
في الآونة الأخيرة ، كانت هناك بعض الحالات التي يتمكن فيها المتسللون من الوصول إلى المواقع من خلال خدعة سيئة تسمى هجوم سلسلة التوريد. بشكل أساسي ، فإن الفاعل الخبيث:
قم بشراء مكون إضافي عالي الجودة سابقًا مدرج في وورد بريس.org
أضف بابًا خلفيًا إلى كود البرنامج المساعد
انتظر حتى يقوم الأشخاص بتحديث المكون الإضافي ثم قم بحقن الباب الخلفي
يحتوي Wordfence على شرح أعمق إذا كنت مهتمًا. في حين أن هذه الأنواع من الهجمات ليست منتشرة بأي حال من الأحوال ، إلا أنه يصعب منعها لأنها تنتج عن القيام بشيء يجب عليك القيام به (الحفاظ على تحديث المكون الإضافي).
مع ذلك ، عادةً ما يكتشف فريق وورد بريس.org هذه المشكلات بسرعة ويزيل المكون الإضافي من الدليل.
هل تعاني من مشاكل التوقف و وورد بريس؟ Kinsta هو حل الاستضافة المصمم لتوفير الوقت! تحقق من ميزاتنا
نصيحة : قد يكون من الصعب منع هذا لأنه من الجيد التحديث دائمًا إلى أحدث إصدار . للمساعدة ، يمكن أن تنبهك المكونات الإضافية للأمان مثل Wordfence عند إزالة مكون إضافي من وورد بريس.org بحيث يمكنك معالجته بسرعة. ويمكن أن تساعدك إستراتيجية النسخ الاحتياطي الجيدة على التراجع دون أي ضرر دائم.
5. بيئة استضافة رديئة وتقنية قديمة
بالإضافة إلى ما يحدث على موقع وورد بريس الخاص بك ، فإن بيئة الاستضافة والتقنيات التي تستخدمها تحدث فرقًا أيضًا. على سبيل المثال ، على الرغم من أن PHP 7 تقدم العديد من التحسينات الأمنية على PHP 5 ، فإن حوالي 33٪ فقط من مواقع وورد بريس تستخدم PHP 7 أو أعلى.
استخدام موقع ووردبريس PHP.
استخدام موقع ووردبريس PHP. (مصدر الصورة: وورد بريس.org )
تنتهي صلاحية دعم أمان PHP 5.6 رسميًا في نهاية عام 2018 . والإصدارات السابقة من PHP 5 لم تحصل على دعم أمني لسنوات.
هذا يعني أن استخدام بيئة استضافة باستخدام PHP 5.6 أو ما دونه سيفتحك قريبًا أمام احتمالية وجود ثغرات أمنية غير مسبوقة في PHP.
على الرغم من هذه الحقيقة ، فإن 28٪ من مواقع وورد بريس لا تزال تستخدم إصدارات PHP أقل من 5.6 ، وهي مشكلة كبيرة عندما تفكر في أننا شهدنا مؤخرًا سنوات قياسية لعدد ثغرات PHP المكتشفة.
بالإضافة إلى منحك الوصول إلى أحدث التقنيات ، فإن استخدام استضافة وورد بريس الآمنة يمكن أن يساعدك أيضًا في التخفيف تلقائيًا من العديد من نقاط الضعف الأمنية المحتملة الأخرى من خلال:
جدران حماية تطبيقات الويب مثل Cloudflare (جميع المواقع على Kinsta محمية بواسطة تكامل Cloudflare ) و Sucuri
تحديثات تلقائية لإصدارات الأمان
توثيق ذو عاملين
نسخ احتياطي تلقائي
فائدة : يساعد استخدام بيئة استضافة آمنة والإصدارات الحديثة من التقنيات المهمة مثل PHP على ضمان بقاء موقع وورد بريس الخاص بك آمنًا.
من المسؤول عن الحفاظ على وورد بريس آمنًا؟
الآن قد تتساءل ، من المسؤول عن مكافحة جميع القضايا المذكورة أعلاه؟
رسميًا ، تقع هذه المسؤولية على عاتق فريق أمان وورد بريس (على الرغم من أن المساهمين والمطورين الأفراد من جميع أنحاء العالم يلعبون أيضًا دورًا كبيرًا في الحفاظ على وورد بريس آمنًا ).
يتكون فريق أمان وورد بريس من “50 خبيرًا بما في ذلك المطورين الرئيسيين والباحثين الأمنيين”. يعمل حوالي نصف هؤلاء الخبراء في Automattic. يعمل الآخرون في أمان الويب ، كما يتشاور الفريق مع الباحثين الأمنيين والشركات المضيفة.
إذا كنت مهتمًا بإلقاء نظرة تفصيلية على كيفية عمل فريق أمان وورد بريس ، فيمكنك مشاهدة محادثة آرون كامبل لمدة 48 دقيقة من WordCamp Europe 2017. ولكن بشكل عام ، فريق أمان وورد بريس:
يكتشف ويصلح الأخطاء والمشكلات المحتملة باستخدام ، جزئيًا ، أدوات مثل مكافآت أخطاء HackerOne
يستشير في جميع إصدارات وورد بريس الأساسية
لدى فريق أمان وورد بريس سياسة إفشاء ، مما يعني أنه بمجرد نجاحهم في تصحيح الخطأ وإصدار الإصلاح الأمني ، يقومون بالكشف عن المشكلة علنًا ( وهذا جزء من سبب تشويه العديد من المواقع في عام 2017 – ما زالوا لا يملكون ر تطبيق التحديث حتى بعد أن كشف فريق الأمن الخطأ علنًا ).
ما لا يفعله فريق أمان وورد بريس هو التحقق من جميع السمات والإضافات في وورد بريس.org. تتم مراجعة السمات والإضافات الموجودة في وورد بريس.org يدويًا بواسطة متطوعين. لكن هذه المراجعة ليست “ضمانًا بأنها خالية من الثغرات الأمنية”.
إذن – هل وورد بريس آمن إذا اتبعت أفضل الممارسات؟
إذا نظرت إلى جميع البيانات والحقائق أعلاه ، فسترى هذا الاتجاه العام:
على الرغم من عدم وجود نظام إدارة محتوى آمن بنسبة 100 ٪ ، إلا أن وورد بريس لديه جهاز أمان عالي الجودة في البرنامج الأساسي ومعظم عمليات الاختراق هي نتيجة مباشرة لمشرفي المواقع الذين لا يتبعون أفضل ممارسات الأمان الأساسية .
إذا كنت تفعل أشياء مثل …
ابق على برنامج وورد الأساسية، و الإضافات ، والمواضيع المحدثة .
اختر المكونات الإضافية والسمات بحكمة وقم فقط بتثبيت الامتدادات من المطورين / المصدر ذوي السمعة الطيبة. احذر من نوادي GPL والمكونات الإضافية / السمات الملغاة.
إذا كان لديك خيار بين FTP و SFTP ، فاستخدم SFTP دائمًا.
استخدم كلمات مرور قوية لـ وورد بريس ، بالإضافة إلى حسابات الاستضافة و SFTP (والمصادقة الثنائية إذا كانت متوفرة).
لا تستخدم “admin” لاسم المستخدم الخاص بك.
قم بإعداد جدار حماية أمام موقعك. جميع مواقع Kinsta محمية من خلال تكامل Cloudflare المجاني ، والذي يتضمن جدار حماية على مستوى المؤسسة مع حماية DDoS مضمنة. إذا لم تكن مستضافًا على Kinsta ، فإن إضافة Cloudflare أو Sucuri’s WAF يمكن أن يجعل موقعك أكثر أمانًا.
حافظ على جهاز الكمبيوتر الخاص بك خاليًا من الفيروسات.
قم بتغيير عنوان URL الخاص بتسجيل الدخول إلى وورد بريس لتقليل التأثير الغاشم.
استخدم شهادة TLS (HTTPS) بحيث يتم تشفير جميع الاتصالات مع موقع وورد بريس الخاص بك (مثل تسجيل الدخول إلى لوحة التحكم الخاصة بك). يوفر Kinsta شهادات HTTPS مجانية !
استخدم مفاتيح SSH . يوفر هذا طريقة أكثر أمانًا لتسجيل الدخول إلى الخادم والقضاء على الحاجة إلى كلمة مرور.
اختر مضيفًا ببيئة آمنة واستخدم أحدث التقنيات مثل PHP 7+.
… فإن وورد بريس آمن ويجب أن يظل موقعك خاليًا من الاختراق الآن وفي المستقبل. إذا كنت أحد عملاء Kinsta ، فلا داعي للقلق أيضًا. إذا تم اختراق موقعك على سبيل الصدفة ، فسنصلحه مجانًا !
وفر الوقت والتكاليف وحقق أقصى قدر من أداء الموقع من خلال:
مساعدة فورية من خبراء استضافة وورد بريس ، 24/7.
تكامل Cloudflare Enterprise.
يصل الجمهور العالمي إلى 28 مركز بيانات حول العالم.
التحسين من خلال مراقبة أداء التطبيقات المضمنة لدينا.
كل ذلك وأكثر من ذلك بكثير ، في خطة واحدة بدون عقود طويلة الأجل ، وعمليات الترحيل المدعومة ، وضمان استرداد الأموال لمدة 30 يومًا. تحقق من خططنا أو تحدث إلى قسم المبيعات للعثور على الخطة المناسبة لك.