حماية وتأمين مواقع الووردبريس دليل شامل للحماية من الثغرات.jpg
حماية وتأمين مواقع الووردبريس دليل شامل للحماية من الثغرات.jpg

حماية وتأمين مواقع الووردبريس: دليل شامل للحماية من الثغرات

حماية وتأمين مواقع الووردبريس يعتبر من الأولويات العليا لأصحاب المواقع، حيث أي خرق في الأمان يمكن أن يؤدي إلى فقدان البيانات أو انهيار الموقع بأكمله.

على الرغم من أن نظام الووردبريس آمن بشكل عام، إلا أن وجود العديد من القوالب والإضافات المتاحة قد يعرض الموقع للخطر.

يُمكن تأمين موقع الووردبريس عن طريق اتخاذ مجموعة من الإجراءات الوقائية، سواءً من خلال السياسات الإدارية التي يتخذها مسؤول الموقع أو من خلال استخدام الأدوات والتقنيات المتاحة في البيئة التقنية. سنستعرض هذه الإجراءات بالتفصيل في المقال.

حماية وتأمين مواقع الووردبريس دليل شامل للحماية من الثغرات.jpg
حماية وتأمين مواقع الووردبريس دليل شامل للحماية من الثغرات

محتويات المقالة

الخطوات الأساسية لتأمين موقعك الووردبريس:

1. اختيار خدمة استضافة آمنة:

تبدأ سلامة موقعك واستقراره باختيار شركة استضافة موثوقة. يجب عليك اختيار خدمة استضافة توفر بنية تحتية آمنة، حيث يضمن ذلك سلامة المواقع المستضافة على الخوادم.

يجب عليك اختيار مزود خدمة استضافة بعناية، والنظر في بعض المعايير الأساسية لأمان الاستضافة، وتشمل:

حماية وتأمين مواقع الووردبريس
استضافة المواقع الأمنة

تأمين نظام التشغيل:

تبدأ سلامة خوادم شركات الاستضافة بنظام تشغيل آمن ومحدث.

لذلك، يجب عليك التحقق من أمان نظم التشغيل المستخدمة في خوادم شركة الاستضافة، سواء كانت نظم تشغيل Windows أو Linux.

يجب أن تتمكن من توفير التحديثات والتحسينات الأمنية بشكل منتظم لنظام التشغيل، بالإضافة إلى تقديم نسخ محدثة من البرمجيات الأساسية مثل PHP وغيرها بشكل دوري.

شهادة SSL:

تُعد شهادة الأمان SSL واحدة من العوامل الرئيسية التي تُساعد في اتخاذ قرار اختيار شركة استضافة آمنة.

فضلاً عن ذلك، يعتبر التحقق من وجود شهادة SSL لدى شركة الاستضافة أمرًا بالغ الأهمية لتأمين اتصال الموقع بالزوار.

بالإضافة إلى ذلك، تضيف المتصفحات علامة “القفل الأخضر”، وهو رمز أمان مهم يعزز ثقة مستخدمي الإنترنت.

الدعم للنسخ الاحتياطي واستعادة البيانات:

في حالة تعطل موقعك بشكل جزئي أو كامل، أو في حالة فقدان جزء من بياناته، يصبح من الضروري وجود نسخة احتياطية من ملفات الموقع لتمكينك من استعادتها بسرعة.

يجب التأكد من توافر خدمة النسخ الاحتياطي واستعادة البيانات من خلال مزود الخدمة لديك.

يجب عليك الاستفسار عن نظام النسخ الاحتياطي لديهم ومدى استقراره، ومدة احتفاظهم بنسخ الاحتياطي لموقعك على خوادمهم.

حماية بجدار الحماية (Firewall Protection):

من بين أخطر أنواع الهجمات التي يمكن أن تتعرض لها موقعك هي هجمات نوع DOS، والتي يمكن أن تسبب أضراراً كبيرة إذا لم يتم التصدي لها بشكل فعال.

لذا، يجب التأكد من توافر نظام جدار حماية قوي في شركة الاستضافة، يكون قادراً على منع تلك الهجمات الضارة وتقليل آثارها على موقعك.

كما يجب أن يتم تحديث هذا النظام بانتظام لضمان كفاءته وفعاليته الدائمة في حماية موقعك.

2- تفعيل التحقق بخطوتين أثناء عملية تسجيل الدخول

تطبيق ميزة التحقق بخطوتين (Two-Factor Authentication) يُعَدُّ إجراءً أمنيًا متقدمًا يستخدم في العديد من المواقع الشهيرة.

يهدف هذا النظام إلى زيادة الحماية لبيانات تسجيل الدخول من خلال إضافة طبقة إضافية من التحقق.

عند محاولة تسجيل الدخول إلى حسابك، يُرسَل رمز تحقق إلى هاتفك المحمول، ويُطلب منك إدخال هذا الرمز في شاشة تسجيل الدخول للتأكد من صحة عملية الدخول.

إحدى أشهر الإضافات المستخدمة لتفعيل نظام التحقق بخطوتين على موقعك هي إضافة Google Authenticator.

google auth

بمجرد تثبيت الإضافة وتنشيطها على موقعك الووردبريس، سيُطلب منك تنزيل تطبيق Google Authenticator من متجر Google Play أو App Store أو Microsoft Store.

بعد تثبيت التطبيق، ستقوم بمسح رمز الاستجابة السريعة (QR code) المعروض في إعدادات الإضافة على موقعك، وسيتم إرسال رمز التفعيل إلى التطبيق.

بمجرد إدخالك لهذا الرمز في الخانة المخصصة ضمن صفحة إعدادات الإضافة، سيتم تفعيل نظام التحقق بخطوتين تلقائيًا.

بعد ذلك، سيتلقى مالك الموقع رمز التأكيد عند محاولة أي شخص الدخول إلى الموقع، حتى في حال كانت بيانات تسجيل الدخول صحيحة.

سيتم إرسال هذا الرمز إلى تطبيق Google Authenticator الذي يتم استخدامه، حيث سيظهر إشعار أو تنبيه لمدير الموقع يحتوي على الرمز المطلوب لتأكيد عملية تسجيل الدخول.

وبالتالي، لن يتم السماح بالدخول إلى الموقع إلا بعد التحقق من الرمز المرسل وتأكيده.

اقرأ أيضًا: حل مشكلة لا يمكنني الدخول إلى لوحة تحكم الووردبريس – شرح كامل

3- التسجيل عبر البريد الإلكتروني بدلًا من اسم المستخدم

عند تسجيل الدخول إلى الموقع، يتعين عليك أو على أي عضو آخر إدخال اسم المستخدم وكلمة المرور.

ولتعزيز الأمان، يُنصح باستخدام البريد الإلكتروني بدلاً من اسم المستخدم المكون من حروف قليلة في خانة اسم المستخدم.

تُعتبر هذه الخطوة مفيدة لتقليل فرص التنبؤ ببيانات الدخول، حيث يكون البريد الإلكتروني أكثر صعوبة في التخمين مقارنة بالاسم المستخدم الذي يتألف من مجموعة صغيرة من الأحرف والأرقام.

email not username

4- تسجيل خروج الأعضاء الغير نشطين في الموقع تلقائيًا

في حالة دخول أحد أعضاء الموقع وترك جلسة فعالة على جهاز غير آمن، فإن ذلك يعرض الموقع لخطر محتمل من قبل المتسللين الذين قد يحصلون على بيانات الدخول المفتوحة.

لذلك، خيارٌ لتعزيز أمان موقع الووردبريس هو تسجيل خروج الأعضاء بعد انتهاء مدة زمنية دون نشاط في الموقع، ويُعرف هذا بـ”انتهاء الجلسة”.

يمكنك تحقيق ذلك من خلال إضافة إضافة “Inactive Logout“.

inactive logout

بعد تثبيت الإضافة وتفعيلها، ستتمكن من الوصول إلى لوحة تحكم الإضافة.

في هذه اللوحة، ستجد قسمًا يتيح لك ضبط وقت محدد لإبقاء الأعضاء مسجلين دون نشاط قبل تسجيل خروجهم، كما يُوضح السهم الأول.

يمكنك تحديد فترة زمنية، مثل 10 دقائق، وبعد انتهاء هذه المدة بدون نشاط، سيتم تسجيل خروج العضو تلقائيًا.

بالإضافة إلى ذلك، يظهر السهم الثاني رسالة على الشاشة بعد تسجيل خروج الأعضاء غير النشطين.

logout

ملحوظة: يعد الإجراء السابق مفيدًا ومناسبًا تمامًا في حال وجود عدد كبير من الأعضاء في موقعك.

أما إذا كان عدد الأعضاء محدودًا ومعظمهم موثوق بهم، فقد لا يكون هناك حاجة كبيرة لاتخاذ هذا الإجراء.

5- تجنب شراء القوالب والإضافات من مصادر غير موثوقة

انتشرت القوالب المقرصنة، المعروفة أيضًا باسم Nulled themes and plugins، والتي يتم كسر حمايتها وتوفيرها عبر الإنترنت بأسعار منخفضة أو حتى مجانًا في بعض الحالات.

يعتقد بعض المبتدئين أن هذا العمل يقدم من قبل المخترقين كتصرف إيجابي، ولكن الواقع هو عكس ذلك.

غالبًا ما يتيح استخدام القوالب والإضافات المقرصنة للمخترقين إمكانية زرع أكواد خبيثة داخل موقعك، مما يمكنهم من تغيير سلوك الموقع أو حتى سرقة البيانات بأكملها.

لذا، يُنصح بشدة بشراء القوالب والإضافات فقط من المتاجر الرسمية للبرمجيات أو من مصادر موثوقة لضمان سلامة موقعك.

أفضل الإضافات لحماية مواقع الووردبريس

عندما يتعلق الأمر بحماية موقع ووردبريس، فإن استخدام إضافات أمان فعّالة يعد أمراً ضرورياً لتعزيز الحماية وتأمين الموقع.

سأشارك معك أفضل 4 إضافات تأمين وحماية للووردبريس التي يمكن أن تساعدك في هذه المهمة:

1- إضافة MalCare Security

malcare security

تقدم إضافة MalCare Security خيارات أمان متعددة للموقع، بدايةً من حماية محاولات الدخول وحظر العناوين الآيبي المشبوهة، إلى تأمين ملفات الموقع لمنع الوصول غير المصرح به والتلاعب بها.

توفر الإضافة خدمات النسخ الاحتياطية لضمان سلامة بياناتك، ويمكنك تفعيل التحديثات التلقائية للملفات والقوالب والإضافات، بالإضافة إلى فحص ملفات الموقع للكشف عن أي تهديدات وحذفها تلقائياً للحفاظ على سلامة موقعك.

2- إضافة Sucuri Security 

sucuri scanner

تُعَدّ إضافة Sucuri من بين أبرز الإضافات الأمنية التي توفر إحصائيات شاملة حول سلامة وصحة موقعك باستمرار.

تمكنك الإضافة من تنشيط فحص تلقائي للموقع لمراقبة الأنشطة المشبوهة ومنعها على الفور.

ومن بين ميزات الإضافة أيضًا نظام تتبع يكتشف التغييرات الشبيهة بالاختراقات في إعدادات SEO لموقعك، مما يحميه من تعديلات غير مرغوب فيها مثل إدراج الروابط الضارة أو تحديثات غير مصرح بها في كلمات البحث المستهدفة.

بالإضافة إلى ذلك، توفر الإضافة جدار حماية قوي يساعد في التصدي للهجمات الخطرة.

كما تمكّنك من إنشاء قائمة سوداء (Blacklist) تحتوي على العناوين التي ترغب في حظرها من زيارة أو تصفح موقعك.

3- اضافة All In One WP Security & Firewall

all in one wp security and firewall

إضافة All in One WP Security توفر مجموعة متنوعة من الخيارات لتأمين تسجيل الدخول لجميع أعضاء موقعك.

يمكنك مراقبة عناوين الآيبي التي يقوم الأعضاء بالدخول من خلالها وتلقي تنبيهات في حال تسجيل دخول باستخدام عنوان IP غير معتاد أو مريب.

بالإضافة إلى ذلك، توفر الإضافة نظامًا لحماية تسجيل الدخول بواسطة إنشاء كلمات مرور عشوائية وتطبيق سياسات صارمة لتقييد عدد محاولات تسجيل الدخول.

4- إضافة Wordfence Security

wordfence

إضافة Wordfence تعتبر من الحلول الموثوقة التي تعزز أمان مواقع الووردبريس بشكل كبير. تقدم الإضافة حماية فعالة ضد هجمات تسجيل الدخول العشوائية عن طريق تقييد عدد المحاولات الغير مصرح بها بكلمات المرور.
بالإضافة إلى ذلك، توفر Wordfence خيارات متقدمة مثل تفعيل نظام التحقق بخطوتين (Two-Factor Authentication) واستخدام نظام CAPTCHA لتعزيز أمان عملية تسجيل الدخول.

اقرأ أيضا: شرح تثبيت وظبط الإضافة على موقعك

بعد أن تمت مراجعة الإضافات والمعلومات المقدمة من مصادر موثوقة، يمكنك الآن اختيار الإضافة التي تلبي احتياجاتك من الخيارات الأمنية.

اختر الإضافة التي توفر جميع الميزات التي تبحث عنها وقم بتثبيتها على موقعك لتعزيز أمانه وحمايته بشكل فعال.

تجنب تثبيت العديد من إضافات الأمان على موقعك في ووردبريس، حيث أن وجود عدد كبير من الإضافات التي تقوم بنفس المهمة قد يسبب تضارب في عملها.

استراتيجيات متقدمة لتعزيز أمان موقعك

الآن، بعدما تم التعرف على بعض النصائح والإجراءات البسيطة التي يمكن اتخاذها لتعزيز أمان موقعك دون الحاجة إلى أي خبرة برمجية، سنتطرق في الفقرات التالية إلى استراتيجيات متقدمة.

ننصح هنا بضرورة عمل نسخة احتياطية من الموقع قبل أي تعديل على الأكواد البرمجية، والتأكد من تنفيذ كافة التعديلات المذكورة بدقة.

1- حفظ ملف config.php في حالة أمنة ومحمية

ملف config.php هو واحد من أهم الملفات المرتبطة بأمان موقع الووردبريس الخاص بك.

يحتوي هذا الملف على البيانات الحساسة التي تتعلق بأمان الموقع، وعندما يتم الوصول إليه وتعديله أو سرقة معلوماته، يمكن أن يتعرض موقعك للخطر.

لذا، من الضروري التعرف على كيفية تأمين هذا الملف من خلال الاطلاع على دليل شامل حول ملف config.php وطرق تأمينه.

2- تعطيل قدرة التعديل على ملفات ووردبريس

في موقع الووردبريس، يُمكن إضافة عدة مدراء للموقع، ويمتلكون صلاحيات للوصول إلى لوحة التحكم وإجراء التعديلات.

عادةً، يمكن لأي مدير “admin” في ووردبريس الوصول إلى ملفات القالب والإضافات، وتعديل الكود المصدري لها.

للحفاظ على أمان الموقع، يُنصح بإلغاء إمكانية التعديل على ملفات الموقع من قبل المدراء الآخرين.

يُمكنك القيام بذلك عن طريق فتح ملف “wp-config.php” وإضافة الكود التالي:

define('DISALLOW_FILE_EDIT', true);

3- تعطيل عرض قائمة الملفات للزوار (Directory Listing)

عندما تقوم بزيارة مدير ملفات موقعك وتنشئ مجلدًا بالاسم “Data” وترفع بعض الملفات الهامة داخله، ولكن لم تقم بإنشاء صفحة index داخل هذا المجلد لعرضها للزوار، فإن أي زائر يمكنه الدخول إلى مسار المجلد عبر www.example.com/data ومشاهدة جميع الملفات المتواجدة داخله وربما تحميلها أيضًا.

لحماية موقعك من هذا الخطأ، يجب عليك إضافة الكود التالي داخل ملف .htaccess الخاص بموقعك، حيث يقوم هذا الكود بمنع فتح واستعراض ملفات الموقع أمام الزوار:

Options All -Indexes

4- منع الاستدعاء الخارجي لصور موقعك، المعروف بـ Hotlinking.

مصطلح Hotlinking يشير إلى عملية تتمثل في دخول موقع خارجي إلى موقع آخر، حيث ينسخ بعض روابط الصور من الموقع المستهدف ويستخدمها في صفحاته الخاصة.

وبذلك، يتم عرض الصور في موقع الخارجي بينما تكون المصادر الفعلية لهذه الصور مستضافة على الموقع الأصلي الذي تم سرقة الروابط منه.

هذا يعني أنه عندما يتم عرض تلك الصورة في موقع آخر، يتم استدعاؤها أولاً من موقعك. وهذا يستهلك موارد الخادم الخاص بك، مما قد يؤدي إلى تعطل الموقع أو تضرره بسبب استدعاء عدد كبير من الملفات بهذه الطريقة.

لحماية موقعك من ظهور أو استخدام الصور والملفات من قبل مصادر خارجية، يُوصى بتعطيل هذا الإمكان في الإعدادات.

يُمكنك القيام بذلك بسهولة عبر استخدام إضافة مثل All in One WP، التي توفر وظيفة لمنع الاستدعاء الخارجي للموارد الخاصة بموقعك بفعالية وسهولة.

all in one wp security

يمكنك أيضًا تعطيل استخدام Hotlinking دون الحاجة إلى استخدام الإضافات.

يُمكنك القيام بذلك بسهولة عن طريق حظر Hotlinking من خلال ملف htaccess.

5- تغيير بادئة جداول قاعدة بيانات الووردبريس إلى _WP

عند تثبيت الووردبريس على موقعك، يتم إنشاء عدد كبير من الجداول داخل قاعدة البيانات على الخادم.

غالبًا ما تبدأ أسماء هذه الجداول بالبادئة “WP_”، وهذا يجعل من السهل على المهاجمين التنبؤ بأسماء الجداول المستهدفة والتي تحتوي على جميع بيانات الووردبريس.

لذا، من الضروري تغيير تلك الأحرف إلى أحرف ورموز مختلفة:

wp

يمكنك الاطلاع على شرح مفصل لكيفية تغيير بادئة WP_ لجداول ووردبريس.

6- أخذ نسخ احتياطية لموقعك بشكل منتظم

كل موقع على الإنترنت معرض للمخاطر والتعطل، ولذلك من الضروري أخذ نسخ احتياطية من ملفات وبيانات الموقع بشكل دوري، حيث تكون هذه النسخة الاحتياطية مفيدة في حالة حدوث أي مشكلة أو فقدان للبيانات، مما يساعد في استعادة الموقع بسرعة وسهولة.

تفضّل بالاطلاع على دليل شامل يشرح كيفية إنشاء نسخ احتياطية لموقعك.

7- تغيير بيانات تسجيل الدخول الافتراضية لـ Cpanel

cpanel default

عندما تقوم بشراء خدمة الاستضافة لموقعك، ستحصل على بيانات الدخول الافتراضية إلى لوحة التحكم Cpanel.

يُوصى بتغيير هذه البيانات الافتراضية عند استلامها لضمان أمان الوصول إلى موقعك.

8- إخفاء رقم إصدار الووردبريس (Version Number).

من السهل جدًا الحصول على رقم الإصدار الحالي للووردبريس في موقعك، حيث يمكن الوصول إليه عبر الكود المصدري للموقع أو عبر لوحة تحكم الموقع وهو ما يكون متاحًا أمام جميع الأعضاء المسجلين بالموقع.

إذا حصل المخترقون على رقم إصدار الووردبريس الذي تستخدمه، فسيكون بإمكانهم تصميم برامج وأكواد خبيثة تستهدف ثغرات النسخة المحددة والتي يعرفونها.

للحفاظ على سرية رقم نسخة الووردبريس، يمكنك إضافة الكود التالي داخل ملف functions.php:

function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');

9- منع تنفيذ ملفات PHP من التشغيل

تعتمد العديد من الهجمات الإلكترونية على استخدام لغة PHP لإنشاء ملفات برمجية خبيثة تهدف إلى تعطيل أجزاء معينة من الموقع أو حتى سرقة البيانات الحساسة المخزنة في قواعد البيانات.

لذا، يصبح من الضروري تعطيل تنفيذ ملفات PHP في المواقع التي لا تحتاج إلى هذا النوع من الملفات.

إحدى المسارات الشهيرة التي لا تحتاج إلى وجود ملفات PHP فيها وينبغي تعطيل تشغيل هذا النوع من الملفات داخلها هو مجلد تحميل الملفات “Uploads/” داخل مدير ملفات موقع الووردبريس.

يمكنك فتح ملف htaccess وإضافة الكود التالي لمنع تشغيل أي ملفات من نوع PHP على موقعك:

<Files *.php>
deny from all
</Files>

لمزيد من المعلومات، يُمكنك الاطلاع على الطرق الفعّالة لتعديل ملف htaccess بشكل صحيح.

10- تأمين ملفات wp-config.php و htaccess لمنع ظهورها في مدير الملفات

لزيادة الأمان، يمكنك إخفاء ملفات wp-config.php و htaccess لعدم ظهورها في مدير الملفات، ومع ذلك، فإنها ستظل تعمل بشكل صحيح داخل موقعك.

يمكنك إخفاء ملف wp-config.php بإضافة الكود التالي في ملف htaccess:

<Files wp-config.php>
order allow,deny 
deny from all
</Files>

يمكنك أيضًا إخفاء ملف htaccess عن طريق وضع الكود التالي في نفس الملف:

<Files .htaccess>
order allow,deny 
deny from all
</Files>

أبرز أشكال الاختراق وكيفية التصدي لها

إليك قائمة بأبرز نقاط الضعف في نظام إدارة المحتوى ووردبريس وكيف يستغلها المخترقون للتسلل إلى موقعك، وكيف يمكنك حماية موقعك بشكل كامل من هذه الهجمات:

1. الثغرات الخلفية (Backdoor)
2. هجوم Pharma Hack
3. محاولات تسجيل الدخول بالقوة الغاشمة (Brute-force Login Attempts)
4. التوجيهات الخبيثة (Malicious Redirects)
5. هجمات Cross-site Scripting (XSS)
6. هجمات رفض الخدمة دوس أتاك (Denial of Service)
7. هجوم WP-VCD.php Hack
8. هجمات الاحتيال (Phishing Attacks)
9. هجمات الكلمات الرئيسية اليابانية (Japanese Keyword Hack)

سنناقش هذه الهجمات بتفصيل أكبر وسنتعرض إلى كيفية حماية موقعك منها.

1- الثغرات الخلفية ( backroor )

التسلل الخلفي أو الثغرات الخلفية كما تلقب هو واحد من أكثر الطرق شيوعًا التي يستخدمها المتسللون للوصول غير المصرح به إلى موقعك.

يتم ذلك عن طريق زرع ملفات ضارة داخل ملفات الووردبريس نفسها، وعادة ما توضع في مسار wp-includes المعروف، بالإضافة إلى أماكن أخرى داخل الموقع.

هذا الهجوم يستند أساسًا إلى استغلال نقاط الضعف في شركة الاستضافة التي يتم استخدامها لاستضافة الموقع.

يمكن للمخترقين زرع ملفات التسلل الخلفي، المعروفة أيضًا باسم “Backdoors”، في جميع مواقع الووردبريس المستضافة على نفس الخادم في حال نجحوا في اختراق الشركة المستضيفة.

غالبًا ما يقوم المخترقون بزرع تلك الملفات الخبيثة في أماكن معينة داخل موقعك، حيث يمكنهم من خلالها التحكم في أجزاء كبيرة من الموقع، وفي بعض الحالات حتى سرقة بيانات حساسة أو تعطيل وتخريب الموقع بالكامل إذا لم يتم اكتشاف تلك الثغرات.

وفيما يلي أماكن شائعة يتم تحميل تلك الملفات الضارة إليها:

ملفات القوالب

هي من بين المناطق الأكثر عرضة لاختراق المواقع، حيث يمكن للمخترقين زرع الملفات الخبيثة داخلها بسهولة.

يعود ذلك جزئياً إلى عدم اهتمام بعض المستخدمين بتحديث القوالب الخاصة بهم، بالإضافة إلى عدم وجود جدار حماية (Firewall).

لذا، يُنصح دائمًا بتحديث القوالب المستخدمة في الموقع إلى أحدث النسخ، واستخدام قوالب موثوقة وآمنة.

– ملفات الإضافات

هي أيضًا عرضة للهجمات، حيث يمكن زرع ملفات backdoor داخلها بنفس السهولة التي يتم بها ذلك في ملفات القوالب.

لذا، يُنصح بضرورة استخدام إضافات موثوقة ومحدثة باستمرار على موقعك، والتأكد من حذف أي إضافات غير نشطة.

كما يجب الاهتمام بتثبيت إضافات تقوم بإنشاء جدار حماية Firewall لموقعك بهدف زيادة الأمان.

– مجلد رفع الملفات

المعروف أيضًا بمسار التحميلات (Uploads)، يُعَدّ منطقةً حساسةً قابلة للاختراق أيضًا.

يتضمن هذا المجلد العديد من الملفات مثل الصور ومقاطع الفيديو والمستندات الأخرى، مما يجعل من الصعب اكتشاف الملفات الضارة التي قد تُزرع داخله.

لذا، يُنصَح بتطبيق إجراءات أمنية محددة لتأمين هذا المسار، كما تم شرحه في الخطوات السابقة.

– مجلد wp-includes

يُعَدّ مجلد wp-includes واحدًا من المواقع الشائعة التي يستخدمها المخترقون لزرع ملفات backdoor بداخلها.

في حال نجاح هذا الهجوم وتم زرع الملفات الضارة بنجاح، يمكن للمخترقين الوصول إلى ملفات موقعك بأكملها، بما في ذلك معلومات تسجيل الدخول إلى لوحة التحكم وملفات تسجيل الدخول إلى Cpanel.

لذا، يُنصَح باتخاذ إجراءات أمنية مُناسبة مثل تغيير مسار مجلد wp-includes لزيادة الحماية.

بعدما فهمنا كيفية زرع المخترقين لملفات Backdoor داخل موقعك، سنتطرق الآن إلى الإجراءات الواجب اتخاذها للحماية من هذه الهجمات.

بالتأكيد، الطريقة الفعالة لمواجهة هجمات Backdoors تكمن في اكتشاف مواقع تلك الملفات وحذفها من موقعك بالكامل.

ومع ذلك، يمكن أن تكون هذه المهمة صعبة إذا قمت بالبحث يدويًا في الآلاف من الملفات على موقعك.

لذا، يمكنك الاعتماد على بعض الإضافات في الووردبريس التي تساعد في هذا الأمر.

تقوم هذه الإضافات بفحص ملفات الموقع وقواعد البيانات، وعند اكتشاف أي ملف غريب أو نشاط مريب، تقوم بتنبيهك وتمكنك من اتخاذ الإجراءات اللازمة لحماية موقعك.

يُمكنك الاعتماد على أي إضافة تُقدم هذه الوظيفة، ومن بين الإضافات الشهيرة التي تقدم هذه الخدمة هي Sucuri Security.

2- هجوم Pharma Hack

أحد أكثر الهجمات شيوعًا والتي يقوم بها المخترقون هي استغلال روابط موقعك التي تظهر في نتائج محركات البحث.

قد تكون قد لاحظت في بعض الأحيان أنه عندما تنقر على رابط معين من نتائج البحث، يتم توجيهك إلى صفحة مختلفة تمامًا عن الصفحة المعروضة في نتائج البحث.

تم تسمية هذا الهجوم باسم “Pharma Hack” لأنه يتم استخدامه للترويج للأدوية والعقاقير غير المشروعة عبر اختراق بعض المواقع التي تظهر في نتائج محركات البحث مثل جوجل.

يتم زرع بعض الأكواد الخبيثة في هذه المواقع تجبر محركات البحث على توجيه الزوار إلى روابط مختلفة تمامًا عن الروابط الأصلية للموقع.

في هذه الروابط، يتم عرض إعلانات للأدوية والعقاقير غير المشروعة وغيرها من المنتجات دون الحاجة إلى وصفة طبية أو موافقة من الجهات المختصة.

hacked files site

الصورة السابقة توضح أحد إضافات الأمان التي اكتشفت اختراق موقع وسرقة ملفاته.

غالبًا ما لا يهدف هذا الهجوم إلى تلفيق الضرر للموقع المستهدف، بل يهدف إلى استغلال ظهور بعض الروابط في نتائج بحث جوجل لبيع منتجات غير مصرح بها.

بالرغم من خطورة هذا الهجوم وتأثيره السلبي على موقعك، إلا أن اكتشافه لا يعد مهمة صعبة تمامًا إذا كنت مجهزًا بأدوات الكشف عن الملفات الضارة مثل إضافة Sucuri Security في موقعك.

الإضافة التي تم ذكرها تقدم إنذارات على الفور عند اكتشاف ملفات backdoors التي يتم زرعها من خلالها، مثل أكواد ثغرة pharma hack.

ببساطة، بمجرد تثبيت إضافة التحقق من الملفات المشبوهة، يُمكنك حذف أي ملف غير مألوف يُكتشف أولياً.

3- محاولات تسجيل الدخول بالقوة الغاشمة

هذه الهجمات تُعرف أيضاً بالهجمات القوة الغاشمة التي قد تستهدف موقعك الإلكتروني.

في هذه الهجمات، يستخدم المهاجمون برامج معينة تسعى لتخمين كلمات المرور عبر تجربة عشرات الآلاف أو حتى الملايين من التخمينات في فترة زمنية قصيرة جداً.

بالرغم من أن هذه الهجمات قد تتسبب في تدمير الموقع، إلا أنه من السهل جدا التعامل معها والحماية منها.

وقد قمنا بتلخيص بعض الخطوات الوقائية في النقاط التالية:

تعديل مسار الوصول إلى لوحة التحكم لموقعك على الووردبريس.

عادةً، يكون مسار الدخول إلى موقعك على النحو التالي: example.com/wp-admin.

المخترقون معتادون على هذا المسار الشائع للوصول إلى لوحة التحكم، وهو المكان الذي يتم فيه إدخال اسم المستخدم وكلمة المرور.

لذا، يمكن أن يجعل تغيير اسم هذا المسار wp-admin إلى اسم آخر غير متوقع يصعب من عملية التنبؤ بمسار الدخول إلى لوحة التحكم.

يمكنك تغيير اسم مسار الدخول إلى لوحة التحكم باستخدام الإضافة Hide Login.

wps hide login

بمجرد تثبيت الإضافة وتفعيلها على موقعك، يمكنك الانتقال إلى الإعدادات الخاصة بها. هناك، ستجد خيار “login Url”، حيث يمكنك إدخال أي نص تريده ليصبح هو المسار الجديد للدخول إلى لوحة التحكم بدلاً من المسار الشائع والمعروف wp-admin:

hide login

بالإضافة إلى ذلك، يمكنك أيضا منع بعض العناوين المعينة للـ IPs من الوصول إلى صفحة تسجيل الدخول للوحة التحكم الخاصة بالووردبريس.

يمكنك القيام بذلك عن طريق الدخول إلى ملف .htacess وإضافة الكود التالي:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from 11.11.11.111
</LIMIT>

وبالإضافة إلى ذلك، يمكنك الحصول على معلومات أكثر تفصيلاً حول كيفية حظر الأيبهات في ملف .htacess.

الاعتماد على اسم مستخدم وكلمة مرور ذات قوة عالية.

easy admin

تجنب استخدام اسم المستخدم الشائع “Admin” أو كلمات المرور البسيطة مثل “12345678” وغيرها من المدخلات السهلة التي يمكن لبرامج التخمين اكتشافها بسهولة.

ينبغي أن يكون اسم المستخدم طويلاً إلى حد ما ويحتوي على أرقام ورموز خاصة مثل ($ – # – @ *). بالنسبة لكلمة المرور، يجب أن تكون صعبة التخمين قدر الإمكان.

كلما قضيت وقتاً أكثر في اختيار كلمة مرور واسم مستخدم فريدين، كلما كنت أبعد عن هجمات محاولات الدخول القوية “Brute-force Login Attempts”.

جعل عملية تخمين اسم المستخدم أمراً صعباً على المتسللين:

admin login

هل تستخدم اسم مستخدم يتطابق مع اسم ملفك الشخصي على موقع الووردبريس؟ إذا كان الأمر كذلك، فأنت تسهل على المهاجمين مهمة تخمين اسم المستخدم عندما يرون اسم ملفك الشخصي الذي يظهر في صفحة المدونة تحت أي مقالة منشورة.

لتغيير اسم الملف الشخصي، يمكنك الدخول إلى “تحرير ملفي الشخصي” كما هو موضح في الصورة أعلاه أو “edit my profile” وتغيير اسم الملف الشخصي ليكون مختلفا عن اسم المستخدم المستخدم للدخول إلى لوحة التحكم الخاصة بالووردبريس.

تحديد عدد محدود لمحاولات الوصول إلى لوحة التحكم

هذا الإجراء يعتبر جزء من الإجراءات الأمنية التي يمكنك تطبيقها على موقع الووردبريس الخاص بك لمنع المتسللين من الوصول إلى لوحة التحكم.

يمكنك تحديد عدد محدود لمحاولات تسجيل الدخول باستخدام الإضافة “limit login attempts”.

all in one wp security and firewall limit login

4- التوجيهات الخبيثة

تعتبر الإعادة التوجيهية الخبيثة “Malicious redirects” من بين أكثر الهجمات خطورة التي قد يتعرض لها موقعك، حيث تساهم هذه الثغرات في إضافة أكواد تقوم بتحويل روابط موقعك إلى مواقع أخرى.

هذا قد يكون نتيجة لسرقة الزيارات من موقعك أو تدمير سمعة الموقع بشكل كامل. قد تؤدي هذه الثغرات إلى خفض ترتيبك في محرك البحث جوجل أو حتى اختفاء الموقع بالكامل.

كما أنها قد تتسبب في حظر سيرفر الموقع من قبل شركة الاستضافة بسبب عملية تحويل الروابط التي تتم بشكل كبير والتي يتم تصنيفها على أنها “سلوك مشبوه من قبل شركات الاستضافة”.

خطوات مباشرة تساعدك في التحقق من إصابة موقعك بثغرة “Malicious redirects”:

  • إذا كانت بعض أو جميع روابط موقعك تتم إعادة توجيهها إلى نطاق آخر.
  • إذا كان موقعك يرسل إشعارات للزوار دون تدخل منك.
  • إذا قامت جوجل بتصنيف بعض روابط موقعك كـ “مشبوهة” أو “سبام”.
  • إذا اكتشفت أكواد غير عادية داخل ملف index.php.
  • وجود مجموعة من الملفات الغريبة داخل مدير الملفات الخاص بموقعك.
  • إذا كان ملف .htaccess يحتوي على أكواد غير مألوفة. يمكنك الاطلاع على دليل ملف htaccess لمعرفة كيفية حمايته وتأمينه.

خطوات الوقاية من التوجيهات الخبيثة

في حالة الإصابة بهذه الثغرة، لن يكون بإمكانك التخلص منها بمجرد إلغاء تنشيط بعض الإضافات الغريبة على موقعك، أو أخذ نسخة احتياطية للموقع، أو حتى تحديث الإضافات والقوالب إلى الإصدارات الأخيرة.

الحل الأكثر فعالية والمضمون هو تثبيت إضافة تحمي الموقع من أكواد إعادة التوجيه “Redirect”.

mclare

تُعد الإضافة “Marcare” من أفضل الخيارات للتغلب على هذه الثغرة القوية التي تدمر الموقع، ولكنها إضافة تتطلب الدفع.

في حالة الإصابة بهذه الثغرة الخبيثة، لا تعتقد أن استخدام أي إضافة للمسح أو “Scan” لموقعك سيتمكن من التخلص من هذه الثغرة بواسطة إضافة مجانية.

5- هجمات Cross-site Scripting (XSS)

في هذا النوع من الثغرات الأمنية التي تهدد المواقع ذات الحماية الضعيفة، يتم زراعة أكواد مؤذية داخل موقعك.

باستخدام هذه الأكواد، يمكن التلاعب في حساب البريد الإلكتروني وبالتالي إرسال رسائل إلكترونية إلى زوار ومستخدمي الموقع أو التطبيق.

تحتوي هذه الرسائل على أكواد مؤذية قادرة على سرقة ملفات الكوكيز الموجودة داخل متصفحات الويب للزوار.

تحتوي هذه الملفات على بيانات تسجيل الدخول الخاصة بزوار ومستخدمي الموقع، مما يتيح الدخول إلى الموقع والتلاعب بحسابات العملاء باستخدام بيانات الدخول التي تم سرقتها من خلال هذه الثغرة.

أصناف ثغرة XSS والإستراتيجيات المتبعة للوقاية منها:

لتعمق فهمك للتأثير السلبي لهذه الثغرة على الموقع، سنستعرض أنواع هذه الثغرة، ثم نناقش الطرق المتاحة للحماية منها ومواجهتها.

الهجوم العكسي (reflected XSS)

في هذا النوع، يتم تنفيذ الهجوم عبر مراحل متعددة للوصول إلى الهدف في النهاية: حيث يبدأ المخترق بإرسال بريد إلكتروني للزوار أو مستخدمي الموقع.

عندما يقوم الشخص الضحية بالنقر على الرابط المرسل، يتم إرسال بيانات إلى سيرفر المخترق.

ثم يتم معالجة واستخدام هذه البيانات في سرقة بيانات تسجيل الدخول الخاصة بالضحية إلى الموقع. وبالتالي، يمكن الدخول إلى حساب الضحية في الموقع باستخدام البيانات التي تم سرقتها.

الهجوم المباشر أو الدائم (persistent XSS)

في هذا النوع، الهدف لا يتغير وهو سرقة بيانات مستخدمي الموقع، ولكن الأسلوب يختلف.

في هذا السياق، يقوم المخترقون بإدخال ملفات ضارة في سيرفر الموقع، التي تقوم بدورها بسرقة ملفات الكوكيز من متصفحات الويب لزوار الموقع، وإعادة إرسال هذه الملفات إلى نطاق مختلف يتحكم فيه المخترقون.

وبالتالي، يحصلون على ملفات الكوكيز التي تحتوي على بيانات تسجيل الدخول للزوار إلى الموقع، مما يتيح لهم التحكم في حسابات الزوار على الموقع.

كما تلاحظ، هذه الثغرة ليست فقط تضر بأمان الموقع، بل تضر أيضًا بأمان الزوار والمستخدمين للموقع من خلال سرقة بياناتهم وتنفيذ عمليات غير قانونية باستخدام هذه البيانات.

التغلب على ثغرة XSS

بالطبع، يمكنك فحص ملفات موقعك يدويًا لحذف أي ملفات أو أكواد مشبوهة، ولكن هذا قد يستغرق منك الكثير من الوقت والجهد وقد يكون من الصعب العثور على كل شيء.

بدلاً من ذلك، يمكنك استخدام إحدى إضافات ووردبريس التي تقوم بالمهمة نيابة عنك.

أحد أشهر هذه الإضافات هو Sucuri Security الذي ذكرناه سابقًا. عند اكتشافه للثغرة، يرسل لك تنبيهًا ويعطيك الخيار لحذف الملفات المشبوهة أو غير الموثوق بها من موقعك.

6- هجمات رفض الخدمة دوس أتاك (Denial of Service)

من بين الثغرات الأمنية أو التهديدات التي قد تؤدي إلى تعطيل الموقع بشكل كامل وتعرضه للتوقف، تعتبر (هجمات الحرمان من الخدمات) من الأكثر شيوعًا.

يستهدف هذا النوع من الهجمات بشكل أساسي كفاءة السيرفر الذي يستضيف الموقع، حيث يتم استخدام البرامج الخبيثة لإرسال عدد كبير ومكثف من الزوار الوهميين إلى الموقع.

ونتيجة لذلك، يتم استهلاك موارد السيرفر، مما قد يؤدي إلى توقف الموقع بشكل كامل.

تحمل هذه الثغرة سجلاً سلبياً في عالم أمن المعلومات، حيث شهد العام 2016 أكبر هجمة من نوع DOS على مستوى العالم.

في هذه الهجمة، قام المهاجمون بإرسال هجمات DOS إلى بعض من أكبر وأشهر المواقع العالمية، مما أدى إلى تعطل مواقع شركات كبيرة مثل فيسبوك، أمازون، بايبال، إنستجرام، بالإضافة إلى العديد من المواقع الأخرى التي تأثرت بسبب هذه الثغرة.

الحماية من هجمات DOS

تتنوع الأساليب المتاحة للحماية من هذه الهجمات، حيث تتراوح بين الأساليب الفعالة بشكل كبير والأساليب الأقل فعالية.

ولكن، الحل الأمثل والأكثر قوة يكون في اختيار شركة استضافة توفر حماية من هجمات DOS.

فشركة الاستضافة التي تمتلك أنظمة حماية من هجمات DOS تعتبر الخيار الأمثل لك لحماية موقعك من هذه الثغرة.

أحد الإجراءات التي تساعد في الحماية من هجمات DOS هو تعطيل ملف xmlrpc.php. يمكنك الاطلاع على كيفية القيام بذلك من خلال مقالة htaccess.

السبب وراء ذلك هو أن هذا الملف يتيح لتطبيقات الجهات الخارجية إرسال بيانات إلى موقعك والتفاعل معه، وهو ما يمكن استغلاله لإرسال هجمات DOS.

7- هجوم WP-VCD.php Hack

هناك نوع آخر من الهجمات الضارة التي تستهدف بعض مواقع ووردبريس.

في هذا النوع من الهجمات، يدخل المخترقون إلى لوحة التحكم في الموقع ومسارات الملفات الداخلية، ويقومون بتخزين ملفات غير مرخصة، مثل الملفات التي تحتوي على بيانات لكسر تراخيص البرامج.

تتم تخزين هذه الملفات في موقعك واستدعاؤها في مكان آخر لتحميلها بطرق غير قانونية.

هذا يؤثر سلباً على موارد استضافة موقعك، وقد يتسبب في حجب موقعك من قبل شركة الاستضافة.

يمكن مواجهة هذه الهجمات باستخدام إحدى إضافات الجدار الناري التي ذكرناها سابقًا.

8- هجمات الاحتيال (Phishing Attacks)

في هذا الهجوم، يستغل المهاجمون الثغرات في موقع ووردبريس، التي قد تكون موجودة في بعض الإضافات أو القوالب غير المحدثة، ويقومون بزرع أكواد ضارة في روابط الموقع والوصول إلى السيطرة الكاملة على الموقع.

يتم استخدام حساب البريد الإلكتروني المرتبط بالموقع لإرسال رسائل إلكترونية إلى الآلاف من المستخدمين تحتوي على روابط تستهدف سرقة البيانات أو أرقام البطاقات المصرفية وغيرها.

كما يمكن التصدي لهذا النوع من الهجمات من خلال استخدام برنامج جدار حماية قوي، مثل الإضافات التي ذكرناها سابقًا.

9- هجمات الكلمات الرئيسية اليابانية (Japanese Keyword Hack)

jabaneese keywords

هذه الثغرة هي من بين الثغرات التي ظهرت مؤخراً، وتعمل بنفس الطريقة التي تعمل بها الثغرات السابقة.

يحاول المهاجمون الوصول إلى نقاط الضعف الموجودة في بعض الإضافات أو القوالب على موقع ووردبريس، ويبدأون في استغلالها لزرع ملفات وأكواد ضارة تقوم بتحويل روابط ونصوص صفحات الموقع إلى كلمات باللغة الصينية.

الهدف من ذلك هو جعل الموقع يظهر في محركات البحث تحت أسماء المنتجات باللغة الصينية، وبالتالي يضعون روابط لشراء هذه المنتجات داخل موقع الضحية، مستفيدين من النطاق القديم للموقع الذي ربما يكون لديه ثقة كبيرة من جوجل.

يمكن أيضًا التصدي لهذا النوع من الهجمات باستخدام إضافات الحماية التي ذكرناها سابقًا.

الخاتمة|

في الختام، وكما رافقتنا في رحلتنا خلال هذه المقالة التي تناولنا فيها أبرز المخاطر التي قد تواجه موقعك، بالإضافة إلى أهم النصائح لتأمين الموقع وحمايته من أي هجوم محتمل.

ورغم وجود العديد من إضافات ووردبريس التي تساعدك في تعيين خيارات الأمان داخل موقعك، فإن السلوكيات والإجراءات الأمنية التي تتبعها في موقعك تعتبر الأهم، سواء كان ذلك في توزيع الصلاحيات، أو استخدام الملفات الضارة، أو تأمين حسابك الشخصي، وغيرها.

مطور ويب وكاتب وصانع محتوى أعمل في مجال تطوير الويب ( Web Development ) خبره تزيد 10 سنوات أعمل أيضا في مجال صناعه المحتوى مثل المحتوى التقنى أعمل كاتب في عده مواقع مثل نجوم مصريه و مصر فايف و خلافه من المواقع الإخبارية مؤسس شركه إستضافة هوستفيرو لإستضافة المواقع " Web hosting ' قمت بتنفيذ العديد من المشروعات لجهات حكوميه وجهات خاصه مثل إنشاء المواقع أو برمجه سكريبتات لتأدية مهام وظيفيه داخل مصر وخارجها أعمل في العديد من الشركات فرى لانسر في تأمين الخدمات المزودة من الشركات عبر مواقعهم الإلكترونية أو حساباتهم