اقرأ التقرير السنوي لعام 2021 عن الضعف في WordPress
نشرت: 2022-01-27بصفتك مستخدمًا أو مطورًا لبرنامج WordPress ، فأنت تعلم بالفعل أن أحد أكبر التحديات التي تواجهها هو تأمين موقعك بالكامل من نقاط الضعف وخطر الهجمات الضارة.
في عالم غير مؤكد حيث يتعرض موقع الويب والأمان عبر الإنترنت لهجوم مستمر ، يحتاج جميع مالكي مواقع WordPress إلى أخذ بروتوكولات الأمان الخاصة بهم على محمل الجد أكثر مما كانت عليه في الماضي.
لا تُظهر البيانات التي تم إصدارها للتو في أول تقرير عن الثغرات الأمنية في WordPress لعام 2021 لك العام بأكمله الذي تم الإبلاغ عنه عن ثغرات WordPress 2021 ، بل تكشف أيضًا عن نقاط الضعف المحددة التي يستغلها المتسللون في أغلب الأحيان.
على سبيل المثال ، هل تعلم أن 97.1٪ من إجمالي ثغرات 2021 WordPress كانت بسبب المكونات الإضافية؟ من المهم معرفة ما إذا كان تشغيل موقع WordPress آمن أمرًا مهمًا بالنسبة لك.
هنا في iThemes ، لا نريد أن نشير إلى المشاكل فقط. نريد أيضًا أن نقدم لك حلولًا مجربة تعمل على الحفاظ على موقع الويب الخاص بك على WordPress آمنًا تمامًا من نقاط الضعف. وستتعلم بالضبط ما يجب فعله لتأمين موقع WordPress الخاص بك بشكل كامل بعد مراجعة هذه البيانات.
أكبر الوجبات الجاهزة لعام 2021: تابع عن كثب إضافات WordPress الخاصة بك
في عام 2021 ، كانت 97.1٪ كاملة من جميع نقاط الضعف في WordPress التي تم الكشف عنها العام الماضي بسبب مشكلات في المكونات الإضافية. تقرأ هذا الحق.
2021 نقاط الضعف حسب المصدر
| مصدر الضعف | عدد المبلغ عنها | النسبة من الإجمالي (1،628) |
|---|---|---|
| ووردبريس كور | 8 | 0.05٪ |
| الإضافات | 1581 | 97.1٪ |
| سمة | 39 | 2.4٪ |
ولكن الأمر الأكثر إثارة للقلق هو أنه من بين 1581 ثغرة أمنية تم الإبلاغ عنها في عام 2021 ، 23.2٪ منها ليس لديها إصلاح معروف. هذا يعني أنه مع تقدمنا في عام 2022 وما بعده ، نحتاج إلى أن نكون أكثر يقظة بشأن المكونات الإضافية التي نقوم بتنزيلها واستخدامها.
على سبيل المثال ، بينما قد تتمكن من الحصول على حل مكون إضافي مجاني من مطور مكون إضافي غير معروف ، هل تثق تمامًا بأمانه؟ كما تظهر البيانات ، فإن 29٪ من ثغرات البرنامج الإضافية المبلغ عنها لم يتم تصحيحها من قبل مطوريها.
حالة البرنامج المساعد في وقت الإفشاء
| مستوى التهديد | عدد المبلغ عنها | النسبة من الإجمالي (1،628) |
|---|---|---|
| مرمم | 1156 | 71٪ |
| لا يوجد إصلاح معروف | 377 | 23.2٪ |
| البرنامج المساعد مغلق | 95 | 5.8٪ |
كلما كان ذلك ممكنًا ، التزم بمطوري المكونات الإضافية الذين تثق بهم ولا تستخدم أبدًا مكونات و سمات WordPress الملغاة. وبالطبع ، حافظ على تحديث المكونات الإضافية والسمات الخاصة بك مع التصحيحات المتاحة كلما تم إصدارها.
ولكن حتى عند القيام بذلك ، سيستمر استغلال الثغرات الأمنية من قبل المتسللين المهرة والمهاجمين الضارين قبل أن يتمكن مطورو المكونات الإضافية من إنشاء تصحيحات لإصلاحها.
هذا هو بالضبط سبب احتياج موقع WordPress الخاص بك إلى حماية أمنية صلبة ، كما سنناقش ذلك في غضون دقيقة.
في الوقت الحالي ، من المهم معرفة أن المكون الإضافي iThemes Security Pro يحتوي على ماسح ضوئي مدمج للموقع يقترن بميزة إدارة الإصدار للبحث تلقائيًا عن نقاط الضعف المعروفة والتحديث التلقائي لأي مكونات إضافية ضعيفة ، لذلك لا داعي للقلق كثيرًا حول أمن موقعك.
زيادة هائلة في سبتمبر 2021 من الثغرات المبلغ عنها
كان سبتمبر هو الشهر الذي تميز عن الباقي. في الواقع ، شهد شهر سبتمبر 20.5٪ من إجمالي نقاط الضعف المبلغ عنها ، أو 335 في المجموع. من منظور المنظور ، كان الشهر الذي شهد ثاني أكبر عدد من الثغرات هو أكتوبر ، والذي تم الإبلاغ عنه 173. يوليو لم يكن بعيدًا عن الركب ، حيث حدث 157 مرة.
نقاط الضعف لكل مكون إضافي / موضوع / أساسي حسب الشهر (2021)
| شهر | الإضافات | سمة | النواة |
|---|---|---|---|
| يناير | 19 | 0 | 0 |
| شهر فبراير | 42 | 2 | 0 |
| يمشي | 58 | 1 | 0 |
| أبريل | 67 | 1 | 2 |
| مايو | 37 | 5 | 2 |
| يونيه | 80 | 7 | 0 |
| يوليو | 157 | 7 | 0 |
| أغسطس | 149 | 0 | 0 |
| سبتمبر | 335 | 3 | 1 |
| اكتوبر | 173 | 1 | 0 |
| شهر نوفمبر | 120 | 0 | 0 |
| ديسمبر | 45 | 0 | 0 |
في حين أنه من غير الممكن بالتأكيد معرفة ما إذا كان سيتم تنفيذ نمط مماثل مع تقدمنا في عام 2022 ، فهذه بالتأكيد بيانات مهمة يجب أن نراقبها.
نقاط الضعف حسب مستوى التهديد حسب الشهر (2021)
| شهر | حرج | متوسط | متوسط | قليل |
|---|---|---|---|---|
| يناير | 5 | 3 | 11 | 1 |
| شهر فبراير | 25 | 10 | 0 | 21 |
| يمشي | 16 | 19 | 35 | 0 |
| أبريل | 25 | 27 | 37 | 1 |
| مايو | 4 | 18 | 32 | 3 |
| يونيه | 7 | 18 | 64 | 1 |
| يوليو | 8 | 65 | 120 | 9 |
| أغسطس | 11 | 135 | 56 | 37 |
| سبتمبر | 19 | 174 | 156 | 38 |
| اكتوبر | 8 | 73 | 75 | 62 |
| شهر نوفمبر | 9 | 46 | 53 | 22 |
| ديسمبر | 0 | 30 | 18 | 9 |
البرمجة النصية عبر المواقع باعتبارها أكثر نقاط ضعف البرنامج المساعد شيوعًا
البرمجة النصية عبر المواقع (XSS) هي نوع من الثغرات الأمنية لمواقع الويب التي توجد في العديد من تطبيقات WordPress ، مثل المكونات الإضافية والسمات.
تمكن هجمات XSS هذه المهاجمين من حقن البرامج النصية من جانب العميل في صفحات الويب الخاصة بـ WordPress التي يشاهدها المستخدمون الآخرون. قد يستخدم المهاجمون ثغرة في البرمجة النصية عبر المواقع لتجاوز عناصر التحكم في الوصول والوصول الكامل إلى النهاية الخلفية لموقعك.
البرمجة النصية عبر المواقع التي تم تنفيذها على مواقع WordPress في عام 2021 شكلت 54.4٪ من جميع نقاط الضعف في WordPress. وكان ذلك إجمالي 885 نقطة ضعف.
| مستوى التهديد | عدد المبلغ عنها | النسبة من الإجمالي (1،628) |
|---|---|---|
| البرمجة النصية عبر المواقع (CSS) | 885 | 54.4٪ |
| طلب تزوير عبر المواقع (CSFR) | 167 | 10.2٪ |
| حقن SQL | 152 | 9.3٪ |
| التجاوزات | 68 | 4.2٪ |
| نقاط ضعف RCE | 20 | 1.2٪ |
| ثغرات PHP | 19 | 1.2٪ |
| إفصاحات فار | 19 | 1.2٪ |
| REST API | 11 | 0.7٪ |
| إفشاء المعلومات الحساسة | 6 | 0.4٪ |
| جميع الاخرين | 281 | 17.3٪ |
كما ترى ، تعد البرمجة النصية عبر المواقع مصدر قلق أمني رئيسي لجميع مالكي مواقع WordPress. لكن مخاوف الضعف لا تنتهي عند هذا الحد.
10.2٪ أخرى ، أو 167 نقطة ضعف ، نشأت من طلبات التزوير عبر المواقع (CSFR).
تزوير الطلبات عبر المواقع ، والمعروف أيضًا باسم هجوم النقرة الواحدة أو ركوب الجلسة ، هو نوع من الاستغلال الضار لموقع ويب حيث يتم إرسال أوامر غير مصرح بها من مستخدم يثق به تطبيق الويب.
لا يستغرق الأمر وقتًا طويلاً حتى ترى أنه بدون بروتوكولات أمان WordPress المناسبة ، يكون موقع WordPress الخاص بك مفتوحًا على نطاق واسع لهجمات المواقع من جميع الأنواع.
لكن هذه ليست الأنواع الوحيدة من نقاط الضعف التي يجب أن تقلق بشأنها. بالإضافة إلى ذلك ، هناك سبعة أنواع مميزة من نقاط الضعف التي تم الإبلاغ عنها في عام 2021.
ولا تستبعد 281 أو 17.3٪ من الثغرات الأمنية التي تم الإبلاغ عنها والتي تم تصنيفها في التقرير على أنها "أخرى".
غالبًا ما تكون هذه الأنواع من الهجمات هي تلك التي لم يفهمها مطورو السمات والمكونات الإضافية حتى الآن ، وتتطلب مكونًا إضافيًا قويًا للأمان في WordPress لمنعهم من إتلاف موقعك أو اختراقه.
مستويات تهديد الضعف في عام 2021
| مستوى التهديد | عدد المبلغ عنها | النسبة من الإجمالي (1،628) |
|---|---|---|
| حرج | 137 | 8.4٪ |
| متوسط | 630 | 38.7٪ |
| متوسط | 678 | 41.6٪ |
| قليل | 183 | 11.2٪ |
نقاط الضعف الأساسية والموضوع في WordPress
بصفتك مالك موقع WordPress ، فمن المحتمل أنك تعرف بالفعل أهمية تحديث المكونات الإضافية في جميع الأوقات لتجنب الهجمات المحتملة.
بعد كل شيء ، يتم استغلال الغالبية العظمى من الثغرات الأمنية من خلال المكونات الإضافية.
ولكن ، كما تشير أرقام 2021 ، فإن المكونات الإضافية ليست المكان الذي تبدأ منه بروتوكولات الأمان وتنتهي. حتى إذا كنت متيقظًا بنسبة 100٪ مع المكونات الإضافية التي تستخدمها وتحافظ على تحديثها ، فلا يزال من الممكن استغلال موقعك من خلال نقاط الضعف في قالبك.
يمكن أيضًا استغلالها من خلال برنامج WordPress الأساسي. في العام الماضي ، رأينا ما مجموعه 47 نقطة ضعف تم استغلالها من خلال WordPress الأساسية والمواضيع المختلفة. يمثل هذا الرقم حوالي 2.5 ٪ من جميع الثغرات الأمنية في WordPress لعام 2021.
وعلى الرغم من أن هذا قد لا يبدو كثيرًا ، إلا أن الأمر يتطلب ثغرة واحدة تم استغلالها لتدمير سمعة موقع الويب الخاص بك وعملك تمامًا.
بالطبع ، الحل الأول هو الحفاظ على جوهر WordPress وموضوعك بشكل كامل ومحدث في جميع الأوقات. ولكن كما ذكرنا فيما يتعلق بالمكونات الإضافية ، فإن ذلك يساعد فقط في حل نقاط الضعف السابقة المعروفة.
بالنسبة إلى الأجهزة الجديدة ، تحتاج إلى تشغيل برنامج أمان يعرف كيفية اكتشاف حدوث هجمات ضارة في الوقت الفعلي.
تأكد من الحفاظ على تركيز أمان موقع الويب في عام 2022
هذا هو المكان الذي يتدخل فيه المكون الإضافي iThemes Security Pro للمساعدة في الحفاظ على أمان موقع WordPress الخاص بك. من خلال حل أمان WordPress سهل الاستخدام والمباشر ، ستتمكن على الفور من النوم بشكل أفضل في الليل مع العلم أن موقعك محمي بالكامل من المتسللين والهجمات الضارة.
الخطوة الأولى هي فهم قصف التهديدات الأمنية التي يتعرض لها موقعك باستمرار. بعد ذلك ، حان الوقت للحصول على iThemes Security Pro والتعامل بجدية مع بروتوكول أمان موقع WordPress الخاص بك.
من خلال ماسح ضوئي مدمج لموقع WordPress للبحث عن نقاط الضعف المعروفة في WordPress ، مقترنة بطبقات من الحماية لصفحة تسجيل الدخول الخاصة بك مثل الحماية من القوة الغاشمة ، بالإضافة إلى الكشف عن تغيير الملف وتسجيل المستخدم ، يتمتع موقعك بدفاع قوي ضد الاختراقات والانتهاكات الأمنية .
أفضل مكون إضافي لأمن WordPress يؤمن & يحمي ووردبريس
تم إنشاؤه بواسطة خبراء أمان WordPress منذ عام 2014
يشغل WordPress حاليًا أكثر من 40٪ من جميع مواقع الويب ، لذا فقد أصبح هدفًا سهلاً للمتسللين ذوي النوايا الخبيثة. يزيل iThemes Security Pro التخمين من أمان WordPress لتسهيل حماية موقع WordPress الخاص بك وحمايته.
