لماذا يتم اختراق مواقع WordPress وكيفية منعها

نشرت: 2019-10-07

آخر تحديث - 8 يوليو 2021

WordPress هو نظام إدارة محتوى شائع (CMS) يستخدم لإنشاء مواقع الويب أو المدونات. أحد الأشياء التي تجعل WordPress شائعًا للغاية هو مدى بساطته - يمكن للمستخدمين استخدام WordPress لإنشاء وتعديل وإدارة المحتوى بسهولة على مواقع الويب الخاصة بهم دون أي خبرة في البرمجة. هذا يدفع العديد من الشركات والأفراد إلى استخدام WordPress لبناء مواقعهم.

يقول تقرير حديث صادر عن W3techs أن WordPress يُستخدم في 34.5٪ من جميع مواقع الويب. هذا يعني أن كل موقع ويب ثالث تستخدمه ، تم إنشاؤه باستخدام WordPress. من بين حلول CMS ، تعد الحصة السوقية لـ WordPress أعلى ، حيث تعمل أكثر من 60 ٪ من جميع مواقع الويب على WordPress. تحتل Joomla المرتبة الثانية ، ولكن بهامش كبير - يتم استخدامها بنسبة 5-10٪ من عدد المواقع.

لماذا يتم اختراق مواقع WordPress؟

على الرغم من أنها قد لا تكون أكثر عرضة للهجمات من أي موقع ويب آخر على الإنترنت ، فمن المرجح أن تتعرض مواقع WordPress للاختراق لأنها أكثر شيوعًا. بالنظر إلى الشعبية الهائلة لـ WordPress ، يكون لدى المهاجمين حافز أكبر لمحاولة إيجاد طرق لاستغلال نقاط الضعف الموجودة في هذه المواقع.

عندما يجد المهاجمون ثغرة أمنية في WordPress ، فإن لديهم أهدافًا أكثر بكثير من أي نظام آخر على الإنترنت تقريبًا. بالإضافة إلى ذلك ، نظرًا لأن WordPress يجذب العديد من المستخدمين الذين ليس لديهم خبرة في الترميز ، فمن غير المرجح أن يتخذوا التدابير اللازمة لتأمين مواقعهم الإلكترونية من نقاط الضعف التي يمكن للمهاجمين استغلالها. سبب آخر لاختراق مواقع WordPress هو "الرياضة" والممارسة. يحاول العديد من المبتدئين العثور على مواقع ذات أمان ضعيف لممارسة مهارات القرصنة وإيجاد طرق للتحسين.

7 طرق لاختراق مواقع ووردبريس وكيفية منعها

تحتاج إلى فهم بعض الأسباب الشائعة لاختراق مواقع WordPress وبالتالي اتخاذ الاحتياطات.

كلمات مرور ضعيفة

تعمل كلمات المرور الخاصة بك كمفاتيح لموقع WordPress الخاص بك ، مما يعني أنه يجب عليك التأكد من أنها قوية بما يكفي لحمايتها. تشير الدراسات إلى أن حوالي 80٪ من جميع خروقات البيانات تحدث بسبب ضعف كلمات المرور.

كيفية الإصلاح : إصلاح هذه الثغرة الأمنية مباشرة - استخدم كلمة مرور قوية. يمكنك أيضًا استخدام مدير كلمات مرور تابع لجهة خارجية ، مثل LastPass ، على سبيل المثال.

عدم تغيير اسم مستخدم WordPress الخاص بك

عندما تفتح حساب WordPress الخاص بك ، يكون اسم المستخدم الخاص بك هو "admin" ، والجميع يعرف ذلك. لهذا السبب ، هذا هو اسم المستخدم الأول الذي سيحاول المهاجمون اختراقه عندما يحاولون اختراق موقع الويب الخاص بك. يقدم هذا الحساب امتيازات الجذر ، ويمكن استخدامه في المهملات في موقعك ، والوصول إلى الشبكات المتصلة ، وسرقة البيانات أو حذفها أو طلب فدية.

كيفية الإصلاح : إذا كان اسم المستخدم الخاص بك هو admin ، فقم بتغييره في أقرب وقت ممكن إلى اسم مستخدم مختلف.

استضافة مواقع غير آمنة

تتم استضافة مواقع WordPress على خوادم مثل جميع مواقع الويب الأخرى. يعد اختيار المزود المناسب أمرًا أساسيًا لتأمين موقع الويب الخاص بك. حتى إذا قمت بتنفيذ جميع النصائح الأخرى المذكورة في هذا الدليل ، إذا كان مزود الخدمة الخاص بك يقدم حماية ضعيفة ، فلا يزال من الممكن اختراق موقع الويب الخاص بك.

كيفية الإصلاح : اختر أفضل مزود استضافة WordPress في حدود ميزانيتك ، وتأكد من استضافة موقع الويب الخاص بك على نظام أساسي آمن.

تعلم WordPress و WooCommerce
تقدم Kinsta استضافة WordPress مُدارة وموردًا رائعًا لتعلم WordPress و WooCommerce.

أذونات الملف غير صحيحة

أذونات الملفات هي قواعد يستخدمها خادم الاستضافة لمساعدة خادم الويب الخاص بك على التحكم في الوصول إلى الملفات المخزنة والمستخدمة بواسطة موقع الويب الخاص بك. قد يؤدي إعطاء هذه الملفات أذونات غير صحيحة إلى السماح للمتسللين بالوصول إلى ملفاتك وتعديلها ، مما قد يؤدي إلى جميع أنواع المشاكل لموقع الويب الخاص بك.

كيفية الإصلاح : تأكد من أن جميع ملفات WordPress الخاصة بك مضبوطة على إذن القيمة 644 وأن جميع مجلداتك مضبوطة على 755.

ضعف الأمن ضد التهديدات السيبرانية الشائعة

حتى إذا كان لديك أقوى كلمات المرور واستخدمت المضيف الأكثر أمانًا ، فإنك لا تزال عرضة للهجمات الإلكترونية. تعد حقن SQL ، على سبيل المثال ، هجومًا شائعًا يستخدم لإصابة مواقع الويب ببرامج ضارة.

كيفية الإصلاح : تعرف على التهديدات الأكثر شيوعًا وكيفية تأمين موقع الويب الخاص بك ضد هذه التهديدات. أفضل مكان للبدء هو OWASP (مشروع أمان تطبيق الويب المفتوح) من أفضل 10 قائمة توضح بالتفصيل نقاط الضعف العشر الأكثر إلحاحًا. يوفر OWASP أيضًا موارد تعليمية ، والتي يمكنك استخدامها لتحسين ممارسات الأمن السيبراني الخاصة بك.

استخدام إصدارات قديمة من ووردبريس

يخشى بعض مستخدمي WordPress من تحديث مواقع الويب الخاصة بهم إلى أحدث إصدار من WordPress ، لأنه قد يتسبب في حدوث أخطاء في موقع الويب الخاص بهم. ومع ذلك ، يعد تجنب التحديثات مشكلة خطيرة ، حيث يتم إصدار العديد من هذه التحديثات لتصحيح الثغرات الأمنية.

كيفية الإصلاح : يجب عليك دائمًا التحديث إلى أحدث إصدار للتأكد من حصولك على أحدث إصلاحات الأخطاء وتصحيحات الأمان. إذا كنت تخشى أن يفسد التحديث موقع الويب الخاص بك ، فإن إنشاء نسخة احتياطية كاملة من WordPress يعد دائمًا ممارسة جيدة ، خاصة قبل تحديثات الإصدار.

استخدام السمات أو المكونات الإضافية المؤرخة

لا تختلف سمات ومكونات WordPress كثيرًا عن البرامج الأساسية التي يتم تشغيلها ، كما أن تحديثها أمر مهم بنفس القدر - قد تتعرض الإصدارات القديمة لنقاط الضعف.

كيفية الإصلاح : تأكد من أن لديك أحدث الإصدارات لجميع السمات والمكونات الإضافية.

يتم إحتوائه

تتعرض مواقع WordPress للاختراق طوال الوقت. هذه حقيقة ويجب معالجتها على هذا النحو. مواقع التجارة الإلكترونية معرضة بشكل خاص للهجمات ، لأنها تقدم مكافآت أكثر من المواقع العادية. غالبًا ما تقوم منصة التجارة الإلكترونية الناجحة التي تعالج العديد من المعاملات بتخزين المعلومات الحساسة.

إذا تم اختراق موقع ويب ، يمكن للمهاجمين سرقة المعلومات. سيؤدي هذا إلى وضع موقع الويب في وضع سيء ، خاصةً إذا كان الموقع يخدم المستخدمين المرتبطين بالاتحاد الأوروبي. هذه المعلومات محمية بموجب اللائحة العامة لحماية البيانات (EU GDPR) ، والتي تحمي المعلومات الحساسة "لجميع المواطنين الأفراد في الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية". قد يؤدي عدم الامتثال للائحة العامة لحماية البيانات إلى خسائر مالية وسمعة.

كيان امتثال آخر يجب أخذه في الاعتبار هو معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) ، والذي يحمي المعلومات الحساسة والمالية لحاملي بطاقات الائتمان. ينطبق PCI على أي تاجر يقوم بمعالجة بيانات بطاقة الائتمان وتخزينها ونقلها والتعامل معها. هذا يعني أن منصات التجارة الإلكترونية يجب أن تمتثل لـ PCI. يتم الحفاظ على PCI وتنظيمه من قبل شركات بطاقات الائتمان الكبرى ، والتي تفرض الامتثال عن طريق الغرامات.