أمن ووردبريس على أساس الحقائق والإحصاءات

نشرت: 2022-12-12

يعد WordPress هدفًا شائعًا للمتسللين الضارين نظرًا للعدد الهائل من الأشخاص الذين يستخدمونه. تشير بعض التقديرات إلى أن العدد الإجمالي لمواقع WordPress على الإنترنت بلغ 455 مليونًا. هذا يعني أن WordPress يدير 43.1٪ من جميع مواقع الويب على الإنترنت.

احصائيات مثيرة للاهتمام

يعد اكتشاف عدد مواقع الويب التي تم اختراقها أمرًا صعبًا. هناك عدة أسباب لذلك. من المعروف أنه لا يتم الإبلاغ عن حوادث القرصنة. ما لم يُجبر القانون على الكشف عن الحوادث ، فإن العديد من المسؤولين ومالكي مواقع الويب يترددون في القيام بذلك. يجهل الكثيرون أنهم تعرضوا للاختراق ، مما يجعل من المستحيل الإبلاغ.

مع هذه المحاذير بعيدًا عن الطريق ، أبلغت حوكمة تكنولوجيا المعلومات - وهي مزود لحلول إدارة المخاطر والخصوصية السيبرانية ، عن حوالي 5.1 مليار انتهاك (وهذا مع B) في عام 2021 وحده. يشمل هذا الرقم جميع الخروقات. بالنظر إلى تقرير آخر ، هذه المرة من قبل Sophos ، يتم اختراق 30000 موقع (في المتوسط) يوميًا. هذا يعادل 11 مليون موقع يتم اختراقها سنويًا. نحن نعلم أن 43 ٪ من جميع مواقع الويب تعمل بنظام WordPress ، مما يسمح لنا بعمل تقديرات متعلمة تفيد بأن 4.7 مليون موقع WordPress يتم اختراقها سنويًا. هذا ما يقرب من 13000 موقع WordPress يتم اختراقها كل يوم.

هذا رقم كبير جدًا - وهو ما يطرح السؤال ، لماذا يتم اختراق WordPress كثيرًا؟ هذا هو بالضبط ما سننظر إليه في هذه المقالة - بناءً على الحقائق والإحصاءات.

WordPress - ما مدى أمانه حقًا؟

WordPress هو مشروع مفتوح المصدر يعمل فيه العديد من الأشخاص بنشاط في جميع أنحاء العالم. مجتمع WordPress قوي جدًا ويضم بعضًا من أذكى الأشخاص الذين ستلتقي بهم وأكثرهم التزامًا. مع وجود الكثير من الأشخاص المتورطين ويتجاهلون عملية التطوير ، يميل WordPress إلى أن يكون آمنًا للغاية.

يمكن أن تكون قوة WordPress هي السقوط أيضًا ، حيث ستظهر لنا الإحصائيات عندما نتعمق أكثر في كيفية اختراق مواقع WordPress.

أكبر نقاط القوة والضعف في WordPress

لا يوجد نظام مثالي ، وهذا ينطبق أيضًا على WordPress core. يمثل WordPress core الملفات الأساسية قبل إجراء أي تغييرات (مثل المكونات الإضافية والسمات والتكوينات). في الواقع ، شكّل WordPress Core 0.58٪ من جميع نقاط الضعف في عام 2021 - وفقًا لتقرير Sucuri's WordPress لإحصاءات القرصنة. هذا ما يزيد قليلاً عن نصف واحد بالمائة من جميع الحوادث.

التالي هو السمات والإضافات - بهذا الترتيب. في الواقع ، تشكل السمات 6.61٪ من جميع نقاط الضعف ، بينما تشكل المكونات الإضافية 92.81٪.

يقسم Sucuri أيضًا السمات والإضافات حسب ما إذا كانت مجانية أو مميزة. في حين أن السمات المميزة والمكونات الإضافية تشكل 8.62٪ من جميع ثغرات الطرف الثالث ، فإن نظيراتها المجانية تمثل 91.38٪.

لماذا تكلف الإضافات الجيدة المال

هناك العديد من الأسباب لهذا الأمر. تأتي المكونات الإضافية والسمات بجميع الأشكال والأحجام - من المطورين ذوي السمعة الطيبة إلى المشبوهة. حقيقة الأمر هي أنه عند القيام بذلك بشكل صحيح ، فإن تطوير البرنامج المساعد ليس رخيصًا. يجب أن يتم الدفع للمطورين المحترفين بدوام كامل مع الحفاظ على البنى التحتية الجيدة ، كما أن مرافق الاختبار تؤدي إلى زيادة الفواتير.

هذا لا يعني أن جميع المكونات الإضافية المجانية تشكل تهديدًا أمنيًا - بعيدًا عن ذلك. يكرس العديد من المطورين وقت فراغهم لإنتاج مكونات إضافية مجانية عالية الجودة. ومع ذلك ، إذا كنت تريد مكونًا إضافيًا تم اختباره ودعمه على نطاق واسع ، فمن المحتمل أن يكون المكون الإضافي المتميز هو السبيل للذهاب.

نقاط الضعف في WordPress - الأرقام

يتجه عدد نقاط الضعف المعروفة في WordPress إلى الارتفاع كل عام. في الواقع ، أضاف WPScan 1437 نقطة ضعف جديدة إلى قاعدة بياناته و 514 في العام السابق لذلك. في نوفمبر من عام 2022 وحده ، تمت إضافة 64 نقطة ضعف جديدة.

بالنظر إلى توزيع الثغرات الأمنية التي ناقشناها سابقًا ، فإن هذه الأرقام تصمد عند النظر إلى عدد مكونات WordPress الإضافية المتاحة. يسرد مستودع WordPress.org أكثر من 60.000 مكون إضافي متوفر في وقت كتابة هذا التقرير ، مع إضافة المزيد يوميًا. يمكن أيضًا شراء المكونات الإضافية مباشرة من المطورين أو تنزيلها من مصادر غير رسمية.

نظرًا لطبيعة الثغرات الأمنية المتغيرة باستمرار في WordPress ، فإن الهجمات المستهدفة هي الاستثناء وليست القاعدة. مع إصلاح الثغرات القديمة وإدخال ثغرات جديدة ، قد يجد المتسللون صعوبة في مواكبة تلك الثغرات. كما أنه يجعل الهجمات المستهدفة تستغرق وقتًا طويلاً للغاية ، وهذا هو السبب في أن معظم الهجمات تتم آليًا.

تستخدم الهجمات الآلية استخدام أداة لفحص العديد من مواقع الويب تلقائيًا ، ورفع التنبيهات كلما تم العثور على ثغرة أمنية. ولهذا السبب ، فإن معظم الهجمات عشوائية وليست نتيجة ضغينة. ولكن ما هي الأدوات التي يستخدمها المتسللون لمثل هذه الهجمات الآلية؟ هيا نكتشف.

كيف يتم اختراق مواقع WordPress

يمكن اختراق WordPress بعدة طرق مختلفة - يمكن للقراصنة أن يكونوا مبدعين للغاية في تعقب الأهداف. هذا يجعل من المستحيل والخطير سرد جميع الطرق التي يمكن من خلالها اختراق موقع WordPress ، لأنه قد يوفر إحساسًا زائفًا بالأمان. ومع ذلك ، يمكننا إلقاء نظرة على مثال واحد يوضح العملية التي قد يتخذها المخترق عادةً لاختراق موقع ويب WordPress.

WPScan - أداة فحص نقاط الضعف في WordPress

wpscan
واجهة WPScan: فحص أمان WordPress

إحدى الأدوات الشائعة التي يستخدمها المتسللون غالبًا تسمى WPScan. إنها أداة مجانية متاحة بسهولة عبر الإنترنت. إنه ماسح للثغرات الأمنية يقوم بمسح مواقع WordPress الإلكترونية وتحديد المشكلات المعروفة والتكوينات غير الآمنة. عند بدء فحص أمان WordPress افتراضي باستخدام WPScan ، سوف تكتشف على الفور:

  • نسخة ووردبريس
  • المكونات الإضافية المثبتة وإصدارها والمسار حيث تم تثبيتها
  • السمات المثبتة وإصدارها والمسار حيث تم تثبيتها

يتضمن WPScan وظائف أخرى ، مثل عمليات مسح تعداد مستخدم WordPress. تحدد عمليات المسح هذه وتعداد جميع المستخدمين المسجلين على موقع WordPress ، مما يمنح المتسللين نظرة ثاقبة حول كيفية عمل WordPress الخاص بك. مسلحًا بهذه المعلومات ، يمكن للمتسلل بعد ذلك شن هجوم ثانوي ، مثل هجوم القوة الغاشمة لكلمة مرور WordPress للوصول إلى نظامك.

هنا ، من المهم ملاحظة سبب أهمية أمان كلمة مرور WordPress للأمان العام لموقع WordPress الخاص بك. تجعل كلمة المرور الضعيفة من السهل نسبيًا اختراق هجوم القوة الغاشمة. وبالمثل ، من المهم التأكد من أن جميع الحسابات تستخدم كلمات مرور قوية. قد لا يتمكن حساب المساهم المخترق من إلحاق الكثير من الضرر ، ولكن من خلال تصعيد الامتيازات على موقع ويب تم اختراقه ، يمكن للمهاجم الحصول على امتيازات إدارية لإحداث فوضى.

لماذا الهاكرز

بمجرد أن يتمكن أحد الممثلين السيئين من الوصول إلى موقع WordPress الخاص بك ، هناك العديد من الإجراءات التي يمكنهم اتخاذها ، مثل:

  • قم بإنشاء حساب جديد بامتيازات المسؤول
  • أعد تعيين كلمة مرور الحسابات الحالية لضمان عدم تمكن المستخدمين الآخرين من استعادة الوصول إلى WordPress الخاصة بهم
  • تغيير دور حساب خامد موجود
  • قم بتغيير المحتوى لحقنه بشفرة ضارة
  • العبث بملفات التعليمات البرمجية المصدر لـ WordPress لإضافة تعليمات برمجية ضارة ، مثل الأبواب الخلفية
  • أضف عمليات إعادة التوجيه في ملفات htaccess

حماية ووردبريس الخاص بك من الهجمات

كما رأينا ، يمكن للممثلين السيئين اتباع طرق متعددة لاختراق موقع WordPress على الويب. من المنطقي إذن أن تأمين موقع WordPress يتطلب نهجًا أكثر شمولية من مجرد ضمان حصول المستخدمين على كلمة مرور.

  • البحث - سواء كنت تبحث عن مزود استضافة WordPress أو مكون إضافي جديد ، تأكد من قضاء بعض الوقت في التحقق منها من قبل. يمكن أن تساعدك المنتديات في إلقاء نظرة سريعة على شعور العملاء تجاه المنتجات أو الخدمات ، بينما يجب أن تحتوي المكونات الإضافية على تحديثات متكررة ودعم عملاء رائع.
  • اختبار - لا يجب أن يكون اختيار أفضل مكون إضافي لبرنامج WordPress الخاص بك لعبة تخمين. يقدم معظم مزودي المكونات الإضافية ذوي السمعة الطيبة نسخة تجريبية مجانية من المكونات الإضافية المتميزة الخاصة بهم. هذا يسمح لك باختبارها قبل الالتزام.

بمجرد تحديد الإعداد الخاص بك ، ستحتاج إلى التأكد من تهيئته بشكل صحيح لتحقيق أقصى قدر من الأمان. لا تعد تهيئة WordPress آمنة مهمة لمرة واحدة ولكنها عملية مستمرة تتضمن:

  • كلمات مرور قوية - يمكن أن تساعدك سياسة كلمات المرور القوية في WordPress على ضمان نفاد وقت هجمات القوة الغاشمة قبل أن تنجح. استخدم مزيجًا صحيًا من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة. أيضًا ، قم بتعيين سياسة انتهاء صلاحية كلمة المرور لضمان تغيير كلمات المرور بشكل متكرر.
  • 2FA - 2FA ، اختصار للمصادقة الثنائية ، يضيف طبقة مصادقة إضافية لتسجيل الدخول إلى WordPress الخاص بك. عند استخدام المصادقة الثنائية (2FA) ، حتى إذا نجح هجوم القوة الغاشمة ، فلن يتمكن المتسللون من تسجيل الدخول دون الوصول إلى هاتفك الذكي.
  • تحديث - حافظ على تحديث WordPress والإضافات والقوالب في جميع الأوقات. يمكن تنفيذ تحديثات WordPress بطرق مختلفة ، كما يظهر هذا الاستطلاع الأخير. يمكن أن يساعدك ذلك في تحقيق التوازن بين المتطلبات الإدارية والأمنية دون عناء.
  • المراقبة - راقب عن كثب نشاط المستخدم والنظام باستخدام مكون إضافي للأمان مثل WP Activity Log. سيساعدك هذا في تحديد السلوك المشبوه في وقت مبكر وإغلاقه قبل حدوث الضرر.

هذه ليست بأي حال من الأحوال قائمة شاملة ، لكنها نقطة بداية جيدة. يعد أمان WordPress موضوعًا متطورًا ، وهو موضوع يتطلب صيانة مستمرة. تعد متابعة مدونة أمان WordPress طريقة واحدة للبقاء على اطلاع دائم وشيء يمكنك قراءته أثناء احتساء قهوة الصباح.

الحفاظ على ووردبريس آمنًا

أمان WordPress هو دورة وليس عملية لها بداية ونهاية. يتطلب اهتمامًا وتعديلًا مستمرين للاستجابة للتهديدات المتطورة. في حين أن هذا قد يبدو أنه يتطلب الكثير من العمل ، كما هو الحال غالبًا ، فإن الصيانة أفضل من الإصلاح. من خلال تخصيص بضع ساعات كل شهر ، يمكنك تقليل مخاطر الأمان بشكل كبير ، مما يساعدك على ضمان استمرار نمو موقع الويب الخاص بك.