لماذا تتعرض مواقع WordPress للاختراق وكيفية منعها؟

لا يستهدف مجرمو الإنترنت عادةً مواقع WordPress فحسب ، بل جميع مواقع الويب الأخرى. يتم استهداف WordPress بشكل متكرر بسبب شعبيته الهائلة وعدد المستخدمين الهائل من جميع أنحاء العالم. هذا يجعل من السهل على المتسللين العثور على مواقع WordPress المعرضة للخطر وإطلاق هجمات إلكترونية لتهديد أمن هذه المواقع والتلاعب بمواردها.

يحاول البعض مهاجمة المواقع غير الآمنة لمجرد التحقق من مهاراتهم ، لكن معظمهم يفعل ذلك للوصول إلى تفاصيل المستخدمين على الموقع ، والموارد ، وما إلى ذلك ، لتحقيق خططهم الضارة.

لماذا تتعرض مواقع WordPress للاختراق؟

يجب أن يكون الحفاظ على موقع WordPress الخاص بك في مأمن من المتسللين أولوية. مع وضع كل هذا في الاعتبار ، دعنا نستكشف أسباب اختراق مواقع WordPress من قبل المهاجمين وما يمكنك القيام به لوقف تلك الهجمات.

1. استضافة المواقع غير الآمنة

يتم استضافة WordPress على مضيف ويب ، مثل أي موقع ويب آخر. للأسف ، لا يولي معظم مالكي مواقع الويب أهمية كافية لخادم الويب الذي يختارونه ويذهبون إليه بأقل تكلفة يمكنهم الحصول عليها أو حتى استخدام WordPress استضافة مجانية.

هناك العديد من مزودي خدمة استضافة WordPress بأسعار معقولة. على سبيل المثال ، من الرخيص إلى حد ما استضافة موقعك على شبكة استضافة مشتركة - شبكة تشارك مرافق الخادم الخاصة بها مع العديد من مواقع الويب الأخرى.

في نظام الاستضافة المشترك ، فإن أي اختراق أمني ناجح لأي موقع على هذا الخادم سيترك مجالك عرضة للمهاجمين. يمكن لموقع واحد تم اختراقه استخدام الحد الأقصى لعرض النطاق الترددي للخادم والتأثير على أداء جميع مواقع الويب الأخرى.

يمكن منع ذلك ببساطة عن طريق اختيار خدمة استضافة WordPress المناسبة لمجالك. تأكد من أن موقع الويب الخاص بك مستضاف على شبكة استضافة مستقرة. يمكن للخوادم المؤمنة بالكامل حظر جميع التهديدات المعروفة تقريبًا لمواقع WordPress.

موفرو الاستضافة الموصى بهم هم GreenGeeks و SiteGround و InMotion hosting و Cloudways و 10Web (راجع مراجعة 10Web) ، إلخ.

2. استخدام كلمات مرور ضعيفة

تعد كلمات المرور الضعيفة أحد الأسباب الرئيسية وراء هجمات القوة الغاشمة على مواقع WordPress. حتى مع تزايد مخاطر الهجمات الإلكترونية في الوقت الحاضر ، لا يزال الأشخاص يستخدمون كلمات مرور سيئة مثل "mypassword" أو "012345". إذا كنت تستخدم أي كلمات مرور "سهلة التخمين" مثل هذه ، فيمكنك أن تصبح بسهولة ضحية أحد المتطفلين الذين يمكنهم اختراق كلمة المرور الخاصة بك بسهولة باستخدام أدوات اختراق متنوعة.

يمكنك التغلب على هذه المشكلة دون عناء باستخدام كلمات مرور قوية لا يمكن لأي شخص تخمينها. تعمل كلمة المرور المكونة من مجموعة من الأحرف الأبجدية والأرقام والأحرف الخاصة على تحسين قوتها.

3. الوصول غير الآمن إلى دليل إدارة WordPress

يسمح قسم مسؤول WordPress لأي شخص بالوصول إلى حساب WordPress الخاص بك لأداء أنشطة مختلفة. إنها أيضًا منطقة منصة WordPress التي غالبًا ما يتم استهدافها.

إن تركه ضعيفًا يمكّن المتسللين من اختراق موقع الويب باستخدام طرق مختلفة. يمكنك جعل الأمر صعبًا بالنسبة لهم من خلال تضمين طبقات التحقق في دليل مسؤول WordPress الخاص بك.

يجب عليك أولاً تأمين حقل مسؤول WordPress الخاص بك بكلمة مرور قوية. يضيف هذا طبقة أمان إضافية ، وسيتعين على أي شخص يحاول الدخول إلى مسؤول WordPress إعطاء كلمة مرور إضافية.

إذا كنت تقوم بتشغيل موقع WordPress متعدد المؤلفين أو متعدد المستخدمين ، فيجب عليك تنفيذ كلمات مرور آمنة على موقعك لجميع الأفراد. لجعل الأمر أكثر تعقيدًا بالنسبة للمهاجمين للوصول إلى مسؤول WordPress الخاص بك ، يمكنك الاستفادة من طريقة المصادقة الثنائية .

4. نسخة ووردبريس التي عفا عليها الزمن

تعد البرامج منتهية الصلاحية أحد الأسباب المحتملة لاختراق المواقع. في حين أن WordPress مجاني ويقوم العديد من مالكي مواقع الويب بالتحديث إلى الإصدار الحالي بمجرد ظهوره ، فإن معظم المستخدمين يؤجلون الترقية إلى الإصدار الأحدث لأنهم يخشون أن يتسبب الإصدار الجديد في حدوث مشكلات على موقعهم. يمكن أن تنشأ مشاكل أثناء التحديثات ، لذلك من الجيد الانتظار مع التحديثات. لكن لا تنتظر طويلا.

تمت معالجة الأخطاء وعيوب الأمان في الإصدارات السابقة في الإصدار الجديد من برنامج WordPress. إذا كنت لا تقوم بترقية موقع WordPress ، فأنت بذلك تتركه غير محمي عن عمد.

إذا كنت قلقًا بشأن تعطل موقع الويب الخاص بك بسبب الترقية ، فيمكنك إنشاء نسخة احتياطية كاملة من WordPress قبل بدء تحديث أو اختبار كل شيء على موقع التدريج. يساعدك هذا الأسلوب في العودة بسرعة إلى الإصدار السابق إذا لم يعمل أي شيء بشكل صحيح بعد ترقية البرنامج.

للحصول على إضافات نسخ احتياطي جيدة ، يمكنك التحقق من مقارنة مكونات النسخ الاحتياطي المجانية في WordPress ، ومراجعة BackupBuddy ، ومراجعة WPvivid.

5. إضافات و ثيمات WordPress التي عفا عليها الزمن

على غرار الحالة السابقة ، يجني المهاجمون أيضًا فوائد المكونات الإضافية والسمات القديمة أو المعطلة أو القديمة المثبتة على المواقع. من السهل تنزيل مكون إضافي أو سمة من القائمة الطويلة للسمات والمكونات الإضافية القابلة للتنزيل والمتاحة على مواقع مختلفة.

تم العثور على الثغرات الأمنية والأخطاء بشكل متكرر في المكونات الإضافية والسمات في WordPress. لا يستغرق مطورو السمات والمكونات الإضافية عمومًا وقتًا طويلاً لإصلاح هذه الأخطاء. يطلقون بسرعة تحديثًا جديدًا يغطي الثغرات الأمنية الموجودة في الإصدار السابق. ومع ذلك ، إذا لم يقم مالكو الويب بترقية السمة أو المكون الإضافي الخاص بهم ، فلن يتمكن المطورون من فعل أي شيء حيال ذلك.

6. استخدام FTP بدلاً من SFTP

يستخدم بروتوكول نقل الملفات (FTP) لتحميل الملفات إلى موقعك. يتم استخدام عميل FTP (تطبيق سطح المكتب مثل FileZilla) للقيام بهذا العمل. تسمح جميع مضيفات الويب تقريبًا باتصالات FTP باستخدام بروتوكولات مختلفة.

إذا قمت بالاتصال باستخدام بروتوكول FTP عادي ، فسيتم نقل ملفاتك بشكل غير آمن إلى الخادم. في هذه الحالة ، سيتمكن أي شخص يعترض الإرسال من قراءة البيانات. لذلك ، لحماية موقعك من أي تهديدات أمنية ، يجب عليك دائمًا استخدام بروتوكول نقل الملفات الآمن (SFTP) أو SSH. يضمن ذلك إرسال جميع بياناتك بطريقة آمنة ، ولا يمكن لأي شخص التلاعب بها لمصلحته الخاصة.

7. من السهل تخمين أسماء المستخدمين المشرفين

بالإضافة إلى كلمات المرور الضعيفة ، يستخدم الأشخاص أيضًا أسماء مستخدمين بسيطة يسهل تخمينها. يتضمن هذا أسماء مستخدمين نموذجية مثل "admin" أو "adminA" أو "admin123" للمستخدمين المسؤولين. تجعل أسماء مستخدم المشرف شائعة الاستخدام الحياة سهلة لمجرمي الإنترنت للوصول إلى ملفات تعريف المسؤول ومراقبة الملفات الخلفية.

إذا كنت تستخدم أسماء مستخدمين أو أي أسماء أخرى يمكن للقراصنة التنبؤ بها بسهولة ، فيجب عليك تغيير أسماء المستخدمين هذه إلى أسماء فريدة ومعقدة. يحتوي WordPress على ستة أدوار مستخدم منفصلة محدودة الإذن . امنح المسؤول حق الوصول فقط للأشخاص الذين يحتاجون إليه حقًا لإكمال مهامهم.

8. عدم تثبيت شهادة SSL

تحمي شهادات SSL (طبقة مآخذ التوصيل الآمنة) البيانات المرسلة والمستلمة من قبل المستخدمين. إذا كان موقع WordPress الخاص بك لا يحتوي على شهادة SSL صالحة ، فيمكن بسهولة اختراقها بواسطة مجرمي الإنترنت. يمكنهم اعتراض وقراءة المعلومات التي يتم نقلها في شكل نص عادي. يساعدك تثبيت شهادة SSL على موقع WordPress الخاص بك على حماية بياناتك من خلال التشفير.

لا تقوم شهادات SSL بتأمين موقعك من الجهات الضارة فحسب ، بل تعمل أيضًا على تعزيز تصنيفات مُحسّنات محرّكات البحث ، وزيادة ثقة المستخدم ، وتحسين معدل حركة المرور على موقعك.

للحصول على شهادة SSL ، يمكنك الاتصال بمزود الاستضافة الخاص بك أو يمكنك شرائها من أي مزودي SSL أصليين. إذا كنت ترغب في الحصول على شهادة SSL غير مدفوعة ، فهناك بعض الشهادات الجيدة ، مثل Let's Encrypt . يمكنك مراجعة دليلي حول كيفية إضافة شهادة SSL إلى موقع WordPress مجانًا.

9. عدم استخدام جدار حماية

هناك إجابة واضحة أخرى عن سبب قدرة المحتالين على التحايل على آليات حماية مواقع الويب واختراق الخدمات الخلفية وهي عدم وجود برنامج جدار الحماية . الجدران النارية هي الطبقة الأخيرة من الحماية ضد المهاجمين وتعمل مثل جهاز إنذار السلامة المثبت في منزلك.

تتعقب جدران الحماية استعلامات الويب الواردة من عناوين IP مختلفة . عندما تواجه جدران الحماية أي طلب مشبوه ، فإنها تتوقف على الفور عن هذه العملية وتعرض رسالة تحذير حول هذا البرنامج أو الرابط.

يمكنهم اكتشاف وحظر الاستعلامات التي كانت تعتبر احتيالية في الماضي ، وبالتالي منع المتسللين من الوصول إلى موقع الويب الخاص بك. يمكن إيقاف التهديدات المختلفة ، مثل هجمات القوة الغاشمة والبرمجة عبر المواقع وحقن SQL ، عن طريق تطبيقات جدار الحماية .

10. استخدام السمات والإضافات الملغاة

تقوم العديد من مواقع الويب بتوزيع الإضافات والسمات المدفوعة لـ WordPress مجانًا. ليس من الشذوذ أن ينجذب العديد من مالكي مواقع الويب إلى هذه العروض المغرية ويستخدمون تلك المكونات الإضافية والسمات الملغاة على مواقع الويب الخاصة بهم.

ولكن من الخطورة للغاية تثبيت سمات WordPress والمكونات الإضافية من مواقع الويب غير الموثوق بها. لا تسبب فقط تهديدات لحماية موقع الويب الخاص بك ولكن يمكن أيضًا استغلالها لالتقاط البيانات السرية. في وقت لاحق ، يمكن استخدام هذه المعلومات لأداء مهام ضارة.

لا تستخدم سمات WordPress والإضافات الملغاة. يجب تنزيل المكونات الإضافية والسمات الخاصة بـ WordPress فقط من المواقع ذات السمعة الطيبة أو القنوات الرسمية ، مثل موقع مُنشئ المكون الإضافي / القالب أو مستودع WordPress الرسمي.

إذا كنت لا تستطيع شراء أو لا ترغب في شراء مكون إضافي أو سمة مدفوعة ، فهناك العديد من المكافئات المجانية المتاحة. قد لا تكون هذه الإضافات المجانية فعالة مثل المتغيرات المتميزة ، لكنها ستقوم بالعمل نيابة عنك ، وقبل كل شيء ، ستضمن أمان موقع الويب الخاص بك.

11. ملف wp-config.php غير محمي

يحتفظ ملف التكوين wp-config.php WordPress بتفاصيل تسجيل الدخول لموقع WordPress الخاص بك. إذا تم اختراقه ، فسيتم الكشف عن البيانات التي يمكن أن توفر للمهاجم وصولاً كاملاً إلى موقع WordPress الخاص بك. يمكنك تضمين طبقة أمان إضافية عن طريق رفض الوصول إلى ملف wp-config باستخدام htaccess.

كيفية منع اختراق المواقع

يعد WordPress منصة قوية لتطوير مواقع ويب مذهلة للقيام بالأعمال التجارية من كل نوع. ميزاته الجذابة ومكوناته الإضافية وموضوعاته مع واجهة مستخدم سهلة تجعله أحد أكثر الأنظمة الأساسية استخدامًا في العالم.

لكن هذه المنصة أيضًا في أعين مجرمي الإنترنت الذين يواصلون تجربة تقنيات جديدة للإضرار بأمن موقع WordPress الخاص بك. إن معرفة سبب اختراق مواقع WordPress هي الخطوة الأولى لإجراء عمليات التنفيذ الأمنية الضرورية. في حالة وجود ثغرات أمنية ، يجب عليك إزالتها على الفور لحماية موقع الويب من التعرض للاختراق.

أيضًا ، لا تنخدع بالعديد من الأساطير حول أمان WordPress. أفضل طريقة لحماية موقعك هي استخدام مكون إضافي للأمان. تحقق من مراجعة iThemes Security ، أو مراجعة MalCare ، أو Hide My WP review واختر البرنامج المساعد الذي يناسب احتياجاتك.