الحفاظ على المهاجمين بعيدا عن موقع وورد الخاص بك

باعتباره منصة لإدارة المحتوى ، فإن WordPress يتمتع بشعبية كبيرة بين المستخدمين لأنه سهل الاستخدام. الأمر ، إنه هدف شائع للمجرمين والمهاجمين أيضًا. إذا كان لديك موقع WordPress ، فعليك اتخاذ بعض الخطوات الأساسية لتأمين موقعك.

DDoS مع وورد

في حين أن هناك دائمًا مخاوف من إمكانية اختراق موقع WordPress الخاص بك لتقديم برامج ضارة لزوار موقعك ، أو إعادة توجيههم إلى موقع مراوغ في مكان آخر على الويب ، إلا أنك لا ترغب أيضًا في معرفة أن موقعك يستخدم ل شن هجمات ضد مواقع أخرى. في وقت سابق من هذا الأسبوع ، ذكرت شركة الأمن سوكوري أن أكثر من 162000 موقع من مواقع WordPress تم خداعها للمشاركة في هجوم رفض الخدمة الموزع على موقع آخر.

الشيء هو ، لم يتم اختطاف المواقع أو إصابة لتشكيل الروبوتات. أساء المهاجمون استخدام Pingbacks ، وهي ميزة مشروعة تمامًا في WordPress ، لإغراق الموقع المستهدف بحركة مرور غير مرغوب فيها. يتم استخدام Pingbacks بواسطة أحد مواقع WordPress لإخطار المواقع الأخرى عند نشر منشور لها. في الهجوم الذي لاحظه Sucuri ، خدع المهاجم المواقع لإرسال طلب Pingback إلى نفس عنوان URL الهدف ، والذي كان من السهل القيام به منذ تمكين Pingback بشكل افتراضي في WordPress. تم قصف الموقع المستهدف فجأة بطلبات Pingback ، والتي شنت بشكل أساسي على هجوم DdoS.

إذا كنت تقوم بتشغيل WordPress ، فعليك التفكير في إيقاف تشغيل Pingbacks للتأكد من أنه لا يمكن استخدام موقعك لمهاجمة المواقع الأخرى. تقوم هذه الميزة بإخطارك عندما يتحدث شخص آخر عنك ، وهو عبارة عن أداة تحسين الأنا لطيفة ، ولكن هل يستحق الإبقاء عليها حتى يتم إساءة معاملتك؟ لدى Sucuri اقتراحات حول كيفية حظر pingbacks على موقعه.

متسربة وورد

استخدم ديف لويس ، أحد كبار المدافعين عن الأمن في شركة Akamai Technologies ، Google للعثور على أكثر من 111000 موقع من مواقع WordPress التي يمكن الوصول إلى نسخها الاحتياطية من قاعدة البيانات عبر الإنترنت. وتضمنت القائمة "جميع أنواع المواقع الإلكترونية من مواقع الموسيقى المستقلة إلى مكاتب الأطباء وحتى بعض المواقع الحكومية" ، كتب لويس على مدونته الخاصة بمنظمات المجتمع المدني. يحتوي التفريغ على معلومات مفصلة حول قاعدة البيانات ، والتي يمكن للمهاجمين استخدامها لشن هجمات أخرى ، ولكن أيضًا تسرب محتمل لبياناتك.

من الواضح أنه لا ينبغي الوصول إلى النسخ الاحتياطية من الإنترنت. إذا كان يتم تشغيل النسخ الاحتياطية محليًا على نفس الخادم المثبت عليه WordPress ، فيمكن أن تقوم المكونات الإضافية من Wordfence أو Sucuri بحظر الوصول غير المصرح به ، كما قال لويس.

قديم وورد

تتمثل المهمة الأكثر أهمية لمسؤولي WordPress في البقاء على رأس تحديثات البرامج ، ليس فقط للنظام الأساسي الأساسي ، ولكن لكل مكون إضافي يعمل على الموقع. تتعرض الإصدارات القديمة من WordPress للهجوم بشكل مستمر ، وخاصة الإضافات. وقال مستشار أمني: "يبحث المتسللون الخبيثون دائمًا عن طرق لإصابة مستخدمي الكمبيوتر ، وما هي التقنية الأفضل التي يمكن أن توجد بدلاً من التنازل عن موقع ويب شرعي حالي وتخريبه بطريقة تجعله يصيب مستخدمي الكمبيوتر بشكل متستر عند زيارته". غراهام كلولي.

يمكن للمهاجمين استغلال العيوب التي لم يتم فكها لإجراء عمليات حقن SQL أو هجمات البرمجة النصية عبر المواقع. يمكن أيضًا استغلال العيوب لإصابة الموقع بالبرامج الضارة. بالنسبة للجزء الأكبر ، تكون هذه المشكلات عمومًا نتيجة مشاكل في المكونات الإضافية ، وليس النظام الأساسي للبرنامج ، مما يجعل تحديث المكونات الإضافية أكثر أهمية.

من المهم ملاحظة الفرق بين المواقع المستضافة على WordPress.com ومواقع WordPress التي تعمل على خوادم أخرى. يحتفظ الفريق الذي يقف خلف WordPress بالبرنامج محدثًا على WordPress.com ، بحيث لا يضطر المستخدمون الفرديون إلى ذلك. تتطلب المواقع المستضافة ذاتيًا من صاحب الموقع أن يظل على قمة البقع والتحديثات للتأكد من أن البرنامج لا يزال محدثًا.

إذا كنت ستعمل على تشغيل WordPress ، فابق على المهاجمين عن طريق الحفاظ على تحديث موقعك بانتظام.