لماذا تتعرض مواقع WordPress للاختراق؟

لماذا قد يرغب أي شخص في اختراق موقع الويب الخاص بشركتك؟ قد يجعل مخرجي الأفلام الفيلم يبدو مثيرًا ، لكن في الواقع يتعلق الأمر بالتنبؤ بالعادات البشرية ، واكتشاف فرصة ، والمثابرة المطلقة. تعرف على طريقة تفكير المتسللين وكيف يمكنك حماية عملك.

WordPress هو الرائد في السوق

يعد WordPress بلا منازع أكثر أنظمة إدارة المحتوى شيوعًا (CMS) لمواقع الويب ، مع نسبة مذهلة تبلغ 59٪ من حصة سوق CMS. إنه أيضًا أحد أكثر الأطر شيوعًا لبناء موقع الويب الخاص بك ، حيث تم إنشاء ما يقرب من ثلث مواقع الويب على الإنترنت باستخدامه.

المصدر: https://w3techs.com/technologies/overview/content_management/allWordp

تؤدي هذه الشعبية أيضًا إلى جعل WordPress منصة رئيسية لاستهداف المتسللين والمستخدمين الضارين الآخرين. السؤال الشائع الذي نواجهه يوميًا هو "لماذا قد يرغب أي شخص في الوصول إلى موقع الويب الخاص بي؟ ليس لدي بيانات ذات قيمة لهم ". في حين أن هذا بالتأكيد بيان مفهوم ، إلا أنه من الخطأ التعامل مع الويب.

إحصائية مؤسفة هي أن الإنترنت يفتقر بشدة إلى المستخدمين المطلعين ، مع ما يقرب من 25 ٪ فقط من المستخدمين على مستوى العالم قادرين على إكمال مهام متوسطة إلى عالية الصعوبة. هذا يترك كمية مقلقة من المستخدمين عرضة لإساءة الاستخدام من قبل أقلية من المستخدمين المهرة تقنيًا.

في هذا المنشور ، سنتعرف على بعض الطرق الأكثر شيوعًا التي يمكن من خلالها اختراق موقع الويب ، وبعض أسباب اختراق مواقع الويب ، والخطوات التي يمكن للمستخدمين اتخاذها لحماية أنفسهم.

كيف يتم اختراق المواقع؟

عندما يسمع شخص ما كلمة "هاكر" ، فإن الصورة الأكثر شيوعًا هي على الأرجح لرجل مقنع في غرفة مظلمة أمام شاشة مع عدد كبير من أسطر التعليمات البرمجية التي تنساب على شاشته. ومع ذلك ، فإن الحقيقة (المحزنة) هي أن القرصنة اليومية ليست مثيرة للاهتمام. في الواقع ، أكثر الاختراقات شيوعًا هي بسيطة جدًا بطبيعتها ، ولا يتعين على الأشخاص الذين يحاولون الاختراق أن يكونوا على درجة عالية من الكفاءة.

لا تنبع جميع أنواع القرصنة من التعليمات البرمجية أيضًا. الهندسة الاجتماعية - المعروفة أيضًا باسم القرصنة الاجتماعية - لا تزال الهجمات من أكثر الهجمات تهديدًا. لا تزال ممارسات الاحتيال الشائعة سارية على الإنترنت ويمكن أن تؤدي إلى اختراق موقع الويب الخاص بك. نظرًا لأن هذا خارج نطاق هذا المقال ، يمكنك قراءة المزيد حول تهديدات الهندسة الاجتماعية في مقالة tripwire هذه .

بغض النظر عن الهندسة الاجتماعية ، لا يزال الإنترنت مكانًا غير ودي للمواقع الإلكترونية. يُصدر Wordfence ، مطور البرنامج المساعد الأمني ​​الرائد في WordPress ، تقارير هجوم WordPress الشهرية . من تقرير سبتمبر يمكننا أن نرى أن الغالبية (91٪) من الهجمات هي في الواقع هجمات القوة الغاشمة.

هجوم القوة الغاشمة مفهوم بسيط للغاية. يمكن لأي شخص أن يجربها ، مع عدم وجود تداعيات في العادة. في هذه الملاحظة ، لماذا لا نبدأ هجوم القوة الغاشمة الآن؟ ما عليك سوى البحث في Google عن موقع منافسك وحاول وضع / wp-admin في نهاية عنوان URL الخاص به. إذا كنت محظوظًا ، فهم يستخدمون موقع WordPress. كل ما عليك فعله الآن هو وضع "admin" كاسم مستخدم أو عنوان بريد إلكتروني تعرف أنهم يستخدمونه بشكل شائع ، مثل "[email protected]". ثم فكر في الأشياء التي قد يستخدمونها ككلمة مرور خاصة بهم: أسمائهم ومنتجاتهم وتواريخهم المهمة ... واستمر في تجربة المجموعات. أنت تبدأ في الأساس هجوم القوة الغاشمة. تخيل الآن ما إذا كان لديك وصول إلى مفردات الكلمات والنص الذي يحاول تلقائيًا تسجيل الدخول باستخدام مجموعات مختلفة من أسماء المستخدمين وكلمات المرور. هناك فرصة كبيرة لاختراق الحسابات غير الآمنة بهذه الطريقة.

مع وجود أبسط أشكال الهجمات بعيدًا عن الطريق ، فقد حان الوقت للتحقيق في نوع أكثر تفصيلاً من الهجمات التي تحاول استغلال نقاط الضعف الشائعة في ملفات موقع الويب الخاص بك. كما يعلم الكثير منكم بالفعل ، يحتوي موقع WordPress على عدد من ملفات السمات والمكونات الإضافية التي يعتمد عليها. تعتمد هذه أيضًا بشكل شائع على مكتبات التعليمات البرمجية التي كتبها مطورون آخرون. في بعض الأحيان - جزئيًا بسبب رداءة جودة الشفرة وجزئيًا بسبب الابتكارات في مجال القرصنة - يمكن العثور على الثغرات.

نأمل أن يكون أحد الأشخاص الأخلاقيين ، المعروف أيضًا باسم هاكر القبعة البيضاء ، هو الشخص الذي اكتشف الثغرة. بشكل عام ، مباشرة بعد أن يجد المتسلل الأخلاقي ثغرة ، يتم إبلاغ مالك الكود ، ويقومون بإعلام الجمهور للتخفيف من أي ضرر محتمل ، ثم يقوم مالك الكود بإصدار تصحيح لإصلاح الثغرة الأمنية. في الحالات التي يواجه فيها مخترق ضار اختراقًا ، قد يستغرق الأمر شهورًا أو سنوات قبل أن يتم الكشف عنه للجمهور. على أي حال ، بعد الإعلان عن عمليات الاستغلال ، تتم إضافتها إلى قوائم الثغرات التي يمكن الوصول إليها بسهولة عبر الإنترنت على مواقع مثل هذه .

هناك أيضًا هجمات تستهدف الخادم بشكل مباشر. إنها مسألة معقدة للغاية وواسعة النطاق ولن يدخل هذا المنشور في أي تفاصيل. ومع ذلك ، إليك مقال مثير للاهتمام إذا كنت ترغب في معرفة المزيد: كيفية اختراق خادم الويب .

لماذا يتم اختراق مواقع الويب؟

لقد اكتشفنا الآن بعض الطرق التي يمكن من خلالها اختراق موقع الويب ، لكن السؤال عن سبب الاختراق لا يزال دون إجابة إلى حد كبير. لسوء الحظ ، هناك العديد من الأسباب التي تجعل مستخدمًا ضارًا يستهدف موقع الويب الخاص بك وتتراوح هذه الأسباب من الملل الخالص إلى نشر الفيروسات والوسائط غير القانونية في جميع أنحاء الإنترنت.

نظرًا لأن الملل الخالص ، في حين أنه سبب حقيقي ، هو أمر مباشر تمامًا ، لذلك سننتقل إلى سبب أكثر تعقيدًا: الإعلان. هناك طرق عديدة للوقوع ضحية لهجمات حقن الإعلانات ، كما هو معروف. المفهوم بسيط: أنت توزع إعلانات ضارة غالبًا على موقع أصلي لجذب المزيد من الزيارات إلى موقعك. يمكن أن يتخذ هذا شكل عرض الإعلانات ببساطة على الموقع أو في الحالات القصوى ، إعادة توجيه كل حركة المرور إلى موقع المخترق. يمكن أن تحتوي هذه الإعلانات بعد ذلك على تعليمات برمجية ضارة تؤدي إلى التحكم في جهاز المستخدم أو البيانات الحساسة.

سبب آخر شائع للقرصنة موقع واحد يمكن أن يكون لمجرد تشويه كجزء النضال البرمجي. تتنوع أسباب هذا النوع من الهجمات باختلاف الجماعات التي تقوم بتنفيذها. لقد تلقينا الكثير من التقارير عن تشويه المواقع الإلكترونية "المجهولة" لأشخاص لا يتفقون معهم ، وحتى تنظيم داعش يستخدم نفس الأسلوب.

لسوء الحظ ، ليست كل الاختراقات مرئية ويمكن أن يكون بعضها دقيقًا جدًا ويصعب تتبعه. على سبيل المثال ، إذا كنت تستخدم موقع WordPress الخاص بك كمتجر إلكتروني ، فيمكنك تخزين تفاصيل بطاقة ائتمان العميل أو المعلومات الشخصية. يعد هذا أمرًا ذا قيمة كبيرة لأي متسلل وهناك فرصة كبيرة لعدم الكشف عن وجودهم حتى يتمكنوا من الاستمرار في استغلال هذه المعلومات. بالإضافة إلى ذلك ، نظرًا لأن المكاسب المالية من اختراق موقع الويب يمكن أن تكون كبيرة جدًا ، فإننا نواجه مواقع الويب التي تم اختراقها فقط لتعدين العملات المشفرة مثل البيتكوين.

كيف يمكنني حماية موقعي؟

في حين أن جميع عمليات الاستغلال التي يستخدمها المستخدمون الضارون قد تبدو ساحقة ، إلا أن هناك بعض الخطوات الأساسية التي يمكنك اتخاذها كمستخدم شرعي لحماية موقع الويب الخاص بك. فيما يلي قائمة فحص أمان بسيطة يمكنك استخدامها:

• حافظ على أمان كلمات المرور: استخدم دائمًا كلمة مرور قوية واحتفظ بها في مكان آمن. لا تستخدم نفس كلمة المرور على مواقع متعددة. قم بتحديث كلمة المرور الخاصة بك كل شهرين أو نحو ذلك.

• لا تستخدم مطلقًا رسائل البريد الإلكتروني الخاصة بالمسؤول أو المتاحة للجمهور لحساب المسؤول الخاص بك

• حافظ على تحديث موقع الويب الخاص بك: يتم الإعلان عن الثغرات المعروفة المذكورة أعلاه. إذا كان موقع الويب الخاص بك يستخدم إصدارًا قديمًا وضعيفًا من مكون إضافي أو سمة ، فأنت في خطر.

• استخدم شركة استضافة حسنة السمعة: يمكن أن تؤدي الاستضافة والاستضافة التي تقدمها شركة غير مسؤولة إلى اختراق موقع الويب الخاص بك بسبب اختراق موقع ويب آخر على نفس الخادم.

• امنح حق الوصول فقط للمستخدمين الذين تثق بهم: لا تمنح حق الوصول إلى موقع الويب الخاص بك للمستخدمين الذين لا يحتاجون إليه ، أو الذين لا تثق بهم تمامًا. ليس كل شخص يحتاج إلى أن يكون مشرفًا.

• استخدم مكونًا إضافيًا للأمان : يشبه برامج مكافحة الفيروسات لأجهزة الكمبيوتر ، وهناك مكونات إضافية للأمان لـ WordPress. اثنان من أهمها هما Sucuri و Wordfence .

• اسأل: إذا كان لديك مخاوف أمنية أو سؤال بخصوص موقع الويب الخاص بك ، فاستشر المطور الخاص بك.

في هذه المقالة ، بحثنا في بعض الأساليب الشائعة والأسباب التي قد تؤدي إلى اختراق أحد مواقع الويب. نأمل مع هذه المعلومات ، جنبًا إلى جنب مع قائمة التحقق من الأمان ، ألا يبدو القرصنة بعد الآن كتهديد عظيم موجود دائمًا على الإنترنت.

ابق آمنًا ، ابق على اطلاع!

إذا كنت بحاجة إلى مساعدة في تصميم وتطوير WordPress الخاص بك ، فلا تتردد في الاتصال بنا.