ما هجوم القوة العمياء، وكيف تحمي موقعك منه؟

ربما سمعت قبل ذلك عن هجوم القوة العمياء (brute force attack)، وما زلت تبحث عن أفضل الإجراءات التأمينية لحماية موقعك من تلك الهجمات التخريبية، وربما تتسبب في تدمير موقعك بالكامل. 

كنا قد تحدثنا سابقا عن أشهر الهجمات وكيفية التصدي لها ، فاليوم نقوم بتسليط الضوء على هذا النوع من الهجمات الذي ربما يستغل بعض النقاط الضعف في موقعك ليقوم بالتسلل إلى الداخل والقيام بالكثير من الأمور التي من شأنها استغلال موارد الاستضافة الخاصة بموقعك، وأيضًا يمكن للمهاجم استغلال حسابات البريد الإلكتروني لإرسال رسائل مضللة للمستخدمين بهدف سرقة بياناتهم.

في هذه المقالة سنتعرف على على هجوم القوة العمياء وهو من الهجومات المتنشرة لدى أصحاب المواقع، حيث نسلط الضوء على أهم الثغرات التي يمكن للمخترقين استغلالها من أجل التسلل إلى موقعك، وكذلك سنعرض لك أهم الممارسات التأمينية التي يمكن القيام بها من أجل حماية موقع بشكل كامل.

محتويات المقالة:

ما هو هجوم القوة العمياء؟

هجوم القوة العمياء يتم فيه استخدام بعض البرامج من أجل تخمين وتوقع كلمات المرور وأسماء المستخدمين للدخول إلى لوحة تحكم الموقع، حيث تقوم بتلك البرامج بألاف وربما ملايين التوقعات، والتي قد تصدف في إحداها ويتم الدخول إلى لوحة تحكم الووردبريس والبدء في الأمور التخريبية أو الإستغلالية داخل الموقع. يحدث هذا عادة مع المواقع التي يستخدم مديروها كلمات مرور ضعيفة، مثل “125364” أو “a123456″، وبالتالي يسهل توقّع هذه الكلمات وبالتالي يتم اختراق موقعك.

تذكر دائما أن أولئك المخترقون لديهم قواعد بيانات قوية وكبيرة تحتوي على أكثر كلمات المرور المستخدمة في أغلب المواقع حول العالم، ولديهم قدرة على إطلاق العنان لتلك البرامج للقيام بتوقع قد تصل دقته إلى 100% في بعض الأحيان لكلمات المرور، لذلك لا تترك لهم ثغرة في كلمة مرور لوحة تحكم موقعك (سنتحدث داخل المقالة عن تأمين كلمات المرور).

الهدف الأول للمخترقين في هذا النوع من الهجوم هو الحصول على كلمة المرور واسم المستخدم للدخول إلى لوحة تحكم الموقع الووردبريس، لذلك تبدأ العملية لديهم من إطلاق البرامج التي تقوم بجلب روابط تسجيل الدخول الخاصة بمئات والألف مواقع الووردبريس، وبالطبع يسهل على تلك البرامج الوصول إلى كافة مواقع الووردبريس التي تستخدم الإمتداد wp-admin/ لتسجيل الدخول إلى لوحة التحكم.. 

بعد الوصول إلى رابط تسجيل الدخول إلى الموقع، يتم تجميع بعض المعلومات التي تسهم في توقع اسماء اسم المستخدم وكلمة المرور للدخول إلى لوحة التحكم، حيث يتم تجميع أسماء الكتّاب والمساهمين والمستخدمين في الموقع، والتي تظهر أسمائهم بشكل واضح داخل مقالاتهم ومشاركاتهم بالموقع، ويكون في الغالب اسم المستخدم مطابق لاسم العضو لتسجيل الدخول إلى لوحة التحكم، الأمر الذي يجعل فرصة توقع اسم المستخدم سهلة للغاية ..

ثم تقوم تلك البرامج بألاف عمليات التوقع خلال أقل من دقيقة لمحاولة توقع بيانات تسجيل الدخول الصحيحة والبدء في تنفيذ مخططاتهم التخريبية داخل الموقع. 

من المهم الإنتباه إلى تغيير رابط تسجيل الدخول الافتراضي للموقع، وذلك لأنه بشكل افتراضي يكون رابط صفحة تسجيل الدخول هو example.com/wp-admin أي رابط الموقع ثم اضافة wp-admin/ مباشرة بعد الرابط.

إذا كانت صفحة تسجيل الدخول الخاصة بموقعك على هذا الرابط المباشر والذي يعرفه الجميع، ننصحك بتغييره أو بالسماح لحواسيب محددة بالوصول لهذه الصفحة.

اقرأ أيضًا: ماذا تفعل إذا لم تتمكن من الدخول إلى لوحة تحكم الووردبريس؟


ما تأثير الموقع بهجمات القوة العمياء؟

يتأثر موقع الضحية منذ اللحظة الاولى لإطلاق ذلك الهجوم حتى ولو فشل الإختراق، وإليك أهم التأثيرات السلبية التي تقع على المواقع الذي يتعرض لهجوم القوة العمياء: 

  • منذ اللحظة الأولى لإطلاق هجوم القوة العمياء على الموقع، يحدث بطءًا شديدًا في تحميل الموقع وربما تعطل الموقع لفترة ما، وذلك  نتيجة مئات وربما آلاف عمليات محاولات تسجيل التي تتم داخل صفحة تسجيل الدخول من أجل محاولة التنبؤ بكلمات المرور. 
  • استنفاذ موارد استضافة موقعك في حال نجح الهجوم بالفعل، حيث يقوم المخترقون بتشغيل برامج تقوم ببعض العمليات الخاصة والتي تقوم باستهلاك موارد الاستضافة الخاصة بك مثل الرامات ومساحة التخزين وغيرها. 
  • سرقة بيانات الأعضاء المسجلين بالموقع في حال نجاح الهجوم، وقد يتعرض موقعك لحذف كامل البيانات والملفات إذا نجح الهجوم. 

والآن بعدما تحدثنا عن هجوم القوة العمياء brute force attack وكيف يتم تنفيذه على مواقع الووردبريس، والأثار السلبية على الموقع.. سنتحدث عن أهم الإجراءات التأمينية ضد تلك الأنواع من الهجمات التخريبية.


حماية موقعك من هجوم القوة العمياء

يتم الحماية من هذه الهجمات من خلال 3 مراحل

  • عمل الإجراءات التأمينية التي يمكنك القيام بها بنفسك كسلوك تأميني في الموقع دون استخدام أدوات خارجية
  • تأمين الموقع باستخدام بعض إضافات الحماية التي تقوم بإجراءات التأمين بشكل تلقائي
  • استخدام طبقات تأمين إضافية بكتابة بعض كتابة الأكواد البرمجية البسيطة إذا كنت ترغب في عمل طبقات حماية أعلى ضد هذا النوع من الهجوم

ولنتحدث الآن عن الإجراءات البسيطة التي يستطيع أي مستخدم القيام بها

1 – لا تستخدم بيانات الدخول سهلة التخمين

ابتعد تماما عن استخدام اسم المستخدم وكلمات المرور التي يستطيع أي شخص توقعها بسهولة، فإن أولى الخطوات التي يقوم بها المخترقون في هجوم القوة العمياء هو افتراض أسماء المستخدم وكلمة المرور الشائعة (مثل: Admin)، لذلك لا تدع تلك الفرصة لهم. 

و كإجراء حماية إضافي كذلك، يمكنك الدخول إلى لوحة تحكم الووردبريس ثم الذهاب إلى: أعضاء << كافة الأعضاء، وإذا كان لديك عضوًا مسجل الموقع بإسم مستخدم”Admin” فمن الأفضل حذف هذه العضوية أو تغيير اسم المستخدم وكلمة المرور لها على الفور

من ضمن الإجراءات التأمينية كذلك أن لا يكون اسم المستخدم للدخول إلى لوحة تحكم الووردبريس هو نفسه اسم العضوية داخل الموقع:

قم بالدخول إلى “تحرير الملف الشخصي” وتأكد من أن اسم المستخدم لتسجيل الدخول لا يتطابق مع اسم العضوية الخاصة بالمستخدم أو العضو في الموقع، هذا يجعل تخمين اسم المستخدم غير مباشر وبالتالي يضيف لموقعك طبقة حماية إضافية.

2 – استخدام كلمات مرور قوية

من المهم أن تكون كلمة المرور قوية وصعبة التخمين، وذلك باحتوائها على حروف ورموز وأرقام بأكثر من 8 أحرف، مثل استخدام أداة إنشاء كلمات المرور، حيث تساعدك الأداة على إنشاء كلمة مرور قوية من خلال العديد من التجارب العشوائية

يمكنك الضغط على Generate password للحصول على كلمة مرور قوية، يمكنك أخذ كلمة المرور المقترحة مع تغيير بعض الحروف أو الرموز بها قبل استخدامها في موقعك بشكل فعلي. 

وإليك بعض النصائح الإضافية عند قيام بإنشاء كلمة مرور لصفحات تسجيل الدخول في موقعك سواء لعضوية مدير الموقع أو حتى عضويات المستخدمين الأخرين : 

  • لا تستخدم اسمك الشخصي أو اسم الموقع أو الشركة أو أي اسم يعكس معلومات عن وعن نشاطكم التجاري. 
  • توجد قاعدة عامة شهيرة بخصوص تعيين كلمات المرور (يجب أن تحتوي على أحرف كبيرة Uppercase وأحرف صغيرة Lower case وأرقام ورموز خاصة مثل Aw34#$%)، بحيث تكون الكلمة بالنهاية ليس لها أي معنى. 
  • لا تستخدم كلمة مرور قصيرة، حاول زيادة عدد الرموز والحروف والارقام العشوائية، كلما زاد طول كلمة المرور، كلما قلّ فرص توقعها. 
  • لا تشارك كلمات المرور الخاصة بمدير الموقع مع أشخاص أخرين، أو من خلال أدوات التواصل المختلفة. 
  • كما تقوم بإضافة كلمات مرور قوية لصفحة تسجيل الدخول لموقعك، كذلك يجب تعيين كلمات مرور قوية للدخول إلى مدير نقل الملفات FTP وأيضًا مدير قواعد البيانات Database manager .

عند قيامك بإنشاء عضوية جديدة لأحد المستخدمين، في حقل ” كلمة المرور” يقدم لك الووردبريس بشكل افتراضي توصيات بخصوص مدى قوة كلمة المرور التي تقوم بكتابتها، وإذا وجدت إشعارا يفيد بأن كلمة المرور “ضعيفة أو ضعيفة جدًا، فلا تستخدمها أو ضعيفة فقط لا تستخدمها، وحاول أن تقوم بتجربة كلمة مرور قوية كما أوضحنا في الشرح بالفقرات السابقة:

3 – الحفاظ على تحديث موقعك باستمرار 

الووردبريس هو نظام إدارة محتوى مفتوح المصدر، مما يعني أن معظم الثغرات أو النقاط الضعف التي يتم اكتشافها، يقوم المبرمجون على العمل عليها و وإصلاحها في وقت قياسي للغاية، وها ما يجعل الووردبريس يحظى بتحديثات مستمرة بشكل دوري. 

لذلك حفاظ على تحديث الووردبريس الخاص بك، وبالتأكيد كذلك تحديث الإضافات والقوالب وكلفة عناصر موقعك الداخلية يشكل طبقة أمان اضافية لحماية موقعك من الثغرات التي ربما تتواجد في النسخ القديمة من الإضافات و القوالب التي تقوم بتنصيبها أو حتى ملف الووردبريس نفسه القديم.

4 – حماية ملف wp-admin بكلمة مرور إضافية 

كخطوة تأمينية إضافية يمكن تعيين كلمة مرور واسم مستخدم للدخول إلى مجدل wp-admin الذي يتواجد داخل مدير ملفات موقعك، فحتى إذا تم اختراق الموقع فإنه سيتطلب من الهكر إدخال إسم مستخدم وكلمة مرور للدخول إلى مجلد wp-admin . 

للقيام بهذا الإجراء التأميني، يمكن الدخول إلى لوحة تحكم الموقع Cpanel والدخول على Directory privacy : 

بعد ذلك سيفتح لك نافذة انشاء اسم مستخدم وكلمة مرور لحماية ذلك المجلد، حيث تقوم بكتابة اسم المجلد بكلمة مرور واسم مستخدم ثم الضغط على Save


استخدام بعض إضافات الحماية 

بعدما تحدثنا عن الخطوات التي يمكن القيام بها بشكل يدوي ومباشر، دعنا الآن نتحدث عن بعض الإجراءات التأمينية التي يمكن إجراؤها باستخدام بعض الإضافات لزيادة الطبقات تامينية جيدة للحماية من هجمات القوة العمياء

1 – تفعيل التحقق بخطوتين عند تسجيل الدخول 

عند تفعيل خاصية التحقق بخطوتين، فإن في كل مرة يقوم أحد مديري الموقع بالدخول إلى لوحة تحكم الووردبريس، يتم إرسال رسالة إلى  مدير الموقع تحتوي على كود التحقق والذي يجب إدخاله في نافذة تسجيل الدخول حتى يتمكن المستخدمون من الدخول إلى لوحة التحكم . 

هذه الخطوة تضيف طبقة أمان اضافية للموقع، على الرغم من أنها تبدو معقدة بعض الشيء حيث أن في كل مرة تقوم بتسجيل الدخول فيجب إدخال رمز التحقق، إلا أنها تضيف لموقعك طبقة أمان عالية. 

يمكنك الإطلاع على طريقة تفعيل التحقق بخطوتين والتي سبق وشرحناها في مقالة تأمين وحماية موقع الووردبريس

2 – منع محاولات تسجيل الدخول المريبة 

يمكنك باستخدام إضافة Loginizer منع محاولات تسجيل الدخول المريبة هو أحد الإجراءات التأمينية الفعالة لمنع محاولات الهجوم باستخدام هجوم القوة العمياء على الموقع.

تساعد الإضافة في تعزيز أمان الموقع من خلال إتاحة العديد من الخيارات التأمينية التي من أهمها حظر دخول الأشخاص الذين تجاوزوا عددا معينا من مرات تسجيل الدخول الفاشلة، كما يمكن عمل قائمة بيضاء Whitelist لعناوين IPs المراد السماح لها فقط دونا عن غيرها بالقدرة على تسجيل الدخول إلى صفحة wp-admin ، بالمثل يمكن من خلال الإضافة القيام بإنشاء قائمة سوداء Blacklist لحجب عناوين IPs معينة من تسجيل الدخول إلى لوحة التحكم، والعديد من خيارات التأمين الإضافية .

تحظى الإضافة بأكثر من مليون عملية تنصيب نشطة على مواقع الووردبريس حول العالم، ولديها تحديثات دوري لذلك هي خيارا جيدا لإضافة طبقات الأمان لموقعك. 

بعد تنصيب وتنشيط الإضافة، يمكنك الدخول على الإعدادات الخاصة بها من داخل لوحة تحكم الووردبريس، ستجد بها خيارا خاصا بالحماية من هجمات القوة العمياء brute force:

يمكنك تصفح تلك النافذة للقيام بالإجراءات الأمانية من Brute Force، حيث يمكنك تخصيص قائمة بيضاء وسوداء للعناوين IPs المسموح لها بالوصول إلى لوحة التحكم، وكذلك يمكن تحديد العدد الأقصى من المحاولات لتسجيل الدخول الفاشلة إلى لوحة التحكم والذي بعده يتم حظر عملية تسجيل الدخول، والكثير من الأعدادات الأمنية الأخرى التي يمكنك تخصيصها من داخل إعدادات الإضافة. 

3 – أخذ النسخ الإحتياطية بشكل دوري

يعتبر إجراء النسخ الاحتياطي لموقعك بشكل دوري من الأمور التأمينية الهامة التي تحتاج إلى الاعتناء بها، فإذا حدث أي ضرر لموقعك نتيجة هجوم تخريبي أو عطل فني، سوف تكون هناك الفرصة كبير لإستعادة ملفات وبيانات الموقع كما كانت قبل حدوث الضرر أو العطل.  ننصح بالإطلاع على الدليل الشامل لأخذ نسخة إحتياطية لموقع الووردبريس

4 – تغيير المسار الافتراضي لصفحة تسجيل الدخول

يمكنك استخدام إضافة WPS Hide login لعمل طبقة حماية أخرى لصفحة تسجيل الدخول إلى موقع الووردبريس، فكما أشرنا سابقا بأنه من السهل جدا توقع رابط صفحة تسجيل الدخول إلى أي موقع ووردبريس، حيث تنتهى معظم روابط صفحات تسجيل الدخول بكلمات مثل wp-admin أو login أو Admin .. وهو ما يجعلها عرضة للهجمات مثل هجوم القوة العمياء وغيره.  يمكنك الإطلاع على طريقة استخدام إضافة WPs hide login لتغيير اسم صفحة تسجيل الدخول في الووردبريس . 

5 – حظر الدخول إلى بيانات أعضاء الموقع 

يستهدم المخترقون اكواد API عبر الدخول إلى : https://example.com/wp-json/wp/v2/users

باستبدال exaample.com برايط الموقع، ثم يظهر امامهم اكواد API والتي تحتوي بداخلها على أسماء المستخدمين الخاصة بالعضويات المسجلة بالموقع، في هذه الحالة يكون الأمر نجح بنسبة 50% لأختراق الموقع بالحصول على اسم المستخدم، وتبدأ برامج توقع كلمات المرور في العمل لإستكمال الـ 50% الأخرى من فرصة الإختراق. 

لاحظ الصورة التالية لأحد المواقع التي لا تحتوي على طبقة حماية من إظهار اكواد API التي تظهر اسماء مستخدمي عضويات الموقع: 

لذلك نحن نوصي تعطيل أكواد API التي تظهر أسماء المستخدمين للعوضيات المسجلة بالموقع، ويمكن استخدام إضافة Disable REST API لإخفاء تلك المعلومات الحساسة في موقعك. 

بمجرد تنصيب الإضافة وتنشيطها فإنها تمنع ظهور تلك البيانات الحساسة بشكل افتراضي دون أي اجراء اضافي منك ، لاحظ نفسي الموقع بعد تنصيب وتنشيط الإضافة عليها : 

6 – استخدام إضافات الحماية المتكاملة

ننصحك باستخدام إحدى إضافات الحماية المتكاملة سواء بإصدار مجاني أو إصدار مدفوع حسب احتياجات موقعك وحجم بيانات موقعك، مثل استخدام إضافة SUCURI ، والتي توفر الكثير من خيارات الأمان مثل: تنصيب جدار حماية Firewall إلى موقعك، والذي بدوره يعزز أمان وحماية الموقع بشكل كبير، وكما توفر نظام التنبيهات إذا حدث أي إجراء مريب أو عملية تسجيل غير اعتيادية بالموقع. 


إجراءات تأمينية متقدمة

في هذا الجزء نستعرض بعض الإجراءات التأميني التي يمكن القيام بها عبر التعديل على ملف htaccess الموجود في مدير ملفات الووردبريس، وذلك من أجل تخصيص العديد من الخيارات التأمينية للموقع بشكل كبير، وهذه الإجراءات على النحو التالي:

1 – منع خاصية تصفح ملفات الموقع

إذا كان لديك مجلد داخل موقعة لا يحتوي على صفحة الأندكس Index.php أو index.html وهكذا .. فإنه من السهل أن يتم استعراض الملفات التي توجد داخل ذلك المجلد عبر كتابة مسار المجلد في الرابط داخل المتصفح، وسيتم استعراض كافة الملفات التي توجد بداخله، والتي قد يكون من ضمنها ملفات تحتوي على بيانات سرية أو حساسة. 

من خلال ملف htaccess. يمكن الغاء خاصية تصفح الملفات تلك بالكامل، وذلك عبر الدخول إلى الملف وكتابة الأمر التالي:

Options -Indexes

2 – حظر تشغيل برامج .php داخل بعض المسارات

من المعروف أن الووردبريس كنظام إدارة محتوى مبني على لغة php والتي يتم استخدامها من أجل تنفيذ معظم الأوامر البرمجية التي تتم داخل الموقع أو تتم عبر الاتصال بقواعد البيانات. لذلك لا يمكن حظر اكواد php في معظم ملفات الووردبريس.

يستخدم المخترقون برامج تلك اللغة حيث يتم زرعها داخل ملفات الووردبريس ومجلداته المختلفة من أجل تنفيذ الأوامر التخريبية الخاصة بهم، وذلك بعد تمكنك من اختراق الموقع والدخول إلى مدير الملفات.

كإجراء احترازي لا يمكن أن نؤكد أنه سيكون فعال بنسبة 100% ولكنه يمكن أن يقي موقعك من بعض المخاطر، هو أن تقوم بحظر تشغيل برامج .php في بعض المسارات التي لا تحتاج إلى تشغيل اكواد php مثل مجلد التحميلات Uploads.

للقيام بحظر تشغيل أكواد php داخل مجلد Uploads، يمكن الدخول على مسار Wp-content/uploads ثم إنشاء ملف txt جديد باسم htaccess. بدون وضع أي امتداد بعد اسمه، ثم لصق الكود التالي بداخله وعمل حفظ Save : 

<Files *.php>
deny from all
</Files>

الخلاصة

هناك العديد من أصحاب المواقع لا يعيرون الاهتمام الكافي لتأمين الموقع إلا بعد التعرض إلى حادثة اختراق أو قرصنة تتسبب لهم في الكثير من الأضرار الجسيمة، ورغم أن الووردبريس يعتبر نظام إدارة محتوى مفتوح المصدر ويتم تأمينه بشكل كبير من قبل المبرمجين المشاركين في تطويره، إلا أن هناك بعض الإجراءات التي يتوجب عليك القيام بها من ناحيتك لزيادة تأمين الموقع وإفشال جميع محاولات المخربين والقراصنة.

يشمل هذا كل الإجراءات التأمينية ابتداء من تعيين كلمات مرور قوية، وعدم جعل الوصول إلى بيانات مستخدمي الموقع أمرا سهلا، كذلك تأمين الموقع باستخدام أحد أضافات الحماية المخصصة لذلك، كلها إجراءات تأمينية تقوم بها من جانبك من أجل تعزيز أمان وحماية موقعك ليس فقط ضد هجمات القوة العمياء brute force attack ولكن ضد أية هجمات أخرى. 

عبد الفتاح الطيب
مطور ويب ومتخصص في تطوير المواقع والمتاجر الإلكترونية باستخدام الووردبريس، وخبير في أرشفة المواقع لدى محركات البحث وتقنيات SEO