تأمين وحماية مواقع الووردبريس من كافة الثغرات | دليل شامل

تأتي مهمة تأمين وحماية موقعك الووردبريس كمهمة ضرورية من أعلى أولويات أصحاب المواقع، وذلك لأن أي إخلال في عنصر من عناصر الأمان قد يؤدي إلى فقدان بيانات حساسة في موقعك أو انهيار موقعك بشكل كامل مما يعني تكبد العديد من الخسائر، وعلى الرغم من أن الووردبريس نفسه كنظام إدارة محتوى يتمتع بدرجة كبيرة من الأمان، إلا أن وجود أعداد ضخمة من القوالب والإضافات المنتشرة عبر الإنترنت قد يشكل تهديدا محتملا لموقعك.

يمكن تأمين موقعك الووردبريس من خلال اتخاذ العديد من الإجراءات من ناحية إعدادات الأمان سواءًا فيما يتعلق بالقرارات الإدارية التي تتخذها كمدير موقع أو من ناحية الأدوات والبيئة التقنية التي تعتمد عليها في موقعك، وهذا ما سنتحدث عنه بالتفصيل في المقال.

محتويات المقالة:


الخطوات الأساسية لحماية موقعك الووردبريس 

1- اختيار استضافة آمنة

يبدأ أمان موقعك واستقراره باختيار شركة الاستضافة الموثوقة، حيث أن من الضروري استضافة موقعك على خوادم آمنة يعني أمان المواقع المستضافة على الخادم، والعكس صحيح كذلك. من المهم أن تختار بعناية مزود الخدمة الذي ستعتمد عليه لاستضافة موقعك، وهناك بعض المعايير المحددة التي يجب أخذها في الاعتبار فيما يتعلق بمعايير أمان شركة الاستضافة، وهي كالتالي:

  • أمان نظام التشغيل 
    يبدأ أمان خوادم شركات الاستضافة باستخدام نظام تشغيل آمن. لذلك يجب أن تتأكد من أمان أنظمة تشغيل شركة الاستضافة سواءًا كانت (ويندوز أو لينكس)، وتوفير التحديثات والأمان والحماية بشكل مستمر. وأيضا يجب أن تتأكد من توفير نسخ حديثة من الملفات البرمجية على السيرفر مثل تحديث ملفات PHP بشكل دوري. 
  • شهادة  SSL
    تعتبر شهادة الأمان SSL أحد أهم العوامل التي تساعد في اختيار شركة الاستضافة الأكثر أمانا، حيث أن التأكد من توافر شهادة الأمان لدى شركة الاستضافة من شأنه أن يساهم في تأمين الاتصال بين موقعك وبين الزوار. كذلك تقوم المتصفحات بإضافة رمز” القفل الأخضر” والذي يعتبر علامة أمان هامة بالنسبة لمعظم زوار المواقع
  • دعم Backup & Restore
    إذا تعطل موقعك بشكل كامل أو فقدت جزءًا من ملفاته، ففي هذه الحالة لا بد من أن يكون لديك نسخة احتياطية من ملفات الموقع للتمكن من استعادتها.  ستحتاج إلى التأكد من أن خدمة الاستضافة توفر أنظمة نسخ احتياطي جيدة ومستقرة تساعد موقعك في وضع آمن بشكل مستمر.
    لذلك عند اختيار شركة الاستضافة يجب أن تسأل عن مدى إمكانية تخزين نسخ احتياطية كامل لموقعك بشكل مستمر، وكذلك يجب أن تسأل عن الفترة الزمنية لبقاء النسخ الاحتياطية لموقعك لدى سيرفرات الشركة.
  • نظام Firewall Protection
    من أخطر الهجمات التي قد تصيب موقعك هي هجمات من نوع الدوس DOS تلك التي من السهل أن تصيب موقعك في حال إذا كانت شركة الاستضافة لا تمتلك نظام جدار حماية Firewall Protection يقوم بالتصدي لتلك الهجمات التي لها أثار تدميرية. لذلك تأكد بأن شركة الاستضافة لديها نظام جدار حماية قوي ويتم تحديثه بشكل دوري ومستمر. 

2- تفعيل التحقق بخطوتين عند تسجيل الدخول

تعتبر ميزة التحقق بخطوتين (two-factor authentication) من المميزات الأمانية المنتشرة في الكثير من المواقع الشهيرة بهدف إضافة طبقة حماية إضافية لبيانات تسجيل الدخول لموقعك. الفكرة بإختصار، عند محاولة تسجيل دخول إلى موقعك فإنه يتم إرسال رمز تأكيدي الهاتف ويطلب من المستخدم كتابة هذا الرمز في شاشة تسجيل الدخول، ليتم تأكيد تسجيل الدخول.

من أشهر الإضافات التي تقوم بذلك إضافة Google Authenticator التي تقوم بإنشاء نظام التحقق بخطوتين لتسجيل الدخول إلى موقعك: 

فبمجرد تنصيب الإضافة وتفعيلهاعلى موقعك الووردبريس سيطلب منك تحميل تطبيق Google Authenticator  من متجر البلاي ستور أو ابل ستور أو ويندوز. ثم بعد تحميل التطبيق ستقوم بمسح كود QR الذي يظهر في إعدادات الإضافة عبر موقعك، وسيرسل لك كود تفعيل على التطبيق، تقوم بإدخاله في الخانة المخصصة داخل صفحة إعدادات الإضافة، وبالتالي يتم تفعيل التحقق بخطوتين تلقائيا. 

بعد ذلك أي شخص سيحاول الدخول إلى موقعك حتى ولو كانت بيانات تسجيل الدخول سلمية، فإنه سيتم إرسال كود تأكيد الدخول إلى مالك الموقع في التطبيق Google Authenticator والذي يقوم بإظهار اشعار أو تنبيه لمدير الموقع يحتوي على كود تأكيد عملية تسجيل الدخول، وبالتالي لا يمكن الدخول الا بعد التحقق من الكود المرسل. 

اقرأ أيضًا: ماذا تفعل إذا لم تتمكن من الدخول إلى لوحة تحكم الووردبريس؟


3- التسجيل عبر البريد الإلكتروني بدلا من اسم مستخدم

عند قيامك  أو قيام أي عضو في الموقع بتسجيل الدخول إليه، فإنه يتوجب وضع اسم مستخدم وكلمة المرور، ينصح في هذه الخانة أن يوضع البريد الإلكتروني في خانة اسم المستخدم بدلا من اسم مستخدم مكون من مجموعة حروف قليلة. 

هذه الخطوة تساعد في تقليل فرص توقع بيانات الدخول لأن الأيميل يكون أكثر صعوبة في التخمين من اسم المستخدم الذي يتكون من مجموعة صغيرة من الأرقام والحروف. 


4- تسجيل خروج الأعضاء غير النشطين في الموقع

في حال قيام أحد أعضاء الموقع بتسجيل الدخول في أحد الأجهزة، ثم قام بمغادرة الجهاز المستخدم وحصل أحد المتسللين على تلك البيانات المفتوحة أمامه، عندئذ يكون موقع تحت خطر محتمل! 

لذلك أحد خيارات أمان موقع الووردبريس هو القيام بتسجيل خروج الأعضاء الذي يمر عليهم وقت معين دون النشاط في الموقع، وهو ما يعرف بإنتهاء وقت الجلسة. يمكنك عمل ذلك من خلال إضافة Inactive Logout

بعد تنصيب الاضافة وتنشيطها، ستفتح لك لوحة تحكم الاضافة والتي يكون فيها جزء لإضافة الوقت المحدد لإبقاء العضو في حالة تسجيل دخول قبل القيام بتسجيل خروجه، وهو ما يوضحه السهم الأول، حيث يمكنك تحديد 10 دقائق لعدم نشاط العضو وبعد مرور الوقت يتم تسجيل خروجه بشكل تلقائي. 

كذلك السهم الثاني الذي يشير إلى الرسالة التي تظهر على الشاشة بعد القيام بتسجيل خروج العضو غير النشط : 

ملحوظة: الإجراء السابق مفيد ومناسب تماما في حال كان هناك عدد كبير من الأعضاء في موقعك، أما إذا كان عدد الأعضاء معدود واشخاص موثوق بهم فلا داعي إلى حد كبير للقيام بهذا الإجراء.


5- احذر شراء القوالب والإضافات من مصادر مجهولة

انتشرت القوالب المقرصنة أو ما تسمي Nulled themes and plugins والتي يتم كسر جدار التراخيص الخاصة بها، وإعادة نشرها عبر الإنترنت  بسعر زهيد أو بشكل مجاني في بعض الأحيان. وبعض المبتدئين يظنون أن هذا التصرف من المخترق بهدف خيري 🙂

في كثير من الأحيان يتم تسهيل الطريق على المخترقين للقيام بزرع أكواد خبيثة داخل موقعك من شأنها تغيير سلوك الموقع أو سرقة البيانات بالكامل، عن طريق تلك الإضافات والقوالب. لذلك احرص على شراء القوالب والاضافات من المتجر الرسمي للبرنامج أو من خلال المتاجر الموثوقة فقط.


أفضل إضافات حماية للووردبريس

عند الحديث عن حماية موقع ووردبريس، فإن استخدام إضافة حماية ذات كفاءة هو أمر ضروري للمساعدة على أتمتة إجراءات الحماية والأمان. دعني أخبرك بأفضل 4 اضافات تأمين وحماية للووردبريس تساعدك في تلك المهمات:

1- إضافة MalCare Security

تقدم إضافة MalCare Security خيارات أمان متعددة للموقع بداية من تأمين محاولة الدخول login attempt وحظر الايبيهات المريبة IPs . تأمين ملفات الموقع لحمايتها من محاولة دخول المخترقين عليها والتعديل فيها، كما توفر الإضافة كذلك خدمات النسخ الاحتياطية Backups، ويمكن من خلالها القيام بتفعيل التحديثات تلقائيا للمفات الووردبريس وكذلك تحديث القوالب والإضافات إلى آخر نسخة، بالإضافة إلى توفير خدمات مسح Scan لملفات الموقع الداخلية عند العثور عليها ملفات مريبة أو مشكوك بها تقوم الإضافة بحذفها قبل التأثير على موقعك.

2- إضافة Sucuri Security 

تعتبر إضافة Sucuri من أشهر الإضافات التأمينية التي توفر إحصائيات كاملة عن أمان موقعك وحالته الصحية بإستمرار، وتتيح تفعيل المسح التلقائي للموقع للقيام بتتبع العمليات المريبة داخل الموقع وحظرها على الفور، ما يميز الإضافة كذلك هي احتوائها على نظام تتبع يمكنه اكتشاف التغييرات المريبة في إعدادات SEO الخاصة بأرشفة موقعك في جوجل والقيام بأي تعديلات على الكلمات البحثي أو حقن الروابط بكلمات من شأنها سرقة الزوار.
وأيضًا تحتوي الإضافة على جدار حماية قوي للتصدي للهجمات الخطرة ويمكنك عمل قائمة سوداء Blacklist تحتوي على العناوين التي ترغب في حظرها من تصفح الموقع أو زيارته.

3- اضافة All In One WP Security & Firewall

تتيح إضافة All in one WP Security العديد من الخيارات في تأمين الدخول الخاصة بكافة الأعضاء بالموقع، حيث يمكنك الاطلاع على عناوين الايبيهات IPs التي قام الاعضاء بالدخول من خلالها إلى الموقع والقيام بتنبيهك في حال تم تسجيل بيانات عضو من خلال Ip مختلف أو مريب.
كذلك تتيح نظام لحماية تسجيل الدخول بعدد كبير من كلمات السر العشوائية والعمل على الحد منها. 

4- إضافة Wordfence Security

كذلك إضافة Wordfence من الإضافات الموثوقة التي توفر الكثير من خيارات الأمان التي تعزز تأمين موقع الووردبريس بشكل كبير. حيث تقوم بالتصدي لهجمات تسجيل الدخول العشوائية عبر كلمات المرور التي يتم تخمينها باستخدام برامج مريبة.توفر الاضافه تفعيل نظام تسجيل الدخول بخطوتين two-factor authentication وكذلك نظام CAPTCHA  الشهير لتأمين عملية تسجيل الدخول. 
شاهد: شرح تنصيب وتهيئة الإضافة على موقعك

ملحوظة: بعد إطلاعك على تلك الإضافات والمعلومات التي شرحناها لك ووضحناها من مصادرها الموثوقة، فإنه يمكنك الاختيار من بينهم ، حيث تقوم بإختيار إضافة واحدة تجد فيها كافة الخيارات التأمينية التي تبحث عنها وتقوم بتنصيبها.
لا تقوم بتنصيب الكثير من إضافات التأمين إلى موقعك الووردبريس لأن وجود اضافات كثيرة تقوم بنفس المهمة قد يؤدي إلى تعارض في عمل تلك الإضافات.


خطوات متقدمة لزيادة أمان موقعك

الآن بعدما تعرفنا على بعض النصائح والإجراءات البسيطة التي من خلالها يمكنك تعزي أمان موقعك دون الحاجة إلى أي خبرة برمجية، وهذا ما سنتحدث عنه في الفقرات التالية، وننصحك هنا بأنه من المهم أن تقوم بعمل نسخة احتياطية من الموقع Backup قبل القيام بإضافة أو حذف أو تعديل أي من الأكواد البرمجية داخل الموقع، والتأكد من عمل كافة التعديلات المذكورة بدقة.

1- الحفاظ على ملف config.php في حالة أمنة

يعتبر ملف config.php من أهم الملفات المتعلقة بأمان موقع الووردبريس الخاص بك. حيث ان هذا الملف يحتوي على أكثر البيانات والمعلومات الحساسة للغاية بخصوص أمان موقعك، وعند محاولة الوصول الوصول إلى هذا الملف واجراء تعديلات عليها أو سرقة بياناته مه فإن موقعك على بعد خطوات بسيطة جدا من الضرر. يمكنك الإطلاع على دليل شامل بخصوص ملف config.php وطرق تأمينه

2- إلغاء إمكانية التعديل على ملفات الموقع

في موقع الووردبريس يكون من الممكن اضافة أكثر من شخص كمدير للموقع حيث يستطيع الدخول إلى لوحة تحكم الموقع والقيام بالتغييرات. بشكل افتراضي يستطيع أي مدير admin في موقع الووردبريس أن يقوم بالدخول إلى الملفات البرمجية الخاصة بالقالب والإضافات والتعديل على الكود المصدري لها. لذلك من المهم أن تقوم بإلغاء إمكانية التعديل على ملفات الموقع من قبل المديرين الآخرين. وللقيام بذلك يمكنك فتح ملف wp-config.php وكتابة الكود التالي بداخله : 

define('DISALLOW_FILE_EDIT', true);

3- إلغاء عرض ملفات الموقع من قبل الزوار Directory listing

عند قيامك بالدخول إلى مدير ملفات موقعك، وإنشاء مجلد وليكن باسم “Data” وقمت برفع بعض الملفات الهامة داخل ذلك المجلد، ثم لم تقم بإنشاء صفحة index داخل المجلد لعرضها للزوار، في هذه الحالة أي زائر سيدخل إلى مسار المجلد عبر www.example.com/data يمكن أن يستعرض كل الملفات المتواجدة داخل المجلد وربما تحميلها أيضا. 

لحماية موقعك من هذا الخطأ فإنه يجب أن تقوم بإضافة الكود التالي داخل ملف htaccess الخاص بموقعك، حيث يقوم هذا الكود بمنع فتح واستعراض ملفات الموقع أمام الزوار:

Options All -Indexes

4- قم بحظر الاستدعاء الخارجي لصور موقعك Hotlinking 

مصطلح Hotlinking يشير إلى قيام موقع خارجي بالدخول إلى موقع ونسخ بعض روابط الصور التي تكون على الشكل : www.example.com/image.png ومن يقوم بوضع رابط الصور داخل موقعه، وبالتالي تظهر الصور في موقعه، ولكنها مستضافة على موقعك انت، ماذا يعني هذا ؟! 

هذا يعني أنه في كل مرة يتم عرض تلك الصورة في الموقع الأخر فإنه يتم استدعائها من موقعك أولا، وهذا يتسبب في استنزاف موارد الخادم الخاص بموقعك، وبالتالي قد يتم استدعاء عدد هائل من ملفات موقعك بتلك الطريقة مما يتسبب في تعطل الموقع أو تعرضة للضرر. 

لمنع ظهور أو استدعاء صور أو ملفات موقعك لدى مصادر خارجية فإنه يجب القيام بتعطيل هذا الأمر، وأسهل طريقة للقيام بذلك هو باستخدام احد الاضافات plugins التي تقوم بذلك ومن أشهرها إضافة All in one WP.

كما يمكنك تعطيل استعلامات Hotlinking بدون إضافات Plugins وذلك عن طريق حظر Hotlinking من داخل ملف .htacess

5- تغيير بادئة الجداول قواعد بيانات الووردبريس _WP 

عند تنصيب الووردبريس على موقعك، فإنه يقوم بإنشاء عدد كبير من الجداول Tables داخل قواعد بيانات السيرفر، وغالبا ما تبدأ هذه الجداول بكلمة WP_ وهو ما يجعل المهاجمون يتوقعون بسهولة اسماء الجداول المستهدفة والتي تحتوي على كافة بيانات الووردبرس. 

لذلك يجب عليك تغيير تلك الأحرف إلى أحرف ورموز مختلفة:

يمكنك الإطلاع على شرح كامل لطريقة تغيير WP_ prefix لجداول الوورد بريس .

6- أخذ نسخ احتياطية Back up لموقعك بشكل دوري 

أي موقع عبر شبكة الإنترنت يكون معرض للضرر أو التعطل ولو بشكل مؤقت، وفي بعض الحالات التي يتعرض موقعك فيها إلى التعطل أو فقدان بعض الملفات فإنه من الضروري أن يكون هناك نسخ احتياطية Back up من  ملفات وبيانات الموقع قبل عملية فقدان تلك البيانات.

اطلع على الدليل الشامل لعمل نسخ احتياطية للموقع وأفضل الطرق لتأمينها.

7- تغيير البيانات الإفتراضية للدخول إلى Cpanel

بعد شراء استضافة موقعك مباشرة، فإنه يتم إرسال بيانات الدخول إلى لوحة تحكم موقعك Cpanel ، وبالتالي ننصحك بتغيير تلك البيانات الافتراضية التي يتم إرسالها بشكل افتراضي بعد شراء الإستضافة لزيادة تأمين الدخول إلى موقعك. 

8- إخفاء رقم نسخة الووردبريس version number

من السهل للغاية الحصول على رقم النسخة الحالية للووردبريس في موقعك، حيث يمكن الوصول عليها عبر الكود المصدري للموقع Source code أو في لوحة تحكم الموقع أمام كافة الأعضاء المسجلين بالموقع. إذا حصل المخترقون على رقم نسخة الووردبريس التي تستخدمها، فسيكون من الممكن تصميم برامج وأكواد خبيثة للتأثير على موقعك، لأنهم يعرفون ثغرات النسخة التي تعتمد عليها. 

لإخفاء رقم نسخة الووردبريس version number فقط يمكنك اضافة الكود التالي داخل صفحة functions.php :

function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');

9- حظر تشغيل ملفات برمجية من نوع PHP 

في الغالب يستخدم المخربون أكواد لغة PHP لعمل ملفات برمجية خبيثة تحتوي على الأكثر من الأوامر التي من شأنها تعطيل اجزاء معينة بالموقع أو حتى سرقة البيانات الهامة في قواعد البيانات. لذلك يكون من المهم تعطيل تشغيل ملفات php في الأماكن التي ليست بحاجة إلى ملفات من هذا النوع. 

أحد أشهر المسارات التي لا حاجة لوجود ملفات php بها ويجب تعطيل تشغيل هذا النوع من الملفات بداخلها هو مجلد تحميل الملفات Uploads/ داخل مدير ملفات موقع الووردبريس. 

يمكنك فتح ملف htaccess. ووضع الكود التالي بداخلها للقيام بحظر أي ملفات من نوع php من التشغيل على موقعك : 

<Files *.php>
deny from all
</Files>

للمزيد من المعلومات يمكنك الإطلاع على طرق التعديل على ملف htaccess بشكل صحيح.

10- إخفاء ملفات wp-config.php و htaccess من الظهور في مدير الملفات 

لإضافة طبقات أمان إضافية يمكنك القيام بإخفاء ملفات wp-config وكذلك htaccess من الظهور في مدير الملفات، ولكنها ستظل تعمل بشكل سليم داخل موقعك.

يمكنك اخفاء ملف wp-config.php عبر وضع الكود التالي في ملف htaccess. : 

<Files wp-config.php>
order allow,deny 
deny from all
</Files>

كما يمكن اخفاء ملف htaccess عبر وضع الكود التالي في ملف htaccess. : 

<Files .htaccess>
order allow,deny 
deny from all
</Files>

أشهر هجمات الاختراق التي تحدث وكيف تتصدى لها

إليك قائمة بأهم نقاط الضعف التي توجد في الووردبريس كنظام إدارة محتوى، وكيف يمكن للمخترقين استغلالها للتسلسل داخل موقعك، وكيف تحمي موقعك بشكل كامل من تلك الأنواع من الهجمات: 

  • التسلل الخلفي Backdoor 
  • هجوم Pharma Hack
  • هجمات Brute-force Login Attempts
  • ثغرات Malicious Redirects
  • ثغرات( Cross-site Scripting( XSS
  • هجمات Denial of Service
  • هجمات WP-VCD.php Hack
  • هجمات الاصطياد phishing attack
  • هجمات Japanese keyword hack 

هذه هي أشهرت الهجمات أو الثغرات التي يستغلها المخترقون للإضرار بموقعك الووردبريس، ولنتحدث عنها الآن بتفصيل أكثر وكيف تتصدى لها:

1- التسلل الخلفي Backdoors

يعتبر التسلل الخلفي واحدًا من أشهر الطرق التي يستخدمها المخترقون والمتطفلون لإلحاق الضرر بموقعك. يتم هذا النوع من الهجوم يتم عبر زرع ملفات مريبة داخل ملفات الوورد بريس نفسها وغالبا ما تكون داخل مسار wp-includes الشهير، وأيضا يتم زرعها في أماكن مختلفة. 

يأتي هذا الهجوم في المقام الأول من ناحية استغلال نقاط الضعف في شركة الإستضافة المتواجد بها الموقع، حيث يمكن للمخترقين زرع ملف التسلل الخلفي أو ما يسمى Backdoor في كل مواقع الووردبريس التي توجد على نفس شركة الاستضافة في حال نجحوا في اختراق الشركة.

في الغالب يقوم المخترقون بزرع تلك الملفات الخبيثة التي من خلالها يمكنك التحكم في أجزاء كبيرة جدا من موقعك وربما سرقة بيانات هامة، وأحيانا تعطيل وتخريب الموقع بالكامل في حال عدم اكتشاف تلك الثغرة من قبل صاحب الموقع. وهذه أشهر الأماكن التي يتم تحميل تلك النوع من الملفات إليه: 

  • ملفات القوالب
    تكون ملفات القوالب عرضة كبيرة لزرع تلك الأنواع من الملفات الخبيثة داخلها، وذلك بسبب عدم اهتمام بعض المستخدمين بتحديث القوالب الخاصة بهم كذلك عدم وجود جدار حماية Firewall، لذلك ننصح دائما بتحديث القوالب الفعالة على الموقع لآخر نسخة، واستخدام قوالب آمنة. 
  • ملفات الإضافات
    مثلها مثل ملفات القوالب يمكن أن يتم زرع ملفات backdoor داخلها، وننصح كذلك بأن تكون كافة الإضافات النشطة على موقعك هي إضافات آمنة ومحدثة باستمرار. كذلك ننصح بحذف أي اضافة غير نشطة على موقعك، كذلك الإهتمام بتنصيب أحد الإضافات التي تقوم بإنشاء جدار حماية Firewall لموقعك.
  • مسار التحميلات Uploads
    يعتبر مجلد رفع الملفات أيضا عرضة كبيرة لزرع هذا النوع من الملفات، وذلك بسبب احتواء هذا المجلد على عدد كبير من ملفات الصور والفيديوهات وغيرها، وبالتالي يكون من الصعب اكتشاف الملفات المريبة بداخلها، لذلك ينصح بتأمين هذا المسار كما شرحنا في الخطوات السابقة.
  • مجلد wp-includes
    من أكثر الأماكن التي يستغلها المخترقون لزرع ملفات Backdoor بداخلها، حيث إذا نجح الأمر وتمت عملية زرع الملفات الخبيثة داخلها، يمكن أن تسرق ملفات موقعك بالكامل عن طريق الوصول إلى بيانات تسجيل الدخول إلى موقعك أو ملفات تحتوي على بيانات تسجيل الدخول إلى مدير الملفات أو لوحة التحكم Cpanel. لذلك من ضمن إجراءات الأمان هو تغيير مسار المجلد wp-includes

الآن بعد أن اطلعنا على الطريقة التي يقوم بها المخترقون بزرع ملفات Backdoor داخل موقعك، نتحدث الآن عن طرق الحماية من تلك الأنواع من الهجمات. 

بالتأكيد الحل الوحيد لصد هجمات Backdoors هو اكتشاف مكان تلك الملفات والقيام بحذفها تماما من الموقع. ولكن سيكون من الصعب عمل تلك المهمة بشكل يدوي بالبحث داخل ألاف الملفات في موقعك، لذلك يمكنك استخدام بعض إضافات الووردبريس التي تقوم بتلك المهمة، حيث تقوم بالبحث داخل ملفات الموقع وكذلك قواعد البيانات، وعند عثورها على ملف غريب تم زرعه أو نشاط مريب في موقعك فإنها تقوم بتنبيهك على الفور وتقوم بإتخاذ قرارك المناسب لحماية موقعك. 

يمكنك استخدام أي من الإضافات التي تقوم بتلك المهمة، وأشهر تلك الإضافات هي Sucuri Security. 


2- هجوم Pharma Hack

يعتبر أحد أشهر الهجمات التي يقوم بها المخترقون من أجل الإستفادة من روابط موقعك التي تظهر في محركات البحث. ربما لاحظت ذات مرة عند الدخول إلى موقع ما من محرك البحث واكتشفت انه يفتح لك رابط مختلف تماما عن الرابط الذي يظهر في محرك البحث.

تم تسمية هذا الهجوم بإسم Pharma Hack لأنه يتم استخدامها في بيع الأدوية العقاقير الغير شرعية عن طريق اختراق بعض المواقع التي تظهر في بحث جوجل على سبيل المثال، ويتم زرع بعض الأكواد الخبيثة التي تجبر محرك البحث على توجيه الزائر إلى رابط مختلف تماما عن رابط الموقع الأصلي، حيث توجد إعلانات عن الأدوية والعقاقير الغير شرعية وغيرها من المنتجات الغير مصرح بها دون وصفات طبيب أو مختص. 

لاحظ الصورة السابقة توضح أحد  إضافات الأمان التي اكتشفت إصابة أحد المواقع بالإختراق وسرقة الملفات.

هذا الهجوم لا يقصد به الحاق الضرر بموقع الضحية في أغلب الأحيان، وإنما يكون هدفه الوحيد هو استغلال ظهور بعض الروابط في بحث جوجل لبيع المنتجات الغير مصرح بها. 

على الرغم من  أنه هجوم بشع وفي غاية الضرر بموقعك، إلا أن اكتشافه لا يكون صعب عليك تماما إذا كنت تمتلك في موقعك بعض أدوات الكشف عن الملفات الخبيثة مثل إضافة Sucuri Security. 

 التي أشرنا إليها بالأعلى. حيث تقوم الإضافة بتنبيهك على الفور في حال اكتشاف ملفات من نوع backdoors وهي التي يتم زرع أكواد ثغرة pharma hack من خلالها. كل ما عليك فعله هو تنصيب إضافة التحقق من الملفات المريبة والقيام بحذف أي ملف غريب يتم اكتشافه بشكل أولي.


3- هجمات Brute-force Login Attempts

تسمى هذه الهجمات أيضا بهجمات القوة الغاشمة التي قد تضرب موقعك، حيث يقوم المهاجمون باستخدام بعض البرامج التي تحاول تخمين كلمات المرور عن طريق عشرات الألاف وربما ملايين التخمينات في وقت قليل جدا. 

 وعلى الرغم من أنها قد تكون هجمات تدميرية للموقع إلا أن التصدي لها سهل للغاية ويمكن الوقاية منها ببعض الخطوات التي قمنا باختصارها في النقاط التالية : 

تغيبير مسار الدخول إلى لوحة تحكم موقعك الووردبريس

بشكل افتراضي يكون مسار الدخول لموقعك بالشكل التالي example.com/wp-admin . حيث يعرف المخترقون جيدا المسار الشهير للدخول إلى لوحة تحكم الموقع وهو المكان الذي يتم وضع اسم المستخدم وكلمة المرور به. لذلك تغيير اسم هذا المسار wp-admin إلى اسم مختلف يجعل الأمر صعبا للغاية التنبؤ بمسار الدخول إلى لوحة التحكم. يمكنك القيام بتغيير اسم مسار الدخول إلى لوحة التحكم باستخدام إضافة Hide Login  

بعد تنصيب الإضافة وتنشيطها على موقعك، يمكنك الدخول إلى الإعدادات الخاصة بها، حيث تجد خيار login Url الذي يمكنك كتابة أي نص به ليكون هو مسار الدخول إلى لوحة تحكم الموقع بدلا من المسار الشهير والمعروف wp-admin : 

 كما يمكنك كذلك حظر ايبيهات معينة IPs من الدخول إلى صفحة تسجيل الدخول إلى لوحة تحكم الووردبريس، وذلك عن طريق الدخول إلى ملف .htacess واضافة الكود التالي : 

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from 11.11.11.111
</LIMIT>

هذا ويمكنك الإطلاع على مزيد من التفاصيل حول حظر الأيبهات في ملف .htacess

استخدام اسم مستخدم وكلمة مرور قوية

ابتعد عن استخدام اسم المستخدم المشهور Admin أو كلمات السر السهلة، مثلًا: password123 وكل ما يشبه هذه المدخلات السهلة للغاية والتي تستطيع الكثير من برامج التخمين التعرف عليها بسهولة. يجب أن يكون اسم المستخدم طويل نوع ما وأن يحتوي على أرقام ورموز خاصة مثل ($ – # – @ *)، وكذلك كلمة المرور اجعلها صعبة التخمين قدر المستطاع. كلما بذلك وقتا في اختيار كلمة مرور واسم مستخدم مميزين تماما، كلما كنت بعيدا عن هجمات Brute-force Login Attempts . 

اجعل تخمين اسم المستخدم صعبا على المخترقين:

هل تستخدم اسم مستخدما مطابقا لاسم ملفك الشخصي على موقع الووردبريس؟!، إذا أنت تسهل على المهاجمين تخمين اسم المستخدم عند مشاهدة اسم ملفك الشخصي الذي يظهر في صفحة المدونة اسفل اي مقالة منشورة. لتغيير إسم الملف الشخصي قم بالدخول إلى ” تحرير ملفي الشخصي” كما في الصورة بالأعلى أو “edit my profile” وقم بتغيير إسم الملف الشخصي ليكون مختلفا عن اسم المستخدم للدخول إلى لوحة تحكم الووردبريس.

تخصيص حد أقصى لمحاولات الدخول إلى لوحة التحكم

يعتبر من ضمن ممارسات الأمان التي يمكنك القيام بها في موقعك الووردبريس لكي تمنع المهاجمين من الدخول إلى لوحة تحكم الموقع. يمكن وضع حد أقصى لمحاولات تسجيل الدخول باستخدام إضافة limit login attempts .


4- ثغرات Malicious redirects 

تعتبر Malicious redirects من أخطر الإصبات التي قد يتعرض لها موقعك، حيث تعمل هذه الثغرة على اضافة أكواد تقوم بإعادة توجيه روابط موقعك إلى روابط موقع أخر، يمكن أن يكون بسبب سرقة الزيارات من موقعك أو تدمير سمعة الموقع بالكامل. وقد تتسبب تلك الثغرة في قيام جوجل بخفض ترتيبك في محرك البحث أو ربما اختفاء الموقع بالكامل، كذلك قد تتسبب في حظر سيرفر الموقع من شركة الاستضافة بسبب عملية تحويل الروابط التي تتم بشكل كبير والتي يتم تصنيفها على انه “سلوك مريب من قبل شركات الاستضافة” .

خطوات بسيطة تكشف لك إذا كان موقعك مصاب بثغرة Malicious redirects

  • إذا كانت بعض أو كل روابط موقعك تقوم بإعادة التوجيه إلى دومين آخر. 
  • إذا كان موقعك يقوم بارسال اشعارات إلى الزوار دون قيامك أنت بذلك.
  • إذا قام جوجل بتصنيف بعض روابط موقعك على أنها “مريبة” أو Spam.
  • إذا اكتشفت أكواد مريبة داخل ملف index.php . 
  • وجود عدد من الملفات المريبة داخل مدير الملفات الخاص بموقعك.
  • إذا كان ملف .htaccess يحتوي على أكواد غريبة وغير معروفة. يمكنك مشاهدة دليل ملف htaccess وكيفية حمايته وتأمينه.

كيفية الوقاية من ثغرة Malicious redirects

عند الإصابة بتلك الثغرة لا يمكن التخلص منها بالغاء تنشيط بعض الإضافات الغريبة على موقعك أو أخذ نسخة احتياطية للموقع أو حتى قيامك بتحديث الإضافات والقوالب إلى النسخ الأخيرة. الحل المضمون والفعال هو تنصيب إضافة تقوم بحماية الموقع من أكواد إعادة التوجيه Redirect تلك. 

تعتبر اضافة Marcare هي أفضل الخيارات للتخلص من تلك الثغرة المدمرة بقوة للموقع، ولكنها إضافة مدفوعة  وفي حالة الاصابة بهذه الثغرة الخبيثة فلا تعتقد أن استخدام أي اضافة مسح أو Scan لموقعك قد تستطيع التخلص من تلك الثغرة بإضافة مجانية. 


5- ثغرة Cross-Site Scripting (XSS) 

في هذا النوع من الثغرات الأمنية التي تصيب المواقع قليلة الحماية يتم زرع أكواد خبيثة داخل موقعك، ثم باستخدام تلك الأكواد يتم التلاعب في حساب البريد mail account وبالتالي يتم إرسال رسائل بريدية Emails إلى زوار ومستخدمي الموقع أو التطبيق، حيث تحتوي تلك الرسائل على أكواد خبيثة من شأنها أن تقوم بسرقة ملفات Cookies المتواجدة داخل متصفحات الويب لدى الزوار، حيث تحتوي تلك الملفات على بيانات تسجيل الدخول الخاصة بـ زوار ومستخدمي الموقع، وبالتالي يمكن الدخول إلى الموقع والتلاعب بحسابات العملاء باستخدام بيانات الدخول تلك التي تم سرقتها باستخدام تلك الثغرة. 

أنواع ثغرة XSS وطرق الحماية منها:

لكي تفهم أكثر مدى تأثير تلك الثغرة على الموقع بشكل سلبي، إليك الأنواع الخاصة بهذه الثغرة، ثم نتطرق إلى كيفية الحماية منها والتصدي لها. 

  • الهجوم الغير المباشر (reflected XSS)  
    في هذا النوع يتم الهجوم بمراحل متعددة لكي يتم الوصول إلى الهدف في النهاية: حيث أولا يقوم المخترق بارسال بريد إلكتروني للزوار أو مستخدمي الموقع، عند قيام الشخص الضحية بالضغط على هذا الرابط فأنه يتم إرسال بيانات إلى سيرفر المخترق، ثم يتم معالجة واستخدام تلك البيانات في سرقة بيانات دخول الضحية إلى الموقع، وبالتالي يمكن الدخول على حسابه في الموقع باستخدام تلك البيانات التي تمت سرقتها. 
  • الهجوم المباشر (persistent XSS) 
    في النوع الثاني يبقى الهدف واحد وهو سرقة بيانات مستخدمي الموقع، ولكن الطريقة تختلف هنا، حيث يقوم المخترقون بزرع ملفات خبيثة داخل سيرفر الموقع من شأنها أن تقوم بسرقة ملفات Cookies من داخل متصفحات الويب لدى زوار الموقع، وإعادة إرسال تلك الملفات إلى دومين Domain مختلف وهو الذي يهيمن عليها المخترقون، وبالتالي يحصلون على ملفات Cookies التي تحتوي على بيانات دخول الزوار إلى موقع الويب، وبالتالي التحكم في حساباتهم عبر الموقع. 

كما ترى فإن تلك الثغرة لا تؤثر بشكل سلبي على أمان الموقع نفسه فقط، وإنما تؤثر كذلك على أمان الزوار والمستخدمين للموقع وسرقة بياناتهم والقيام بعمليات غير شرعية باستخدام تلك البيانات. 

التخلص من ثغرة XSS  
بالتأكيد يمكنك القيام بتفقد ملفات موقعك بشكل يدوي للقيام بحذف أي ملفات أو أكواد مريبة، لكن هذا الأمر سيأخذ منك الكثير من الوقت والمجهود ويمكن أن عب عليك الوصول اليها، لكن في المقابل يمكنك أستخدام أي من إضافات الووردبريس التي تقوم بذلك من أجلك، وأشهر تلك الإضافات هي Sucuri Security التي اشرنا اليها من قبل. حيث عند اكتشافها للثغرة ترسل لك تنبيها وتعطيك الخيار لحذف الملفات المريبة أو غير الموثوق بها من موقعك. 


6- هجمات Denial of Service أو ما يعرف بــ DOS 

من أكثر الثغرات الأمنية أو التهديدات التي تتسبب في تعطل الموقع بالكامل وتعرضه للتوقف، وتسمى أيضًا (هجمات الحرمان من الخدمات)، حيث يستهدف هذا الهجوم في المقام الأول كفاءة السيرفر المستضاف عليها الموقع، حيث يتم استخدام العديد من البرامج الخبيثة التي تقوم بإرسال عدد ضخم ومكثف من الزوار الوهميين إلى الموقع، وبالتالي يتم استنفاذ موارد السيرفر ويمكن أن يتسبب في توقف الموقع بالكامل. 

تمتلك تلك الثغرة تاريخا سيئا في عالم أمن المعلومات، حيث كانت أكبر هجمة من نوع DOS على مستوى العالم في العام 2016، والذي قام فيه المهاجمون بإرسال هجمات DOS إلى أشهر وأكبر المواقع العالمية وتسببت في تعطل مواقع أكبر الشركات مثل فيسبوك، امازون، بايبال، إينستاجرام، وغيرها من عشرات المواقع التي تعطلت بسبب تلك الثغرة. 

الوقاية من هجمات DOS 

تختلف طرق الحماية من تلك الهجمات حيث توجد الطرق الفعالة بدرجة كبيرة وغيرها الفعالة مع بعض التحفظ، إلا أن الحل الأفضل والأقوى هو أن تقوم بإختيار شركة استضافة التي تقدم الحماية من هجمات DOS حيث أن شركة الاستضافة التي لديها أنظمة الحماية من هجمات الدوس هي الاختيار الأفضل بالنسبة إليك لحماية موقعك من تلك الثغرة. 

من الأمور التي تساعد أيضا في الحماية من هجمات الدوس DOS هو أن تقوم بتعطيل ملف xmlrpc.php ويمكنك الإطلاع على كيفية القيام بتعطيله من خلال مقالة htaccess. وذلك لأن هذا الملف هو الذي يسمح لطبيقات ذو الطرف الثالث Third-party أن تقوم بإرسال بيانات إلى موقعك والتفاعل معه، والتي يمكن أن يتم استغلالها لإرسال هجمات الدوس. 


7- هجمات WP-VCD.php Hack

نوع آخر من الهجمات التخريبية التي تصيب بعض مواقع الووردبريس، وفي هذا النوع من الهجوم يقوم المخترقون بالدخول إلى لوحة تحكم الموقع وكذلك مسارات الملفات الداخلية، والقيام بتخزين ملفات غير مصرح بها مثل الملفات التي تحتوي على بيانات كسر ترخيص البرامج Cracks وغيرها من الملفات التي يتم تخزينها في موقعك واستدعائها في أي مكان آخر بغرض تحميلها بطريقة غير شرعية، الأمر الذي يؤثر بالسلب على موارد استضافة موقعك، وكذلك قد يعرض موقعك للحجب من قبل شركة الإستضافة. 

يمكن التصدي لمثل تلك الهجمات باستخدام احد اضافات firewall التي تحدثنا عنها مسبقا. 


8- هجمات الاصطياد phishing attack

في هذا الهجوم يستغل المخترقون نقاط الضعف في موقع الووردبريس والتي يمكن أن تكون في بعض الإضافات أو القوالب غير المحدثة والقيام بزرع أكواد خبيثة في روابط الموقع والحصول على دخول كامل على الموقع. يتم استغلال حساب البريد الخاص بالموقع Mail account لإرسال رسائل بريدية Emails لآلاف المستخدمين تحتوي على روابط تهدف إلى سرقة البيانات أو ارقام البطاقات البنكية وغيرها. 

أيضا التصدي لتلك النوع من الهجمات هيكون عبر استخدام برنامج جدار حماية قوي متمثلا في أي من الإضافات التي أشرنا إليها.


9- هجمات Japanese keyword hack 

 تلك الثغرة هي من الثغرات التي انتشرت مؤخرا، حيث تعمل بنفس مبدأ عمل الثغرات السابقة، وهو يحاول التوصل إلى نقاط الضعف المتواجدة في بعض الإضافات أو القوالب على موقع الووردبريس، والبدء في استغلالها لزرع ملفات وأكواد خبيثة تقوم باستبدال روابط ونصوص صفحات الموقع إلى كلمات باللغة الصينية، وذلك بهدف ظهور الموقع في محركات البحث على اسماء منتجات باللغة الصينية، وبالتالي يضعون روابط لشراء تلك المنتجات داخل موقع الضحية مستفيدين في ذلك بدومين الموقع Domain القديم والذي ربما يكون حاصل على ثقة كبيرة لدى جوجل. 

وأيضًا يمكن استخدام إضافات الحماية التي تحدثنا عنها للتصدي لهذا النوع من الهجمات.

الخلاصة| 

في النهاية وكما تابعت معنا في رحلتنا خلال تلك المقالة التي تحدثنا فيها عن أهم المخاطر التي ربما تواجه موقعك، وكذلك أهم النصائح من أجل تأمين الموقع وحمايته من أي هجوم محتمل. وكما أن هناك الكثير من إضافات الووردبريس التي تساعدك على إعدادا خيارات الأمان داخل موقعك، إلا أن سلوكيات وإجراءات الأمان التي تتخذها في موقعك هي الأهم سواءًا في توزيع الصلاحيات أو استخدام الملفات الضارة أو تأمين حسابك الشخصي وغير ذلك.

عبد الفتاح الطيب
مطور ويب ومتخصص في تطوير المواقع والمتاجر الإلكترونية باستخدام الووردبريس، وخبير في أرشفة المواقع لدى محركات البحث وتقنيات SEO