إن تأمين موقع ووردبريس ليس بالأمر الذي يتضمن خطوةً واحدةً فحسب، لأنه مهما كنت تثق بالإضافة الأمنية التي تستخدمها أو مهما قضيت وقتًا في تأمين موقعك، فإن الموقع الآمن اليوم لا يعني بالضرورة أنه آمن غدًا، ولإبقاء المخترقين بعيدًا عنك، يجب عليك إجراء فحص أمني منتظم لموقعك على ووردبريس وملء الثغرات التي تجدها.
تتطور إستراتيجيات الاختراق دائمًا؛ وبنفس الوقت، تتطور طرق ردع هذه الإستراتيجيات للحفاظ على موقعك آمنًا، لذا فكر فيها على أنها حلقة، فكلما كان الموقع آمنًا، حاول المخترق أن يكون أكثر إبداعًا في طرق اختراقه، وهذا يعني أنه عليك تأمين موقعك أكثر، وتستمر هذه الحلقة دون توقف.
يجب عليك إجراء فحص أمني لموقع ووردبريس مرةً كل ثلاث أشهر على الأقل، والأفضل مرةً كل شهر أو كل أسبوع (وفي بعض الأحيان يوميًا، إذ يعتمد ذلك على حساسية موقعك)، وبالطبع، يجب عليك إجراء هذا الفحص في أي وقت تشعر فيه بوجود خطب ما، إذ يُمثل أي مما يلي راية الخطر:
- أصبح موقعك بطيئًا فجأةً.
- يوجد انخفاض كبير في عدد زيارات الموقع دون سبب واضح.
- توجد حسابات جديدة والكثير من طلبات تغيير كلمة المرور.
- ظهور روابط جديدة لم تُضفها ضمن موقعك.
يجب عليك اتباع الخطوات التالية للحفاظ على موقعك بأفضل حالة، وبتنظيم ما يلي ضمن قائمة، يمكنك إجراء فحص أمني بكل سهولة.
نظرة شاملة على الفحص الأمني لموقع ووردبريس
سوف يتعرض أي موقع ووردبريس في مرحلة ما لمشكلة أمنية ما، والأكثر تكرارًا هو ظهور ثغرة ضمن قالب أو إضافة ما، مما يسمح للمخترقين باختراق موقعك، وعند حصول هذا يمكن أن يحدث أي مما يلي:
- سرقة البيانات الشخصية للعملاء.
- ظهور إعلانات ومحتوى غير شرعي ضمن موقعك.
- توجيه الزيارات لموقع آخر.
- تشفير أو حذف أو بيع بيانات ووردبريس.
وهذا أكثر بكثير من توقف الموقع لعدة ساعات، حيث يمكن أن تقع رهينةً لابتزاز المخترقين الذين يمتلكون بياناتك، والتي يمكن أن يبيعوها ضمن عالم الإنترنت المُظلم، ويُمكن أن يضع جوجل موقعك ضمن القائمة السوداء في حال عرضت إعلانات غير شرعية ضمن صفحات الموقع أو حاولت تضليل الزوار، وبالتالي يستطيع العملاء مقاضاتك في حال سرقة معلومات بطاقاتهم الائتمانية، كما يمكن أن تُصاب مواقع أخرى عند تمكن المخترق من اختراق موقعك.
تسمح لك المراجعة الأمنية لموقعك على ووردبريس بكشف الثغرات الموجودة، والتي تستطيع إصلاحها وغلقها قبل أن يجدها أحد المخترقين ويستغلها.
القيم التي تستخدمها الإضافة الأمنية
إن الإضافة الأمنية التي تستخدمها ضمن موقع ووردبريس هي الأداة الأكثر أهميةً في موقعك، لذا تأكد من أن هذه الإضافة ما زالت تعمل بالطرق التالية:
- سجل النشاط: يتتبع هذا السجل نشاط المستخدمين، بمن فيهم المسجلون ضمن الموقع، وحالات فشل تسجيل الدخول، وأي تغيير ضمن الموقع.
- الجدار الناري: يعمل هذا الجدار على حجب البوتات والمخترقين وعناوين IP التي تحاول الوصول لموقعك.
- محاولات تسجيل الدخول: تفرض الإضافات الأمنية استخدام كلمات مرور قوية، واستخدام الاستيثاق الثنائي وتحديد عدد محاولات تسجيل الدخول.
- حماية صفحة تسجيل الدخول: يحجب هذا هجمات القوى الغاشمة التي يحاول فيها المخترقون استخدام تشكيلات مختلفة من أسماء المستخدمين وكلمات المرور لتسجيل الدخول.
- فحص البرمجيات الخبيثة وإزالتها: يجب إجراء هذا الفحص يوميًا مع فحص لقاعدة البيانات والملفات والمجلدات بحثًا عن برمجيات خبيثة ومسحها إن وجدت.
- تنبيهات في الزمن الحقيقي: يجب أن تُعلمك الإضافة فوريًا عند وجود نشاط مشبوه ضمن موقعك.
اختبر نسخة موقعك الاحتياطية
تستطيع في حال وجود نسخة احتياطية عن موقعك استعادتها عند تعذر إصلاح الأخطاء التي يعاني منها الموقع، وذلك بشرط أن تكون النسخة الاحتياطية التي لديك سابقة لظهور المشكلة، لكن إن فشلت عملية النسخ الاحتياطي، فعندها لن تمتلك شيئًا لتستعيده، وهذا يعني أنك ستعلق مع النسخة التي لا تعمل من موقعك. يُفترض أن تستخدم طريقة نسخ احتياطية لموقعك (سواءً التي توفرها الاستضافة أو أي إضافة تستخدمها) تسمح لك باختبار النسخة الاحتياطية مثل BlogVault.
راجع إعدادات حساب المدير واتصال FTP
ربما يوجد عدة أشخاص في موقع ووردبريس يدخلون للعمل على مشاريع مختلفة، لكن هذا لا يعني أن كل واحد من هؤلاء يجب أن يملك كامل الصلاحيات ضمن الموقع، وعند الحديث عن اتصال FTP، فإنه يسمح لعدة أشخاص بالدخول إلى موقعك، وهذا يعني أنه بإمكانهم تعديل أي شيء ضمن موقعك.
عند إضافتك لمستخدم جديد فإنك تُسند له رتبةً جديدةً (يمكنك تعديل ملفه الشخصي وتغيير رتبته أيضًا).
تمتلك الرتب المختلفة صلاحيات مختلفة، فعلى سبيل المثال، يستطيع "المدير" الوصول إلى جميع أدوات المدير (مثل تغيير القالب أو تثبيت إضافة) بينما يمكن للمُساهم فقط كتابة وإدارة المحتوى الخاص به.
اتبع ما يلي عند إجراء فحص أمني لموقع ووردبريس:
- ابحث عن مستخدمي ووردبريس الذين يملكون صلاحيات المدير.
- قرر ما إذا كان جميع هؤلاء المستخدمين يحتاجون هذه الصلاحيات.
- خفّض الرتبة وإمكانية الوصول من خلال تحديث رتب المستخدمين لرتب أخفض.
- إن كنت لا تعلم شيئًا عن بعض المستخدمين، فيجب عليك حذفهم، لأنه ربما اُنشئت هذه الحسابات من قِبل المخترق.
- هل يوجد أي مستخدم يملك اسم المستخدم admin؟ هذا الاسم كثير الاستخدام ويحاول عادةً المخترقون استخدامه للوصول إلى موقعك، لذا في هذه الحالة، أنشئ حساب مستخدم جديد واحذف الحساب القديم.
- احذف حسابات FTP للمستخدمين الذين لا يحتاجون درجة عالية من الوصول إلى موقعك.
وأخيرًا، إن كان موقعك يسمح بتسجيل الأعضاء، فيجب عليك التأكد من إنشائهم لحساب يملك رتبةً لا تسمح بالوصول إلى لوحة التحكم عند التسجيل ضمن الموقع، وهنا يجب عليك التوجه إلى تبويب "عام" ضمن قائمة "إعدادات" واختيار الرتبة المناسبة ضمن "الرتبة الافتراضية للأعضاء الجدد".
تأكد من أن ووردبريس بأحدث إصدار
يمكنك تفعيل هذه الميزة تلقائيًا، ومع ذلك، يجب عليك التحقق من أنها تعمل دوريًا، فالتحديثات لا تعمل على إغلاق الثغرات الأمنية فقط، بل تعمل على تحسين أداء الموقع وتُضيف ميزات جديدةً للتحقق من وجود تحديث توجه إلى لوحة التحكم واضغط على "تحديثات".
تنظيف القوالب والإضافات التي تستخدمها
يمكن للإضافات توفير العديد من الإمكانيات لموقعك، لكنها أيضًا عرضة للهجوم، خصوصًا عندما تبقى دون أي تحديث لفترة طويلة جدًا، لذا فإن المطورين الموثوقين يتابعون إضافاتهم دوريًا مع إصدار تحديثات أمنية منتظمة، وبعد أي تحديث أمني لووردبريس، توجه إلى قائمة الإضافات ونفّذ ما يلي:
- عطّل واحذف أي إضافة لم تَعُد تستخدمها أو لا تعرف من أين أتت.
- حدّث الإضافات المتبقية التي تمتلك تحديثًا.
- إن كنت تستخدم إضافةً لم تتلقَّ أي تحديث من المطور، فيجب عليك البحث عن بديل لها يوفر نفس الوظائف، كون الإضافة غير المُحدثة عرضةً للكثير من المشكلات الأمنية.
حتى لو كنت تُجري فحصًا أمنيًا دوريًا، يُفضَّل أن تتحقق من أن إضافاتك التي تتلقى تحديثات منتظمةً من قِبل مطوريها، ويجب عليك إزالة القوالب غير المستخدمة والتي لن تحتاجها، إذ أن القوالب تُمثل خطرًا أمنيًا والأفضل الحفاظ على موقعك بوجود أقل عدد ممكن من القوالب.
الخلاصة
يجب ألا تتوقف عن تطوير أجزاء معينة من عملك، مثل العثور على منتجات أو خدمات جديدة والتسويق وبيعها وغير ذلك، وهذا لا يختلف عن أمن موقعك، إذ يمكن لمشكلة صغيرة أن تُسبب اختراق موقعك في حال لم تعالجها في الوقت الصحيح. ودون معرفة مواضع هذه المشكلات، لن تتمكن من إصلاحها أصلًا.
الحفاظ على موقعك آمنًا عملية مستمرة، وسيوفر عليك إجراء فحص أمني دوري لموقعك عناء إصلاح المشكلات التي سوف تظهر في حال لم تنفّذه، كما يمكنك ضبط الإضافة الأمنية لإجراء بعض الفحوصات دوريًا دون أي تدخل منك.
ترجمة -وبتصرّف- للمقال How to Conduct a WordPress Security Audit لصاحبه Lindsay Pietroluongo.
أفضل التعليقات
لا توجد أية تعليقات بعد
انضم إلى النقاش
يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.