يُنظر لأمن ووردبريس بجدية واهتمام كبيرين لكن كأي نظام آخر يُمكن أن تظهر مخاطر أمنية في حال أُغفلت بعض الاحتياطات الأمنية الأساسية. يتحدث هذا المقال عن المخاطر الشائعة الأساسية والخطوات التي تستطيع اتباعها لحماية تثبيت ووردبريس.
لا يُعد هذا المقال حلًا سريعًا شاملًا لمخاوفك الأمنية لذا إن كان لديك بعض الشكوك أو المخاوف المرتبطة بأمن موقع ووردبريس عليك مناقشتها مع أشخاص تثق بهم ويمتلكون خبرة ومعرفة كافية بأمن الحاسوب وووردبريس.
ما هو أمن المواقع؟
لا يُعنى بالأمن الأنظمة الآمنة تمامًا فمثل هذه الأنظمة غير موجودة في الواقع، لذا فإن الأمن يُعنى بتقليل الخطر وليس منع الخطر إضافةً إلى توظيف عناصر التحكم المتوفرة لديك والتي تسمح لك بتحسين حالة النظام وتخفيض احتمالات تعرضك للهجوم.
استضافة الموقع
المكان الأفضل للانطلاق منه غالبًا عند الحديث عن أمن موقع إلكتروني هو بيئة الاستضافة، واليوم يوجد العديد من الخيارات المتوفرة، وبالرغم من أن الاستضافات تقدم مستوى أمان لدرجة معينة إلا أنه من المهم لك أن تفهم أين تنتهي مسؤوليتهم لتبدأ مسؤوليتك أنت.
يجب أن تتضمن استضافة موقع موثوقة ما يلي:
- تناقش بوضوح مخاوفك الأمنية والميزات والإجراءات الأمنية التي توفرها.
- توفر أحدث النسخ المستقرة لجميع برمجيات الخادم.
- توفر طرق موثوقة للنسخ الاحتياطي واستعادة الموقع.
عليك أن تقرر السوية الأمنية التي تحتاجها ضمن خادمك من خلال اختيار البرمجية والبيانات التي تحتاج حمايتها حيث يُساعدك في هذا ما هو مشروح في التالي من هذا الدليل.
تطبيقات الموقع
من السهل إلقاء مسؤولية أمن الموقع على استضافة الموقع لكن هناك جزء كبير من أمن الموقع يعتمد على مالكه أيضًا حيث تتكفل عادةً استضافة الموقع بالبنية التي يعمل عليها موقعك لكنها غير مسؤولة عن التطبيقات التي تثبتها، ولفهم أين ولماذا هذا مهم عليك أن تفهم كيف تعرض المواقع للاختراق، فنادرًا ما يكون هذا بسبب بنية الاستضافة بل غالبًا مرتبط بالتطبيق نفسه (البيئة التي ثبتها على الخادم هي مسؤوليتك أنت).
المواضيع الأمنية
تذكر بعض الأفكار العامة وأبقها في ذهنك عند تأمين كل قسم من نظامك.
- تقييد الوصول: اعتماد خيارات ذكية تُقلل احتمالية توفر نقاط يستطيع المخترق استغلالها والدخول منها.
- الاحتواء: يجب أن يكون نظامك مصممًا لتقليل كمية الضرر عند وقوع مشكلة وتعرضه للاختراق.
- التحضيرات المسبقة والوعي: الاحتفاظ بنسخ احتياطية ومعرفة حالة تثبيت ووردبريس خلال فترات زمنية منتظمة أمر ضروي وبالتالي يجب أن تمتلك خطة واضحة لأخذ نسخة احتياطية عن الموقع واستعادتها في حال حصول أي مشكلة، فهذا يُساعدك على استعادة موقعك للعمل بسرعة مهما كانت المشكلة.
- مصادر موثوقة: لا تستخدم إضافات أو قوالب من مصادر غير موثوقة، واحرص على استخدام فقط مستودع ووردبريس أو شركات معروفة جيدًا حيث أن محاولة استخدام إضافات أو قوالب من مصادر خارجية يُمكن أن يقودك لمشاكل كثيرة.
الثغرات الأمنية في حاسوبك
تحقق أن حاسوبك الذي تستخدمه خال من برامج التجسس والبرامج الخبيثة والفيروسات حيث لن تفيدك أي إجراءات أمنية ضمن ووردبريس أو موقعك إن وجد برنامج تجسس لتسجيل كلمات مرورك Keylogger ضمن حاسوبك.
يجب عليك الحفاظ على نظام التشغيل والبرامج الموجودة عليه خصوصًا المتصفح بأحدث إصدار لحمايتك من الثغرات الأمنية، وإن كنت تتصفح مواقع غير موثوقة أنصحك بتعطيل جافا سكريبت وجافا وFlash ضمن متصفحك.
انظر في هذا الصدد كتاب دليل الأمان الرقمي.
الثغرات الأمنية في ووردبريس
يُحدث ووردبريس دوريًا لحل المشاكل الأمنية التي تظهر ضمنه حيث أن تحسين أمن البرنامج أمر ضروري في كل وقت، لذا عليك استخدام أحدث إصدار من ووردبريس دائمًا حيث أن الإصدارات الأقدم غير مدعومة بتحديثات أمنية.
تحديث ووردبريس
يتوفر أحدث إصدار من ووردبريس من موقع ووردبريس الرئيسي، ولا توجد الإصدارات الرسمية في مواقع أخرى، لذا عليك ألا تُنزل أو تُثبت ووردبريس من أي موقع أخرى غير ووردبريس.
يتضمن ووردبريس منذ الإصدار 3.7 ميزة التحديثات التلقائية، والتي تستطيع استخدامها لتسهيل الحفاظ على أحدث إصدار من ووردبريس، كما تستطيع استخدام لوحة تحكم ووردبريس لتبقى مُطلعًا على تحديثات ووردبريس. اقرأ الملاحظات ضمن لوحة التحكم أو مدونة مطور ووردبريس لمعرفة الخطوات التي عليها اتباعها للتحديث والحفاظ على أمن موقعك.
إن اكتشف أي ثغرة ضمن ووردبريس وأُطلق إصدار جديد لمعالجة هذه المشكلة فإن المعلومات المطلوبة لاستغلال هذه الثغرة غالبًا تكون انتشرت للعلن، مما يجعل الإصدارات الأقدم من ووردبريس أكثر عرضة للهجمات لذا من المهم جدًا الحفاظ على أحدث إصدار من ووردبريس.
إن كنت تدير مجموعة من مواقع ووردبريس عليك استخدام النسخة الفرعية لتسهيل عملية الإدارة.
الثغرات الأمنية في الخادم
يُمكن أن يتضمن الخادم الذي يُشغل ووردبريس والبرنامج الذي عليه ثغرات أمنية، لذا تأكد من أنك تستخدم خادم مؤمن وذو إصدار مستقر أو تحقق أنك تستخدم استضافة موثوقة تتكفل بهذه الأمور عنك.
إن كنت تستخدم استضافة مشتركة (هذه الاستضافة مستخدمة من قبل عدة مواقع وليس موقعك فقط) واخترق أحد المواقع عندها يُمكن أن يحصل المثل لموقعك حتى لو اتبعت جميع التعليمات في هذا الدليل، لذا تواصل مع مسؤول الاستضافة التي تستخدمها عن التدابير الأمنية التي يتبعونها.
الثغرات الأمنية في الشبكة
يجب أن تكون الشبكة من كلا الطرفين -طرف خادم ووردبريس وطرف العميل- موثوقة، وهذا يعني أنه عليك تحديث قواعد الجدار الناري لجهاز التوجيه Router ضمن منزلك وأن تكون حذرًا باستخدام الشبكات التي تعمل منها. إن شبكة مقهى الإنترنت حيث تُرسل كلمات المرور عبر اتصال غير مشفر لاسلكي أو سلكي لا يُعد شبكة موثوقة.
يجب أن تكون الاستضافة واثقة أن شبكتها آمنة وغير مخترقة وعليك فعل المثل أيضًا لأن الثغرات الأمنية في الشبكة يُمكن أن تسمح بتسريب كلمات المرور ومعلومات حساسة أخرى.
كلمات المرور
يُمكن تجنب العديد من الثغرات المُحتملة من خلال اتباع عادات أمنية جيدة، واستخدام كلمة مرور قوية هو أحدها، فالهدف من كلمة المرور أن تُصعب على الآخرين توقعها وتُصعب كسرها من خلال هجوم القوى الغاشمة. تتوفر العديد من مولدات كلمات المرور ضمن شبكة الإنترنت التي تستطيع استخدامها لإنشاء كلمات مرور آمنة.
يتضمن ووردبريس مقياس لقوة كلمة المرور يظهر عند تغيير كلمة المرور، تستطيع استخدامه عند تغيير كلمة المرور لضمان أن قوة هذه الكلمة مناسبة.
أمور عليك تجنبها عند اختيار كلمة المرور:
- أي جزء من اسمك الحقيقي أو اسم المستخدم أو اسم الشركة أو اسم موقعك.
- كلمة من القاموس في أي لغة.
- كلمة مرور قصيرة.
- أي كلمة مرور رقمية فقط أو كلمة مرور تعتمد فقط على الحروف (مزيج من الاثنين هو الخيار الأفضل).
إن كلمة المرور ضرورية ليس فقط لحماية محتوى مدونتك بل لأن المخترق الذي يتمكن من الوصول لحساب المدير يستطيع تثبيت برمجيات خبيثة يُمكن أن توقف خادمك كليًا.
يُفضل تفعيل الاستيثاق الثنائي إلى جانب استخدام كلمة مرور قوية كإجراء أمني إضافي.
FTP
يجب عليك عند الاتصال بخادمك استخدام اتصال SFTP المُشفر إن كانت الاستضافة توفره وإن كنت غير متأكد من أن الاستضافة توفر هذا النوع من الاتصال تستطيع التواصل معها والاستفسار.
لا يختلف استخدام SFTP عن استخدام FTP إلا من ناحية تشفير كلمة مرورك والمعلومات الأخرى عند نقلها بين حاسوبك وموقعك، أي أن كلمة مرورك لا تُرسل غير مشفرة ولا يمكن اعتراضها من قبل مهاجم.
صلاحيات الملف
يتمتع ووردبريس ببعض الميزات القوية بسبب سماحه لملفات متنوعة أن تكون قابلة للكتابة من قبل الخادم لكن السماح بالكتابة لملفات موقع يحتمل الخطورة خصوصًا في بيئة الاستضافات المشتركة. يُفضل أن تُقيّد صلاحيات الملفات قدر الإمكان وتوفر صلاحيات أعلى فقط عند الحاجة للكتابة أو إنشاء مجلدات معينة بصلاحيات أقل تقييدًا بغرض استخدامها لرفع الملفات مثلًا.
إليك احتمال ممكن لصلاحيات الملفات، يجب أن تكون جميع الملفات مملوكة من قبل مستخدم الحساب ويجب أن تكون قابلة للكتابة من قبلك، وأي ملف يحتاج صلاحية الكتابة من ووردبريس يجب أن يكون قابل للكتابة من قبل الخادم، وإن كانت استضافتك تتطلب هذا فهذا يعني أن هذه الملفات يجب أن تتبع للمجموعة التابع لها المستخدم الذي تستخدمه عمليات الخادم.
-
المجلد الرئيسي لووردبريس /: يجب أن تكون جميع الملفات قابلة للكتابة من قبل حساب المستخدم الخاص بك ما عدا ملف .htaccess إن كنت تريد أن يولد ووردبريس تلقائيًا قواعد إعادة الكتابة لك.
-
منطقة إدارة ووردبريس /wp-admin/: يجب أن تكون جميع الملفات قابلة للكتابة من قبل حساب المستخدم الخاص بك.
-
المحتوى الخاص بالمستخدم /wp-content/: يجب أن يكون قابل للكتابة من قبل حساب المستخدم الخاص بك وعمليات الخادم. وسوف تجد ضمن مجلد wp-content:
-
ملفات القوالب /wp-content/themes/: يجب أن تكون جميع الملفات قابلة للكتابة من قبل عمليات الخادم إن كنت تريد استخدام المحرر الخاص بالقالب لكن إن كنت لا تريد استخدامه يُمكن أن تكون جميع الملفات قابلة للكتابة من قبل حساب المستخدم الخاص بك فقط.
-
ملفات الإضافات /wp-content/plugins/: يجب أن تكون جميع الملفات قابلة للكتابة من قبل حساب المستخدم.
يجب أن توثق المجلدات التي يُمكن أن تتواجد ضمن /wp-content/ ومطلوبة من قبل أي إضافة أو قالب حيث يمكن أن تتغير الصلاحيات.
تغيير صلاحيات الملف
إن كنت تملك وصول للصدفة shell لخادمك تستطيع تغيير صلاحيات الملف تباعًا باستخدام الأمر التالي:
- للمجلدات:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
- للملفات:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
التحديثات التلقائية
عندما تطلب من ووردبريس إجراء تحديث تلقائي تُنفذ جميع العمليات من خلال المستخدم الذي يملك الملفات وليس مستخدم الخادم. تُضبط جميع صلاحيات الملفات إلى 0644 وجميع المجلدات إلى 0755 قابلة للكتابة من قبل أي مستخدم وقابلة للقراءة من أي شخص بما في ذلك الخادم.
أمن قاعدة البيانات
إن كنت تُشغل عدة مدونات على نفس الخادم يُفضل أن تُبقي كل مدونة ضمن قاعدة بيانات منفصلة تُدار كل منها من قبل مستخدم مختلف، وهذا يُنفذ عند تثبيت ووردبريس. هذه استراتيجية احتواء ففي حال نجح مهاجم في اختراق تثبيت ووردبريس واحد، تُصعب هذه الخطوة عليه الوصول لمدوناتك الأخرى.
إن كنت تُدير MySQL بنفسك عليك أن تفهم جيدًا آلية ضبط MySQL وتعطيل الميزات التي لا تحتاجها (مثل قبول اتصالات بعيدة TCP). ألق نظرة على تأمين قاعدة بيانات MySQL.
تقييد صلاحيات مستخدم قاعدة البيانات
يحتاج مستخدم قاعدة بيانات MySQL صلاحيات قراءة وكتابة البيانات لقاعدة البيانات SELECT و INSERT و UPDATE و DELETE لإجراء عمليات ووردبريس العادية مثل نشر مقالات المدونة أو رفع ملفات الوسائط أو نشر التعليقات أو وإنشاء مستخدمي ووردبريس جُدد أو تثبيت إضافات ووردبريس، لذا يُمكنك تعطيل أي صلاحيات أخرى ضمن قاعدة البيانات مثل DROP و ALTER و GRANT، وبهذا فأنت تُحسن من سياسات الاحتواء.
ملاحظة: تتطلب بعض إضافات وقوالب وتحديثات ووردبريس الرئيسية إجراء تعديلات بنيوية مثل إضافة جداول جديدة أو تغيير في المخطط، وفي مثل هذه الحالات عليك السماح مؤقتًا لمستخدم قاعدة البيانات استخدام الصلاحيات المطلوبة قبل تثبيت الإضافة أو التحديث.
تحذير: إن محاولة التحديث دون امتلاك هذه الصلاحيات يُمكن أن يُسبب بعض المشاكل عند تغيير بنية قاعدة البيانات، لذا لا يُصنح بتعطيل هذه الصلاحيات لكن إن كنت تشعر بالحاجة لفعل ذلك لضرورات أمنية عندها من فضلك تأكد من امتلاكك نسخة احتياطية تتضمن كامل قاعدة البيانات مجربة على أنها نسخة احتياطية سليمة يُمكن استخدامها لاستعادة الموقع بسهولة. يُمكن حل مشكلة تحديث فاشل لقاعدة البيانات من خلال استعادة قاعدة البيانات إلى النسخة القديمة ثم منح الصلاحيات اللازمة لمستخدم قاعدة البيانات ومحاولة التحديث مرة أخرى. استعادة قاعدة البيانات سوف يعيدها لنسختها القديمة وهنا سوف يكتشف ووردبريس هذه النسخة ويسمح لك بتشغيل أوامر SQL اللازمة عليها. لا تغير معظم تحديثات ووردبريس بنية قاعدة البيانات لكن هذا محتمل أحيانًا.
تأمين المجلد wp-admin
إن إضافة كلمة مرور من جهة الخادم للمجلد /wp-admin/ يُضيف طبقة ثانية من الحماية لمنطقة المدير في مدونتك وصفحة تسجيل الدخول وملفاتك، وهذا يُجبر المهاجم أو الروبوت على مهاجمة الطبقة الثانية هذه بدلًا من ملفات المدير نفسها. تُدار العديد من هجمات ووردبريس تلقائيًا من قبل روبوتات برمجيات خبيثة.
يُحتمل أن يؤدي تأمين المجلد /wp-admin/ إلى تعطيل بعض وظائف ووردبريس مثل معالج AJAX في wp-admin/admin-ajax.php.
تُصنف معظم هجمات ووردبريس الشائعة إلى صنفين هما:
- إرسال طلبات HTTP مشغولة يدويًا لخادمك مع محتوى مُخصص لاستغلال ثغرة مُعينة، وهذا يشمل الإضافات والبرمجيات القديمة غير المُحدثة.
- محاولة امتلاك وصول للمدونة من خلال تخمين كلمة المرور باستخدام هجوم القوى الغاشمة.
إن الاستخدام الأفضل لطبقة الحماية الثانية باستخدام كلمة المرور هو فرض طلبات HTTPS مُشفرة لصفحات الإدارة لتكون جميع الاتصالات والبيانات الحساسة مُشفرة.
تأمين المجلد wp-includes
يُمكن إضافة طبقة ثانية من الحماية حيث لا يجب لأي مستخدم الوصول إلى الشيفرات، وأحد الطرق لفعل ذلك هي من خلال حجب الشيفرات التي تستخدم mod_rewrite
ضمن ملف .htaccess .
ملاحظة: كي تضمن ألا يكتب ووردبريس فوق الشيفرة التالية عليك وضعها خارج وسمي # BEGIN WordPress
و # END WordPress
ضمن ملف .htaccess إذ يستطيع ووردبريس الكتابة على أي شيء بين هذين الوسمين.
# Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> # BEGIN WordPress
لاحظ أن هذا لن يعمل جيدًا على تثبيت ووردبريس متعدد المواقع لأن القاعدة التالية:
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
سوف يمنع ملف ms-file.php من توليد الصور. حذف هذا السطر سوف يسمح للشيفرة بالعمل لكن يوفر سوية حماية أقل.
تأمين الملف wp-config.php
تستطيع نقل ملف wp-config.php
إلى مجلد أعلى من مجلد تثبيت ووردبريس، وهذا يعني أنه عليك نقل ملف wp-config.php
خارج المجلد الجذر في حال كان موقعك مثبتًا في المجلد الرئيسي.
ملاحظة: يؤكد البعض أن نقل ملف wp-config.php يملك منافع أمنية بسيطة، وإن لم تُنفذ العملية بحذر يُمكن أن تسبب ثغرات أمنية خطيرة. البعض الآخر يخالف هذا الرأي.
لاحظ أنه يُمكن تخزين ملف wp-config.php
بمجلد أعلى من مجلد تثبيت ووردبريس بمستوى واحد فقط كما يجب عليك التحقق أنك أنت والخادم فقط من يستطيعون قراءة هذا الملف (هذا يعني عادةً استخدام صلاحيات 400 أو 440).
إن استخدمت خادمًا مع ملف .htaccess تستطيع إضافة التالي لهذا الملف (في أعلى الملف) لمنع وصول أي شخص يبحث عنه.
<files wp-config.php> order allow,deny deny from all </files>
تعطيل تحرير الملفات
تسمح لك لوحة تحكم ووردبريس افتراضيًا للمدير بتعديل ملفات PHP مثل ملفات الإضافات والقوالب، وهذه عادةً الأداة الأولى التي يستخدمها المهاجم إن تمكن من الدخول بما أنها تسمح له بتنفيذ شيفرة برمجية. يمتلك ووردبريس ثابتًا لتعطيل تحرير الملفات من لوحة التحكم، وبالتالي إضافة هذا السطر ضمن ملف wp-config.php مكافئ لإزالة صلاحيات editthemes وeditplugins وedit_files من جميع المستخدمين.
define('DISALLOW_FILE_EDIT', true);
لن يمنع هذا السطر المهاجم من رفع ملفات خبيثة لموقعك لكنه يُحبط بعض الهجمات.
الإضافات
أولًأ عليك التحقق من أن إضافات جميعها بأحدث إصدار وإن كنت لا تستخدم إضافة ما عليك حذفها من نظامك.
الجدار الناري
يوجد العديد من الإضافات والخدمات التي تعمل كجدار ناري لموقعك الإلكتروني حيث يعمل بعضها من خلال تعديل ملف .htaccess مع تقييد الوصول على مستوى خادم Apache قبل أن يُعالج من قبل ووردبريس. تُعد إضافة iThemes Security أو All in One WP Security أمثلة جيدة، وهناك إضافات جدار ناري تعمل على مستوى ووردبريس مثل WordFence و Shield وتحاول ترشيح الهجمات عند تحميل ووردبريس لكن قبل أن يُعالج بشكل كامل.
تستطيع أيضًا تثبيت WAF جدار ناري للخادم لترشيح المحتوى قبل معالجته من ووردبريس، والجدار الناري الأكثر استخدامًا هو ModSecurity.
يُمكن إضافة الجدار الناري لموقع كحاجز يتوسط بين الزوار من شبكة الإنترنت والخادم حيث تعمل هذه الخدمات كخادم وكيل عكسي reverse proxies يقبل الطلبات الأولية ويُعيد توجيهها إلى خادمك بعد تجريدها من الطلبات الخبيثة. يستطيع الجدار الناري تحقيق ذلك من خلال تعديل سجلات DNS باستخدام سجل A أو تبديل كامل لخادم DNS مما يسمح للزيارات بالمرور عبر الجدار الناري قبل وصولها لموقعك. توفر بضع شركات هذه الخدمة مثل CloudFlare و Sucuri و Incapsula.
كما أن خدمات الطرف الثالث هذه تعمل كشبكة إيصال محتوى لتوفر تحسين بالأداء لموقعك وسهولة بالوصول له عالميًا.
إضافات تحتاج صلاحية الكتابة
إن كانت إحدى الإضافات تحتاج صلاحية الكتابة على ملفات ووردبريس ومجلداته عليك قراءة الشيفرة البرمجية لتضمن أنها شرعية أو تحقق من شخص تثق به. تستطيع التحقق من بعض الأماكن مثل نماذج الدعم وقناة IRC إن كنت قادرًا على التواصل باللغة الأجنبية أو اطلب المساعدة في قسم الأسئلة والأجوبة في أكاديمية حسوب.
إضافات تنفيذ الشيفرة البرمجية
كما قلت سابقًا فإن جزء من تأمين ووردبريس هو احتواء الخطر الحاصل في حال نجاح المهاجم باختراق الموقع، ولذلك فإن الإضافات التي تسمح بتنفيذ شيفرة PHP أو وأي شيفرة أخرى من إدخالات قاعدة البيانات ترفع نسبة الخطر في حال نجاح المهاجم في اختراق الموقع.
تستطيع تجنب استخدام هذه الإضافات باستخدام قوالب الصفحة المخصصة التي تستدعي الدالة، وهذه الخطوة في الحماية تكون فعّالة فقط عند تعطيل تعديل الملف من ووردبري](اقرأ قسم صلاحيات الملف في بداية المقال).
الأمن من خلال الغموض
إن التأمين باستخدام الغموض Security through obscurity هي تقنية غير شائعة لكن يوجد عدة أماكن في ووردبريس يُمكن للمعلومات السرية المساعدة في رفع السوية الأمنية:
- أعد تسمية حساب المدير: تجنب استخدام أسماء سهلة التوقع عند إنشاء حساب المدير مثل admin أو webmaster كأسماء مستخدمين كون حساب المدير يتعرض للهجوم أولًا. تستطيع إعادة تسمية حساب موجود ضمن تثبيت ووردبريس باستخدام لوحة الأوامر في MySQL باستخدام واجهة أمامية للتعامل مع قاعدة البيانات مثل phpMyAdmin أو باستخدام أمر مثل:
wp_users SET user_login = 'newuser' WHERE user_login = 'admin';
-
غير بادئة جداول قاعدة البيانات: تفترض العديد من هجمات حقن قاعدة البيانات SQL في ووردبريس أن بادئة الجدول هي
wp_
كونها المستخدمة افتراضيًا عند تثبيت ووردبريس، لذا فإن تغييرها يُمكن أن يحجب على الأقل بعض هجمات حقن SQL.
النسخ الاحتياطي للبيانات
أنشئ نسخًا احتياطية من بياناتك بانتظام مُضمنًا قواعد بيانات MySQL، تستطيع الاطلاع على مقال إنشاء نسخة احتياطية لقاعدة بياناتك.
إن الوثوق من عدم وجود تلاعب في النسخ الاحتياطية أمر مهم جدًا، لذا فإن تشفير النسخة الاحتياطية والاحتفاظ بسجل قيمة مُعمّاة MD5 لكل ملف نسخ احتياطي، كما أن وضع النسخ الاحتياطية على وضع القراءة فقط يزيد ثقتك أن بياناتك مصونة ولم يعبث أحد فيها.
تعتمد الاستراتيجية الجيدة للنسخ الاحتياطي على إنشاء نُسخ احتياطية بفترات زمنية منتظمة حيث تتضمن هذه النسخ ملفات تثبيت ووردبريس وقاعدة البيانات وتُحفظ في مكان آمن. تخيل إنشاء نسخة احتياطية كل أسبوع لموقعك وتعرض للاختراق في الأول من الشهر الحالي لكنك لم تكتشف الاختراق إلا عند منتصف الشهر، هذا يعني أنك تملك نسخًا احتياطية غير آمنة يمكنك استخدامها لمعرفة كيف تعرض موقعك للاختراق.
السجل
السجلات هي الصديق الأفضل لك والتي تُساعدك على فهم ما يحصل ضمن موقع خصوصًا إن كنت تحاول تقصي ما حصل بعد عملية اختراق، وعلى عكس المعتقد السائد فإن السجلات تسمح لك معرفة ما حصل ومن قبل من ومتى.
تسمح لك السجلات بمعرفة عنوان IP والزمن والخطوات التي اتخذها المهاجم، وسوف تتمكن من رؤية أي من هذه الهجمات من خلال سجلات هجمات البرمجة عبر المواقع XSS وتضمين الملف عن بعد RFI وتضمين الملف المحلي LFI ومحاولات تجاز المجلدات. سوف تتمكن أيضًا من رؤية محاولات تنفيذ هجوم القوى الغاشمة.
إن تمكنت من فهم السجلات سوف تتمكن من رؤية أمور مثل متى تُستخدم محررات الإضافة والقالب ومتى يُحدث شخص ما الودجات ومتى تُضاف المقالات والصفحات. أي سوف تتمكن من الاطلاع على جميع العناصر الأساسية لتنفيذ أي تحقيق جنائي على خادمك. يوجد بضع إضافات أمنية لووردبريس يُمكن أن تُساعدك على هذا مثل Sucuri Auditing tool أو إضافة Audit Trail.
يوجد خيارين للحلول مفتوحة المصدر التي سوف ترغب في وجودها ضمن خادمك من وجهة نظر أمنية. يُمكنك أن يعمل OSSEC (نظام اكتشاف الدخيل مجاني مفتوح المصدر) على أي توزيعة NIX (مصطلح يُشير إلى توزيعات لينكس وUnix) كما يعمل على نظام ويندوز، وهو قوي جدًا عند ضبطه بالطريقة الصحيحة. الفكرة هي ربط وتجميع السجلات لذا عليك ضبطه لتسجيل جميع سجلات الدخول وسجلات الأخطاء وإن كنت تملك عدة مواقع على الخادم. يجب أن تُرشح المعلومات الغير مفيدة، حيث يظهر لك افتراضيًا الكثير من البيانات الغير مفيدة لذا يجب ضبطه بدقة.
المراقبة
أحيانًا لا تكون التدابير التي اتخذتها كافية وتتعرض للاختراق لذا فإن عمليتي المراقبة والكشف مهمتان جدًا حيث تسمح لك هذه العمليات الاستجابة بشكل أسرع لمعرفة ما حصل واستعادة موقعك.
مراقبة السجلات
إن كنت تستعمل خادمًا خاصًا أو خادمًا افتراضيًا وتمتلك رفاهية الدخول كمدير له عندها لديك القدرة على ضبط الأمور بسهولة لتتمكن من معرفة ما يحصل. يُسهل عليك OSSEC.
مراقبة أي تغيرات في ملفاتك
عند وقوع أي هجوم يوجد دائمًا آثار له سواء كانت ضمن السجلات أو ضمن ملفات النظام (ملفات جديدة أو ملفات مُعدلة أو غيرها). إن كنت تستخدم OSSEC على سبيل المثال فإنه سوف يراقب ملفاتك ويُنبهك عند حصول أي تغيير.
الأهداف
إن أهداف استخدام نظام تتبع ملفات النظام:
- مراقبة الملفات المُضافة أو المعدلة
- تسجيل التغييرات والإضافات
- إمكانية عكس التغييرات الصغيرة
- تحذيرات مؤتمتة
المقاربات العامة
يستطيع المدير مراقبة ملفات النظام من خلال تقنيات عامة مثل:
- أدوات النظام
- التحكم بالإصدار
- مراقبة على مستوى النظام أو النواة
أدوات خاصة
تتضمن خيارات مراقبة ملفات النظام ما يلي:
- diff - ابن نسخة نظيفة من موقعك وقارنها مع النسخة العاملة حاليًا
- Git - إدارة الشيفرة المصدرية
- inotify و incorn - خدمة مراقبة الملفات على مستوى نواة النظام يمكن استخدام أوامر على أحداث ملفات النظام.
- Watcher - مكتبة بايثون من أجل inotify.
- OSSEC - نظام اكتشاف الدخلاء مفتوح المصدر يُنفذ عمليات تحليل للسجل وتحقق من تكاملية الملفات وسياسة مراقبة واكتشاف rootkit وتنبيهات بالزمن الحقيقي واستجابة فورية.
الاعتبارات
يوجد العديد من الاعتبارات التي يجب الأخذ بها عند ضبط استراتيجية مراقبة للملفات تتضمن ما يلي:
- تشغيل خدمة أو النص البرمجي للمراقبة كمدير root فهذا يُصعب هذا على المهاجمين تعطيل أو تعديل حلول مراقبة ملفات النظام.
- تعطيل المراقبة خلال عمليات التحديث أو الصيانة المجدولة لمنع التنبيهات غير الضرورية عند إجراء صيانة منتظمة للموقع.
- مراقبة الملفات التنفيذية فقط فمن الآمن مراقبة الملفات التنفيذية فقط مثل ملفات .php أو غيرها حيث أن ترشيح الملفات الغير تنفيذية يقلل من المدخلات والتنبيهات غير الضرورية ضمن السجلات.
- استخدام صلاحيات حازمة لملفات النظام لذا عليك القراءة عن تأمين صلاحيات وملكية الملفات، وعمومًا تجنب إعطاء صلاحيات التنفيذ أو الكتابة قدر الإمكان.
مراقبة خادم الويب خارجيًا
إن حاول المهاجم تخريب موقعك أو إضافة برمجيات خبيثة تستطيع اكتشاف هذه التغييرات من خلال استخدام حلول مراقبة لسلامة البيانات على الويب، ولهذه الحلول العديد من الأشكال اليوم حيث تستطيع استخدام محرك البحث المُفضل لديك والبحث عن خدمات كشف معالجة البرمجيات الخبيثة، وغالبًا سوف تجد قائمة طويلة بمزودي هذه الخدمات.
اقتباستستطيع الاطلاع على المصادر التي اعتمد عليها المقال الأجنبي بالرجوع للمقال نفسه.
ترجمة -وبتصرف- للمقال Hardening WordPress من موقع ووردبريس.
أفضل التعليقات
لا توجد أية تعليقات بعد
انضم إلى النقاش
يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.