المحتوى عن 'ثغرات'.



مزيد من الخيارات

  • ابحث بالكلمات المفتاحية

    أضف وسومًا وافصل بينها بفواصل ","
  • ابحث باسم الكاتب

نوع المُحتوى


التصنيفات

  • التخطيط وسير العمل
  • التمويل
  • فريق العمل
  • دراسة حالات
  • نصائح وإرشادات
  • التعامل مع العملاء
  • التعهيد الخارجي
  • التجارة الإلكترونية
  • الإدارة والقيادة
  • مقالات ريادة أعمال عامة

التصنيفات

  • PHP
    • Laravel
    • ووردبريس
  • جافاسكريبت
    • Node.js
    • jQuery
    • AngularJS
    • Cordova
  • HTML
    • HTML5
  • CSS
  • SQL
  • سي شارب #C
    • منصة Xamarin
  • بايثون
    • Flask
    • Django
  • لغة روبي
    • Sass
    • إطار عمل Bootstrap
    • إطار العمل Ruby on Rails
  • لغة Go
  • لغة جافا
  • لغة Kotlin
  • برمجة أندرويد
  • لغة Swift
  • لغة R
  • لغة TypeScript
  • سير العمل
    • Git
  • صناعة الألعاب
    • Unity3D
  • مقالات برمجة عامة

التصنيفات

  • تجربة المستخدم
  • الرسوميات
    • إنكسكيب
    • أدوبي إليستريتور
    • كوريل درو
  • التصميم الجرافيكي
    • أدوبي فوتوشوب
    • أدوبي إن ديزاين
    • جيمب
  • التصميم ثلاثي الأبعاد
    • 3Ds Max
    • Blender
  • نصائح وإرشادات
  • مقالات تصميم عامة

التصنيفات

  • خواديم
    • الويب HTTP
    • قواعد البيانات
    • البريد الإلكتروني
    • DNS
    • Samba
  • الحوسبة السّحابية
    • Docker
  • إدارة الإعدادات والنّشر
    • Chef
    • Puppet
    • Ansible
  • لينكس
  • FreeBSD
  • حماية
    • الجدران النارية
    • VPN
    • SSH
  • مقالات DevOps عامة

التصنيفات

  • التسويق بالأداء
    • أدوات تحليل الزوار
  • تهيئة محركات البحث SEO
  • الشبكات الاجتماعية
  • التسويق بالبريد الالكتروني
  • التسويق الضمني
  • التسويق بالرسائل النصية القصيرة
  • استسراع النمو
  • المبيعات
  • تجارب ونصائح

التصنيفات

  • إدارة مالية
  • الإنتاجية
  • تجارب
  • مشاريع جانبية
  • التعامل مع العملاء
  • الحفاظ على الصحة
  • التسويق الذاتي
  • مقالات عمل حر عامة

التصنيفات

  • الإنتاجية وسير العمل
    • مايكروسوفت أوفيس
    • ليبر أوفيس
    • جوجل درايف
    • شيربوينت
    • Evernote
    • Trello
  • تطبيقات الويب
    • ووردبريس
    • ماجنتو
  • أندرويد
  • iOS
  • macOS
  • ويندوز

التصنيفات

  • شهادات سيسكو
    • CCNA
  • شهادات مايكروسوفت
  • شهادات Amazon Web Services
  • شهادات ريدهات
    • RHCSA
  • شهادات CompTIA
  • مقالات عامة

أسئلة وأجوبة

  • الأقسام
    • أسئلة ريادة الأعمال
    • أسئلة العمل الحر
    • أسئلة التسويق والمبيعات
    • أسئلة البرمجة
    • أسئلة التصميم
    • أسئلة DevOps
    • أسئلة البرامج والتطبيقات
    • أسئلة الشهادات المتخصصة

التصنيفات

  • ريادة الأعمال
  • العمل الحر
  • التسويق والمبيعات
  • البرمجة
  • التصميم
  • DevOps

تمّ العثور على 2 نتائج

  1. إن مسألة ما إذا كان ووردبريس آمنًا أم لا هي مسألة معقَّدة. فبينما هو منصَّة آمنة إلى حد كبير لما يقرب من ربع مواقع الإنترنت حول العالم التي تعمل بواسطة ووردبريس، إلا أنه ليس خاليًا من العيوب. إذن، من المسؤول عن الحفاظ على أمان ووردبريس؟ بالطبع تقع بعض المسؤوليَّة على عاتقك أنت. لذلك، من الضروريّ أن تكون على علمٍ بأفضل الممارسات الأمنيَّّة لووردبريس وتلتزم بها حتى تتمكَّن من جعل المواقع التي تصمِّمها على أعلى مستوى ممكن من الأمان. ومع ذلك، فإن فريق ووردبريس يتحمل جزءًا من المسؤوليَّة حيال ذلك أيضًا. فلن يستطيع المستخدم أن يحمي نواة ووردبريس الأساسيَّة بنفسه. إذا كانت مسألة أمان ووردبريس تقلقك بالقدر الذي تقلق به كل من يحاول أن يدير أعماله على الإنترنت، أكمل قراءة المقال. سنتحدَّث عن جانبٍ من تاريخ عيوب ووردبريس الأمنيَّّة، وما الذي يفعله مشروع ووردبريس حيالها. التاريخ المختصر لعيوب ووردبريس الأمنيَّّة هل تعلم أن مواقع ووردبريس، الكبيرة والصغيرة، تتعرض للاختراق أكثر من 90978 مرة في الدقيقة؟ المشكلة ليست بالضرورة أن ووردبريس نظام إدارة محتوى ضعيف، ومعرض لمحاولات الاختراق والخروقات الأمنيَّّة بل هي على الأرجح مشكلة انتشار. فووردبريس هو أشهر نظام إدارة محتوى في العالم، لذلك، فهو هدفٌ سهلٌ للقراصنة. مناقشة القضايا المتعلِّقة بووردبريس أمر شائع، على المدوَّنات، والمنتديات، والمدونات الصوتيَّة ...إلخ، ونتيجة لذلك، تكون نقاط ضعف المنصَّة معروفة للجميع. فمن الطبيعيّ أن يحاول القراصنة استهداف مواقع ووردبريس في المقام الأول، أليس كذلك؟ إن الأمان هو موضوع رئيس في أي مدوَّنة ووردبريس أو مدوَّنة تطوير مواقع إنترنت، بما فيها WPMU DEV . هذا لا يعني أننا مخطئون في نشر عيوب ووردبريس الأمنيَّّة. في مجتمعنا، تعتبر تلك الموضوعات معلومات عامَّة على أيَّة حال. ومع ذلك، كل تلك المعلومات المنشورة تجعل نقاط ضعف ووردبريس واضحةً للغاية. وفقًا لما ذَكَره مشروع ووردبريس (الفريق المسؤول عن إدارة الأمان للمنصَّة)، فإنهم يصدرون ترقيعات أمنيَّة طوال الوقت. هل تعرف إشعارات التحديث التلقائيَّة التي تتلقاها حين تسجل دخولك إلى منطقة الإدارة؟ "تم تحديث ووردبريس إلى النسخة 4.7.2” أو شيء من هذا القبيل؟ حسنًا، عادةً حين تصدر تلك التحديثات الصغرى، فإن ذلك يكون بسبب أن الفريق اضطرَّ إلى إصلاح عيب أمنيّ. وكثيرًا ما يحدث ذلك. فقد أعزيت تسريبات وثائق بنما عام 2016 جزئيًّا إلى نقطة ضعفٍ في إضافة ووردبريس الخاصَّة بشريط التمرير. هذا الملخَّص من WPMU DEV يغطِّي عددًا من ثغرات ووردبريس الأمنيَّّة. لعلها ليست بخطورة تلك المسؤولة عن تسريبات وثائق بنما، لكن من المقلق أن تعرف أنَّه برغم جهود مشروع ووردبريس الحثيثة، بالإضافة إلى جهود المطوِّرين في إدارة إضفاتهم وقوالبهم، لايزال القراصنة يستطيعون اختراقها. ومع ذلك، من المطمئن أن نرى كيف تعامل ووردبريس مع اختراقٍ أمنيٍّ واسع النطاق حدث مؤخَّرًا ناتج عن واجهة التطبيق البرمجية REST إليك كيف سار الأمر: في يناير عام 2017، أصدر ووردبريس التحديث 4.7.2. لم يُذكر الترقيع الأمنيّ في أي من قوائم التحديثات أو الترقيعات الأمنيَّّة. بعد أسبوع، أعلن ووردبريس للمستخدمين أن ثغرةً أمنيَّةً قد اكتُشفت، وتم ترقيعها في هذا التحديث. بما علَّلوا تأخُّرهم في إخطار المستخدمين؟ علَّلوا ذلك برغبتهم في الاستفادة من الوقت المتاح لتحديث النواة قبل أن يعلم القراصنة أن هناك ثغرة وأن ووردبريس كان يعالجها. بالطبع، لم يمنع ذلك القراصنة من تخريب 1.5 مليون موقع ووردبريس في تلك الفترة. كما أن هناك أيضًا المستخدمين الذين لم يقوموا بتحديث نظام إدارة المحتوى (أو فعلوا ذلك بعد فوات الأوان) والذين ظلُّوا عرضةً للهجوم. فبرغم أن فريق ووردبريس أصدر ترقيعًا للثغرة، وأعلنوا عنه باللباقة المطلوبة، فقد تضرَّر أكثر من مليون موقع في تلك الأثناء. والأسوأ من ذلك، ظلَّ العديد من أصحاب المواقع يجهلون ما حدث من تخريب. يبدو أن الترقيعات الأمنيَّّة أصبحت تصدر بصورة متكرِّرة أكثر من ذي قبل، وكان عام 2015 الأشدَّ وطأة من حيث تكرار الهجمات. مع تزايد الهجمات، من المهمِّ أن تعلم من المسؤول عن تأمين ووردبريس وما الذي تستطيع فعله من جانبك للتأكُّد من تجنُّب هذه المخاطر. (صورة) ما الذي عليك أن تعرفه عن مشروع ووردبريس (والأمن) إليك ما عليك أن تعرفه عن مشروع ووردبريس وما يفعلونه للحفاظ على أمن النواة. فريق أمان ووردبريس أولاً، لنتحدث عن مشروع ووردبريس. يتكون هذا الفريق الأمنيّ من نحو 25 شخصًا، كلهم خبراء في تطوير ووردبريس أو أمن ووردبريس. في الوقت الحالي، يعمل نصف فريق مشروع ووردبريس لدى شركة Automattic. هذا الفريق من الخبراء مسؤول عن تحديد المخاطر الأمنيَّّة في النواة. وهم أيضًا مسؤولون عن مراجعة العيوب المحتملة الخاصة بالقوالب أو الإضافات المقدمة من قبل طرف ثالث وتقديم توصيات عن كيفيَّة تقوية أدواتهم أو ترقيع الثغرات المعروفة. بينما يعمل الفريق بصورة مستقلة لتحديد وحلِّ تلك المشكلات، يتشاور أعضاء الفريق أحيانًا مع خبراء آخرين في المجال، خاصة الخبراء من شركات الأمن السيبراني وشركات الاستضافة. كيف يحدد ووردبريس المخاطر الأمنيَّّة كما هو متوقع، يعمل فريق مشروع ووردبريس بدقَّةٍ وانتظام. إليك كيفيَّة تحديد المخاطر والتخلُّص منها: تُحدَّد المشكلة من قبل أحد أعضاء الفريق الأمنيّ أو من خارج الفريق. يستطيع الأشخاص من خارج الفريق إخبار أعضاء الفريق عن أي مشكلات تُكتَشف عن طريق إرسال رسالة بريد إلكترونيّ ل security@wordpress.org. يسجَّلُ البلاغ ويؤكِّد الفريق استلامه. * يعمل أعضاء الفريق معًا على خادمٍ معزولٍ خاصٍ للتأكُّد من حقيقة التهديد الأمنيّ. يقومون بمتابعة واختبار وإصلاح الثغرة الأمنيَّّة على هذا الخادم. يضاف الترقيع الأمنيَّّ إلى تحديث إصدار ووردبريس الأصغر التالي. بالنسبة للإصلاحات الأقل أهمية، يقوم ووردبريس ببساطة بإخطار المستخدمين عبر لوحة تحكم ووردبريس كلما تم تحديث الإصدار. بالنسبة للمشكلات المُلحّة، يطلق الإصدار الجديد على الفور، وتعلن عنه WordPress.org عبر صفحة أخبار الموقع. بالطبع، كما رأينا مع 4.7.2، لا يعلن ووردبريس عن تلك الثغرات الأمنيَّّة على الفور (لأسباب معتبرة)، لكنهم يتخذون خطوات فوريَّة لحلِّها. ملاحظة عن التحديثات التلقائيَّة منذ الإصدار 3.7، تمكن ووردبريس من دفع التحديثات الصغرى إلى جميع المواقع تلقائيًا. يضمن هذا أن يتمكن فريق ووردبريس الأمنيّ من إصدار الترقيعات الضروريَّة في وقتها، ولا يتطلَّب الأمر انتظار موافقة المتسخدم لتحديث كل موقع. على أيَّة حال، من الممكن أن يختار مستخدمو ووردبريس تعطيل هذه التحديثات التلقائيَّة للنواة. إذا كان هذا هو الحال بالنسبة لك، عليك أن تعلم أن هذا يعرِّض موقعك لخطر إضافيّ، خاصَّة إذا لم يكن لديك الوقت لمراقبة جميع مواقعك عن كثب وتفقُّد أحدث وأهم التحديثات. أمن إضافات وقوالب ووردبريس كما أنه يتعيَّن عليك أن توفِّر لزوار موقعك تجربةً آمنةً، فإن مطوِّري إضافات وقوالب ووردبريس مسؤولون عن أمن المستخدمين. وبينما لا يستطيع فريق ووردبريس إدارة عشرات الآلاف من الإضافات والقوالب المتاحة، يستطيعون على الأقل مراقبتها عن كثب لكي لا يتسرَّب إليها ما يخلُّ بالأمن. مشروع ووردبريس هو الفريق المسؤول عن العمل مع المطوِّرين حين تُكتشَف مشكلةٌ أمنيَّة. لكن قبل ذلك، هناك فريقٌ من المتطوعين مهمتهم مراجعة كلِّ قالبٍ وكلِّ إضافة تُقدم إلى ووردبريس. يعمل هذا الفريق مع المطوِّرين للتأكُّد من اتِّباع أفضل الممارسات. ورغم ذلك، قد تحدث بعض الثغرات الأمنيَّّة، وهنا يتوجب على فريق ووردبريس للأمن التدخل لكي يقوموا بالآتي: توفير التوثيق عن تطوير الإضافات والقوالب وأفضل الممارسات الأمنيَّّة لمطوري ووردبريس. مراقبة الإضافات والقوالب لاكتشاف أي ثغراتٍ أمنيَّة. في حال اكتشاف أي مشكلة، يتمُّ تنبيه المطوِّر. إزالة أي إضافات أو قوالب ضارَّة من المستودع في حال كان المطورين غير متعاونين أو غير متجاوبي. بعد ذلك، يُخطر ووردبريس المستخدمين عن طريق إدارة ووردبريس حين تصبح تلك الترقيعات الأمنيَّّة متاحة (أو عند إزالة الإضافات أو القوالب الضارَّة). قائمة OWASP للثغرات الأمنيَّّة العشرة الأكثر خطورة أُنشئت مؤسَّسة مشروع أمان تطبيق الويب المفتوح (OWASP) 2001 بهدف حماية المنظمات من البرامج التي قد تسبِّب لها الضرر. ربما تندهش حين تعلم أن مشروع ووردبريس يهدف إلى الالتزام بـ"قائمة OWASP للثغرات الأمنيَّّة العشرة الأكثر خطورة" طوال الوقت. قائمة الTop 10 هي قائمة للثغرات الأمنيَّّة الأكثر خطورة. بعد التعرُّف على هذه القائمة، يستخدم فريق أمان WordPress هذه المعايير لتحديد أفضل 10 طرق خاصة بهم للدفاع عن نواتهم. حاليًا، هدفهم هو حماية النواة من المخاطر التالية: إساءة استخدام إدارة حساب المستخدم طلبات وصول غير مصادقة إلى إدارة ووردبريس عمليَّات إعادة التوجيه غير المرغوب فيها أو غير المصرح بها الكشف عن بيانات المستخدمين الخصوصيَّة طلبات الوصول إلى الإحالة المباشرة غير الآمنة الإعدادات الأمنيَّّة الخاطئة للخادم حقن شفرة غير مصرَّحٍ به البرمجة عبر المواقع من المستخدمين غير المصرَّح لهم تزوير طلب عبر المواقع، حيث يقوم المتسلِّلون بإساءة استخدام الأرقام العشوائية. الإضافات والقوالب وأطر العمل والمكتبات التالفة من طرف ثالث. أمن ووردبريس يتطلَّب منك اليقظة بعد الاطلاع على كل هذا، فإن معرفة أن هناك فريقًا يعمل على الحفاظ على أمان ووردبريس طوال الوقات يجعلني أكثر راحة. ومع ذلك، لا يعني هذا أننا يجب أن نركن إلى الدعة. فكما رأينا، حتى شهر العام الماضي، حين خُرِّب نحو 1.5 مليون موقع، بغض النظر عن مدى كفاءة مشروع ووردبريس في مراقبة المنصَّة وتأمينها، سيجد المتسلِّلون وسيلة لاختراقها. لهذا السبب من المهم أن تقوم بدورك في كل هذا وتحافظ على مواقعك آمنة من كل جانب. تعد إضافة Defender الأمنيَّّة بداية جيِّدة. لمزيد من النصائح، لا تنسَ متابعة المقالات التي تنشر على أكاديمية حسوب والتي تتناول موضوع "هل ووردبريس آمن؟" وما يمكنك فعله لحمايته حمايةً أفضل. ترجمة -وبتصرف- للمقال Is WordPress Secure?‎ لصاحبته Brenda Barron
  2. نشعر بالأمان أكثر كلما اكتشفنا طرقًا جديدةً لزيادة أمن مواقع ووردبريس، وهذا الأمر جيّد وسيّء في نفس الوقت، فهو جيّد لأنه يعني أننا نثق بالأدوات والخدمات التي استثمرنا فيها لتأمين ووردبريس، وهي سيئة لأننا نخلط بين زيادة أمن المواقع وعقليّة "ضعها وانسها". بصراحة: يحاول القراصنة اختراق موقعك، فإذا كنت تعتقد أن موقعك صغير أو جديد ليكسب انتباه القراصنة، ففكّر من جديد، إذ يوجد 90978 هجوم أمني يحدث كل دقيقة من كل يوم، ولا يفكر القراصنة في حجم الموقع أو العمل عندما يهاجمونه. يعلم القراصنة أن لووردبريس نقاط ضعف كثيرة، لذلك إذا أردت زيادة أمن موقعك فيجب عليك التفكير كمخترق، حدد نقاط الضعف في موقعك وفكر في الطرق المختلفة التي يمكنك من خلالها استغلال هذه النقاط، وعندها فقط ستكون قادر على درء الهجمات. أين تقع أضعف البقع في موقع ووردبريس؟ ربما من الأشياء الأكثر رعبًا أن القراصنة لا يبحثون بشكل خاص على موقعك (خاصة إذا كان جديد أو صغير)، فالعديد من القراصنة يبحثون عن نقاط الضعف باستخدام bots، فالأخيرة تكشف عن المداخل للقراصنة، لذلك فإن أي موقع ووردبريس يمكن أن يكون الضحيّة. لذا من المهم التعرّف على أشهر نقاط الضعف في ووردبريس لإبقاء القراصنة بعيدين عن موقعك. كلمات المرور أي بقعة في الواجهة الخلفية (backend) أو الأماميّة (frontend) من موقعك التي تطلب اسم مستخدم وكلمة مرور هي من الأماكن الرئيسية التي يستهدفها القراصنة، ومنها منطقة تسجيل الدخول الرئيسية لووردبريس: لوحات التعليقات: حسابات التجارة الإلكترونية أو بوابات الدفع: يعرف القراصنة أن المستخدمين لا يهتمون دائمًا بإنشاء كلمات مرور قويّة لكل حساب يملكونه على الإنترنت (يتعارض هذا مع أساسيات أمن كلمة المرور 101). وسيكون هذا أحد الأهداف الأولى على موقع ووردبريس الخاص بك. التعليقات ليست التعليقات مشكلة أمنية بسبب عنصر تسجيل الدخول (إذا كان هنالك واحد)، فيمكن للتعليقات أن تكون مشكلة بسبب الرسائل غير المرغوب فيها، ولهذا فإن بعض الناس يختارون تعطيل التعليقات بالكامل في ووردبريس. وإليك مثال لتعليقات من عملاء سيئين. قد لا يؤدي هذا الرابط إلى شيء ضار، لكنه بالتأكيد لا ينتمي إلى هذه المجموعة من التعليقات. نماذج الاتصال نماذج الاتصال، أو نماذج الاشتراك، أو نماذج الدفع أو أي جزء من الموقع يطلب من المستخدمين إدخال تفاصيل هو مكان واضح يستهدفه القراصنة. بالطبع، يمكنك اختراق الموقع ومن ثم الاستيلاء على البيانات الحساسة التي أُدخلت إلى هذه الحقول، وهنالك طريقة يمكن للقراصنة من خلالها سرقة البيانات من خلال مراقبة نقرات المستخدمين إما عن طريق لوحات المفاتيح اللاسلكية أو عن طريق استخدام البرامج الضارة التي تُثبّت على أجهزة الحاسوب الخاصة بهم. قاعدة بيانات ووردبريس في حين أنه من الرائع أن ووردبريس قد بسّط تسمية الملفات وهياكل قاعدة البيانات في جميع المواقع، لكنه أحدث أيضًا مشكلة كبيرة إذ أن كل شخص منا (بما في ذلك المخترقين) يعرفون أن البادئة “wp-‎” تُستخدم لتسمية كل شيء تقريبًا، وهذا سيترك قاعدة بيانات ووردبريس مكشوفة بشكل كامل وعرضة للهجوم إذا لم يتغير ذلك. نواة ووردبريس هل تعلم أن 73% من نسخ ووردبريس القديمة تحتوي على نقاط ضعف داخلها؟ على الرغم من أنه ليس من مسؤوليتكم إدارة نواة ووردبريس (WordPress core)، فمن المؤكد أن من مسؤوليتكم أن تثبتوا أي تحديث جديد لووردبريس، فيجتهد الفريق الأمني لووردبريس دائما لجعل النواة محدّثة، ومن المهم أن يفعل مطورو ووردبريس الأمر نفسه حتى لا تبقى نقاط الضعف هذه في مواقعهم. إضافات ووردبريس إن الإضافات أكثر عرضة للانتهاكات الأمنية من نواة ووردبريس، في الحقيقة، تتحمل إضافات ووردبريس 50% من الهجمات الأمنية على مواقع ووردبريس. بالطبع، لا ينبغي لهذا أن يجعلك تخاف من استخدام إضافات ووردبريس، فهي جزء أساسي من العمل الذي تقوم به لإنشاء مواقع تفاعليّة وجذابة لجمهورنا، ومع ذلك، فهذا يعني أنك بحاجة إلى إيلاء اهتمام أكبر لما يحدث مع مجموعة الإضافات الحالية كما يجب أن تبقي عينيك وأذنّيك مفتوحة عند مراجعة إضافات جديدة لموقعك. هنالك بشكل عام طريقتان يمكن من خلالها أن تضعف الإضافات أمن موقعك: عند تحديثها من قبل المطور، لكنك لا تحدّثها في موقعك (أو عدم فعل ذلك في الوقت المناسب). عند إضافة إضافة ووردبريس مزيّفة إلى موقعك دون قصد. لذلك، تأكد من اهتمامك بهذه النقاط. قوالب ووردبريس الشيء نفسه ينطبق على قوالب ووردبريس، على الرغم من أنه لا داعي للقلق حول استخدام قالب مزيّف، فهي مجرد مسألة إصدار التحديثات من المطور في الوقت المناسب. خدمة استضافة المواقع للأسف، ليست كل شركات استضافة المواقع متشابهة وهذا يمكن أن يؤثر غالبًا على مستوى أمن الخادم، وبطبيعة الحال، يجب عليك التأكد من هذه النقاط عند اختيار خطة استضافة مواقع: التشفير وجدار حماية جانب الخادم. نوع خادم الويب NGINX أو Apache. برامج مضادات الفايروسات والبرامج الضارة. أنظمة الأمن في الموقع. توفر شهادات SSL و CDN. يوجد أيضا خطر الإصابة عن طريق عدة مواقع عند وجود عدة نطاقات تتشارك في نفس المساحة على الخادم، فإذا كانت هذه هي حالتك، فقد تحتاج إلى اتخاذ احتياطات أمنية إضافيّة على مستوى الخادم. ماذا يريد المخترقين من موقعك؟ إذا فكرت في "موقعي صغير/جديد/محلي، فماذا يريد المخترقون منه؟” فلقد حان الوقت لتغيّر رأيك، فالقراصنة لا يريدون فقط تدمير الشركات الكبيرة، انهم ببساطة يبحثون عن أي ضعف يمكن استغلاله. لذا، في المرة القادمة التي تفكر فيها بـ "ليس لديّ أي شيء يُريدونه”، فكّر في الفرص التالية التي قد يستفيدون منها: 1- حقن محتوى خبيث في بعض الحالات، يريد القراصنة ببساطة إضافة محتوى خبيث أو شيفرات برمجية على الواجهة الأماميّة من موقع ووردبريس مع أمل أن يضغط زوارك على الروابط الخاطئة، ويمكن أن يحدث هذا عن طريق التعليقات غير المرغوب فيها، أو عن طريق اختراق البريد الإلكتروني لموقعك وإرسال رسائل غير مرغوب فيها لمتابعينك، أو من خلال إرسالات (submissions) المحتوى الحالي. كمثال على الأخيرة، الق نظرة على نقطة ضعف إضافة NextGEN Gallery، فعن طريقها، استطاع المخترقين تعديل شيفرة PHP الخاصة بالموقع ومن ثم مهاجمة الموقع عن طريق هذه الإضافة. 2- نشر الفايروسات من الطرق الأخرى التي يستخدمها المخترقين لإرهاب زوارك هي عن طريق استخدام موقع ووردبريس الخاص بك لنشر الفايروسات والبرامج الضارة، ويمكنهم إجراء ذلك باستخدام شيفرة برمجية ضارة كتبوها في الواجهة الخلفية أو مع الملفات المرفوعة للتحميل في الواجهة الأماميّة وعندما يتفاعل الزوار معهم، يسرق المخترقون معلومات الزائرين أو يستخدمون حواسيبهم لنشر الفايروسات على مواقع ويب أخرى. إن إضافة BlogVault backup هي مثال جيّد على هذا، فمن خلال هذا الهجوم، استطاع المخترقون على إصابة مواقع ووردبريس التي تستعمل هذه الإضافة ببرامج خبيثة. 3- سرقة المعلومات الشخصية للزائر هذه أهم واحد يقلق حولها الزوار ويجب أن تأمل أن لا تحدث على الإطلاق لأنها مكلفة للغاية، فأي خرق أمني سيُسيء للعمل التجاري، لكن في هذه الحالة، يجب عليك تعويض زوارك وعملاءك للمال والخصوصية التي تعرضت للخطر في الهجوم، ناهيك عن فقدان الثقة في علامتك التجاريّة. يمكن للمخترقين الحصول على هذه المعلومات بطرق مختلفة ويمكنهم الاستفادة منها كثيرًا، في بعض الأحيان لمكاسب ماليّة، لكن في أحيان أخرى مثل اختراق Ashley Madison حيث أنهم يحاولون تقديم بيان. 4- سرقة بيانات أعمال خاصة تعمل الشركات بجد للحفاظ على تفاصيل تتعلق بالشركة (وخاصةً فيما يتعلق بالأمور الماليّة وتفاصيل حساب العميل) تحت الأغطيّة، ولهذا السبب، من المهم للغاية عدم وصول هذه المعلومات إلى موقع أعمال المنافس. نقطة ضعف Heartbleed هي مثال حديث لهذا النوع من الهجوم وهو بسبب مشكلة في OpenSSL وهو شيء مصنوع لزيادة حماية المواقع، وبدلا من ذلك، ما فعله OpenSSL هو إرسال بيانات عمل حساسة إلى المخترقين عند إرسالهم طلبات وهمية إلى خوادم المواقع المصابة. 5- استضافة صفحات التصيد في خادمك يشير التصيّد في المواقع بشكل أساسي إلى إنشاء القراصنة لصفحة مزيفة على موقع ووردبريس لمحاولة جمع المعلومات من الزائرين الذين يرغبون في إعطائها. ويمكنهم القيام بذلك عن طريق تضمين نموذج اتصال في الصفحة وجمع البيانات بشكل مباشرة أو يمكنهم إعادة توجيه الزائرين إلى موقع آخر حيث ستُرفع هذه المعلومات. يقوم جوجل بإدراج 50000 موقع كل أسبوع في القائمة السوداء بسبب عمليات التصيّد. 6- استضافة صفحات شرعية في خادمك بعض القراصنة يبنون صفحات شرعيّة في مواقع ووردبريس من أجل تحسين SEO (تحسين محركات البحث) الخاص بهم، وتتحدث هذه الصفحات عن شركتهم الخاصة وروابط لهم من أجل تحسين من قوّة موقعهم في محركات البحث، أو قد يختارون تخطي الصفحة المقصودة ويستخدمون نهج أكثر دقة لتعزيز SEO الخاص بهم، في هذه الحالة، سيستخدمون نظام الروابط الخلفية (backlinks) من موقعك لمواقعهم. 7- حمل زائد على خادمك عندما قيام القراصنة بتحميل زائد على خادمك عن طريق أعداد كبيرة من الزيارات، وهذا ما يعرف بهجوم الحرمان من الخدمات (DdoS)، فسيتوقف موقعك عن العمل عندما يصلون إلى ذلك، وسيفوزون، ولماذا يفعلون ذلك؟ ما الذي يمكنهم الحصول عليه من إيقاف موقعك؟ حسنًا، ربما يحصلون على لذة الانتصار، أو بسبب ثأر شخصي ضد العلامة التجارية، أو ربما موقعك هو واحد من عدة ضحايا في هجوم واسع النطاق، أو ربما فعلوا ذلك من أجل المطالبة بفديّة. 8- سرقة عرض نطاق (Bandwidth) الموقع تحدثتُ سابقا كيف يمكن سرقة الصور من موقع ووردبريس الخاص بك بعلمك أو بدون علمك، وواحدة من هذه الطرق هي عن طريق الربط الساخن (hotlinking)، والذي يحول موقعك إلى استضافة لحركة مرور بيانات (traffic) المواقع الأخرى عن طريق روابط الصور. ومع ذلك، هنالك طرق أخرى يمكن من خلالها للقراصنة سرقة موارد خادمك لاستضافة أنشطتهم السيئة مثل تعدين البيتكوين وهجمات الحرمات من الخدمة وهذا بالضبط ما حدث في قضيّة اختراق Monero mining حيث أصبحت المواقع التي اخترقت "عبيدًا”، تُستخدم في أنشطة التعدين للقراصنة. 9- تخريب موقعك وبطبيعة الحال، هنالك تخريب المواقع، ففي أغلب الأحيان، يفعل المخترقون هذا لإنشاء هويّة لأنفسهم بينما يضرون في الوقت نفسه علامتك التجاريّة، ولقد حدثت هذه التشويهات في مجموعة كبيرة من مواقع ووردبريس، واستمرت في حدوث حتى بعد تحديث ووردبريس لأن المستخدمين فشلوا في التحديث في الوقت المناسب. الخاتمة لإنهاء هذا بملاحظات إيجابيّة، لنحاول التركيز على ما نعرفه: لا، فوردبريس ليس "غير قابل للقهر”. ولكن نعم، لدينا الوسائل لوضع دفاع جيّد ضد المتسللين إذا كنا نعرف إلى أين ننظر. كتذكير، هذا ما يمكنك القيام به: عمل نسخة احتياطية من موقعك بانتظام. تأمين موقعك على كافة المستويات: الخادم، والنواة، والإضافات، والقوالب، وحتى جهاز حاسوبك والشبكة. استخدام إضافة أمنيّة. استخدام CDN. استخدام شهادة SSL. تأمين كلمات السر الخاصة بك. لا تنسَ فحص نقاط الضعف في موقعك بانتظام للتأكد من أن موقعك خالٍ منها. ترجمة -وبتصرّف- للمقال Do You Know Why Hackers Are Targeting Your WordPress Site?‎ لصاحبه Brenda Barron