أسباب اختراق موقع ووردبريس 11 سبب
من المحبط أن تكتشف أن موقع ووردبريس الخاص بك قد تم اختراقه.
في هذه المقالة ، سوف نشارك أهم أسباب اختراق موقع ووردبريس ، حتى تتمكن من تجنب هذه الأخطاء وحماية موقعك.
لماذا يتم اختراق موقع ووردبريس من قبل الهاكرز؟
أولاً ، لا يقتصر الأمر على ووردبريس فقط. جميع مواقع الويب على الإنترنت عرضة لمحاولات القرصنة و السبب وراء كون مواقع ووردبريس هدفًا شائعًا هو أن ووردبريس هو منشئ مواقع الويب الأكثر شهرة في العالم. إنه يشغل أكثر من 31 ٪ من جميع مواقع الويب مما يعني مئات الملايين من مواقع الويب في جميع أنحاء العالم حيث تمنح هذه الشعبية الهائلة المتسللين طريقة سهلة للعثور على مواقع الويب الأقل أمانًا ، حتى يتمكنوا من استغلالها.
لدى المتسللين أنواع مختلفة من الدوافع لاختراق موقع ويب. البعض منهم مبتدئين يتعلمون فقط استغلال المواقع الأقل أمانًا و بعض المتسللين لديهم نوايا ضارة مثل توزيع البرامج الضارة أو استخدام موقع لمهاجمة مواقع الويب الأخرى أو إرسال بريد عشوائي على الإنترنت.
دعنا نلقي نظرة على بعض أهم أسباب اختراق مواقع ووردبريس ، وكيفية منع موقع الويب الخاص بك من الاختراق.
1. استضافة المواقع غير الآمنة
مثل جميع مواقع الويب ، يتم استضافة مواقع ووردبريس على خادم ويب. بعض شركات الاستضافة لا تؤمن منصة الاستضافة الخاصة بها بشكل صحيح. هذا يجعل جميع المواقع المستضافة على خوادمها عرضة لمحاولات القرصنة
2. استخدام كلمات مرور ضعيفة
كلمات المرور هي مفاتيح موقع ووردبريس الخاص بك و تحتاج إلى التأكد من أنك تستخدم كلمة مرور فريدة قوية لكل حساب من الحسابات التالية لأنها يمكن أن توفر جميعها للهاكر وصولاً كاملاً إلى موقعك على الويب.
حساب مسؤول ووردبريس الخاص بك
حساب لوحة تحكم استضافة الويب
حسابات FTP
قاعدة بيانات MySQL المستخدمة لموقع ووردبريس الخاص بك
حسابات البريد الإلكتروني المستخدمة لمشرف ووردبريس أو حساب الاستضافة
كل هذه الحسابات محمية بكلمات مرور يسهل استخدام كلمات المرور الضعيفة على المتسللين اختراق كلمات المرور باستخدام بعض أدوات القرصنة الأساسية.
يمكنك بسهولة تجنب ذلك باستخدام كلمات مرور فريدة وقوية لكل حساب.
3. الوصول غير المحمي إلى مدير ووردبريس :
تمنح منطقة مسؤول ووردبريس للمستخدم وصولاً لأداء إجراءات مختلفة على موقع ووردبريس الخاص بك. وهي أيضًا المنطقة الأكثر تعرضًا للهجوم في موقع ووردبريس.
يتيح تركه غير محمي للمتسللين تجربة طرق مختلفة لاختراق موقع الويب الخاص بك. يمكنك جعل الأمر صعبًا بالنسبة لهم عن طريق إضافة طبقات من المصادقة إلى دليل مسؤول ووردبريس الخاص بك.
أولاً ، يجب عليك حماية منطقة إدارة ووردبريس الخاصة بك بكلمة مرور. يضيف هذا طبقة أمان إضافية ، وسيتعين على أي شخص يحاول الوصول إلى مسؤول ووردبريس توفير كلمة مرور إضافية.
إذا قمت بتشغيل موقع ووردبريس متعدد المؤلفين أو متعدد المستخدمين ، فيمكنك فرض كلمات مرور قوية لجميع المستخدمين على موقعك. يمكنك أيضًا إضافة مصادقة ثنائية لجعل الأمر أكثر صعوبة على المتسللين لدخول منطقة إدارة ووردبريس الخاصة بك.
4. أذونات الملف غير صحيحة
أذونات الملف هي مجموعة من القواعد التي يستخدمها خادم الويب الخاص بك. تساعد هذه الأذونات خادم الويب الخاص بك في التحكم في الوصول إلى الملفات الموجودة على موقعك. يمكن أن تمنح أذونات الملفات غير الصحيحة للقراصنة إمكانية الوصول لكتابة هذه الملفات وتغييرها.
يجب أن تحتوي جميع ملفات ووردبريس الخاصة بك على 644 قيمة كإذن للملف و يجب أن تحتوي جميع المجلدات الموجودة على موقع ووردبريس الخاص بك على 755 كإذن للملف وقد شرحنا هذا الموضوع بالتفصيل من قبل راجع المدونة .
5. عدم تحديث ووردبريس
يخشى بعض مستخدمي ووردبريس من تحديث مواقع ووردبريس الخاصة بهم. إنهم يخشون أن يؤدي ذلك إلى تعطيل موقع الويب الخاص بهم ولكن يعمل كل إصدار جديد من ووردبريس على إصلاح الأخطاء ونقاط الضعف الأمنية. إذا كنت لا تقوم بتحديث ووردبريس ، فأنت تترك موقعك عن قصد عرضة للخطر.
إذا كنت تخشى أن يؤدي التحديث إلى تعطيل موقع الويب الخاص بك ، فيمكنك إنشاء نسخة احتياطية كاملة من ووردبريس قبل تشغيل التحديث. بهذه الطريقة ، إذا لم يعمل شيء ما ، فيمكنك بسهولة الرجوع إلى الإصدار السابق.
6. عدم تحديث الإضافات أو القوالب
تمامًا مثل برنامج ووردبريس الأساسي ، يعد تحديث القالب والإضافات أمرًا مهمًا بنفس القدر. يمكن أن يؤدي استخدام اضافات او قوالب قديمة إلى جعل موقعك عرضة للخطر.
غالبًا ما يتم اكتشاف العيوب والأخطاء الأمنية في إضافات و قوالب في ووردبريس. عادةً ما يكون مؤلفو القوالب و الاضافات سريعًا في إصلاحها. ومع ذلك ، إذا لم يقم المستخدم بتحديث القالب و الاضافات الخاصة به ، فلا يوجد شيء يمكنه فعله حيال ذلك.
7. استخدام بروتوكول نقل الملفات العادي بدلاً من بروتوكول SFTP / SSH
تُستخدم حسابات FTP لتحميل الملفات إلى خادم الويب الخاص بك باستخدام عميل FTP. يدعم معظم موفري الاستضافة اتصالات FTP باستخدام بروتوكولات مختلفة. يمكنك الاتصال باستخدام بروتوكول FTP عادي أو بروتوكول SFTP أو SSH.
عند الاتصال بموقعك باستخدام FTP عادي ، يتم إرسال كلمة المرور الخاصة بك إلى الخادم بدون تشفير. يمكن التجسس عليها وسرقتها بسهولة. بدلاً من استخدام FTP ، يجب عليك دائمًا استخدام SFTP أو SSH.
لن تحتاج إلى تغيير عميل FTP. يمكن لمعظم عملاء FTP الاتصال بموقع الويب الخاص بك على SFTP وكذلك SSH. تحتاج فقط إلى تغيير البروتوكول إلى “SFTP – SSH” عند الاتصال بموقعك على الويب.
8. استخدام Admin كاسم مستخدم ووردبريس
لا ينصح باستخدام “admin” كاسم مستخدم ووردبريس الخاص بك. إذا كان اسم المستخدم الخاص بالمسؤول هو admin ، فيجب عليك تغييره على الفور إلى اسم مستخدم مختلف.
9. إلغاء المظاهر والإضافات
هناك العديد من المواقع على الإنترنت التي توزع الإضافات والقوالب المدفوعة لـ ووردبريس مجانًا و أحيانًا يكون من السهل إغراء استخدام تلك الاضافات و القوالب الفارغة على موقعك.
يعد تنزيل القوالب والإضافات من مصادر غير موثوقة أمرًا خطيرًا للغاية. لا يمكنهم فقط تعريض أمان موقع الويب الخاص بك للخطر ، ولكن يمكن أيضًا استخدامها لسرقة المعلومات الحساسة.
يجب عليك دائمًا تنزيل الاضافات و القوالب الخاصة بـ ووردبريس من مصادر موثوقة مثل موقع مطوري الاضافات / القوالب وإذا كنت لا تستطيع شراء إضافة او قالب مميز أو لا ترغب في شرائها ، فهناك دائمًا بدائل مجانية متاحة لتلك المنتجات. قد لا تكون هذه الاضافات المجانية جيدة مثل نظيراتها المدفوعة ، لكنها ستنجز المهمة والأهم من ذلك الحفاظ على موقع الويب الخاص بك آمنًا.
10. عدم تأمين ملف wp-config.php لتكوين ووردبريس :
يحتوي ملف تكوين wp-config.php على بيانات اعتماد تسجيل الدخول إلى قاعدة بيانات ووردبريس الخاصة بك. إذا تم اختراقه ، فسوف يكشف عن معلومات يمكن أن تمنح المتسلل وصولاً كاملاً إلى موقع الويب الخاص بك.
يمكنك إضافة طبقة حماية إضافية عن طريق رفض الوصول إلى ملف wp-config باستخدام htaccess. ما عليك سوى إضافة هذا الرمز الصغير إلى ملف htaccess الخاص بك.
<files wp-config.php>
order allow,deny
deny from all
</files>
11. عدم تغيير بادئة جدول ووردبريس :
يوصي العديد من الخبراء بضرورة تغيير بادئة جدول ووردبريس الافتراضية. بشكل افتراضي ، يستخدم ووردبريس wp_ كبادئة للجداول التي ينشئها في قاعدة البيانات الخاصة بك و تحصل على خيار لتغييره أثناء التثبيت.
من المستحسن أن تستخدم بادئة أكثر تعقيدًا. هذا سيجعل من الصعب على المتسللين تخمين أسماء جداول قاعدة البيانات الخاصة بك.
