دحض الخرافات الأمنية لاستضافة ووردبريس

استضافة WordPress معقدة. يعتمد كل موقع WordPress على مجموعة من البرامج والأجهزة التي أنشأتها الشركات والمجتمعات بمعايير وقيم يصعب فهمها من الخارج. هذا يؤدي إلى سوء الفهم والخرافات ، خاصة فيما يتعلق بالأمن.
في هذه المقالة ، نلقي نظرة على بعض أكثر أساطير استضافة WordPress ضررًا ، مع التركيز بشكل خاص على الأساطير التي تؤدي إلى أخطاء أمنية.

المواقع الصغيرة لا تتعرض للاختراق

غالبًا ما تتحدث وسائل الإعلام عن انتهاكات أمنية كبيرة حيث يبدو هدف المهاجم واضحًا. يقوم الضحايا بتخزين غيغابايت من البيانات الشخصية التي يمكن استخدامها لسرقة الهوية. العديد من أرقام بطاقات الائتمان الخاصة بالمتاجر ، والتي تمت سرقتها لأسباب واضحة. بعض المهاجمين متورطون في التجسس الصناعي.
لا ينطبق أي من ذلك على مواقع الويب الأصغر التي تحتوي على عدد قليل من حسابات المستخدمين: لا يوجد الكثير من البيانات الشخصية المفيدة هناك. نادرًا ما يقومون بتخزين أرقام بطاقات الائتمان ، ويختارون بحكمة استخدام معالج الدفع. فلماذا يستثمر المجرم جهده لاختراق موقع صغير؟
أولاً ، إنه ليس مجهودًا كبيرًا. تتم معظم عمليات القرصنة بشكل تلقائي: حيث تقوم برامج الروبوت بالبحث عن مواقع الويب المعرضة للخطر ، مما يعرضها للخطر بهجمات مبرمجة مسبقًا. يفقد المهاجم روبوتاته وينتظر وصول عناوين IP.
ثانيًا ، حتى موقع صغير يكون ذا قيمة. لديها جمهور يمكن أن يكون مصابًا ببرامج ضارة. يمكن سحبها إلى شبكة الروبوت الخاصة بالمهاجم واستخدامها لخرق مواقع أخرى أو المشاركة في هجمات DDoS. يمكن استخدامه لكبار المسئولين الاقتصاديين البريد العشوائي. يمثل كل موقع حزمة من النطاق الترددي والتخزين وقوة المعالجة - وكلها مفيدة للمجرمين.

إذا نجحت ، فلماذا الترقية؟

يشعر الأشخاص الذين لا يقضون حياتهم في التحديق في التعليمات البرمجية على الشاشة بالرضا التام عندما تفعل التكنولوجيا ما يفترض أن تفعله. قد يشعرون أن التحديثات ، التي تجلب التغييرات ، هي اضطراب غير مرغوب فيه. ليس من الصعب تعلم WordPress ، ولكن من الصعب بما يكفي أن تثير فكرة التغيير قلق بعض الملايين من مستخدميها.
الأشخاص الذين يستخدمون WordPress كل يوم يعتادون عليه. إنهم يفضلون تجنب التغيير من أجل التغيير ، ولذلك فهم غالبًا ما يترددون في التحديث. بعد كل شيء ، لماذا نغير ما يصلح.
إجابة المطور على هذا ذات شقين. البرامج لا تقف مكتوفة الأيدي ويجب أن تتغير لمواكبة التغيرات في العالم. والأهم من ذلك ، أن التحديثات تعمل على إصلاح الأخطاء التي تسبب ثغرات أمنية. من شبه المؤكد أن الموقع الذي لم يتم تحديثه لبضعة أشهر هو عرضة للخطر. في القسم السابق ، تحدثنا عن شبكات الروبوتات والقرصنة الآلية. إن أنظمة إدارة المحتوى غير المصححة هي ما تسعى إليه تلك الروبوتات. في النهاية ، سيجدون موقعًا غير مصحح ، وسيتم اختراقه.

كنت أعرف ما إذا كانت هناك مشكلة

كيف يبدو موقع الويب المخترق؟ بالنسبة للجزء الأكبر ، يبدو أنه موقع ويب لم يتم اختراقه - خاصة لمالكه. كما ناقشنا ، يخرق الفاعلون السيئون موقع الويب لأنهم يريدون بياناته أو موارده أو زواره أو إمكانات تحسين محركات البحث. إذا اكتشف مالك الموقع أنه قد تم اختراقه ، يفقد الممثل السيئ الوصول إلى هذه الموارد. لذا فهم متسترون. يحاولون الاختباء.
إذا كنت تبحث عن كثب ، فقد تلاحظ ارتفاعًا في عرض النطاق الترددي أو استخدام الذاكرة. إذا كنت تفحص بانتظام بحثًا عن برامج ضارة ، فقد تجد شفرتها الضارة. ولكن إذا كنت تستخدم الموقع بشكل طبيعي ، فمن غير المحتمل أن ترى أي شيء غير صحيح.
خذ محتوى تحسين محركات البحث غير المرغوب فيه كمثال. عندما يتم اختراق موقع ما ، يتم إدخال روابط إلى المواقع التي يريد المهاجم الترويج لها في محتواه. هذه الروابط مرئية لـ Google ، وقد تكون مرئية للزوار العاديين ، لكنها مخفية عن الأشخاص الذين قاموا بتسجيل الدخول إلى الموقع.
هذا هو السبب في أنها فكرة جيدة أن تقوم بفحص موقعك بانتظام باستخدام أداة مثل Sucuri أو Wordfence . يرصدون التعليمات البرمجية الخبيثة ويعلمونك بها. إذا لم تقم بالمسح ، فمن المرجح أن تكتشف حدوث هجوم عندما تبدأ Google في تحذير جمهورك من أن موقعك غير آمن.

تحافظ طبقة المقابس الآمنة (SSL) على موقعك آمنًا

شهادات SSL لها وظيفتان. يقومون بتشفير البيانات التي تنتقل عبر الشبكة من خادم إلى متصفح والعودة مرة أخرى. ويتم استخدامها بواسطة المتصفحات للتحقق من أنها متصلة بالمضيف الذي تتوقعه. هذا كل ما تفعله شهادات SSL. إنها أداة أساسية للأمان والخصوصية ، لكنها لا تحمي البيانات المخزنة على خادم الموقع. كما أنهم لا يحمون الموقع من المهاجمين الذين يسعون لاستغلال الثغرات الأمنية.

كل مكون إضافي لبرنامج WordPress مجاني

هذه خرافة خبيثة تدفع الناس إلى تنزيل مكونات إضافية مصابة ببرامج ضارة. معظم ملحقات WordPress مفتوحة المصدر بموجب ترخيص GPL. عندما يوزع المطور المكون الإضافي ، فإنه يوزع أيضًا شفرة المصدر. مطلوب منهم القيام بذلك بموجب الترخيص.
غالبًا ما تكون البرامج مفتوحة المصدر مجانية. لا يكلف أي أموال لاستخدامه. WordPress نفسه مفتوح المصدر ومجاني. لكن بعض البرامج مفتوحة المصدر ليست مجانية للاستخدام . تندرج الإضافات المميزة لـ WordPress في هذه الفئة: فهي مفتوحة المصدر ، لكن المطور يتوقع من المستخدمين دفع رسوم ترخيص لاستخدام المكون الإضافي.
عندما يدفع المستخدمون الرسوم ، يحصلون على شفرة المصدر ، كما هو مطلوب. لكن المصدر المفتوح لا يعني أن المطور يجب أن يمنح الجميع كود المصدر - فقط الأشخاص الذين يتم توزيع البرنامج المساعد عليهم ، الأشخاص الذين دفعوا. عادة ما يساء فهم هذا. من القانوني تمامًا أن تأخذ رمز سمة مميزة وتعطيها مجانًا بمجرد دفع ثمنها ، ولكن هذا غير محبذ في مجتمع WordPress ، لأسباب واضحة.
قد تتساءل ما علاقة هذا بالأمن. يعرف الفاعلون السيئون أن الأشخاص يرغبون في استخدام المكونات الإضافية المتميزة دون دفع ثمنها. لذلك ، يأخذون المكون الإضافي ، ويضيفون رشًا من البرامج الضارة ، ويعطونه مجانًا. تحتوي هذه المكونات الإضافية "nulled" أو "pirate" على أبواب خلفية وأكواد ضارة أخرى. عندما يقوم مستخدم WordPress المطمئن بتثبيت المكون الإضافي الملغى ، فإنه يمنح التحكم في موقعه لمهاجم. يعد تثبيت المكونات الإضافية للقرصنة على موقعك فكرة سيئة.
لقد قمنا بتغطية خمس خرافات شائعة عن استضافة WordPress في هذا المنشور ، وهناك الكثير مما قد نقوم بتضمينه. إذا كنت ترغب في رؤية منشور متابعة يتعمق في المزيد من أساطير استضافة WordPress ، فأخبرنا بذلك في التعليقات.