هل أنت قلق بشأن هجمات حقن SQL على موقع الويب الخاص بك؟إذا كنت تقرأ هذا ، فقد تعرف بالفعل عواقب الهجوم.في هذا المنشور ، ستتعلم الطرق السهلة لمنع حقن SQL .
يمكن أن تمكّن حقن SQL المتسلل من اختطاف موقع WordPress الخاص بك والوصول إلى التحكم فيه. من هناك ، يمكنهم إعادة توجيه حركة المرور الخاصة بك ، وسرقة البيانات السرية ، وحقن روابط البريد العشوائي ، والتلاعب في نتائج البحث بأحرف يابانية ، وعرض إعلانات للمنتجات غير القانونية. يمكن أن يتسبب هذا النوع من الهجوم في ضرر لا يمكن إصلاحه لموقعك وعملك.
لحسن الحظ ، يمكن منع حقن SQL إذا اتخذت الإجراءات الأمنية الصحيحة. في هذا الدليل ، نتناول حقن SQL ونناقش بعمق الإجراءات الفعالة لمنعها وحماية موقع WordPress الخاص بك.
TL ؛ DR:يمكنك منع حقن SQL على موقع WordPress الخاص بك باستخدام مكون أمان إضافي موثوق.قم بتثبيت MalCare وسيقوم البرنامج المساعد تلقائيًا بفحص موقعك والدفاع عنه ضد مثل هذه الهجمات.
تحتوي جميع مواقع WordPress عادةً على مناطق إدخال تسمح للزائر بإدخال المعلومات. قد يكون هذا شريط بحث في الموقع أو نموذج اتصال أو نموذج تسجيل دخول .
في نموذج الاتصال ، يقوم الزائر بإدخال بياناته مثل الاسم ورقم الهاتف والبريد الإلكتروني وإرسالها إلى موقعك.
يتم إرسال هذه البيانات إلى قاعدة بيانات MySQL لموقعك على الويب. تتم معالجتها وتخزينها هنا.
الآن ، تتطلب حقول الإدخال هذه تكوينات مناسبة لضمان التحقق من البيانات وتعقيمها قبل أن تدخل قاعدة البيانات الخاصة بك. على سبيل المثال ، تتمثل إحدى نقاط الضعف في نموذج الاتصال في أنه يجب أن يقبل الأحرف والأرقام فقط. يجب ألا يقبل بشكل مثالي الرموز. الآن ، إذا كان موقعك يقبل أي بيانات من خلال هذا النموذج ، فيمكن للقراصنة الاستفادة وإدراج استعلام SQL ضار مثل:
txtUserId = getRequestString("UserId");txtSQL = "SELECT * FROM Users WHERE Userwp-block-heading"> How Does An SQL Attack Work?txtUserId = getRequestString("UserId"); txtSQL = "SELECT * FROM Users WHERE Userwp-block-heading"> How Does An SQL Attack Work?
يستهدف المتسللون مواقع الويب التي تحتوي على تدابير أمنية ضعيفة أو وجود نقاط ضعف تجعل من السهل عليهم اختراقها. في تجربتنا ، غالبًا ما تطور المكونات الإضافية والسمات نقاط ضعف ويدرك المتسللون ذلك جيدًا. إنهم يجوبون الإنترنت باستمرار بحثًا عن المواقع باستخدام المكونات الإضافية والسمات المعرضة للخطر.
لشرح ذلك ، سنستخدم سيناريو كمثال. لنفترض أن السيد "أ" يستخدم مكونًا إضافيًا "نموذج اتصال" لتشغيل نموذج على صفحة الاتصال على موقعه على الويب. لنفترض أنه تم العثور على ثغرة أمنية لحقن SQL في هذا المكون الإضافي في الإصدار 2.4 وقام المطورون بإصلاحه وأصدروا إصدارًا محدثًا 2.4.1.
عند الإصدار ، يكشف المطورون عن سبب التحديث مما يجعل الثغرة الأمنية معرفة عامة. هذا يعني أن المتسللين يعرفون أن هناك ثغرة أمنية في الإصدار 2.4 من المكون الإضافي لنموذج الاتصال.
الآن ، يؤخر Mr.X تثبيت التحديث لبضعة أسابيع لأنه ببساطة ليس هناك وقت لتشغيل التحديث. هذا هو المكان الذي تسوء فيه الأمور.
بمجرد أن يكتشف المتسللون الثغرات الأمنية ، يقومون بتشغيل البرامج أو استخدام أدوات فحص الثغرات الأمنية التي تزحف عبر الإنترنت والعثور على مواقع الويب باستخدام إصدار معين من مكون إضافي / سمة.
في هذه الحالة ، سيبحثون عن مواقع الويب باستخدام نموذج الاتصال 2.4. بمجرد عثورهم على الموقع ، سيعرفون بالضبط ثغرة الويب التي تجعل من السهل عليهم الاختراق. في هذه الحالة ، سوف يستغلون خطأ حقن SQL ويقتحمون موقعك.
أنواع حقن SQL
يستخدم المتسللون نوعين من حقن SQL:
1. حقن SQL الكلاسيكي - عند زيارة موقع ويب ، يرسل متصفحك (مثل Chrome أو Mozilla) طلب HTTP إلى خادم موقع الويب لعرض المحتوى. يقوم خادم الويب بجلب المحتوى من قاعدة بيانات الموقع وإرساله مرة أخرى إلى متصفحك. هذه هي الطريقة التي يمكنك بها عرض الواجهة الأمامية لموقع ويب.
الآن ، تحتوي قاعدة بيانات موقع الويب الخاص بك على جميع أنواع البيانات بما في ذلك البيانات السرية مثل تفاصيل العميل ومعلومات الدفع وأسماء المستخدمين وكلمات المرور. يجب تكوين قاعدة البيانات الخاصة بك لإصدار بيانات الواجهة الأمامية فقط. يجب حماية جميع البيانات السرية الأخرى. ولكن إذا لم تكن فحوصات أمان التطبيقات هذه في مكانها الصحيح ، فإن المتسللين يستفيدون منها.
في هجوم حقن SQL الكلاسيكي ، يرسل المتسللون طلبات ضارة إلى قاعدة البيانات الخاصة بك لإعادة البيانات إلى متصفحهم. لكنهم يستخدمون سلاسل الاستعلام لطلب معلومات حساسة مثل بيانات اعتماد تسجيل الدخول لموقع الويب الخاص بك. إذا لم تقم بحماية هذه المعلومات ، فسيتم إرسالها إلى المتسلل. بهذه الطريقة ، يمكنهم الحصول على تفاصيل تسجيل الدخول الخاصة بك واقتحام موقعك. يمكن للمهاجمين أيضًا استخدام العبارات المعدة كطريقة لتنفيذ نفس بيانات قاعدة البيانات أو ما شابهها مرارًا وتكرارًا بكفاءة عالية.
2. حقن SQL الأعمى - في هذا ، يقوم المخترق بحقن نصوص برمجية ضارة من خلال حقول الإدخال على موقع الويب الخاص بك. بمجرد تخزينها في قاعدة البيانات الخاصة بك ، يقومون بتنفيذها للقيام بجميع أنواع الضرر مثل تغيير محتوى موقعك أو حتى حذف قاعدة البيانات بأكملها ، وفي هذه الحالة ، يمكنهم استخدام البرامج النصية الضارة للحصول على امتيازات المسؤول أيضًا.
يمكن أن يكون لكلا السيناريوهين تأثير مدمر على موقع الويب الخاص بك وعملك. لحسن الحظ ، يمكنك منع مثل هذه الهجمات من خلال اتخاذ تدابير الأمان والتحقق من صحة الإدخال الصحيحة على موقع الويب الخاص بك.
خطوات لمنع هجمات حقن SQL
لمنع هجمات حقن SQL ، تحتاج إلى إجراء تقييم أمني لموقعك على الويب. فيما يلي نوعان من الإجراءات التي يمكنك اتخاذها لمنع هجمات SQL - بعضها سهل وبعضها معقد وتقني.
إجراءات وقائية سهلة
قم بتثبيت مكون إضافي للأمان
استخدم فقط السمات والإضافات الموثوقة
احذف أي برامج مقرصنة على موقعك
حذف السمات والإضافات غير النشطة
قم بتحديث موقع الويب الخاص بك بانتظام
الإجراءات الوقائية الفنية
قم بتغيير اسم قاعدة البيانات الافتراضي
إدخالات مجال التحكم وتقديم البيانات
تقوية موقع WordPress الخاص بك
هيا بنا نبدأ.
إجراءات وقائية سهلة ضد هجمات حقن SQL
1. قم بتثبيت مكون إضافي للأمان
يعد تنشيط المكون الإضافي لأمان موقع الويب الخطوة الأولى التي يجب عليك اتخاذها لحماية موقع الويب الخاص بك. ستراقب المكونات الإضافية للأمان في WordPress موقعك وتمنع المتسللين من اختراقه.
هناك الكثير من المكونات الإضافية للاختيار من بينها ، ولكن بناءً على ما تقدمه ، نختار MalCare. سيقوم المكون الإضافي تلقائيًا بوضع جدار حماية لتطبيق الويب للدفاع عن موقعك ضد الهجمات. يتم تحديد محاولات الاختراق ومنعها.
بعد ذلك ، سيقوم فاحص أمان المكون الإضافي بفحص موقعك بدقة كل يوم. إذا كان هناك أي سلوك مشبوه أو نشاط ضار على موقعك ، فسيتم تنبيهك على الفور. يمكنك اتخاذ إجراء وإصلاح موقعك على الفور باستخدام MalCare قبل أن تتاح لـ Google فرصة لإدراج موقعك في القائمة السوداء أو أن يقرر مزود الاستضافة تعليق موقعك.
2. قم بتحديث موقع الويب الخاص بك بانتظام
كما ذكرنا في مثال حقن SQL الخاص بنا سابقًا ، عندما يجد المطورون ثغرات أمنية في برامجهم ، يقومون بإصلاحها وإصدار إصدار جديد يحمل تصحيح الأمان. تحتاج إلى التحديث إلى الإصدار الجديد لإزالة الخلل من موقعك.
نقترح تخصيص وقت مرة واحدة في الأسبوع لتحديث تثبيت WordPress الأساسي والسمات والإضافات.
ومع ذلك ، إذا رأيت أنه تم إصدار تحديث أمني ، فقم بتثبيت التحديث على الفور.
3. استخدم فقط السمات والإضافات الموثوقة
يعد WordPress النظام الأساسي الأكثر شيوعًا لإنشاء مواقع الويب ويرجع ذلك جزئيًا إلى المكونات الإضافية والسمات التي تجعله سهلًا وبأسعار معقولة. ولكن من بين عدد كبير من السمات والإضافات المتاحة ، تحتاج إلى الاختيار بعناية. تحقق من تفاصيل المكون الإضافي مثل عدد عمليات التثبيت النشطة وتاريخ آخر تحديث والإصدار الذي تم اختباره باستخدامه.
نوصي بتنزيلها من مستودع WordPress. بالنسبة إلى أي سمات وإضافات أخرى ، يجب عليك إجراء بحث مناسب للتحقق من إمكانية الوثوق بها. هذا لأن بعض السمات والإضافات التابعة لجهات خارجية يمكن أن يصنعها المتسللون بشكل ضار. يمكن أيضًا أن تكون مشفرة بشكل سيئ مما يفتحها على نقاط الضعف.
4. حذف أي برامج مقرصنة على موقعك
السمات والإضافات المقرصنة أو الملغاة جذابة. يمنحك الوصول إلى الميزات المتميزة مجانًا. ولكن لسوء الحظ ، تأتي هذه البرامج عادةً مع برامج ضارة مسبقة التحميل. البرامج المقرصنة هي طريقة سهلة للقراصنة لتوزيع برامجهم الضارة.
عند تثبيته ، يتم تنشيط البرنامج الضار ويصيب موقعك. من الأفضل الابتعاد عن مثل هذه البرامج.
5. حذف السمات والإضافات غير النشطة
من الشائع تثبيت مكون إضافي ونسيانه تمامًا لسنوات. لكن هذه العادة يمكن أن تعرض موقعك للمخترقين. كلما زاد عدد المكونات الإضافية والسمات التي قمت بتثبيتها على موقعك ، زادت فرص ظهور نقاط الضعف واستغلال المتسللين لها.
نقترح الاحتفاظ بالملحقات والسمات التي تستخدمها فقط. احذف الباقي واجعل موقعك أكثر أمانًا. قم أيضًا بفحص السمات والإضافات الموجودة لديك بانتظام.
الإجراءات الوقائية الفنية
قد تتطلب هذه الإجراءات معرفة أكثر قليلاً بالأعمال الداخلية لـ WordPress. ومع ذلك ، يوجد في الوقت الحاضر مكون إضافي لكل شيء. لذلك لا داعي للقلق بشأن التعقيدات التي ينطوي عليها تنفيذ هذه الإجراءات. نجعلها بسيطة!
1. قم بتغيير اسم جدول قاعدة البيانات الافتراضي
يتكون موقع WordPress الخاص بك من ملفات وقاعدة بيانات. في قاعدة البيانات الخاصة بك ، هناك 11 جدولًا افتراضيًا. يحتوي كل جدول على بيانات وتكوينات مختلفة. تمت تسمية هذه الجداول ببادئة "wp_". لذلك يمكن أن يكون اسم الجداول هو wp_options و wp_users و wp_meta. تحصل على الانجراف.
هذه الأسماء هي نفسها في جميع مواقع WordPress ويعرف المخترقون ذلك. يعرف المتسللون الجدول الذي يخزن أي نوع من البيانات. عندما يقوم المتسللون بإدخال نصوص برمجية ضارة على موقع الويب الخاص بك ، فإنهم يعرفون مكان تخزين البرنامج النصي. باستخدام طريقة بسيطة ، يمكنهم تنفيذ أوامر SQL لتشغيل الأنشطة الضارة.
ولكن إذا قمت بتغيير اسم الجدول ، فيمكن أن يمنع المتسللين من العثور على مكان وجود البرامج النصية. لذلك عندما يحاول المتسللون إدخال أكواد SQL في جداول قاعدة البيانات الخاصة بك ، فلن يتمكنوا من معرفة اسم الجدول.
يمكنك القيام بذلك باستخدام مكون إضافي مثل Change Table Prefix أو Brozzme. ما عليك سوى تثبيت أحدها على موقعك واتباع الخطوات.
يمكنك أيضًا القيام بذلك يدويًا عن طريق تحرير ملف wp-config. كلمة تحذير - خطأ طفيف هنا قد يؤدي إلى أخطاء في قاعدة البيانات وأعطال في الموقع. خذ نسخة احتياطية قبل المتابعة.
انتقل إلى حساب الاستضافة الخاص بك> cPanel> مدير الملفات.
هنا ، قم بالوصول إلى المجلد public_html وانقر بزر الماوس الأيمن على ملف wp-config.
حدد تحرير وابحث عن الكود التالي “$ table_prefix = 'wp_'؛”
استبدلها بـ - “$ table_prefix = 'test_'؛”
يمكنك اختيار أي بادئة من اختيارك. هنا اخترنا "test_" كاسم قاعدة البيانات الجديد. بمجرد الانتهاء من ذلك ، لن يتمكن المتسللون من تحديد موقع أوامر SQL الخاصة بهم.
2. مراقبة إدخالات الحقول وتقديم البيانات
يمكنك تكوين جميع حقول الإدخال على موقع الويب الخاص بك لقبول أنواع معينة فقط من البيانات. على سبيل المثال ، يجب أن يسمح حقل الاسم بإدخالات ألفا (الأحرف) فقط لأنه لا يوجد سبب لإدخال الأحرف الرقمية هنا. وبالمثل ، يجب أن يقبل حقل رقم جهة الاتصال الأرقام فقط.
يمكنك استخدام وظيفة sanitize_text_field () التي تعقم مدخلات المستخدم. يتأكد هذا التحقق من صحة الإدخال من إمكانية حظر الإدخالات غير الصحيحة أو الخطيرة ببساطة.
3. تقوية موقع WordPress الخاص بك
هذه واحدة من أهم الخطوات التي يمكنك اتخاذها لحماية موقع WordPress الخاص بك من هجمات حقن SQL. ما هو تصلب الموقع؟
يقدم لك موقع WordPress العديد من الوظائف لمساعدتك في تشغيل الموقع. ومع ذلك ، فإن غالبية الناس لا يستخدمون العديد من هذه الوظائف. يوصي WordPress.org بتعطيل أو إزالة بعضها إذا لم تستخدمها. سيؤدي ذلك إلى تقليل فرص الهجمات نظرًا لوجود عناصر أقل يمكن للمتسللين تجربتها!
بعض إجراءات تقوية WordPress هي:
تعطيل محرر الملف
تعطيل البرنامج المساعد أو تثبيتات السمة
تنفيذ المصادقة الثنائية
الحد من محاولات تسجيل الدخول
تغيير الأملاح ومفاتيح أمان WordPress
منع تنفيذ PHP في مجلدات غير معروفة
لتنفيذ هذه الإجراءات ، يمكنك استخدام مكون إضافي مثل MalCare يتيح لك القيام بذلك ببضع نقرات.
أو يمكنك تنفيذه يدويًا باتباع دليلنا على WordPress Hardening.
هذا يقودنا إلى نهاية منع هجمات حقن SQL. إذا قمت بتنفيذ الإجراءات التي ناقشناها في ورقة الغش الخاصة بحقن SQL ، فسيكون موقعك آمنًا
[ss_click_to_tweet tweet = ”يمكن منع هجمات حقن SQL! استخدم هذا الدليل لتنفيذ إجراءات الأمان الصحيحة على موقع WordPress الخاص بك. " المحتوى = ”” style = ”افتراضي”]
افكار اخيرة
الوقاية خير من العلاج حقًا. يمكن أن تسبب هجمات حقن SQL ضغوطًا لا داعي لها وعبئًا ماليًا شديدًا.
يمكن تنفيذ معظم الإجراءات التي ناقشناها اليوم بسهولة باستخدام المكونات الإضافية. لذلك لا داعي للقلق إذا لم تكن خبيرًا في التكنولوجيا! لا يزال بإمكانك حماية نفسك!
إلى جانب تنفيذ هذه الإجراءات ، نقترح بشدة تفعيل MalCare على موقعك. جدار الحماية الخاص به سوف يدافع بنشاط عن موقع الويب الخاص بك ضد الهجمات. يقوم بفحص موقعك كل يوم للتحقق من محاولات الاختراق والبرامج الضارة على موقعك.
يمكنك التفكير في الأمر على أنه حارس أمان موقع الويب الخاص بك الذي يراقب موقعك ويبعد الأشرار. يمكنك التمتع براحة البال مع العلم أن موقعك محمي.
منع هجمات الاختراق باستخدامالبرنامج الإضافي MalCare Security الخاص بنا!
