استخدام OWASP Top 10 لتحسين أمان WordPress
نشرت: 2018-08-23يمكن أن يكون أمان WordPress موضوعًا مخيفًا لأولئك الجدد على WordPress ولديك موقع ويب. ومع ذلك ، مع الامتثال والمعايير مثل قائمة OWASP لأفضل 10 أعمال ، يمكن بسهولة بدء استخدام أمان WordPress.
تشرح هذه المقالة ما هي قائمة OWASP العشرة الأوائل. يشرح أيضًا كيف يمكن لمسؤولي موقع WordPress الحصول على موقع ويب متوافق مع Owasp Top 10 WordPress .
ما هي قائمة أواسب العشرة الأوائل؟
OWASP Top 10 هي قائمة بأهم 10 مخاطر لأمان تطبيقات الويب. على هذا النحو ، فهو ليس معيارًا للامتثال في حد ذاته ، ولكن العديد من المنظمات تستخدمه كمبدأ توجيهي. نشرت منظمة Open Web Application Security Project (OWASP) القائمة الأولى في عام 2003. وهي تصدر الآن قائمة محدثة كل ثلاث سنوات.
ما هي أهم 10 نقاط ضعف ومخاطر أمنية في OWASP؟
نشرت OWASP أحدث قائمة OWASP لأفضل 10 في عام 2017. وفيما يلي قائمة المخاطر الأمنية فيها:
A1: الحقن
A2: المصادقة معطلة
A3: التعرض للبيانات الحساسة
A4: كيانات XML الخارجية
A5: كسر التحكم في الوصول
ج 6: خطأ في التكوين الأمني
A7: البرمجة النصية عبر المواقع (XSS)
A8: إلغاء التسلسل غير الآمن
ج ٩: استخدام المكونات ذات الثغرات الأمنية المعروفة
A10: التسجيل والمراقبة غير كافيين
تطبيق OWASP Top 10 Security على WordPress الخاص بك
يشرح هذا القسم ما عليك القيام به للتأكد من أن موقع WordPress الخاص بك ليس عرضة لأي من نقاط الضعف والعيوب الأمنية في OWASP.
معالجة A1: الحقن في WordPress
يُعد حقن SQL ثغرة أمنية في التطبيق التقني تنتج عادةً عن نقص تطهير مدخلات المستخدم. من خلال استغلالها ، يمكن للقراصنة الخبثاء الوصول إلى البيانات في قاعدة بيانات WordPress.
عادةً ما يقوم فريق WordPress الأساسي بإصلاح نقاط ضعف الحقن في غضون أيام قليلة. الأمر نفسه ينطبق على معظم مطوري مكونات WordPress الإضافية. ولهذا السبب من المهم دائمًا استخدام المكونات الإضافية التي يتم صيانتها جيدًا والتي تم تطويرها بواسطة مطورين مستجيبين.
الطريقة الوحيدة التي يمكنك من خلالها التأكد من أن جوهر WordPress والمكونات الإضافية والسمات الخاصة بك ليست عرضة لهذا النوع من الثغرات الأمنية هي الحفاظ على تحديث جميع برامجك. قم دائمًا بتثبيت جميع تصحيحات الأمان التي أصدرها المطورون.
معالجة A2: معطلة المصادقة في WordPress
هذا النوع من الثغرات الأمنية هي أيضًا ثغرات فنية. هذه الثغرات ناتجة عن تصميم معطل لتطبيق الويب ، ونقص في التخطيط. يمكن للمهاجمين استغلال مشكلات المصادقة المعطلة للوصول إلى البيانات الحساسة.
يمكن للمطورين فقط معالجة هذه القضايا. طالما أنك تستخدم أحدث إصدار من WordPress core والمكونات الإضافية ، فلن يكون موقع الويب الخاص بك عرضة لمثل هذه الثغرات الأمنية. بالطبع ، بافتراض أنك تستخدم دائمًا مكونات إضافية جيدة الصيانة.
على الرغم من أننا نتحدث عن المصادقة ، فمن الجدير تذكيرك بتنفيذ المصادقة ذات العاملين على موقع WordPress الخاص بك . إذا لم تكن متأكدًا من المكون الإضافي الذي يجب استخدامه ، فإليك قائمة ببعض أفضل مكونات WordPress للمصادقة الثنائية .
معالجة A3: التعرض للبيانات الحساسة في WordPress
أصبح التعرض للبيانات الحساسة مشكلة كبيرة. يتم عرض خروقات البيانات بشكل شبه يومي في أخبار أمن الويب. في الواقع ، تركز متطلبات اللائحة العامة لحماية البيانات (GDPR) ومتطلبات الامتثال التنظيمي الأخرى بشكل كبير على الحاجة إلى التعامل مع البيانات الحساسة والشخصية وتخزينها بشكل صحيح.
وفقًا لـ GDPR ، البيانات الحساسة والشخصية هي أي بيانات متعلقة بمستخدم يمكن التعرف عليه. يمكن أن يكون اسم عملائك وتفاصيل الفواتير الخاصة بهم وبيانات حامل البطاقة في حالة وجود موقع ويب للتجارة الإلكترونية. في حالة الخدمات المالية ، يمكن أن تكون أيضًا تفاصيل الحساب المصرفي ، أو في الرعاية الصحية يمكن أن يكون تاريخهم الطبي. لاحظ أنه على الرغم من إمكانية تصنيف عنوان IP على أنه بيانات حساسة ، فلا يزال بإمكانك الاحتفاظ بسجل نشاط WordPress ، والذي يسمح لك بتتبع كل ما يحدث على مواقع الويب الخاصة بك.
للتأكد من أن موقع WordPress الخاص بك متوافق ، إذا قمت بتخزين بيانات حساسة على موقع WordPress الخاص بك ، فتأكد من أن المستخدمين الذين يحتاجون إلى استخدام البيانات فقط يمكنهم الوصول إليها ، وبالطبع يجب تشفير البيانات. استخدم دائمًا مستخدمي WordPress وأدواره لتحسين إدارة امتيازات المستخدمين والوصول إلى البيانات الحساسة.
هل يجب عليك تخزين البيانات الحساسة على موقع WordPress الخاص بك؟
لا توجد إجابة نهائية. كل هذا يتوقف على الإعداد والموارد. على الرغم من أن الشركات الصغيرة عادة ما تكون أفضل حالًا في تخزين البيانات على مزود طرف ثالث.
على سبيل المثال ، في حالة وجود متجر للتجارة الإلكترونية ، يكون استخدام أنظمة الدفع مثل Stripe أو PayPal أسهل بكثير للتعامل مع بيانات حامل البطاقة وتخزينها. لديهم البنية التحتية الموجودة بالفعل. راجع دليلنا حول أمان التجارة الإلكترونية لمسؤولي WordPress للحصول على مزيد من المعلومات حول كيفية الاحتفاظ بموقع تجارة إلكترونية آمن وتشغيله.
الأمر نفسه ينطبق على عناوين البريد الإلكتروني للعملاء وقوائم الرسائل الإخبارية. من الناحية المثالية ، يجب ألا تخزن مثل هذه البيانات على موقع الويب الخاص بك. استخدم خدمة طرف ثالث ، مثل Mailchimp لتخزين البيانات على بنية أساسية أكثر أمانًا وموثوقية ، بدلاً من موقع WordPress الخاص بك.
عنونة A4: كيانات XML الخارجية (XXE) في WordPress
هذه ثغرة أمنية في البرامج الفنية. يحدث هذا عندما يتعامل التطبيق بشكل غير صحيح مع ملفات وبيانات XML. لا يتعامل تثبيت WordPress خارج الصندوق كثيرًا مع ملفات XML البعيدة ، على الرغم من أنك قد تستخدم مكونات إضافية تفعل ذلك.
للتأكد من أن موقع WordPress الخاص بك ليس عرضة لمثل هذا النوع من الثغرات الأمنية ، استخدم أحدث إصدار من WordPress core والمكوِّن الإضافي والبرامج الأخرى. استخدم دائمًا المكونات الإضافية التي يتم الاحتفاظ بها. ضع في اعتبارك تغيير أي مكون إضافي تستخدمه ولم يتم تحديثه منذ أكثر من عام.
معالجة A5: تعطل التحكم في الوصول في WordPress
هذه ثغرة أمنية للتطبيق الفني. تحدث هذه المشكلة عندما لا يفرض التطبيق القيود اللازمة على المستخدمين المصادق عليهم. لذلك عندما يستغل المهاجمون مثل هذه الثغرات الأمنية ، يمكنهم الوصول إلى البيانات الحساسة.
يمكن للمطورين فقط إصلاح هذا النوع من المشكلات. لضمان عدم تعرض موقع الويب الخاص بك للخطر ، حافظ على تحديث WordPress الأساسي والمكونات الإضافية والبرامج الأخرى التي تستخدمها على موقع الويب الخاص بك.
معالجة A6: خطأ في التكوين الأمني في مواقع WordPress على الويب
تعد التكوينات الخاطئة للأمان شائعة جدًا في مواقع WordPress الإلكترونية. يعد البرنامج غير المصحح واستغلال الإعدادات الافتراضية من أكثر الهجمات الناجحة شيوعًا على مواقع WordPress الإلكترونية. في السنوات القليلة الماضية ، قام فريق WordPress الأساسي بعمل الكثير لمساعدة المستخدمين على معالجة مثل هذه المشكلات. على سبيل المثال ، لم يعد لدى WordPress اسم مستخدم افتراضي للمسؤول ، والذي كان السبب وراء العديد من عمليات اختراق WordPress.
للتأكد من أن موقع WordPress الخاص بك لا يحتوي على أي تكوينات أمنية خاطئة ، قم بتغيير جميع الإعدادات الافتراضية. ينطبق هذا على WordPress والمكونات الإضافية وأي برامج وجهاز آخر تستخدمه. على سبيل المثال ، إذا كان المكون الإضافي يحتوي على مجموعة افتراضية من بيانات الاعتماد ، أو لا يحمي البيانات الحساسة بكلمة مرور ، أو يخزنها في موقع افتراضي ، فقم بتكوين مصادقة قوية وتغيير المسارات الافتراضية. ينطبق هذا على أي برنامج وجهاز آخر تستخدمه بما في ذلك جهاز توجيه الإنترنت المنزلي الخاص بك ، والذي يحتوي عادةً على بيانات اعتماد افتراضية.
معالجة A7: البرمجة النصية عبر المواقع (XSS) في WordPress
تعد البرمجة النصية عبر المواقع ، والمعروفة أيضًا باسم XSS ، ثغرة أمنية للتطبيق الفني. وهي على الأرجح واحدة من أكثر الثغرات الأمنية شيوعًا. تحدث ثغرة XSS عندما لا يتم التحقق من صحة البيانات غير الموثوق بها وهروبها. عندما يستغل مهاجم ضار ثغرة أمنية في البرمجة النصية عبر المواقع ، يمكنه سرقة ملف تعريف ارتباط المستخدمين المسجلين وانتحال صفتهم. يمكنهم أيضًا اختطاف جلستهم.
يعالج فريق WordPress الأساسي عادةً مشكلات XSS التي تم الإبلاغ عنها في جوهرها في غضون أيام قليلة. لذلك للتأكد من أن جوهر موقع WordPress الخاص بك ، فإن المكونات الإضافية والسمات ليست عرضة لهذا النوع من الثغرات الأمنية ، استخدم دائمًا أحدث إصدار من البرنامج. أيضًا ، استخدم دائمًا المكونات الإضافية التي يتم الاحتفاظ بها.
معالجة A8: إلغاء التسلسل غير الآمن في WordPress
إلغاء التسلسل غير الآمن هو ثغرة أمنية للتطبيق الفني. يمكن أن تحدث مشكلة عدم الحصانة هذه عندما يستخدم التطبيق كائنات متسلسلة من مصادر غير موثوق بها دون إجراء فحوصات السلامة.
يعالج فريق WordPress الأساسي عادةً هذا النوع من المشكلات في غضون أيام قليلة. لذلك للتأكد من أن جوهر موقع WordPress الخاص بك ، فإن المكونات الإضافية والسمات ليست عرضة لهذا النوع من الثغرات الأمنية ، استخدم دائمًا أحدث إصدار من البرنامج.
معالجة A9: استخدام المكونات ذات الثغرات الأمنية المعروفة على موقع WordPress
قد يبدو عدم استخدام البرامج وتطبيقات الويب التي تحتوي على نقاط ضعف معروفة شيئًا واضحًا. على الرغم من أنه ليس كذلك للأسف. تقوم مؤسسة WordPress بالكثير في هذا الصدد. لديهم تحديثات تلقائية لنواة ووردبريس. يقوم فريق مراجعة مكونات WordPress بوضع علامات على المكونات الإضافية الموجودة في المستودع والتي لم يتم تحديثها لفترة من الوقت على أنها غير آمنة.
ومع ذلك ، ليس من السهل دائمًا على الشركات استخدام أحدث إصدار من البرامج وأكثرها أمانًا. يستخدم الكثيرون البرامج القديمة وتطبيقات الويب غير المتوافقة مع أحدث إصدار من WordPress أو المكونات الإضافية الأخرى. لذلك يتعين عليهم استخدام الإصدار القديم والضعيف من WordPress والمكونات الإضافية. في مثل هذه الحالات ، اتصل بالمطورين لتحديث الكود إن أمكن.
لضمان توافق موقع الويب الخاص بك ، هذا بديهي: استخدم دائمًا أحدث إصدار من WordPress core والمكونات الإضافية. أيضًا ، من المهم إلغاء تنشيط وإلغاء تثبيت أي مكونات إضافية ونصوص وسمات غير مستخدمة من موقع الويب الخاص بك. على سبيل المثال ، لا يقوم العديد من مسؤولي المواقع بحذف سمات WordPress الافتراضية والإضافات. إذا كنت لا تستخدمها ، فاحذفها.
ينطبق هذا أيضًا على البرامج الجديدة: عند البحث عن مكون إضافي جديد ، ابحث عنه دائمًا. اقرأ دليلنا حول كيفية اختيار مكون إضافي لبرنامج WordPress للحصول على مزيد من المعلومات حول ما يجب عليك فعله عند البحث عن مكون إضافي لبرنامج WordPress.
معالجة A10: التسجيل غير الكافي والمراقبة على WordPress
يعد التسجيل والمراقبة أمرًا حيويًا لأمان موقع WordPress الخاص بك والشبكة متعددة المواقع. تساعدك سجلات نشاط WordPress أيضًا على إدارة موقع الويب الخاص بك بشكل أفضل ، وتحديد السلوك المشبوه قبل أن يصبح مشكلة ، وضمان إنتاجية المستخدم وغير ذلك الكثير. تعرف على المزيد حول فوائد الاحتفاظ بسجل نشاط WordPress (سجل التدقيق) .
للتأكد من أن موقع WordPress الخاص بك متوافق ، قم بتثبيت سجل WP Security Audit ، وهو البرنامج الإضافي الأكثر شمولاً لسجل نشاط WordPress . سيحتفظ بسجل لكل ما يحدث على موقع WordPress الخاص بك والشبكة متعددة المواقع في سجل النشاط. راجع معالجة التسجيل غير الكافي باستخدام مكون إضافي لسجل نشاط WordPress للحصول على معلومات أكثر تفصيلاً حول كيفية معالجة هذا الجزء من قائمة OWASP Top 10.
بناء موقع WordPress متوافق مع OWASP مع OWASP Top 10
يمكن أن يكون أمان WordPress معقدًا ، خاصة عند التعامل مع إعدادات كبيرة. على الرغم من أن البدء وتغطية الأساسيات ليس بالأمر الصعب ، كما يوضح هذا المقال. يمكنك الحصول على أفضل 10 مواقع WordPress متوافقة مع OWASP من خلال الاهتمام بهذه الأساسيات:
- استخدم أحدث إصدار من نواة WordPress والإضافات والسمات ،
- تأكد من تغيير جميع الإعدادات الافتراضية في جوهر WordPress والمكونات الإضافية ،
- فرض سياسات كلمات المرور القوية ،
- تمكين المصادقة الثنائية مع مكون WordPress الإضافي للمصادقة الثنائية ،
- استخدم مستخدمي WordPress والأدوار بشكل مناسب ،
- احتفظ بسجل لكل ما يحدث على موقع الويب الخاص بك في سجل نشاط WordPress .
عزز أمان موقع WordPress الخاص بك باستخدام قائمة OWASP Top 10 كدليل. راجع صفحة OWASP Top 10 الرسمية لمزيد من المعلومات التفصيلية.