من المحتمل أن الآلاف من مواقع WordPress تستخدم مكونات إضافية ضعيفة: إليك كيفية الحفاظ على أمان موقعك

في مارس 2024، تم اكتشاف ثغرة أمنية خطيرة في مكون WordPress الإضافي WordPress Automatic. يتوفر WordPress Automatic في سوق Code Canyon، وهو عبارة عن أداة استخراج محتوى تلقائية تسترد المقالات ومقاطع الفيديو والمنتجات والصور وأنواع المحتوى الأخرى من مصادر خارجية وتعيد نشر هذا المحتوى على موقع الويب الخاص بك تلقائيًا.

اكتشفت شركة الأبحاث Patchstack الثغرة الأمنية، التي مكنت الجهات الفاعلة الخبيثة من استخدام هجمات حقن SQL للسيطرة الكاملة على مواقع الويب الضعيفة. كانت جميع أنواع مواقع الويب - من متاجر السجائر الإلكترونية إلى المدونات الشخصية - عرضة للهجوم إذا استخدمت إصدارًا غير مُصحح من البرنامج الإضافي.

على الرغم من تصحيح البرنامج الإضافي على الفور، إلا أن بعض مالكي مواقع الويب لم يقوموا بتثبيت التصحيح لأنهم لم يكونوا على علم بخطورة المشكلة. تشير مراجعات المستخدمين الأخيرة للمكون الإضافي WordPress Automatic إلى أن عددًا قليلاً من مواقع الويب على الأقل قد فُقدت تمامًا بسبب الثغرة الأمنية.

لا يوجد موقع ويب محصن تمامًا ضد القرصنة، ويعد WordPress - الذي يشغل ما يقرب من 43 بالمائة من جميع مواقع الويب في العالم - هدفًا ذا أولوية للجهات الفاعلة الضارة.

ومع ذلك، إليك الأخبار الجيدة: عندما يتم اختراق موقع ويب، لا يكون ذلك عادةً بسبب قيام أحد المتسللين باستهداف هذا الموقع على وجه التحديد. في كثير من الأحيان، يتم اختراق مواقع الويب لأنها تقوم بتشغيل سمات WordPress أو المكونات الإضافية الضعيفة التي تم اكتشافها من خلال استخدام الماسحات الضوئية الآلية.

بمعنى آخر، إذا لم يكن موقعك يحتوي على ثغرة أمنية معروفة يمكن العثور عليها بسهولة باستخدام الماسح الضوئي واستغلالها بوسائل آلية، فعادةً ما يمضي المتسللون قدمًا.

مع أخذ ذلك في الاعتبار، يمكنك الحفاظ على موقع WordPress الخاص بك آمنًا تمامًا عن طريق اتباع بعض ممارسات الأمان المنطقية. في هذا الدليل، سنشرح بالضبط ما يتعين عليك فعله لتقليل مخاطر المكونات الإضافية غير الآمنة التي تتسبب في توقف موقعك في الوقت المناسب.

قم بتحديث المظهر والمكونات الإضافية الخاصة بك على الفور

عند تسجيل الدخول إلى WordPress، سترى دائمًا إشعارًا في الشريط الجانبي إذا كانت هناك تحديثات متاحة لموضوع موقعك أو المكونات الإضافية. في بعض الحالات، سيعرض المكون الإضافي الذي يحتوي على تحديث معلق رسالة في أعلى الصفحة. إذا كان موقعك يحتوي على عدد كبير من المكونات الإضافية، فقد ترى إشعارات التحديث في كل مرة تقوم فيها بتسجيل الدخول تقريبًا وقد تميل أحيانًا إلى المماطلة عندما يتعلق الأمر بتنزيل هذه التحديثات وتثبيتها. ومع ذلك، فإنك تفعل ذلك على مسؤوليتك، لأنك لا تعرف أبدًا متى قد يتضمن التحديث إصلاحًا لمشكلة أمنية حرجة.

تم تحديث المكون الإضافي WordPress التلقائي على الفور عندما تم إخطار منشئه بشأن الخلل الأمني. ومع ذلك، ورد أن اتفاقية عدم الإفصاح منعت منشئ البرنامج الإضافي من مناقشة الخلل حتى تم نشره بواسطة Patchstack. ولهذا السبب تجاهل بعض المستخدمين التحديث.

الحفاظ على النسخ الاحتياطية الكاملة للموقع وقاعدة البيانات

لقد أصبح من الشائع أكثر بالنسبة لمضيفي الويب تقديم نسخ احتياطية تلقائية كاملة لموقع الويب وقاعدة البيانات، وهو أمر رائع بالنسبة للأمان. إذا تم اختراق موقع الويب الخاص بك، فإن توفر نسخة احتياطية يعني أنه يمكنك استعادة الموقع إلى حالته السابقة - أحيانًا بنقرة واحدة. إذا كان مضيفك لا يقدم هذه الخدمة، فيمكن للعديد من مكونات WordPress الإضافية القيام بهذه المهمة نيابةً عنك. ومع ذلك، من المهم الاحتفاظ بمكتبة من النسخ الاحتياطية من عدة نقاط زمنية مختلفة. إذا تم اختراق موقع الويب الخاص بك، فقد يستغرق الأمر بعض الوقت قبل أن تلاحظ ذلك.

فكر في تشغيل مكون إضافي للأمان

إذا كان موقع الويب الخاص بك هو عملك، فليس هناك عذر لعدم وجود حل أمني من نوع ما. يمكن للمكون الإضافي للأمان مراقبة محاولات الوصول تلقائيًا وحظر المستخدمين الذين يبدو أنهم ضارون. توفر بعض شبكات توصيل المحتوى هذه الخدمة أيضًا. يمكن للمكون الإضافي للأمان أيضًا مراقبة ملفات موقعك والتعليمات البرمجية الأولية وإعلامك إذا تغير أي شيء بشكل غير متوقع. إذا بدأت الملفات الجديدة في الظهور فجأة على الخادم الخاص بك، فمن المحتمل أن يكون موقعك قد تم اختراقه.

احصل على السمات والمكونات الإضافية من مصدر موثوق به

يعد مستودع WordPress دائمًا المكان الأكثر موثوقية للعثور على السمات والمكونات الإضافية لموقعك. نظرًا لأن كل شيء على موقع WordPress.org مجاني ومفتوح المصدر، فإن جميع المكونات الإضافية والموضوعات الموجودة هناك تتم مراقبتها بواسطة مجتمع كبير جدًا من متطوعي WordPress. ومع ذلك، في كثير من الحالات، قد تحتاج إلى وظائف غير متوفرة في قالب أو مكون إضافي مجاني - وفي هذه الحالة، سيتعين عليك الدفع مقابل البرامج المتميزة. تأكد من قيام شخص ما بمراجعة الكود وإعلان أنه آمن.

إزالة السمات والمكونات الإضافية غير المستخدمة

يجب التعامل مع كل سمة وكل مكون إضافي مثبت على موقع WordPress الخاص بك على أنه ثغرة أمنية محتملة لأن هذا هو بالضبط ما يفعله المتسللون - فهم يقومون باستمرار بفحص كل جزء من كود WordPress الموجود ويبحثون عن نقاط الضعف لاستغلالها. في كل مرة تقوم فيها بإزالة سمة أو مكون إضافي من موقعك، فإنك تقوم بإزالة نقطة دخول محتملة. انتقل إلى المكونات الإضافية والموضوعات الخاصة بموقعك وقم بإزالة أي شيء لا تستخدمه. إنها فكرة جيدة أيضًا أن تبحث في المكونات الإضافية النشطة لديك وتتأكد من أنك تحتاج إليها جميعًا حقًا.

ابحث عن بدائل للمكونات الإضافية المهجورة

هل مر وقت طويل منذ آخر مرة رأيت فيها إشعار تحديث لمكون إضافي معين؟ إذا كان الأمر كذلك، فقد تحتاج إلى التحقق من سجل تغييرات المكون الإضافي لتحديد تاريخ آخر تحديث له. ما لم تكن وظيفة المكون الإضافي بسيطة للغاية، فيجب عليك اعتبارها مهجورة من قبل المؤلف إذا لم يتم تحديثها منذ أكثر من عام أو نحو ذلك. في هذه الحالة، يجب عليك البحث عن مكون إضافي يوفر نفس الوظيفة ولا يزال يتم تحديثه بشكل نشط. يمكن أن تكمن الثغرات الأمنية في المكونات الإضافية القديمة لفترة طويلة قبل أن يتم اكتشافها - وإذا لم يعد المؤلف يقوم بتحديث المكون الإضافي الذي يحتوي على ثغرة، فلن يتم إصلاح الثغرة الأمنية أبدًا.

استعِن بمطوِّر لتدقيق المكونات الإضافية والسمات القديمة

لنفترض أن موقع الويب الخاص بك يحتوي على مكون إضافي للمهام الحرجة وقد تخلى عنه المطور ولم يعد يتم تحديثه. في هذه الحالة، أنت وحدك عندما يتعلق الأمر بالتأكد من أن المكون الإضافي آمن وخالي من الثغرات الأمنية. في هذه الحالة، سيكون تعيين مطور وجعل هذا الشخص يقوم بتدقيق المكون الإضافي نيابةً عنك فكرة جيدة جدًا. قد تصبح صيانة المكون الإضافي بمثابة نفقات مستمرة حتى تجد بديلاً له.