لماذا لا قيمة الماسحات الضوئية للبرامج الضارة في WordPress
نشرت: 2023-07-18يكشف بحث جديد من Snicco و WeWatchYourWebsite و GridPane المدعوم من Automattic و PatchStack أن الماسحات الضوئية للبرامج الضارة في WordPress والتي تعمل كمكونات إضافية في بيئة مخترقة معيبة بشكل أساسي. الماسحات الضوئية للبرامج الضارة هي أدوات تنظيف في أحسن الأحوال للمواقع التي تم اختراقها بالفعل. إنهم ليسوا خط دفاع قوي ، ويتم هزيمتهم بنشاط من قبل البرامج الضارة في البرية في الوقت الحالي . اترك اكتشاف البرامج الضارة لمضيف عالي الجودة. ركز سياسات الأمان الخاصة بك على تقوية مصادقة تسجيل الدخول ، وإدارة المستخدم ، والتفويض المناسب للامتيازات ، وإدارة الإصدار اليقظة.
حتى عام 2000 وما بعده: لقد تجاوزت ماسحات البرامج الضارة فائدتها
تعود المكونات الإضافية للكشف عن البرامج الضارة في WordPress إلى عام 2011 تقريبًا ، عندما كانت هجمات حقن SQL شائعة وفعالة. سيتذكر أي شخص يعمل مع WordPress في ذلك الوقت مكتبة تحرير صور شائعة الاستخدام تسمى TimThumb. لقد تعرض لعمليات استغلال يوم الصفر بنتائج مروعة لملايين المواقع.
كان هذا هو سياق الطوارئ الذي نشأت عنه إضافات أمان WordPress - كرد فعل. لا تزال بعض المكونات الإضافية للأمان اليوم تشبه Norton Security و McAfee Anti-Virus. كانت تلك تطبيقات أمان شائعة لنظام التشغيل Windows منذ 20 إلى 30 عامًا. ولكن كما قال جون مكافي بعد تركه الشركة التي أنشأها ، فقد تم تحويل ماسح مكافحة الفيروسات الخاص به إلى "bloatware". في رأيه ، كان "أسوأ برنامج في العالم".
يمكن استخلاص استنتاجات مماثلة اليوم حول الماسحات الضوئية للبرامج الضارة في WordPress استنادًا إلى النتائج الأخيرة للعديد من باحثي الأمان في WordPress.
"لا يمكن الوثوق بالبيئة المعرضة للخطر بالفعل لتحليل نفسها."
وهم الأمان: وضع ماسحات البرامج الضارة في WordPress على المحك
في الجزء الأول من سلسلة بعنوان "Malware Madness: لماذا كل ما تعرفه عن برنامج WordPress Malware Scanner خاطئ" ، يشارك الباحث الأمني في WordPress كالفن ألكان (مؤسس شركة الحماية Snicco) بعضًا من أعماله. عمل Alkan مع Patrick Gallagher (الرئيس التنفيذي لشركة GridPane والشريك المؤسس) وتوماس رائف (المالك ، WeWatchYourWebsite.com) لمعرفة ما إذا كان من الممكن هزيمة ماسحات البرامج الضارة. مما لا يثير الدهشة ، اتضح أنه يمكن هزيمتهم - بسهولة شديدة. قدم Patchstack تأكيدًا مستقلاً لنتائج Alkan.
الماسحات الضوئية المحلية: المكالمة قادمة من داخل المنزل
في اختباراتهم ، نظر ألكان ومعاونوه لأول مرة إلى الماسحات الضوئية المحلية. يقوم كل من Wordfence و WPMU Defender والإصدار المجاني من All-In-One Security (AIOS) و NinjaScanner بجميع أعمالهم على نفس الخادم مثل موقع WordPress الذي تم تثبيته عليه. هذا يعني أن الماسحات الضوئية للبرامج الضارة تستخدم نفس عملية PHP مثل WordPress والبرامج الضارة التي تصيبه. لا يوجد ما يمنع البرامج الضارة من التفاعل النشط مع الماسح. يمكن للبرامج الضارة تعطيل أي مكونات إضافية للأمان تكتشفها ، أو تضع نفسها في القائمة البيضاء (تم الإبلاغ عنها في 2018) ، أو تتلاعب بالماسحات الضوئية حتى لا تكتشف التطفل.
"يعمل كل من Malware Scanner والبرامج الضارة في نفس عملية PHP. وهذا يعني أن البرامج الضارة يمكنها التلاعب أو التلاعب بوظيفة الماسح - السيناريو المكافئ هو أن يعمل المدعى عليه كقاضي خاص به في محاكمة المحكمة ".
بعد ذلك ، أنتج ألكان وشركاؤه أدلة عملية على المفهوم للتغلب على ماسحات البرامج الضارة. (لقد عرضوا أيضًا مشاركة مجموعات الثغرات الخاصة بهم بشكل خاص مع الباحثين والموردين الأمنيين). وفقًا لما ذكره الرئيس التنفيذي لشركة Patchstack ، أوليفر سيلد ، تتكون مجموعات الثغرات من بضعة أسطر فقط من التعليمات البرمجية.
وجد Alkan أيضًا أن البرامج الضارة "المقدمة" ، "التي تبني نفسها ديناميكيًا باستخدام PHP" ، لا يمكن اكتشافها بواسطة ماسحات البرامج الضارة المحلية. أخيرًا ، فشلت أجهزة الفحص المحلية في اكتشاف البرامج الضارة "قيد المعالجة". هذا النوع من البرامج الضارة "يتم تنفيذه مرة واحدة ثم يحذف نفسه من النظام ، ولا يترك أي أثر لوجوده".
الماسحات الضوئية عن بُعد: هزمها العبث بالأدلة وتطهير مسرح الجريمة
تشمل الماسحات الضوئية التي تقوم بتحليلها على خادم بعيد Malcare و Virusdie و All-In-One Security (AIOS) Pro و Sucuri و JetPack Scan. تتميز طرق المسح عن بُعد الجديدة هذه بالعديد من المزايا ، بما في ذلك تقليل البصمة والتأثير على أداء الخادم المحلي. تستخدم الماسحات الضوئية المحلية موارد خادم موقعك للقيام بعملها ، والتي لها تكلفة أداء. يتم أيضًا حماية تحليل البرامج الضارة عن بُعد من التلاعب نظرًا لأنه لا يحدث في نفس عملية PHP مثل الإصابة بالبرامج الضارة النشطة.
ما تتعرض له الماسحات الضوئية عن بُعد هو البرامج الضارة التي تتلاعب بالبيانات المرسلة مرة أخرى إلى الخادم البعيد لتحليلها. قام Alkan ببناء إثبات مفهوم آخر يوضح أنه يمكن هزيمة الماسحات الضوئية عن بُعد بهذه الطريقة - بإخفاء "الدليل" على إصابة البرامج الضارة. أكد أوليفر سيلد هذه النتيجة أيضًا:
"يمكن تحقيق التلاعب بالبيانات من الناحية المفاهيمية مع كون البرنامج المساعد المحلي هدفًا للخداع. لقد تلقينا دليلًا على المفهوم يوضح ذلك بوضوح ".
قد يتضمن أسلوب البرامج الضارة المختلف قليلاً "تنظيف مسرح الجريمة" وعدم ترك أي أثر للعدوى ليتم فحصها. اقترح ألكان أن هذا ممكن لكنه لم يقدم دليلاً على المفهوم.
من المهم ملاحظة أن فحص سلامة الملف الذي يبحث عن تغييرات غير مصرح بها يمكن أن يكون مفيدًا عندما تحاول الكشف عن إصابة بالبرامج الضارة. يقارن هذا النوع من الفحص الملفات المحلية بمستودع رمز محمي بعيد للكشف عن التغييرات غير الرسمية في WordPress الأساسية أو ملفات المكونات الإضافية والقوالب. لسوء الحظ ، يمكن هزيمة اكتشاف التغيير إذا تم العبث بالعملية بواسطة البرامج الضارة.
ليس مجرد افتراضية: البرامج الضارة تعمل بالفعل على تعطيل الماسحات الضوئية للأمان في WordPress في البرية
بعد مجموعات استغلال Alkan ، يأتي أكبر كشف في تقرير Snicco من Thomas Raef ، الرئيس التنفيذي لموقع We Watch Your Website ، الذي يكتشف وينظف مواقع WordPress التي تم اختراقها:
"على مدار الستين يومًا الماضية ، تم اختراق 52848 موقعًا باستخدام WordFence المثبت قبل الإصابة. تلاعبت البرامج الضارة المثبتة بملفات WordFence في 14٪ من الحالات (7،399) . الخدمات الشعبية الأخرى لديها نسب أعلى ؛ وصلت نسبة MalCare إلى 22٪ و VirusDie بنسبة 24٪ ".
للحصول على حساب مفصل عن تحليل We Watch الخاص بك على الويب ، راجع تقرير Thomas Raef ، "كيف حددنا ما يقرب من 150 ألف موقع WordPress تم اختراقها في 60 يومًا".
انتهت هذه اللعبة بالنسبة للمكونات الإضافية لمسح البرامج الضارة. يخبرنا أن مسح البرامج الضارة في WordPress هو مسرح أمني خالص - "ممارسة اتخاذ الإجراءات الأمنية التي تعتبر لتوفير الشعور بتحسن الأمان مع عدم القيام إلا بالقليل أو لا شيء لتحقيق ذلك."
لا شك في أن هذا كان يحدث لفترة طويلة أيضًا.
قالت كاثي زانت ، المخضرمة في صناعة الأمن ومديرة التسويق في Kadence ، لألكان:
"على مدار 18 شهرًا تقريبًا ، كنت أقوم بتنظيف مواقع WordPress لشركة معروفة في WordPress ، وإزالة البرامج الضارة من أكثر من 2000 موقع خلال فترة ولايتي. كان أقرب إطار زمني رأيته [البرامج الضارة تتغلب على عمليات المسح للبرامج الضارة] في منتصف إلى أواخر عام 2017. [….] أنا متأكد من أنه لا يزال موجودًا. ويمكن أن يكون هناك متغيرات إضافية تؤدي إجراءات مماثلة ، أو حتى أسوأ من ذلك ".
هذه هي الأخبار السيئة: لا يمكن الوثوق بأجهزة فحص البرامج الضارة. النبأ السار هو أنهم لم يقدموا أبدًا دفاعًا حقيقيًا. إذا كان كل ما فقدته هو وهم الأمان ، فهذه في الواقع خطوة نحو الحصول على أمان حقيقي.
كيفية تأمين موقع WordPress الخاص بك - بشكل صحيح
بعد تقرير مثل تقرير Snicco ، فإن السؤال الكبير هو ، "كيف يمكن لمواقع WordPress تحقيق ثقة عالية في أمنها؟"
يعتقد Alkan أن طرق الأمان يجب أن تكون مخصصة لكل حزمة خادم ، وأن فحص البرامج الضارة من جانب الخادم الذي يقوم به المضيف هو النوع الوحيد الجدير بالاهتمام من الفحص لمالكي الموقع.
ويشدد على أن "إضافات أمان WordPress يجب أن تقوم فقط بالأشياء التي يمكن القيام بها على أفضل وجه في طبقة التطبيق / PHP".
"يحتاج مجتمع WordPress إلى تحويل نهج الأمان الخاص به من الاكتشاف إلى المنع مع الحفاظ على أهمية فحص البرامج الضارة للتحقق من فعالية" الطبقات العليا "للأمان."
يعتبر الأمان القوي لتسجيل دخول المستخدم مثل المصادقة الثنائية ومفاتيح المرور المقترنة بأمان الجلسة من المجالات التي يقول ألكان أن مكونات WordPress الإضافية يمكن أن تساعد - المكونات الإضافية مثل أمان iThemes. كانت هذه دائمًا الفلسفة التوجيهية لفريق التطوير لدينا - المكون الإضافي للأمان هو الأنسب لتقوية المواقع وتقليل سطح الهجوم.
تتضمن الطرق الأساسية الأخرى لتقوية دفاعات موقع WordPress الخاص بك إدارة دقيقة للمستخدم وفقًا لمبدأ الامتياز الأقل: لا تمنح المستخدم مطلقًا قوة أكبر مما هو ضروري. وبالنسبة للمستخدمين الأكثر امتيازًا ، فإنهم يحتاجون إلى مستوى أعلى من الأمان - 2FA ، ومفاتيح المرور ، والأجهزة الموثوقة ، وكلمات المرور القوية التي لم تظهر مطلقًا في خرق معروف.
تستهدف اتجاهات الهجوم اليوم بذكاء الشركات الصغيرة إلى المتوسطة الحجم بحشو كلمات المرور والتصيد الاحتيالي والتصيد بالرمح. تستغل نواقل الهجوم هذه ضعف مصادقة تسجيل الدخول والخطأ البشري. يستخدمون القوة الغاشمة وتكتيكات الهندسة الاجتماعية الذكية لتسوية حسابات المستخدمين الفردية. مسلحًا بحساب مستخدم مخترق ، يمكن للمهاجم إحداث الكثير من الضرر. قد يتسببون في ضرر أكبر إذا رأوا أيضًا مكونًا إضافيًا ضعيفًا لاستغلاله. بمجرد دخولك إلى نظامك ، يمكن للمهاجم إنشاء أبواب خلفية للعودة إليها في أي وقت.
لن يوقفها المكون الإضافي للأمان الذي يؤكد على ماسح البرامج الضارة.
أفضل مكون إضافي لأمن WordPress لتأمين وحماية WordPress
يشغل WordPress حاليًا أكثر من 40٪ من جميع مواقع الويب ، مما يجعله هدفًا كبيرًا ومألوفًا لمجرمي الإنترنت. يزيل المكون الإضافي iThemes Security Pro التخمين من أمان WordPress لتسهيل تأمين موقع الويب الخاص بك على WordPress وحمايته. يشبه الأمر وجود خبير أمان بدوام كامل بين الموظفين الذين يراقبون ويحمون موقع WordPress الخاص بك باستمرار.
دان كناوس هو اختصاصي المحتوى الفني في StellarWP. لقد كان كاتبًا ومدرسًا ومستقلًا يعمل في مصدر مفتوح منذ أواخر التسعينيات ومع WordPress منذ عام 2004.