مشهد التهديدات الأمنية لـ WordPress لعام 2024: الاتجاهات والإحصائيات الرئيسية
نشرت: 2024-04-18أصدرت WPScan مؤخرًا مراجعتها لنقاط الضعف والتهديدات لعام 2023 لمواقع WordPress. مع وجود هذه المعلومات في متناول اليد، يمكن لأصحاب المواقع ومحترفي WordPress على حدٍ سواء التنقل في عام 2024 بأمان أكبر.
بقيادة خبراء أمنيين متخصصين، تحتفظ WPScan بقاعدة البيانات الرئيسية للتهديدات التي يتعرض لها نظام WordPress البيئي. يستخدمه كبار المتخصصين في جميع أنحاء الصناعة، ويعتبر WPScan المورد الأكثر اكتمالا المتاح. حتى الآن، قام WPScan والمساهمون بتحديد والتحقق من وتصنيف أكثر من 49000 نقطة ضعف.
يتم استخدام قاعدة البيانات من قبل المؤسسات مثل مجموعة مرسيدس بنز، وWP Engine، وAccenture، وKinsta. كما أنه يدعم أدوات أمان WordPress الشهيرة مثل Jetpack Scan، المتوفرة من خلال Jetpack Protect أو مع خطة Jetpack Security.
لماذا يوجد هذا التقرير؟ من أين تأتي المعطيات؟
يكرس فريق WPScan جهوده لتحديد التهديدات التي يتعرض لها نظام WordPress البيئي والتحقق منها وفهرستها، بحيث يمكن لأدوات أمان WordPress (مثل Jetpack Security) الحماية منها بشكل فعال وحماية المجتمع.
يعد تحديد التهديدات وفهمها بمثابة الخطوات الأولى في حماية الأمن السيبراني.
تم تجميع البيانات الواردة في هذا التقرير من الثغرات الأمنية التي كشفت عنها WPScan وتم التحقق منها من قبل الباحثين الأمنيين لديها، بالإضافة إلى عينة من أكثر من 350000 موقع ويب وخدمات Automattic تستخدم Jetpack Scan أو Jetpack Protect.
ماذا تعلمنا؟
ليس لديك الوقت لقراءة التقرير كاملا؟ لا تقلق. لقد قمنا بتغطيتك بملخص للنقاط الرئيسية.
تحظى XSS بالكثير من الاهتمام، لكن حقن SQL تمثل تهديدًا أكثر انتشارًا
تحظى البرمجة النصية عبر المواقع بالكثير من الاهتمام. غالبًا ما يتم الإبلاغ عنها بواسطة صائدي الثغرات الأمنية والباحثين الأمنيين (53% من جميع الثغرات الأمنية التي تم الكشف عنها).
لكن النوع الأكثر شيوعًا من التهديدات - كما هو موضح من خلال المحاولات المحظورة فعليًا بواسطة جدار الحماية Jetpack - هو في الواقع حقن SQL. يميل تهديد حقن SQL إلى أن يكون خطيرًا بشكل خاص نظرًا لعدم الحاجة إلى مصادقة قليلة أو معدومة لاستغلال هذا النوع من الثغرات الأمنية.
هناك تهديدان أكثر شيوعًا عندما يتعلق الأمر بأمان WordPress
أكد التقرير ما نعرفه بالفعل: بيانات اعتماد المستخدم الضعيفة والمكونات الإضافية الفارغة هي البوابة لغالبية الهجمات.
وهذا يعني أن مسؤولي الموقع يمكنهم منع معظم المشكلات الأمنية عن طريق تحديث البرامج وطلب مصادقة قوية.
أكثر من 20% من الثغرات الأمنية لا تتطلب أي مصادقة
يقوم فريق WPScan بمراجعة الثغرات الأمنية لتحديد مستوى المصادقة المطلوب لاستغلال التعليمات البرمجية المتأثرة. في حين أن حوالي ثلث جميع الثغرات الأمنية تتطلب الوصول إلى حساب المسؤول (مما يقلل من مخاطر الاستغلال)، فإن 22% من الثغرات الأمنية التي تم الكشف عنها لن تتطلب أي مصادقة على الإطلاق أو مجرد حساب على مستوى المشترك.
لا تزال هجمات البرامج الضارة سائدة
حدد Jetpack Scan (الذي يستخدم قاعدة بيانات WPScan) عددًا مذهلاً يبلغ 70000 موقع يحتوي على ملف ضار واحد على الأقل. يمكن إرجاع معظم الأسباب إلى بيانات الاعتماد المسربة/الضعيفة (كما خمنت!) أو البرامج التي تم إلغاؤها.
تم تحديد 75% (600000 ملف ضار) على أنها برامج ضارة عامة.
الأدوات الموجودة تعمل
قام جدار الحماية Jetpack بحظر أكثر من سبعة ملايين طلب يتضمن ثغرة أمنية عالية الخطورة - مما منع هجمات XSS لا تعد ولا تحصى على المواقع المهددة بالانقراض.
وجاء في التقرير،
أثبت جدار الحماية Jetpack، على الرغم من كونه إضافة حديثة إلى مجموعة Jetpack Security ، قيمته عن طريق منع الهجمات المحتملة في وقت مبكر من الدورة، مما يمنع المهاجمين من الحصول على موطئ قدم في المواقع المحمية.
قام جدار الحماية Jetpack أيضًا بحظر أكثر من نصف مليون من هجمات حقن SQL وهجمات اجتياز المسار.
ما الذي يجب أن يفعله محترفو الأمن السيبراني وWordPress بعد ذلك؟
لا يمكنك منع الهجمات إذا كنت لا تعرف ما الذي تبحث عنه. يوفر WPScan أقوى وأحدث مكتبة للتهديدات التي تم التحقق منها. يمكن للمطورين ومحترفي الأمن السيبراني دمجها في برامجهم الداخلية من خلال واجهة برمجة التطبيقات (API) لتعزيز دفاعاتهم.
يمكن لفرق أمان الويب أيضًا استخدام ماسح CLI الخاص بـ WPScan كجزء من اختبار الاختراق. فهو يوفر نظرة خارجية على المعلومات التي قد يتمكن المتسللون من الاطلاع عليها حول موقعك دون مصادقة.
يجب على المطورين ومؤسسات المؤسسات التواصل مع WPScan على الفور لمعرفة ما إذا كانت هي أفضل أداة لتشغيلهم.
ما الذي يجب على مالكي مواقع WordPress فعله بعد ذلك؟
يوضح تقييم WPScan لنظام أمان WordPress البيئي أن التهديدات لا تزال قائمة. والخبر السار هو أن أكثرها انتشارا يمكن إحباطها بسهولة إلى حد ما. يمكن لمالكي مواقع WordPress الاستفادة من قاعدة بيانات WPScan من خلال Jetpack Protect والوصول إلى مجموعة كاملة من أدوات الوقاية والاسترداد باستخدام Jetpack Security.
فرض المصادقة القوية
لا تعد كلمات المرور الضعيفة هي نقطة الضعف الأكثر شيوعًا في مجال الأمن السيبراني فحسب، ولكنها أيضًا واحدة من أسهل نقاط الضعف التي يمكن إصلاحها. يمكنك طلب كلمات مرور قوية من المستخدمين وتثقيف فريقك حول أفضل ممارسات كلمات المرور مثل استخدام مزيج من الأرقام والحروف والأحرف الخاصة، والحصول على بيانات اعتماد فريدة لكل موقع، وتحديث كلمات المرور بانتظام.
قد ترغب أيضًا في طلب المصادقة الثنائية، خاصة في الحسابات على مستوى المسؤول.
قم بتعيين أدوار المستخدم المناسبة واتبع مبدأ الامتيازات الأقل
تعد أدوار مستخدم WordPress قوية لأنها تسمح لك بمنح الوصول إلى وظائف محددة بناءً على مجال مسؤولية الشخص. يؤدي الحد من عدد الأدوار عالية المستوى المعينة إلى تقليل عدد نقاط الوصول ويسمح بمزيد من التعليم والمساءلة فيما يتعلق بكلمات المرور والمصادقة الآمنة.
يُعرف بمبدأ الامتياز الأقل، حيث يجب أن يكون لدى المستخدمين فقط حق الوصول إلى الدور الأدنى المطلوب لوظائفهم الوظيفية الضرورية.
حافظ على تحديث العناصر الأساسية والموضوعات والمكونات الإضافية
إلى جانب كلمات المرور الضعيفة، تعد البرامج القديمة السبب الأكثر شيوعًا للهجمات الناجحة. يجب أن يستخدم موقعك أحدث إصدار من WordPress core وموضوعك وأي مكونات إضافية مثبتة.
عند اكتشاف الثغرات الأمنية، سيقوم مطورو المكونات الإضافية ذوي السمعة الطيبة بإصدار تحديثات لتصحيحها. تجاهل هذه التحديثات يترك موقعك مكشوفًا.
قم بتثبيت مكون إضافي لأمان WordPress
للحصول على الحماية الأكثر اكتمالاً، يحتاج مالكو المواقع إلى تجاوز كلمات المرور القوية والبرامج المحدثة وتعيين دور المستخدم المناسب. يعرف محترفو WordPress المخضرمون أن المكوّن الإضافي المناسب لأمان WordPress سيساعد في منع عمليات التطفل وتوفير خيارات الاسترداد في حالة حدوث ذلك.
إذا كنت تريد حماية شاملة بأقل قدر من التعقيدات — فإن Jetpack Security هو الحل الذي تحتاجه. إليك بعضًا مما تم تضمينه:
- مراقبة وقت التوقف عن العمل . اعلم ثانيًا أن هناك مشكلة في موقعك حتى تتمكن من اتخاذ الإجراء الفوري.
- جدار الحماية للموقع . ذكر تقرير WPScan بشكل متكرر الهجمات التي أحبطها جدار الحماية الخاص بـ Jetpack. يمكنك الوصول إليها باستخدام Jetpack Security.
- فحص البرامج الضارة في الوقت الفعلي وإصلاحها بنقرة واحدة . يمكنك الوصول إلى قاعدة بيانات WPScan الكاملة وفحص موقعك باستمرار بحثًا عن البرامج الضارة ونقاط الضعف. والأفضل من ذلك - أنك ستحصل أيضًا على حلول بنقرة واحدة لغالبية المشكلات.
ألا تحتاج إلى مكون إضافي للأمان كاملاً، ولكنك تريد الوصول إلى قاعدة بيانات WPScan لفحص الثغرات الأمنية والبرامج الضارة؟ تتوفر هذه الميزات أيضًا في مكون إضافي مستقل، Jetpack Protect .
- النسخ الاحتياطية في الوقت الحقيقي . تذكر أنك تحتاج أيضًا إلى طريقة استرداد في حالة نجاح المهاجم. يقوم Jetpack VaultPress Backup بحفظ كل شيء على موقعك ويسجل جميع الأنشطة. يمكنك استعادة اللحظة الزمنية المحددة ومراجعة السجل الخاص بك لاستكشاف الأخطاء وإصلاحها ومنع حدوث مشكلات مستقبلية. يمكنك الوصول إلى النسخ الاحتياطية واستعادتها حتى لو كان موقعك معطلاً تمامًا، من جهازك المحمول.
- الحماية من البريد المزعج . تعد التعليقات وعمليات إرسال النماذج غير المرغوب فيها وغير ذات الصلة أكثر من مجرد إزعاج - فهي تشكل خطراً عليك وعلى زوار موقعك. يأتي Jetpack Security مع Akismet Anti-spam حتى تتمكن من منع 99% من البريد العشوائي دون إجبار الزائرين على إكمال اختبار CAPTCHA المشدد.
- حماية هجوم القوة الغاشمة . تعد هجمات القوة الغاشمة تهديدًا شائعًا جدًا لـ WordPress. ويمكن أيضًا إيقافها بسهولة باستخدام Jetpack Security.
Jetpack وWPScan: العمل معًا من أجل WordPress أكثر أمانًا
يعمل فريق WPScan بلا كلل للحفاظ على قاعدة البيانات الأكثر دقة لنقاط الضعف في WordPress. يمكن لمحترفي WordPress ومؤسسات المؤسسات التكامل مع أدوات WPScan للحصول على الحماية الأكثر تقدمًا المتاحة.
يصل مالكو موقع WordPress إلى نفس المعلومات من خلال Jetpack Security، إلى جانب أدوات الأمان الأخرى. يعمل هذا البرنامج الإضافي للأمان ببساطة بأقل قدر من المتاعب والجهد المستمر. موقعك محمي بكل بساطة .
تعرف على المزيد حول أمان Jetpack.
تعرف على المزيد حول WPScan.