ما هو برنامج WordPress Vulnerability Scanner ، وهل تحتاج إليه؟
نشرت: 2023-03-08من الآمن القول أن كل البرامج بها نوع من نقاط الضعف. هذا لا يعني بالضرورة أن البرنامج سيء أو دون المستوى - يمكن أن تظهر الثغرات الأمنية لجميع أنواع الأسباب - من عمليات ضمان الجودة الفاشلة إلى عدم التوافق البيئي أو التهيئة الخاطئة.
يمكن تصنيف نقاط الضعف إلى فئتين - معروفة وغير معروفة. نقاط الضعف المعروفة ، مثل XSS (البرمجة النصية عبر المواقع) وإدخال SQL ، هي نقاط ضعف يعرفها الجميع. سيتحقق بائعو البرامج ذوو السمعة الطيبة دائمًا من هذه الثغرات الأمنية والقضاء عليها أثناء عمليات ضمان الجودة والاختبار.
من ناحية أخرى ، الثغرات غير المعروفة هي تلك الثغرات غير المعروفة. قد يكون سبب هذه الأخطاء في الكود أو شيء ما في البيئة. بفضل امتلاك WordPress لقاعدة مستخدمين كبيرة ، لا تبقى نقاط الضعف غير معروفة لفترة طويلة. بمجرد اكتشاف الثغرة ، تسمى ثغرة يوم الصفر حتى يتم تحرير التصحيح.
في هذه المقالة ، سنلقي نظرة عميقة على نقاط الضعف في WordPress ، وأنواع الماسحات المختلفة المتاحة ، وما يجب أن تبحث عنه عند البحث عن تأمين WordPress الخاص بك
جدول المحتويات
- ما هي ثغرة WordPress؟
- فهم الفرق بين ماسح الثغرات الأمنية وماسح الأمان
- فهم الفرق بين الصندوق الأسود واختبار الصندوق الأبيض
- اختبار الصندوق الأسود
- اختبار الصندوق الأبيض
- نقاط الضعف الشائعة في WordPress
- عفا عليها الزمن WordPress Core
- كلمات مرور ضعيفة
- المكونات الإضافية والسمات المعرضة للخطر
- هجمات القوة الغاشمة
- حقن SQL
- لماذا يجب عليك البحث عن نقاط الضعف
- أعلى ماسحات الثغرات الأمنية في ووردبريس
- WPScan
- WPSec
- سوكوري
- اكونتكس
- قم بتأمين WordPress الخاص بك
- أسئلة مكررة
- ما الأداة التي يمكنني استخدامها للبحث عن نقاط الضعف في WordPress؟
- كيف يمكنني البحث عن نقاط الضعف في موقع WordPress الخاص بي؟
ما هي ثغرة WordPress؟
ثغرة WordPress هي ثغرة برمجية في WordPress قد تكون معروفة أو غير معروفة.
WPScan هو برنامج مجاني مفتوح المصدر لفحص الثغرات الأمنية في WordPress والذي سنناقشه بمزيد من التفاصيل لاحقًا في هذه المقالة ، يحتوي على ما يقرب من 40،000 ثغرة أمنية في WordPress في قاعدة بياناته. كما أنها تقدم بعض الإحصائيات المثيرة للاهتمام:
وجد WPScan أن 4069 مكونًا إضافيًا يحتوي على نوع من الضعف. يصل هذا الرقم إلى 98241 للإضافات المجانية. هذا لا يعني أن المكونات الإضافية المجانية سيئة - فالمكونات الإضافية المتميزة لديها المزيد من الموارد تحت تصرفها لاختبار المكونات الإضافية والتحقق منها قبل إصدارها - وهذا هو السبب في أنها تكلف المال بشكل غير مفاجئ. بشكل عام ، عند الدفع مقابل المكون الإضافي ، تحصل على أمان وأمان إضافيين في المقابل (بصرف النظر عن الوظيفة الإضافية).
تشكل ثغرات البرنامج المساعد أكبر نسبة من الثغرات بنسبة 92٪ ، مع ثغرات الموضوع في المرتبة الثانية بنسبة 5٪ ووردبريس نفسه بنسبة 3٪.
فهم الفرق بين ماسح الثغرات الأمنية وماسح الأمان
يعد ماسح الثغرات الأمنية في WordPress أداة مخصصة قادرة على البحث عن نقاط الضعف - أخطاء البرامج أو التكوينات الخاطئة التي تخلق ثغرة أمنية.
يعد الماسح الأمني مصطلحًا عامًا قد يشمل عمليات فحص نقاط الضعف على الرغم من أنه بالمعنى الدقيق للكلمة ، تميل الماسحات الضوئية الأمنية إلى التحقق من التهيئة الخاطئة والتحديثات الفائتة وكلمات المرور الضعيفة والبرامج الضارة وما إلى ذلك.
هذا التمييز مهم لأنك تحتاج إلى معرفة ما تقوم بالبحث عنه وليس البحث عنه. نظرًا لعدم وجود قانون يخبر البائعين بالمصطلح الذي يجب استخدامه أو عدم استخدامه ، تأكد من أنك تأخذ الوقت الكافي لقراءة الوثائق التي تأتي مع أي ماسح ضوئي تختاره. سيساعدك هذا على ضمان حصولك على التغطية التي تحتاجها.
فهم الفرق بين الصندوق الأسود واختبار الصندوق الأبيض
عندما يتعلق الأمر باختبار الضعف ، هناك طريقتان رئيسيتان: اختبار الصندوق الأسود واختبار الصندوق الأبيض. كلا الطريقتين لها مزايا وعيوب. يعد فهم الاختلافات بينهما أمرًا أساسيًا لأنه سيسمح لك بفهم ما يتم تغطيته وما لا يتم تغطيته بواسطة ماسح ضوئي للثغرات الأمنية.
اختبار الصندوق الأسود
اختبار الثغرات الأمنية في الصندوق الأسود في WordPress هو أسلوب لا يفترض فيه الشخص الذي يجري الاختبار معرفته بالأعمال الداخلية لـ WordPress. أثناء الاختبار ، يمكن للمختبر فقط الوصول إلى المدخلات والمخرجات ولا يهتم بكيفية إنتاج المخرجات. بمعنى آخر ، يتعامل المختبر مع WordPress على أنه "صندوق أسود" ويختبره من الخارج.
تتمثل إحدى ميزات اختبار الصندوق الأسود في أنه يمكن إجراؤه بواسطة مختبرين ليس لديهم أي معرفة بالبرمجة أو البنية الداخلية للبرنامج. وهذا يجعل اختبار الصندوق الأسود متاحًا لمجموعة أكبر من المختبرين.
يتمثل العيب الرئيسي في اختبار الصندوق الأسود في أنه قد لا يكون قادرًا على الكشف عن أنواع معينة من الثغرات الأمنية المرتبطة بأعمال WordPress الداخلية.
اختبار الصندوق الأبيض
اختبار الصندوق الأبيض في WordPress هو أسلوب اختبار يستطيع فيه الشخص الذي يقوم بإجراء الاختبار الوصول إلى بنية WordPress ورمزه وتصميمه. يُعرف هذا النوع من الاختبارات أيضًا باسم اختبار الصندوق الشفاف أو الاختبار الهيكلي.
تتمثل إحدى ميزات اختبار الصندوق الأبيض في أنه يسمح للمختبِر بالكشف عن الأخطاء المرتبطة بـ WordPress. يمكن استخدامه أيضًا لاختبار قابلية صيانة البرنامج وقابلية التوسع - وهو أمر يمكن لمطوري WordPress ومطوري المكونات الإضافية الاستفادة منه كثيرًا.
العيب الرئيسي في اختبار الصندوق الأبيض هو أنه يتطلب من المختبرين معرفة البرمجة والبنية الداخلية للبرنامج.
نقاط الضعف الشائعة في WordPress
بينما يمكن أن تأتي الثغرات الأمنية في WordPress بجميع الأشكال والأحجام ، فمن الجدير بالذكر أن بعض الثغرات الأكثر شيوعًا - والتي ، كما سنرى ، يسهل منعها. لا يمكن حل المشكلات الأخرى إلا عن طريق المطورين الذين لديهم حق الوصول إلى الكود ، كما هو موضح في المثال الأخير أدناه:
عفا عليها الزمن WordPress Core
واحدة من أكثر نقاط الضعف شيوعًا في WordPress هي نواة WordPress القديمة. يتم إصدار تحديثات WordPress بانتظام لمعالجة مشكلات الأمان وإصلاح الأخطاء وتحسين الأداء والوظائف. يمكن للقراصنة استغلال الثغرات الأمنية المعروفة إذا لم تقم بالتحديث إلى أحدث إصدار.
ما يجب فعله: يمكن أن يساعدك وجود سياسة تحديث WordPress في إدارة تحديثات WordPress بشكل أفضل والتأكد من أنك تقوم دائمًا بتشغيل أحدث إصدار من WordPress.
كلمات مرور ضعيفة
يمكن أن تكون كلمات المرور الضعيفة ثغرة أمنية رئيسية أخرى في WordPress. يميل العديد من المستخدمين إلى استخدام كلمات مرور ضعيفة يسهل تخمينها أو اختراقها لأنهم أكثر عرضة لتذكرها. هذا يمكن أن يجعل من السهل على المتسللين الوصول غير المصرح به إلى مواقع الويب.
ما يجب فعله: استخدم سياسة كلمة مرور WordPress لضمان استخدام المستخدمين لكلمات مرور قوية وتشجيع استخدام مدير كلمات المرور.
المكونات الإضافية والسمات المعرضة للخطر
يمكن لموضوعات WordPress والإضافات تحسين وظائف WordPress ومظهره بشكل جدي. ومع ذلك ، قد تحتوي بعض هذه المكونات الإضافية والسمات على ثغرات يمكن للقراصنة استغلالها.
ما يجب فعله: استخدم المكونات الإضافية والسمات من البائعين الموثوق بهم الذين يصدرون تحديثات منتظمة - ويحافظون على تحديث كل شيء في جميع الأوقات.
هجمات القوة الغاشمة
تعد هجمات القوة الغاشمة نوعًا من الهجمات حيث تحاول الجهات الخبيثة تخمين بيانات اعتماد تسجيل دخول المستخدم من خلال تجربة مجموعات مختلفة من اسم المستخدم وكلمة المرور.
ما يجب فعله: أضف WordPress 2FA لإيقاف هجمات القوة الغاشمة في مساراتهم والحد من عدد محاولات تسجيل الدخول الفاشلة.
حقن SQL
أثناء حقن SQL ، يقوم المتسللون بحقن شفرة ضارة في قاعدة بيانات موقع الويب عبر حقول إدخال المستخدم مثل إدخالات شريط البحث والنماذج والتعليقات. يمكن أن يؤدي هذا إلى الكشف عن بيانات حساسة مثل أسماء المستخدمين وكلمات المرور وتفاصيل بطاقة الائتمان.
ما يجب فعله: مطورو الإضافات ذو السمعة الطيبة سوف يزيلون ذلك أثناء التطوير. إذا وجدت هذه الثغرة الأمنية ، فيجب عليك تعطيل المكون الذي تسبب في حدوثها ، إن أمكن - حتى يتم توفير الإصلاح.
لماذا يجب عليك البحث عن نقاط الضعف
كما تظهر الإحصائيات التي شاركناها في بداية المقال ، يمكن أن تكون الثغرات الأمنية موجودة في أي برنامج. إذا كانت لديك سياسة تحديث قوية في WordPress وتقتصر على السمات والمكونات الإضافية من المطورين ذوي السمعة الطيبة ، فمن المحتمل أن تكون آمنًا - ومع ذلك ، هذا ليس ضمانًا. لتحقيق هذه الغاية ، قد ترغب في إجراء فحص للثغرات الأمنية.
يمكن أن يساعدك فحص الثغرات الأمنية في الكشف عن المشكلات التي ربما تكون قد أغفلتها ونقاط الضعف التي ربما تم تقديمها في التحديث أو تغيير التكوين.
أعلى ماسحات الثغرات الأمنية في ووردبريس
في هذا القسم ، سنلقي نظرة على بعض أفضل أدوات فحص الثغرات الأمنية في WordPress المتوفرة في السوق اليوم.
WPScan
WPScan هو برنامج فحص أمان مجاني مصمم خصيصًا لبرنامج WordPress. يقوم بالتحقق من نقاط الضعف ، مع وجود ما يقرب من 40.000 نقطة ضعف في قاعدة بياناته. يتم إضافة إدخالات جديدة إلى قاعدة بيانات نقاط الضعف الخاصة به بشكل متسق للغاية.
يتوفر WPScan كأداة CLI (واجهة سطر الأوامر). هذا يعني عدم وجود واجهة مستخدم رسومية ، ويجب تشغيلها من محطة طرفية. كان WPScan متاحًا كمكوِّن إضافي مجاني ، ومع ذلك ، لم يعد هذا هو الحال. يمكنك أيضًا استخدام JetPack ، والذي يستفيد من WPScan API.
من بين أشياء أخرى ، يقوم WPS بفحص ما يلي:
- نقاط الضعف المرتبطة بنواة WordPress والمكونات الإضافية والسمات
- تعداد اسم المستخدم وملف الوسائط
- كلمات مرور ضعيفة (من خلال هجمات القوة الغاشمة)
- ملفات wp-config التي يمكن الوصول إليها
- مقالب قاعدة البيانات
- كشف سجلات الأخطاء
WPSec
WPSec هو ماسح للثغرات الأمنية في WordPress. تتم إدارته من خلال لوحة تحكم يمكنك من خلالها إجراء عمليات الفحص وإعداد الإخطارات وإصدار تقارير متقدمة. عندما يتعلق الأمر بالمسح ، يستخدم WPSec ما يطلق عليه Advanced Scan Technology ، والتي تستخدم WPScanner والتكنولوجيا المخصصة الخاصة.
من بين أشياء أخرى ، يفحص WPSec ما يلي:
- أخطاء WordPress المعروفة
- قضايا أمنية
سوكوري
تشتهر Sucuri أيضًا بـ WAF (جدار حماية تطبيقات الويب) ، وتقدم أيضًا عددًا من الماسحات الضوئية المختلفة التي تبحث عن أشياء مختلفة ، مما يوفر نطاقًا أوسع ليس بالضرورة بعمق ما تقدمه الماسحات الضوئية الأخرى.
من بين أمور أخرى ، يفحص Sucuri بحثًا عن:
- البرمجيات الخبيثة
- IOC (مؤشرات التسوية)
- صفحات التصيد
- البرامج النصية لـ DDoS
- شهادات SSL
اكونتكس
Acunetix هو حل اختبار أمان تطبيق الويب الذي يمكن استخدامه أيضًا كمسح أمان WordPress. نظرًا لأنه ليس خاصًا بـ WordPress ، يمكن استخدامه على مواقع الويب والتطبيقات وواجهات برمجة التطبيقات المختلفة. يمكنه إجراء كل من SAST (اختبار أمان التطبيق الثابت) و DAST (اختبار أمان التطبيق الديناميكي).
من بين أمور أخرى ، يفحص Acuntiex بحثًا عن:
- مكونات ووردبريس الأساسية القديمة والإضافات
- البرمجيات الخبيثة
- كلمات مرور ضعيفة
- أسماء مستخدمي WordPress المعرضين للخطر
- ثغرات XML-RPC
قم بتأمين WordPress الخاص بك
قد يساعدك ماسح أمان WordPress في تحديد التهديدات الأمنية لموقع WordPress الخاص بك. ومع ذلك ، لا يزال اتخاذ تدابير أمنية استباقية أمرًا مهمًا. بينما لا يزال يتعين عليك معالجة نتائج فحص أمان WordPress ، يجب على مسؤولي WordPress ومالكي مواقع الويب أيضًا فهم أن أمان WordPress هو عملية تكرارية توفر عائد استثمار ضخم.
يعد الحفاظ على كل شيء محدثًا من أكثر الطرق التي يمكن الوصول إليها والتي يمتلكها المسؤولون للحد من الثغرات الأمنية. يجب أن تكون WordPress والقوالب والمكونات الإضافية و PHP محدثة في جميع الأوقات. لا تنس عمل نسخ احتياطية واستخدام بيئة التدريج في WordPress للحد من المخاطر.
يمكن أن توفر المكونات الإضافية للأمان في WordPress الحماية وراحة البال. تعد جدران الحماية دائمًا خيارًا جيدًا ؛ ومع ذلك ، فإن امتلاك سجل نشاط WordPress يمكن أن يساعدك في تحقيق المزيد. وبالمثل ، فإن تأمين تثبيت WordPress الخاص بك باستخدام المصادقة الثنائية (2FA) يمكن أن يساعدك على البقاء أكثر أمانًا بأقل جهد.
أسئلة مكررة
ما الأداة التي يمكنني استخدامها للبحث عن نقاط الضعف في WordPress؟
يعد ماسح الثغرات الأمنية في WordPress أحد أفضل الأدوات التي يمكنك استخدامها للبحث عن نقاط الضعف. لقد غطينا عددًا من الماسحات الضوئية المختلفة في المقالة. من الأمور المهمة التي يجب ملاحظتها أن الماسحات الضوئية المختلفة قد تفحص أشياء مختلفة. تأكد من قراءة الوثائق لفهم ما أنت وما لا تبحث عنه. سيساعدك هذا على تجنب الشعور الخاطئ بأمان موقع الويب.
كيف يمكنني البحث عن نقاط الضعف في موقع WordPress الخاص بي؟
هذا يعتمد على ماسح الثغرات الأمنية الذي تختاره. تقدم بعض الماسحات الضوئية عمليات مسح آلية وسترسل لك تقريرًا بالنتائج مباشرةً إلى صندوق البريد الإلكتروني الخاص بك. قد يتطلب البعض الآخر فحصًا يدويًا ، في بعض الحالات من خلال واجهة سطر الأوامر CLI.