ما هي هجمات اختراق WordPress المستهدفة وغير المستهدفة
نشرت: 2014-07-08إذا كنت تقرأ عن أمان WordPress وتبحث عن الاختراقات والتعديلات الأمنية في WordPress لتطبيقها على إضافات أمان WordPress أو WordPress لحمايتها من هجمات المتسللين ، فستلاحظ وجود نوعين من الهجمات ، اختراق WordPress المستهدف وغير المستهدف الهجمات.
ما الفرق بين هجمات WordPress المستهدفة وغير المستهدفة وكيف يمكنك حماية WordPress الخاص بك من كلا الهجومين؟ تشرح هذه المقالة الفرق بين هذين النوعين من هجمات الاختراق وتشرح لماذا يمكن لبعض التعديلات والقرصنة في WordPress أن تحميك من نوع واحد من الهجوم وليس الآخر ، والعكس صحيح.
هجوم اختراق ووردبريس غير مستهدف
هجمات قراصنة WordPress غير المستهدفة هي هجمات آلية ولا يتم إطلاقها بشكل خاص ضد مواقع WordPress الإلكترونية فقط. على سبيل المثال ، إذا كان المتسللون يحاولون استغلال ثغرة أمنية معروفة في إصدار قديم من WordPress ، فإنهم لا يبحثون يدويًا عن مواقع WordPress على الويب ، ويتحققون من نسختهم ويرون ما إذا كانوا عرضة لمثل هذه الثغرة أم لا.
بدلاً من ذلك ، يستخدمون أدوات آلية لإرسال طلبات HTTP محددة تُستخدم لاستغلال الثغرة الأمنية في عدد من المواقع ، وعادةً ما تكون مجموعة من عناوين IP. اعتمادًا على استجابات HTTP التي تم تلقيها مرة أخرى ، تحدد الأداة ما إذا كان موقع الويب المستهدف هو تثبيت WordPress ضعيف أم لا.
حماية ووردبريس من الهجمات غير المستهدفة
لذلك إذا قمت بإخفاء إصدار WordPress الخاص بك ، أو حتى إخفاء حقيقة أنك تستخدم WordPress لمواقعك ، فلن تقوم بحماية موقعك من هجمات اختراق WordPress غير المستهدفة. لحماية WordPress من هجمات الاختراق غير المستهدفة ، اتبع التوصيات التالية:
- حافظ على تحديث جميع برامجك ؛ استخدم دائمًا أحدث إصدار وأكثرها أمانًا من WordPress والمكونات الإضافية والسمات التي تستخدمها. ينطبق هذا أيضًا على MySQL و Apache وأي برنامج آخر يعمل على بيئة الويب الخاصة بك.
- قم دائمًا بإلغاء تثبيت وإزالة أي مكونات إضافية وموضوعات غير ضرورية وأي مكونات وملفات أخرى لا يتم استخدامها.
- لا تستخدم أسماء مستخدمين نموذجية مثل المسؤول والمسؤول والجذر لحساب مسؤول WordPress الخاص بك. إذا قمت بإعادة تسمية حساب مسؤول WordPress.
- حماية تسجيل الدخول إلى WordPress وصفحات المسؤول عن طريق إضافة طبقة إضافية من المصادقة. اقرأ حماية صفحة تسجيل الدخول إلى WordPress باستخدام مصادقة HTTP لمزيد من المعلومات.
- استخدم كلمات مرور قوية ؛ هذا لا ينطبق فقط على WordPress ولكن على أي خدمة أو موقع ويب آخر تستخدمه عبر الإنترنت. إذا كان لديك عدة مستخدمين يستخدمون WordPress ، فاستخدم مكونًا إضافيًا لإنشاء سياسات كلمة مرور WordPress لضمان استخدام المستخدمين لكلمات مرور قوية.
استهداف ووردبريس هاك الهجوم
تستهدف هجمات الاختراق المستهدفة مواقع الويب والمدونات الخاصة بك على وجه التحديد. هناك العديد من الأسباب التي تجعل موقع WordPress الخاص بك قد يكون ضحية لهجوم مستهدف والسبب الذي يجعل WordPress الخاص بك ضحية لهجوم مستهدف ليس مهمًا. المهم هو فهم ما يحدث في الهجوم المستهدف حتى تتمكن من حماية مواقع الويب والمدونات الخاصة بك على WordPress بشكل أفضل.
تعتبر الهجمات المستهدفة أكثر خطورة من الهجمات غير المستهدفة لأنه ببساطة بدلاً من وجود عدد من الأدوات الآلية التي تفحص مواقع الويب بشكل عشوائي ، هناك إنسان يقوم بتحليل كل التفاصيل حول موقع الويب الخاص بك على أمل العثور على شيء يمكن استغلاله.
تشريح هجوم WordPress المستهدف
في البداية ، سيستخدم المهاجم أدوات آلية للتحقق مما إذا كان إصدار WordPress الخاص بك عرضة لأي ثغرات أمنية معروفة. نظرًا لاستخدام الأدوات الآلية ، فإن إخفاء إصدار WordPress الخاص بك لا يساعد في مثل هذه السيناريوهات.
سيحاول المهاجم أيضًا تحديد المكونات الإضافية التي تعمل على WordPress الخاص بك وما إذا كان أي منها عرضة لثغرة أمنية معينة. مرة أخرى ، تتم معظم هذه المهام باستخدام أدوات آلية.
عادةً ما تكون أضعف الروابط في أمان WordPress هي بيانات الاعتماد. لذلك ، باستخدام الأدوات الآلية ، سيحاول المهاجم تعداد جميع مستخدمي WordPress وحتى إطلاق هجوم على قاموس كلمة المرور ضد WordPress.
هناك العديد من الطرق والوسائل الأخرى لكيفية اختراق مدونة أو موقع ويب WordPress والهجمات المستهدفة لا تستفيد على وجه التحديد من ضعف الأمان في WordPress أو أحد مكوناته. قد يكون أيضًا ثغرة أمنية في برنامج خادم الويب أو التكوين وما إلى ذلك ، ولكن النقاط الثلاثة المذكورة أعلاه هي أكثر نقاط دخول هجوم الاختراق شيوعًا.
حماية ووردبريس من الهجمات المستهدفة
هناك العديد من الاختراقات والتعديلات على WordPress التي يمكنك تطبيقها لحماية WordPress الخاص بك من هجوم اختراق مستهدف كما هو موضح في القائمة أدناه:
- للبدء ، كل ما ينطبق على حماية WordPress الخاص بك من هجمات WordPress غير المستهدفة ينطبق أيضًا على الهجمات المستهدفة
- تأمين وحماية حساب مسؤول WordPress الخاص بك
- قم بتمكين WordPress SSL للوصول إلى صفحة تسجيل الدخول إلى WordPress وصفحات المسؤول عبر طبقة اتصال مشفرة لتجنب اختطاف أسماء المستخدمين وكلمة المرور في WordPress
- استخدم مكونًا إضافيًا لمراقبة الأمان والتدقيق في WordPress لتتبع كل ما يحدث على WordPress الخاص بك وتحديد أي نشاط مشبوه قبل أن يصبح مشكلة أمنية
- استخدم أدوار مستخدم WordPress لتحسين أمان WordPress من خلال التأكد من أن كل مستخدم لديه فقط الحد الأدنى من الامتيازات المطلوبة للقيام بالمهمة
- استخدم الماسح الضوئي للصندوق الأسود WPScan WordPress والأدوات الأخرى لفحص موقع WordPress الخاص بك ومراجعته بشكل متكرر.
حماية ووردبريس من جميع أنواع هجمات القراصنة
من وقت لآخر ، قد تقرأ عن تعديل أمان WordPress معين يقول بعض الناس أنه يعمل بينما يقول البعض الآخر أنه لا يعمل ، مثل إخفاء إصدار WordPress الخاص بك. في مثل هذه الحالة نعلم أن إخفاء إصدار WordPress لا يؤدي إلى تحسين مستوى الأمان ، فلماذا يتم تطبيق هذا التعديل في المقام الأول؟ إذا كنت تشك في تعديل معين ، إذا كان التعديل لا يؤثر على أداء WordPress الخاص بك ومن السهل تنفيذه ، فقم بالمضي قدمًا وتنفيذه. من الأفضل أن تكون آمنًا من أن تكون آسف!
بصرف النظر عن النصائح المذكورة أعلاه ، هناك العديد من الطرق الأخرى حول كيفية تحسين أمان مدونات ومواقع WordPress الخاصة بك وحمايتها من هجمات اختراق WordPress المستهدفة وغير المستهدفة. من الناحية المثالية ، يجب أن تبقي نفسك على اطلاع دائم من خلال الاشتراك في مدونة أمان WordPress حيث يتم نشر نصائح أمان WordPress المتكررة والاختراقات والتعديلات.