الاثنين، 31 مارس 2014


يعتبر البعض أن سكربت إدارة المحتوى WordPress يحتوي على ثغرات خاصه وأن هنالك طرق سحريه للدخول إلى منظومة إدارة المحتوى WordPress ولكن حسب تجربتي هذا الموضوع غير صحيح !! من الممكن أن تكون هنالك بعض الثغرات الخاصه بالسكربت بحد ذاته ولكنها ثغرات معروفه مثل XSS / SQLi / ID / CE / PD إلخ من المخاطر التي تصادف تطبيقات الويب ! حسناً هذه ثغرات معروفه وممكن أن تحدث بأي سكربت وبأي لغة برمجة خاصه بتطبيقات الويب لذلك من البديهي أن الخطوات المتبعه في تأمين التطبيقات الأخرى مشابه لتطبيق WordPress فهو بالنهاية أيضاً تطبيق ويب يعتمد على مدخلات ومخرجات وعمليات ! , ولكن هنالك بعض الأمور التي قد يغفل عنها مدير الموقع وهذا إن شاء الله ما سوف نعرضه في هذا المقال وسوف نعرض كيفية الحماية من هذه الأمور التي يغفل عنها مدير الموقع.

أولاً : مراقبة التحديثات الأمنية أولاً بأول :

سكربت WordPress ينبهك أولاً بأول عن جميع الثحديثات الأمنية والترقيات التي تحدث للإضافات وحتى للنواه الخاصه بالبرنامج وهذا شيء ممتاز جداً ومفيد جداً يساعدك على تتبع الثغرات وترقيتها أولاً بأول مما يحد بشكل كبير من الوقوع بإختراق عشوائي من محبين تجربة Dorks على المواقع بشكل عشوائي :)

ثانياً  : تركيب Mod_security على السيرفر :

 

لقد قمنا مسبقاً بالتكلم عن Mod_Security والمخصص في فلترة الطلبات المرسله إلى السيرفر والذي يحد بشكل أساسي من عملية إستغلال الثغرات الأمنية إن وجدت فهذا بالطبع سوف يقلل من نسبة الإختراق في حال وجدت ثغرات أمنية في السكربت , وكما أشرت بالنقطه السابقه على أن السكربت يقوم بتنبيهك بالتحديثات الأمنية أولاً بأول وهذا ما يساعدك على فهم الثغرات الخاصه بالسكربت وكتابة قوانين من الممكن أن تحد بشكل كبير من إستغلال الثغرات على هذا النظام.

ثالثاً : فرض قوانين أمنية على المستخدمين :

لكل موقع يستخدم WordPress على الأقل كاتب واحد يدون بشكل مستمر في المدونة , وكل ما كبر الموقع وكبرت الشريحة المستخدمه لا بد من وجود عدد إضافي من المحررين ويجب عليك الإنتباه لهذا الأمر بشكل كبير ﻷنه بالنهاية إن عجز المخترق من الوصول إلى الموقع من خلال الثغرات والأخطاء الأمنية وجميع طرق الإختراق المستهدفه سوف يحاول أن ينفذ هجمات هندسة إجتماعية وهجمات التخمين على المدونة لذلك لا بد أن تفرض أولاً كلمات مرور قوية يصعب تخمينها وهذا مفيد بشكل أساسي في الحد من عمليات التخمين بشكل عام وليس فقط لسكريت WordPress , ثانياً لا بد من تعديل السكربت على إستقبال عدد معين من محاولات تسجيل الدخول وهذا أيضاً سوف يحد جداً من عمليات التخمين وبهذا سوف تحد كثيراً من إحتمال الإختراق بإستخدام التخمين.
هنالك أيضاً هجمات الهندسة العكسية وللحد من هذه الهجمات وتجنب الوقوع بها لا بد عليك من فرض بعض القوانين وأيضاً توعية المحررين لديك بضرورة الإلتزام بتطبيق بعض القواعد مثل عدم إعطاء كلمة المرور أو إستخدامها بشكل خارجي بالشبكة , كذلك توعيتهم وتثقيفهم عن هجمات التصيد الإحتيالي والتي يقع بها عدد كبير من الناس ليس فقط محررين مواقع WordPress بل جميع المستخدمين تقريباً على شبكة الإنترنت.

رابعاً : إستخدام إضافات أمنية تساعدك على رفع المستوى الأمني : 

هنالك العديد من الإضافات الأمنية الخاصه بسكربت WordPress تساعدك على تأدية المهمات السابقه بشكل سليم وسريع وأيضاً تضمن لك تنفيذ  المهمات بشكل صحيح وهذا بالحقيقه أمر لا أنصح الإعتماد عليه بشكل أساسي لأن هذه التطبيقات تبقى تطبيقات خاصه بالسكربت ويمكن أيضاً الوصول إليها وإكتشاف وإستغلال الثغرات الخاصه بها , لذلك لا بد من إستخدام جميع الوسائل السابقه وإستخدام Mod_security بالحقيقه هو من أفضل الحلول التي يمكت توفيرها للمدونات.
هنالك أيضاً بعض الأمور والتي صراحه لم أجد أنه من الضرووري كتابتها لأني أعتبرها من الأمور الأساسيه التي يجب على مدير الموقع معرفة أبسط الامور عنها مثل التأكد من حذف بعض الملفات الخاصه بالسكربت وعدم ترك النسخه الإحتياطيه لقاعدة البيانات بأسماء من الممكن أن يصل لها المخترق.
أتمنى أن تكون الفكره قد إتضحت بالنسبه إليكم وأتمنى بالفعل أن يكون هنالك وعي أمني لجميع المدونين لكي يضمنو ولو بشكل بسيط مستوى الحماية لديهم حتى لا يضيع عملهم بإختراق من شخص غير مسؤول وغير واعي.

مدونة th3numberone

مدونتنا تهتم بكل مايهم التكنولوجيا و عالم الاختراق و البرامج الجديد . ننصحك للانضمام الينا للتعلم والاستفادة ,,,,,

0 التعليقات

شكرا لك .انت تساعدنا عندما تترك تعليقك

th3numberone

لحضات من وقتك كالجبال عند ربك