يستخدم مصمم Grumpy البرامج الضارة لـ WordPress

بينما تتلاشى بعض المهن بمرور الوقت ، ستكون هناك دائمًا حاجة لمصممي الويب. لماذا ا؟ لأنه مع مرور كل عام ، تصبح الوظيفة أكثر تعقيدًا. وصول مسؤوليات جديدة تمتد إلى ما هو أبعد من متناول الأدوات الآلية وبدون تعليمات برمجية.

أمن الموقع هو مثال ساطع. لطالما كانت مصدر قلق - حتى عندما بدأت السير على هذا الطريق في منتصف التسعينيات. في ذلك الوقت ، كان الشاغل الرئيسي هو اختراق كلمة مرور FTP أو قيام زميل سابق غاضب بتشويه / مسح الملفات. في هذه الأيام ، أصبح الأمر أكثر من ذلك بكثير. نوع من الحشرات المزعجة التي تحولت إلى وحش البحر الضخم.

وقد قام هذا الوحش بلف مخالبه بالكامل حول هذا المصمم الغاضب. أصبح العمل حلقة مفرغة من الإصابة بالبرامج الضارة والتطهير وإعادة العدوى. ثم كرر.

الهدف الرئيسي لحقد الوحش هو WordPress. لا ينبغي أن يكون ذلك مفاجئًا ، لأن نظام إدارة المحتوى (CMS) يتعرض للهجوم باستمرار. يأتي مع منطقة تشغيل أكثر من 40 ٪ من الويب.

للأسف ، أعلم أنني لست الوحيد الذي يواجه هذا النوع من الكارثة. مع ذلك ، أردت مشاركة بعض التعليقات الصاخبة والأفكار والاقتراحات لإعادة هذا الوحش إلى مكانه.

الحذر ليس جيدًا بما فيه الكفاية

الحقيقة الباردة لأمن الموقع هي أنه لا توجد ضمانات. تقريبًا يمكن اختراق كل موقع بواسطة البرامج الضارة. يحدث حتى لأكثرنا حذرا.

نظرًا لأنه ينطبق على WordPress ، فإن توخي الحذر يعني مراعاة بعض الأساسيات:

• فحص السمة والإضافات التي نقوم بتثبيتها ؛
• تطبيق التحديثات بشكل روتيني ؛
• استخدام كلمات مرور آمنة ومعقدة ؛
• استضافة الموقع على خدمة تأخذ الأمن بجدية ؛
• التأكد من أن أذونات الملفات تتماشى مع توصيات WordPress ؛
• إضافة طبقات دفاع إضافية مثل المكونات الإضافية للأمان والجدران النارية ؛

في حين أن هناك ما هو أكثر من ذلك ، فإن الإجراءات المذكورة أعلاه توفر أساسًا متينًا. الفكرة هي الحماية من أبسط أنواع الهجمات. نأمل أيضًا أن يردع بعض المحاولات الأكثر تعقيدًا أيضًا.

يتمثل الجانب المحبط في هذا النهج في أنك قوي مثل أضعف رابط في الأمان. حتى المكونات الإضافية ذات السمعة الطيبة يمكن أن تحتوي على ثغرات أمنية. وهناك العديد من النواقل التي يمكن للمهاجم استخدامها لإحداث المتاعب - بما في ذلك بعض النواقل التي ليس لدينا سيطرة مباشرة عليها.

لذلك ، الحذر ليس جيدًا بما يكفي لدرء كل هجوم.

تنظيف القرصنة هو استنزاف للموارد

على الرغم من اتخاذ خطوات لتجنب المشكلات الأمنية ، لا تزال الاختراقات تحدث. وعندما يفعلون ذلك ، يمكن أن يكون تنظيف التداعيات مهمة شاقة.

تتضمن العملية تحديد أي ملفات ضارة - بما في ذلك ملفات WordPress الأساسية المشروعة التي كان من الممكن تعديلها. يمكن أن تساعد ماسحات الأمان مثل تلك الموجودة في البرنامج المساعد Wordfence في تحديد الملفات ، ولكن هناك محاذير.

إذا تم اختراق حساب مسؤول الموقع ، أو استخدم المهاجم ثغرة أمنية للوصول إلى لوحة معلومات WordPress - يتم إيقاف جميع الرهانات. سيكون لديهم القدرة على إلغاء تنشيط مكون إضافي للأمان. من هناك ، يمكن أن يعيثوا كل أنواع الخراب بينما يظلون غير مكتشفين.

بالإضافة إلى ذلك ، نادرًا ما يكون تحديد كيفية وصول البرامج الضارة إلى موقعك أمرًا بسيطًا. لا يمكنني حساب عدد المرات التي اعتقدت فيها أنني وجدت الجاني ، فقط لأثبت خطأ بعد الإصابات اللاحقة. غالبًا ما يتطلب الأمر تمشيط الملفات ودراسة مدونات الأمان للحصول على إجابة. ومع ذلك ، يمكن أن تظل بعض القضايا لغزا.

هذا ليس فقط أمرًا مرهقًا لجميع المعنيين ، ولكنه أيضًا يعيق قدرتك على العمل في مشاريع أخرى. يعد الخرق الأمني ​​نوعًا من المواقف التي يتم إجراؤها على سطح السفينة. إذا كنت تعمل بشكل مستقل ، فإن يديك مقيدتان حتمًا بإصلاح موقع تم الاستيلاء عليه.

ما الذي يمكن لمصممي الويب فعله أيضًا؟

كما ذكرت سابقًا ، هناك الكثير فقط في نطاق سيطرتنا. يمكن لمصممي الويب اتخاذ قرارات مستنيرة ، ولكن لا يزال من الممكن أن تقع مشاريعنا فريسة للبرامج الضارة. من بعض النواحي ، يبدو أنه وضع ميؤوس منه.

ومع ذلك ، لا تختفي التهديدات الأمنية. إذا كان هناك أي شيء ، فسوف يستمرون في النمو بشكل كبير. هذا يعني أننا يجب أن نستمر في المحاولة.

فيما يلي بعض الاستراتيجيات التي يمكن أن تساعد:

تصبح البرنامج المساعد الحد الأدنى

في حين أنه ليس من الجيد أبدًا الاحتفاظ بمكونات WordPress الإضافية غير الضرورية مثبتة ، إلا أنها قد تكون خطيرة أيضًا. لهذا السبب يستحق إزالة أي شيء لا تحتاجه.

في بعض الحالات ، قد يكون من المفيد إنشاء مكون إضافي مخصص مجردة عندما يكون ذلك ممكنًا. تحاول الروبوتات الخبيثة اكتشاف نقاط الضعف المعروفة داخل نواة WordPress والمكونات الإضافية المحددة. قد تكون هذه طريقة لتقليل المخاطر مع الاستمرار في الحفاظ على الوظائف.

بغض النظر ، من الجيد أيضًا مواكبة ما يحدث مع المكونات الإضافية التي تقوم بتثبيتها. تأكد من تحديثها بانتظام وحاول تجنب أي شيء لم يعد يتم صيانته.

اطلب من العملاء الاستثمار في الأمن

يمكن أن يصبح الأمان جزءًا مهمًا من مهمة مصمم الويب. يتم بذل الكثير من العمل لتقوية موقع الويب والتخفيف من أي مشكلات قد تنشأ. لكن أسعارنا لا تعكس دائمًا هذه الحقيقة.

وبالتالي ، فمن المنطقي أن تطلب من العملاء الاستثمار في هذا المجال. من خلال التوصية بالأدوات والخدمات المتعلقة بالأمان ، فإنك تضيف طبقات حماية إضافية بشكل استباقي. ومن خلال تضمين فحوصات أمنية منتظمة في حزم الصيانة الخاصة بك ، سوف تراقب ما يحدث.

فائدة أخرى لهذه الاستراتيجية هي أنك ترفع الوعي بالأمن. عندما يكون لدى العملاء فهم أفضل للموضوع ، فمن المرجح أن يتخذوا تدابير وقائية.

ضع خطة للتنظيف

من الآمن أن نقول إن لا أحد منا يريد التعامل مع موقع تم الاستيلاء عليه. نحن نفعل كل ما في وسعنا لمحاولة منع حدوث ذلك. و… هذا يحدث على أي حال.

على هذا النحو ، من الأفضل الاستعداد لهذا السيناريو بدلاً من دفن رأسك في الرمال. طور عملية تساعدك على تنظيف الموقع المخترق بكفاءة.

قد لا تعمل دائمًا في المرة الأولى (أو الثانية). لكن كل فشل هو تجربة تعليمية جيدة. في النهاية ، ستعمل على تحسين العملية وزيادة احتمالات نجاحك.

احصل على بعض المساعدة الاحترافية

إدارة أمان مواقع الويب فوضوية ومحبطة - وهي كافية لوضع أي منا تحت العلاج. هذا النوع من المساعدة المهنية مرحب به دائمًا. لكنها ليست من النوع الذي أتحدث عنه هنا.

بدلاً من ذلك ، أنا أتحدث عن العمل مع متخصصين في مجال الأمن. على سبيل المثال ، الخدمات التي تساعد في تأمين مواقع عملائك وتخليصهم من أي إصابات.

هناك تكلفة متضمنة - تكلفة يمكنك نقلها إلى عملائك. وقد ينقذ عقلك على المدى الطويل.

فوضى البرامج الضارة هي الوضع الطبيعي الجديد

من بعض النواحي ، يشبه تأمين موقع الويب لعبة القط والفأر. لكل فجوة تقوم بإغلاقها ، تظهر فجوة أخرى. تعمل الجهات الخبيثة باستمرار على تطوير أساليبها لاختراق WordPress والأنظمة الأساسية الأخرى. ولا أحد منا محصن.

هذا يجعل عملنا أكثر صعوبة ويستغرق وقتا طويلا. كما أنه يجعل صيانة مواقع الويب أكثر تكلفة لعملائنا.

بالتأكيد ، لم يكن هذا ما تصوره عندما بدأت كمصمم ويب. من غير المحتمل أن يدخل الكثير منا في هذه الصناعة لأننا نستمتع بإزالة البرامج الضارة. لكن شئنا أم أبينا ، هذا هو الوضع الطبيعي الجديد. ونحن آخر خط دفاع ضد وحش البحر الذي يضرب به المثل. لا يمكننا تحمل النزول دون قتال.