تشغيل Whack-a-Mole باستخدام أمان WordPress

أصبح تأمين موقع ويب في هذا العصر (حتى وإن كان صغيرًا) أكثر صعوبة. وإذا كنت تستخدم WordPress ، فقد يكون لديك أيضًا هدف قديم كبير على ظهرك. بين الأشرار والروبوتات التي لا هوادة فيها ، أصبحت كل دقيقة من كل يوم ساحة معركة.

الجزء المذهل حقًا من هذا هو أنه يمكنك إلى حد كبير القيام بكل الأشياء الصحيحة ولا يزال ينتهي بك الأمر مع موقع تم الاستيلاء عليه. انطلق واستمر في تحديث المكونات الإضافية والموضوع الخاص بك. قم بتشغيل مكون إضافي للأمان أو ضع حواجز أخرى للدخول. افعل كل ذلك وقد تجد نفسك في موقف خطر.

في الآونة الأخيرة ، وجدت هذه الحقيقة الصعبة بنفسي. لقد ساعدت زميلًا في موقع واجه العديد من المشكلات - على الرغم من اعتقادنا أننا كنا نفعل الأشياء "بالطريقة الصحيحة". لقد ألهمني الجلوس والتفكير في التجربة. مع ذلك ، إليك بعض الأفكار حول ما تعلمته وبعض النظريات المتعلقة بالخطوات الإضافية التي يمكننا اتخاذها لتأمين موقع ويب WordPress بشكل أفضل.

يمكن للماضي أن يطاردك

تحتوي كل من مكونات WordPress الأساسية والإضافات والسمات على عيوب أمنية خاصة بها. عادةً ما يتم إصلاح النواة بسرعة ، بينما تأمل وتدعو أن تحصل المكونات الإضافية والسمات على نفس النوع من العلاج. ولكن كما رأينا ، فإن سد الثقوب لا يكفي دائمًا.

إذا تم إنشاء موقعك قبل بضع سنوات ، فربما تكون عرضة لنقاط ضعف لم تكن على علم بها. ربما تم تصحيحها ... أو ربما لا. حتى إذا تم إصلاح المشكلة ، فمن المحتمل أن يكون موقعك قد تعرض لفترة من الوقت حتى تقوم بتثبيت تصحيح أو إزالة عنصر تمامًا. ماذا حدث في الفترة الفاصلة؟ قد لا تجد ذلك لبعض الوقت.

على سبيل المثال ، أثناء غربلة هذا الموقع المضطرب الذي ذكرته سابقًا ، تم العثور على ملفات ضارة في الدليل / wp-include /. كان كل منها عبارة عن ملفات .php تحاكي اسم وتاريخ تعديل الملفات الشرعية الأخرى في هذا الدليل. الآن ، من الممكن أن تكون الملفات قديمة بطريقة ما لجعلها تبدو وكأنها كانت هناك طوال الوقت. ولكن بالنظر إلى الأمر ، يبدو أن لدينا حالة من البرامج الضارة الخاملة. يشبه إلى حد كبير فيروسات الكمبيوتر التي توفر بعض الحمولة في تاريخ ووقت محددين ، ربما تكون هذه الشفرة الخبيثة قد "تلقت المكالمة" لبدء العمل.

النقطة المهمة هي أن مجرد تثبيت المكون الإضافي الخاطئ في الوقت الخطأ يمكن أن يمنحك الصداع في المستقبل. البقاء على اطلاع هو استراتيجية رائعة ، لكنها ليست مضمونة. مجرد رؤية عدد قليل من المكونات الإضافية التي توزع التعليمات البرمجية الضارة عن قصد يظهر مؤخرًا أنك في مأزق.

مشهد دائم التغير

إذا سئلت ، أعتقد أن الكثير منا سيقول إننا أفضل في وظيفتنا الآن مما كنا عليه قبل بضع سنوات. نتعلم ونطور ونطبق تلك المعرفة الجديدة في عملنا. على هذا النحو ، تتطور خياراتنا أيضًا عند إنشاء موقع ويب. نادرًا ما تكون الأدوات والتقنيات التي نستخدمها هي نفسها عامًا بعد عام.

يمر WordPress ونظامه البيئي بنفس العملية - ولكن بوتيرة أسرع بكثير. يمكن أن يتحول المكون الإضافي الذي لا بد منه أمس إلى الغبار غدًا. يمكن أن يؤدي تحديث بسيط واحد إلى إرسال المستخدمين بعيدًا بأعداد كبيرة.

لذا فإن الموقع الذي أنشأته قبل بضع سنوات وسلمته إلى عميل من الممكن أن يشغل مكونات إضافية لن تفكر في استخدامها اليوم. كما يقول المثل القديم: "بعيدًا عن الأنظار ، بعيدًا عن العقل".

يتطلب الأمر قدرًا من اليقظة للتأكد من أنك لا تستخدم أحدث الإصدارات فحسب ، بل تستبدل أيضًا العناصر التي لم تعد الخيار الأفضل. لسوء الحظ ، هذا النوع من الاهتمام المستمر ليس دائمًا عمليًا للعديد من المصممين. ليس لدينا دائمًا الوقت ولا يمتلك العملاء دائمًا الميزانية المخصصة لذلك. ناهيك عن حقيقة أن استبدال المكون الإضافي يمكن أن يكون مهمة كبيرة جدًا في بعض الحالات. يمكن أن يكون الموضوع أكثر صعوبة.

في الواقع ، كل شيء يشبه لعبة الضرب الخلد العملاقة. في بعض الأحيان ، يبدو أن دفاعك الوحيد هو الوقوف على أهبة الاستعداد ومطرقة في يدك ، وعلى استعداد لضرب المخلوق التالي الذي ينبثق. يجب أن تكون هناك طريقة أفضل.

أكثر ما يمكن أن نقوم به؟

لذلك نحن نطبق التحديثات بانتظام ونتخذ إجراءات أمنية إضافية. نحن نستخدم كلمات مرور قوية ونحاول جعل الوصول غير المصرح به إلى موقعنا صعبًا قدر الإمكان. ومع ذلك ، ما زلنا نواجه هجمات مستمرة - بعضها يمر.

أعترف أنني لست الخبير الأمني ​​الأول. لكن لدي بعض الأفكار حول الخطوات الإضافية التي يمكننا اتخاذها للحفاظ على مواقعنا خالية من البرامج الضارة وما شابه. ربما يكون البعض متعصبًا بعض الشيء ، لكن آمل أن أشعل النقاش بدلاً من إنقاذ البشرية جمعاء.

تدقيقات البرنامج المساعد
هذا شيء يمكننا القيام به بشكل روتيني وأن نفرض رسومًا على العملاء. الفكرة هي أن ننظر بشكل روتيني (ربما 2-3 مرات في السنة) في المكونات الإضافية التي تم تثبيتها والتخلص من الإضافات التي يحتمل أن تكون إشكالية. ابحث عن المكونات الإضافية التي تم اعتبارها مهجورة (مع عدم وجود تحديثات لمدة عامين على الأقل) أو تمت إزالتها من مستودع مكونات WordPress تمامًا. بعد ذلك ، قم بإجراء عمليات الاستبدال عند الضرورة.

الوصول إلى معلومات أفضل
والأفضل من ذلك هو تقديم خدمة واسعة النطاق تُطلعنا على المكونات الإضافية القديمة / الضارة / التي تمت إزالتها. يمكن للمطورين ومالكي المواقع الاستفادة بشكل كبير من وجود هذا النوع من الموارد في متناول أيدينا. مجرد معرفة ما يحدث داخل نظام WordPress البيئي يمكن أن يساعدنا في تجنب المزيد من المشاكل.

اتخاذ قرارات أكثر حكمة
غالبًا ما نتخذ ما نشعر أنه أفضل القرارات في ذلك الوقت بالذات. ولكن يمكننا أن نفعل ما هو أفضل. على سبيل المثال ، غالبًا ما يتعلق اختيار مكون إضافي بإيجاد الحل الأسرع لمشكلة ما. لكن الحل الأسرع ليس دائمًا هو الأفضل. يجب أن يكون فحص المكونات الإضافية من حيث جودتها بنفس أهمية وظائفها. لن نفهمها دائمًا بشكل صحيح ، ولكن النظر إلى سجلات التغيير ومنتديات الدعم يمكن أن يكون عونًا كبيرًا في اتخاذ القرارات.

افهم اللعبة
عندما نطلق موقعًا حديث الإنشاء ، فهذا لا يعني أن عملنا قد انتهى. للحفاظ على الأمور آمنة ، يجب أن نستمر في الاهتمام بما يحدث. قد يكون جزء من ذلك هو استخدام مكونات أمان آلية ترسل إلينا عبر البريد الإلكتروني عندما يكون هناك خطأ ما. ولكن الأمر يتعلق أيضًا بإلقاء نظرة يدويًا بين الحين والآخر. راجع لوحة تحكم WordPress وابحث أيضًا في بنية ملفات الموقع للبحث عن أي شيء مريب.

الاستضافة الاستباقية
أود أن أعتقد أن معظم مضيفي الويب يجعلون الأمان أولوية قصوى. لكن هذا لا يعني أنه لا يوجد مجال للتحسين. من تجربتي الخاصة ، يبدو أن المضيفين غالبًا ما يتفاعلون مع المشكلات بعد حدوثها. أعتقد أننا يمكن أن نستفيد من المضيفين الأكثر استباقية في نهجهم للأمان. على سبيل المثال ، تنبيه العملاء إلى المعلومات المتعلقة بأحدث التهديدات الأمنية وكيفية تقوية موقعك ضدها.

تدريب العملاء
أخيرًا ، من المهم تدريب العملاء على ما يجب فعله وما لا يجب فعله في WordPress. إذا قاموا بالوصول إلى النهاية الخلفية للموقع ، فيجب أن يعرفوا المخاطر المحتملة لتثبيت المكونات الإضافية أو إعطاء معلومات حساباتهم للآخرين. لديهم دور كبير يلعبونه في الحفاظ على موقعهم آمنًا وسليمًا.

دائما هدف

يستخدم WordPress على نطاق واسع بحيث لا عجب لماذا أصبح هدفًا للمتسللين. لسوء الحظ ، هذا شيء يأتي مع كل هذا النجاح العظيم.

لهذا السبب ، نحتاج جميعًا إلى الارتقاء إلى المستوى الأعلى عندما يتعلق الأمر بممارساتنا الأمنية. من الناحية المثالية ، هذا يعني إجراء فحوصات منتظمة للموقع ، والأهم من ذلك ، الوصول إلى المعلومات الهامة. المعرفة هي مفتاح أي تحد. بدونها ، سنبقى عالقين إلى الأبد في لعب لعبة الكرنفال هذه.