U3F1ZWV6ZTE4NDI0OTc2ODc2MDM0X0ZyZWUxMTYyNDA2ODYzNjg4Mw==
recent
أخبار ساخنة

نصائح أمنية لموقع مضاد للرصاص

مسوق إنجاز
الصفحة الرئيسية

 

ستجعل ستجعل نصائح الأمان المهمة هذه لنظام إدارة المحتوى موقع الويب الخاص بك مقاومًا للرصاص تقريبًا


ستجعل نصائح الأمان المهمة هذه لنظام إدارة المحتوى موقع الويب الخاص بك مقاومًا للرصاص تقريبًا

[تم تحديث المقال في 2020]

تقوم Google حاليًا بإدراج ما يقرب من 20.000 موقعًا في القائمة السوداء في الأسبوع للبرامج الضارة و 50000 موقع آخر في الأسبوع للتصيد الاحتيالي.

تعكس هذه الأرقام فقط تلك الإصابات التي يمكن أن يكون لها تأثير فوري على الزائر (على سبيل المثال ، القيادة عن طريق التنزيل ، والتصيد الاحتيالي). لذلك لا يتم تضمين مواقع الويب المصابة بـ Spam SEO والتكتيكات الأخرى ذات التأثيرات الطويلة.

إليك بعض السيناريوهات حول كيفية إساءة استخدام المتسللين لمواقع الويب التي يهاجمونها:

  • لإدراج روابط خلفية لتحسين تصنيفات SEO (البريد العشوائي SEO)
  • سرقة البيانات الحساسة (خرق البيانات)
  • استخدام موقع الويب الخاص بك لمهاجمة الآخرين (هجمات DDoS)
  • إصابة أجهزة كمبيوتر الزائر ببرامج ضارة (القيادة عن طريق التنزيلات).

وهذه ليست قائمة كاملة بالمخاطر التي ستواجهها مع نظام إدارة المحتوى غير الآمن.

كما سترى أدناه ، تُظهر الأبحاث أن العديد من مواقع الويب لا تتخذ سوى إجراءات حماية قليلة أو معدومة وبالتالي تصبح سهلة الصيد. دعونا نتأكد من أن هذا ليس موقع الويب الخاص بك!

في هذه المقالة نتناول القضايا التالية:

  • ما هي حلول CMS الأكثر ضعفًا ولماذا؟
  • ما هي حلول CMS الأكثر أمانًا ولماذا؟

ومشاركة نصائح الأمان لمنصات CMS (المعلبة والمخصصة):

  • كيف تجعل نظام إدارة المحتوى الجاهز لديك أكثر أمانًا؟
  • كيف تجعل نظام إدارة المحتوى المخصص الخاص بك أكثر أمانًا؟

ما هي حلول CMS الأكثر ضعفًا ولماذا؟

المواقع الأكثر ضعفًا هي تلك التي تعمل على منصات CMS الشائعة الجاهزة. وخاصة تلك التي تتخذ إجراءات حماية قليلة أو معدومة.

حاليًا ، أكثر منصات CMS شيوعًا هي WordPress و Joomla و Shopify و Drupal. بينما WordPress هو الفائز الواضح ، حيث يغطي 63.3٪ من جميع المواقع على الويب.

أشهر أنظمة إدارة المحتوى في عام 2020
w3techs

وهذه هي المنصة التي يتم اختراقها أكثر من غيرها. وفقًا لـ Sucuri (موفر برامج الأمان CMS) ، فإن  94٪ من جميع المواقع المصابة في عام 2019 كانت على WordPress.

التهابات CMS 2018-2019 تقرير سوكوري
سوكوري

ومن الغريب أن معظم نقاط الضعف في هذه الأنظمة تأتي من شعبيتها. فيما يلي الأسباب الرئيسية التي تجعل المتسللين يفضلون مهاجمة مواقع الويب التي تعمل على منصات CMS الشائعة:

  • يعلم الجميع عن هذه المنصات ، بما في ذلك المتسللين
  • يمكن للجميع الوصول إلى الكود المصدري ، خاصةً مع الحلول مفتوحة المصدر
  • يمكن "اختراقها جماعيًا" ، فبمجرد أن يجد شخص ما ثغرة في النظام الأساسي ، يمكنه / يمكنها مهاجمة جميع مواقع الويب التي تستخدمها دفعة واحدة
  • هناك العديد من المطورين غير المؤهلين الذين يفشلون في اتخاذ الإجراءات الأمنية المناسبة.

ومع ذلك ، هناك طرق لجعل موقع WordPress أكثر أو أقل أمانًا لكل من زوارك وأنت. سنتحدث عنها أدناه.

ما هو حل CMS الأكثر أمانًا ولماذا؟

أولاً ، دعنا نعترف بأن نظام إدارة المحتوى المخصص الذي تم إنشاؤه بشكل صحيح هو الحل الأكثر أمانًا .

نعني بكلمة "مخصص" حل CMS الذي يقوم مطورو الويب ببنائه من البداية ، عادةً باستخدام إطار عمل برمجة من اختيارهم. نعني بكلمة "مبنية بشكل صحيح" الالتزام بأفضل ممارسات الأمان والتشفير (المزيد حول ذلك لاحقًا).

إذن ، إليك ما يجعل نظام إدارة المحتوى المخصص أكثر أمانًا من نظام التشغيل الجاهز:

  • تعد منصات CMS المخصصة "فريدة من نوعها" ، لذلك لن يعرفها أحد غيرك أنت وفريقك وكيف يعمل
  • فقط أنت وفريق التطوير لديك سيكونون قادرين على الوصول إلى الكود
  • سيتعين على المتسللين القيام بكل العمل الشاق لمهاجمة موقع ويب واحد فقط ، بدلاً من الملايين التي تعمل على بعض الأنظمة الأساسية الشائعة مثل WordPress.

بالطبع ، لا يضمن وجود نظام CMS مخصص أنك لن تتعرض للهجوم. ولكن ، كما ترى ، لن يبدو موقع الويب الخاص بك جذابًا للمتسللين بعد الآن.

كيف تجعل نظام إدارة المحتوى غير الجاهز لديك أكثر أمانًا؟

سنغطي هنا بعض أساسيات الأمان للحلول المعلبة ، بالإضافة إلى التحدث عن بعض الحلول غير المباشرة التي تناسبنا.

إذن ، إليك الأشياء التي يمكنك القيام بها للحفاظ على أمان موقع الويب الخاص بك:

  • قم بتحديث منصة CMS الخاصة بك
  • إخفاء النظام الأساسي الخاص بك ولوحة الإدارة
  • استخدم جدار الحماية
  • افحص نظام إدارة المحتوى الجاهز لديك وأي حلول خارجية تستخدمها معه بحثًا عن الفيروسات
  • اجعل موقع الويب الخاص بك ثابتًا.

دعونا نلقي نظرة فاحصة على كل منهم.

التحديثات

في عام 2019 ، كانت 56٪ من جميع تطبيقات CMS قديمة عند نقطة الإصابة. لذا فإن أكثر من نصف مستخدمي WordPress مع غالبية مستخدمي Joomla و Drupal لا يقومون بتحديث مواقعهم على الويب!

لماذا هو مهم؟ ولماذا يعتبر عدم تحديث منصتك أمرًا خطيرًا للغاية؟

لأن هذه المنصات الشعبية تخضع باستمرار لرادار الهاكرز. إنهم يدرسون بلا كلل WordPress و Joomla و Drupal وغيرهم للعثور على نقاط ضعفهم.

إذا كنا محظوظين ، فإن الأخيار (الفريق الأساسي أو المساهمون) سيجدون ثغرات في منصة CMS الخاصة بك ويقومون بإنشاء تصحيحات لهم قبل الأشرار. هذا ما يحدث عندما تصدر منصة CMS تحديثات. كلما أسرعت في نشرها ، زادت فرصة عدم استفادة المتسللين من أخطاء النظام الأساسي هذه.

بمجرد إصدار النظام الأساسي الخاص بك تحديثًا ، تم بالفعل نشر المعلومات حول الأخطاء المكتشفة. لذا فإن أولئك الذين لا يقومون بالتحديث في أقرب ساعات يصبحون أهدافًا سهلة.

"يجب أن تتابع على افتراض أن كل موقع ويب دروبال 7 قد تعرض للاختراق ما لم يتم تحديثه أو تصحيحه قبل 15 أكتوبر ، 11 مساءً بالتوقيت العالمي المنسق ؛ أي بعد 7 ساعات من الإعلان. سوكوري .

هذا مثال على مدى سرعة حدوث كل شيء. لذلك لا تؤجل تحديثاتك إلا إذا كان موقع الويب الخاص بك ثابتًا (المزيد عن ذلك أدناه)!

وتأكد من تحديث ليس النظام الأساسي فحسب ، بل أيضًا البرامج الأخرى التي تستخدمها مثل المكونات الإضافية لجهات خارجية وموضوعك . في الواقع ، من خلال تجربتنا ، تأتي معظم الثغرات الأمنية من المكونات الإضافية والسمات التابعة لجهات خارجية ، وليس النظام الأساسي.

"رأى فريق البحث لدينا ما مجموعه 54 مكونًا إضافيًا تأثرت بالضعف في وظيفة update_option () خلال عام 2019 ، مما أثر على الملايين من مواقع الويب عبر الويب." سوكوري .

إخفاء النظام الأساسي الخاص بك ولوحة الإدارة

إذا لم تقم بتغيير عنوان URL العام للوحة الإدارة الخاصة بك (www.domain.com/wp-admin for WordPress) ، فلن يواجه المتسللون مشكلة في العثور عليه وتحديد النظام الأساسي الخاص بك.

ستوفر معرفة النظام الأساسي الخاص بك الكثير من المزايا للمتسللين ، حيث سيكون لديهم إمكانية الوصول إلى شفرة المصدر ومن المحتمل أن يكونوا قد درسوا نقاط الضعف الشائعة في نظام إدارة المحتوى الخاص بك.

بالإضافة إلى ذلك ، سيعرفون عنوان URL الخاص بلوحة الإدارة الخاصة بك وسيحاولون استخدام أدوات القوة الغاشمة لاقتحامها . هذا خطير بشكل خاص إذا كانت لديك كلمات مرور ضعيفة ووصول غير محمي.

إذن إليك ما يمكنك فعله لإخفاء النظام الأساسي ولوحة الإدارة:

  • تغيير عناوين URL إلى لوحة الإدارة
  • تأكد من أن المتسللين لن يحددوا النظام الأساسي الخاص بك من خلال النظر في كود HTML الخاص بك
  • قم بإنشاء قائمة بيضاء لعناوين IP التي سيتم السماح بها للمناطق المحظورة
  • استخدم كلمات مرور قوية
  • استخدم برامج منع التطفل مثل Fail2Ban.

يمكن للقراصنة تتبع النظام الأساسي الخاص بك بمساعدة عناوين URL العامة ، وفي بعض الأحيان ، من خلال النظر في كود HTML الخاص بك.

يمكن للمطورين إخفاء النظام الأساسي الخاص بك عن طريق إعادة كتابة عناوين URL العامة يدويًا أو بمساعدة أحد المكونات الإضافية. ويمكنهم التأكد من أن كود HTML لا يظهر أي علامات على نظام CMS الخاص بك.

يمكنك أيضًا إنشاء قائمة بعناوين IP لجميع الأشخاص المسموح لهم بالدخول إلى المناطق المحظورة على موقع الويب الخاص بك وحظر جميع الآخرين.

ثم يمكنك استخدام بعض منشئ كلمات المرور لإنشاء كلمات مرور آمنة لجميع المستخدمين. ولا تنس الاحتفاظ بها واستبدالها بأمان.

أخيرًا ، يمكن للمطورين تثبيت بعض برامج منع التطفل (مثل Fail2Ban) لإنقاذك من هجمات القوة الغاشمة. هذا هو الوقت الذي سيحاول فيه المتسللون مجموعات لا حصر لها من عمليات تسجيل الدخول وكلمات المرور للوصول إلى لوحة الإدارة الخاصة بك. ستضع Fail2Ban ، أو أداة مماثلة ، قواعد لجدار الحماية الخاص بك (المزيد عن ذلك أدناه) للحد من عدد المحاولات التي يتعين على المستخدم تسجيل الدخول إليها.

استخدم جدار الحماية

استخدم جدار الحماية لمراقبة حركة المرور الواردة والتحكم فيها. سيحمي جدار الحماية موقع الويب الخاص بك من حركة المرور غير المرغوب فيها ويتأكد من حظر جميع المنافذ الخلفية.

جدار الحماية
مصدر الصورة

يمكنك أيضًا استخدامه مع برنامج منع التطفل (مثل Fail2Ban). بهذه الطريقة ، سيقوم جدار الحماية بحظر عناوين IP الخاصة بالمستخدمين الذين يفشلون في إدخال معلومات تسجيل الدخول وكلمة المرور الصحيحة في عدد محدود من المحاولات ضمن إطار زمني محدد (على سبيل المثال ، أكثر من 3 كلمات مرور خاطئة في دقيقة واحدة).

سيمنع جدار الحماية أيضًا الهجمات على البنية التحتية لشبكتك. سيحظر الخادم والمكونات الفردية ، على سبيل المثال قاعدة البيانات الخاصة بك.

تفحص الفيروسات

من الجيد أيضًا فحص CMS بحثًا عن الفيروسات ونقاط الضعف. أولاً ، قد تكون مصابًا بالفعل ولا تعرف شيئًا عن ذلك. ثانيًا ، يجب أن تعرف نقاط الضعف في موقع الويب الخاص بك لحماية نفسك قبل أن يجدها المتسللون.

فيما يلي أنواع الفحص التي يمكنك القيام بها:

  • مسح البرمجيات الخبيثة
  • البحث عن نقاط الضعف.

هناك العديد من الأدوات التي ستساعدك في ذلك. بعضها خاص بالنظام الأساسي ، مثل مكونات الأمان الإضافية الكل في واحد لـ WordPress أو WPScan ، بينما البعض الآخر عبارة عن نظام أحادي ، مثل Sucuri .

اجعلها ثابتة

سيحول هذا الحل موقع الويب الخاص بك إلى موقع ثابت ، يتكون فقط من ملفات HTML مع CSS و JavaScript.

أثناء الهجمات ، غالبًا ما يغير المتسللون البرامج النصية الموجودة أو يضخون نصوصًا جديدة لتنفيذ إجراءات غير مرغوب فيها. لذلك إذا كان موقع الويب الخاص بك ثابتًا ، أي لا يحتوي على أي نصوص برمجية ، فلن يتمكن المتسللون من العثور عليها واستغلال نقاط ضعفهم.

لن يرى العالم الخارجي ، بما في ذلك المتسللين ، أي خلفية ولن يتمكن من اكتشاف نظام CMS الأساسي الذي تستخدمه. بينما في الواقع سيتم إخفاء الواجهة الخلفية الخاصة بك في نطاق فرعي بتفويض مزدوج مطلوب لعرضه والوصول إلى لوحة الإدارة.

إن امتلاك موقع ويب ثابت يعني أنه في كل مرة تنشر فيها محتوى أو تعدله ، يجب عليك إنشاء الإصدار الثابت المحدث من موقع الويب الخاص بك. يمكنك القيام بذلك بمساعدة حلول مثل برنامج Simply Static Plugin لـ WordPress أو Hugo لأي نظام أساسي.

خادم HTMLs
البرنامج المساعد الثابت البسيط - مولد موقع ثابت.

 

يمنحك جعل موقع الويب الخاص بك ثابتًا الفوائد التالية:

  • حمايتك من هجمات الهاكر الشائعة (مثل حقن شفرة ضارة في موقعك)
  • لن تحتاج إلى تحديث نظام إدارة المحتوى (CMS) الخاص بك كثيرًا (قد يكون هذا مصدر ارتياح كبير عندما تكون لديك مشكلات في التوافق مع الإصدارات السابقة)
  • سيصبح موقع الويب الخاص بك أسرع كثيرًا (لا داعي لتقديم موقع الويب الخاص بك في كل مرة يزورها شخص ما).

على الرغم من فوائده ، هذا الحل بالتأكيد ليس للجميع. إنه يعمل بشكل رائع مع مواقع الويب الأصغر التي تحتوي على تحديثات للمحتوى من حين لآخر (بضع مرات في اليوم أو حتى أسبوع). ولكن إذا كان موقع الويب الخاص بك يعتمد على الكثير من الميزات الديناميكية مثل النماذج التي تعتمد على قاعدة البيانات أو البحث والمطابقة (مثل مواقع الأخبار وتطبيقات المواعدة) ، فإن هذا الحل ليس مناسبًا لك.

كيف تجعل نظام إدارة المحتوى المخصص الخاص بك أكثر أمانًا؟

الحقيقة هي أنه حتى نظام إدارة المحتوى المخصص غير الآمن سيكون أكثر أمانًا من WordPress . كما ذكرت سابقًا ، مع البرمجة المخصصة ، ستكون شفرتك فريدة ولن يتمكن أحد غيرك أنت وفريقك من الوصول إليها.

ومع ذلك ، يجب أن تقرأ هذا المقال لأنك لا تريد المجازفة.

إذن ، إليك أفضل الطرق لجعل نظام إدارة المحتوى الخاص بك آمنًا:

  • استخدم إطار عمل واتبع أفضل ممارسات الأمان الخاصة به
  • استخدم فقط مكتبات الطرف الثالث الموثوق بها.

هناك أفضل ممارسات الترميز العامة التي يجب على المطورين اتباعها لإنشاء برنامج موثوق وآمن. وهناك أيضًا أفضل الممارسات الخاصة بإطار العمل . هذه ستوجه حتى المبرمجين عديمي الخبرة في تطوير موقع آمن.

من واقع خبرتنا ، فإن اتباع أفضل الممارسات واستخدام موارد الجهات الخارجية الموثوقة فقط ، عندما يتعين علينا ذلك ، عادة ما يكون كافياً لإنشاء نظام آمن.

عند الحاجة ، نتخذ بعض الإجراءات الإضافية لمنع الهجمات ، مثل التشفير والترميز وغيرها.

بشكل عام ، يعد تعيين فريق تطوير ويب ماهر هو أفضل شيء يمكنك القيام به لحماية CMS لموقع الويب الخاص بك. سوف يتبعون جميع أفضل الممارسات ويذهبون لاتخاذ تدابير إضافية لجعل موقع الويب الخاص بك آمنًا.

خاتمة

دعونا نلخص.

إذا كنت تبحث عن حل CMS الأكثر أمانًا ، فسيكون نظام إدارة المحتوى المخصص خيارًا آمنًا. قد لا يكون هذا هو الأسهل أو الأرخص للبدء به ، ولكن مع فريق ماهر ، ستحصل على حل مضاد للرصاص تقريبًا.

في حالة عدم توفر البرمجة المخصصة لك ، تأكد من اتخاذ جميع التدابير اللازمة لحماية نظام إدارة المحتوى الجاهز. قم بإخفاء النظام الأساسي ولوحة الإدارة ، والتحديث كثيرًا ، والبحث عن الفيروسات ، واستخدام جدار الحماية و / أو جعل موقع الويب الخاص بك ثابتًا.

خلاصة القول هي أن الأمر كله يتعلق بجعل الأشخاص المناسبين يعملون على موقع الويب الخاص بك!

ليست هناك تعليقات
إرسال تعليق

إرسال تعليق

الاسمبريد إلكترونيرسالة

إعلان