كيف تجد ثغرات أمنية في موقع WordPress تم اختراقه؟

يقضي المستخدمون والمسؤولون الكثير من الوقت في حل مشكلة اختراق مواقع WordPress واختراقها. في كثير من الحالات ، أثناء قيامنا بتنظيف موقع WordPress ، لا يزال المتسللون قادرين على التسلل إلى موقعنا. في هذه المقالة ، نحاول أن نعلمك كيفية العثور على الأبواب الخلفية ومنعها وإصلاحها.

ما هو مستتر؟

إنها طريقة لتجاوز المصادقة الافتراضية للنظام والوصول إلى الخادم أو الموقع بينما الثقب لا يزال غير معروف. يجب على معظم المتسللين الأذكياء ، إذا تمكنوا من التسلل ، وضع باب خلفي آخر على الموقع لإعادة التسلل. من الممكن أيضًا أن تظل هذه الأبواب الخلفية على الموقع مع تحديث WordPress.

حتى في الأنواع الأكثر تقدمًا ، من الممكن إنشاء أذونات أعلى ، وتنفيذ أي نوع من أكواد php ، وإرسال رسائل بريد إلكتروني عشوائية من الموقع ، وتشغيل استعلامات من قاعدة البيانات أو عناصر أخرى.

أين يتم إخفاء الرموز الخبيثة؟

عادةً ما يتم إخفاء Backdoors في WordPress في الأماكن التالية:

1. المواضيع ( الموضوعات ) :

في معظم الأوقات ، ربما لا تكون Backdoors في المظهر الذي تستخدمه.

لا يريد المتسللون إزالة الكود الضار الذي قاموا بإضافته عن طريق تحديث نواة WordPress. لذلك إذا كانت لديك سمات قديمة أو سمات غير نشطة ، فقد تكون هناك تعليمات برمجية ضارة في مسار التخزين الخاص بها.

تأكد من قراءة: ما هو WooCommerce؟ (برنامج تعليمي تمهيدي لـ WooCommerce)

نوصي بحذف جميع السمات غير النشطة وغير المستخدمة.

2 ملحقات ( ملحقات ):

تعد المكونات الإضافية أيضًا واحدة من أفضل الأماكن لإخفاء كود المتسلل الخبيث لثلاثة أسباب.

– السبب الأول: مستخدمو WordPress لا يقومون بفحص الإضافات والشفرات ذات الصلة.

– السبب الثاني: لا يهتم مستخدمو WordPress بتحديث الإضافات.

– أكواد المكونات الإضافية المثبتة ضعيفة والتي قد تؤدي إلى ضعف هذه المكونات الإضافية.

3- مجلد الرفع :

يمكنك فقط تحميل الصور إلى هذا المجلد واستخدام هذا المسار في المنشورات ، وربما تكون قد قمت بتحميل آلاف الصور والملفات بناءً على الشهر والسنة في هذا المجلد.

يعد تحميل الأبواب الخلفية في هذا المسار من أسهل الطرق للمتسللين لأن الملفات الضارة مخفية بين آلاف الملفات في هذا المجلد ولا تقوم بفحص هذا المجلد وملفاته بانتظام. أيضًا ، لا يستخدم معظم الأشخاص المكونات الإضافية للأمان مثل Sucuri لمراقبة هذا المسار.

في النهاية ، نظرًا لأن مجلد التحميلات قابل للكتابة ، فهو هدف رائع لتحميل الملفات.

4 ملف wp-config :

يعد هذا الملف أيضًا أحد الأهداف الجيدة جدًا للمتسللين وهو أحد الأماكن الأولى التي يُطلب من المستخدمين التحقق منها. من الأفضل أن يكون لديك وصول محدود للغاية إلى هذا الملف.

5- مجلد wp-include :

هذا المجلد هو مكان آخر حيث يمكنك العثور على الملفات الضارة. يجب أن يترك بعض المتسللين أكثر من ملف ضار هنا.

يقوم المتسللون بتحميل الملف مرة واحدة وسيجدون بالتأكيد طريقة أو طرقًا أخرى للوصول إليه في المستقبل.

تأكد من قراءة: Telecrypt Telegram ransomware virus

يعد مجلد التضمين أحد الأماكن التي لا يتحقق منها المستخدمون.

قد تكون هناك أيضًا ملفات ضارة تشبه إلى حد كبير ملفات WordPress الأصلية ولكنها في الواقع ملفات ضارة مخفية عن رؤيتنا.

على سبيل المثال ، عند مسح أحد المواقع ، صادفنا ملفًا ضارًا في مجلد wp-include يسمى wp-uers.php ، إذا لم يكن هذا الملف موجودًا في WordPress واسمه الأصلي هو user.php.

وجدت مراجعة أخرى ملفًا يسمى hello.php في مجلد التحميلات ، والذي كان مخفيًا في المكون الإضافي Hello Dolly ، ولكن لا علاقة له بالمكون الإضافي.

كيف Backdoor ونجد الملفات الخبيثة؟

الآن بعد أن عرفنا مفهوم Backdoor ، نحتاج إلى إيجاد طريقة للعثور على الملفات والرموز الضارة وإزالتها.

إذا كنت مسؤول خادم ، فيمكنك استخدام ماسحات shell مثل CXS لخادمك.

– البرنامج النصي ConfigServer eXploit Scanner (CXS)

هي أداة أمنية ومنتج من ConfigServer . بمساعدة هذه الأداة ، يمكن حفظ بعض البرامج النصية الضارة مثل WebShell وأدوات القرصنة. يمكن اعتبار CXS برنامج استغلال (ماسح ضوئي للبرامج الضارة).

اطلع على مزيد من المعلومات على الرابط التالي:

https://blog.x.com/what-is-cxs/

إذا كنت مشرف الموقع الوحيد ولديك حق الوصول إلى استضافة WordPress وإدارته ، فيمكنك استخدام المكونات الإضافية لمساعدتك في العثور على المشاكل. فيما يلي بعض المكونات الإضافية.

– استغلال البرنامج المساعد الماسح

سيبحث هذا المكون الإضافي في ملفاتك وقاعدة بيانات WordPress عن علامات العمليات الضارة. لا يحذف هذا المكون الإضافي أي معلومات ويقدم فقط تقريرًا عن أحدث التغييرات المشبوهة في معلوماتك لمراجعتها.

تأكد من قراءة: تم اكتشاف نقاط الضعف في WordPress (مارس 2021)

https://wordpress.org/plugins/exploit-scanner/

– ثغرات البرنامج المساعد

يتحقق هذا المكون الإضافي من جميع المكونات الإضافية المثبتة ويبلغ عن أحدث المشكلات والأخطاء جنبًا إلى جنب مع التحديثات الحالية. لذلك إذا كانت المكونات الإضافية الخاصة بك تحتوي على تقرير عن ثغرة أمنية ، فيمكن إخطارك بهذه الطريقة.

https://wordpress.org/plugins/plugin-vulnerabilities/

– البرنامج المساعد Wordfence Security

يعد هذا المكون الإضافي أداة كاملة لبرنامج WordPress ، بما في ذلك جدار الحماية ، ومسح البرامج الضارة وحظرها ، وعرض حركة مرور الموقع الحية ، وأمان تسجيل الدخول إلى لوحة الإدارة.

https://wordpress.org/plugins/wordfence/

– الكل في واحد WP Security & Firewall plugin

هذا البرنامج المساعد عبارة عن منصة أمان كاملة لـ WordPress بما في ذلك جدار الحماية والقائمة السوداء وتسجيل الدخول إلى الموقع والتسجيل وأمن قاعدة البيانات وحماية الملفات.

https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

– البرنامج المساعد Sucuri Security

واحدة من أكثر أدوات الأمان شيوعًا هي مجموعة الأمان الكاملة لبرنامج WordPress.

يشمل عناصر مثل ،

1- مراقبة سلامة الملفات

2- فحص البرامج الضارة عن بعد

3- تشديد أمني فعال

4- إجراءات الأمن بعد الاختراق

https://wordpress.org/plugins/sucuri-scanner/

ستساعدك جميع الأدوات المذكورة أعلاه في العثور على الملفات المصابة بسهولة أكبر.

لكن حذف هذه الملفات ليس بالأمر السهل دائمًا. في بعض الأحيان ، تكون أفضل طريقة هي حذف جميع المكونات الإضافية مع المجلد وإعادة تثبيت المكونات الإضافية. لأن حذف الملفات الفردية سيكون عملاً شاقًا ويستغرق وقتًا طويلاً.

كل ما سبق تم استخدامه عندما لم يتسلل المخترق إلى قاعدة البيانات الخاصة بك. إذا تم اختراق قاعدة بيانات موقعك ، فهناك احتمال وصول المخترق إلى مستوى المسؤول بينما لا تكون على دراية بوجوده. لذلك ، من المهم جدًا حماية قاعدة بيانات موقعنا.

في المقالات التالية ، سوف نتعرف على طرق منع التطفل والقرصنة في WordPress.