كيف تحمي موقع ووردبريس الخاص بك من ثغرة تحميل الملف
ما هي ثغرة تحميل الملف؟
تتيح العديد من مواقع WordPress للزوار خيار تحميل الملفات لأغراض مختلفة. على سبيل المثال ، تسمح بوابة الوظائف للمستخدم بتحميل السيرة الذاتية والشهادات.
سيسمح لك موقع ويب مصرفي بتحميل وثائق داعمة مثل الهوية والعنوان وإثبات الدخل.
عندما يتم تحميل ملف إلى موقعك ، يتحقق WordPress من الملف ويخزنه في مجلد معين يسمى دليل التحميلات.
بشكل عام ، تكون المستندات أو بعض الملفات التي يتم تحميلها بواسطة رافعي الملفات بتنسيق لا يمكنها تنفيذ أي أوامر دون إظهار أي رسائل خطأ.
للصور ، تتضمن التنسيقات المقبولة png و jpeg. بالنسبة إلى المستندات ، تتضمن التنسيقات PDF و Docx.
وبالنسبة لمقاطع الفيديو ، يتضمن امتداد ملفات mp3 و mp4. تسمح لك التنسيقات أو أنواع الملفات بعرض هذه الملفات فقط.
كما قلنا ، فإن هذه التنسيقات غير قابلة للتنفيذ مما يعني أنه حتى في حالة وجود تعليمات برمجية ضارة فيها ، فإن الشفرة لا يمكنها تنفيذ أي أمر على موقعك.
بشكل عام ، تقبل حقول التحميل الموجودة على موقع الويب الملفات غير القابلة للتنفيذ فقط. ولكن إذا حدث خلل ، فيمكنه البدء في قبول تحميلات الملفات غير المقيدة.
يمكن للمتسللين الاستفادة من هذا وتحميل الرموز القابلة للتنفيذ في تنسيقات الملفات مثل ملف PHP و JavaScript و exe.
يمكن لهذه الملفات تشغيل أوامر تعيث فسادًا على موقع الويب الخاص بك. يمكنك التحقق من كيفية منع هجمات حقن SQL .
هذا ما يُعرف بضعف تحميل الملف.
في الأقسام أدناه ، ستتعلم كيفية حماية موقع الويب الخاص بك ضد هذه الثغرة الأمنية.
لحسن الحظ ، هناك تدابير يمكنك اتخاذها لحماية موقعك على الويب ضد هذه الثغرة الأمنية. ومع ذلك ، من المهم فهم كيفية عمل هذه الثغرة الأمنية.
لذا قبل أن نناقش تدابير الحماية ، سنلقي نظرة أعمق على الثغرة الأساسية لتحميل الملفات في القسم التالي.
ما هي الأنواع المختلفة لضعف تحميل الملف؟
شرحنا سابقًا كيف تعمل ثغرة رفع الملف. قلنا أنه في موقع WordPress يوجد حقول لتحميل الملفات.
يمكنك فقط تحميل أنواع معينة من الملفات غير القابلة للتنفيذ.
ولكن إذا تعطل حقل التحميل (بسبب الثغرة الأمنية) ، فيمكن للمتسللين تحميل ملفات قابلة للتنفيذ ضارة.
الآن هناك طريقتان يقبل بهما حقل التحميل المعرض للخطر.
1. يمكنه قبول الملف مباشرة في الموقع.
في هذه الحالة ، يمكن للمتسللين تحميل الملفات الضارة مباشرة. وهذا ما يسمى بالثغرة المحلية لتحميل الملف .
2. لا تسمح بعض حقول التحميل بالتحميل المباشر.
يطلبون منك تحميل ملفاتك على موقع ويب مختلف على الخدمات السحابية مثل GDrive و Dropbox.
بعد ذلك ، تحتاج إلى مشاركة الموقع في شكل عنوان URL.
سيحضر الموقع الملف من الموقع. إنها طريقة غير مباشرة لتحميل الملفات التي تسمح للمهاجمين بتحميل الملفات الضارة على موقع ويب.
وهذا ما يسمى ضعف التحميل عن بعد .
ثغرات التحميل المحلية والثغرات في التحميل عن بُعد هما نوعان مختلفان من ثغرات تحميل الملفات.
أحد الأمثلة على ثغرة التحميل عن بعد التي تتبادر إلى الذهن على الفور هي ثغرة TimThumb .
كان مكونًا مساعدًا لتغيير حجم الصورة وشعبية أثرت على عدد كبير من مواقع WordPress. سمح للمستخدمين باستيراد الصور من مواقع استضافة الصور (مثل imgur.com و flickr.com). ومع ذلك ، وبسبب نقص الإجراءات الأمنية ، تمكن المتسللون أيضًا من تحميل الملفات الضارة بدلاً من الصور. يمكن أن يكون لهذه الملفات اسم ملف مختلف أو أحجام ملفات مختلفة. لكن محتوى الملف يمكن أن يكون خطيرًا للغاية.
كيف يستغل المتسللون ثغرة تحميل ملف؟
عملية اختراق موقع إلكتروني معقدة وتقنية. لقد قمنا بتبسيطها قدر الإمكان ووضعنا الخطوات بطريقة يسهل على أي شخص فهمها.
→ يبحث المخترقون دائمًا عن الثغرات الأمنية التي يمكنهم من خلالها الوصول إلى مواقع الويب.
→ في موقع WordPress على الويب ، من الشائع العثور على نقاط الضعف في الإضافات والمظاهر . عندما يتعرف مطورو المكونات الإضافية والمظاهر على نقاط الضعف هذه ، يطلقون تحديثًا بسرعة.
→ تحتوي التحديثات على تفاصيل الإصلاح وهي كيفية معرفة المتسللين أن مكونًا إضافيًا أو سمة معينة بها ثغرة يمكن استغلالها.
ماذا يحدث عندما لا تقوم بتحديث موقعك؟
→ نادرًا ما يستهدف المخترقون موقع ويب واحدًا. إنهم يجوبون الإنترنت للعثور على الآلاف من مواقع الويب باستخدام البرنامج المساعد الضعيف. يميل العديد من مالكي مواقع الويب إلى تأجيل التحديثات لأنهم لا يدركون أهمية تحديثات WordPress . يستمرون في العمل على الإصدارات القديمة من المكوّن الإضافي الضعيفة.
→ لنفترض أنك تستخدم مكونًا إضافيًا لتمكين قسم التعليقات في مدونتك. اكتشف مطورو هذا البرنامج المساعد مؤخرًا ثغرة في تحميل الملف. لإصلاحها ، أطلقوا تصحيحًا من خلال تحديث. لسبب ما ، لم تتمكن من تحديث البرنامج المساعد. لا تزال الثغرة الأمنية في المكون الإضافي. يكتشف المخترقون أن موقعك يستخدم الإصدار القديم من المكوّن الإضافي للتعليقات. يقومون بتحميل الملفات الضارة على موقع الويب الخاص بك عن طريق استغلال ثغرة تحميل الملف (اختبار الاختراق). يحتوي الملف على نصوص برمجية يمكنهم من خلالها بدء تنفيذ أنشطة ضارة.
→ بمجرد أن تكون الملفات المصابة داخل موقع الويب الخاص بك ، يقوم المخترقون بتنفيذ أوامر تمكنهم من سرقة البيانات الحساسة مثل بيانات اعتماد تسجيل الدخول إلى قاعدة بيانات موقع الويب الخاص بك. يمكنهم تصعيد الاختراق أكثر باستخدام البيانات لتسجيل الدخول إلى موقع الويب الخاص بك والحصول على السيطرة الكاملة على موقعك.
كيفية حماية موقع الويب الخاص بك من ثغرة تحميل الملف؟
كما ذكرنا سابقًا ، يمكن أن يكون لثغرة تحميل الملف تأثيرات فنية مدمرة على موقع الويب الخاص بك. ومع ذلك ، إذا قمت بتنفيذ الخطوات التالية ، يمكنك إصلاح الثغرة الأمنية وحماية موقعك من المتسللين.
إليك 6 إجراءات أمان مهمة لموقع الويب نوصيك باتخاذها على الفور:
1. تثبيت البرنامج المساعد الأمن وورد
من الجيد أن يكون لديك مكون إضافي لأمان WordPress مثبتًا على موقعك. كما ذكرنا من قبل ، لا بد من ظهور الثغرات ولسبب ما ، إذا كنت غير قادر على تحديث المكون الإضافي ، فإن المتسللين سيستفيدون من هذا ويخترقون موقعك.
نوصي باستخدام المكون الإضافي للأمان – MalCare . يأتي مع ماسح ضوئي ومنظف ، من بين أمور أخرى. يستخدم الماسح تقنيات الكشف المتقدمة للعثور على البرامج الضارة المخفية. والمنظف مؤتمت تلقائيًا مما يتيح لك تنظيف موقعك بنقرات قليلة.
سوف يقوم ماسح الثغرات الإضافي بفحص موقعك كل يوم وينبهك بشأن الاختراق على الفور. سيساعدك أيضًا في تنظيف موقع الويب الخاص بك في أقل من دقيقة قبل أن يتمكن المخترقون من إتلاف موقعك.
علاوة على ذلك ، تحمي المكونات الإضافية للأمان موقعك على الويب من خلال جدار حماية WordPress .
يعمل جدار حماية WordPress مثل خارقة أمان الويب الخاصة بك والتي تمنع حركة المرور الضارة من الوصول إلى
موقع الويب الخاص بك.
يتحقق من كل حركة المرور الواردة إلى موقع الويب الخاص بك.
يسمح بحركة مرور جيدة للوصول إلى موقعك ويتم حظر حركة المرور السيئة على الفور.
هذا يعني أنه حتى إذا كان موقع الويب الخاص بك يحتوي على ثغرات أمنية ، فلا يمكن للمتسللين استغلاله لأنه يتم منعهم من الوصول إلى موقع الويب بواسطة جدار الحماية.
2. حافظ على تحديث موقع الويب الخاص بك
ناقشنا سابقًا أنه عندما يكتشف المطورون ثغرة في تحميل الملف في المكون الإضافي أو المظهر ، فإنهم يقومون بإصلاحه وإصدار نسخة محدثة.
سيحتوي الإصدار الجديد على تصحيح أمان تطبيق ويب. بمجرد التحديث إلى هذا الإصدار ، سيتم إصلاح ثغرة تحميل الملف على موقعك.
ومع ذلك ، يمكن أن تكون التحديثات أحيانًا صعبة. وهي متوفرة بشكل متكرر ويمكن أن تتسبب في بعض الأحيان في تعطل موقعك أو عطله.
نوصي بتخصيص وقت كل أسبوع لتحديث موقع الويب الخاص بك بأمان باستخدام موقع مرحلي.
يمكنك استخدام المكوّن الإضافي الخاص بنا ، MalCare لإعداد موقع مرحلي ، واختبار التحديثات قبل تثبيتها على موقعك المباشر.
إذا قمت بتشغيل مواقع ويب متعددة ، يتيح لك المكون الإضافي إدارتها وتحديثها جميعًا من لوحة تحكم مركزية.
وهذا يجعل التحديثات أسهل وأسرع وخالية من المتاعب.
3. شراء الإضافات والموضوعات من الأسواق المشهورة
كثيرا ما تتطور نقاط الضعف في مواضيع ومكونات إضافية ذات جودة رديئة.
هذا هو السبب في أننا نقترح استخدام السمات والمكونات الإضافية ذات الجودة العالية فقط.
طريقة جيدة لتحديد جودة البرنامج هي شرائها من الأسواق الشهيرة مثل Themeforest ، CodeCanyon ، Evanto ، Mojo Marketplace ، إلخ.
تمتلك الأسواق ذات السمعة الطيبة سياسات صارمة وبروتوكولات أمان ليتبعها المطورون.
لذلك يتم إنشاء المنتجات المتاحة على هذه المنصات بعناية والحفاظ عليها بشكل جيد.
4. سحب وظيفة تحميل الملف (إن أمكن)
إذا كنت تشعر أن وظيفة تحميل الملف على موقع الويب الخاص بك ليست مهمة ، يمكنك التفكير في تعطيل الميزة.
بالنسبة لبعض مواقع الويب مثل مواقع التوظيف ، قد لا يكون هذا خيارًا. ومع ذلك ، إذا لم تكن وظيفة تحميل الملف مطلوبة على موقع الويب الخاص بك ، فإننا نقترح بشدة أن تتقاعد.
إذا كنت تستخدم مكونًا إضافيًا لتشغيل ميزة تحميل الملفات ، فإننا نقترح إلغاء تنشيط البرنامج المساعد وحذفه.
سيؤدي هذا إلى إزالة إمكانية وجود ثغرة في تحميل الملف تمامًا.
5. تغيير موقع تخزين الملفات التي تم تحميلها (محفوفة بالمخاطر)
يتم تخزين كل ما يتم تحميله على موقع WordPress الخاص بك في مجلد التحميلات.
يقع المجلد داخل دليل public_html الذي يقوم بتخزين جميع الملفات الهامة لموقعك على WordPress.
عندما يقوم المخترقون بتحميل ملف ضار إلى مجلد التحميل ، فإنه يمكّنهم من الوصول إلى دليل public_html ، أي موقع الويب بأكمله.
إذا قمت بنقل مجلد التحميل خارج هذا الدليل ، فسيكون من الصعب جدًا التحكم في موقع الويب الخاص بك.
تحذير: يتطلب نقل مجلد التحميل خبرة لذلك إذا لم تكن على دراية بالأعمال الداخلية لـ WordPress ، نقترح عليك تخطي هذه الخطوة.
حتى إذا كان لديك معرفة بـ WordPress ، فإننا نوصي بشدة بأخذ نسخ احتياطية كاملة من موقع الويب قبل إجراء أي تغييرات.
أدنى خطأ يمكن أن يتسبب في كسر موقع الويب الخاص بك.
هذه هي إجراءات منع الثغرات الستة لتحميل الملفات. من خلال اتخاذ هذه التدابير ، سيتم حماية موقعك من نقاط الضعف في تحميل الملفات.
هذا يقودنا إلى نهاية منع ثغرات تحميل الملف على موقع WordPress الخاص بك.