تقنية

هجمات القوة الغاشمة على الووردبريس والحماية منها

ما هي هجمات القوة الغاشمة وكيف أحمي موقعي منها

يمكن أن تؤدي هجمات القوة الغاشمة إلى إبطاء موقع الووردبريس الخاص بك، وجعله غير قابل للوصول للمستخدمين، كما يُمكن المخترقين من كسر كلمات المرور الخاصة بصفحة الدخول إلى الموقع admin page لتثبيت برامج ضارة على موقع الويب الخاص بك.

في هذه المقالة، سنتكلم عن هجمات القوة الغاشمة التي قد يتعرض لها موقع الووردبريس الخاص بك مع توضيح أهم الممارسات التي يجب اتباعها لتجنب هذا النوع من الهجمات.

اقرأ أيضاً: المصادقة الثنائية حماية موقع WordPress الخاص بك

ما هو هجوم القوة الغاشمة؟

هجوم القوة الغاشمة هو طريقة يستخدمها المخترقون معتمدين على اسكربتات scripts أو برامج معينة تمكنهم من تخمين كلمات المرور الخاصة بصفحة الأدمن الخاصة بموقع الووردبريس الخاص بك، وذلك من خلال ملف يحتوي على العديد من الباسوردات المختلفة والتي يعتمد عليها البرنامج في تخمين كلمة المرور، أي أن هذا النوع من الهجوم يعتمد على مبدأ التجربة، فقد يحتوي هذا الملف على كلمة السر أو قد لا يحتوي عليها

عوامل نجاح هجمات القوة الغاشمة

ويتوقف نجاح هذا النوع من الهجوم على عاملين أساسيين:

العامل الأول: مدى قوة ال password list وهو الملف الذي يحتوي على مجموعة الباسوردات التي يعتمد عليها البرنامج في تخمين كلمة المرور، كلما كان عدد الباسوردات كبير كلما زادت فرص إيجاد كلمة السر

العامل الثاني: ضعف كلمة المرور التي قام بتعيينها صاحب الموقع، فكلما كانت كلمة السر سهلة التخمين، أي أنها مكونة من أرقام فقط أو حروف فقط، كلما كان من السهل على المخترق أن يخمن كلمة السر.

مخاطر هجمات القوة الغاشمة على موقع الووردبريس

يقوم المخترقون باستخدام البرمجيات الآلية automated scripts لتخمين معلومات تسجيل الدخول الخاصة بك username and passwords حتى يتمكنوا من الوصول إلى موقع الويب الخاص بك.

يتمكن المخترقون من الوصول إلى صلاحيات المشرف أو الأدمن admin للتحكم في موقع الويب الخاص بك، ومن ثم يمكنهم تثبيت برامج ضارة وسرقة معلومات المستخدم، بل وحذف كل شيء على موقعك.

حتى هجمات القوة الغاشمة غير الناجحة يمكنها أن تسبب العديد من الأضرار عن طريق إرسال الكثير من الطلبات إلى خوادم استضافه موقع الووردبريس الخاص بك وإبطاء أداء الموقع.

حسناً بعد أن تعرفنا على هذا النوع من الهجمات، كيف نتمكن من حماية موقع الووردبريس الخاص بك من هجمات القوة الغاشمة.

كيف تحمي موقعك من هجمات القوة الغاشمة؟

لا تستخدم admin  كإسم للمستخدم

غالبية الهجمات تعتمد على أن العديد من المستخدمين مازالوا يستخدمون اسم المستخدم لصفحة الأدمن الخاصة بهم “admin” . إذ أن الإصدارات المبكرة من الووردبريس تم برمجتها على جعل اسم المستخدم هو الـ admin.

إذا كنت لا تزال تستخدم اسم المستخدم هذا، فقم بإنشاء حساب جديد، ونقل جميع المشاركات إلى هذا الحساب، وقم بتغيير ‘المسؤول’ إلى مشترك (أو يُفضل حذفه بالكامل).

يمكنك أيضاً استخدام ملحقة أو الإضافة “تغيير اسم المستخدم change username ” لتغيير اسم المستخدم الخاص بك.

اقرأ أيضاً: مكتبات البايثون للإختراق تعرف على أشهر المكتبات المُستخدمة للإختراق

قم بتعيين كلمات مرور قوية ومُعقدة

الهدف مع كلمة المرور الخاصة بك هو جعل عملية تخمين كلمات المرور صعبة على المتسللين.

يوجد العديد من البرامج أو الإضافات التي تقوم بتوليد كلمات المرور التلقائية التي يمكن استخدامها لإنشاء كلمات مرور آمنة. تتميز هذه الملحقات أو البرامج من توليد كلمات سر مميزة وقوية. إذ أنها تكون مركبة من أرقام وحروف وعلامات مميزة مثل (%$#$&^&).

كما يتميز الووردبريس بتوفير مقياس لقياس مدى قوة كلمة المرور الخاصة بك والتي تقوم بتعيينها. فكلما كانت كلمة السر معقدة كلما يعطي لك المقياس اللون الأخضر الذي يوضح لك أن كلمة السر التي اخترتها قوية. ويعطى لك المقياس الضوء الأحمر إذا كانت كلمة السر الخاصة بك ضعيفة وسهلة التخمين.

يمكنك استخدام الإضافة أو المحلقة الآتية والتي تجبر المستخدمين على تعيين كلمات سر قوية “force strong password”.

كما يمكنك اختبار مدى قوة كلمة السر الخاصة بك من خلال النقر هنا

أشياء يجب تجنبها عند اختيار كلمة مرور:

  • تضمين اسمك الحقيقي، أو اسم المستخدم، أو اسم الشركة، أو اسم موقع الويب الخاص بك.
  • كلمة مرور قصيرة أقل من 8.
  • أي كلمة مرور رقمية فقط أو أبجدية فقط (مزيج من الاثنين هو الأفضل).

كلمة المرور القوية ضرورية ليس فقط لحماية موقعك الووردبريس. إذ يمكن للمتسلل – الذي يحصل على حق الوصول إلى حساب المسؤول الخاص بموقعك – تثبيت البرامج الضارة التي يمكن أن تعرض الخادم بأكمله للخطر.

لإضافة طبقة أخرى من الحماية، يمكنك تفعيل خاصية المصادقة من خطوتين لزيادة حماية لموقعك.

هجمات القوة الغاشمة

تعطيل خاصية php file execution في بعض المجلدات داخل الموقع

إذ قد يتمكن المخترقون من تثبيت وتنفيذ برنامج مكتوب بلغة ال php في مجلدات الووردبريس الخاص بك. فالووردبريس مبني أساساً باستخدام لغة الـ PHP

فعلى سبيل المثال، يمكنك تعطيل هذه الخاصية في المجلد الخاص بالملفات التي يتم رفعها على الووردبريس والمسار الخاص بها هو

/wp-content/uploads

فهذا المسار هو المسار الشائع الذي يستخدمه العديد من المخترقين في رفع البرمجيات الخبيثة الخاصة بهم.

كل ما عليك فعله لإبطال هذه الخاصية هو فتح محرر بسيط على جهاز الكمبيوتر الخاص بك وليكن الـ notepad  ومن ثم كتابة الأكواد الآتية

<Files *.php>

deny from all

</Files>

بعد ذلك قم بحفظ الملف واجعل امتداد الملف هو .htaccess وقم برفع الملف إلى المسار الآتي

/wp-content/uploads

اقرأ أيضاً: الأمن السيبراني طريقك للدخول إلى مجال أمن المعلومات

تحديث نسخة الووردبريس الخاص بك

بعض هجمات القوة الغاشمة تستهدف نقاط الضعف المعروفة في الإصدارات القديمة من الووردبريس.

كما أن العديد من اضافات الووردبريس مفتوحة المصدر، أي أنه يمكن للمخترقين التلاعب بالأكواد المصدرية بها، ولكن في الكثير من الأحيان يتم إصلاح نقاط الضعف المتواجدة في هذا الإضافات أو نسخة الووردبريس الخاصة بك عن طريق تنزيل التحديثات الخاصة بها. وانتبه عزيزي القارئ إن لم تقم بالتحديثات بشكل مستمر فإن ذلك من شأنه أن يعرض موقعك للهجمات المختلفة.

كل ما عليك فعله هو الذهاب إلى لوحة القيادة dashboard  وبعدها قم بالنقر على صفحة التحديثات في للتحقق من وجود تحديثات متوفرة.

سوف يظهر لك بعد ذلك كافة التحديثات الخاصة بموقع الووردبريس الخاص بك شاملاً أيضاً الإضافات.

هجمات القوة الغاشمة

تثبيت جدار حماية للووردبريس

تسبب هجمات القوة الغاشمة الكثير من الأحمال على الخوادم. حتى تلك الهجمات الغير ناجحة يمكنها أن تبطئ موقع الويب الخاص بك أو تعطل الخادم تماماً. هذا هو السبب في أنه من المهم حظرها قبل وصولها إلى الخادم الخاص بك.

للقيام بذلك، ستحتاج إلى تنصيب جدار حماية لموقع الووردبريس الخاص بك. حيث يقوم جدار الحماية بتصفية حركة المرور السيئة traffic ويمنعها من الوصول إلى موقعك.

نوصي باستخدام جدار الحماية sucuri. إذ أنها الشركة الرائدة في مجال أمن مواقع الويب وتوفر أفضل جدار حماية للووردبريس في السوق من وجهة نظري.

فهو يقوم بتوفير الحماية على مستوى أسماء النطاقات المختلفة لموقعك، فهذا يعني أن كل حركات المرور traffic تمر أولاً من خلال جدار الحماية.

اقرأ أيضاً : الاختراق الاخلاقي دورة عربية حصرية فى الهكر الاخلاقي

الوسوم

Mohamed Maher

My name is Mohammad Maher, I am a penetration testing engineer and founder of 0ffensivesec which is made essentially to give a hand to those who need to build their security base. I have begun my career as an ethical hacker in 2015. I am certified in CCNA enterprise, Cisco CyperOps associate, CEH, CND, and ECSA. Furthermore, I began my first offline course in 2019. My course had great feedback which encouraged me to start publishing my courses online on many platforms such as Udemy. My courses are made for Arabs to help them strengthen their abilities in the cybersecurity field. I am also planning to publish courses in English on many online platforms to spread knowledge

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى
إغلاق
إغلاق