هناك الكثير من الأسباب التي تجعل WordPress أحد أكثر أنظمة إدارة المحتوى استخدامًا (CMS) اليوم. إنه سهل التثبيت والصيانة ، سهل الاستخدام للغاية ويحتوي على الكثير من السمات والمكونات الإضافية المجانية التي يمكن تثبيتها ببضع نقرات على زر الماوس. ومع ذلك ، فمن المحتمل أيضًا أن يتم اختراقه إذا كان موقعك على الويب يشغل إصدارًا قديمًا من WordPress أو مكون إضافي. منذ حوالي عام ، تم العثور على ثغرة في نص TimThumb PHP الشائع الاستخدام على نطاق واسع لتغيير حجم الصور تلقائيًا. تمكن المتسللون من الوصول إلى العديد من مواقع الويب التي تعمل على WordPress باستخدام TimThumb وإصابة جميع ملفات PHP بالتقييم (كود base64_decode لإعادة توجيه كل الزوار الذين يأتون من محرك البحث إلى مواقع الويب التي يختارونها.
يمكنك بسهولة تنظيف / تقييم gzinflate الخبيث (رموز base64_decode من جميع ملفات PHP باستخدام هذا البرنامج النصي الأنظف لاستعادة حركة المرور من محرك البحث ولكن للأسف استخدام النص البرمجي وحده ليس كافيًا. قد تلاحظ أن موقع الويب الخاص بك يتم اختراقه مرة أخرى و مرة أخرى حتى إذا قمت بالتحديث إلى أحدث إصدار من TimThumb لأن المخترق قد قام بالفعل بزراعة عدد قليل من الأبواب الخلفية. والطريقة الوحيدة لمنع الاختراق المستمر لموقع الويب الخاص بك هو تحديد موقع الباب الخلفي وإزالته من الخادم الخاص بك. أن يكون ملفًا مستقلاً بمفرده أو مجرد جزء من التعليمات البرمجية المضمنة في ملف PHP شرعي. لقد جربت زوجين من المكونات الإضافية للأمان لـ WordPress ووجدت أن Wordfence plugin لـ WordPress هو أحد أفضل البرامج المتاحة لأنه قادر على التحقق سلامة ملفات WordPress الأساسية والمكونات الإضافية والمظاهر. إذا بدت الملفات مختلفة عن الإصدارات الأصلية ، فسيتم عرضها في نتائج المسح ويمكنك رؤية كيف تغيرت الملفات. بخلاف ذلك ، يمكن لـ Wordfence أيضًا معرفة ما إذا كانت هناك أي ملفات مشبوهة غير معروفة موجودة في دليل تثبيت WordPress.
لاحظ أن الإصدار المجاني من Wordfence يقوم فقط بفحص ملفات WordPress الأساسية. إذا كنت ترغب في فحص ملفات السمات والمكونات الإضافية ، فستحتاج إلى الاشتراك على الأقل في عضوية Pro التي تكلف 17.95 دولارًا سنويًا. على الرغم من أن عضوية Pro تمنحك فقط مفتاح API متميزًا واحدًا ، يمكنك استخدامه بالفعل لمسح مواقع ويب متعددة في وقت واحد بعد إكمال الفحص عن طريق حذف مفتاح المفتاح المميز وإعادة إنشاء مفتاح جديد من منطقة إدارة Wordfence API Keys لاستخدامه على موقع مختلف.
بعد إزالة ملفين خلفيين عثر عليهما Wordfence ، لا تزال جميع مواقع WordPress المستضافة تحت حساب الاستضافة المشترك لدي مصابة بشفرة PHP الضارة بعد بضعة أيام. لقد أصابني الإحباط حقًا وقررت التحقق يدويًا من سجلات الوصول الأولية الموجودة في cPanel على الرغم من أنني لست متأكدًا مما أبحث عنه. تحتوي سجلات الوصول الأولية على آلاف الأسطر ، ولا يمكن المرور بكل خطوط فردية لـ 6 مواقع ويب. لذلك قمت ببعض التصفية وأصبحت ملفات السجل أصغر بكثير. ارجع إلى الفيديو التعليمي أدناه حول كيفية تصفية الخطوط باستخدام Notepad ++.
تصفية سجلات الوصول الأولية
1. تصفية طلبات GET. في الأساس ، فإن طلبات GET مخصصة فقط لاسترداد البيانات ولا يمكنها إحداث أي ضرر. يجب أن يقلل هذا المرشح ملفات السجل بنسبة 80٪.
2. تصفية طلبات POST لـ wp-cron.php التي يطلبها موقع الويب الخاص بك. يبدو شيء مثل المثال أدناه:
111.222.333.444 - - [25 / يوليو / 2012: 01: 42: 14 +0800] "POST /wp-cron.php؟doing_wp_cron=1343151734.5347619056701660156250 HTTP / 1.0" 200 - "-" "WordPress / 3.4.1 ؛ http://www.yourwebsite.com ”
3. استمر في تصفية طلبات POST الآمنة لزيادة تقليل حجم ملف السجل لتسهيل التحليل.
عند تحليل ملفات السجل ، رأيت طلبًا مريبًا حيث قام عنوان IP روسي بدون مرجع ومعلومات وكيل المستخدم بطلب POST كل 10 ثوانٍ على ملف 404.php لمدة 3 مرات.
قارنت ملف السمة 404.php بالإصدار الأصلي ولاحظت سطرًا إضافيًا من التعليمات البرمجية في أعلى الملف.
لقد اتصلت بدعم Wordfence وحصلت على تأكيد من Mark Maunder بأن هذه الشفرة ضارة بالفعل وقد قاموا بتحديث Wordfence لاكتشاف ذلك. بعد إزالة هذا الباب الخلفي ، ظلت جميع مواقع Wordpress الستة المستضافة تحت نفس حساب الاستضافة نظيفة لعدة أسابيع دون اختراق. كما ترى ، يمكن أن يؤدي فقد باب خلفي واحد فقط إلى اختراق كل موقع WordPress الخاص بك تحت نفس حساب الاستضافة ومن المهم جدًا التأكد من إزالة كل باب خلفي واحد.
على الرغم من فشل Wordfence في تنظيف جميع الأبواب الخلفية تمامًا على مواقع الويب التي يتم استضافتها تحت حساب الاستضافة الخاص بي ، إلا أنني ما زلت أعتقد أنها واحدة من أفضل مكون أمان WordPress لأنها تقوم بأكثر من مجرد التحقق من سلامة ملفات WordPress. يتم تحديث Wordfence في كثير من الأحيان ويقدمون دعمًا كبيرًا حقًا.
ملاحظة مهمة : تأكد من تغيير جميع كلمات المرور الخاصة بك والتي تتضمن حسابات مستخدمي WordPress و FTP و cPanel وقاعدة البيانات بعد تنظيف الباب الخلفي. تذكر أيضًا أن تبقي المكونات الإضافية والمظاهر وإصدار WordPress محدثة.
