إن مسألة ما إذا كان ووردبريس آمنًا أم لا هي مسألة معقَّدة. فبينما هو منصَّة آمنة إلى حد كبير لما يقرب من ربع مواقع الإنترنت حول العالم التي تعمل بواسطة ووردبريس، إلا أنه ليس خاليًا من العيوب.
إذن، من المسؤول عن الحفاظ على أمان ووردبريس؟ بالطبع تقع بعض المسؤوليَّة على عاتقك أنت. لذلك، من الضروريّ أن تكون على علمٍ بأفضل الممارسات الأمنيَّّة لووردبريس وتلتزم بها حتى تتمكَّن من جعل المواقع التي تصمِّمها على أعلى مستوى ممكن من الأمان.
ومع ذلك، فإن فريق ووردبريس يتحمل جزءًا من المسؤوليَّة حيال ذلك أيضًا. فلن يستطيع المستخدم أن يحمي نواة ووردبريس الأساسيَّة بنفسه.
إذا كانت مسألة أمان ووردبريس تقلقك بالقدر الذي تقلق به كل من يحاول أن يدير أعماله على الإنترنت، أكمل قراءة المقال.
سنتحدَّث عن جانبٍ من تاريخ عيوب ووردبريس الأمنيَّّة، وما الذي يفعله مشروع ووردبريس حيالها.
التاريخ المختصر لعيوب ووردبريس الأمنيَّّة
هل تعلم أن مواقع ووردبريس، الكبيرة والصغيرة، تتعرض للاختراق أكثر من 90978 مرة في الدقيقة؟
المشكلة ليست بالضرورة أن ووردبريس نظام إدارة محتوى ضعيف، ومعرض لمحاولات الاختراق والخروقات الأمنيَّّة بل هي على الأرجح مشكلة انتشار. فووردبريس هو أشهر نظام إدارة محتوى في العالم، لذلك، فهو هدفٌ سهلٌ للقراصنة.
مناقشة القضايا المتعلِّقة بووردبريس أمر شائع، على المدوَّنات، والمنتديات، والمدونات الصوتيَّة …إلخ، ونتيجة لذلك، تكون نقاط ضعف المنصَّة معروفة للجميع. فمن الطبيعيّ أن يحاول القراصنة استهداف مواقع ووردبريس في المقام الأول، أليس كذلك؟
إن الأمان هو موضوع رئيس في أي مدوَّنة ووردبريس أو مدوَّنة تطوير مواقع إنترنت، بما فيها WPMU DEV . هذا لا يعني أننا مخطئون في نشر عيوب ووردبريس الأمنيَّّة. في مجتمعنا، تعتبر تلك الموضوعات معلومات عامَّة على أيَّة حال. ومع ذلك، كل تلك المعلومات المنشورة تجعل نقاط ضعف ووردبريس واضحةً للغاية.
وفقًا لما ذَكَره مشروع ووردبريس (الفريق المسؤول عن إدارة الأمان للمنصَّة)، فإنهم يصدرون ترقيعات أمنيَّة طوال الوقت. هل تعرف إشعارات التحديث التلقائيَّة التي تتلقاها حين تسجل دخولك إلى منطقة الإدارة؟ “تم تحديث ووردبريس إلى النسخة 4.7.2” أو شيء من هذا القبيل؟ حسنًا، عادةً حين تصدر تلك التحديثات الصغرى، فإن ذلك يكون بسبب أن الفريق اضطرَّ إلى إصلاح عيب أمنيّ.
وكثيرًا ما يحدث ذلك.
فقد أعزيت تسريبات وثائق بنما عام 2016 جزئيًّا إلى نقطة ضعفٍ في إضافة ووردبريس الخاصَّة بشريط التمرير.
هذا الملخَّص من WPMU DEV يغطِّي عددًا من ثغرات ووردبريس الأمنيَّّة. لعلها ليست بخطورة تلك المسؤولة عن تسريبات وثائق بنما، لكن من المقلق أن تعرف أنَّه برغم جهود مشروع ووردبريس الحثيثة، بالإضافة إلى جهود المطوِّرين في إدارة إضفاتهم وقوالبهم، لايزال القراصنة يستطيعون اختراقها.
ومع ذلك، من المطمئن أن نرى كيف تعامل ووردبريس مع اختراقٍ أمنيٍّ واسع النطاق حدث مؤخَّرًا ناتج عن واجهة التطبيق البرمجية REST
إليك كيف سار الأمر:
- في يناير عام 2017، أصدر ووردبريس التحديث 4.7.2. لم يُذكر الترقيع الأمنيّ في أي من قوائم التحديثات أو الترقيعات الأمنيَّّة.
- بعد أسبوع، أعلن ووردبريس للمستخدمين أن ثغرةً أمنيَّةً قد اكتُشفت، وتم ترقيعها في هذا التحديث.
- بما علَّلوا تأخُّرهم في إخطار المستخدمين؟ علَّلوا ذلك برغبتهم في الاستفادة من الوقت المتاح لتحديث النواة قبل أن يعلم القراصنة أن هناك ثغرة وأن ووردبريس كان يعالجها.
بالطبع، لم يمنع ذلك القراصنة من تخريب 1.5 مليون موقع ووردبريس في تلك الفترة. كما أن هناك أيضًا المستخدمين الذين لم يقوموا بتحديث نظام إدارة المحتوى (أو فعلوا ذلك بعد فوات الأوان) والذين ظلُّوا عرضةً للهجوم.
فبرغم أن فريق ووردبريس أصدر ترقيعًا للثغرة، وأعلنوا عنه باللباقة المطلوبة، فقد تضرَّر أكثر من مليون موقع في تلك الأثناء. والأسوأ من ذلك، ظلَّ العديد من أصحاب المواقع يجهلون ما حدث من تخريب.
يبدو أن الترقيعات الأمنيَّّة أصبحت تصدر بصورة متكرِّرة أكثر من ذي قبل، وكان عام 2015 الأشدَّ وطأة من حيث تكرار الهجمات. مع تزايد الهجمات، من المهمِّ أن تعلم من المسؤول عن تأمين ووردبريس وما الذي تستطيع فعله من جانبك للتأكُّد من تجنُّب هذه المخاطر.
(صورة)
ما الذي عليك أن تعرفه عن مشروع ووردبريس (والأمن)
إليك ما عليك أن تعرفه عن مشروع ووردبريس وما يفعلونه للحفاظ على أمن النواة.
فريق أمان ووردبريس
أولاً، لنتحدث عن مشروع ووردبريس. يتكون هذا الفريق الأمنيّ من نحو 25 شخصًا، كلهم خبراء في تطوير ووردبريس أو أمن ووردبريس. في الوقت الحالي، يعمل نصف فريق مشروع ووردبريس لدى شركة Automattic.
هذا الفريق من الخبراء مسؤول عن تحديد المخاطر الأمنيَّّة في النواة. وهم أيضًا مسؤولون عن مراجعة العيوب المحتملة الخاصة بالقوالب أو الإضافات المقدمة من قبل طرف ثالث وتقديم توصيات عن كيفيَّة تقوية أدواتهم أو ترقيع الثغرات المعروفة.
بينما يعمل الفريق بصورة مستقلة لتحديد وحلِّ تلك المشكلات، يتشاور أعضاء الفريق أحيانًا مع خبراء آخرين في المجال، خاصة الخبراء من شركات الأمن السيبراني وشركات الاستضافة.
كيف يحدد ووردبريس المخاطر الأمنيَّّة
كما هو متوقع، يعمل فريق مشروع ووردبريس بدقَّةٍ وانتظام. إليك كيفيَّة تحديد المخاطر والتخلُّص منها:
- تُحدَّد المشكلة من قبل أحد أعضاء الفريق الأمنيّ أو من خارج الفريق. يستطيع الأشخاص من خارج الفريق إخبار أعضاء الفريق عن أي مشكلات تُكتَشف عن طريق إرسال رسالة بريد إلكترونيّ ل security@wordpress.org.
- يسجَّلُ البلاغ ويؤكِّد الفريق استلامه. * يعمل أعضاء الفريق معًا على خادمٍ معزولٍ خاصٍ للتأكُّد من حقيقة التهديد الأمنيّ.
- يقومون بمتابعة واختبار وإصلاح الثغرة الأمنيَّّة على هذا الخادم.
- يضاف الترقيع الأمنيَّّ إلى تحديث إصدار ووردبريس الأصغر التالي.
- بالنسبة للإصلاحات الأقل أهمية، يقوم ووردبريس ببساطة بإخطار المستخدمين عبر لوحة تحكم ووردبريس كلما تم تحديث الإصدار.
- بالنسبة للمشكلات المُلحّة، يطلق الإصدار الجديد على الفور، وتعلن عنه WordPress.org عبر صفحة أخبار الموقع.
بالطبع، كما رأينا مع 4.7.2، لا يعلن ووردبريس عن تلك الثغرات الأمنيَّّة على الفور (لأسباب معتبرة)، لكنهم يتخذون خطوات فوريَّة لحلِّها.
ملاحظة عن التحديثات التلقائيَّة
منذ الإصدار 3.7، تمكن ووردبريس من دفع التحديثات الصغرى إلى جميع المواقع تلقائيًا. يضمن هذا أن يتمكن فريق ووردبريس الأمنيّ من إصدار الترقيعات الضروريَّة في وقتها، ولا يتطلَّب الأمر انتظار موافقة المتسخدم لتحديث كل موقع.
على أيَّة حال، من الممكن أن يختار مستخدمو ووردبريس تعطيل هذه التحديثات التلقائيَّة للنواة. إذا كان هذا هو الحال بالنسبة لك، عليك أن تعلم أن هذا يعرِّض موقعك لخطر إضافيّ، خاصَّة إذا لم يكن لديك الوقت لمراقبة جميع مواقعك عن كثب وتفقُّد أحدث وأهم التحديثات.
أمن إضافات وقوالب ووردبريس
كما أنه يتعيَّن عليك أن توفِّر لزوار موقعك تجربةً آمنةً، فإن مطوِّري إضافات وقوالب ووردبريس مسؤولون عن أمن المستخدمين. وبينما لا يستطيع فريق ووردبريس إدارة عشرات الآلاف من الإضافات والقوالب المتاحة، يستطيعون على الأقل مراقبتها عن كثب لكي لا يتسرَّب إليها ما يخلُّ بالأمن.
مشروع ووردبريس هو الفريق المسؤول عن العمل مع المطوِّرين حين تُكتشَف مشكلةٌ أمنيَّة. لكن قبل ذلك، هناك فريقٌ من المتطوعين مهمتهم مراجعة كلِّ قالبٍ وكلِّ إضافة تُقدم إلى ووردبريس. يعمل هذا الفريق مع المطوِّرين للتأكُّد من اتِّباع أفضل الممارسات.
ورغم ذلك، قد تحدث بعض الثغرات الأمنيَّّة، وهنا يتوجب على فريق ووردبريس للأمن التدخل لكي يقوموا بالآتي:
- توفير التوثيق عن تطوير الإضافات والقوالب وأفضل الممارسات الأمنيَّّة لمطوري ووردبريس.
- مراقبة الإضافات والقوالب لاكتشاف أي ثغراتٍ أمنيَّة. في حال اكتشاف أي مشكلة، يتمُّ تنبيه المطوِّر.
- إزالة أي إضافات أو قوالب ضارَّة من المستودع في حال كان المطورين غير متعاونين أو غير متجاوبي.
بعد ذلك، يُخطر ووردبريس المستخدمين عن طريق إدارة ووردبريس حين تصبح تلك الترقيعات الأمنيَّّة متاحة (أو عند إزالة الإضافات أو القوالب الضارَّة).
قائمة OWASP للثغرات الأمنيَّّة العشرة الأكثر خطورة
أُنشئت مؤسَّسة مشروع أمان تطبيق الويب المفتوح (OWASP) 2001 بهدف حماية المنظمات من البرامج التي قد تسبِّب لها الضرر. ربما تندهش حين تعلم أن مشروع ووردبريس يهدف إلى الالتزام بـ”قائمة OWASP للثغرات الأمنيَّّة العشرة الأكثر خطورة” طوال الوقت.
قائمة الTop 10 هي قائمة للثغرات الأمنيَّّة الأكثر خطورة. بعد التعرُّف على هذه القائمة، يستخدم فريق أمان WordPress هذه المعايير لتحديد أفضل 10 طرق خاصة بهم للدفاع عن نواتهم. حاليًا، هدفهم هو حماية النواة من المخاطر التالية:
- إساءة استخدام إدارة حساب المستخدم
- طلبات وصول غير مصادقة إلى إدارة ووردبريس
- عمليَّات إعادة التوجيه غير المرغوب فيها أو غير المصرح بها
- الكشف عن بيانات المستخدمين الخصوصيَّة
- طلبات الوصول إلى الإحالة المباشرة غير الآمنة
- الإعدادات الأمنيَّّة الخاطئة للخادم
- حقن شفرة غير مصرَّحٍ به
- البرمجة عبر المواقع من المستخدمين غير المصرَّح لهم
- تزوير طلب عبر المواقع، حيث يقوم المتسلِّلون بإساءة استخدام الأرقام العشوائية.
- الإضافات والقوالب وأطر العمل والمكتبات التالفة من طرف ثالث.
أمن ووردبريس يتطلَّب منك اليقظة
بعد الاطلاع على كل هذا، فإن معرفة أن هناك فريقًا يعمل على الحفاظ على أمان ووردبريس طوال الوقات يجعلني أكثر راحة. ومع ذلك، لا يعني هذا أننا يجب أن نركن إلى الدعة. فكما رأينا، حتى شهر العام الماضي، حين خُرِّب نحو 1.5 مليون موقع، بغض النظر عن مدى كفاءة مشروع ووردبريس في مراقبة المنصَّة وتأمينها، سيجد المتسلِّلون وسيلة لاختراقها. لهذا السبب من المهم أن تقوم بدورك في كل هذا وتحافظ على مواقعك آمنة من كل جانب. تعد إضافة Defender الأمنيَّّة بداية جيِّدة. لمزيد من النصائح، لا تنسَ متابعة المقالات التي تنشر على أكاديمية حسوب والتي تتناول موضوع “هل ووردبريس آمن؟” وما يمكنك فعله لحمايته حمايةً أفضل.
ترجمة -وبتصرف- للمقال Is WordPress Secure? لصاحبته Brenda Barron
تم التعديل في بواسطة جميل بيلوني
لا تعليق