كيف تمنع هجوم حقن قواعد البيانات SQL injection على الووردبريس

إذا كنت تملك موقع إلكتروني، فإن تأمين البيانات وحماية الموقع من الاختراق هو من أهم الأشياء التي يجب أخذها بعين الاعتبار. بالنسبة لمواقع ووردبريس، يجب حمايتها من هجوم حقن قواعد البيانات SQL التي يمكن أن تعرضها للخطر، وتترك البيانات القيمة (الخاصة بك أو بالمستخدمين) مكشوفة.

لحسن الحظ، هناك الكثير من الطرق التي يمكن من خلالها حماية نفسك وموقعك واتخاذ الاحتياطات اللازمة، مثل استخدام جدار الحماية وتشفير البيانات الهامة وما إلى ذلك. حينها يمكنك ضمان سلامة موقعك الذي يعمل بنظام ووردبريس.

في هذا الدليل، سنغطي أساسيات حقن قواعد بيانات الووردبريس (SQL Injection) وكيف يمكن تجنبها.

ما هو هجوم حقن قواعد بيانات SQL؟

حقن قواعد البيانات أو SQL Injection هو هجوم قد يتعرض له أي موقع بما في ذلك مواقع ووردبريس. ويتم الهجوم من خلال استغلال بعض الثغرات في تشفير بنية الموقع.

هذا الهجوم يتيح للمهاجم بسهولة استغلال موضوع إدخال البيانات في الموقع من أجل إدخال تعليمات برمجية ضارة يمكنها تنفيذ أوامر على قاعدة البيانات من نوع SQL، والتي يمكن حينها إنشاء واسترداد وتحديث أو حتى حذف البيانات الموجودة في قاعدة البيانات المُخترقة.

إس كيو إل SQL هي اللغة الأكثر استخدامًا في تنظيم قواعد البيانات المتعلقة بالويب. فيما يلي بعض أنواع قواعد البيانات الأكثر شيوعًا والتي تعتمد على SQL.

  • Oracle
  • MySQL
  • SQL Server
  • PostgreSQL
  • MongoDB

بما أن مواقع ووردبريس التي تعتمد على SQL تشكل أكثر من 35٪ من مواقع الإنترنت، فمن الطبيعي أن تصبح الهدف الأكثر جاذبية لدى المهاجمين.


نقاط الهجوم لحقن قواعد البيانات SQL

تعتبر جميع حقول إدخال البيانات من النقاط الشائعة لهذا النوع من الهجمات. من الأمثلة على هذه الحقول:

  • نماذج إنشاء الحسابات.
  • نماذج تسجيل الدخول.
  • صفحات اتصل بنا.
  • عمليات البحث داخل الموقع.
  • عربات التسوق في المتاجر الإلكترونية.

لماذا تعتبر هجمات حقن قواعد بيانات SQL شائعة؟

فيما يلي أكثر الأسباب شيوعًا التي تجعل هجمات حقن قواعد بيانات SQL شائعة:

  • تعتمد معظم قواعد بيانات المواقع على SQL.
  • ووردبريس هو نظام إدارة محتوى يستخدم SQL.
  • تحتوي جميع مواقع الإنترنت تقريبًا على حقول لإدخال المعلومات.
  • تحتوي جميع المواقع على واحدة على الأقل من نقاط الهجوم.
  • أدوات الفحص والقيام بهذا الهجوم متاحة بسهولة على الإنترنت.
  • لا يتطلب الأمر أي تعقيد تقني للتنفيذ.

كيف يعمل هجوم حقن قواعد البيانات؟

لنأخذ على سبيل المثال نموذج “اتصل بنا” في موقع الويب، حيث يحتاج المرء إلى إدخال رقم هاتف، يجب أن تكون هناك معايير معينة لرقم الهاتف الذي يدخله كل من يريد الاتصال بك، مثل إدخال الأرقام المحددة فقط بتنسيق مناسب.

لكن قد يقوم معظم المطورين الذين لا يهتمون كثيرًا بالجانب الأمني بتعيين هذا الحقل كنص عادي وليس رقم هاتف، مما يعني أنه يمكن للمرء إدخال أي سلسلة من النصوص التي يمكن أن تكون أكواد برمجية ضارة.

أيضًا، يمكن للمهاجم استخدام بعض استعلامات SQL للقيام بطلب اسم المستخدم وكلمة المرور الخاصة بمدير الموقع. وحينها يستطيع الدخول إلى لوحة تحكم الموقع.


أمثلة على حقن قاعدة بيانات SQL

يمكنك العثور على الكثير من نقاط الضعف في SQL من خلال إجراء بحث بسيط على جوجل. لكن اليوم، اسمحوا لي أن أشارك مثالًا:

  • في مجال صناعة الألعاب. تركز العديد من هجمات حقن قواعد البيانات على ألعاب الفيديو، وهي واحدة من أكبر الصناعات ربحية، فالأمر لا يقتصر على الووردبريس فقط.
  • إلى جانب ذلك، هاجم المتسللون في الماضي مواقع كبيرة سواء كانت مدونات أو متاجر إلكترونية، كما لم تسلم بعض أكبر الشركات من ذلك.

هذا يحدث منذ فترة طويلة كما لا توجد طريقة مضمونة لتأمين أي موقع، لكن توجد عقبات يمكن وضعها في طريق المهاجمين.


ماذا يفعل حقن قواعد بيانات SQL؟

كان هجوم حقن قواعد بيانات SQL هو أسلوب القرصنة الأساسي والأكثر استخدامًا للتعامل مع قاعدة بيانات ووردبريس. في الوقت الحاضر، تعد ثغرات Cross Site Scripting (XSS) شائعة وأصبحت حاليًا الطريقة الأولى لاختراق مواقع الووردبريس.


طرق منع حدوث SQL injection في الووردبريس

لا توجد طريقة تضمن تمامًا منع محاولات القرصنة. لكن يمكن تقليل مخاطر التعرض للاختراق. فيما يلي بعض الممارسات الأكثر شيوعًا لمنع مثل هذه الهجمات:

قم بفحص موقعك

يمكنك العثور على عدد من الأدوات عبر الإنترنت لفحص مواقع الووردبريس بداية من الأسهل حتى الأكثر تعقيدًا. أدرجت لك إثنين من أفضل مواقع الفحص. كل ما عليك فعله هو إدخال عنوان URL موقعك والبدء في البحث عن نقاط الضعف المكتشفة وإصلاحها.

  • Sucuri SiteCheck: يمكن فحص مواقع الووردبريس بحثًا عن البرامج الضارة المعروفة وحالة القائمة السوداء والأخطاء وما إذا كان موقعك قديمًا.
  • WPScan: ماسح للثغرات الأمنية وهو مجاني للاستخدام الشخصي. يمكنك أيضًا الحصول على ترخيص مدفوع للاستخدام التجاري.
  • kali linux:  لدى هذا النظام أفضل الأدوات المُختصة بفحص المواقع واختراقها، كما توجد أكثر من أداه متخصصة في فحص مواقع الووردبريس فقط مثل WPHunter وغيرها الكثير.

من خلال الاطلاع على تقرير الفحص، يمكنك أن ترى بالضبط نقاط الضعف التي تحتاج إلى التركيز عليها لتحسين أمان موقعك، أو حتى اختراق موقعك قبل أن يقوم أحد بذلك نيابةً عنك.


قم بتحديث موقعك

أهم شيء للحفاظ على أمان موقعك هو المحافظة على تحديث كل شيء بما في ذلك القالب والإضافات.

وفقًا لإحصائيات ووردبريس الرسمية، فإن29.3٪ فقط من مواقع الووردبريس تستخدم أحدث إصدار (5.5). يمكن أن تكون جميع الإصدارات السابقة ضعيفة ومعرضة للاختراق.


تحديث لغة PHP

خلال السنوات الماضية، تم إجراء تحسينات كثيرة على لغة PHP التي تعتبر اللغة الرسمية لنظام ووردبريس. تم إجراء الكثير من التصحيحات والتغييرات فيها. ولكن لا يزال أكثر من 23٪ من مستخدمي الووردبريس يستخدمون إصدار PHP 7.2 والذي يمكن أن يكون أحد أخطر العوامل المُسببة لحقن قواعد بيانات الووردبريس، لذلك، قم بالتحديث إلى أحدث إصدار.


تحديث القوالب والإضافات

تم اكتشاف معظم الثغرات الأمنية بما في ذلك حقن قواعد بيانات SQL في الإضافات والقوالب، وليس في نظام ووردبريس.

إذا لم يتم تحديث أي قالب أو إضافة بانتظام، فقد يكون ذلك نقطة ضعف، لذا أختر دائمًا القوالب والإضافات يتم تحديثها بشكل دوري.


استخدم نماذج موثوقة

إذا كنت تدير نشاطًا تجاريًا أو حتى مدونة بسيطة، يجب أن تعرف أهمية النماذج مثل نموذج تسجيل الدخول والاتصال بنا وما إلى ذلك. يوجد عدد من النماذج المتوفرة في موقع ووردبريس الرسمي، وهي أمنة وموثوقة ولن تجد أفضل منها.


قم بإخفاء نسخة الووردبريس التي تستخدمها

يقترح خبراء الأمن الإلكتروني أن تخفي إصدار الووردبريس الذي تستخدمه. إن إتاحة هذه الإصدار للعامة يمكن أن يُسهل على المهاجمين استغلال الثغرات الأمنية المعروفة في هذا الإصدار.

لإخفاء إصدار الووردبريس، ما عليك سوى نسخ ولصق السطر التالي في نهاية ملف function.php الخاص بالقالب الحالي الذي تستخدمه.

remove_action(‘wp_head’, ‘wp_generator’);

يمكنك الوصول إلى ملف function.php من خلال لوحة تحكم الووردبريس، ثم الانتقال إلى المظهر ثم محرر القوالب ثم function.php.


تغيير بادئة قاعدة البيانات

عند تثبيت ووردبريس، يتم تعيين بادئة قاعدة البيانات على أنها ” wp_ “، يتجاهل معظم المستخدمين الإعدادات الافتراضية ويقومون بالتثبيت فقط. أصبح من السهل استغلال ذلك لتخمين جداول قاعدة البيانات وحقنها بنجاح.

لا تقلق إذا كان لديك ووردبريس مثبتًا بالفعل. يمكنك تغيرها بسهولة لكن قبل القيام بذلك، لا تنسى أخذ نسخة احتياطية لموقعك.


خذ نسخ احتياطية دائمًا

لا يحميك النُسخ الاحتياطي من هجوم حقن قواعد البيانات، لكنه يساعدك في استعادة موقعك إذا تعرض للاختراق. يمكن تخزين النُسخ الاحتياطية بطريقتين:

  • النسخ الاحتياطي المحلي: النسخ الاحتياطي الذي يتم إجرائه تلقائيًا أو يدويًا والموجود لدى شركة الاستضافة. لا يُفضل الاحتفاظ بنسخة احتياطية محلية إذا كنت تستخدم استضافة مشتركة، فبمجرد اختراق الخادم، قد تفقد كل شيء حتى النسخة الاحتياطية.
  • النسخ الاحتياطي خارج الموقع: يتم إنشاء نسخه احتياطية آلية أو يدوية لموقعك وإرسالها إلى موقع آخر لتخزينها على جوجل درايف أو أمازون S3 وما إلى ذلك من خدمات التخزين السحابي الأخرى.

لمزيد من المعلومات حول طريقة أخذ نسخة احتياطية من موقعك، ننصحك بقراءة مقالنا: طرق النسخ الاحتياطي لمواقع ووردبريس مجانًا


احتفظ بالسجلات

راقب التغييرات واحتفظ بسجل لكل ما يحدث على موقعك. سيساعدك هذا على تتبع التغييرات التي أجريتها أنت أو المهاجم حتى تتمكن من التصرف فيما بعد وفقًا لإجراءات محددة.

هناك إضافات ممتاةز لتسجيل كل شيء يحدث على الموقع هي “WP Activity Log” التي ستساعدك بالتأكيد. بالإضافة إلى ذلك، تحتفظ شركة الاستضافة أيضًا بسجلات لكل شيء. استمر في قراءة السجلات من حين لآخر.


استخدم جدار حماية

أحدي أفضل الطرق وأكثرها أهمية استخدام جدار حماية يضمن أن بيانات المستخدم آمنة ومحمية. بالإضافة إلى ذلك، يمكنك تحديد مستوى صلاحيات وصول المستخدمين بناءً على عوامل مختلفة. إذا كنت تستخدم كلاود فلير، فلا داعي للقلق بشأن ذلك. تعمل كلاود فلير على تصفية الزيارات الضارة وإبعاد المتسللين.


إضافات ووردبريس تقلل من خطر التعرض لهجوم حقن SQL

يمكن أن تترك البرامج القديمة موقعك عرضة لهجوم قاعدة البيانات، ولكن هناك بعض الإضافات التي يمكنها حمايتك. هذا يساعدك على التركيز على جوانب أخرى.

Sucuri Security

Sucuri Security هي خيار شائع مجانًا. يمكن من خلالها مراقبة من يقوم بتسجيل الدخول إلى موقعك والتغييرات التي تم إجرائها مؤخرًا وما هي هذه التغييرات.

بمجرد تثبيتها، تقوم الإضافة بفحص ملفات الموقع بحثًا عن أي شيء قد يكون ضارًا، كما تقدم جدار حماية يمكن تفعيله بشكلٍ اختياري.


Wordfence Security

توفر إضافة Wordfence Security جدار حماية لموقعك لمنع حقن قاعدة البيانات مع إمكانية تفعيل المصادقة الثنائية والفحص التلقائي بحثًا عن البرمجيات الضارة وخاصة تلك التي تستهدف قاعدة البيانات.


All In One WP Security & Firewall

إضافة All In One WP Security & Firewall لا توفر جدار حماية فقط، بل تجعل من الصعب على الروبوتات الدخول كمستخدم. هذا سيحمي الموقع ويساعد في حظر أي عناوين IP ضارة.


كلمة أخيرة

كما ذكرنا سابقًا، لا توجد طريقة مضمونة لحماية مواقع ووردبريس. هناك دائمًا احتمال التعرض للاختراق، فلا يوجد نظام آمن بنسبة 100%. يمكن أن يكون كل هذه الضجة حول حقن قواعد البيانات بسبب الثغرات الأمنية الكثيرة الموجودة في القوالب والإضافات. لهذا السبب، ننصحك دائمًا بتحديثها.

إذا واجهت أي نوع من هجمات حقن قواعد البيانات SQL Injection، فشارك تجربتك وكيف تخلصت منها. فهذا قد يساعد مستخدمي ووردبريس الآخرين.