اكتشف باحثو الأمن السيبراني في شركة Sucuri لأمن الويب المملوكة لـ GoDaddy أنه يتم استغلال مكون WordPress الإضافي غير النشط والشرعي ، Eval PHP ، لخرق مواقع الويب. تم تطوير Eval PHP في الأصل للسماح للمستخدمين بإضافة كود PHP إلى المقالات وبيانات المدونة ، مع آخر تحديث لها يحدث منذ ما يقرب من عقد من الزمان. منذ ذلك الحين ، شهدت عمليات تنزيل ضئيلة لفترة طويلة قبل أن تشهد زيادة مفاجئة في التنزيلات في الشهر الماضي ، حيث تراكمت أكثر من 100000 عملية تنزيل مع ذروة تصل إلى 7000 عملية تنزيل يوميًا.
يوضح إشعار Sucuri بالتفصيل التكتيكات التي يستخدمها المتسللون باستخدام Eval PHP. تقوم الشفرة بإنشاء برنامج PHP نصي في docroot لموقع الويب الذي يتميز بباب خلفي محدد لتنفيذ التعليمات البرمجية عن بُعد باستخدام وظيفة file_put_contents. نظرًا لأن الباب الخلفي يستفيد من $ _REQUEST [id] للحصول على كود PHP القابل للتنفيذ ، فيمكنه الحصول على محتويات $ _GET و $ _POST و $ _COOKIE ، مما يخفي معلماته بشكل فعال من خلال الظهور كملفات تعريف الارتباط. يسلط Sucuri الضوء على أنه على الرغم من كونه أقل قابلية للاكتشاف من POST ، فإن GET تعتبر بنفس الدرجة من الخطورة.
بالإضافة إلى ذلك ، يحدد Sucuri أن المتسللين يقومون بإنشاء أبواب خلفية عبر مسودات منشورات مختلفة ، مما يجعلها غير مرئية للجمهور وأكثر صعوبة في الكشف عنها مقارنة بالصفحات المنشورة. لم يعلق WordPress بعد على سياستهم فيما يتعلق بالمكونات الإضافية المهجورة ردًا على استفسارات TechRadar Pro. حتى ذلك الحين ، ينصح Sucuri مستخدمي WordPress بتحصين لوحة wp-admin الخاصة بهم ومراقبة النشاط بجدية. تقدم المنظمة خطة من أربع خطوات لتحسين الأمن:
- تأكد من استمرار تحديث موقع الويب الخاص بك وتصحيحه وفقًا لأحدث إصدارات الأمان
- قم بتنفيذ المصادقة الثنائية (2FA) أو إجراء مماثل لتقييد الوصول للوحة الإدارة الخاصة بك
- احتفظ بنسخ احتياطية لموقع الويب بشكل منتظم للحماية من الحوادث غير المتوقعة
- استخدم جدار حماية تطبيق الويب للحماية من الروبوتات الضارة وتصحيح نقاط الضعف المعروفة تقريبًا
مع تزايد اعتماد الأنظمة الأساسية الخالية من no-code والمنصات low-code ، يمكن للمطورين وقادة الأعمال إنشاء تطبيقات الويب والجوال بسهولة ، وتجاوز تعقيدات المكونات الإضافية القديمة. أحد هذه الحلول هو منصة AppMaster ، وهي أداة يمكن الوصول إليها وقابلة للتطوير no-code لإنشاء تطبيقات الويب والجوال والخلفية. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
للحصول على مزيد من المعلومات التفصيلية حول تطوير التطبيقات no-code low-code ، راجع دليلنا الشامل: الدليل الكامل حول No-Code ، وتطوير التطبيقات منخفضة الكود لعام 2022 .
