السلام عليكم ورحمة الله و بركاته
طبعًا يا جماعة كلنا نعرف أن 43% من المواقع الموجودة على الإنترنت بتكون تستخدم الـ CMS الخاص بـ Wordpress , طيب ايش موضوعنا اليوم؟
موضوع اليوم باختصار هو أن المخترق لما يبدأ يدخل على أي موقع wordpress بيكون مُحدد بقواعد مُعينة الي بنسميها الـauthorization , والـauthentication لما نحب نعرفها لازم نسأل سؤال مُعين هو " أنت مين؟ " و " تقدر تعمل ايه؟ ".
بعد إجابتك على هذا السؤال, أي شخص طبيعي في الـ wordpress CMS بيكون له الـ Rule اللي اسمه guest أو Visitor, بمعنى زائر عادي في الموقع.
طيب مُختبر الاختراق ببساطة بيحاول يعرف نفسه و يرفع صلاحياته بطريقة مُعينة, بحيث ينتقل من هوية في الموقع إلى هوية أُخرى من خلال الدخول ببيانات يوزر آخر سواء باختراق الموقع نفسه عبر بعض الثغرات التي تكون فيWordPress , أو من خلال استهداف الشخص نفسه, أو عن طريق عمل بعض هجمات التخمين اللي ممكن تكون ناجحة في حالة كان صاحب الموقع يستخدم الـDefaults بشكل عام في الكريدينشيلز .
بعد دخوله كدا هو جاوب للموقع على أول سؤال اللي هو " أنت مين؟ " الآن بعد دخوله يبدأ يشوف ويقلب في الـ Functions الإعتيادية داخل الموقع ويختبر الـinputs الموجودة عشان يعرف إجابة سؤال " تقدر تعمل ايه؟ "
بعد ما يعمل الكلام ده من الطبيعي إنه هيعرف هو مين ويقدر يعمل ايه, فلو كان آدمن وده السيناريو بتاع النهاردة الي حابب أشارككم فيه, فبكل بساطة هيدخل على خانة الـ Plugin بعدها رح يبدأ يحقن شيء اسمه Plugin, وهي إضافة من خلالها تستطيع إضافة ميزات مُحددة في الموقع بتاعك, وعلى حسب الميزات دي أنت بتعمل تطوير للموقع بتاعك اللي بيستخدم الـ CMS بتاعت الـ Wordpress الي بنتكلم عنها حاليًا, وبتحدد بضعة أشياء مُحددة مثل أين وكيف ومن وماذا, لنتعرف عليهم قبل أن نكمل:
- إجابة سؤال أين: هو ببساطة أين تريد وضع التعديل الخاص بك بعد وضع الـ Plugin , هل سوف تجعلها تظهر للمستخدمين في الـ Source Page الخاصة بالموقع وهل لها تأثير على الواجهه بشكل عام ولا لا.
ملاحظة : الشيء الرئيسي المسؤول عن الواجهه هو الـ Theme, لكن في حالت الـ Plugin يوجد الكثير من الـ Plugins التي يُمكنها التعديل في الواجهه الرئيسية الخاصة بالـ Wordpress والتعديل أيضًا في بنية الـ theme الأساسية أيضًا.
- إجابة سؤال كيف: وهي ببساطة كيف سوف تعمل الـ Plugin , وما هي الFunctions الرئيسية اللتي تقوم بها.
على سبيل المثال, هناك Plugins من خلالها يتم التعديل علي محتويات السيرفر الأساسية وملفات الموقع مثل File Manager, وهناك Plugin تعمل على الربط بين حساباتك في مواقع التواصل الإجتماعي والموقع الخاص بك على هيئة Popup تظهر عند دخول الموقع مثل WhatsApp Chat ويوجد الكثير
- إجابة سؤال مَن: وهي ببساطة مَن له صلاحية الوصول إلى تلك البلاجنز, وما هي الصلاحية المناسبة التي تمكنك من استخدامها.
على سبيل المثال, يوجد Plugins تستخدم الذكاء الإصطناعي لإنشاء المحتوى, مثل AUTOMATIC التي قد نتكلم عنها في مقال مٌنفصل تمامًا فيما بعد.
- إجابة سؤال ماذا: وهي ببساطة ماذا سيستفيد متابعين الموقع من تلك الPlugin بحد ذاتها , وما هي المزايا المحددة اللتي تجعلهم ياتون الي موقعك أنت من ضمن مئات المواقع على الإنترنت للحصول على ميزة وتجربة لم يسبق لهم تجربتها أبدًا .
حسنًا بعد أن تعرفنا على بنية الـ Wordpress بشكل عام وليس كامل, لأنه يوجد الكثير من التفاصيل التي لم نتكلم عنها حتى الآن لنرى ما يلي:
كيف يستطيع المخترق استغلال تلك الأشياء؟
ببساطة بعد حصوله على الصلاحيات المناسبة للوصول إلى الـ Plugin والتعديل عليها, يبدأ عمله بالدخول إلى خانة الـ Plugin في الـ Wordpress , ثم يبحث فيجد زر لرفع ملفات بلاجنز بصيغة ZIP , فيبدأ إما ببرمجة واحدة أو حقن واحدة من خلال تنزيلها من أي موقع بشكل Single File وفك ضغطها ثم وضع ملف الـ Shell الخاص به داخل تلك الـ Plugin , ثم ضغطها مرة أخرى ورفعها , بعدها يأخذ الـ CMS وقته في تسطيبها بشكل كامل , وبعد ذالك بووم تم اختراق الموقع والوصول إلى جميع بياناته, من خلال بعض الصلاحيات التي لا يُوجد عليها Checker حتى الآن من قبل شركة Wordpress
وبهذا ننهي مقالنا, أتمنى أن تدعموني على قناتي على اليوتيوب, كان معكم أخوكم طه من GGH Team وصاحب قناة Technology Makers :
Dm Telegram : t..me/elharam4
My Own Telegram Channel : https://t.me/TechnologyMakers
My Own Youtube Channel : https://www.youtube.com/@TechnologyMakers
My Own Telegram Channel : https://t.me/TechnologyMakers
My Own Youtube Channel : https://www.youtube.com/@TechnologyMakers
في قناتي في اليوتيوب فيه شخصين يا جماعة يوسف و أنا, أنا لا أصور أي شيء بوجهي في الوقت الحالي, فأي شخص ينشر في قناتي الخاصة بوجه فاعرفوا إنه يوسف وليس أنا
مع التوفيق لكم جميعًا
التعديل الأخير بواسطة المشرف:
