عندما يعمل الكود الخبيث داخل جلسة مدير حقيقي، قد تبدو الطلبات طبيعية في اللوجات.
نشرت Patchstack تحليلًا لهجوم supply chain استغل JavaScript من CDN خارجي في إضافات WordPress تسويقية، حيث كان الكود يعمل داخل متصفح مدير مسجل الدخول ويستخدم جلسته لإنشاء حسابات مخفية وتثبيت backdoor. بالتوازي، تواصل تقارير Wordfence الأسبوعية إظهار حجم كبير من ثغرات إضافات WordPress. الدرس العملي: الحماية لا تتوقف عند تحديث الإضافة.
لماذا هذا النوع صعب؟
الطلب الخبيث قد يستخدم جلسة مدير فعلية وnonce صالح، لذلك قد لا يظهر كاختراق تقليدي من IP غريب أو exploit واضح. من زاوية السيرفر، قد يبدو كأن المدير أضاف مستخدمًا أو ثبت إضافة.
هذا يفرض مراقبة سلوكية: من أنشأ مديرًا جديدًا؟ متى؟ من أي جلسة؟ وهل ظهر plugin غير معروف بعد دخول مسؤول إلى لوحة التحكم؟
ما الذي تراقبه؟
راقب جدول المستخدمين وصلاحيات المديرين يوميًا في المواقع المهمة. أي حساب مدير جديد يجب أن يكون له سبب وتذكرة واضحة. كذلك راقب plugins الجديدة والمجلدات المخفية وملفات mu-plugins غير المتوقعة.
راجع الإضافات التي تعتمد على JavaScript خارجي أو خدمات تسويق وسكريبتات conversion. هذه الأدوات مفيدة، لكنها توسع سطح الثقة خارج ملفات WordPress المحلية.
Checklist استجابة
- صدّر قائمة المديرين وقارنها دوريًا.
- راجع الإضافات الجديدة أو المعاد تفعيلها.
- افحص mu-plugins وwp-content/uploads لملفات PHP غير متوقعة.
- حدّث الإضافات المتأثرة من مصدر رسمي فقط.
- غيّر جلسات المديرين بعد حادث مؤكد.
- أضف تنبيهًا عند إنشاء مدير جديد في المواقع الحساسة.
كيف تربطه بالتحديثات الأسبوعية؟
تقرير Wordfence للأسبوع من 22 إلى 28 يونيو أضاف 199 ثغرة في إضافات وقوالب. لا يمكن التعامل مع هذا الحجم يدويًا بنفس الأولوية، لذلك يجب تصنيف المواقع حسب الخطر والإيراد ونوع الإضافات.
اجمع بين مصدرين: قاعدة ثغرات لإدارة التحديثات، ومراقبة سلوكية لاكتشاف ما حدث حتى لو لم يكن exploit معروفًا في ملف محلي.
المصادر
- Patchstack: Supply chain attack analysis.
- Wordfence weekly vulnerability report.
- WordPress.org: Hardening WordPress.
هل تعرف من يملك صلاحية المدير؟
نضيف مراجعة دورية للمستخدمين والإضافات والملفات الحساسة حتى لا تمر هجمات supply chain بدون أثر واضح.
اطلب مراجعة الموقع