دليل أمان للحفاظ على حماية موقع الووردبريس الخاص بك

اتبع دليل الأمان الووردبريس هذا بثماني خطوات سهلة للحفاظ على أمان موقع الويب الخاص بك.

1 فبراير، 2023

دليل أمان للحفاظ على حماية موقع الووردبريس الخاص بك trkeez.com — حماية موقع الووردبريس الخاص بك

تركيز – التهديدات الأمنية ليست فريدة من نوعها في الووردبريس. كل منصة، سواء كانت خاصة أو مفتوحة المصدر، تتعرض للهجوم 24/7. لحسن الحظ، يوفر مجتمع الووردبريس العديد من الحلول لتسهيل المهمة. فيما يلي بعض الخطوات الرئيسية التي يجب اتخاذها لحماية موقع الووردبريس من التهديدات الأمنية.

كيفية حماية موقع الووردبريس

هناك ثمانية إجراءات أساسية يجب على جميع ناشري الووردبريس النظر فيها من أجل التخفيف من الأنشطة الضارة ونقاط الضعف.

سيساعد اتباع أفضل الممارسات في ضمان استعداد موقع الووردبريس لمواجهة هجوم المتسللين الذين يقومون بالتحقيق في مواقع الويب كل يوم:

استخدم HTTPS.
لا تستخدم كلمة “admin” كاسم مستخدم للمسؤول.
فرض استخدام كلمات مرور قوية.
تحديث الإضافات والسمات.
خطة النسخ الاحتياطي للموقع.
قلل من استخدام المكونات الإضافية.
توثيق ذو عاملين.
قم بتثبيت برنامج WordPress Firewall و Vulnerability Scanner.

دعونا نراجع كل من هذه بمزيد من التفاصيل.

1. أضف HTTPS / SSL

حتى الآن، تستخدم معظم المواقع HTTPS. ولكن إذا كان موقعك لا يستخدم HTTPS، فتحقق مع مضيف الويب الخاص بك بشأن إضافة شهادة SSL مجانية.

فقط قم بتعيين عنوان الووردبريس وعنوان الموقع باستخدام https ://. يمكن تحقيق ذلك في علامة تبويب الإعدادات العامة.

إذا كان الموقع يقوم بالترقية من حالة غير آمنة إلى حالة آمنة ، فإن المكون الإضافي Really Simple SSL (الذي يستخدمه أكثر من 5 ملايين موقع ويب) يستحق النظر فيه ، لأنه يبسط بالفعل التحويل إلى HTTPS من خلال التعامل مع عمليات إعادة التوجيه والمهام الأخرى ذات الصلة.

يساعد Really Simple SSL أيضًا في التخفيف من التهديدات الأمنية مثل التقاط النقر وهجمات التزوير عبر المواقع من خلال توفير خيار إضافة رؤوس أمان.

في هذه الأيام، يعد تثبيت شهادة SSL مهمة سهلة. يقدم العديد من مضيفي الويب شهادات SSL مجانية – بالإضافة إلى أنها عامل تصنيف معروف في غوغل.

بعد التحول إلى HTTPS، من الجيد التحقق من عدم وجود صفحات تطلب روابط أو محتوى HTTP. التحقق من المحتوى المختلط أمر لا بد منه.

المحتوى المختلط هو عندما يتم ربط أصول موقع الويب غير الآمنة (النصوص والصور ومقاطع الفيديو وما إلى ذلك) من صفحات HTTPS.

الزحف إلى موقعك باستخدام القفل المفقود للتعرف بسرعة على حالات المحتوى المختلط ، ثم إصلاح الأخطاء عن طريق الارتباط بأصول HTTPS.

2. استخدم اسم مستخدم مسؤول آمن

يتم تنفيذ عدد هائل من الهجمات الأمنية ضد شاشة تسجيل الدخول إلى الووردبريس باستخدام اسم المستخدم “Admin”.

هناك نوعان رئيسيان من الهجمات التي تحاول اختراق كلمة مرور تسجيل الدخول:

القوة الغاشمة.
هجوم القاموس.

يحدث هجوم القوة الغاشمة عندما يحاول برنامج القرصنة الآلي تخمين كلمة مرور المسؤول باستخدام مجموعات مختلفة من الكلمات والحروف والأرقام.

هجوم القاموس هو عندما يستخدم برنامج القرصنة كلمات مرور شائعة لمحاولة تخمين تسجيل الدخول الإداري. في كثير من الحالات، اسم المستخدم الإداري لهذه البرامج هو «Admin».

يعد عدم استخدام كلمة «Admin» كاسم مستخدم خطوة بسيطة ستساعد في تأمين وحماية موقع الووردبريس .

لاتخاذ هذه الخطوة إلى الأمام ، يمكنك إنشاء قاعدة جدار الحماية باستخدام المكون الإضافي للأمان Wordfence لحظر أي شخص أو روبوت تلقائيًا يحاول تسجيل الدخول باستخدام اسم المستخدم Admin.

3. فرض كلمات مرور قوية

لا تسمح لأي شخص، وخاصة المستخدمين الذين يتمتعون بامتيازات على مستوى الإدارة، بإنشاء كلمة مرور ليست قوية.

حتى المستخدمين الذين يتمتعون بامتيازات منخفضة لموقع الويب، مثل مستوى المشترك، يمكن أن يصبحوا ناقل هجوم. لذلك، من المهم فرض كلمات مرور قوية على كل من يمكنه تسجيل الدخول إلى موقع الووردبريس .

يوفر المكون الإضافي الشهير iThemes Security WordPress ، مع أكثر من مليون مستخدم ، فرض قوة كلمة مرور تسجيل الدخول ، بالإضافة إلى المصادقة الثنائية.

يمكن أيضًا تمكين سياسة أمان كلمة المرور التي تفرض كلمات مرور قوية باستخدام مكون أمان Wordfence WordPress.

4. تحديث الإضافات والسمات

بعض التحديثات للملحقات والموضوعات وتثبيت الووردبريس الأساسي نفسه لإصلاح نقاط الضعف (التصحيح). قد يؤدي الفشل في تحديث البرنامج إلى تعرض الموقع للخطر.

تعمل معظم التحديثات بشكل جيد. في مناسبات نادرة، قد يغير التحديث شيئًا ما في البرنامج يبدأ في الاصطدام مع ملحق أو سمة أخرى، مما يتسبب في تعطل الموقع.

إذا حدث ذلك، فمن السهل إعادة الموقع إلى حالة سابقة إذا تم دعم الموقع. أفضل طريقة لتحديث الملحقات والموضوعات هي تنظيم الموقع والتحقق مما إذا كان الموقع يعمل كما ينبغي مع البرنامج المحدث.

ولكن إذا لم تقم بتنظيم الموقع، فإن الخيار الثاني هو دعم الموقع ثم تحديثه. اختبر الموقع للتأكد من أن كل شيء يعمل. إذا تعطل الموقع، فقم بتدويره مرة أخرى بالنسخة الاحتياطية.

الخيار الثالث هو ضبط جميع الملحقات للتحديث التلقائي حتى لا تضطر حتى إلى التفكير في الأمر. إذا انكسر شيء ما، أعده إلى حالته السابقة.

5. النسخ الاحتياطي لحماية موقع الووردبريس الخاص بك

يعد دعم موقع ويب على أساس يومي أمرًا بالغ الأهمية. هناك العديد من الأشياء التي يمكن أن تسوء، وستنقذ النسخة الاحتياطية اليوم الذي يحدث فيه شيء كارثي للموقع.

يعد برنامج UpdraftPlus WordPress Backup Plugin ، الذي يضم أكثر من 3 ملايين مستخدم ، حلاً شائعًا وموثوقًا به.

أستخدمه على جميع مواقع الويب الخاصة بي ويمكنني أن أوصي به بثقة. لقد أنقذني في مناسبة إعادة تصميم موقع ويب لم يسر على ما يرام، مما سمح لي بإعادة الموقع بسهولة إلى إصدار سابق.

حل شائع آخر يسمى WP Rollback . لدى WP Rollback أكثر من 200000 تثبيت، والأشخاص الذين ينشئون البرنامج موثوقون ومطورو الووردبريس الخبراء.

إنه يعمل بشكل جيد مع السمات والإضافات التي يتم تنزيلها من WordPress.org.

6. تقليل استخدام الإضافات

يزيد كل ملحق يتم تثبيته من فرصة أن يعرض أحدهم الموقع لثغرة أمنية. بصرف النظر عن الأسباب الأمنية، يمكن أن يؤثر استخدام الكثير من الملحقات على أداء الموقع، بالإضافة إلى زيادة فرصة أن يكون للرمز بين ملحقين أو أكثر تضارب وتحطم الموقع.

خطط مسبقًا للملحقات التي تريد استخدامها لتحقيق ما تحتاجه. يمكن لبعض الملحقات القيام بمهام متعددة، مما يلغي الحاجة إلى تثبيت ملحق مستقل لإنجاز هذا الشيء الواحد.

7. تنفيذ المصادقة الثنائية

يُطلق على المصادقة ذات العاملين ما يسمى لأنه يتطلب شكلين من التعريف لتسجيل الدخول إلى موقع الووردبريس مع تشغيل هذه الميزة.

العامل الأول هو اسم المستخدم وكلمة السر. العامل الثاني هو شكل ثانٍ من المصادقة، عادةً مع تطبيق مثل Authy أو Google Authenticator موجود على الهاتف الخلوي للمستخدم.

لذلك، حتى لو تمكن المتسلل من الوصول إلى اسم المستخدم وكلمة المرور، فلن يتمكن من تسجيل الدخول بدون المصادقة الثانية.

هناك العديد من ملحقات الووردبريس للاختيار من بينها لإضافة هذه الميزة، بما في ذلك:

WP 2FA

WP 2FA هو خيار شائع لإضافة مصادقة ثنائية. إنه يدعم العديد من طرق المصادقة الثنائية، بما في ذلك مصادقة غوغل و Authy ورابط البريد الإلكتروني و OTP عبر البريد الإلكتروني والإشعار بالدفع.

هناك طرق إضافية مثل مصادقة الصوت و WhatsApp متاحة مع إصدار Pro.

أمان تسجيل الدخول إلى Wordfence

Wordfence هي علامة تجارية جديرة بالثقة. يدعم المكون الإضافي للمصادقة الثنائية المستقل المصادقة و Authy و 1Password و FreeOTP.

بالإضافة إلى ذلك ، تحتوي المكونات الإضافية للأمان مثل Wordfence و iThemes Security أيضًا على خيارات لتشغيل المصادقة الثنائية.

8. قم بتثبيت ملحق أمان الووردبريس

تعتبر ملحقات الأمان مفيدة لأنها يمكن أن تغلق أي ثقوب أمنية وتمنع المتسللين الذين يحاولون الاستفادة من نقاط الضعف هذه.

هناك نوعان من ملحقات أمان الووردبريس:

تصلب الأمن والمسح الضوئي.
جدار الحماية.

فيما يلي بعض الأدوات التي نوصي بها.

الأمن Sucuri

يعد Sucuri خيارًا موثوقًا به لمكوِّن إضافي للأمان. وهي مملوكة لشركة GoDaddy. يقوم Sucuri بمسح موقع بحثًا عن البرامج الضارة ويقدم خيارات لتصلب الموقع ضد المآثر.

يعد اختيار Sucuri أمرًا سهلاً لأنه يكمل ملحق جدار الحماية، مثل Wordfence. يتضمن الإصدار المدفوع أيضًا جدار حماية.

حماية Jetpack

تم إنشاء Jetpack Protect بواسطة Automattic ، الشركة التي تقف وراء WordPress.com و Akismet و WPScan و WooCommerce ، من بين آخرين.

يقوم Jetpack Protect بإجراء مسح يومي للبرامج الضارة لنواة الووردبريس والملحقات والموضوعات. هذا الملحق المجاني جديد نسبيًا – تم نسجه في ملحق مستقل في عام 2022.

أمان Wordfence – جدار الحماية وفحص البرامج الضارة وأمان تسجيل الدخول

يعد Wordfence خيارًا شائعًا لأمان الووردبريس. هناك أكثر من 4 ملايين عملية تثبيت نشطة. يعمل Wordfence كجدار حماية لحماية موقع ويب من هجمات القرصنة ويمكنه حظر روبوتات القرصنة الآلية والمتسللين الفعليين في الوقت الفعلي إذا كان النشاط يناسب نمط المتسلل.

يمكن للمستخدمين تكوين جدار حماية Wordfence بقواعد يمكنها منع المتسللين على الفور. يساعد Wordfence أيضًا على تشديد موقع ضد القرصنة من خلال توفير مصادقة ذات عاملين وتعطيل تنفيذ PHP في المجلدات حيث لا ينبغي تشغيل PHP.

ميزة أخرى لـ Wordfence هي أن الملحق يرسل تذكيرات عبر البريد الإلكتروني عندما يحتاج الملحق إلى تحديث. تتلقى النسخة المدفوعة من Wordfence قواعد جدار الحماية للحماية من أحدث المآثر بمجرد أن يعرف Wordfence عنها.

أمان iThemes

أمان iThemes هو مكون إضافي متعدد الإمكانات يقوم بمسح موقع الويب وتقويته بالإضافة إلى حظر الروبوتات السيئة كجدار حماية. هناك أكثر من مليون منشأة نشطة.

تتعامل iThemes مع العديد من الأنشطة المتعلقة بالأمن، مما يجعلها خيارًا شائعًا لأولئك الذين يفضلون ملحقًا واحدًا للقيام بكل شيء.

اتخذ خطوات أمان إضافية لـ الووردبريس

هذه هي الخطوات الإضافية لخلق وضع أمني قوي.

تحقق من إصدار PHP الخاص بك

PHP هو البرنامج الذي يعمل عليه الووردبريس. يمكن لإصدارات PHP القديمة أن تعرض الموقع لنقاط ضعف أمنية. تأكد من أن نسخة PHP المستخدمة لم تصل إلى حالة نهاية العمر (EOL).

البحث عن الثغرات الأمنية على الإنترنت

فيما يلي ثلاث أدوات عبر الإنترنت تقوم بمسح نقاط الضعف، أو معرفة ما إذا كان قد تم اختراق موقع ما:

برنامج Sucuri Malware and Security Checker : يقوم بمسح موقع ويب للتحقق من وجود نقاط ضعف.
حالة موقع التصفح الآمن من غوغل : توضح ما إذا كان غوغل قد واجهت ثغرة أمنية على أحد مواقع الويب.
ماسح ثغرات جافا سكريبت : يختبر ما إذا كان الموقع يستخدم جافا سكريبت الضعيفة.

مستقبل أمن وحماية موقع الووردبريس

يهاجم المتسللون جميع المواقع، بغض النظر عن نظام إدارة المحتوى (CMS) المستخدم. يعد الووردبريس أكثر أنظمة إدارة المحتوى شيوعًا في العالم ، مما يجعله هدفًا شائعًا للمتسللين.

لحسن الحظ، لدى الووردبريس مجتمع ضخم يعمل على الحفاظ على أمانه، وهي ميزة لا تتمتع بها المنصات الأخرى.

يجب على جميع مالكي مواقع الووردبريس التفكير في قضاء الوقت للتأكد من وجود تدابير للحفاظ على مواقع الووردبريس الخاصة بهم آمنة تمامًا.

المصدرsearchenginejournal