الحفاظ على موقع WordPress الخاص بك في مأمن من المتسللين في عام 2021

يستهدف المتسللون أكثر من 100،000 موقع ويب كل يوم! لهذا السبب ، من الضروري الحفاظ على أمان موقع WordPress الخاص بك. يمكن أن يكون موقع الويب الخاص بك أحد تلك المواقع في أي وقت. WordPress آمن جدًا. ومع ذلك ، فإن العديد من مواقع WordPress هي ضحية القرصنة. هذا ليس له علاقة بـ WordPress نفسه بل يتعلق أكثر بكيفية رعاية موقعك ، بصفتك مشرف موقع ، وإعداد الأمان الخاص بك.

حتى إذا تأكدت من أن موقعك كان آمنًا عند إطلاقه ، فإن مواكبة الصيانة الأمنية ستضمن أن موقعك محمي بشكل مناسب في جميع الأوقات.

قبل أن نبدأ ، من الجيد التعامل مع بعض مشكلات الأمان الشائعة التي تمتلكها مواقع WordPress:

• هجمات القوة الغاشمة - هجمات القوة الغاشمة هي السبب في أهمية وجود كلمة مرور قوية. سيقوم المهاجم بإدخال معلومات تسجيل الدخول مرارًا وتكرارًا حتى يحصل على تركيبة تسجيل الدخول الصحيحة للوصول إلى موقع WordPress الخاص بك.
• البرامج الضارة - اختصار لبرامج ضارة ، البرامج الضارة هي رمز يتم استخدامه للوصول غير المصرح به إلى موقع ويب لجمع بيانات حساسة تخص صاحب العمل وعملائه أو جهات اتصاله.
• مآثر تضمين الملف - تحدث عمليات استغلال تضمين الملفات عند استخدام رمز غير آمن لتحميل الملفات البعيدة ، مما يمنح المتسللين الوصول إلى موقع الويب الخاص بك. سيوفر لهم هذا أيضًا إمكانية الوصول إلى ملف wp-config.php ، والذي يعد أساسًا العمود الفقري لتثبيت WordPress الخاص بك. إذا تم اختراق هذا الملف ، يمكن للقراصنة الوصول إلى معلومات تسجيل الدخول إلى قاعدة البيانات وأمان التشفير.
• SQL Injections - تعد حقن SQL هجومًا على قاعدة بيانات WordPress الخاصة بك ، حيث يتمكن المهاجم من الوصول إلى قاعدة البيانات الخاصة بك ، وبالتالي إلى بياناتك. عندما يحدث هذا ، سيتمكن المهاجم من إضافة البيانات وتغييرها ، والتي قد تتضمن روابط ضارة ورسائل غير مرغوب فيها.
• Cross Site Scripting - Cross Site Scripting هي المشكلة الأكثر شيوعًا مع المكونات الإضافية وتعمل من قبل مهاجم لإيجاد طريقة لجعل الضحية تقوم عن غير قصد بتحميل صفحات الويب بنصوص جافا سكريبت غير آمنة.

ماذا يحدث عندما يتم اختراق أمنك؟

يمكن للقراصنة سرقة بياناتك وأي بيانات تخص عملائك ، تاركين هذه البيانات مكشوفة. يمكن توزيع البرامج الضارة من موقعك على الزائرين مما قد يؤدي إلى الإضرار بترتيب مُحسنات محركات البحث وكذلك بسمعة علامتك التجارية. وأخيرًا ، يمكن مسح موقعك بالكامل ، والذي ، إذا لم يتم نسخه احتياطيًا ، فقد يتسبب في بعض المشكلات الخطيرة.

الآن ، السؤال الكبير هو ، كيف يمكنك جعل موقعك آمنًا من المتسللين؟ بالنسبة لمواقع WordPress ، هناك عدد من الطرق التي يمكنك من خلالها جعل موقع الويب الخاص بك أكثر أمانًا. في هذا الدليل ، سأعرض لك بعض التغييرات الأمنية الأساسية التي يمكنك إجراؤها ، وصولاً إلى ميزات أمان WordPress الأكثر تعمقًا. دعنا نتعمق.

ما هي إعدادات الأمان الأساسية؟

معظم المواقع لا تحتوي حتى على الأساسيات المغطاة ، وهذا يجعل الحماية غير دقيقة للغاية. سنغطي هنا الأشياء الأساسية التي يمكنك القيام بها لتشديد أمان WordPress الخاص بك.

1. أوراق اعتماد قوية

قد يبدو الأمر سخيفًا ، لكن التأكد من أن لديك كلمة مرور قوية هو خط دفاعك الأول. لا يزال الناس اليوم يستخدمون كلمات مرور مثل Password123 التي توفر القليل جدًا من الحماية. قد يكون من المغري استخدام اسم المستخدم أو حتى عنوان البريد الإلكتروني ككلمة مرورك ، لكن لا تفعل ذلك!

ستكون كلمة المرور القوية مختلفة عن اسم المستخدم و / أو البريد الإلكتروني وتتضمن أحرفًا كبيرة بالإضافة إلى أحرف صغيرة وأرقام وأحرف خاصة (على سبيل المثال! ، * ،٪).

وبالمثل ، قد تتفاجأ عندما تعلم أن العديد من الأشخاص يستخدمون admin كاسم مستخدم. إذا كنت كذلك ، فقد حان الوقت لتغييره.

2. استضافة آمنة باستخدام اتصال آمن

يتحمل مضيفو الويب مسؤولية أمان موقع الويب الخاص بك بقدر ما أنت مسؤول. يتم توفير الاستضافة في الوقت الحاضر عبر الاستضافة السحابية أو الاستضافة المشتركة (تحقق من أفضل خيارات استضافة WordPress الرخيصة). تستضيف الاستضافة السحابية مواقع ويب متعددة عبر خوادم متعددة بينما ستستضيف الاستضافة المشتركة مواقع ويب متعددة عبر خادم واحد.

تُقدَّر الاستضافة السحابية بمستوى أعلى من الموثوقية والأمان لأنها لا تتطلب مشاركة موارد محدودة عبر مواقع متعددة. هذه هي المشكلة في بدء الاستضافة المشتركة وعندما يكدس المضيفون مواقع ويب أكثر مما يمكن للخادم التعامل معه ، فإن هذا يترك المواقع عرضة للخطر.

هذا لا يعني أن الاستضافة المشتركة سيئة. سيستخدم المضيفون المسؤولون دائمًا اتصالاً آمنًا ولن يمنحوا خادمًا أكثر مما يمكنه التعامل معه. قد يكون الوقت مناسبًا الآن للتحقق من مضيفك ومعرفة ما إذا كنت بحاجة إلى إجراء تبديل.

3. المصادقة الثنائية

إصلاح الأمان البسيط هو تمكين المصادقة الثنائية عند تسجيل الدخول إلى لوحة المعلومات الخاصة بك. سيضيف هذا طبقة إضافية من الأمان إلى موقع الويب الخاص بك ويسهل تمكينها في الإعدادات الخاصة بك.

عادة ما تكون المصادقة رمزًا عبر الرسائل القصيرة أو البريد الإلكتروني. يجد البعض أنه من المزعج المرور بخطوة إضافية لتسجيل الدخول ، لكن الأمر يستحق العناء للحصول على حماية إضافية.

3. شهادات SSL

ألست متأكدًا مما إذا كان موقعك يحتوي على شهادة SSL؟ سيحتوي الموقع الذي يحتوي على طبقة المقابس الآمنة (SSL) على https: / في بداية عنوان الويب الخاص به وغالبًا ما سيقول متصفحك أن الموقع غير آمن. تسمح شهادات SSL لزوار الويب بمعرفة أن موقعك آمن بحيث تكون بياناتهم محمية عند استخدام موقعك.

يقوم معظم موفري الاستضافة الآن بتضمين شهادات SSL في تكاليف اشتراكهم ، ولكن إذا لم يكن لديك واحدة ، فيمكنك الدفع مقابل واحدة عبر مضيفك أو يمكنك استخدام شهادة Let's Encrypt المجانية (انظر كيفية إضافة SSL مجانًا إلى موقع WordPress يدويًا).

بصفتك مالكًا لموقع الويب ، يجب عليك التحقق من أنواع SSL المختلفة أثناء تحديد شهادة SSL لموقع الويب الخاص بك ، على سبيل المثال ، إذا كان موقع التجارة الإلكترونية يحتوي على نطاقات فرعية متعددة ، فيجب أن تفكر في الحصول على شهادة SSL wildcard.

هناك العديد من العلامات التجارية للشهادات المشهورة المتاحة والتي يمكن أن تساعدك على ترسيخ الثقة على الموقع مثل AlphaSSL و Comodo و GlobalSign و DigiCert. يمكنك اختيار أي شخص حيث أن جميع العلامات التجارية المشهورة تقدم شهادات SSL مصدقة.

4. النسخ الاحتياطي لموقعك

بغض النظر عن مدى قوة أمان موقعك ، فلن يكون مقاومًا للرصاص بنسبة 100٪. لهذا السبب ، يعد النسخ الاحتياطي لموقعك (راجع مقارنة المكونات الإضافية للنسخ الاحتياطي في WordPress) أحد المتطلبات المطلقة في أمان موقع الويب. في حالة ظهور أمر لا مفر منه ، يمكنك التأكد من أنك لن تضطر إلى بدء تشغيل موقع الويب الخاص بك من البداية.

يمكنك استخدام مكون إضافي احتياطي مثل Duplicator (انظر كيفية ترحيل موقع WordPress باستخدام Duplicator) ، و BackupBuddy (تحقق من مراجعة BackupBuddy) ، و WPvivid (انظر مراجعة WPvivid) ، و 10 Web backup (راجع مراجعة 10Web) ، إلخ.

هناك طريقة أخرى يمكنك من خلالها نسخ بياناتك احتياطيًا وهي مزامنة أي تطبيقات أو برامج تستخدم نفس البيانات. على سبيل المثال ، يمكنك الاحتفاظ بنسخة احتياطية من جهات الاتصال الخاصة بك عن طريق مزامنة Mailchimp و Office 365 ، وهذا سيسمح لك بالحفاظ على بيانات الاتصال آمنة ومأمونة.

5. الإضافات والسمات

تعمل مواقع WordPress على السمات والكثير من المكونات الإضافية التي تتطلب أيضًا تحديثات. هذه التحديثات ضرورية للحفاظ على موقعك يعمل بسلاسة ولكن أيضًا لإصلاح أي أخطاء أو مشكلات داخل برامجهم. تمتلك العديد من الشركات مواقع ويب تعمل على إصدارات أقدم من البرامج ، ولا يعرفون ذلك حتى.

هناك مشكلة أخرى وهي استخدام السمات والإضافات الفارغة ، والتي تحتوي على كود معدل وغير موثوق به. يمكن أن يؤدي استخدام المكونات الإضافية الملغاة إلى تعريض موقعك للخطر.

6. قم بتحديث إصدار PHP الخاص بك

يتعرض أي موقع يشغل إصدارًا قديمًا جدًا من PHP لمخاطر أمنية. يمكن أن تترك PHP القديمة موقع WordPress الخاص بك عرضة للخطر. إنها لفكرة جيدة أن تتحقق من أن نسختك تعمل بأحدث إصدار من PHP. يمكنك العثور على نسختك عن طريق التحقق من طلب العنوان الموجود على موقعك ، أو باستخدام مكون إضافي مختلف ، أو عبر cPanel إذا كانت استضافتك تستخدمه.

7. تشديد منطقة الإدارة الخاصة بك

تمنح منطقة مسؤول WordPress المستخدم بشكل أساسي القدرة على الوصول إلى مهام معينة وتنفيذها على موقعك وغالبًا ما تُترك بدون حماية. لهذا السبب فهي المنطقة الأكثر استهدافًا لموقع WordPress.

يمكنك تشديد الأمان على هذا عن طريق إضافة إجراءات مصادقة إضافية إلى دليل المسؤول الخاص بك. يمكنك إضافة مصادقة ثنائية ووضع حد لمحاولات تسجيل الدخول لإضافة طبقة أخرى من الأمان وردع المتسللين.

يمكنك المضي قدمًا وتغيير عنوان URL لتسجيل الدخول إلى WordPress. عنوان URL الافتراضي لمواقع WordPress هو domain.com/wp-admin أو /login.php مما يسهل على المتسللين محاولة هجمات القوة الغاشمة على تسجيل دخول المسؤول.

على الرغم من أنه ليس إصلاحًا أمنيًا كبيرًا ، إلا أن تغيير عنوان URL يجعل من الصعب على المهاجمين الوصول إلى الموقع. يمكنك تغيير عنوان URL لتسجيل الدخول باستخدام مكون إضافي مثل أمان iThemes (انظر مقارنة iThemes Security مقابل WordFence) ، و Hide My WP (تحقق من أداء Swift مقابل Hide My WP مقارنة) ، إلخ.

كيف يتم تطبيق أمان أقوى؟

فيما يلي بعض التوصيات لمستوى أعلى من الأمان لموقع WordPress.

1. قم بتثبيت ملحق أمان WordPress

قد تتساءل عما إذا كان هناك مكون إضافي أنيق يمكنك تثبيته للمساعدة في جعل الأمان يثقل كاهلك والخبر السار هو أن هناك الكثير. تتمثل فائدة استخدام هذه المكونات الإضافية في ميزاتها المتنوعة بالإضافة إلى خيار فحص تثبيت WordPress الخاص بك بحثًا عن أي ملفات معدلة قد تشير إلى محاولة اختراق. تتميز هذه المكونات الإضافية أيضًا بما يلي:

• معلومات WHOIS على زوار الموقع
• توثيق ذو عاملين
• reCAPTCHAs
• فحص البرامج الضارة
• انتهاء صلاحية كلمة المرور - يجبرك على إعادة تعيين كلمة المرور الخاصة بك بعد فترة زمنية محددة.
• جدران حماية أمان WordPress

على الرغم من أنها قد لا تحل جميع مشكلات الأمان الخاصة بك ، يمكن أن يساعد المكون الإضافي في إضافة طبقة دفاع أخرى ومنع محاولات القرصنة. أوصي بالنظر في المكونات الإضافية التالية: Sucuri ، و Jetpack Security ، و iThemes Security Pro ، و BulletProof Security ، و Wordfence ، و MalCare (انظر مراجعة MalCare) ، وما إلى ذلك.

2. إخفاء نسختك من WordPress

كلما قلت المعلومات المتوفرة عنك وعن تكوين موقع الويب الخاص بك ، كان من الصعب على المتسللين استهدافك. سيؤدي إخفاء إصدار موقعك إلى منع المتسللين من تحديد موقعك على أنه يعمل على إصدار أقدم.

والحل الأبسط هو التأكد من أن موقع الويب الخاص بك هو دائما حتى الآن ولكن إذا كنت تريد أن تأخذ الاحتياطات التي يمكن أن تخفي نسخة وورد الخاص بك عن طريق إضافة رمز إلى ملف functions.php موضوع الخاص بك.

3. أذونات الملفات

أذونات الملف هي مجموعة من القواعد التي يستخدمها خادم الويب الخاص بك للتحكم في الوصول إلى الملفات الموجودة على موقعك. يمكن أن يؤدي الحصول على أذونات خاطئة إلى إيقاف عمل موقعك ، ولكن يمكنه أيضًا السماح للقراصنة بالوصول إلى هذه الملفات وإعادة كتابتها وتغييرها.

القيم الموصى بها لأذونات الملف هي كما يلي: يجب تعيين جميع الملفات على 644 ويجب تعيين جميع الدلائل على 755 أو 750. يجب عدم تعيين الدلائل على 777.

4. أمن قاعدة البيانات

سيتم تسمية قاعدة البيانات الخاصة بك مهما كان اسم موقع الويب الخاص بك. لذلك إذا كان موقعك يسمى richie rich ، فسيتم تسمية قاعدة البيانات الخاصة بك باسم wp_richierich. من خلال تغيير هذا إلى شيء غير ذي صلة ، فإنه يمنع المتسللين من القدرة على تخمين اسم قاعدة البيانات الخاصة بك.

هناك طريقة أخرى يمكنك من خلالها تشديد الأمان وهي تغيير بادئة جدول WordPress الافتراضية. بشكل افتراضي ، استخدم WordPress wp_ كبادئة يستخدمها لإنشاء قاعدة البيانات الخاصة بك. أثناء التثبيت ، يمكنك تغيير هذه البادئة ويوصى بأن تفعل ذلك لتجعل من الصعب على المتسللين تخمين أسماء قاعدة البيانات الخاصة بك.

5. منع DDoS

DDoS هو نوع من هجمات رفض الخدمة التي لا تضر بموقعك ولكنها تقضي على موقعك لساعات أو حتى أيام. على الرغم من أن هذا قد لا يسبب أي ضرر لموقع الويب الخاص بك ، إلا أنه يمكن أن يضر بعملك إذا كنت تعتمد على موقع الويب الخاص بك يعمل بكامل طاقته في جميع الأوقات. يمكنك منع هجوم DDoS باستخدام أمان طرف ثالث مثل Securi أو Cloudflare.

6. حماية ملف wp-config.php الخاص بك

كما ذكرت من قبل ، فإن ملف wp-config.php هو أهم ملف في تثبيت WordPress الخاص بك. إذا تم اختراق المخترق ، فيمكنه الحصول على معلومات تسجيل الدخول إلى قاعدة البيانات الخاصة بك والتي ستمنحهم وصولاً كاملاً إلى موقع الويب الخاص بك.

قد يبدو هذا مخيفًا ولكن لا تقلق ، يمكنك تشديد الأمان على ملف wp-config.php الخاص بك عن طريق تغيير أذونات الملف. عادةً ما يتم تعيين الملفات الموجودة في الدليل الجذر على 644 مما يسمح للمالك بقراءة الملفات وكتابتها ويمكن قراءتها بواسطة المستخدمين في مالك المجموعة وأي شخص آخر.

إذا كنت ترغب في رفض الوصول إلى استخدامات أخرى ، فيجب تعيين الملفات على 440 أو 400. يجدر الأخذ في الاعتبار أن بعض منصات الاستضافة سيكون لها أذونات مختلفة. هذا لأن المستخدم ليس لديه إذن لكتابة الملفات. في هذه الحالة ، من الجيد الاتصال بمزود الاستضافة للتأكد من ماهية الأذونات.

الحفاظ على موقع WordPress الخاص بك آمنًا

هناك العديد من الأسباب التي تؤدي إلى اختراق مواقع WordPress. لا يعد تنظيف موقع WordPress الذي تم اختراقه أمرًا مستحيلًا ، ولكن من خلال اتخاذ تدابير وقائية ، يمكنك تقليل فرصك في الحصول على موقع تم الاستيلاء عليه حتى لا تقلق بشأن تنظيف موقعك أو ، في أسوأ السيناريوهات ، إنشاء موقع جديد بالكامل موقع الكتروني.