قائمة تدقيق أمان بسيطة لمواقع WordPress

قائمة تدقيق أمان بسيطة لمواقع WordPress

1. تحديث WordPress

يتم تدقيق ووردبريس بشكل منتظم والتحقق من الثغرات الأمنية. إذا تم الكشف عن عيوب وأخطاء أمنية ، فعادة ما يقوم المطورون الأساسيون بإصدار تحديثات الصيانة. يتم تثبيت تحديثات طفيفة على موقع WordPress الخاص بك تلقائيًا.

ومع ذلك ، ستحتاج إلى تحديث WordPress يدويًا لجميع الإصدارات الرئيسية. إنها عملية مباشرة نسبيًا نظرًا لأنك تتلقى رسالة مزعجة في مسؤول WordPress الخاص بك. تعمل 22٪ فقط من مواقع الويب على أحدث إصدار من WordPress ، وهو أمر محزن بالنظر إلى مدى سهولة التحديث.

لا تكن ضمن الـ 78٪ المتبقية نظرًا لأنك تعرض موقعك بشكل أساسي لجميع أنواع الهجمات من خلال عدم تحديث موقع الويب الخاص بك. عادةً ما يكون المتسللون هم أول مجموعة من الأشخاص يتعرفون على أي ثغرات في الإصدارات القديمة ، لأنهم يعتمدون على العيوب لشن هجمات ناجحة.

قبل تحديث WordPress ، نوصي بقراءة ملاحظات الإصدار لمعرفة ما تم تغييره وأخذ نسخة احتياطية من موقع الويب الخاص بك (فقط لتكون آمنًا). بهذه الطريقة ، يمكنك الآن توقع ما تتوقعه عند النقر فوق زر التحديث هذا ، وستحصل على أمان من الفشل في حالة حدوث أي خطأ.

2. تحديث السمات والإضافات

أثناء تحديث نواة WordPress ، لا تنس تحديث السمات والإضافات أيضًا. المتسللون مغرمون بشكل خاص بالسمات والمكونات الإضافية القديمة التي بها ثغرات أمنية معروفة.

إنهم يستغلون هذه الثغرات الأمنية وقد يخفون بابًا خلفيًا في موضوع قديم أو مكون إضافي. إذا لم تقم بالتحديث ، فيمكنهم اختراق موقع الويب الخاص بك متى شاءوا ذلك.

لتجنب فقدان أنماطك المخصصة ، نوصي باستخدام قالب WordPress الفرعي بدلاً من القالب الأصلي. بهذه الطريقة ، لن تفقد تخصيصاتك عند تحديث قالبك.

يجب عليك أيضًا إزالة أي سمات غير نشطة ومكونات إضافية وتثبيتات WordPress غير مستخدمة. لن تقوم فقط بحفظ النطاق الترددي وتجعل موقع الويب الخاص بك أسرع ، ولكن أيضًا ستبقي المتسللين في مأزق.

ملاحظة سريعة أخرى ، لا تقم مطلقًا بتنزيل السمات والمكونات الإضافية “الملغاة”. اذهب فقط مع المصادر الموثوقة مثل WordPress.org أو Envato أو أي متجر ثيمات ذي سمعة طيبة.

3. استخدم كلمات مرور قوية وفريدة من نوعها

ستندهش عندما تعلم أن معظم مواقع الويب يتم اختراقها عندما يسرق الأشرار معلومات تسجيل الدخول الخاصة بك. بالإضافة إلى ذلك ، تعد هجمات القوة الغاشمة شائعة جدًا وتتضمن قصف صفحة تسجيل الدخول الخاصة بك بآلاف من تركيبات اسم المستخدم وكلمة المرور حتى يظهر شيء ما.

إذا كنت تستخدم أسماء مستخدمين وكلمات مرور ضعيفة (مثل “المسؤول” سيئ السمعة أو “12345”) فإنك تجعل من السهل للغاية على المتسللين اقتحام موقع الويب الخاص بك. اعتاد على إنشاء كلمات مرور فريدة وقوية تقوم بتغييرها بانتظام. يمكنك حتى استخدام مولد مجاني عبر الإنترنت ، مثل هذا من LastPass .

يمكن أن تكون إدارة العديد من كلمات المرور القوية مشكلة. للمساعدة ، غالبًا ما أعتمد على مديري كلمات المرور مثل 1Password أو LastPass ، من بين آخرين. لا تقم بإعادة استخدام نفس كلمة المرور على مواقع ويب متعددة ، واحتفظ دائمًا بمعلومات تسجيل الدخول الخاصة بك آمنة. تأكد من أن مستخدمي WordPress يستخدمون كلمات مرور قوية أيضًا.

أثناء تواجدك فيه – تذكر استخدام كلمات مرور قوية لبريدك الإلكتروني و cPanel وقواعد بيانات MySQL وحسابات FTP أيضًا.

4. قم بتثبيت ملحق أمان WordPress

عندما أقوم بإنشاء موقع ويب WordPress جديد ، عادةً ما يكون لدي العديد من المكونات الإضافية الفعلية التي أقوم بتثبيتها تلقائيًا تقريبًا. أحصل على مكون إضافي لمكافحة البريد العشوائي ، ونموذج الاتصال 7 ، والرموز القصيرة Symple ، و iThemes Security ، وهو المكون الإضافي لأمان WordPress الخاص بي.

يتيح لي المكون الإضافي تقوية دفاعات WordPress الخاصة بي دون كسر العرق. إنه يأتي مع العديد من الميزات التي تجعل إبقاء الأشرار خارج مواقع الويب الخاصة بي أمرًا سهلاً. تكوين البرنامج المساعد سهل للغاية ؛ يجب أن تكون جاهزًا وتعمل في أي وقت من الأوقات.

تقدم لك أفضل المكونات الإضافية للأمان في WordPress ميزات مختلفة ، لذا تأكد من التحقق قبل التثبيت للتأكد من حصولك على جميع الميزات التي تحتاجها لتأمين موقع الويب الخاص بك بالكامل ، بغض النظر عن مدى تميزه. تشمل الميزات القياسية فحص البرامج الضارة ، وحظر IP ، ومنع القوة الغاشمة ، والمصادقة الثنائية ، وغير ذلك الكثير – التحقق من العديد من المربعات لقائمة التحقق من الأمان هذه التي تقرأها الآن!

5. اختر Great WordPress Hosting

عادة ، يبدأ المبتدئين في الحصول على أول حزمة استضافة رخيصة يصادفونها. لن أحملها ضدك لأنك لا تعرف أي شيء أفضل ، ولكن الاستضافة المشتركة الرخيصة (أو حتى المجانية) يمكن أن تعرضك لمخاطر أمنية. أعرف هذا على وجه اليقين منذ أن تم اختراق شركتي استضافة مختلفتين تقدمان استضافة مشتركة.

تتضمن الاستضافة المشتركة مشاركة خادم مع آلاف المواقع الأخرى. هذا يزيد من خطر التلوث عبر الموقع. بمعنى ، يمكن للمتسلل الوصول إلى موقعك حتى لو كان موقع الويب الخاص بشخص آخر هو النقطة الأصلية للهجوم.

من ناحية أخرى ، تركز استضافة WordPress المُدارة على مواقع WordPress الإلكترونية فقط. لا تشارك خادمًا مع الآخرين ، وستحصل على المزيد من خيارات الأمان للبقاء آمنًا. إنهم يقدمون دعمًا مخصصًا أيضًا ، والمزيد من خيارات الاسترداد في حالة حدوث الأسوأ.

إذا كان يجب عليك استخدام الاستضافة المشتركة ، فلنفترض أنك بدأت بمدونة لم تحقق أرباحًا بعد ، فتأكد من عزل المواقع أو “السجن”. إذا كنت تدير موقعًا تجاريًا أو موقعًا للتجارة الإلكترونية ، فمن المفيد استخدام أفضل استضافة WordPress يمكنك وضعها في ميزانيتك من كلمة go – مثل VPS ، أو استضافة WordPress مخصصة أو مُدارة.

6. استخدم SSL (HTTPS)

في الوقت الحاضر ، تقدم العديد من شركات استضافة WordPress شهادات SSL مجانية من كلمة go ولسبب وجيه. تجعل شهادات SSL موقع الويب الخاص بك أكثر أمانًا من المواقع بدون SSL. توصي Google أيضًا باستخدام شهادات SSL لحماية البيانات على موقع الويب الخاص بك (وتأكد من أن المستخدمين يعرفون ما إذا كنت تستخدم SSL أم لا).

يعد HTTPS أكثر أمانًا من بروتوكول HTTP السابق. يقوم موقع الويب الذي يستخدم HTTPS بتشفير جميع البيانات التي تنتقل بين متصفح المستخدم وخوادمك. إذا اعترض أحد المتطفلين الاتصال ، فسيجد فقط بيانات مشفرة مفيدة مثل الرجل ذو الأرجل الواحدة في منافسة ركل الحمار 🙂

يعد تثبيت شهادات SSL على معظم مضيفي الويب أمرًا سهلاً مثل A و B و C. يقدم معظمهم مثبتات بنقرة واحدة تجعل العملية برمتها سهلة. ما عليك سوى تسجيل الدخول إلى cPanel والنقر فوق زر واحد لتثبيت وإدارة شهادات SSL الخاصة بك. إذا كنت ترغب في اتباع نهج عملي أكثر ، ففكر في التحقق من Let’s Encrypt .

7. إنشاء نسخة احتياطية كاملة للموقع

عندما خلعني المتسللون من العرش ، اضطررت إلى إعادة بناء مواقع الويب الخاصة بي من الصفر ، وهو صداع كنت أتجنبه إذا كنت قد تذكرت بشكل موثوق نسخ WordPress احتياطيًا .

لكن لا ، النسخ الاحتياطية التي كانت مع مضيف الويب الخاص بي تالفة أثناء الهجوم ، ولا ، لم يكن لدي حل نسخ احتياطي ثانوي. حالة كلاسيكية لوضع كل بيضك في سلة واحدة علمتني درسًا صعبًا.

في الوقت الحاضر ، أقوم بإنشاء نسخ احتياطية كاملة لموقع الويب تتضمن ملفات موقع الويب وقواعد البيانات الخاصة بي. أنا أستخدم ManageWP بشكل أساسي ، لكني أستخدم أيضًا المكوّن الإضافي Duplicator لتخزين النسخ الاحتياطية على جهاز الكمبيوتر الخاص بي وفي Google Drive.

أحثك على إنشاء نسخ احتياطية كاملة بانتظام. تسمح لك العديد من حلول النسخ الاحتياطي في WordPress بأتمتة العملية برمتها ، مما يوفر لك الوقت ويمنحك راحة البال.

8. استخدم جدار حماية تطبيق الويب (WAF)

لإضافة طبقة إضافية من الأمان إلى موقع WordPress الخاص بك ، والنوم بشكل أفضل في الليل ، قم بتمكين جدار حماية تطبيق الويب (WAF). يحمي WAF موقع الويب الخاص بك عن طريق حظر حركة المرور الضارة قبل وقت طويل من وصولها إلى موقعك. إنه إجراء استباقي لمنع الأشرار من الموت في مساراتهم قبل أن يتسببوا في أي ضرر.

يقوم جدار الحماية بتصفية حركة المرور الواردة ، مما يؤدي إلى القضاء على المتسللين مع السماح للمستخدمين الشرعيين بالمرور. تقدم العديد من شركات أمان WordPress جدران حماية لتطبيقات الويب إلى جانب ميزات أخرى. تشمل الخيارات الشائعة في الصناعة Sucuri و Cloudflare .

9. تعطيل تحرير الملفات في إدارة WordPress

يأتي WordPress CMS مزودًا بمحرر كود رائع يسمح لك بتحرير ملفات المكونات الإضافية والقوالب داخل لوحة تحكم مسؤول WordPress. يعد محرر الكود أداة رائعة تحت تصرفك ، ولكن في الأيدي الخطأ ، يمكن للقراصنة استخدامه لتشويه أو إضافة برامج ضارة على موقع الويب الخاص بك.

يمكنك دائمًا تعديل ملفات السمة والمكونات الإضافية (إذا لزم الأمر) عبر FTP أو مدير الملفات في cPanel ، مما يعني أنه يمكنك تعطيل محرر الأكواد في WordPress تمامًا. لا تريد أن يتمكن المتسللون الذين يمكنهم الوصول إلى منطقة مسؤول WordPress الخاصة بك من الوصول إلى محرر الشفرات ، لأنهم قد يتسببون في الكثير من الضرر ببضعة أسطر من التعليمات البرمجية.

ماذا أفعل؟ يمكنك تعطيل محرر الكود المدمج باستخدام البرنامج المساعد المجاني Sucuri Security . بدلاً من ذلك ، يمكنك إضافة الكود التالي إلى ملف wp-config.php الخاص بك  :

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

10. تأمين صفحة تسجيل الدخول الخاصة بك

عادةً ما يحتوي نموذج تسجيل الدخول على WordPress الخاص بك على حقلين ؛ اسم المستخدم و كلمة السر. مع تزايد ذكاء مهاجمي القوة الغاشمة والروبوتات يومًا بعد يوم ، كيف تمنع المتسللين من الوصول إلى منطقة إدارة WordPress الخاصة بك؟ انه سهل؛ إذا قمت بإضافة CAPTCHA أو أسئلة الأمان التي تجعل من الصعب على أي شخص الوصول غير المصرح به.

ولا يتعين عليك تعديل الرمز لإضافة أسئلة التحقق أو الأمان إلى صفحة تسجيل الدخول الخاصة بك. هناك مكون إضافي مشهور لـ WordPress يُعرف باسم WP Security Question من السهل تكوينه واستخدامه. إذا كنت ترغب في استخدام CAPTCHA ، فيمكنك استخدام Simple Login Captcha أو WordFence أو أحد الخيارات العديدة المتاحة مجانًا في WordPress.org.

في نفس الوقت ، يمكنك تغيير عنوان URL الخاص بتسجيل الدخول إلى wp إلى شيء فريد. بهذه الطريقة ، سيواجه الروبوتات والمتسللون صعوبة في محاولة تخمين عنوان URL لصفحة تسجيل الدخول الخاصة بك. يعد wp-login شائعًا بالفعل بين المتسللين ، لذلك من المنطقي تمامًا تغيير عنوان URL إلى شيء آخر. يمكنك استخدام مكون إضافي مثل WPS Hide Login .

11. إضافة المصادقة

بالإضافة إلى ذلك ، ضع في اعتبارك تطبيق المصادقة الثنائية والمتعددة العوامل . في حالة وصول المتسلل إلى تفاصيل تسجيل الدخول الخاصة بك ، فلن يتمكن من تسجيل الدخول إلى موقع WordPress الخاص بك. هناك العديد من الخيارات المتاحة ، لكن Google Authenticator هو خيار شائع.

بخلاف ذلك ، حدد عمليات تسجيل الدخول على صفحة تسجيل الدخول الخاصة بك. إذا كان أحد الزائرين يحاول تسجيل الدخول بحساب غير موجود أو يحاول تسجيل الدخول عدة مرات ، فمن المرجح أن يكون متسللًا أو روبوتًا يحاول اقتحام طريقه. يمكنك استخدام مكون إضافي مثل Limit Login محاولات أو تأمين تسجيل الدخول لإبعاد هذه العناصر المتطفلة.

12. تسجيل خروج المستخدمين غير النشطين

عندما يكون لديك موقع WordPress متعدد المستخدمين ، لا يمكنك التحكم بشكل كامل في كيفية أو مكان وصول المستخدمين إلى موقع الويب الخاص بك. قد يقرر أحد المؤلفين استخدام شبكة Wi-Fi عامة مجانية لإجراء اللمسات الأخيرة على مقال ما. قد يغادر مصمم الويب مكتبه ويعود من استراحة غداء مدتها ساعة.

في مثل هذه السيناريوهات ، قد يعرض المستخدم موقع الويب الخاص بك لمخاطر أمنية دون علمه. قد يتولى شخص ضار جلسته ، ويعدل تفاصيله ، ويحدث فوضى. إذا كان الطرف غير المصرح له يعرف ما يفعله ، فيمكنه بسهولة الاستيلاء على حساب المستخدم وإلحاق الضرر.

ماذا أفعل؟ يمكنك تسجيل خروج المستخدمين غير النشطين تلقائيًا بعد فترة محددة مسبقًا. وأفضل جزء؟ هناك مكونات إضافية لهذا الغرض بالضبط. أحد الخيارات الشائعة هو المكون الإضافي Inactive Logout الذي يتضمن خيارات لتخصيص وقت الخمول قبل تسجيل الخروج ، ورسالة منبثقة مخصصة أو إعادة التوجيه عند تسجيل الخروج ، والمهلة وفقًا لدور المستخدم.

13. المسح بحثًا عن البرامج الضارة والمشكلات (بانتظام)

غالبًا ما يُنسى فحص موقع WordPress الخاص بك بانتظام يمكن أن يساعدك في تحديد مشاكل الأمان في وقت مبكر. يستغرق المخترق ثانية واحدة فقط لاقتحام موقع الويب الخاص بك والقيام بكل أنواع الأشياء السيئة. هذا هو بالضبط سبب وجوب البقاء على اطلاع دائم بالأمور.

العديد من مكونات أمان WordPress الإضافية للبحث عن إصابات البرامج الضارة ونقاط الضعف الأمنية المعروفة والنصوص البرمجية القديمة وهجمات القوة الغاشمة والنسخ الاحتياطية غير الموجودة وما إلى ذلك. ترسل لك المكونات الإضافية تقارير مفصلة حول المشكلات المعروفة ، حتى تتمكن من إصلاحها أو تعيين محترف.

هناك العديد من أدوات فحص مواقع الويب ، مثل Sucuri SiteCheck ، والتي يمكنك استخدامها للتحقق من موقعك في لمح البصر . كل ما عليك فعله هو إدخال عنوان URL الخاص بك ، وستقوم الأدوات بفحص موقع الويب الخاص بك تلقائيًا. بعد ذلك ، يقدمون لك تقريرًا عما تحتاج إلى إصلاحه. بمجرد حصولك على التقرير ، أصلح جميع الثغرات الأمنية على الفور.

14. استخدم VPN

إذا كنت تدير موقعًا إلكترونيًا يحمل معلومات حساسة يجب ألا تقع في أيدي المتسللين أبدًا ، ففكر في استخدام شبكة افتراضية خاصة (VPN) ، وأكثر من ذلك عند استخدام شبكة Wi-Fi عامة مجانية. تحميك الشبكة الافتراضية الخاصة من هجمات الرجل الوسيط الشائعة في الشبكات العامة ، بما في ذلك في المنزل والعمل.

تضمن الشبكة الافتراضية الخاصة أنه حتى لو تمكن المهاجمون من الوصول إلى النظام وسرقوا تفاصيلك ، فلن يتمكنوا من فعل أي شيء بالبيانات التي يأخذونها منك. إذا كانت لديك شبكة إنترنت تشاركها مع العديد من الأشخاص ، فاستخدم دائمًا VPN قبل الوصول إلى منطقة إدارة WordPress الخاصة بك.

خيارات أمان WordPress الأخرى

هل تحتاج إلى المزيد من العمل؟ نود أن نحافظ على أمان موقع الويب الخاص بك في جميع الأوقات ، لذلك إليك عناصر أمان إضافية لإضافتها إلى قائمة التحقق الخاصة بك:

  • تعطيل تنفيذ ملف PHP في / wp-content / wp-uploads /
  • قم بتغيير بادئة قاعدة بيانات WordPress الخاصة بك
  • تحمي كلمة المرور صفحات المسؤول وتسجيل الدخول على جانب الخادم
  • تعطيل فهرسة الدليل
  • قم بتعطيل WP REST API و XML-RPC إذا لم تكن هناك حاجة لذلك
  • لا تعدل / تغير نواة WordPress – اكتب أو استخدم مكونًا إضافيًا يوفر الوظائف التي تحتاجها بدلاً من ذلك
  • تأكد من تشغيل موقع الويب الخاص بك على أحدث إصدار من PHP
  • استخدم برنامج مكافحة فيروسات على جهاز الكمبيوتر الخاص بك
  • تمكين Google Search Console
  • تقليل ثغرات XSS و SQL Injection (قد تحتاج إلى شخص أكثر ذكاءً من الناحية التقنية للمساعدة في هذين الأمرين)

حقًا ، عدد الخطوات التي يمكنك اتخاذها لحماية موقعك لا حصر له. ولكن إذا كان بإمكانك التحقق من العناصر الـ 14 التي قمنا بإدراجها ، فهذه خطوة كبيرة لتأمين موقعك.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *