كيفية تأمين موقع WordPress الخاص بك من المتسللين

يعد أمان الويب أحد أهم الجوانب التي يجب على مؤسستك القيام بها بالشكل الصحيح. إذا كان موقع الويب الخاص بك هو قلعتك ، فإن المتسللين هم الجيوش الغازية اليوم ، ويحاولون كسر دفاعات موقعك من أجل الوصول إلى الكنز المخبأ بداخله. الأمر متروك لك لإبقائهم بعيدًا لأنك إذا لم تفعل ذلك ، فسوف يتسببون في الكثير من الضرر.

WordPress عبارة عن منصة CMS شائعة مع أكثر من 60 ٪ من حصة السوق. وفقًا للخبراء ، يتم إنشاء أكثر من 500 موقع ويب كل يوم باستخدام أداة إنشاء مواقع WordPress. إذا كنت تستخدم WordPress كنظام أساسي لتطوير الويب ، فمن المهم أن تأخذ الأمان في الاعتبار.

ولكن كيف يمكن للقراصنة الوصول إلى موقعك ، وكيف يمكنك إبعادهم؟ لمعرفة المزيد حول أمان موقع WordPress ، راجع الأقسام أدناه:

لماذا يستهدف المتسللون أمان موقع الويب الخاص بك؟

تعد حماية موقع الويب الخاص بك من هجمات القرصنة أولوية بالنسبة لأي عمل تجاري وأكثر من ذلك بالنسبة لأولئك الذين يديرون متجرًا عبر الإنترنت. يجب أن ننظر إلى "سبب" أمان موقع الويب قبل أن ننظر إلى "كيف". ما الذي يدفع المتسللين لاستهداف موقع الويب الخاص بك؟ قد تساعدك معرفة الإجابة في تحديد أجزاء موقعك التي تتطلب أكبر قدر من الحماية.

فيما يلي قائمة بالأسباب الأكثر شيوعًا لتهديدات أمان مواقع الويب:

1. للحصول على معلومات حساسة

للوصول إلى المعلومات السرية ، يحاول المتسللون اختراق موقع الويب الخاص بك لعدة أسباب. الأول - والأكثر شيوعًا بالتأكيد - هو الحصول على معلومات حساسة. غالبًا ما تكون هذه المعلومات مرتبطة بعملك - أوراق الشركة وسجلات المبيعات والملكية الفكرية الأخرى التي يمكن للقراصنة استغلالها في المستقبل لإلحاق الضرر بشركتك.

قد يكون المتسللون أيضًا من أجل معلومات المستخدم. إذا قمت بتخزين بيانات عن عملائك أو عملائك على موقعك ، وخاصة المعلومات المالية ، فيمكن للقراصنة استخدامها لسرقة الأموال من أولئك الذين قاموا بالشراء منك.

2. لاستضافة البرامج الضارة

السبب الآخر الذي قد يجعل المتسللين يستهدفون موقعك هو استخدامه كنقطة توزيع للفيروسات. عندما يحصل المتسللون على حق الوصول إلى موقع الويب الخاص بك ، يمكنهم تثبيت الفيروسات واستخدامها كقاعدة انطلاق لنشر تلك الفيروسات عبر الإنترنت.

سيؤدي هذا الإجراء إلى تقويض سمعتك لدى Google ، حيث سترى البرامج الضارة على موقعك وتزيلك من مراتب البحث ، بالإضافة إلى تصعيب عملية القضاء على الفيروسات. كل جهودك في تحسين محركات البحث (SEO) ستكون هباءً.

3. من أجل المتعة

أخيرًا ، يخترق العديد من المتسللين مواقع الويب من أجل الإثارة المطلقة في ذلك. إنهم يستمتعون باختراق جدران الحماية وخرق جميع وسائل الحماية الخاصة بك للحصول على الرضا الذي يأتي مع السيطرة على موقع الويب الخاص بك.

يخطو الآخرون خطوة إلى الأمام ، على أمل أن يصنعوا اسمًا لأنفسهم من خلال عمليات الاحتيال التي يقومون بها. عندما يتم القبض على أحد المتسللين ، غالبًا ما ينتقلون إلى وسائل التواصل الاجتماعي للتفاخر بمآثرهم. لسوء الحظ ، حتى إذا تم القبض عليهم ، فقد تم بالفعل إلحاق الضرر بموقعك.

ما هي بعض التهديدات الأمنية الشائعة لموقع الويب؟

دعنا نلقي نظرة على بعض الطرق الشائعة التي يحاول المتسللون تجاوزها أمنك الآن بعد أن ناقشنا سبب مهاجمة المتسللين لموقعك ولماذا قد يكون شديد الخطورة. ثلاثة أنواع أساسية من مخاطر أمان مواقع الويب التي يجب مراقبتها!

1. الفيروسات والبرامج الضارة

لقد ناقشنا بالفعل كيف يمكن للقراصنة نشر البرامج الضارة عبر موقع الويب الخاص بك. ومع ذلك ، تعد البرامج الضارة طريقة أخرى للمتسللين للوصول إلى موقع الويب الخاص بك.

غالبًا ما يبدأ بشيء أساسي مثل النقر فوق ارتباط. سيجد المتسللون وسيلة للحصول على روابط أمامك ، غالبًا من خلال رسائل البريد الإلكتروني. عند النقر فوق الارتباطات ، سيتم إطلاق فيروس سيدخل بسرعة إلى موقعك من جهاز الكمبيوتر الخاص بك.

سينخفض ​​موقعك بالكامل في هذه المرحلة ، مما يتركك عالقًا وعرضة لأي شيء يحاول المتسللون محاولة القيام به - ناهيك عن أن مبيعاتك ستعاني نتيجة لذلك!

2. روابط البريد العشوائي

غالبًا ما يحاول المتسللون إقناع زوار موقعك بالنقر فوق الروابط الضارة بالإضافة إلى محاولة إقناعك بالقيام بذلك. يعد ترك التعليقات على موقع الويب الخاص بك أحد أكثر الطرق شيوعًا للقيام بذلك.

راقب ما يقوله القراء إذا كان لديك مدونة حيث يمكنهم التعليق عليها. كثيرًا ما يستخدم المتسللون القناة لتوزيع الروابط التي تنزل عن طريق الخطأ برامج ضارة على أجهزة الكمبيوتر الخاصة بالمستهلكين.

عندما تلاحظ Google هذه الروابط التي تنشأ من موقع الويب الخاص بك ، فإنها ستعاقبك بسرعة في نتائج البحث ، وبالتالي يجب أن تحاول تجنب وجود هذه التعليقات على موقعك.

3. هجمات DDOS

هجمات رفض الخدمة الموزعة (DDoS) هي ثالث أكثر أنواع مشكلات أمان مواقع الويب شيوعًا ، وقد اكتسبت شهرة في السنوات الأخيرة. عندما يتعطل المتسللون موقعك بالكامل عن طريق إغراقه بحركة مرور وهمية ، يُعرف هذا باسم هجوم DDoS.

يقوم المتسللون ببناء جيوش ضخمة من عناوين IP المزيفة ويأمرونهم جميعًا بالوصول إلى موقعك في نفس الوقت. سيتعطل موقع الويب الخاص بك لأنه لا يمكنه إدارة هذا العدد الكبير من الزوار. سيمنع هذا الأشخاص الآخرين من زيارة الموقع ، مما سيؤثر على تصنيفاتك وتحويلاتك.

لماذا أمان الموقع مهم؟

يمكن أن يضر موقع WordPress الذي تم اختراقه بشكل كبير بإيرادات شركتك وسمعتها. يمكن للقراصنة سرقة معلومات المستخدم وكلمات المرور وتثبيت البرامج الضارة وحتى إصابة المستخدمين ببرامج ضارة. أسوأ سيناريو ، قد تضطر إلى دفع برامج الفدية للمتسللين لاستعادة الوصول إلى موقع الويب الخاص بك.

تم تحذير أكثر من 50 مليون مستخدم لموقع الويب من أن موقع الويب الذي يزورونه قد يحتوي على برامج ضارة أو يسرق معلومات ، وفقًا لـ Google. علاوة على ذلك ، تقوم Google كل أسبوع بإدراج ما يقرب من 20000 موقع ويب للبرامج الضارة في القائمة السوداء وحوالي 50000 موقع للتصيد الاحتيالي.

إذا كنت تدير موقعًا تجاريًا على الويب ، فستحتاج إلى إيلاء اهتمام خاص لأمن WordPress. نظرًا لأن من واجب مالك المتجر الحقيقي تأمين المبنى الخاص به ، فإن مسؤولية صاحب العمل عبر الإنترنت هي الدفاع عن موقعه على الويب.

كيفية تأمين موقع WordPress الخاص بك من المتسللين

فيما يلي بعض النصائح حول كيفية تأمين موقع WordPress الخاص بك من المتسللين. يمكنك البدء بتغيير كلمات المرور الخاصة بك ، والتأكد من عدم ترك أي معلومات شخصية في المنشورات أو التعليقات ، وتثبيت جدار حماية عالي الجودة وبرامج مكافحة فيروسات ، والاستفادة من العديد من إجراءات الأمان التي تم تضمينها في WordPress على مر السنين . دعنا نتبع هذه الخطوات لتأمين موقع WordPress الخاص بك:

1. تحديث ووردبريس باستمرار

WordPress هو برنامج مفتوح المصدر يتم تحديثه وصيانته بانتظام. لهذا السبب يعد تحديث مواقع WordPress الخاصة بك أمرًا مهمًا للحفاظ عليها آمنة. يقوم WordPress بتثبيت التحديثات الطفيفة تلقائيًا بشكل افتراضي. يجب بدء التحديث يدويًا للإصدارات الرئيسية. يذكرنا WordPress أيضًا بهذه التحديثات ضمن قسم "التحديثات".

يأتي WordPress أيضًا مع مكتبة تضم آلاف المكونات الإضافية والسمات التي يمكنك استخدامها لتخصيص موقعك. يحتفظ مطورو الطرف الثالث بهذه المكونات الإضافية والسمات ، ويصدرون تحديثات بشكل منتظم.

تعد ترقيات WordPress هذه ضرورية لأمان واستقرار موقع WordPress الخاص بك. تحقق لمعرفة ما إذا كانت نواة WordPress والمكونات الإضافية والقالب محدثة.

2. كلمات مرور قوية وأذونات المستخدم

تُستخدم كلمات المرور المسروقة في غالبية محاولات اختراق WordPress. استخدم كلمات مرور أكثر صرامة وفريدة من نوعها لموقع الويب الخاص بك لجعل هذا الأمر أكثر صعوبة. ليس فقط لمنطقة إدارة WordPress ، ولكن أيضًا لحسابات FTP وقواعد البيانات وحسابات استضافة WordPress وعناوين البريد الإلكتروني المخصصة التي تستخدم اسم المجال لموقع الويب الخاص بك.

نظرًا لصعوبة تذكر كلمات المرور القوية ، يتجنبها العديد من المبتدئين. الخبر السار هو أنك لم تعد مضطرًا إلى حفظ كلمات المرور. يمكنك استخدام مدير كلمات المرور لتتبع كلمات المرور الخاصة بك.

هناك إستراتيجية أخرى لتقليل الخطر وهي توفير حساب مسؤول WordPress فقط للأشخاص الذين تحتاجهم تمامًا. تأكد من فهمك لأدوار المستخدم وقدراته في WordPress قبل إضافة حسابات مستخدمين ومؤلفين جدد إلى موقع WordPress الخاص بك إذا كان لديك فريق كبير أو مؤلفون ضيوف.

3. دور استضافة ووردبريس

تعد خدمة استضافة WordPress الخاصة بك هي الجانب الأكثر أهمية في أمان موقع WordPress الخاص بك. ستذهب شركة الاستضافة المشتركة المختصة إلى أبعد الحدود لتأمين خوادمها من التهديدات المتكررة.

فيما يلي كيفية حماية شركة استضافة الويب المختصة مواقع الويب والبيانات الخاصة بك في الخلفية.

• إنهم يراقبون شبكتهم لأي سلوك مشكوك فيه.
• لمنع هجمات DDOS واسعة النطاق ، تمتلك جميع شركات الاستضافة الجيدة أدوات في مكانها الصحيح.
• لمنع المتسللين من استغلال نقطة ضعف أمنية معروفة في إصدار أقدم
• يحافظون على تحديث برامج الخادم وإصدارات PHP والأجهزة.

4. تثبيت حل النسخ الاحتياطي WordPress

النسخ الاحتياطية هي خط دفاعك الأول في حالة حدوث هجوم على WordPress. تذكر أنه لا يوجد شيء آمن. إذا كان من الممكن اختراق مواقع الويب الحكومية ، فقد تكون متأكدًا من إمكانية اختراق مواقعك أيضًا.

تمكنك النسخ الاحتياطية من استعادة موقع WordPress الخاص بك بسرعة إذا حدث خطأ ما. يمكنك استخدام مجموعة متنوعة من المكونات الإضافية المجانية والمدفوعة للنسخ الاحتياطي في WordPress. أهم شيء يجب تذكره حول النسخ الاحتياطية هو أنه يجب حفظ النسخ الاحتياطية الكاملة للموقع في مكان بعيد بشكل منتظم (وليس حساب الاستضافة الخاص بك

نقترح تخزينه على مزود خدمة سحابية مثل Amazon أو Dropbox أو Google Drive. اعتمادًا على عدد المرات التي تقوم فيها بتحديث موقع الويب الخاص بك ، قد تكون النسخ الاحتياطية مرة واحدة في اليوم أو النسخ الاحتياطية في الوقت الفعلي هي الخيار الأفضل.

يتكون النسخ الاحتياطي لموقع WordPress الخاص بك مما يلي:

• تثبيت ووردبريس كور
• إضافات ووردبريس
• موضوعات WordPress
• الصور والملفات
• JavaScript و PHP وملفات التعليمات البرمجية الأخرى
• ملفات إضافية وصفحات ويب ثابتة

5. أفضل مكون إضافي لأمن WordPress

بعد النسخ الاحتياطية ، فإن الخطوة التالية هي بناء نظام تدقيق ومراقبة يسجل كل ما يحدث على موقع الويب الخاص بك.

تعد مراقبة سلامة الملفات ، ومحاولات تسجيل الدخول الفاشلة ، واكتشاف الفيروسات ، وما إلى ذلك من عناصر المكون الإضافي للأمان. إنها ليست إضافات أو إضافات ، ولكنها مكونات حيوية لكل موقع من مواقع WordPress.

الغرض الوحيد من المكونات الإضافية للأمان هو جعل موقع الويب الخاص بك آمنًا. يقوم بذلك عن طريق درء المتسللين ومنع الهجمات واكتشاف نقاط الضعف والتخفيف من حدتها قبل أن تصبح مشكلة. هناك العديد من مكونات الأمان الإضافية التي يمكنك الاختيار من بينها لتأمين موقعك.

تعرف على ما يمكن أن تقدمه مكونات أمان WordPress الإضافية:

• مراقبة أمنية نشطة
• مراقبة القائمة السوداء
• حماية هجوم القوة الغاشمة
• مسح الملف
• جدران الحماية
• فحص البرامج الضارة
• إخطارات عندما يتم الكشف عن تهديد أمني
• إجراءات ما بعد الاختراق
• تصلب الأمن

وأكثر بكثير…

6. تمكين جدار حماية تطبيق الويب (WAF)

يعمل المكون الإضافي لجدار الحماية لـ WordPress (المعروف أيضًا باسم جدار حماية تطبيق الويب أو WAF) كحاجز بين موقع الويب الخاص بك وكل حركة المرور الواردة. تراقب جدران الحماية الخاصة بتطبيقات الويب حركة المرور على موقع الويب الخاص بك وتمنع الكثير من مخاطر الأمان النموذجية من الوصول إلى موقع WordPress الخاص بك.

تعمل جدران الحماية الخاصة بتطبيقات الويب عادةً على تسريع أداء موقع الويب الخاص بك وتحسينه بالإضافة إلى تعزيز أمان WordPress بشكل كبير.

تنقسم المكونات الإضافية لجدار الحماية في WordPress إلى فئتين.

جدران حماية مواقع الويب على مستوى DNS - تقوم جدران الحماية هذه بتصفية حركة مرور موقع الويب الخاص بك من خلال خوادم بروكسي سحابية. نتيجة لذلك ، يمكنهم فقط توصيل حركة مرور مشروعة إلى خادم الويب الخاص بك.

جدار حماية مستوى التطبيق - تقوم هذه المكونات الإضافية لجدار الحماية بفحص حركة المرور بمجرد وصولها إلى الخادم الخاص بك ، ولكن قبل تحميل معظم البرامج النصية لـ WordPress. فيما يتعلق بتقليل تحميل الخادم ، فإن هذا الحل ليس فعالًا مثل جدار الحماية على مستوى DNS.

نقترح استخدام جدار حماية على مستوى DNS لأنه جيد جدًا في التمييز بين حركة المرور الشرعية على موقع الويب والاستعلامات الضارة.

إنهم يحققون ذلك من خلال مراقبة الآلاف من مواقع الويب ، ومقارنة الاتجاهات ، والبحث عن شبكات الروبوتات وعناوين IP الضارة المعروفة ، والحد من الاتصالات بعناوين URL التي لن يبحث عنها زوار موقعك مطلقًا.

بالإضافة إلى ذلك ، تعمل جدران الحماية الخاصة بموقع الويب على مستوى DNS على تخفيف العبء على خادم استضافة WordPress الخاص بك ، مما يضمن عدم تعطل موقع الويب الخاص بك.

فيما يلي بعض الأسماء البارزة لمكونات WordPress Firewall Plugins:

• سوكوري
• MaxCDN (StackPath)
• كلاود فلير
• أمان Wordfence
• Jetpack
• أمان مضاد للرصاص
• الكل في واحد WP Security
• جدار حماية للشواء
• جدار حماية النينجا
• أسترا
• مالكير
• أمن المدافع
• الفسفور الابيض سيربر

7. انقل موقع WordPress الخاص بك إلى SSL / HTTPS

SSL (طبقة مآخذ التوصيل الآمنة) هي تقنية لتشفير البيانات تقوم بتشفير نقل البيانات بين موقع الويب الخاص بك ومتصفح المستخدم. يصعب على أي شخص استكشاف المعلومات وسرقتها باستخدام هذا التشفير. سيستخدم موقع الويب الخاص بك HTTPS بدلاً من HTTP عند تمكين SSL ، وسيظهر رمز قفل بجوار عنوان موقع الويب الخاص بك في المتصفح.

قدمت المراجع المصدقة تقليديًا شهادات SSL ، والتي يتراوح سعرها من 5 دولارات إلى 1000 دولار سنويًا ، اعتمادًا على مستوى احتياجات الأمان لموقعك. اختار معظم مالكي مواقع الويب الاستمرار في استخدام البروتوكول غير الآمن بسبب التكلفة الإضافية. لمعالجة هذا الأمر ، قررت Let's Encrypt ، وهي مجموعة غير ربحية ، تقديم شهادات SSL مجانية لأصحاب مواقع الويب. لقد دعم كل من Google Chrome و Facebook و Mozilla وعدد كبير من الشركات الأخرى جهودهم.

بدء استخدام SSL لجميع مواقع WordPress الخاصة بك أصبح الآن أسهل من أي وقت مضى. شهادة SSL مجانية لموقع WordPress الخاص بك متاحة الآن من العديد من شركات الاستضافة.

8. قم بتغيير اسم المستخدم الافتراضي "admin"

عند تثبيت WordPress ، سيكون اسم المستخدم الافتراضي للمسؤول هو "admin". إذا واصلت استخدام "admin" كاسم مستخدم مسؤول ، فمن السهل على المتسلل الوصول إلى موقعك. يقوم المتسللون بتنفيذ هجمات القوة الغاشمة على الحسابات التي يكون فيها اسم المستخدم الافتراضي هو "admin" لمحاولة استرداد كلمات المرور. عندما يسجل مخترق الدخول إلى حساب باسم مستخدم مسؤول WordPress الافتراضي ، فسيحصل على إذن كامل على موقع الويب الخاص بك.

اعتاد تسجيل دخول مسؤول WordPress الافتراضي أن يكون "مسؤولاً" في اليوم. نظرًا لأن أسماء المستخدمين تمثل 50٪ من جميع بيانات اعتماد تسجيل الدخول ، فقد أصبحت هجمات القوة الغاشمة أسهل.

لحسن الحظ ، قام WordPress بتصحيح هذا لاحقًا ويطلب منك الآن تقديم اسم مستخدم فريد عند تثبيت البرنامج.

ومع ذلك ، يستمر بعض مثبِّتات WordPress بنقرة واحدة في استخدام "admin" كاسم مستخدم افتراضي للمسؤول. إذا اكتشفت ذلك ، فمن الأفضل تغيير مزود استضافة الويب الخاص بك.

نظرًا لأن WordPress لا يمكّنك من تغيير اسم المستخدم الخاص بك افتراضيًا ، فسيتعين عليك استخدام أحد الأساليب الثلاثة.

• أزل اسم مستخدم المسؤول القديم وأنشئ اسمًا جديدًا.
• تحديث اسم المستخدم من phpMyAdmin
• استخدم البرنامج المساعد Username Changer

9. تعطيل تحرير الملف

يتضمن WordPress محرر كود يسمح لك بتحرير ملفات السمات والمكونات الإضافية مباشرة من منطقة إدارة WordPress. يمكن أن تكون هذه الوظيفة مصدر قلق أمني في الأيدي الخطأ ، ولهذا نوصي بإيقاف تشغيلها.

يمكن للمستخدمين المسؤولين الوصول إلى الملفات الأساسية إذا كان لديهم تمكين "تحرير الملف". هذه مخاطرة أمنية لأن أي شخص يمكنه الدخول وسيكون لديه سيطرة كاملة على بياناتك.

لتقليل خطر حدوث خرق أمني ، قم بتعطيل الوصول إلى رمز موقعك وتشغيله فقط عندما تحتاج إلى تحرير الملفات. لتعطيل تحرير الملف في مسؤول WordPress ، اتبع هذه الخطوات السهلة:

1. قم بتسجيل الدخول إلى لوحة التحكم One.com.

2. افتح File Manager ضمن Files & Security.

3. حدد موقع الملف wp-config.php وحدد المربع لتحديده.

4. انقر فوق تحرير في شريط القائمة أعلى الشاشة.

5. ابحث في wp-config عن تعريف ('DISALLOW_FILE_EDIT' ، عادةً ما يكون موجودًا في الأسفل.

6. إذا عثرت عليه ، فتحقق من ضبطه على "صحيح" (انظر أدناه). إذا لم يكن موجودًا ، فستحتاج إلى إضافته إلى أسفل الملف ، على النحو التالي:

تعريف ('DISALLOW_FILE_EDIT' ، صحيح) ؛

7. انقر فوق حفظ في الجزء العلوي من الشاشة.

نصيحة: إذا كنت تريد السماح مؤقتًا بتحرير الملف ، يمكنك ببساطة استبدال "صواب" بـ "خطأ". قم بتغييره مرة أخرى عند الانتهاء من التحرير.

10. الحد من محاولات تسجيل الدخول

يتيح WordPress للمستخدمين محاولة تسجيل الدخول عدة مرات كما يحلو لهم افتراضيًا. يتعرض موقع WordPress الخاص بك الآن لهجمات القوة الغاشمة. يحاول المتسللون كسر كلمات المرور عن طريق تسجيل الدخول بمجموعات مختلفة.

يمكن معالجة ذلك بسهولة عن طريق تقييد عدد محاولات تسجيل الدخول الفاشلة للمستخدم. إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقًا ، فسيتم الاهتمام بذلك تلقائيًا.

ومع ذلك ، إذا لم يكن لديك جدار حماية ، فستحتاج إلى إعداد واحد.

يمكنك تقييد محاولات تسجيل الدخول في WordPress بطريقتين:

1). الحد من محاولات تسجيل الدخول باستخدام البرنامج المساعد

2). الحد من محاولات تسجيل الدخول بدون مكون إضافي

11. اثنان عامل إذن

يجب على المستخدمين تسجيل الدخول باستخدام إجراء مصادقة من خطوتين عند استخدام منهجية المصادقة ذات العاملين. تتمثل الخطوة الأولى في إدخال معلومات تسجيل الدخول وكلمة المرور الخاصة بك ، والثانية هي المصادقة باستخدام جهاز أو تطبيق مختلف.

يمكنك تمكينه لحساباتك على مواقع الويب الأكثر شهرة ، مثل Google و Facebook و Twitter. يمكن إضافة نفس الإمكانية إلى موقع WordPress الخاص بك.

ازدادت متطلبات المصادقة الثنائية (2FA) مع الهجمات الإلكترونية الأخيرة. من خلال تمكين المصادقة الثنائية في WordPress ، يمكنك حماية موقع الويب الخاص بك أو مدونتك من المتسللين والوصول غير المصرح به. يمكنك تمكين المصادقة الثنائية (2FA) في WordPress باتباع طريقتين مختلفتين:

الطريقة الأولى: إضافة المصادقة الثنائية في WordPress

هذه طريقة موصى بها وهي سهلة حقًا لجميع المستخدمين. يتيح لك جعل حسابك أكثر أمانًا من خلال إعداد المصادقة ذات العاملين.

أولاً ، سيتعين عليك تثبيت وتفعيل المكون الإضافي WP 2FA - Two-factor Authentication.

بعد التنشيط ، تحتاج إلى زيارة المستخدمين »صفحة ملف التعريف الخاص بك والتمرير لأسفل إلى قسم" إعدادات WP 2FA لإكمال العملية.

الطريقة الثانية: إضافة المصادقة الثنائية باستخدام عاملين

لتمكين 2FA في WordPress عبر هذه الطريقة ، تحتاج إلى تثبيت وتفعيل المكون الإضافي Two Factor.

بعد تنشيط المكون الإضافي ، تحتاج إلى زيارة المستخدمين »صفحة الملف الشخصي والتمرير لأسفل إلى قسم الخيارات الثنائية واتباع التعليمات.

12. تغيير بادئة قاعدة بيانات WordPress

نظرًا لأن كل جزء من المعلومات الموجودة على موقع WordPress الخاص بك يتم الاحتفاظ به في قاعدة البيانات ، فهو الهدف المفضل للمتسلل. يتم استخدام أكواد حقن SQL الآلية بواسطة مرسلي البريد العشوائي والمتسللين. لسوء الحظ ، أثناء تثبيت WordPress ، يتجاهل العديد من الأفراد تحديث بادئة قاعدة البيانات. من خلال استهداف البادئة الافتراضية wp_ ، يمكن للقراصنة التخطيط لهجوم جماعي بسهولة أكبر. إن أذكى إستراتيجية لحماية قاعدة البيانات الخاصة بك هي تغيير بادئة قاعدة البيانات ، والتي من السهل جدًا تنفيذها على موقع جديد. ومع ذلك ، فإن تغيير بادئة قاعدة بيانات WordPress بشكل فعال لموقعك الحالي دون العبث به بالكامل يتطلب بضع خطوات.

13. حماية كلمة المرور مدير WordPress وصفحة تسجيل الدخول

يمكنك تعزيز أمان نقطة الوصول الأكثر أهمية لموقع الويب الخاص بك عن طريق قفل دليل مسؤول WordPress بكلمة مرور.

تعمل لوحة تحكم مسؤول WordPress بمثابة قلب موقع الويب الخاص بك. يمكنك استخدامه لإنشاء منشورات وصفحات ، وتغيير المظهر الخاص بك ، وتثبيت مكونات WordPress الإضافية ، والمزيد.

عندما يحاول المتسللون الوصول إلى موقع الويب الخاص بك ، فإنهم كثيرًا ما يستخدمون لوحة wp-admin. من خلال استخدام كلمة مرور آمنة وتقييد محاولات تسجيل الدخول ، يمكنك المساعدة في حماية موقع الويب الخاص بك من التهديدات المحتملة. تعد حماية دليل المسؤول الخاص بك بكلمة مرور طريقة ذكية لإضافة طبقة أخرى من أمان كلمة المرور إلى موقع الويب الخاص بك.

اتبع هذه الخطوات السهلة لحماية مدير WordPress الخاص بك بكلمة مرور

الخطوة 1: قم بتسجيل الدخول إلى cPanel وتحقق من علامة التبويب الملفات.

الخطوة 2: ابحث عن "خصوصية الدليل" وانقر فوقه.

الخطوة 3: قم بتحرير مجلد wp-admin.

الخطوة 4: تحمي كلمة المرور ملف wp-admin.

الخطوة الخامسة: إعداد المستخدم وكلمة المرور.

14. تعطيل فهرسة الدليل والاستعراض

يمكن للقراصنة استخدام تصفح الدليل لمعرفة ما إذا كان لديك أي ملفات بها ثغرات أمنية معروفة ، حتى يتمكنوا من استغلال هذه الملفات للوصول إليها.

يمكن للأفراد الآخرين استخدام تصفح الدليل لإلقاء نظرة على ملفاتك ونسخ الصور ومعرفة بنية الدليل الخاص بك والحصول على معلومات أخرى. نتيجة لذلك ، يُنصح بشدة بتعطيل فهرسة الدليل والتصفح.

يجب عليك الاتصال بموقع الويب الخاص بك عبر FTP أو مدير الملفات في cPanel. حدد موقع ملف .htaccess في الدليل الجذر لموقعك على الويب. بعد ذلك ، في نهاية ملف htaccess ، أضف السطر التالي:

خيارات جميع الفهارس

سيبدو الرمز المعدل كما يلي:

تذكر حفظ وإعادة تحميل ملف htaccess إلى موقعك.

15. قم بتعطيل XML-RPC في WordPress

نظرًا لأنه يساعد على دمج موقع WordPress الخاص بك مع تطبيقات الويب والجوال ، تم تمكين XML-RPC افتراضيًا في WordPress 3.5.XML-RPC يمكن أن يعزز بشكل كبير هجمات القوة الغاشمة نظرًا لطبيعته القوية.

على سبيل المثال ، إذا أراد أحد المتطفلين تجربة 500 كلمة مرور مختلفة على موقع الويب الخاص بك في الماضي ، فسيتعين عليهم القيام بـ 500 محاولة تسجيل دخول مميزة ، والتي سيحظرها المكون الإضافي لقفل تسجيل الدخول ويحظرها.

من ناحية أخرى ، يمكن للمتسلل استخدام النظام مع XML-RPC. باستخدام وظيفة المكالمات المتعددة ، يمكنك تجربة عشرات الآلاف من كلمات المرور المختلفة بأقل من 20 أو 50 طلبًا. نتيجة لذلك ، إذا كنت لا تستخدم XML-RPC ، نوصي بإيقاف تشغيله. يمكنك تعطيل XML-RPC باستخدام مكون إضافي أو يدويًا.

16. تسجيل الخروج تلقائيًا من Idle Users في WordPress

قد يبتعد المستخدمون الذين قاموا بتسجيل الدخول أحيانًا بعيدًا عن شاشاتهم ، مما يشكل خطرًا أمنيًا. يمكن لأي شخص التحكم في جلسته وتغيير كلمات المرور الخاصة به وتعديل حسابه.

هذا هو السبب في أن العديد من المواقع المصرفية والمالية تغلق المستخدمين العاطلين تلقائيًا. يمكن تنفيذ وظائف مماثلة على موقع WordPress الخاص بك أيضًا.

يجب تثبيت المكون الإضافي Inactive Logout وتنشيطه. لتهيئة إعدادات البرنامج المساعد ، انقر فوق الإعدادات »تسجيل الخروج غير النشط بعد التنشيط.

اضبط عداد الوقت ورسالة تسجيل الخروج وتكون قد انتهيت. لا تنس حفظ التغييرات بالنقر فوق الزر حفظ التغييرات.

17. أضف أسئلة الأمان إلى شاشة تسجيل الدخول إلى WordPress

يمكن منع الوصول غير المصرح به إلى منطقة إدارة WordPress بعدة طرق. من الصعب تحقيق توازن بين الأمان وتجربة المستخدم إذا كنت تدير موقعًا متعدد المستخدمين أو موقع عضوية WordPress.

قد يكون تضمين أسئلة الأمان على شاشة تسجيل الدخول مفيدًا. سيُطلب من المستخدمين الإجابة على سؤال أو أكثر يجب ألا يعرف المستخدمون الآخرون إجاباته قبل أن يتمكنوا من تسجيل الدخول إلى موقع WordPress الخاص بك. المصادقة الثنائية ، أو 2FA ، هي بديل. يعتبر هذا البديل أكثر أمانًا ، لكن إعداده يستغرق وقتًا أطول قليلاً.

18. فحص WordPress بحثًا عن البرامج الضارة ونقاط الضعف

إذا كان لديك مكون إضافي للأمان في WordPress مثبتًا ، فسيقوم بالبحث عن البرامج الضارة والأدلة على انتهاكات الأمان بانتظام.

إذا لاحظت انخفاضًا كبيرًا في حركة مرور موقع الويب أو تصنيفات البحث ، فيجب عليك إجراء فحص يدويًا. يمكنك استخدام أحد هذه البرامج الضارة وأجهزة فحص الأمان أو المكون الإضافي للأمان في WordPress.

من السهل استخدام عمليات الفحص عبر الإنترنت هذه ؛ ما عليك سوى إدخال عناوين URL لموقع الويب الخاص بك ، وستقوم برامج الزحف الخاصة بهم بالبحث في موقعك عن البرامج الضارة المعروفة والشفرات الضارة.

تذكر أن غالبية ماسحات الأمان في WordPress يمكنها فقط فحص موقع الويب الخاص بك. لن يتمكنوا من التخلص من العدوى أو تنظيف موقع WordPress المخترق.

فيما يلي أهم أسماء ماسحات أمان WordPress للكشف عن البرامج الضارة والقرصنة:

1. Sucuri SiteCheck

2. ماسح أمان IsItWP

3. التصفح الآمن من Google

4. WPSec

5. ScanWP

6. فحص أمان WordPress

7. WPrecon

8. قُترة

9. مفتش الويب

10. فاحص نقاط الضعف ووردبريس

11. UpGuard Cloud Scanner

12. URLquery URL الماسح

13. فايروس توتال

14. برنامج Norton Safe Web

19. إصلاح موقع ووردبريس تم اختراقه

لا يدرك العديد من مستخدمي WordPress ضرورة النسخ الاحتياطي وأمن موقع الويب حتى فوات الأوان.

يمكن أن يكون تنظيف موقع WordPress مستهلكًا للوقت وصعبًا. نصيحتنا الأولى هي تفويض المهمة إلى خبير.

يتم تثبيت الأبواب الخلفية بواسطة المتسللين على المواقع التي تم الاستيلاء عليها ، وإذا لم تتم إزالة هذه الأبواب الخلفية بشكل صحيح ، فمن المرجح أن يتم اختراق موقع الويب الخاص بك مرة أخرى.

يضمن السماح لشركة أمنية ماهرة لإصلاح موقع الويب الخاص بك أنه آمن للاستخدام مرة أخرى. كما أنه سيحميك من التهديدات المستقبلية.

20. تحديث السمات والإضافات الخاصة بك

الإضافات والمواضيع موجودة في نفس المركب. يجب تحديث المظهر الحالي ، بالإضافة إلى أي مكونات إضافية قمت بتثبيتها على موقعك. هذا يحميك من الثغرات الأمنية والأخطاء والانتهاكات الأمنية المحتملة.

بين الحين والآخر ، تمامًا كما هو الحال مع معظم منتجات البرامج ، قد يتم اختراق مكونات إضافية معينة أو يتم الكشف عن عيوب أمنية فيها. في الماضي ، كانت المكونات الإضافية مثل Ninja Forms و WooCommerce ، على سبيل المثال ، تعاني من مشكلات خطيرة.

لذا ، كيف تحافظ على تحديث السمات والإضافات الخاصة بك؟

أولاً ، دعنا نلقي نظرة على الإضافات. انتقل إلى الإضافات / الإضافات المثبتة لمشاهدة قائمة بكل الإضافات الخاصة بك. سيعلمك WordPress إذا لم يتم تحديث المكون الإضافي إلى الإصدار الأحدث:

لتحديث المظهر الخاص بك ، انتقل إلى المظهر / السمات ، حيث سترى قائمة بجميع السمات التي قمت بتثبيتها. سيتم تحديد المكونات التي لم تعد قيد الاستخدام بنفس الطريقة التي تم بها تحديد المكونات الإضافية. ما عليك سوى تحديد "تحديث الآن" من القائمة المنسدلة.

21. الحد من وصول المستخدم إلى موقعك

إذا لم تكن الشخص الوحيد الذي لديه حق الوصول إلى موقع الويب الخاص بك ، فاحذر عند إضافة مستخدمين جدد. يجب أن تحتفظ بكل شيء تحت سيطرتك وأن تسعى جاهدة لحظر أي شكل من أشكال الوصول للمستخدمين الذين لا يطلبون ذلك.

يمكنك تحديد وظائف المستخدمين وأذوناتهم إذا كان لديك عدد كبير منهم. يجب أن يكون لديهم فقط إمكانية الوصول إلى الميزات المطلوبة لهم للقيام بواجباتهم.

قد يساعدك فرض كلمات مرور قوية أيضًا في حل هذه المشكلة. يقترح WordPress كلمة مرور آمنة بشكل افتراضي ، لكنها لن تجبرك على تغييرها إذا اخترت كلمة مرور سيئة. لن يسمح لك هذا المكون الإضافي بالمتابعة ما لم تكن كلمة مرورك قوية بدرجة كافية.

قد يكون هذا حلاً جيدًا لكل شخص يأتي إلى المسؤول. إنها في الأساس طريقتك الوحيدة للتأكد من أنهم يستخدمون كلمات مرور قوية بنفس الطريقة التي تستخدمها.

22. حماية ملف wp-config.php

يعد ملف wp-config.php أحد أكثر ملفات موقعك أهمية ، وبالتالي فهو عرضة للتأثر به. يقوم بتخزين المعلومات والبيانات الحيوية حول تثبيت WordPress الخاص بك ككل. إنه أساس موقع WordPress الخاص بك. لن تتمكن من استخدام مدونتك بشكل طبيعي إذا حدث شيء فظيع لها.

شيء واحد بسيط يمكنك القيام به هو نقل ملف wp-config.php مجلد واحد فوق دليل WordPress الجذر الخاص بك. لن يكون لهذا التغيير أي تأثير على موقع WordPress الخاص بك ، لكن لن يتمكن المتسللون من العثور عليه بعد الآن.

23. قم بتغيير كلمات المرور الخاصة بك بانتظام

إن السماح بمحاولات غير محدودة لاسم المستخدم وكلمة المرور في نموذج تسجيل الدخول الخاص بك هو بالضبط ما يساعد المتسلل على النجاح. سيؤدي السماح لهم بتجربة عدد لا نهائي من المرات في النهاية إلى اكتشاف معلومات تسجيل الدخول الخاصة بك. لتجنب ذلك ، يجب عليك أولاً تحديد عدد المحاولات المتاحة. إن السماح بمحاولات غير محدودة لاسم المستخدم وكلمة المرور في نموذج تسجيل الدخول الخاص بك هو بالضبط ما يساعد المتسلل على النجاح. سيؤدي السماح لهم بتجربة عدد لا نهائي من المرات في النهاية إلى اكتشاف معلومات تسجيل الدخول الخاصة بك. لتجنب ذلك ، يجب عليك أولاً تحديد عدد المحاولات المتاحة.

يمكن استخدام بعض المكونات الإضافية المتخصصة للحد من عدد محاولات تسجيل الدخول المحتملة.

علاوة على ذلك ، يؤدي تغيير كلمات المرور بشكل متكرر إلى تقليل احتمالية اختراق أحد المتطفلين لموقعك. لا أعني "كل يوم" عندما نقول "بشكل متكرر" ... مرة واحدة كل 2-3 أشهر تكفي. بالنسبة لأولئك الذين يحاولون الاقتحام ، يفسد التنوع المرح.

كيف يمكن لـ VOCSO المساعدة؟

مع ظهور التقنيات الجديدة كل يوم ، من الصعب مواكبة أحدث التغييرات والتحسينات. نحن شركة رائدة في تطوير مواقع WordPress ونسعى جاهدًا لتوفير أفضل المنتجات والخدمات لعملائنا. إلى جانب تطوير مواقع ويب آمنة ببرمجة عالية الجودة ، فإننا نوفر أيضًا لعملائنا خدمات أخرى مثل إدارة مواقع الويب ، وإعادة تصميم مواقع الويب ، وتطوير تطبيقات الويب المخصصة ، وتطوير تطبيقات الأجهزة المحمولة ، وتحسين محرك البحث ، وحلول التسويق الرقمي الكاملة.

خاتمة

كما ترى ، هناك مجموعة متنوعة من التقنيات لتحسين أمان تثبيت WordPress الخاص بك. يعد استخدام كلمات المرور الذكية ، وتحديث الأساسي والإضافات ، واختيار خادم WordPress مُدار آمنًا ، مجرد بضع طرق للحفاظ على أمان موقع WordPress الخاص بك. بالنسبة للكثيرين منكم ، يعمل موقع WordPress الخاص بك كشركة ومصدر للأموال ، لذلك يجب أن تأخذ الوقت الكافي لاعتماد بعض أفضل الممارسات الأمنية المذكورة أعلاه بأسرع ما يمكن.

يعد تأمين موقع WordPress عملية مستمرة. نظرًا لتطور الهجمات الإلكترونية باستمرار ، يجب إعادة تقييمها بانتظام. ستظل المخاطر موجودة دائمًا ، ولكن يمكنك تخفيفها باستخدام ميزات أمان WordPress.

نأمل أن يكون هذا المنشور قد أعطاك فهمًا أفضل لأهمية تدابير الأمان في WordPress وكيفية وضعها في مكانها الصحيح.

إذا كنت تريد المزيد من الوضوح ، فبإمكان VOCSO مساعدتك في وضع دليل أمان موقع الويب هذا موضع التنفيذ !