6 نصائح أمنية لـ WordPress وأفضل الممارسات التي يجب على كل مالك موقع معرفتها

نشرت: 2021-05-31

يعد أمان WordPress أحد أهم الموضوعات لأي مالك موقع. سواء كنت تدير متجرًا للتجارة الإلكترونية أو 50 موقعًا للعميل ، فإن التعرض لخرق أمني يمكن أن يعني خسارة في الوقت والمال والمصداقية - كل الأشياء التي لا يريد أحد مواجهتها.

على الرغم من عدم وجود حل أمان "مقاس واحد يناسب الجميع" لكل موقع WordPress ، إلا أن هناك بعض أفضل الممارسات التي يمكن أن يكون لها تأثير كبير. في هذه المقالة ، سنشرح سبب اختراق المواقع في المقام الأول ، ومشاركة نصائح الأمان التي يسهل تنفيذها في سير عملك ، ونوضح لك كيف يمكن لـ Flywheel المساعدة (بخلاف الحفاظ على خادمك آمنًا). فيما يلي نظرة عامة سريعة.

اتبع أفضل ممارسات أمان WordPress هذه للحفاظ على أمان موقعك:

  • حافظ على تحديث السمات والإضافات وإصدار WordPress
  • تطبيق أفضل ممارسات اسم المستخدم وكلمة المرور
  • الحد من محاولات تسجيل الدخول
  • انقل عنوان URL الخاص بتسجيل الدخول إلى WordPress
  • استخدم المصادقة ذات العاملين
  • أضف CAPTCHA إلى النماذج الخاصة بك

هل أنت جاهز لتعزيز أمان موقع WordPress الخاص بك؟ لنبدأ من البدايه!

لماذا تتعرض مواقع WordPress للاختراق؟

قبل الانتقال مباشرة إلى أفضل ممارسات أمان WordPress ، قد يكون من المفيد فهم سبب اختراق مواقع الويب في المقام الأول. بشكل عام ، يميل المتسللون إلى استهداف مواقع الويب للأسباب التالية:

  • لإرسال رسائل البريد الإلكتروني العشوائية من خلال موقعك.
  • لسرقة معلوماتك ، مثل البيانات والقوائم البريدية وبطاقات الائتمان المخزنة وما إلى ذلك.
  • لخداع موقعك لتثبيت برامج ضارة على أجهزة المستخدمين (أو الخاصة بك).

على الرغم من أن الحدث الأمني ​​قد يبدو وكأنه هجوم شخصي ، إلا أنه غالبًا ما يكون جزءًا من مخطط أكبر ، مثل هجوم رفض الخدمة الموزع. بدلاً من استهداف موقع واحد ، قد يستهدف المتسللون البنية التحتية التي يعمل عليها موقعك ، مما يؤثر على العديد من المواقع في آنٍ واحد. لهذا السبب من المهم معرفة بعض معايير أمان WordPress الأساسية ، حتى لو كنت تدير موقعًا شخصيًا فقط.

بالإضافة إلى ما سبق ، قد يكون WordPress مستهدفًا على وجه التحديد ، وذلك ببساطة بسبب شعبيته الواسعة. نظرًا لأنه يشغّل الآن أكثر من 40٪ من جميع مواقع الويب ، فإن WordPress يمثل "مساحة كبيرة من الفرص" للمهاجمين عبر الإنترنت.

لكن هذا وحده لا ينبغي أن يكون مدعاة للقلق. WordPress عبارة عن نظام إدارة محتوى مفتوح المصدر به مجتمع مساهمين مكرسين ومشاركين للغاية ، مما يعني أن هناك عددًا كبيرًا من الأشخاص يعملون باستمرار لتحسين أمان النظام الأساسي.

أفضل ممارسات أمان WordPress

الحقيقة هي أن أي موقع ويب يمكن أن يواجه مشكلة أمنية في أي وقت ، وينطبق الشيء نفسه على المواقع التي تم إنشاؤها باستخدام WordPress. لحسن الحظ ، هناك العديد من أفضل الممارسات التي يمكنك تنفيذها لزيادة أمان مواقع WordPress الخاصة بك وجعل الأمر أكثر صعوبة على المتسللين في إفساد الأمور.

6 أفضل ممارسات أمان WordPress

1. حافظ على تحديث السمات والإضافات وإصدار WordPress

تتمثل إحدى أسهل الطرق لمنح موقعك تعزيزًا أمنيًا إضافيًا في تحديث كل شيء. على الرغم من أنه قد يكون من الممل مواكبة تحديثات المكونات الإضافية (خاصة إذا كنت تحاول إدارة العديد من مواقع WordPress الإلكترونية) يتم نشر هذه التحديثات لسبب (والذي غالبًا ما يكون متعلقًا بالأمان).

إذا اكتشف المطورون ثغرة أمنية في التعليمات البرمجية الخاصة بهم ، فعادةً ما يدفعون تحديثًا لإصلاحها. كلما طالت مدة استخدام موقعك للإصدار القديم ، زادت احتمالية استهدافه من قبل المتسللين.

على الرغم من أن الأمر قد يستغرق بعض الوقت ، إلا أن البقاء على اطلاع دائم بجميع المكونات الإضافية والسمات والتحديثات الأساسية لـ WordPress يعد طريقة رائعة للحد من مخاطر الأمان. إذا كنت تستخدم مضيف WordPress مُدارًا ، فيجب إجراء تحديثات WordPress تلقائيًا ، مما يساعدك على البقاء على اطلاع بآخر التحديثات الأساسية.

عندما يتعلق الأمر بالحفاظ على المكونات الإضافية محدثة ، فإن حلولًا مثل Smart Plugin Manager تتحقق تلقائيًا من المكونات الإضافية الخاصة بك للحصول على تحديثات في وقت محدد مسبقًا. باستخدام التعلم الآلي والاختبار المرئي ، يضمن Smart Plugin Manager أيضًا عدم تعطل موقعك عند حدوث التحديثات.

نصيحة احترافية: إذا كنت تدير تحديثات لمواقع عملاء متعددة ، فقد ترغب في التفكير في تجميع هذا العمل في حزمة أمان تبيعها على أساس متكرر ، وبهذه الطريقة تحصل على أموال مقابل هذه المهمة البسيطة ولكنها مملة!

2. تطبيق أفضل ممارسات اسم المستخدم وكلمة المرور

لا يوجد شيء جديد بخصوص نصيحة الأمان هذه ، لكنها تستحق التذكير تمامًا:

استخدم كلمات مرور فريدة. استخدم أسماء مستخدمين قوية. استخدم مدير كلمات المرور.

قراصنة لم يولدوا بالأمس ؛ إنهم يعرفون جميع كلمات المرور الأكثر شيوعًا وسيختبرون كل كلمة مرور باسم المستخدم "admin". لذا ، قم بمراجعة سريعة.

  • هل من الصعب تخمين أسماء المستخدمين الخاصة بك؟
  • هل كلمات السر الخاصة بك فريدة من نوعها؟
  • هل تم تحديث كلمات المرور الخاصة بك مؤخرًا؟

إذا كنت تشعر بالإرهاق من محاولة تذكر كل بيانات اعتماد تسجيل الدخول هذه ، فإنني أوصي بشدة باستخدام مدير كلمات المرور ، مثل 1Password. لن يساعدك فقط في إنشاء بيانات اعتماد معقدة وتخزينها ، بل يجعل تسجيل الدخول إلى المواقع أمرًا سهلاً. (خاصة إذا كنت تعمل مع فريق!)

3. الحد من محاولات تسجيل الدخول

الآن وقد تم تعزيز بيانات اعتماد تسجيل الدخول الخاصة بك ، خذ أمان تسجيل الدخول الخاص بك خطوة إلى الأمام عن طريق الحد من محاولات تسجيل الدخول! هذه واحدة من أفضل الطرق للدفاع ضد هجمات القوة الغاشمة التي تحاول الوصول إلى موقعك.

للحد من محاولات تسجيل الدخول ، يمكنك استخدام مكون إضافي مثل Limit Login Attempts ، والذي سيمنع أي محاولة لتسجيل الدخول إلى موقعك بعد ثلاثة أخطاء ، مما يؤدي إلى منعه لمدة عشرين دقيقة.

الحد من محاولات تسجيل الدخول للحفاظ على موقعك آمنًا

بالتأكيد ، قد يعيقك الأمر إذا نسيت كلمة مرورك ، ولكن هذا هو الغرض من مديري كلمات المرور ، هل تتذكر؟

4. انقل عنوان URL لتسجيل الدخول إلى WordPress

هناك طريقة أخرى لجعل موقع WordPress الخاص بك أكثر أمانًا وهي تغيير صفحة تسجيل الدخول. من المعروف أنه لتسجيل الدخول إلى موقع ما ، ما عليك سوى إضافة /wp-admin إلى نهاية عنوان URL. من خلال تغيير الارتباط ، فإنك تخفي بشكل فعال مدخل موقعك ، مما يجعل من الصعب على المتسللين العثور عليه.

هناك العديد من الطرق التي يمكنك من خلالها تغيير عنوان URL لتسجيل الدخول الخاص بك ، ولكن البرنامج المساعد WPS Hide Login يعد مكانًا جيدًا للبدء! لا تنس فقط ما قمت بتغيير عنوان URL إليه ، وتذكر مشاركته مع أي متعاونين أو عملاء آخرين في الموقع.

5. استخدم المصادقة ذات العاملين

هناك طريقة أخرى رائعة لجعل بيانات الاعتماد الخاصة بك أكثر أمانًا وهي استخدام المصادقة ذات العاملين. تعمل طريقة الأمان هذه بمثابة كلمة مرور ثانية مؤقتة يتم تحديثها كل 30 ثانية أو نحو ذلك. للوصول إلى موقعك ، سيتعين على المتسللين تخمين كل من كلمة المرور الحقيقية ورمز الأمان المؤقت خلال هذا الإطار الزمني الذي يبلغ 30 ثانية ، مما يزيد بشكل كبير من فرص حظرهم!

تعد المصادقة ذات العاملين رائعة لأنه يمكنك استخدامها مع مجموعة متنوعة من عمليات تسجيل الدخول المتعلقة بالمواقع التي تديرها. على سبيل المثال ، يتيح لك Flywheel تمكين المصادقة الثنائية على حساب الاستضافة الخاص بك ، ويمكنك أيضًا إضافته إلى مواقع WordPress الفردية.

6. إضافة كلمة التحقق إلى النماذج الخاصة بك

كما جمعت على الأرجح ، فإن إغلاق صفحة تسجيل الدخول إلى موقعك أمر مهم للغاية. ومع ذلك ، هذا ليس النموذج الوحيد الذي يجب التركيز عليه. لا تنس تعليقات المدونة أو صفحات الخروج أو أي نموذج مفتوح آخر على موقع الويب الخاص بك!

يوفر كل نموذج من هذه النماذج فرصًا للمتسللين لإرسال معلومات إلى موقعك ، مثل الروابط الضارة في أحد التعليقات. حتى لو لم يؤثر ذلك بشكل مباشر على أداء موقعك ، فإن وجود روابط مشبوهة سيخلق تجربة مستخدم مربكة ، وقد يضر بعملك.

لمنع هذا النوع من النشاط ، يمكنك تثبيت مكون إضافي لبرنامج WordPress مثل Google Captcha (reCAPTCHA) بواسطة BestWebSoft.

يعد أمان WordPress موضوعًا مهمًا يجب على كل مالك موقع فهمه ، وعلى الرغم من أنه مجال تركيز دائم التطور ، يجب أن توفر النصائح وأفضل الممارسات المذكورة أعلاه أساسًا قويًا للحفاظ على مواقع WordPress الخاصة بك آمنة ومأمونة.