15 خطوة أساسية لتأمين WordPress ضد هجمات البرامج الضارة

نشرت: 2020-08-27

يعد تأمين مواقع WordPress الإلكترونية من المتسللين وتعزيز أمانها خطوة حاسمة نحو رحلتك في العمل مع البرنامج. يجب التغلب على الثغرات الأمنية في WordPress حتى لا يتمكن المتسللون من استغلال الملكية الفكرية للمبدعين.

لكن في كثير من الأحيان ، يتجاهل الأفراد والشركات على حد سواء القضايا الأمنية ولا يعتبرونها مصدر قلق يحتاج إلى معالجة. يحتاج المرء أن يفهم أن هذا هو بالضبط عكس ما يجب القيام به - فالأمن له أهمية قصوى.

قد يفترض المرء أنه نظرًا لأنه ببساطة ليس لديهم الوقت ، يمكن التغاضي عن الأمان كعنصر. أو قد يبدو الأمر معقدًا للغاية بحيث يتعذر اكتشافه وبالتالي لا يتم دمجه مطلقًا في موقع الويب على الإطلاق.

هناك شيء واحد يجب توضيحه - تجهيز WordPress بالأمان سهل للغاية. تابع القراءة لمعرفة كيف يعمل!

1. استثمر في شركة استضافة موثوقة

على الرغم من أنه قد يكون من المغري كمبتدئ اختيار مزود استضافة رخيص ، فإن أفضل طريقة لتعزيز أمان موقع WordPress الخاص بك هي اختيار واحد يوفر أمانًا متعدد الأبعاد على مستوى الخادم.

يوفر الاستثمار في منصة استضافة ويب موثوقة وآمنة العديد من المزايا الأخرى مثل النسخ الاحتياطي التلقائي والتثبيت المجاني لـ WordPress ، أيضًا!

2. تبادل الأفكار بأسماء مستخدمين وكلمات مرور قوية

إن امتلاك اسم المستخدم الافتراضي لموقع WordPress الخاص بك عمليًا هو دعوة للمتسللين لكز موقعك والوصول إلى صفحة تسجيل الدخول الخاصة بك بسهولة.

يؤدي استخدام اسم مستخدم وكلمة مرور صعبة وفريدة من نوعها ويصعب اختراقها إلى حماية موقع الويب الخاص بك من المتسللين الذين يستخدمون "هجمات القوة الغاشمة" - وهي الطريقة التي يحاولون من خلالها تخمين المسؤول وكلمة المرور لموقع الويب الخاص بك باستخدام البرامج النصية الآلية.

3. تخصيص عنوان URL لتسجيل الدخول

يوصى بتغيير عنوان URL الافتراضي الخاص بك لحمايته من التهديدات.

يُسمح لك بالتخصيص وجعله أكثر أمانًا وغير قابل للكسر. لهذا ، قد تأتي بعنوان URL مخصص مثل my_custom_login. أو ، هناك خيار آخر وهو تثبيت iThemes Security Plugin - يؤدي هذا تلقائيًا إلى تغيير عناوين URL الخاصة بتسجيل الدخول.

4. تثبيت مكون إضافي للأمان قوي

فيما يلي بعض المكونات الإضافية التي يمكنك تثبيتها -

  1. إيثيميس
  2. الكل في واحد WP Security & Firewall
  3. شيلد سيكيوريتي
  4. Wordfence

يأتي كل من هذه المكونات الإضافية مع ميزات معينة ترفع مستوى أمان موقعك إلى مستوى أعلى. لا يحتاجون إلى الكثير من الوقت أو المهارة لأن لديهم معالجات تكوين خطوة بخطوة لمساعدتك خلال العملية.

5. تأمين دليل wp-admin

واحدة من أهم الخطوات المتضمنة في ضمان أمان WordPress هي حماية دليل wp-admin. لوحة تحكم المسؤول هي ما يستهدفه المتسللون ، وبالتالي يجب تأمينها.

من الممارسات الجيدة استخدام كلمة مرور لحماية دليل wp-admin. نتيجة لذلك ، يتعين على مالك موقع الويب إرسال كلمتين من كلمات المرور المختلفة إذا كان يريد الوصول إلى لوحة التحكم الخاصة به - واحدة لصفحة تسجيل الدخول والأخرى لقسم المسؤول.

6. إجراء عمليات فحص البرامج الضارة بانتظام

يوصى بإجراء فحص سريع للبرامج الضارة لموقعك إذا لاحظت بعض الانخفاضات في حركة المرور الواردة أو أي مشكلات أخرى في الأداء أو غير ذلك بشكل عام.

هناك العديد من الأدوات المتاحة عبر الإنترنت مثل VirusTotal والتي يمكنها إجراء الفحص نيابة عنك.

7. قم بتحديث برامج WordPress والإضافات الخاصة بك

تمامًا كما يتم تحديث التطبيقات والبرامج الموجودة على هاتفك تلقائيًا بشكل منتظم ، فمن الضروري أن تفعل الشيء نفسه مع برنامج WordPress وجميع المكونات الإضافية ذات الصلة.

وهذا يضمن أعلى مستويات الأمان ويلغي التهديدات.

8. استخدم أحدث إصدار من PHP

من المحتمل أن يكون الإصدار القديم من PHP الذي يستخدمه موقعك ضارًا بأمانه. قم بتحديث إصدار PHP إلى 7.4.5 ، وهو الإصدار المستخدم حاليًا.

بصرف النظر عن تعزيز الأمان ، سيؤدي تحديث PHP أيضًا إلى زيادة أداء موقع WordPress الخاص بك.

9. تمكين المصادقة الثنائية

لتعزيز أمنك بشكل أكبر ، يمكنك إرفاق مكون إضافي للمصادقة الثنائية. يؤدي هذا أيضًا إلى حظر جميع عناوين IP التي تحتوي على أكبر عدد من عمليات تسجيل الدخول الفاشلة.

على الرغم من أنها تستغرق وقتًا طويلاً ، إلا أن المصادقة الثنائية (2FA) هي واحدة من أفضل الطرق لضمان الأمان على موقع الويب الخاص بك. يوصى باستخدام البرنامج المساعد المعروف باسم Wordfence لتمكين 2FA الذي يساعدك في الوصول إلى رمز العامل من بريدك الإلكتروني.

10. قم بالترقية من HTTP إلى HTTPS

طبقة مآخذ توصيل واحدة أو SSL تعني ضمنيًا أن الموقع الذي تستخدمه وأن المعاملات التي تتم عليه آمنة. تجعل شهادة SSL عنوان URL الخاص بك يبدأ بـ https: // بدلاً من http: //.

هذا يؤكد لمحركات البحث مثل Google أن موقع الويب موثوق به ويساعده في ترتيب أفضل من البقية عند نشر المحتوى.

11. تسجيل خروج مستخدمي WordPress العاطلين

إذا ابتعدت أنت أو موظفوك في وقت معين عن رابط WordPress المفتوح لفترة طويلة ، فإليك التهديدات المحتملة للأمان:

  1. قد يتم اختراق الموقع من قبل أولئك الذين لديهم نوايا ضارة.
  2. قد يقوم شخص ما بتغيير تسجيل الدخول ، وبالتالي تعطيل وصولك.
  3. بمجرد دخول شخص ما ، يمكنه إجراء تغييرات جذرية.

لمنع حدوث شيء كهذا ، قم بإزالة المستخدمين غير النشطين على موقعك لفترات طويلة من الزمن.

12. قم بتعطيل XML-RPC

ملفات XML-RPC مطلوبة لربط موقعك بتطبيقات الويب والجوال.

على الرغم من فائدته ، إلا أن المتسللين تمكنوا من استخدام هذا لتقوية هجماتهم الوحشية.

يؤدي تثبيت Brute Force Protection مع مكون إضافي آخر إلى منع محاولات تسجيل الدخول عن طريق عناوين IP متعددة - يمكن للمتسلل محاولة اختراق موقع الويب الخاص بك 100 مرة ، ويتم حظر عنوان IP الخاص به عدة مرات.

13. الحد من عدد محاولات تسجيل الدخول

تسمح صفحة تسجيل الدخول الافتراضية للمستخدم بتسجيل الدخول عدة مرات كما يشاء حتى يتمكن المستخدم الأصلي في النهاية من الوصول.

يمكن أن يؤدي إرفاق المكوّن الإضافي Limit Login Attempts الذي تم إعادة تحميله إلى منع عدد المرات التي يمكن فيها للمتسلل المحتمل محاولة تسجيل الدخول وبالتالي الوصول إلى موقع الويب الخاص بك.

14. الحد من التحكم في الوصول

الأجزاء الأكثر عرضة للتهديدات من موقع الويب الخاص بك هي ملفات index.php و function.php و wp-config.php. يعد ملف wp-config.php على وجه الخصوص ضعيفًا للغاية لأنه يمكن أن يسهل عدة هجمات على موقعك.

لمنع هذا ، يمكنك إخفاء هذه الملفات وتعطيل أي عناصر تحكم لتحريرها.

15. قم بتمكين بعض أسئلة الأمان لتسجيل الدخول الخاص بك

يضيف تمكين أسئلة الأمان لتسجيل الدخول طبقة إضافية من الأمان عندما لا تتمكن من تذكر بيانات اعتماد تسجيل الدخول الخاصة بك. يمكن أن تتراوح في أي مكان من "ما هو اسم والدتك قبل الزواج" إلى "ما هو اسم أول حيوان أليف لك". بشكل أساسي ، يجب أن تعرف أنت فقط كمستخدم الإجابة على هذه الأسئلة.

ختم DigiproveThis content has been Digiproved © 2020-2021 Tribulant Software