أفضل 5 إضافات أمان في WordPress لأمان الموقع بالكامل

نشرت: 2020-11-16

يجب أن يكون أمان موقع WordPress الخاص بك أحد أهم اهتماماتك كمسؤول موقع. ومع ذلك ، لا يوجد شيء مثل نهج "الإعداد والنسيان" مع الأمان. في الواقع ، يجب أن تشكل الترتيبات الأمنية الخاصة بك جزءًا من عملية لا تنتهي أبدًا. تحتاج إلى تقوية ، ومراقبة ، وتحسين ، واختبار ترتيبات أمان WordPress الخاصة بك باستمرار.

عندما يتعلق الأمر بأفضل المكونات الإضافية للأمان في WordPress ، عليك أن تضع في اعتبارك أنه لا يوجد مكون إضافي "مقاس واحد يناسب الجميع". إن تأمين موقع الويب الخاص بك هو أكثر بكثير من مجرد تثبيت جدار حماية واحد أو مكون إضافي لهذا الأمر. بدلاً من ذلك ، تحتاج إلى مجموعة شاملة من المكونات الإضافية للأمان التي تلبي احتياجات مجالك المحدد.

في هذه المقالة ، سنحدد الأركان الخمسة للأمان التي يجب أن تستثمر فيها للحفاظ على أمان موقعك. سنحدد بعد ذلك المكونات الإضافية للأمان في WordPress التي توفر أفضل الحلول لكل من هذه الركائز. لذلك يمكنك اتباع نهج شامل لأمن WordPress.

استخدام مكونات إضافية متعددة لضمان أمان موقع WordPress الخاص بك

كما ذكرنا ، يعد أمان WordPress مشكلة معقدة يجب حلها. وبالتالي ، فأنت بحاجة إلى تنفيذ حل متعدد الطبقات. لسوء الحظ ، يتم تسويق العديد من المكونات الإضافية للأمان على أنها "رصاصة فضية" لمخاوف أمان WordPress الخاصة بك. ولكن عندما تنظر إلى عدد الطرق التي يمكن أن يستخدمها المستخدمون الضارون لخرق أمان مواقع WordPress ، فمن الواضح أنك بحاجة إلى العديد من المكونات الإضافية المميزة. تم تصميم كل منها لمعالجة تهديدات محددة.

يتطلب هذا النهج متعدد الطبقات لأمن WordPress خمس ركائز أساسية:

  1. ماسح ضوئي لجدار الحماية / البرامج الضارة
  2. البرنامج المساعد لتسجيل النشاط
  3. مكون إضافي لأمن كلمة المرور
  4. مكون إضافي لتمكين المصادقة الثنائية
  5. ملف يغير البرنامج المساعد مراقب

كما ترى ، كل مكون إضافي له غرض محدد يتعلق بأمان موقعك. لنبدأ بالاستكشاف بمزيد من التفصيل عن أفضل برامج فحص جدار الحماية / البرامج الضارة ، ومعرفة سبب أهمية كل من هذه المكونات الإضافية لأمان موقع WordPress الخاص بك.

مكون إضافي لجدار الحماية / الماسح الضوئي للبرامج الضارة

تصور جدار حماية WordPress

كانت جدران الحماية موجودة منذ عقود. على المستوى الأساسي ، يعد جدار الحماية جزءًا من برنامج الأمان الذي يعمل كحاجز بين شبكة موثوقة وغير موثوق بها (تشير الشبكة إلى البنية التحتية للإنترنت التي تستخدمها للوصول إلى موقع ويب مثل Airport Lounge Wi-Fi). في الآونة الأخيرة ، تمت إضافة جدران الحماية إلى جدران حماية تطبيقات الويب (WAF) ، والتي تحمي تطبيقات معينة مثل WordPress.

جدار حماية WordPress عبارة عن جدار حماية لتطبيق الويب تم تكوينه خصيصًا لحماية مواقع WordPress. يتم فحص كل طلب يتم تقديمه للوصول إلى موقع ما للتأكد من أنه ليس ضارًا أو خطيرًا. يقوم جدار الحماية بذلك عن طريق التحقق مما يُعرف بالتوقيع في الطلب للتأكد من أنه لا يتطابق مع تلك المعروفة بأنها مرتبطة بأنشطة ضارة.

تخيل لثانية أن موقع الويب الخاص بك هو ملهى ليلي. يلعب جدار الحماية دور الحارس على الباب. يحتفظون بقائمة بالأسماء (التوقيعات) المرتبطة بالسلوك الإشكالي ، ولا يُسمح لهؤلاء الأفراد بالدخول تحت أي ظرف من الظروف.

عندما يقدم شخص ما بطاقة هوية ، يقوم الحارس بإحالة اسم المعرّف إلى قائمة الأفراد المحظورين. إذا تطابق المعرّف مع أحد الأسماء الموجودة في القائمة ، فسيتم رفضها ، وبالتالي حماية ملهى ليلي (موقع الويب). يتم تحديث قائمة الأسماء (التوقيعات) كل ليلة للحفاظ على حماية ملهى ليلي (موقع الويب) من مثيري الشغب الجدد.

على النقيض من ذلك ، يمكن أن تساعدك أدوات فحص البرامج الضارة في التحقق من موقع الويب الخاص بك بحثًا عن مخاطر الأمان الشائعة الأخرى. على سبيل المثال ، يمكنهم البحث عن التعليمات البرمجية الضارة والروابط المشبوهة وعمليات إعادة التوجيه المشبوهة وإصدارات WordPress القديمة ، على سبيل المثال لا الحصر. تجمع العديد من مكونات WordPress الإضافية بين قدرات فحص جدار الحماية والبرامج الضارة.

منصة جدار الحماية والأمن Sucuri على الإنترنت

يعد جدار الحماية Sucuri بالفعل اسمًا صناعيًا راسخًا ، ويُعتبر على نطاق واسع أحد أفضل المكونات الإضافية لأمان WordPress من جميع النواحي. لا يعمل فقط كجدار حماية لتطبيق الويب لإيقاف المتسللين وهجمات DDoS في مساراتهم ، ولكن منصة الأمان Sucuri الكاملة توفر أيضًا عمليات مسح شاملة للبرامج الضارة لموقع الويب الخاص بك بحثًا عن عناصر مثل التعليمات البرمجية الضارة.

كما يتحقق من موقع الويب الخاص بك على العديد من أدوات القائمة السوداء لأسماء النطاقات (بما في ذلك التصفح الآمن من Google) ويرتب أي إجراءات يتخذها المتسللون الذين تمكنوا من اختراق دفاعاتك.

Malcare WordPress جدار الحماية والمكوِّن الإضافي للماسح الضوئي للبرامج الضارة

شركة مالكير رائدة أخرى في هذا المجال. تم تطوير Malcare بشكل أساسي كمكوِّن إضافي لفحص البرامج الضارة ، ويقوم بمسح وتنظيف موقع الويب تلقائيًا بشكل مستمر. والأفضل من ذلك ، أن عملية التنظيف التلقائي تتم على خوادمهم لمنع التداخل مع سرعات تحميل موقعك.

كل شيء مع Malcare يحدث في الوقت الحقيقي. يتم تحديث تواقيع الهجوم بانتظام للحماية من الهجمات سريعة التطور وثغرات يوم الصفر. تخترق خوارزميات Malcare أيضًا أعمق من التوقيعات وحدها لاكتشاف أكثر الاختراقات تعقيدًا ، والقضاء عليها في غضون 60 ثانية.

مكون إضافي لسجل النشاط

تعد عمليات تسجيل الدخول غير الآمنة إلى WordPress إحدى أسهل الطرق التي يمكن للقراصنة من خلالها الحصول على دخول خلفي إلى موقعك. إذا لم تكن لديك فكرة عن الإجراءات التي يتخذها المستخدمون ، فقد يكون من المستحيل معرفة ما إذا كان حساب المستخدم قد تعرض للخطر.

لتتبع التغييرات الحيوية التي تم إجراؤها على موقع الويب الخاص بك قبل فوات الأوان ، تحتاج إلى تثبيت مكون إضافي لتتبع النشاط مثل WP Activity Log. يحتوي على مجموعة من الميزات التي تحمي موقع الويب الخاص بك من الدخلاء الخبثاء الذين حاولوا التسلل تحت الرادار. العلامات التجارية الرائدة مثل Amazon و Disney و Bosch و Intel تستخدمه بالفعل.

باستخدام المكون الإضافي WP Activity Log ، يمكنك:

  • احصل على إشعار فوري بالتغييرات المهمة التي تطرأ على موقع الويب الخاص بك عبر الرسائل القصيرة أو البريد الإلكتروني.
  • قم بإنشاء أي نوع من تقارير نشاط المستخدم والموقع لزيادة المساءلة.
  • تعرف على من قام بتسجيل الدخول ، جنبًا إلى جنب مع أحدث إجراءاته في الوقت الفعلي.
  • ابحث عن نشاط معين للكشف عن من قام به ومتى.
  • تخزين سجل النشاط في قاعدة بيانات خارجية.
  • ادمج سجل النشاط مع ملحقات الطرف الثالث مثل WooCommerce و WPForms وغيرها الكثير.

احصل على الإصدار التجريبي المجاني لمدة 14 يومًا وشاهده أثناء العمل هنا.

مكون إضافي لأمن كلمة المرور

WPassword

أمان كلمة المرور له أهمية حيوية. كلمة مرور واحدة ضعيفة يمكن أن تعرقل موقعك بالكامل. تخيل للحظة أنك تدير متجرًا كبيرًا للتجارة الإلكترونية ، ويستخدم المتسلل برنامجًا آليًا للقوة الغاشمة لتخمين كلمة المرور لأحد أدوار مستخدم المسؤول.

إذا لم يكن لديك مكون إضافي لسجل النشاط أو ماسح ضوئي للبرامج الضارة مثبتًا ، فيمكنهم إدراج رمز ضار يحصد بيانات مدفوعات العملاء من كل معاملة. قد يكون لخرق البيانات بهذا الحجم والطبيعة نتائج مروعة لعملك عبر الإنترنت.

وفقًا لـ Verizon 1 ، 81٪ من خروقات البيانات ناتجة عن كلمات مرور مُخترقة وضعيفة ومعاد استخدامها. وبالتالي ، يجب عليك إجبار المستخدمين على استخدام كلمات مرور قوية لا يمكن اختراقها لتقنيات القوة الغاشمة.

عن طريق تثبيت WPassword ، يمكنك فرض سياسة كلمة المرور على المستخدمين والتي تضمن:

  • الحد الأدنى من أطوال كلمة المرور.
  • الاستخدام الإلزامي لكل من الأحرف الكبيرة والصغيرة.
  • شرط استخدام الأرقام.
  • الاستخدام الإجباري للأحرف الخاصة.
  • كثرة تغيير كلمات المرور.
  • منع إعادة استخدام كلمات المرور.

يمكنك أيضًا تكوين المكون الإضافي لتعيين سياسات كلمات المرور استنادًا إلى أدوار المستخدم أو لإغلاق المستخدمين الكامنين الذين يمثلون أعلى مخاطر لأمان WordPress الخاص بك. أخيرًا ، في حالة الاختراق المؤسف ، يمكنك استخدام هذا المكون الإضافي لإجراء إعادة تعيين لجميع كلمات المرور بنقرة واحدة.

لمعرفة المزيد حول أدوار المستخدم ، راجع دليلنا حول كيفية استخدام أدوار مستخدم WordPress لتحسين أمان WordPress.

مكون إضافي لتمكين المصادقة الثنائية

المكون الإضافي للمصادقة الثنائية (2FA) في WordPress

في بعض الأحيان ، لا يهم مدى قوة كلمات المرور الخاصة بك. يمكن للمتسلل الوصول بسرعة إلى موقع الويب الخاص بك باستخدام بيانات اعتماد تسجيل دخول المستخدم المسروقة. إذا قمت بتشغيل مدونة WordPress ، فيمكن لمنشئي المحتوى الخاص بك كتابة كلمات المرور الخاصة بهم على الملاحظات اللاصقة وقد تقع هذه في الأيدي الخطأ. قد تذهب كل تلك الأشهر وسنوات العمل لترتيب المقالات لموقع الويب الخاص بك هباءً إذا قاموا بإزالة جميع مشاركاتك ذات الأداء الأعلى.

هذا هو السبب في أنه من المنطقي أن يكون لديك تدبير أمني آمن من الفشل في شكل مصادقة ثنائية (2FA). من خلال تمكين المصادقة الثنائية (2FA) على موقع الويب الخاص بك ، يمكنك إجبار المستخدمين على تعريف أنفسهم عن طريق طلب شيء يعرفه المستخدم فقط أو يمتلكه في حوزته. من خلال طلب رقم تعريف شخصي إضافي ، أو رمز من جهاز أو تطبيق آخر ، يمكنك إيقاف المتسللين والروبوتات التي تحاول استخدام بيانات اعتماد تسجيل الدخول لأحد المستخدمين لديك.

يسمح المكون الإضافي WP 2FA المجاني لمشرفي مواقع WordPress بإضافة مصادقة ثنائية إلى عمليات تسجيل الدخول إلى مواقعهم. يدعم البرنامج المساعد عدة بروتوكولات 2FA مختلفة ويمكن للمستخدمين إعدادها في غضون ثوانٍ.

ملف يغير البرنامج المساعد أو البرنامج المساعد لمراقبة سلامة الملف

البرنامج المساعد WordPress File Integrity Monitor

بغض النظر عن نوع موقع الويب الذي تديره ، فأنت بحاجة إلى معرفة أي تغييرات تم إجراؤها على الملفات الهامة حيث يمكن أن يكون لها تداعيات خطيرة. معظم تغييرات الملفات غير ضارة أو تحسينات مرغوبة. ومع ذلك ، في حالات أخرى ، يمكنهم فتح دفاعات موقع الويب الخاص بك ، عن غير قصد أو غير ذلك.

على سبيل المثال ، حتى التغييرات الروتينية على ملف htaccess الخاص بك يمكن أن تمهد الطريق للقراصنة لإعادة توجيه محركات البحث من موقعك إلى عنوان URL آخر. قد تكون الحالة الأخرى عندما يترك مسؤول قاعدة البيانات نسخة احتياطية لقاعدة بيانات MySQL ( .sql ) على موقع الويب ، مما يسمح للمهاجم بتنزيل قاعدة بيانات WordPress بالكامل.

بدون وجود نظام تنبيه ، قد لا تدرك أنه تم إجراء هذه التغييرات. آخر شيء تريد القيام به هو إعطاء الوقت والمجال لمن لديهم نوايا خبيثة للكشف عن نقاط الضعف في أمان موقع WordPress الخاص بك.

من خلال تثبيت البرنامج المساعد Website File Changes Monitor لـ WordPress ، يمكنك التأكد من عدم حدوث تغييرات ضارة في الملفات عبر الشبكة. يتيح لك هذا المكون الإضافي المجاني تلقي إشعارات في الوقت الفعلي بتغييرات الملفات على موقع الويب الخاص بك. يمكنك أيضًا استخدام المكون الإضافي للبحث عن الملفات المتبقية والنسخ الاحتياطي التي تحتوي على معلومات حساسة تركها المطورون قبل أن يلتقطها المتسللون.

أخيرًا ، يسمح لك المكون الإضافي Website File Changes Monitor بفحص أي نوع من ملفات كود موقع الويب للكشف عن أي تغييرات في التعليمات البرمجية الضارة في حالة الاشتباه في حدوث اختراق.

أفضل ملحقات أمان WordPress للأمان الكامل

أمن ووردبريس عملية مستمرة. سواء كنت تدير مدونة ذات حركة مرور عالية أو متجرًا مزدهرًا للتجارة الإلكترونية ، فإن التهديدات التي يتعرض لها موقعك ثابتة. لهذا السبب يتعين عليك الاستمرار في اختبار وتكرار دفاعاتك للتأكد من أنها على مستوى المهمة.

كما يتطلب أيضًا نهجًا متعدد الطبقات ، مع العديد من الزوايا المحتملة للهجوم التي يستخدمها المتطفلين الأشرار. بدلاً من تنفيذ مكون إضافي أو جدار ناري واحد ، من الأفضل استخدام أجزاء متعددة متداخلة من البرامج لضمان أمان موقع WordPress الخاص بك.

لهذا السبب نوصيك بتثبيت ما يلي على موقعك:

  1. ماسح ضوئي لجدار الحماية / البرامج الضارة (Sucuri Firewall أو Malcare)
  2. مكون إضافي لسجل النشاط (WP Activity Log)
  3. مكون إضافي لأمان كلمة المرور (WPassword)
  4. مكون إضافي لتمكين المصادقة الثنائية (WP 2FA)
  5. البرنامج المساعد لمراقبة سلامة الملفات (مراقب تغييرات ملفات موقع الويب لبرنامج WordPress)

المراجع المستخدمة في هذه المقالة [ + ]

المراجع المستخدمة في هذه المقالة
1 https://blog.lastpass.com/2019/05/passwords-still-problem-according-2019-verizon-data-breach-investigations-report/