أمان WordPress: كيفية حماية موقعك من المتسللين

سواء كنت تطلق موقعًا تجاريًا أو متجرًا عبر الإنترنت أو مدونة هواية ، يوفر WordPress المرونة وسهولة الاستخدام والوظائف المتقدمة التي ستساعد في تحقيق نجاح ساحق.

ولكن قبل أن تصبح جاهزًا للبث المباشر ، اقض بضع دقائق في التفكير في الأمان. قم بحماية موقعك قدر الإمكان للحفاظ على سلامته من المتسللين والعمل للجماهير والعملاء في جميع الأوقات.

لماذا يعد أمان WordPress مهمًا؟

يخبر موقع الويب الخاص بك زوار موقعك من أنت ونوع المحتوى والخدمات التي تقدمها وما يمكن أن يتوقعوه من علامتك التجارية. إنه مكان لترك انطباع أول رائع وبناء الثقة والولاء مع المعجبين الحاليين.

لهذا السبب من المهم جدًا التأكد من أن موقع الويب الخاص بك يعمل في جميع الأوقات. إذا تضمنت فجأة روابط لبرامج ضارة ، أو بدأت في العمل ببطء شديد بعد الاختراق ، أو أصبحت غير متصلة بالإنترنت تمامًا ، فسيؤثر ذلك على سمعتك.

إذا تم اختراق موقعك ، فقد تخسر المال بسبب انخفاض المشاهدات أو المبيعات أو مرات ظهور الإعلان. قد تكون هناك تكاليف متضمنة في إعادته إلى حالة عمل جيدة. قد تفقد أيضًا التصنيفات في محركات البحث - أحيانًا بشكل دائم. لذلك ، لتوفير المال (وحفظ ماء الوجه!) تأكد من أن موقع الويب الخاص بك مغلق وآمن.

كيف يتم اختراق مواقع WordPress؟

أصدرت Google مؤخرًا قائمة بأفضل الطرق التي يصل بها المتسللون إلى مواقع الويب. دعونا نلقي نظرة على القليل من هؤلاء بالتفصيل:

كلمات المرور المخترقة

تعد هجمات القوة الغاشمة إحدى أكثر الطرق شيوعًا لتسلل المخترقين إلى الموقع. يستخدمون الروبوتات لتجربة أسماء مستخدمين وكلمات مرور مختلفة - آلاف المجموعات في الثانية - حتى يعثروا على المناسب.

الإضافات والسمات غير الآمنة

تُعد الثغرات الموجودة في المكونات الإضافية والسمات طريقة سهلة نسبيًا للدخول إلى العناصر السيئة. ويصدر مطورو السمات عالية الجودة تصحيحات لهذه الثغرات في التحديثات المنتظمة ، ولكن لا يقوم جميع مستخدمي WordPress بتحديث مواقعهم بشكل متكرر. وغالبًا ما تحتوي الإصدارات المجانية والملغاة من المكونات الإضافية والسمات المميزة على أبواب خلفية مدمجة في التعليمات البرمجية الخاصة بها - نقاط وصول للمتسللين لتسجيل الدخول عن بُعد إلى موقعك والقيام بكل ما يحلو لهم.

سياسات أمنية ضعيفة

ممارسات الأمان السيئة مثل منح حق الوصول إلى الموقع للأشخاص الذين لا يحتاجون إليه أو السماح لكلمات مرور غير آمنة تجعل من السهل على الأشخاص الوصول إلى موقع الويب الخاص بك.

لماذا يقوم شخص ما باختراق موقع على شبكة الإنترنت؟

1. يريدون سرقة المال . قد يرغبون في جمع معلومات بطاقة ائتمان العملاء أو توجيه الزوار إلى مواقع الويب الضارة المصممة لخداع الأشخاص.
2. يريدون الحصول على المعلومات. قد يبيعون البيانات الشخصية لأطراف ثالثة أو يحتجزون المعلومات كرهينة مقابل المال.
3. يريدون إزالة موقعك . هذا عادة ما يكون له دافع شخصي ونادرًا ما يمثل تهديدًا لمالك موقع الويب المشترك.
4. يريدون تخريب موقعك. مرة أخرى ، هذا عادة ما يكون شخصيًا. قد يقوم المخترق بتشويه موقع الويب الخاص بشخص يختلف معه للإدلاء ببيان.
5. يريدون مهاجمة شخص آخر . يمكن للمهاجمين استخدام موقع الويب الخاص بك لنشر البرامج الضارة أو برامج الفدية عبر الإنترنت أو استخدام خادم الويب الخاص بك لمهاجمة شخص آخر بشكل ضار.
6. يريدون التعلم. قراصنة يجب أن يمارسوا بطريقة ما ، أليس كذلك؟ قد يستخدمون موقع الويب الخاص بك كأرض تدريب لأهداف أكبر وأكثر ربحًا في المستقبل.

كيفية تأمين موقع WordPress الخاص بك من المتسللين

1. اختر مضيفًا عالي الجودة

شركة الاستضافة الخاصة بك هي شريكك الأمني ​​ومن المهم اختيار شركة تتمتع بسمعة طيبة. تحصل على ما تدفع مقابله ، والعديد من مضيفي الخصم لا يطبقون ممارسات أمنية قوية.

لكن كيف تعرف أيهما تختار؟ فيما يلي بعض المؤشرات على مزود استضافة آمن:

• نسخ احتياطية منتظمة ، مضمنة في خطتك أو مقابل رسوم إضافية.
• شهادات SSL ، التي تحمي بيانات زوار موقعك.
• دعم على مدار الساعة طوال أيام الأسبوع ، في حالة تعرض موقعك للاختراق.
• جدار حماية مدمج يحمي الملفات وقاعدة البيانات على الخادم الخاص بك.
• فحوصات الأمان التي ستنبهك إلى وجود تعليمات برمجية مشبوهة ونشاط على موقعك.
• سمعة جيدة. غالبًا ما تكون المراجعات والتوصيات هي أفضل طريقة لتحديد جودة المضيف.

وتذكر أن الشركة التي تتمتع بمعرفة جيدة وأمان قوي تستحق أي تكاليف إضافية. فيما يلي قائمة بمضيفي WordPress الموصى بهم لتبدأ.

2. حافظ على البرنامج محدثًا

الطريقة الأولى للحفاظ على أمان موقع الويب الخاص بك هي تحديث برامجك بانتظام: WordPress ، والسمات ، والمكونات الإضافية. غالبًا ما تصحح الإصدارات الجديدة الثغرات الأمنية ، لذا كلما أسرعت في التحديث ، كان ذلك أفضل.

يمكنك أيضًا تقليل مخاطر أمان WordPress عن طريق اختيار المكونات الإضافية الموثوقة والمستقرة والتي تلبي أكثر من حاجة في وقت واحد. على سبيل المثال ، يوفر Jetpack Security مجموعة كاملة من أدوات أمان WordPress المضمنة في المكون الإضافي Jetpack الفردي. لذلك يمكنك أيضًا الاستفادة من الوظائف الإضافية دون تثبيت العشرات من المكونات الإضافية وزيادة خطر التعرض لهجوم على موقعك.

3. إنشاء أسماء مستخدمين وكلمات مرور آمنة

حافظ على تخمين المتسللين عن طريق اختيار اسم مستخدم فريد وكلمة مرور آمنة. استخدم 20 حرفًا على الأقل وحرفًا كبيرًا وحرفًا صغيرًا ورقمًا ورمزًا.

إذا كنت تقوم بإنشاء موقع به مستخدمين إضافيين ، فتأكد من تعيين الأذونات الصحيحة لكل مستخدم. قد لا ترغب في أن يتمكن المتدرب الجديد من الوصول إلى الملفات الأساسية أو البيانات المهمة الأخرى ، على سبيل المثال. إليك مقالة رائعة حول أذونات المستخدم لـ WooCommerce ، ولكن الكثير منها ينطبق على أي نوع من المواقع.

وإذا أنشأت حسابًا لطرف ثالث - مثل مطور أو وكالة تسويق أو شخص دعم - فتأكد من إزالة الوصول بمجرد إكمالهم لعملهم.

4. قم بإعداد النسخ الاحتياطية خارج الموقع

تعتبر النسخ الاحتياطية ضرورية لحماية المحتوى والعمل الجاد وبيانات العملاء أو الزائرين. بغض النظر عن المشكلة مع موقعك ، فإن وجود نسخة احتياطية كاملة في متناول اليد يعني أنه يمكنك إعادة التشغيل بسرعة.

لكن من المهم اختيار النوع الصحيح من النسخ الاحتياطية. على سبيل المثال ، تأكد من تخزين النسخ الاحتياطية الخاصة بك خارج الموقع ، في السحابة بدلاً من الخادم الخاص بك. هذا يعني أنه حتى إذا فقدت الوصول إلى موقعك أو تعرض خادمك للاختراق ، فلا يزال بإمكانك استعادة إصدار نظيف.

هذا هو المكان الذي يضيء فيه Jetpack Backup. لا يقومون فقط بتخزين جميع النسخ الاحتياطية على نفس الخوادم الآمنة التي يستخدمونها لموقعهم الخاص ، بل يحتفظون أيضًا بنسخ احتياطية متعددة ومشفرة لطبقة إضافية من الحماية.

بالإضافة إلى ذلك ، يمكنك الاختيار من بين خيارين: الوقت الفعلي واليومي.

تعد النسخ الاحتياطية في الوقت الفعلي الخيار الأفضل للمتاجر عبر الإنترنت أو منتديات العضوية أو مواقع الويب التي يتم تحديثها بانتظام. يحفظ Jetpack نسخة من موقعك في كل مرة يتغير فيها شيء ما: يتم إجراء عملية بيع أو تحديث صفحة أو إضافة تعليق. هذا يعني أنك لن تخسر عملية بيع واحدة أو معلومة ، بغض النظر عما يحدث.

النسخ الاحتياطية اليومية مناسبة تمامًا للمواقع الثابتة التي لا يتم تحديثها بشكل متكرر. يحفظ Jetpack الملفات وقاعدة البيانات الخاصة بك مرة واحدة يوميًا بدلاً من إجراء التغييرات.

أفضل جزء؟ من السهل جدًا الإعداد - ليست هناك حاجة لتكوين خادم معقد. ما عليك سوى السير في بضع خطوات بسيطة ، والتواصل مع فريق دعم العملاء الذي لا مثيل له في Jetpack إذا كنت بحاجة إلى أي مساعدة.

يمكنك استخدام أفضل مكون إضافي للنسخ الاحتياطي في WordPress كأداة قائمة بذاتها أو كجزء من مجموعة الأمان الكاملة.

5. أضف حماية هجوم القوة الغاشمة

تحدث هجمات القوة الغاشمة عندما يستخدم المتسللون الروبوتات لتخمين الآلاف من مجموعات اسم المستخدم / كلمة المرور في الثانية حتى يتمكنوا أخيرًا من الوصول إلى موقعك. لا تعرض هذه الهجمات معلومات موقعك للخطر فحسب ، بل يمكنها أيضًا إبطاء الأمور عن طريق زيادة التحميل على الخادم.

في حين أن معلومات تسجيل الدخول الآمنة ستساعد بالتأكيد ، فإن أفضل وسيلة للوقاية هي أداة ستوقفهم في مساراتهم. تعمل ميزة الحماية من هجوم القوة الغاشمة المجانية من Jetpack على حظر عناوين IP المشبوهة حتى قبل وصولها إلى موقعك!

لا يمكن أن يكون الإعداد أسهل - كل ما عليك فعله هو تشغيل الميزة - ويمكنك عرض عدد الهجمات المحظورة مباشرة من لوحة القيادة. تلميح: المتوسط ​​هو 5،193!

6. البحث عن البرامج الضارة

إذا تمكن أحد المتطفلين من الدخول ، فأنت تريد أن تعرف على الفور حتى تتمكن من استكشاف الأخطاء وإصلاحها. بعد كل شيء ، كلما طالت مدة تعطل موقعك أو عدم أمانه ، زاد الضرر الذي يلحق بسمعتك وبياناتك.

لكن Jetpack Scan يقوم تلقائيًا بالبحث في موقعك عن البرامج الضارة والعناصر السيئة والأنشطة المشبوهة ، وينبهك على الفور إذا تم العثور على أي شيء. يمكنك حتى إصلاح غالبية الاختراقات المعروفة بنقرة واحدة فقط ، مما يوفر لك الوقت والمال.

ولن تضطر إلى قضاء أي وقت في فك رموز لغة تقنية معقدة - تشرح لوحة معلومات Jetpack Scan كل شيء بمصطلحات عامة وتوجهك خلال كل خطوة تحتاج إلى اتخاذها. يمكنك فقط ضبطه ونسيانه ، والراحة مع العلم أن موقع الويب الخاص بك يخضع للمراقبة على مدار الساعة طوال أيام الأسبوع.

تعرف على المزيد حول أداة فحص البرامج الضارة في WordPress.

7. تنفيذ مراقبة وقت التوقف عن العمل

سواء كان ذلك نتيجة هجوم ضار أو خطأ بسيط ، إذا تعطل موقع الويب الخاص بك ، فأنت بحاجة إلى اتخاذ إجراء فوري. ولكن ليس لديك الوقت لإعادة تحميل موقعك طوال اليوم للتأكد من أنه يعمل!

تراقب أداة مراقبة وقت توقف WordPress من Jetpack موقعك على مدار الساعة طوال أيام الأسبوع وتعلمك إذا توقف عن الاستجابة. يمكنك بعد ذلك استخدام سجل النشاط لتحديد الخطأ الذي حدث ومتى حدث بالضبط ، حتى تتمكن من الاستجابة بشكل مناسب والعودة إلى العمل في غضون دقائق ، وليس ساعات أو أيام.

8. حذف الإضافات والموضوعات غير المستخدمة

كلما زاد عدد السمات والمكونات الإضافية التي قمت بتثبيتها على موقعك ، زادت الفرص المتاحة للمتسلل للاستفادة منها. بينما تعد المكونات الإضافية طريقة رائعة لإضافة وظائف إضافية ، قم ببعض التدبير المنزلي وقم بإزالة المكونات التي لم تعد تستخدمها.

وبخلاف السمة الافتراضية التي يمكنك الرجوع إليها عند استكشاف أخطاء الموقع وإصلاحها ، ليست هناك حاجة لتخزين سمات إضافية.

المكافأة: يمكن أن يؤدي حذفها أيضًا إلى تحسين سرعة موقعك!

9. قم بتشغيل المصادقة الثنائية للمسؤولين

المصادقة الثنائية هي طريقة فعالة للغاية لحماية صفحة تسجيل الدخول الخاصة بك لأنها تتطلب من المتسلل أن يمتلك كلمة مرورك وعنصرًا ماديًا - وهي تركيبة غير محتملة. عندما يقوم المسؤول بتسجيل الدخول إلى موقعك ، فسيتعين عليه إدخال رمز يستخدم لمرة واحدة يتم إرساله إلى هاتفه.

تقدم Jetpack هذه الميزة مجانًا ، مما يجعلها طريقة سهلة للمضي قدمًا خطوة واحدة أبعد من كلمات المرور القوية. هل لديك عدة مستخدمين؟ طلب المصادقة ذات العاملين بسهولة لكل منهم.

10. قم بإعداد جدار حماية WordPress

يراقب جدار حماية WordPress كل حركة المرور القادمة إلى موقعك ، ويعمل كحاجز ضد المتسللين. بينما تتضمن خطة الاستضافة الجيدة جدار حماية يحمي خادمك ، ستحتاج أيضًا إلى تثبيت واحد مخصص لـ WordPress.

يحتوي المكوِّن الإضافي الجيد لجدار الحماية على قاعدة بيانات بالمعلومات حول العناصر السيئة - عناوين IP المشبوهة ، والروبوتات الضارة ، وحركة المرور التي تبدو "متوقفة" - وتحظرهم قبل أن يتمكنوا من مهاجمة موقع الويب الخاص بك. يمكنك رؤية بعض الخيارات الأكثر شيوعًا في مستودع المكونات الإضافية لـ WordPress.

11. راقب نشاط موقعك

عندما يكون لديك سجل بكل ما يحدث على موقع الويب الخاص بك ، يمكنك بسهولة الاطلاع عليه وتحديد أي شيء مريب. وإذا تم اختراق موقعك ، فيمكنك أيضًا تحديد الوقت الذي حدث فيه ذلك ، ومعرفة الإجراءات التي تم اتخاذها ، ومعرفة الحسابات التي تم اختراقها بسهولة أكبر.

يتتبع سجل نشاط Jetpack لـ WordPress جميع التغييرات الرئيسية التي تحدث ، من محاولات تسجيل الدخول والصفحات المنشورة إلى المكونات الإضافية المحذوفة والسمات المحدثة والإعدادات المتغيرة. لكل حدث ، يمكنك رؤية الطابع الزمني والمستخدم الذي أجرى التغيير ووصفًا لما فعلوه. يمكنك بعد ذلك استخدام هذه المعلومات لاستكشاف أو استعادة نسخة احتياطية مباشرة قبل حدوث المشكلة.

ماذا يحدث إذا كان موقع WordPress الخاص بي غير آمن؟

لا يستهدفك معظم المهاجمين على وجه التحديد ، فهم يبحثون فقط عن أسهل موقع للوصول إليه. لذلك ، إذا لم يكن موقع WordPress الخاص بك مؤمنًا بشكل صحيح ، فمن المرجح أن يقع ضحية الاختراق. في النهاية ، قد يؤدي ذلك إلى:

• سمعة تالفة . إذا كان موقعك يحتوي على تحذيرات أمنية ، أو تعطل ، أو أعاد التوجيه إلى موقع ويب مشبوه ، فلن يبدو الأمر جيدًا لزوار الموقع. قد يفقدون الثقة في مدونتك أو عملك ، ويفقدون مبيعاتك أو عائدات الإعلانات.
• بيانات العملاء المسروقة . إذا قام أحد المتطفلين بالوصول إلى متجر التجارة الإلكترونية الخاص بك ، فقد يجمع معلومات شخصية يمكنهم استخدامها أو بيعها لأطراف ثالثة.
• ملفات الموقع التالفة . قد تفقد جزءًا من موقع الويب الخاص بك أو كله ، وربما سنوات من العمل الشاق!
• إزالة من نتائج البحث . إذا تم الاستيلاء على موقعك ، فقد يتم حظره بواسطة Google وإزالته من نتائج البحث تمامًا.
• فقدت حركة الموقع . بين تصنيفات محرك البحث الأقل (أو غير الموجودة) والأشخاص الذين لا يرغبون في زيارة موقع ما مع تحذير أمني ، قد تنخفض حركة المرور على موقعك بشكل ملحوظ.
• انخفاض عائدات الإعلانات . لا تريد شبكات الإعلانات عرض إعلانات عملائها على مواقع غير آمنة. لذلك ، إذا تم اختراق موقعك ، فيمكن إزالته من شبكات الإعلانات ويمكن أن يتم حظرك تمامًا ، مما يقلل أو يلغي دخلك من الإعلانات. حتى إذا لم تتم إزالته ، فسيؤثر انخفاض عدد الزيارات سلبًا على نقرات الإعلان.

كيف أعرف ما إذا كان موقع WordPress الخاص بي قد تم اختراقه؟

قد يكون من الصعب أحيانًا معرفة ما إذا كان موقع الويب الخاص بك قد تعرض للاختراق أو ما إذا كان يواجه نوعًا آخر من المشكلات. ومع ذلك ، إليك بعض المؤشرات على اختراق الموقع:

• يحتوي موقع الويب الخاص بك على تحذير أمني عند تحميل عنوان URL الخاص بك.
• يقوم المكون الإضافي للأمان بالإبلاغ عن مشكلة.
• مضيفك يرسل لك بريدًا إلكترونيًا بخصوص مشكلة.
• يقوم موقع الويب الخاص بك بإعادة التوجيه إلى مكان آخر تمامًا ولم تقم بإعادة التوجيه هذه.
• ترى سطورًا غريبة من التعليمات البرمجية على صفحات موقعك.
• موقعك معطل تمامًا ، على الرغم من أن هذا قد يرجع أيضًا إلى أسباب أخرى.
• الإعلانات الموجودة على موقعك تعيد التوجيه إلى مواقع ويب مشبوهة.
• يتم تحميل موقعك فجأة ببطء شديد أو يتصرف بشكل غريب بطرق أخرى.

ماذا أفعل إذا تم اختراق موقع WordPress الخاص بي؟

إذا تم اختراق موقع WordPress الخاص بك ، فهناك بعض الخطوات التي يمكنك اتخاذها لإصلاح المشكلة واستعادة الملفات وقاعدة البيانات الخاصة بك:

1. حدد ما حدث. إذا كنت تستخدم Jetpack ، فقم بإلقاء نظرة على سجل النشاط لمعرفة من قام بتسجيل الدخول ومتى وما الذي تم تغييره. يمكن أن يساعدك هذا في تحديد الحسابات المخترقة ومعرفة الملفات المتأثرة.
2. قم بإجراء فحص للبرامج الضارة. استخدم أداة مثل Jetpack Scan للبحث في ملفات موقع الويب الخاص بك عن البرامج الضارة أو أي مؤشرات أخرى على الاختراق. إذا كنت تستخدم أداة فحص البرامج الضارة الخاصة بـ Jetpack لـ WordPress ، فيمكنك أيضًا إصلاح معظم المشكلات بنقرة واحدة.
3. قم باستعادة نسخة احتياطية. إذا كنت تأخذ نسخًا احتياطية منتظمة من موقع الويب الخاص بك ، فاستعد واحدة من قبل حدوث الاختراق. إذا كنت تستخدم Jetpack Backup ، فسيتم تخزين ملفاتك بشكل منفصل عن الخادم الخاص بك ، لذلك لا ينبغي اختراقها.
4. إعادة تعيين جميع كلمات المرور وحذف المستخدمين المشتبه بهم . أعد تعيين جميع كلمات المرور لموقع WordPress وموفر الاستضافة. إذا رأيت أي حسابات مستخدمين مشبوهة لم تقم بإنشائها ، فاحذفها.
5. استعن بخبير أمان موقع الويب. إذا لم تكن قادرًا على إزالة البرامج الضارة بنفسك أو كنت تريد فقط التأكد من أن موقعك آمن ، ففكر في الاستعانة بخبير أمان من خدمة مثل Codeable.
6. قم بتحديث المكونات الإضافية والسمات وإصدار WordPress. سيساعد هذا في تأمين أي ثغرات يمكن أن يستغلها المتسلل.
7. أعد إرسال موقعك إلى Google. إذا تم حظر موقعك ، فاستخدم Google Search Console لطلب مراجعة وإزالته من القائمة.

لمزيد من التفاصيل ، اقرأ دليلنا الذي يغطي ما يجب فعله إذا تم اختراق موقع WordPress الخاص بك.

استعداد لإطلاق

يؤدي وضع العمل في أمان WordPress المناسب من البداية إلى إعداد موقعك للنجاح ويساعده على العمل بأمان وكفاءة لسنوات قادمة. تذكر أن منع اختراق المواقع أسهل بكثير من إصلاحها بعد حدوثها.

باستخدام حزمة Jetpack Security ، يمكنك التحقق من غالبية العناصر الموجودة في هذه القائمة في بضع دقائق فقط - دون الحاجة إلى مطور أو إعداد معقد.

ابدأ باستخدام أفضل مكون إضافي للأمان في WordPress.