تقوية WordPress: كيف تحافظ على أمان موقع WordPress الخاص بك

إذا تعرضت للاختراق من قبل ، فأنت تعرف ما يمكن أن يكون عليه الكابوس. قد يكون من الصعب فهم خطوات أمان WordPress التي ستساعد في الحفاظ على أمان موقع WordPress الخاص بك.

استمر في القراءة لتتعلم كيفية الحفاظ على أمان موقع WordPress الخاص بك. تعرف على الخطوات المناسبة لتقوية WordPress ، واحصل على قائمة التحقق من أمان موقع WordPress.

ما هو تقوية ووردبريس؟

يشكل WordPress حوالي 40٪ من جميع مواقع الويب. لهذا السبب ، يمكن للأشخاص الذين يعرفون كيفية استغلال WordPress العثور بسهولة على الكثير من الأهداف. لحسن الحظ ، هناك العديد من الأشياء التي يمكنك القيام بها لجعل المهمة أكثر صعوبة بالنسبة لهم. يُعرف هذا باسم تقوية WordPress.

لماذا أمان WordPress مهم

لا يعتبر الاختراق أمرًا محرجًا فحسب ، بل قد يؤدي أيضًا إلى توقف العمل وفقدان البيانات وتسريب المعلومات. يمكن أن يترجم هذا إلى فقدان المبيعات وسمعة العلامة التجارية السيئة. بالإضافة إلى ذلك ، قد يستغرق الأمر الكثير من العمل لاستعادة كل شيء وتشغيله مرة أخرى.

تقوية ووردبريس: 10 خطوات أمان ووردبريس يجب اتخاذها

هناك أربع طرق رئيسية يمكن للقراصنة من خلالها الوصول لاختراق موقع Wordpress الخاص بك:

• الحصول على كلمة المرور الخاصة بك أو الجلسة وتسجيل الدخول.
• من خلال الوصول غير المباشر مثل FTP أو SSH أو قاعدة البيانات.
• من خلال اكتشاف المعلومات في جذر الويب الخاص بك.
• من خلال نقاط الضعف في كود WordPress أو المكونات الإضافية.

إن أبسط طريقة للوصول إلى موقعك هي ببساطة عن طريق تسجيل الدخول. فيما يلي بعض الطرق لتقوية WordPress ضد سارقي كلمات المرور.

1. قم بتأمين الجهاز الذي تتصل منه

أحد الأشياء المهمة التي يسهل التغاضي عنها هو الكمبيوتر الذي تتصل منه. إذا لم يكن آمنًا ، فقد يجعل ذلك خادمك عرضة للخطر أيضًا. هذا هو السبب في أنه من المهم جدًا أن يكون لديك ماسح للفيروسات وجدار حماية ، لتحديث جهاز الكمبيوتر الخاص بك ، وممارسة عادات التصفح الآمن.

2. تأمين الاتصال بالخادم

حتى إذا كان جهاز الكمبيوتر الخاص بك آمنًا ، فلا يزال من الممكن سرقة كلمة مرورك أو جلساتك في الطريق إلى الخادم. لمنع ذلك ، من المهم التأكد من أنك تستخدم HTTPS عند تسجيل الدخول إلى الواجهة الخلفية لـ WordPress.

القراءة ذات الصلة: دليل المبتدئين لتحسين أداء WordPress >>

يُفضل دائمًا الاتصال بالخادم الخاص بك باستخدام اتصال سلكي منزلي أو تجاري أو اتصال Wi-Fi يستخدم كلمة مرور Wi-Fi طويلة وعشوائية. إذا كان يجب عليك الاتصال باستخدام نقطة اتصال عامة ، فأنت تريد بالتأكيد الاستثمار في VPN.

3. منع الناس من تخمين كلمة المرور الخاصة بك

عندما يستخدم المهاجم برنامجًا نصيًا لمحاولة مجموعات مختلفة من أسماء المستخدمين وكلمات المرور بسرعة حتى يخمنوا الخيار الصحيح ، فإن هذا يسمى هجوم القوة الغاشمة. لمنع هجمات القوة الغاشمة ، استخدم كلمة مرور طويلة تحتوي على أرقام بأحرف كبيرة وصغيرة وأحرف خاصة.

لجعل هذه التقنية أكثر صعوبة ، يمكنك الحصول على المكونات الإضافية التي ستساعدك. ابحث عن المكونات الإضافية للمصادقة الثنائية ، والمكونات الإضافية التي تضيف رمز التحقق إلى نموذج تسجيل الدخول ، والمكونات الإضافية التي تحد من عدد المحاولات غير الصحيحة التي يمكنك إجراؤها.

4. لا تستخدم المسؤول

هناك طريقة أخرى لمنع هجمات القوة الغاشمة والطرق الأخرى لسرقة كلمات المرور وهي تسمية حساب المسؤول الخاص بك بشيء آخر. إذا لم يتمكنوا من تخمين اسم المستخدم الخاص بك ، فلن يتمكنوا من تخمين كلمة المرور الخاصة بك. يجب حذف أي حسابات مسؤول إضافية عند عدم الحاجة إليها. يجب أن تتمتع أي حسابات جديدة تقوم بإنشائها بقدر الوصول الذي يحتاجون إليه فقط.

إذا لم يتمكن المتسللون من الوصول إلى حساب المسؤول الخاص بك مباشرةً ، فقد يتمكنون من الوصول إلى موقعك بشكل غير مباشر من خلال SSH أو FTP أو قاعدة البيانات. كل ما هو مذكور حول الحفاظ على جهاز الكمبيوتر المحلي آمنًا واختيار كلمات مرور آمنة واستخدام VPN أثناء الاتصال بالإنترنت العام ينطبق على SSH و FTP والاتصالات بقاعدة البيانات أيضًا ، ولكن إليك بعض الاعتبارات الإضافية.

5. استخدم SFTP أو FTPS

ينقل FTP بياناتك وكلمات مرورك عبر الإنترنت بنص عادي ، مما يعني أن أي شخص يمكنه اعتراض بياناتك يمكنه رؤية كلمات مرورك وبياناتك. يقوم كل من SFTP و FTPS بتشفير بياناتك.

6. إغلاق أو تقييد الوصول إلى المنافذ

بشكل عام ، إذا كانت قاعدة البيانات الخاصة بك وموقع الويب الخاص بك على نفس الخادم ، فلن تحتاج إلى فتح منفذ قاعدة البيانات للجمهور. إذا كان بإمكانك إدارة قاعدة البيانات الخاصة بك من خلال البوابة الإلكترونية أو من داخل الخادم ، فهذا خيار أفضل بشكل عام لأنه يمنح المهاجمين طريقة أقل لاستغلال موقع الويب الخاص بك.

القراءة ذات الصلة: عندما يحتاج WordPress إلى دفعة: النصائح والأدوات واستراتيجية الضبط >>

وبالمثل مع FTP ، إذا كنت قادرًا على استخدام SFTP للاتصال بالخادم ، فلا داعي لفتح منفذ FTP. إذا كنت بحاجة إلى استخدام أحد هذه المنافذ للاتصال بالخادم الخاص بك ، فقد يكون من الجيد تحديد نطاق المنافذ لعنوان IP الخاص بك فقط.

إذا تغير عنوان IP الخاص بك كثيرًا ، فقد يكون من غير الملائم أن تضطر إلى الاتصال للوصول إلى الخادم الخاص بك في كل مرة يتغير فيها عنوان IP الخاص بك. طريقة واحدة للتغلب على هذا هو استخدام VPN. لا تقوم VPN فقط بتشفير الاتصالات بينك وبين الخادم ، ولكنها تجعلها كذلك بحيث يمكنك استخدام عنوان IP ثابت يمكنك إضافته إلى جدار الحماية الخاص بك لمنع أي شخص آخر من الوصول إلى المنافذ.

أحد الأخطاء التي يرتكبها العديد من الأشخاص هو تخزين الملفات وتفريغ قاعدة البيانات في جذر الويب. تذكر أن أي شيء في جذر الويب الخاص بك يمكن الوصول إليه لأي شخص على الإنترنت ولا ينبغي أن يحتوي على أي شيء لا تريد أن يمتلكه أي شخص.

7. إزالة أي شيء غير ضروري من جذر الويب الخاص بك

من المفيد إلقاء نظرة على جذر الويب الخاص بك والتأكد من عدم وجود أي شيء غير ضروري لكي يعمل موقعك المخزن فيه.

على سبيل المثال ، قد يكون من الملائم تفريغ قاعدة البيانات إلى webroot بحيث يمكنك تنزيلها لاحقًا. لكن تذكر أن قاعدة البيانات الخاصة بك تحتوي على تجزئة لكلمة المرور ويمكن أن تحتوي على معلومات أخرى لا تريد نشرها بشكل عام.

قد تكون الفكرة الأفضل هي تفريغ قاعدة البيانات في مكان آخر واستخدام SFTP لتنزيلها. إذا كنت ترغب في الاحتفاظ بها على الخادم كنسخة احتياطية ، فيمكنك ببساطة نقلها إلى مستوى أعلى أو وضعها في أي مكان باستثناء webroot.

وبالمثل ، يمكن استخدام النسخ المضغوطة من رمز موقع الويب للتعرف على التعليمات البرمجية الخاصة بك ويمكن لأي شخص تنزيلها عبر الإنترنت. من الممارسات الشائعة الأخرى عمل نسخة احتياطية من ملف مثل .htaccess أو ملف كود قبل تعديله.

من المؤكد أن الاحتفاظ بنسخة احتياطية من ملفاتك قبل تعديلها فكرة جيدة ، ولكن إذا كنت تخطط للاحتفاظ بها في جذر الويب ، فيجب عليك تغيير الأذونات حتى لا يمكن الوصول إليها.

القراءة ذات الصلة: Debunking WordPress Hosting My Thies Mythies >>

على سبيل المثال ، يمكنك كتابة chmod 000 .htaccess. أخيرًا ، حتى ملفات README أو أي شيء آخر يمكن أن يعرض أرقام الإصدارات يجب أن يكون آمنًا للإزالة - ويمكن أن تؤدي إزالتها إلى تحسين الأمان.

آخر شيء يجب مراعاته هو الكود نفسه. يعد أمان كود تطبيق الويب موضوعًا معقدًا للغاية حيث تمت كتابة كتب كاملة حول هذا الموضوع. نظرًا لأنك تستخدم WordPress ، فإن المهمة الهائلة المتمثلة في الحفاظ على أمان الشفرة تتم من أجلك ، كل ما عليك فعله هو تثبيت التصحيحات.

إذا كنت تستضيف مع Nexcess ، فإننا نحرص على تحديث WordPress الأساسي لك ، ولكن يمكن أن تحتوي السمات والإضافات أيضًا على نقاط ضعف.

8. قم بإزالة أي رمز غير مستخدم

طريقة سهلة للحفاظ على أمان موقع WordPress الخاص بك هي ببساطة إزالة أي شيء لا تستخدمه. انظر إلى جميع المكونات الإضافية الخاصة بك وقم بإزالتها إذا لم تكن تضيف أي قيمة إلى موقعك.

القراءة ذات الصلة: الدليل الأساسي لملحقات WordPress >>

لا يؤدي ذلك إلى تحسين الأمان فحسب ، بل يمكنه أيضًا تسريع WordPress وتحسين استقرار موقعك. ضع في اعتبارك أنه في بعض الحالات ، حتى المكونات الإضافية التي تم تعطيلها يمكن أن تسبب أخطاء أو توفر سطح هجوم للمتسللين.

إذا كان لديك أي سمات WordPress لا تستخدمها ، فيجب عليك أيضًا إلغاء تثبيتها - على الرغم من أنك قد ترغب في التفكير في ترك أحدث ثيمات WordPress الافتراضية في مكانها لاستكشاف الأخطاء وإصلاحها لاحقًا.

أخيرًا ، من المهم إزالة التثبيتات القديمة التي لا تستخدمها. إذا كان لديك دليل فرعي كامل به مدونة قديمة أو إصدار قديم من موقع الويب لم تعد تستخدمه ، فمن المهم جدًا إزالته من جذر الويب. إذا كنت تريد حفظه كنسخة احتياطية ، فيمكن تخزينه بأمان فوق جذر الويب.

9. تأكد من الحفاظ على جميع المكونات الإضافية والسمات بشكل نشط

يتم اكتشاف نقاط ضعف جديدة كل يوم وبمجرد أن يتم التعرف عليها يمكن استغلالها بسرعة بواسطة البرامج النصية بشكل جماعي في جميع أنحاء الإنترنت. هذا هو السبب في أنه من المهم التأكد من أن لديك مبرمجين مطلعين يستجيبون بنشاط لأي عيوب موجودة في التعليمات البرمجية الخاصة بهم ويصدرون بانتظام تصحيحات لإغلاق الثغرات الأمنية.

10. ضع الرقع

نظرًا لوجود الثغرات الأمنية في WordPress طوال الوقت وبما أن ثغرات WordPress يتم استغلالها بشكل سريع وشامل ، فمن المهم جدًا تطبيق التصحيحات بمجرد توفرها. من المهم جدًا القيام بذلك لتجنب التوقف عن العمل.

ومع ذلك ، هناك بعض المخاطرة في أن أحد التصحيحات لن يكون متوافقًا مع بقية التعليمات البرمجية الخاصة بك ، لذا فإن أفضل طريقة للقيام بذلك هي أخذ نسخة احتياطية بانتظام ثم تطبيق التصحيحات يدويًا ثم اختبار موقعك.

إذا وجدت أي شيء لا يعمل ، فيمكنك استعادة النسخة الاحتياطية واستعادة موقعك بسرعة. إذا كانت لديك الموارد ، فإن الطريقة الأفضل هي الاحتفاظ بنسخة من موقع الويب الخاص بك وتطبيق جميع التصحيحات على النسخة أولاً. يمنع هذا أي توقف عن العمل ويسمح لك باستكشاف أية مشكلات وإصلاحها قبل تطبيق التصحيحات على الموقع المباشر.

قائمة التحقق من أمان موقع WordPress

• حافظ على جهاز الكمبيوتر الخاص بك آمنًا
• استخدم بروتوكولات آمنة
• استخدم كلمة مرور قوية
• استخدم المكونات الإضافية لتجعل من الصعب تخمين كلمة مرورك
• أعد تسمية حساب المسؤول
• قم بإغلاق أو تقييد الوصول إلى المنافذ في جدار الحماية الخاص بك
• تنظيف عمليات تفريغ قاعدة البيانات والنسخ الاحتياطية وخاصة التعليمات البرمجية القديمة من جذر الويب
• اختر المكونات الإضافية والسمات بعناية وقم بإزالة ما لا تستخدمه
• والأهم من ذلك ، يجب تحديثها باستمرار

Nexcess يحافظ على أمان موقع WordPress الخاص بك

يمكن أن يكون اختراق موقعك كارثة. فهو لا يجعلك تبدو سيئًا فحسب ، بل يمكن أن يؤدي إلى فترة توقف ممتدة أو حتى فقدان الطلبات.

تعد استضافة WordPress مع Nexcess خطوة أولى رائعة للحفاظ على أمان موقع WordPress الخاص بك.

يوفر Nexcess نظامًا أساسيًا آمنًا يمكن من خلاله استضافة موقع WordPress الخاص بك. مع Nexcess ، يمكنك الحصول على مراقبة أمنية دائمة ، ونسخ احتياطية يومية مجانية ، وشهادات SSL ، و IThemes Security Pro.

ومع وجود فريق من خبراء WordPress ومحترفي الدعم المتاحين على مدار الساعة للمساعدة في أي أسئلة لديك ، ستحصل دائمًا على الموارد التي تحتاجها على مدار الساعة طوال أيام الأسبوع.

استكشف خطط استضافة WordPress المُدارة بالكامل لتبدأ اليوم.