كيفية تأمين موقع WordPress الخاص بك

نشرت: 2020-09-25

عادةً ما تركز خدمات استضافة WordPress المُدارة (مثل Pressidium) بشكل كبير على أمان نظام الاستضافة الخاص بها. يتم نشر مجموعة من الميزات للمساعدة في الحفاظ على أمان مواقع WordPress المستضافة على هذه الأنظمة.

ومع ذلك ، لا يوجد سوى الكثير الذي يمكن لمضيف WordPress القيام به لضمان أمان موقع WordPress على الويب. لأصحاب مواقع الويب دورهم الخاص في التأكد من بقاء مواقعهم آمنة. في هذه المقالة سوف نلقي نظرة على الخطوات التي يمكنك اتخاذها لتأمين موقع WordPress الخاص بك.

الحفاظ على موقع الويب الخاص بك آمنًا - نظرة عامة

تحدث العديد من عمليات الاستيلاء على مواقع الويب كنتيجة مباشرة للإجراءات (أو التقاعس) التي يتخذها مالكو مواقع الويب. تؤدي أشياء مثل الفشل في تحديث المكونات الإضافية إلى أحدث إصدار أو استخدام كلمة مرور ضعيفة إلى نقاط ضعف قابلة للاستغلال تمر عبر موقعك يستهدفها المتسللون. الخبر السار هو أن هناك عددًا من الخطوات البسيطة التي يمكنك اتخاذها للمساعدة في الحفاظ على موقع WordPress الخاص بك آمنًا. وتشمل هذه:

  • تأكد من استخدامك أنت وأي مستخدمين آخرين لموقع الويب كلمات مرور قوية
  • استخدم آلية الكابتشا
  • استخدام المصادقة الثنائية (2FA)
  • حذف المستخدمين غير النشطين
  • استخدم نظام "الحد من محاولات تسجيل الدخول"
  • احتفظ دائمًا بملفاتك الأساسية وإضافاتك وسماتك محدثة إلى أحدث إصداراتها
  • قم بتغيير عنوان URL الافتراضي لتسجيل الدخول
  • تجنب استخدام السمات والإضافات الملغاة

دعنا نلقي نظرة فاحصة على بعض هذه الخطوات ونكتشف كيف يمكنك تطبيقها على موقع الويب الخاص بك.

تأكد من أن المستخدمين لديك يستخدمون كلمات مرور قوية

لا يوجد جدار حماية من جانب الخادم أو نظام أمان استضافة آخر يمكنه حماية موقع WordPress الخاص بك من كلمة مرور ضعيفة. على الرغم من المشكلات المعروفة المتعلقة باستخدام كلمة مرور ضعيفة ، إلا أن الإحصائيات تشير إلى أن 35٪ من المستخدمين لا يزالون يستخدمون كلمات مرور ضعيفة لتأمين موقع WordPress الخاص بهم على الرغم من مطالبتهم من قبل WordPress باختيار كلمة مرور أقوى.

تأكيد كلمة المرور الضعيفة

ربما يكون الاستنتاج الذي يمكن استخلاصه من ذلك هو أن بعض المستخدمين ببساطة لا يدركون مدى ضعف موقع الويب الخاص بهم عند استخدام كلمة مرور ضعيفة. لسوء الحظ ، توصل المتسللون منذ فترة طويلة إلى كيفية الاستفادة من المستخدمين الذين يختارون كلمات مرور يمكن التنبؤ بها تتبع أنماطًا معينة (مثل تاريخ الميلاد أو اسم حيوان أليف).

بينما يستمر الآخرون ، مع إدراك ضعف كلمات المرور الضعيفة ، في استخدام هذه الكلمات ربما لأنه من السهل القيام بذلك. بعد كل شيء ، تذكر كلمة مرور بسيطة أسهل بكثير من كلمة مرور أكثر تعقيدًا تتكون من أحرف وأرقام ورموز عشوائية.

لا شك أن كلمة مرورك توفر خط دفاع بالغ الأهمية ضد المتسللين. أقوى كان ذلك أفضل. من الناحية المثالية ، يجب أن تكون كلمة المرور فريدة ويتم إنشاؤها عشوائيًا ويتم تحديثها بانتظام.

استخدم آلية Captcha في نموذج تسجيل الدخول

الغرض من كلمة التحقق هو تمييز البشر عن "الروبوتات" وهي تطبيقات برمجية تنفذ مهام آلية. يمكن للقراصنة الاستفادة من هذه لمحاولة الوصول إلى مواقع الويب عبر صفحة تسجيل الدخول عن طريق توجيه الروبوت للقيام بمحاولات مستمرة باستخدام بيانات عشوائية من أجل الوصول إلى موقع ويب. تم تصميم حروف التحقق (captcha) للمساعدة في منع حدوث هذه الأنواع من الهجمات على الموقع من خلال التمييز بين البشر والروبوتات. تم استخدام Captchas على مدار ثلاثة عقود وما زال يتم نشرها على عدد لا يحصى من مواقع الويب للمساعدة في حمايتها من نشاط الروبوتات.

يمكن إضافة كلمة التحقق إلى موقع الويب الخاص بك على WordPress بهدف منع محاولات تسجيل الدخول إلى الروبوت. هناك طريقة سهلة للقيام بذلك عن طريق تثبيت المكون الإضافي Login no Captcha reCaptcha الذي يستفيد من نظام captcha من Google.

تسجيل الدخول reCaptcha

عند التثبيت ، سترى مربع اختيار reCaptcha المألوف يظهر أسفل لوحة تسجيل الدخول. ضع علامة على هذا وستكون بعيدًا (على افتراض أنك تعرف اسم المستخدم وكلمة المرور الصحيحين على أي حال!).

لتشغيل المكون الإضافي ، ستحتاج إلى التسجيل للحصول على حساب مجاني في Google reCaptcha والذي سيسمح لك بعد ذلك بإنشاء مفتاح موقع ومفتاح سري.

كيفية إنشاء الموقع والمفتاح السري:

  1. قم بتسجيل الدخول إلى حساب Google الخاص بك (ستحتاج إلى التسجيل للحصول على حساب إذا لم يكن لديك حساب بالفعل). توجه إلى صفحة Google reCaptcha وانقر على "Admin Console" التي تظهر في أعلى اليمين.
  2. انقر فوق رمز "Plus +" الموجود مرة أخرى في الجزء العلوي الأيمن لتسجيل موقع ويب جديد. املأ المعلومات المطلوبة.
  3. اضغط على زر الإرسال وسترى صفحة مثل هذه:
مفاتيح موقع Google reCaptcha

ستحتاج بعد ذلك إلى لصق هذه القيم في المربعات الموجودة في إعدادات المكون الإضافي كما تمت ترقيتها.

المصادقة الثنائية (2FA)

سيؤدي استخدام عملية المصادقة ذات العاملين إلى إضافة طبقة أمان إضافية إلى صفحات تسجيل الدخول إلى مواقع الويب الخاصة بك عن طريق منع ما يُعرف باسم هجوم "القوة الغاشمة". هذه الأنواع من الهجمات هي حيث يحاول الروبوت تسجيل الدخول باستمرار إلى موقع الويب الخاص بك باستخدام كلمات المرور وأسماء المستخدمين التي تم تخمينها (عادةً باتباع بعض القوائم المحددة مسبقًا التي تستفيد من كلمات المرور "الضعيفة" المعروفة مثل 123 كلمة المرور وما إلى ذلك. استمر في المحاولة والوصول إلى موقعك حتى تنجح هذه الأخبار السيئة على جبهتين أولاً ، إذا حصلت على كلمة المرور صحيحة ، فسيتم اختراق موقع الويب الخاص بك الآن. ثانيًا ، يمكن أن تؤدي محاولات تسجيل الدخول المستمرة هذه إلى زيادة تحميل الخادم وبالتالي إبطاء موقع الويب الخاص بك بشكل شرعي المستخدمين.

لحسن الحظ ، هناك مكونات إضافية متاحة لجهات خارجية يمكن أن تساعد في إيقاف ذلك.

مكون إضافي ثنائي العوامل

يعد المكون الإضافي المكون من ممثلين بواسطة Plugin Contributors مكونًا إضافيًا مفيدًا وسهل الاستخدام يوفر للمواقع حماية عاملين من خلال إجبار المستخدمين على توفير رمز مصادقة جنبًا إلى جنب مع بيانات اعتماد تسجيل الدخول العادية. يمكن إرسال هذا الرمز عبر البريد الإلكتروني أو إنشاؤه باستخدام أداة إنشاء كلمات مرور لمرة واحدة مثل Google Authenticator.

مكون إضافي ثنائي العوامل

المكون الإضافي Google Authenticator

يعد المكون الإضافي Google Authenticator مكونًا إضافيًا شائعًا 2FA يمكن نشره لحماية موقع WordPress الخاص بك. يوفر هذا المكون الإضافي المجاني تمامًا مجموعة من خيارات المصادقة ثنائية العناصر بما في ذلك الرسائل القصيرة وبالطبع باستخدام تطبيق Google Authenticator. إعداد هذا سريع وسهل إلى حد ما. ما عليك سوى اتباع التعليمات عند تنشيط المكون الإضافي.

المكون الإضافي Google Authenticator

حذف المستخدمين غير النشطين

هدف سهل آخر للمهاجمين هو حسابات مستخدمي مواقع الويب التي لم يتم استخدامها لفترة طويلة. والنتيجة هي أن كلمة المرور غالبًا ما تكون أضعف مما قد تكون عليه إذا كان المستخدم قد أنشأ الحساب مؤخرًا أو كان يقوم بتسجيل الدخول بانتظام إلى موقع الويب. لهذا السبب ، من المفيد حذف أي حسابات غير نشطة بشكل دوري.

يمكنك استخدام مكون إضافي لاكتشاف هؤلاء المستخدمين غير النشطين بسهولة مثل المكون الإضافي عند آخر تسجيل دخول.

بمجرد تنشيطه ، فإنه يضيف ببساطة عمودًا مخصصًا إلى جدول قائمة المستخدمين المسؤولين الذي يعرض الطابع الزمني لتاريخ ووقت آخر تسجيل دخول لهذا المستخدم. يمكنك فرز هذا العمود وبالتالي يمكنك في لمحة سريعة تحديد المستخدمين غير النشطين مما يعني أنه يمكنك حذفهم إذا كان ذلك مناسبًا.

عند آخر تسجيل دخول

ثم على المستخدم -> فرز جميع المستخدمين حسب عمود "آخر تسجيل دخول":

عند آخر تسجيل دخول آخر عمود تسجيل الدخول

الحد من محاولات تسجيل الدخول

هناك طريقة أخرى يمكنك من خلالها إضافة طبقة أمان إضافية إلى موقع WordPress الخاص بك وهي الحد من عدد محاولات تسجيل الدخول المسموح بها خلال إطار زمني معين. تعمل هذه التقنية على إحباط برامج الروبوت التي تقوم بتخمينات مستمرة لتسجيل الدخول. بالإضافة إلى ذلك ، يمكن لبعض المكونات الإضافية التي توفر هذه الوظيفة أيضًا حظر عنوان IP الذي نشأت منه محاولات تسجيل الدخول ، وبذلك يمنع هذا الروبوت المعين الذي يعمل من عنوان IP هذا من محاولة هجمات متكررة على موقعك في المستقبل.

البرنامج المساعد الجيد الذي يوفر هذه الوظيفة هو المكون الإضافي المجاني Limit Login Attempts Reloaded.

تقييد البرنامج المساعد إعادة محاولات تسجيل الدخول

مع أكثر من مليون عملية تثبيت في وقت كتابة هذا التقرير ، يمكنك أن تكون واثقًا من أن المكون الإضافي يعمل بشكل جيد.

بعد تثبيته وتنشيطه توجه إلى قائمة الإعدادات ثم انقر فوق "الحد من محاولات تسجيل الدخول". ستكون قادرًا على تغيير مجموعة من المعلمات بما في ذلك عدد مرات إعادة المحاولة المسموح بها قبل أن يتم حظر دخول المستخدم إلى موقع الويب.

تحديد إعدادات محاولات تسجيل الدخول

يعد الحد من محاولات تسجيل الدخول طريقة فعالة للغاية لحماية موقع الويب الخاص بك وهذا هو السبب في أننا نقوم بتمكين ذلك كإعداد افتراضي على جميع مواقع Pressidium المستضافة.

ملاحظة: إذا كنت تستخدم Jetpack ، فإن إصدار ميزة حديثًا يسمى "Protect module" يتضمن نظامًا محدودًا لمحاولات تسجيل الدخول كنظام افتراضي. يوفر هذا النظام أيضًا معلومات حول محاولات تسجيل الدخول المحظورة وخيار إدراج عناوين IP في القائمة البيضاء. إذا كنت تستخدم هذا المكون الإضافي ، فلا داعي لتثبيت مكون إضافي منفصل "تسجيل الدخول المحدود".

حافظ على تحديث ملفاتك الأساسية ومكوناتك الإضافية والسمات إلى أحدث إصدار لها

من بين العديد من المزايا الأخرى ، يعد تحديث مركز WordPress الأساسي والموضوع والمكونات الإضافية أمرًا بالغ الأهمية لأمان موقع الويب الخاص بك. تُظهر الإحصائيات أن الإصدارات القديمة والسمات والمكونات الإضافية هي الطريقة الأكثر شيوعًا للوصول إلى مواقع الويب مما يجعل الحفاظ على تحديثها أولوية قصوى.

في Pressidium ، نقوم تلقائيًا بتحديث نواة WordPress إلى أحدث إصدار بعد اختباره لأول مرة للتأكد من عدم وجود مشكلات رئيسية من شأنها أن تسبب مشاكل لعملائنا مع مواقعهم على الويب. نظرًا لأن هذه التحديثات يتم تنفيذها تلقائيًا ، يمكنك أن تطمئن إلى معرفة أن موقع الويب الخاص بك يقوم دائمًا بتشغيل أحدث إصدار من WordPress.

استضافة موقع الويب الخاص بك مع Pressidium

ضمان استرداد الأموال لمدة 60 يومًا

اطلع على خططنا

بالإضافة إلى ذلك ، نجعل تحديث المكونات الإضافية على مواقع الويب المستضافة معنا أمرًا سهلاً قدر الإمكان من خلال توفير تسهيلات لتحديث المكونات الإضافية التي يمكن الوصول إليها عبر لوحة معلومات Pressidium. يتيح ذلك لعملائنا معرفة ما إذا كانت المكونات الإضافية لمواقعهم الإلكترونية بحاجة إلى تحديث في لمحة. إذا كان الأمر كذلك ، يمكن إجراء التحديث ببضع نقرات من لوحة معلومات Pressidium. نقوم أيضًا بفحص المواقع المستضافة معنا بانتظام بحثًا عن المكونات الإضافية التي لديها نقاط ضعف معروفة وسنبلغ مالك موقع الويب بهذه الثغرة الأمنية عبر البريد الإلكتروني. في الحالات التي يشكل فيها المكون الإضافي القديم خطرًا كبيرًا على موقع الويب ، فسنقوم بتحديث هذا بشكل استباقي نيابة عن مالك الموقع.

قم بتغيير عنوان URL الافتراضي لتسجيل الدخول

الآن بعد أن قمنا بتشغيل طرق لتأمين صفحة تسجيل الدخول (في الواقع حماية "الباب الأمامي") ، دعنا نلقي نظرة على خيارات إخفاء الباب الأمامي لضمان أن السارق (أو المتسلل!) لا يمكنه حتى محاولة الدخول .

هناك طريقة رائعة للقيام بذلك وهي تغيير موقع عنوان URL الافتراضي لتسجيل الدخول إلى WordPress عن طريق تغييره إلى عنوان مخصص. عند القيام بذلك ، تقوم على الفور بحظر حركة المرور من wp-login مما يعني بدوره أنه لا يجب أن تواجه أي هجمات بالقوة الغاشمة على موقع الويب الخاص بك.

أحد هذه المكونات الإضافية التي تسمح لك بتغيير موقع صفحة تسجيل الدخول بسرعة هو WPS Hide Login.

WPS إخفاء تسجيل الدخول

تجنب استخدام السمات والإضافات الملغاة

السمات أو المكونات الإضافية الفارغة هي تلك التي تحتوي عادةً على برامج ضارة أو تعليمات برمجية معدلة مصممة لإحداث ضرر. غالبًا ما تكون متوفرة "بسعر رخيص" وهذا هو السبب في أنها تجذب الناس. بعد كل شيء ، لا أحد يحب حقًا الاضطرار إلى إنفاق الأموال على السمات والمكونات الإضافية المتميزة. مع بعض السمات والإضافات الفارغة المتاحة مقابل جزء بسيط من تكلفة الإصدار "الأصلي" ، يمكنك معرفة سبب إغرائها للاستخدام.

في الواقع ، غالبًا ما تطغى التكاليف المتكبدة نتيجة إصابة موقع الويب الخاص بك ببرامج ضارة على "المدخرات" التي تحققها باستخدام الإصدارات الفارغة. حتى إذا لم تكن تحتوي على تعليمات برمجية ضارة ، فغالبًا ما تحتوي على إعلانات مزعجة ونوافذ منبثقة يمكن أن تدمر تجربة المكون الإضافي أو السمة. بالإضافة إلى ذلك ، فهي بالطبع غير مدعومة من قبل المطور الأصلي مما يعني أنه لا يوجد أحد يلجأ إليه إذا حدث خطأ ما.

باختصار ، لا تستخدم السمات أو الإضافات الفارغة ... فالأمر لا يستحق ذلك حقًا!

استنتاج

موقع الويب الذي تم اختراقه ليس في مصلحة أحد (باستثناء الهاكر بالطبع). على الرغم من الجودة العالية لاستضافة WordPress المُدارة يمكنها تحسين أمان موقع الويب الخاص بك بشكل كبير ، فمن المهم أيضًا أن تتذكر أنك ، بصفتك مالك موقع الويب ، تلعب دورًا في تأمين موقع الويب الخاص بك أيضًا.

حتى أن اتباع بعض الخطوات البسيطة الموضحة أعلاه يمكن أن يساعد حقًا في تحسين أمان موقع الويب الخاص بك ويستحق التنفيذ.