أمان WordPress: 8 خطوات لتأمين موقع الويب الخاص بك ضد المتسللين

يعد أمان موقع الويب مشكلة خطيرة ، ولكن قد لا يعرف الكثيرون مدى خطورة المشكلة. عندما تعلم أنه يتم اختراق ما لا يقل عن 50000 موقع فريد يوميًا ، على الرغم من ذلك ، ستبدأ في التعرف على هذه المشكلة.

تكمن المشكلة في أن غالبية مواقع الويب اليوم يتم تشغيلها على منصة WordPress. هذا يعني أن نسبة كبيرة من مواقع الويب التي تقع في أيدي المتسللين تستند إلى WordPress.

بينما بذل WordPress نفسه قصارى جهده لضمان أمان المواقع التي يتم تشغيلها على نظام إدارة المحتوى الخاص به ، تحدث الأخطاء. في هذه المقالة ، سوف نتحدث عن كيفية التأكد من عدم حدوث ذلك.

قبل ذلك ، على الرغم من ...

لماذا تحتاج إلى أمان WordPress في المقام الأول؟

اعتمادًا على ما يدور حوله موقع الويب الخاص بك ، هناك الكثير من الأشياء التي يمكن أن تسوء عندما ينتهك شخص ما الأمان الخاص بك. بعض هؤلاء هم:

• تحميل برنامج ضار - يمكن للمتسلل تحميل برنامج ضار على خوادم موقع الويب الخاص بك لأسباب مختلفة.

يمكنهم استخدام هذا لجمع البيانات والمعلومات حول موقع الويب الخاص بك وكيفية تشغيله لسبب أو لآخر. يمكنهم حتى القيام بذلك بطريقة يتم فيها تنزيل مثل هذه البرامج الضارة تلقائيًا على أجهزة كمبيوتر الزائر.

هذا لا يدمر فقط حسن نيتك مع زوار الموقع ، بل يجعل موقع الويب الخاص بك مدرجًا في القائمة السوداء. سيكون من المستحيل تقريبًا استعادة سمعتك عندما يحدث ذلك.

• سرقة معلومات المستخدم - إذا كان موقع الويب الخاص بك يقوم بتخزين معلومات المستخدم (الملفات الشخصية التي تحتوي على الأسماء وتاريخ الميلاد والعمر والجنس وما إلى ذلك) ، فسيكون هذا مهمًا للمتسللين.

يمكنهم حصاد مثل هذه البيانات وبيعها على شبكة الإنترنت السوداء ، لشركات التنقيب عن البيانات أو غيرهم من الموظفين المهتمين. لقد شكل ذلك خرقًا للبيانات التي قدمها المستخدمون لك على أنها ثقة ، وينقض وعدك بالحفاظ على بياناتهم آمنة.

• سرقة المعلومات المالية - هذا شائع جدًا على مواقع WordPress المستخدمة لتشغيل متجر عبر الإنترنت. في بعض الأحيان ، قد لا يكون موقعًا إلكترونيًا قائمًا على التجارة الإلكترونية بشكل صارم ولكنه موقع يبيع عرضًا أو الآخر.

عندما يحدث هذا ، يكون لدى المتسللين كل ما يحتاجون إليه لسرقة كل شخص قدم تفاصيل بطاقة الائتمان / الدفع الخاصة به إلى موقع الويب الخاص بك. إلى جانب حقيقة أن هذا سيؤدي إلى إزعاج الكثير من عملائك ، فلن يسعدهم الشراء منك مرة أخرى إذا علموا أن الانتهاك جاء منك.

• التلاعب بإيراداتك - يمكن أن يربح موقع الويب الخاص بك عائدًا من المصادر التابعة وتدفقات الإعلانات وغير ذلك الكثير. إذا تمكن أحد المتسللين من الوصول ، فيمكنهم تغيير تفاصيل الشركة التابعة / الإعلان / مصدر الإيرادات إلى بياناتهم وتحويل مبيعاتك إلى جانبهم.

يمكنهم حتى تغيير حسابات الاستقبال الخاصة بك والحصول على إيراداتك في حساباتهم الخاصة.

بالطبع ، هذه ليست سوى بعض الأشياء التي يمكن أن تسوء عندما لا يكون موقع WordPress الخاص بك آمنًا بقدر الإمكان. هناك عدد كبير من الأسباب الأخرى التي قد تجعل المتسللين يرغبون في الوصول إلى موقع الويب الخاص بك. وبالتالي ، يقع العبء على عاتقك للتأكد من أنهم يواجهون صعوبة في القيام بذلك.

الحفاظ على موقع WordPress الخاص بك آمنًا

هل تريد إزالة موقع الويب الخاص بك من قائمة الأهداف السهلة للقراصنة؟ اليك بعض الاشياء التي يمكنك القيام بها:

1. تأمين صفحة تسجيل الدخول الخاصة بك

قبل أن يتم اختراق موقع الويب الخاص بك على الإطلاق ، يجب على المخترق الوصول إلى صفحة المسؤول. إذا ذهبت مع الإعدادات الافتراضية لـ WordPress ، فكل ما عليهم فعله هو إضافة / wp-admin أو /wp-login.php في نهاية اسم المجال الخاص بك وهم في صفحة المسؤول.

دون أن تدرك ذلك ، فقد جعلت خطوة واحدة سهلة بالنسبة لهم.

للتغلب على هذا ، قم بتخصيص صفحة تسجيل الدخول الخاصة بك لتظهر فقط مع عنوان مخصص بشكل خاص. بهذه الطريقة ، يمكنك البقاء بعيدًا عن الشبكة بالنسبة لمعظم المتسللين.

2. تنفيذ عمليات إغلاق الموقع

تزدهر هجمات القوة الغاشمة من القدرة على تجربة كلمات مرور متعددة حتى تحصل على الكلمة الصحيحة. يمنح ذلك المتسللين حرية تجربة العديد من المجموعات الممكنة قبل اقتحام لوحة القيادة الخاصة بك.

هناك طريقة بسيطة للتغلب على هذا من خلال تحديد عدد المحاولات الفاشلة التي يمكن للمستخدم إجراؤها قبل حظره من منطقة المسؤول.

أفضل جزء من هذه الخطوة هو أنه يتم إخطارك أيضًا عند تسجيل أي نشاط من هذا القبيل ، مما يساعدك في الحفاظ على إحكام السفينة. العديد من مكونات جدار الحماية والأمان في WordPress التي تتيح لك القيام بذلك.

قد يكون من المفيد إلقاء نظرة.

3. اختر شركة استضافة جيدة

لا تكن جزءًا من أولئك الذين يعتقدون أن شركات الاستضافة باهظة الثمن نسبيًا تجعلك تدفع مقابل اسم العلامة التجارية. في كثير من الأحيان ، هؤلاء هم الذين يوفرون لك طبقات متعددة من الأمان على الخيارات الأرخص.

إلى جانب المزايا الإضافية التي تأتي مع دفع تلك الدولارات الإضافية ، ستحصل أيضًا على أمان أفضل لجميع جهودك. إذا لم تكن لديك فكرة عن اختيار الاستضافة المناسبة ، يمكنك اتباع دليلنا النهائي حول كيفية اختيار استضافة WordPress.

4. الابتعاد عن المواضيع الفارغة

يحزم WordPress عددًا كبيرًا من السمات المدفوعة والمجانية لاستخدامها على موقع الويب الخاص بك. تم تصميم هذه السمات وترميزها بواسطة مطورين ذوي مهارات عالية يعرفون ما يفعلونه. تم أيضًا اختبار السمات بواسطة WordPress للتأكد من أنها تتماشى مع معايير الإعداد.

ومع ذلك ، تقدم بعض مواقع الويب إصدارًا متصدعًا / فارغًا من السمات المدفوعة مجانًا. قد يبدو هذا كصفقة جيدة حتى تتعلم أن القالب المتصدع يحتوي على تعليمات برمجية ضارة يمكن أن تؤذي موقع الويب الخاص بك بشدة. راجع دليلنا حول كيفية اختيار سمة مثالية لموقعك.

5. تعطيل تحرير الملف

بشكل افتراضي ، يحتوي موقع WordPress الخاص بك على وظيفة محرر الكود والتي تتيح لك إجراء تغييرات على السمة والمكونات الإضافية. يمكنك العثور على هذا بالانتقال إلى لوحة تحكم المحرر ضمن المظهر أو المكونات الإضافية .

عندما يتمكن المتسللون من الوصول إلى موقعك ، يمكنهم الذهاب إلى هنا لإدخال رموز ضارة - ولن تعرف عنها حتى بعد فوات الأوان.

أفضل طريقة لمواجهة مثل هذه الهجمات حتى تجد أن هناك شيئًا ما غير صحيح هو تعطيل القدرة على تحرير المكونات الإضافية والموضوع.

6. قم بتحديث موقع الويب الخاص بك

أحد أسهل الأشياء التي يمكنك القيام بها لحماية موقع WordPress الخاص بك هو التأكد من تحديثه من وقت لآخر.

عندما يأتي تحديث جديد ، فهذا يعني أن المطورين قد وجدوا عيبًا اعتبروه مهمًا بدرجة كافية ليتم تصحيحه. عدم إغلاق هذه الفجوة سيجعلك عرضة للعيوب التي رأوها ، مما يسهل على أي شخص يعرف طريقه للتغلب على هذا الخلل أن يستغلك.

وينطبق الشيء نفسه على المكونات الإضافية بالإضافة إلى PHP - يمكن أيضًا تحديثها ، ويجب تحديثها بمجرد تلقي الإشعار. فيما يلي دليلنا حول ترقية موقع WordPress إلى أحدث إصدار من PHP.

ملاحظة ، قبل إجراء أي تحديث على موقع WordPress الخاص بك ، يوصى بشدة بإنشاء نسخة احتياطية من موقعك بالكامل.

7. قم بتعطيل ميزة XML-RPC

مع طرح WordPress يأتي التضمين التلقائي لميزة XML-RPC.

سيكون من غير اللطيف لهذه الإضافة إذا لم ننظر إلى جوانبها الجيدة. بعد كل شيء ، هذا هو ما يجعل من السهل توصيل حساب WordPress الخاص بك بسلاسة مع تطبيقات الهاتف المحمول وسطح المكتب.

ومع ذلك ، فإنه يسهل أيضًا حدوث هجمات القوة الغاشمة بمعدل أسرع بكثير.

على سبيل المثال ، لن يحتاج المتسلل إلى إجراء 500 تخمين لكلمة المرور عند تمكين هذه الميزة. كل ما يحتاجون إليه هو تقديم حوالي 50 طلبًا باستخدام وظيفة system.multicall ، وسيكونون قادرين على تجربة آلاف كلمات المرور في نفس الإطار الزمني.

سيكون الإصلاح البسيط لهذا هو تعطيل الميزة ، خاصةً إذا كنت لا تستخدمها.

8. تسجيل خروج المستخدمين العاطلين

إنها ليست كل مرة يحتاج فيها المتسلل إلى الوصول إلى موقع الويب الخاص بك من موقع بعيد. إذا كان لديك عدة مستخدمين على موقع الويب الخاص بك ، فيمكن لمثل هذا المتسلل أن يتسكع حتى يترك المستخدم جهاز الكمبيوتر الخاص به.

لهذا السبب يجب ألا تترك أي شخص في وضع الخمول لفترة طويلة في منطقة لوحة القيادة. إذا كنت قد لاحظت العديد من المواقع المصرفية والمالية ، فهذا هو نفس النموذج الذي يستخدمونه للحفاظ على بيانات المستخدم الخاصة بهم آمنة.

إحدى طرق القيام بذلك هي تثبيت المكوّن الإضافي Idle User Logout. قم بتكوينه ليحدد مقدار الوقت الذي تريد أن يقضيه كل مستخدم في وضع الخمول قبل أن يطلب منه تسجيل الدخول مرة أخرى ، وأنت على ما يرام.

بعد كل ما قيل ، من الجيد الاستعداد للأسوأ. على الرغم من أنه يجب عليك تنفيذ ما سبق ، تأكد من عمل نسخة احتياطية من موقع الويب الخاص بك من وقت لآخر ، يمكنك القيام بذلك بسهولة باستخدام مكون إضافي احتياطي مجاني مثل WPvivid Backup Plugin. بهذه الطريقة ، يمكنك دائمًا الاستعادة من آخر نقطة للنسخ الاحتياطي في حالة حدوث أي شيء.

ومع ذلك ، لا نأمل ذلك لك.

هل حصلت على المزيد من النصائح التي تستخدمها لتأمين موقع WordPress الخاص بك والذي لم نذكره هنا؟ لا تخبرنا عنهم في التعليقات.

لقد غطت هذه المقالة أهم الخطوات الأساسية لحماية WordPress ، لقد أنشأنا أيضًا دليلًا نهائيًا حول كيفية تأمين موقع WordPress من جميع الجوانب التي قد تحتاجها أيضًا.