أهم 10 توصيات بشأن أمان WordPress
نشرت: 2023-02-15ما هي أهم عشر خطوات يمكنك اتخاذها لحماية موقع WordPress الخاص بك؟ ما هي تدابير التشديد الأمني التي سيكون لها أكبر تأثير على سلامة موقع الويب الخاص بك؟ يعد الأمان دائمًا موضوعًا ساخنًا في مجتمع WordPress ، وأسئلة مثل هذه مهمة لسبب وجيه. يدعم WordPress ما يقرب من نصف الإنترنت ، وموقعه الرائد يجعله هدفًا ذا أولوية عالية للمتسللين.
تقع الآلاف من مواقع WordPress ضحية للهجمات الإلكترونية كل يوم. إنها قطرة في مجموعة إجمالي عدد مواقع WordPress ، ولكن إذا حدث لك ذلك؟ انه ضخم. يعاني بعض مالكي المواقع من عواقب طويلة المدى من فقدان البيانات وسرقة البيانات والاحتيال المستحق. أدت السياسات الأمنية السيئة وإدارة المخاطر إلى حدوث كوارث كهذه. ماذا يعني أن يكون لديك سياسات أمان قوية بصفتك مالك موقع WordPress؟ ما هي المخاطر الرئيسية وكيف يمكنك إدارتها؟
المفتاح هو إنشاء أسس آمنة ثم الاستمرار في البناء عليها من خلال ممارسات أمنية متسقة. سيعلمك هذا الدليل كيفية القيام بذلك وتأمين موقع WordPress الخاص بك اليوم.
في هذا الدليل ، سنلقي نظرة عميقة على أمان WordPress. ستتعرف على أخطر الهجمات الإلكترونية التي تستهدف WordPress. ستتعلم كيفية تقليل مخاطر الوقوع ضحية لهم. سنزودك بأهم عشرة توصيات أمنية في WordPress ونوضح كيفية تنفيذها. بعد ذلك ستكون قادرًا على الدفاع عن نفسك ضد أكثر هجمات اليوم تعقيدًا وخبيثة.
هل WordPress آمن؟ نعم!
باختصار ، نعم ، منصة WordPress الأساسية آمنة.
كمشروع برمجيات مفتوح المصدر ناضج ، يبلغ من العمر عشرين عامًا ، يعد WordPress أحد أكثر أطر إنشاء مواقع الويب اختبارًا وآمنًا.
يحافظ مجتمع المطورين وخبراء الأمان على جوهر WordPress. علاوة على ذلك ، فإن قاعدة الشفرة متاحة للجمهور. هذا يعني أن باحثي الأمن أحرار في تحليلها. تحت المراقبة العامة ، فإن أي أخطاء مرت بمراحل الاختبار الأولية لإصدار جديد تميل إلى اكتشافها بسرعة. يتلقى WordPress تحديثات منتظمة ويصلح بسرعة أي ثغرات موجودة في WordPress الأساسية. يزيد هذا التكيف المستمر من أمان النظام الأساسي وجودته بشكل عام.
ما الذي يجعل موقع WordPress غير آمن؟
عندما ينشئ الأشخاص مواقع باستخدام WordPress ، قد لا يكون الأمان في مقدمة أذهانهم. يؤدي التخصيص غير الملائم إلى جانب ممارسات الأمان السيئة (أو عدم وجودها على الإطلاق) إلى مخاطر أمنية كبيرة على نظام WordPress البيئي بأكمله.
مالكو الموقع الذين لا يقومون بتشغيل التحديثات
التحديثات والدعم المنتظم من مطوري WordPress يجعل WordPress آمنًا للغاية. ومع ذلك ، فإن شعبية WordPress لها علاقة كبيرة بسهولة تخصيصها باستخدام المكونات الإضافية والسمات. قد يتم دعم واختبار الإضافات التابعة لجهات خارجية بشكل جيد أو لا يتم اختبارها مثل نواة WordPress. يجب أيضًا تحديثها عند طرح إصدارات جديدة. بالنسبة إلى موقع WordPress الذي يحتوي على 12-24 مكونًا إضافيًا ، قد يكون هناك العديد من التحديثات الجديدة المتاحة كل أسبوع. إن ترك الثغرات الأمنية المعروفة غير مصححة والفشل في إجراء تحديثات منتظمة يزيد بشكل كبير من احتمال اختراق موقع WordPress الخاص بك.
يتلقى WordPress الأساسي تحديثات على مدار العام أيضًا. عادة سيكون هناك أربعة إصدارات رئيسية. ستظهر أيضًا إصدارات الأمان والصيانة عند الحاجة إليها. اعتبارًا من عام 2023 ، تستخدم حوالي 60٪ من مواقع WordPress أحدث إصدار (6.1) من نواة WordPress. 40٪ لا يفعلون ذلك ، وهذا ليس جيدًا لأمنهم. اعتبارًا من ديسمبر 2022 ، لم تعد إصدارات WordPress 3.7 - 4.0 مدعومة وقد لا تتلقى تصحيحات أمان.
مالكو الموقع والمضيفون الذين لا يقومون بتحديث PHP
إحصائية أكثر إثارة للقلق هي أن العديد من مواقع WordPress تستخدم إصدارًا من PHP أقل من 7.4. PHP هي جزء من بيئة خادم مضيفك. إنها اللغة التي يعمل عليها WordPress. في أوائل عام 2023 ، تمت استضافة 55٪ من جميع مواقع WordPress على PHP 7.4. هذا هو آخر إصدار رئيسي لفرع PHP 7. إنه الإصدار الأعلى من PHP المدعوم رسميًا من WordPress في هذا الوقت ، على الرغم من أن العديد من مضيفي WordPress يقدمون PHP 8. سيحافظ مضيفو WordPress المدارون جيدًا على أمان PHP 7 ، لكنه وصل إلى نهاية عمره للحصول على الدعم الرسمي. ستتطلب إضافات ووردبريس PHP 8 أكثر فأكثر بمرور الوقت. المواقع التي لا تواكب تطوير WordPress و PHP تتعرض لخطر أكبر للاختراق.
لماذا مسائل أمن ووردبريس
أمان موقع WordPress مهم! الآن هو دائمًا أفضل وقت لبدء التعامل مع الأمر على محمل الجد إذا لم تكن لديك ممارسات أمنية متسقة. يجعل التطور والحجم المتزايد للهجمات السيبرانية أمان مواقع الويب في غاية الأهمية ، خاصة لأصحاب مواقع WordPress. لا يختار المهاجمون ببساطة مواقع الويب التي يمكنهم اختراقها. الهجمات الإلكترونية الحديثة مؤتمتة للغاية ، ويمكن استهداف آلاف مواقع WordPress في وقت واحد. شعبية WordPress وعدد المواقع التي لم يتم تحديثها تجعلها هدفًا كبيرًا وسهلاً.
سواء كنت تدير مدونة أو موقعًا تجاريًا أو متجرًا عبر الإنترنت ، فأنت مؤتمن على سلامة عملائك وبياناتهم. يمكن أن يؤدي خرق البيانات إلى تعريض عملك للخطر وإلحاق ضرر كبير بسمعتك. يمكن أن تؤدي الممارسات الأمنية السيئة إلى خسائر مالية جسيمة.
أظهرت دراسة حديثة أن معظم الشركات الصغيرة إلى المتوسطة (SMBs) تعتقد أنها ليست أهدافًا للقرصنة ، لكنها مخطئة. تتزايد الهجمات وتستهدفهم على وجه التحديد. في المتوسط ، ينتهي الأمر بالشركات الصغيرة التي تتعرض لخرق للأمن الرقمي إلى دفع تكاليف أعلى من 100000 دولار.
أكثر خمس قضايا أمان ووردبريس شيوعًا
كانت التهديدات الأكثر شيوعًا التي واجهها WordPress في عام 2022 والتي تستغل نقاط الضعف الداخلية في الموقع هي هجمات البرمجة النصية عبر المواقع (XSS) وهجمات التزوير عبر المواقع (CSRF) ، بالإضافة إلى حقن SQL (SQLi). تشمل الحمولات الشائعة أو الأضرار التي لحقت بالمواقع المخترقة والمصابة ، الأبواب الخلفية وعمليات إعادة التوجيه الضارة. أخيرًا ، لا تتضمن الهجمات الأكثر شيوعًا ثغرة في البرامج على الإطلاق. هذه هي محاولات تسجيل الدخول باستخدام القوة الغاشمة ، وحشو كلمات المرور ، وكشط البطاقات ، والتمشيط ، وهجمات رفض الخدمة الموزعة (DDoS).
دعنا نلقي نظرة على هذه التهديدات ونبحث في الحلول التي ستمنعها من اختراق موقع WordPress الخاص بك.
حشو كلمة المرور ، وتسجيل الدخول بالقوة الغاشمة ، وهجمات DDOS
هجمات القوة الغاشمة و DDoS هي هجمات إلكترونية موزعة بشكل كبير تعتمد على الروبوتات. يحاولون اقتحام موقع ويب أو نقله إلى وضع عدم الاتصال عن طريق جعل الخادم الذي يستضيفه مثقلًا بطلبات الويب. غالبًا ما يتضمن كلا النوعين من الهجمات شبكة من الروبوتات (المعروفة أيضًا باسم الروبوتات) يتحكم فيها المهاجم.
تستخدم هجمات القوة الغاشمة لتسجيل الدخول ، والمعروفة أيضًا باسم هجمات تخمين كلمات المرور ، شبكة من أجهزة الكمبيوتر (التي يتم اختراقها عادةً) لاختبار الآلاف من المجموعات العشوائية من الأحرف والأرقام والرموز من أجل اكتشاف اسم تسجيل دخول صالح وكلمة مرور لموقع مستهدف.
حشو كلمة المرور هو نوع من هجمات القوة الغاشمة التي تستخدم كلمات مرور فعلية مسروقة في مكان آخر للوصول إلى موقعك. إذا استخدمت أنت أو مستخدمو موقعك نفس بيانات اعتماد تسجيل الدخول على موقع آخر تم اختراقه ، فقد يكون حشو كلمة المرور ناجحًا على موقعك.
عندما يحاول المهاجم الآلاف من عمليات تسجيل الدخول في الدقيقة ، فقد يكون له تأثير هجوم DDoS. تقوم DDoSes بإلقاء العديد من الطلبات على الخادم الخاص بك مما يؤدي إلى زيادة التحميل عليه. في بعض الأحيان ، يتم تنفيذ هجمات DDoS ببساطة لحجز المواقع في وضع عدم الاتصال بهذه الطريقة.
عندما يتعلق الأمر بـ WordPress و WooCommerce ، فإن هجمات البطاقات هي مثال جيد على محاولة القوة الغاشمة لوضع أرقام حسابات بطاقات الائتمان المسروقة في موقع للتجارة الإلكترونية لإجراء عمليات شراء احتيالية. قد يكون لهجمات Carding أيضًا تأثير DDoS.
البرمجة النصية عبر المواقع وطلب التزوير
البرمجة النصية عبر المواقع وتزوير الطلبات عبر المواقع ، والمعروفين أيضًا باسم XSS و CSRF ، هي هجمات إلكترونية تحاول تشغيل نصوص ضارة على موقع الويب الخاص بك والتي ستستغل أجهزة كمبيوتر زوارك. باستخدام موقعك ، ترسل هذه الهجمات طلبات غير مصرح بها منه نيابة عن المستخدم الخاص بك. الهدف هو الاحتيال على زوار موقعك وسرقة المعلومات الحساسة أو الأموال منهم. تعتبر البرمجة النصية عبر المواقع وطلب التزوير من أخطر الهجمات الإلكترونية التي تستهدف مواقع WordPress.
أحد أبرز الأمثلة على هجمات البرمجة النصية عبر المواقع التي تؤثر على WordPress يتضمن كاشطات بطاقات تعتمد على JavaScript يتم حقنها في متاجر WooCommerce. يتم حقن البرامج الضارة للتخلص من البطاقات التي تم تحميلها من موقع الويب الخاص بالمهاجم في متصفحات زوارك. ستحاول هذه الشفرة الضارة سرقة معلومات الدفع المهمة من صفحة الدفع بمجرد إجراء عملية الشراء.
الأبواب الخلفية وقذائف الويب
يعد Backdoors و web shell نوعين مرتبطين من البرامج الضارة التي يتم تحميلها غالبًا إلى مواقع الويب المخترقة كحمولة في الخرق الأولي. كلاهما يتيح مستوى أعمق من الضرر: الإصابة بالبرامج الضارة. كلاهما من الأدوات التي يستخدمها المتسللون الضارون للتعمق أكثر في الخادم وتطبيقات الويب أو لإجراء عمليات احتيال ومزيد من الهجمات على المواقع الأخرى.
الأبواب الخلفية هي برامج يتم حقنها في موقع ويب للسماح للمهاجم بالحصول على وصول غير مصرح به إلى مناطقه الحرجة عن طريق تجاوز أساليب المصادقة العادية. تعد قذائف الويب ، بدورها ، أدوات مساعدة لإدارة الملفات الضارة يستخدمها المتسلل لتحميل المزيد من الحمولات الضارة إلى موقع الويب المخترق.
غالبًا ما تتسلل Backdoors إلى مالكي مواقع الويب السابقين وحتى برامج مكافحة الفيروسات. سيسمح الباب الخلفي للمتسلل بالعودة وإعادة إصابة موقع الويب أو استغلاله مرة أخرى في وقت لاحق ، حتى لو تم اتخاذ جميع الإجراءات الأمنية اللازمة. وبالمثل ، إذا لم تتم إزالة قذيفة الويب ، فسيظل المهاجم يتحكم في موقع الويب.
عمليات إعادة التوجيه الخبيثة
أحد أكثر أهداف المهاجم شيوعًا هو إصابة زوارك ببرامج ضارة. تتمثل إحدى الطرق الأكثر شيوعًا لتحقيق هذا الهدف في إعادة توجيه المستخدمين المطمئنين من مواقع الويب الموثوقة التي سيطر المهاجمون عليها.
يمكن للقراصنة وضع عمليات إعادة توجيه ضارة في أي مكان على مواقع الويب التي تم الاستيلاء عليها مما يجعل من الصعب تحديد موقعها وإزالتها. في كثير من الأحيان ، يتعين على مالكي مواقع الويب إعادة تثبيت WordPress (وهو أمر بسيط) أو استعادة موقع الويب بالكامل من نسخة احتياطية (والتي قد تكون أكثر صعوبة) من أجل مسحها من عمليات إعادة التوجيه الضارة بعد تصحيح الثغرة الأمنية التي جعلت هذا الاستغلال ممكنًا.
كنوع من الرسائل غير المرغوب فيها لتحسين محركات البحث (SEO) ، كانت عمليات اختراق الأدوية من أكثر الهجمات شهرة التي تؤثر على مواقع WordPress على الويب. يملأ المهاجمون موقع WordPress المخترق بكلمات رئيسية غير مرغوب فيها للأدوية الشائعة في محاولة للحصول عليه في مرتبة عالية في محركات البحث ثم إعادة توجيه الزوار إلى بوابات احتيالية تبيع الأدوية الخاضعة للتنظيم. في معظم الأحيان ، يضع المهاجمون عمليات إعادة توجيه ضارة في .htaccess file
أو ينشئون ملفًا غير ضار على ما يبدو لهذا الغرض.
هجمات حقن SQL
هجوم حقن SQL ، المعروف أيضًا باسم إدراج SQL (SQLi) ، هو نوع من هجوم حقن البيانات يستغل التحقق غير الكافي من إدخال المستخدم الذي يسمح للمهاجم بالتلاعب بقاعدة بيانات موقع الويب بطريقة ضارة. تستفيد كل من حقن SQL والبرمجة عبر المواقع من الثغرات الأمنية المزعومة التي قد تؤثر على مناطق معينة من موقع WordPress الخاص بك. تظهر ثغرات المدخلات عندما يقبل البرنامج المساعد البيانات أو المحتوى الذي يرسله المستخدم ولكنه لا يفحصه بحثًا عن تعليمات برمجية ضارة. قد يقوم هذا الرمز بتنفيذ استعلامات على قاعدة البيانات الخاصة بك لسرقة البيانات الخاصة أو إتلافها.
أهم 10 توصيات بشأن أمان WordPress
عندما يتعلق الأمر بأمان موقع WordPress ، فإن اتباع نهج واعي لتقليل سطح الهجوم هو المفتاح. ستساعدك معرفة نقاط الضعف الأكثر شيوعًا في WordPress وأنواع الهجمات الإلكترونية على تحسين أمان موقع الويب الخاص بك بشكل كبير. أهم 10 توصيات أمان فيما يلي لـ WordPress هي المعرفة الأساسية التي تحتاجها لتأمين أي موقع WordPress. يسهل اتباع معظم هذه التوصيات نسبيًا ولا تتطلب أي حلول أمنية مدفوعة.
قم بإجراء تحديثات منتظمة ولا تقم بتثبيت أي برنامج من مصادر لم يتم التحقق منها
تتمثل إحدى أهم توصيات أمان WordPress في إجراء تحديثات منتظمة أساسية وموضوعية ومكونات إضافية. تأكد من أن جميع البرامج التي تقوم بتثبيتها تأتي من مصادر موثوقة وموثوقة. نظرًا لأن WordPress مكتوب بلغة PHP ، تأكد من استخدام إصدار PHP مدعوم من أحدث إصدار رئيسي. في الوقت الحالي ، يتوفر PHP 7.4 مع دعم بيتا فقط لـ PHP 8.
نادرًا ما تلبي ميزات WordPress الافتراضية جميع احتياجات أصحاب الأعمال ، لذا فهي توسع من قدرات النظام الأساسي عن طريق تثبيت المزيد من المكونات الإضافية والسمات. تعمل السمات والمكونات الإضافية التابعة لجهات خارجية على زيادة سطح الهجوم ، مما يجعل مواقع WordPress عرضة لمزيد من التهديدات الأمنية.
يمكن أن تأتي المشاكل الرئيسية من استخدام إصدارات مقرصنة غير رسمية من المكونات الإضافية والسمات المدفوعة. تأتي هذه دائمًا من مصادر مشكوك فيها للغاية. يعد استخدام إصدارات قديمة من WordPress والفشل في تصحيح الثغرات أمرًا محفوفًا بالمخاطر للغاية.
استخدم مكونًا إضافيًا للأمان مثل iThemes Security Pro
أفضل طريقة للحفاظ على أمان موقع الويب الخاص بك هي تشغيل التحديثات التلقائية للسمات الأساسية والمكونات الإضافية. يمكن لـ iThemes Security Pro تتبع جميع تحديثات البرامج المتاحة بسهولة وتثبيت إصدارات جديدة من WordPress Core بالإضافة إلى السمات والمكونات الإضافية. إذا كنت تدير العديد من مواقع WordPress ، فإن iThemes Sync Pro يسمح لك بأداء جميع المهام الإدارية من واجهة واحدة والاستفادة من مراقبة وقت التشغيل وتتبع مقاييس تحسين محركات البحث.
تهتم معظم حلول استضافة WordPress ، مثل خطط استضافة WordPress السحابية المُدارة التي تقدمها Nexcess ، بجميع تحديثات البرامج نيابةً عنك ، بل وتأتي مع أدوات مدمجة مثل المقارنة المرئية لمساعدتك في تتبع أي تعارضات محتملة في المكونات الإضافية ومشكلات أخرى قبل إجراء أي تحديثات. توفر لك Nexcess أيضًا كتالوجًا من حلول WordPress المتميزة. يقدم Kadence WP كموضوع كتلة مدمج مع كتل مخصصة لمساعدتك في تصميم موقع أحلامك مع ضمان أمانه.
قم بإنشاء إستراتيجية نسخ احتياطي قوية
استراتيجية النسخ الاحتياطي القوية ضرورية للغاية لأمن WordPress. يؤدي إجراء نسخ احتياطية منتظمة لموقع WordPress الخاص بك إلى إعدادك لسهولة الاسترداد في حالة حدوث خرق أو فشل التحديث أو أي مشكلة أخرى قد تنشأ.
من الأفضل أن يكون لديك ما لا يقل عن عشرة أيام أو حتى أسبوعين من النسخ الاحتياطية الكاملة لـ WordPress التي تتضمن قاعدة بيانات WordPress وملفات موقع الويب وأي محتوى آخر ذي صلة. يمكن أن يكون الاحتفاظ بنسخ احتياطية أسبوعية وشهرية مفيدًا للغاية بالإضافة إلى النسخ الاحتياطية اليومية وكل ساعة.
تأكد من اتباع مبدأ تكرار البيانات. الاحتفاظ بنسخ العمل من موقع WordPress الخاص بك في أكثر من مكان. سيساعدك هذا في استعادة معلوماتك في حالة حدوث أي شيء لأرشيف احتياطي واحد
يمكنك استخدام حلول النسخ الاحتياطي التي يوفرها موفر الاستضافة ، بما في ذلك النسخ الاحتياطية لـ cPanel و Acronis ، لحفظ نسخ من موقع الويب الخاص بك في دورات يومية وأسبوعية وشهرية. يمكن أن يساعدك المكون الإضافي للنسخ الاحتياطي في WordPress في إنشاء جدول نسخ احتياطي أكثر مرونة. يعد BackupBuddy مكونًا إضافيًا لحماية البيانات واستردادها على مستوى عالمي لبرنامج WordPress. يمكن أن يساعدك في إنشاء استراتيجية نسخ احتياطي قوية ، والوصول السهل إلى الاستعادة بنقرة واحدة كلما احتجت إليها.
إجراء فحص منتظم للثغرات الأمنية والبرامج الضارة
يعد فحص الثغرات الأمنية ومراقبة سلامة الملفات من أفضل الأدوات التي يمكنك استخدامها لحماية جميع المجالات الهامة في موقع WordPress الخاص بك. تعد واجهة WordPress Site Health المدمجة أداة رائعة للبدء بها. إذا كنت بحاجة إلى المزيد من توصيات أمان WordPress المصممة خصيصًا لموقع الويب الخاص بك ، فسوف يوفر لك iThemes Pro Site Scan تقريرًا شاملاً عن أمان موقع WordPress الخاص بك.
المنع هو المفتاح ، وكذلك الاكتشاف المبكر للهجوم والتخفيف من حدته. الغرض الرئيسي من معظم البرامج الضارة هو عدم اكتشافها لأطول فترة ممكنة. ليس من غير المألوف أن يتم اختراق مواقع WordPress الإلكترونية لأسابيع حتى إشعار أصحابها. يوفر iThemes Security Pro مراقبة متقدمة لتغيير الملفات تنبهك في أي وقت يوجد فيه أي نشاط مشبوه يحدث داخل ملفات موقع WordPress الخاص بك.
سيساعد إجراء عمليات الفحص المنتظمة للبرامج الضارة في التعرف على الإصابة بالبرامج الضارة مبكرًا. هذا هو المفتاح لحظر الأشرار وتنظيف موقع WordPress الخاص بك قبل حدوث ضرر لا يمكن إصلاحه. إذا كنت تبحث عن ماسحات ضوئية رائعة مجانية للبرامج الضارة ، فقد أثبت ImunifyAV من CloudLinux أنه موثوق للغاية وسهل الاستخدام.
الحفاظ على أذونات الملفات آمنة وحماية ملف wp-config.php
يمكن أن تؤثر أذونات ملف WordPress بشكل كبير على الأمان العام لموقع WordPress الخاص بك. يمكن أن تعرض إعدادات الأذونات غير الصحيحة النظام بأكمله لخطر جسيم ، خاصة إذا كنت تحتفظ بالخادم الخاص بك وتقوم بتشغيل مواقع متعددة عليه. يعد تكوين أذونات ملف WordPress الخاصة بك بشكل آمن أمرًا ضروريًا للغاية.
يعد ملف التكوين الرئيسي: wp-config.php
من أكثر المناطق ضعفًا في موقع الويب الخاص بك على WordPress. البيانات الهامة المخزنة هناك ، بما في ذلك معلومات اتصال قاعدة بيانات WordPress ، تجعل wp-config.php
هدفًا ذا أولوية عالية للهجمات التي تحاول السيطرة على موقع الويب الخاص بك.
إحدى توصيات أمان WordPress الرئيسية التي يمكنك تنفيذها الآن هي تعيين أذونات ملف wp-config.php
الخاص بموقعك على الأقل إلى 640. إذا لم تكن متأكدًا من أذونات الملفات التي يجب أن تمتلكها ملفات مواقع الويب الأخرى ، فإن عمليات التحقق من إذن الملفات في iThemes Security Pro ستساعدك الأداة في معرفة ذلك.
يتم تسهيل الاختراقات عبر الحسابات من خلال أذونات الملفات غير الآمنة وعزل المستخدم الضعيف
يستغل المتسللون بشكل نشط عزل المستخدم الضعيف ، جنبًا إلى جنب مع أذونات الملفات غير الآمنة ، لتنفيذ هجمات خطيرة عبر الحسابات. تُعرف هذه الاختراقات باسم "اختراق الروابط الرمزية" أو "اختراق Anonymous Fox" لبرنامج WordPress.
باستخدام أحد مواقع الويب المخترقة كنقطة دخول ، يمكن للمهاجم إنشاء روابط رمزية عبر الحسابات لملفات تكوين مواقع الويب الأخرى ، مثل wp-config.php
، لكشف معلومات حساسة والتحكم في جميع مواقع الويب على الخادم المحدد. هذا الاختراق ممكن فقط إذا كان ملف wp-config.php
الخاص بك قابلاً للقراءة من قبل مستخدمين آخرين على نفس الخادم.
تقترح بعض توصيات أمان WordPress نقل wp-config.php
، مما قد يساعد ، لكن هذا لن يعالج جميع المخاطر حقًا. حافظ على أذونات الملفات آمنة وتأكد من عزل جميع مواقع الويب عن بعضها البعض على نفس الخادم. واحدة من أفضل الطرق لتحقيق ذلك هي استخدام CageFS ، التي يوفرها نظام التشغيل CloudLinux.
تكوين جدار حماية تطبيق الويب
تتمثل توصية الأمان الرئيسية الأخرى في WordPress في استخدام جدار حماية لتطبيق الويب ، أو أفضل من ذلك ، أنظمة دفاع متعددة مثل WAF المستندة إلى المضيف والقائمة على السحابة. يعمل جدار حماية تطبيق الويب كخط دفاع أول ضد جميع الهجمات الإلكترونية المعروفة ، حيث يقوم بتصفية أي حركة مرور ضارة بناءً على مجموعة قواعد يتم تحديثها باستمرار.
تقوم WAFs بفحص كل حركة مرور الويب بحثًا عن أي طلبات مشبوهة بناءً على عدد من الأنماط التي تم إعدادها بواسطة القواعد التي نحددها. وهذا يضمن مستوى عالٍ من الحماية ضد هجمات DDoS وهجمات القوة الغاشمة ، بالإضافة إلى SQLi و XSS.
يمكن لـ WAF المستندة إلى مجموعة النظراء مثل Cloudflare WAF التخفيف من مجموعة واسعة من الهجمات مع تقليل الحمل على الخادم الأصلي. تخضع الطلبات التي تشق طريقها إلى الخادم الذي يستضيف موقع WordPress الخاص بك بعد ذلك لجولة أخرى من الفحوصات بواسطة WAF القائم على المضيف مثل ModSecurity. كلا الحلين مجانيان تمامًا ويعتبران معيار الصناعة لأمان WordPress.
قم بإعداد رؤوس أمان HTTP
تعد رؤوس استجابة أمان HTTP واحدة من أكثر الأدوات قيمة لديك لزيادة أمان موقع WordPress الخاص بك. على غرار جدران الحماية الخاصة بتطبيقات الويب ، يمكن لرؤوس استجابة HTTP منع الوصول إلى المناطق الهامة في موقع الويب الخاص بك ومنع أي نشاط قد يعرض عملائك وبياناتهم للخطر.
تتضمن أهم رؤوس أمان HTTP لـ WordPress ما يلي:
- سياسة أمان المحتوى (CSP). حل قوي يمكن أن يساعد في التخفيف من البرمجة النصية عبر المواقع واختراق النقر ، والهجمات الإلكترونية الخطيرة الأخرى التي تستهدف مواقع WordPress الإلكترونية. يساعدك استخدام CSP على تحديد قائمة الموارد التي يمكنها تحميل المحتوى من موقع الويب الخاص بك ، بالإضافة إلى قائمة الموارد التي يمكن لموقع الويب الخاص بك تحميل المحتوى منها.
- تعيين ملف تعريف الارتباط . يتحكم رأس استجابة Set-Cookie في كيفية إرسال ملفات تعريف الارتباط من الخادم إلى متصفح المستخدم. يمكن أن يساعد تكوين سمة SameSite في الدفاع عن موقع WordPress الخاص بك ضد تزوير الطلبات عبر المواقع واختراق النقر.
- أمن النقل الصارم (HSTS). يضمن رأس استجابة HSTS أنه لا يمكن الوصول إلى موقع WordPress الخاص بك إلا عبر HTTPS ، مما يتيح التشفير التام بين الخادم والمتصفح.
في معظم الأوقات ، يمكنك تكوين رؤوس أمان HTTP لموقع الويب الخاص بك على WordPress في ملف .htaccess
المحلي الخاص بك. يرجى ملاحظة أن معظم موفري استضافة WordPress يقومون بإعداد رؤوس استجابة HTTP لك ، لذلك قد تحتاج إلى استشارة فريق دعم مضيفك لمعرفة ما إذا كنت بحاجة إلى إعادة تحديد أي قواعد محليًا.
تعطيل تنفيذ PHP في مجلد التحميلات وإيقاف تشغيل فهرسة الدليل
عندما يتعلق الأمر بـ WordPress ، يميل المتسللون إلى إخفاء البرامج الضارة في المجلدات التي لا تخزن عادةً أي كود قابل للتنفيذ. أحد هذه المجلدات هو دليل uploads في wp-content
. يعد تعطيل تنفيذ PHP في مجلد التحميلات فكرة جيدة. يمكن أن يساعد ذلك في الحد من نطاق الإصابة بالبرامج الضارة وتسريع معالجة البرامج الضارة.
إذا كان لديك Apache HTTP متاحًا للاستخدام ، فأنشئ ملف .htaccess
في wp-content / uploads وأضف القاعدة أدناه إليه. سيؤدي هذا إلى منع تحميل أي نصوص PHP من مجلد التحميلات. هذا موقع شائع حيث قد يضع المهاجم تعليمات برمجية ضارة.
بالإضافة إلى حظر تنفيذ PHP ، يعد تعطيل فهرسة الدليل على موقع الويب الخاص بك عنصرًا مهمًا آخر في قائمة توصيات أمان WordPress الخاصة بنا. إذا لم يتم تعطيل فهرسة الدليل ، فسيقوم المتصفح بتحميل قائمة الملفات الموجودة في الدليل المطلوب إذا كان يفتقد ملف index.php
أو index.html
.
يستغل المهاجمون هذه القدرة على نطاق واسع ، خاصةً عندما يتعلق الأمر بهجمات الارتباط الرمزي عبر الحسابات الموضحة سابقًا في الدليل. يمكنك حظر فهرسة الدليل بشكل عام أو على أساس كل دليل باستخدام القاعدة التالية في .htaccess
:
قم بتغيير بادئة قاعدة بيانات WordPress الخاصة بك واسم مستخدم المسؤول الافتراضي
ما لم تقم بتغيير عملية التثبيت الافتراضية ، سيستخدم WordPress تلقائيًا بادئة wp-
القياسية لقاعدة البيانات الخاصة به وينشئ مستخدم admin
افتراضي. نظرًا لأن هذه معرفة عامة ، فإن هجمات القوة الغاشمة وحقن البيانات تفترض ذلك.
قم بإزالة المستخدم المسؤول الافتراضي وقم بتغيير بادئة قاعدة بيانات WordPress إلى شيء مشابه لـ wp2789_
. يمكنك القيام بذلك عن طريق إعادة تسمية جميع جداول قاعدة البيانات باستخدام phpMyAdmin أو من خلال واجهة سطر أوامر MySQL. تأكد من تحديث بادئة قاعدة البيانات في wp-config.php
بعد ذلك.
تقييد الوصول إلى XMLRPC و WordPress تسجيل الدخول
عندما يتعلق الأمر بالقوة الغاشمة وهجمات DDoS ، xmlrpc.php
وصفحة تسجيل الدخول إلى WordPress هما المجالان اللذان يستهدفهما المهاجمون في مواقع WordPress على الويب. إذا كان الوصول إلى هاتين الواجهتين غير مقيد ، فمن المحتمل أن يعاني موقع WordPress الخاص بك من الأداء الضعيف والتوقف المتكرر. علاوة على ذلك ، هناك كل الاحتمالات بأن يتمكن المخترق في النهاية من اختراق حساب المسؤول الخاص بك وإحداث فوضى في موقع الويب الخاص بك.
XMLRPC هي واجهة برمجة تطبيقات (API) تسمح لـ WordPress بالتواصل مع الأنظمة الأخرى ، وكانت جزءًا من WordPress منذ بداية النظام الأساسي. ومع ذلك ، نظرًا لأن WordPress يعتمد بشكل كبير على REST API ، نادرًا ما يتم استخدام XMLRPC ويمكن عادةً تعطيله تمامًا دون أي عواقب سلبية. يمكنك إضافة القاعدة أدناه إلى .htaccess file
الخاص بموقعك أو ببساطة أذونات ملف xmlrpc.php إلى الصفر لهذا الغرض.
يعد تقييد الوصول إلى لوحة إدارة WordPress الخاصة بك واحدة أخرى من توصيات أمان WordPress الرئيسية الخاصة بنا. في حين أن تغيير عنوان تسجيل الدخول إلى WordPress يجعل اكتشافه أكثر صعوبة ، فإن حماية كلمة مرور صفحة تسجيل الدخول أو تحديد مجموعة حصرية من عناوين IP التي يمكنها الوصول إليها ستقضي بشكل فعال على خطر حصول المهاجم على وصول غير مصرح به إلى الواجهة الخلفية لـ WordPress.
استخدم كلمات مرور قوية وقم بتكوين المصادقة متعددة العوامل
لا يمكن المبالغة في أهمية استخدام كلمات مرور قوية. ومع ذلك ، يميل بعض مالكي مواقع WordPress إلى نسيان أن لوحة إدارة WordPress ليست متجه الهجوم الوحيد. يتم اختراق عدد كبير من مواقع WordPress نتيجة وصول المهاجم إلى حسابات لوحة تحكم استضافة الويب الخاصة بهم.
مع العديد من المضيفين ، يتوافق اسم حساب موقع WordPress الخاص بك مع مستخدم فعلي تم إنشاؤه على الخادم المضيف. من السهل تخمينها أو تكون مرئية للعامة. قد يسمح لك زوج بيانات الاعتماد ، جنبًا إلى جنب مع كلمة المرور الخاصة به ، بالاتصال بموقعك عبر SSH و SFTP. إنها طريقة الوصول إلى لوحة تحكم الاستضافة الخاصة بك. إذا تم اختراق هذا الحساب ، فقد يحصل المهاجم على حق الوصول الكامل ليس فقط إلى موقعك ولكن إلى حساب الاستضافة بالكامل والبريد الإلكتروني وحتى أسماء المجال أو سجلات DNS الخاصة بك.
اعتماد سياسات كلمات مرور قوية ومصادقة متعددة العوامل لكل من مستخدمي WordPress المسؤولين وحساب لوحة تحكم استضافة موقع الويب الخاص بك. إذا كان ذلك ممكنًا ، فقم بتعطيل مصادقة كلمة المرور لـ SSH تمامًا لصالح طرق المصادقة القائمة على المفتاح.
يمكّنك iThemes Security Pro من إعداد مصادقة بدون كلمة مرور للوحة إدارة WordPress الخاصة بك باستخدام مفاتيح المرور مع تسجيلات الدخول البيومترية. هذا ، جنبًا إلى جنب مع المصادقة متعددة العوامل التي تم إعدادها لحساب الاستضافة الخاص بك ، يضمن الحماية الكاملة ضد هجمات القوة الغاشمة ويؤمن موقع الويب الخاص بك حتى إذا تم اختراق بيانات اعتماد تسجيل الدخول الخاصة بك.
قم بتنفيذ أفضل توصيات أمان WordPress باستخدام iThemes Security Pro
باعتباره أكثر أنظمة إدارة المحتوى شيوعًا في العالم ، يعد WordPress هدفًا ذا أولوية عالية للمتسللين في كل مكان. لاستغلال خروقات البيانات وتوزيع البرامج الضارة ، يستخدم المهاجمون مجموعة واسعة من الأساليب المعقدة مثل حقن قاعدة البيانات ، والبرمجة عبر المواقع ، وتزوير الطلبات عبر المواقع. ما لم يكن موقع WordPress الخاص بك محميًا من هذه التهديدات الأمنية الشائعة ، فقد يصبح هدفًا سهلاً.
مع وجود عدد لا يحصى من توصيات الأمان في WordPress التي يتم تداولها ، قد يكون من الصعب فهم كيفية الحفاظ على أمان موقع الويب الخاص بك ، خاصةً عندما تكون هناك استراتيجيات متعددة للتخفيف من كل هجوم إلكتروني. إن جعل أمان WordPress أكثر سهولة هو ما تسعى إليه iThemes. اجعل iThemes Security Pro و BackupBuddy مساعدين أمنيين شخصيين لك! إنها توفر أكثر من 50 طريقة لحماية موقع WordPress الخاص بك من الهجمات الإلكترونية الأكثر خطورة الموجودة اليوم.
أفضل مكون إضافي لأمن WordPress لتأمين وحماية WordPress
يعمل WordPress حاليًا على تشغيل أكثر من 40 ٪ من جميع مواقع الويب ، لذلك أصبح هدفًا سهلاً للمتسللين ذوي النوايا الخبيثة. يزيل المكون الإضافي iThemes Security Pro التخمين من أمان WordPress لتسهيل حماية موقع WordPress الخاص بك وحمايته. يشبه الأمر وجود خبير أمان بدوام كامل بين الموظفين الذين يراقبون ويحمون موقع WordPress الخاص بك باستمرار.
Kiki حاصل على درجة البكالوريوس في إدارة نظم المعلومات وأكثر من عامين من الخبرة في Linux و WordPress. تعمل حاليًا كأخصائي أمان في Liquid Web و Nexcess. قبل ذلك ، كانت Kiki جزءًا من فريق دعم Liquid Web Managed Hosting حيث ساعدت المئات من مالكي مواقع WordPress على الويب وتعرفت على المشكلات الفنية التي يواجهونها غالبًا. شغفها بالكتابة يسمح لها بمشاركة معرفتها وخبرتها لمساعدة الناس. بصرف النظر عن التكنولوجيا ، يستمتع Kiki بالتعرف على الفضاء والاستماع إلى ملفات بودكاست الجريمة الحقيقية.