اختبار أمان موقع الويب: كيفية حماية موقع WordPress الخاص بك من الرصاص
نشرت: 2023-06-29يعني الحفاظ على موقع الويب الخاص بك "آمنًا" حمايته من البرامج الضارة والمهاجمين وخروقات البيانات وعشرات من مشكلات الأمان المحتملة الأخرى. يجعل اختبار أمان موقع الويب هذا ممكنًا من خلال مساعدتك في العثور على أي ثغرات أمنية في WordPress قبل أن تتحول إلى مشاكل كاملة.
WordPress هو نظام إدارة محتوى آمن (CMS) خارج الصندوق. ومع ذلك ، هناك دائمًا المزيد الذي يمكنك القيام به فيما يتعلق بتحسين أمان موقع الويب. يعد اختبار مشكلات الأمان نهجًا استباقيًا سيساعدك على منع فترات التوقف والإصلاحات المكلفة. علاوة على ذلك ، فإن الحفاظ على موقع الويب الخاص بك آمنًا يمكن أن يساعد في الحفاظ على ثقة المستخدمين.
في هذه المقالة ، سنناقش الخطوات الأساسية في اختبار أمان موقع الويب. النصيحة هنا موجهة نحو مواقع WordPress. ومع ذلك ، يمكن أيضًا تطبيق معظم هذه الأساليب على أنواع أخرى من مواقع الويب. دعنا نذهب اليها!
جدول المحتويات :
- افحص موقع الويب الخاص بك بحثًا عن نقاط الضعف
- تحقق من أدوار المستخدم والأذونات
- تحقق مما إذا كانت هناك تحديثات متوفرة
- تحقق من سجلات نشاط WordPress
- اختبر لمعرفة ما إذا كان نظام النسخ الاحتياطي يعمل أم لا
1. افحص موقع الويب الخاص بك بحثًا عن نقاط الضعف
نعني بكلمة "نقاط الضعف" نقاط الضعف المحتملة في أمان موقعك. يمكن أن تكون الثغرة الأمنية أي شيء من مكون إضافي قديم إلى استخدام إصدار قديم من PHP ، والفشل في حظر عناوين IP المشبوهة ، وأكثر من ذلك.
أسهل طريقة للبحث عن نقاط الضعف في WordPress هي استخدام مكون إضافي للأمان. تقدم المكونات الإضافية للأمان في WordPress الأكثر شيوعًا عمليات فحص آلية أو عند الطلب للثغرات الأمنية:
لتغطية القواعد الخاصة بك ، نوصي باستخدام مكون إضافي للأمان يمكّنك أيضًا من مراقبة تغييرات الملفات. تخبرك هذه الأنواع من الماسحات الضوئية بما إذا كانت هناك أي تغييرات تم إجراؤها على ملفات WordPress الأساسية الخاصة بك. عادةً ما يسجلون أيضًا معلومات حول وقت حدوث التغييرات حتى تتمكن من تتبع مشكلة الأمان إلى مصدرها.
إذا كنت بحاجة إلى مساعدة في اختيار المكون الإضافي الأمني المناسب لاحتياجاتك ، فقد قمنا بتجميع قائمة من أفضل الخيارات هنا.
إذا كنت لا ترغب في استخدام مكون إضافي للأمان في WordPress ، فهناك بديل آخر وهو الاستفادة من قاعدة بيانات الثغرات الأمنية مثل WPScan. يمكنك فحص موقع الويب الخاص بك مقابل قاعدة بيانات WPScan باستخدام WP-CLI (إذا كان لديك حق الوصول إليه).
نوصي بأتمتة هذه العملية بحيث تعمل يوميًا أو أسبوعيًا على الأقل. بهذه الطريقة ، ستكون دائمًا على رأس أي ثغرات أمنية محتملة على موقع الويب الخاص بك وستكون قادرًا على القفز إليها وإصلاحها عند ظهورها.
2. تحقق من أدوار المستخدم والأذونات
إذا قمت بتشغيل موقع ويب حيث يمكن لعدة أشخاص الوصول إلى لوحة المعلومات ومستويات مختلفة من الأذونات ، فمن المفيد مراجعتها بشكل دوري. من وجهة نظر أمنية ، يجب ألا يحصل أي مستخدم على أذونات أكثر من الحد الأدنى الذي يحتاجه إما للقيام بعمله أو المشاركة في الموقع.
لوضع ذلك في منظور ، دعنا نتحدث عن أدوار مستخدم المسؤول. في WordPress (وفي معظم الأنظمة) ، يمتلك المسؤول الأذونات اللازمة لتغيير أي جزء من تكوين النظام. هذا يعني أنه يمكنك تثبيت المكونات الإضافية وتعديل السمات وحذف المحتوى وتغيير إعدادات الموقع والعديد من الأشياء الأخرى التي لا تريد أن يتمكن المستخدمون العاديون من القيام بها.
مع نمو الموقع ، من الطبيعي أن تكون هناك مشكلات بسبب حصول بعض المستخدمين على أذونات أكثر من اللازم. تخيل أنك طردت شخصًا من فريقك ويحتفظ بحق الوصول إلى حساباته. إذا كانوا محررًا ، فيمكنهم حذف المحتوى أو إعادة كتابته ، وهي رقابة أمنية ضخمة.
لتجنب هذا النوع من المواقف ، نوصي بمراجعة أدوار المستخدمين والأذونات كل بضعة أشهر (حسب عدد المستخدمين لديك). تأكد من عدم امتلاك أي شخص أذونات لا ينبغي أن يكون لديه حق الوصول إليها وتغيير أدوار المستخدم أو حذف الحسابات حسب الحاجة.
3. معرفة ما إذا كانت هناك تحديثات متوفرة ️
يعد الحفاظ على WordPress وجميع مكوناته محدثًا هو أهم شيء يمكنك القيام به فيما يتعلق بأمان موقع الويب. إذا كان ذلك ممكنًا ، يجب أن تتحقق من لوحة القيادة كل يوم بحثًا عن المكون الإضافي والسمات والتحديثات الأساسية المتاحة. أسهل طريقة للقيام بذلك هي الانتقال إلى صفحة التحديثات في لوحة المعلومات:
تتضمن هذه الصفحة جميع التحديثات المتاحة ، بما في ذلك المكونات الإضافية والسمات والخيارات الأساسية. بدلاً من ذلك ، يمكنك تمكين التحديثات التلقائية لـ WordPress الأساسية والمكونات الإضافية المحددة.
يمكن أن يوفر لك نهج التحديث التلقائي الوقت. ومع ذلك ، نوصي باختبار تحديثات WordPress الرئيسية على موقع مرحلي. يمكن أن تتسبب هذه التحديثات أحيانًا في حدوث مشكلات في التوافق مع المكونات الإضافية والسمات ، لذلك من الآمن اختبارها في بيئة مضمنة.
يجب أن تستغرق مراقبة موقعك للحصول على التحديثات يدويًا بضع دقائق فقط كل يوم. هذا هو المفتاح للحفاظ على موقع الويب الخاص بك آمنًا نظرًا لأن البرامج القديمة من المرجح أن تحتوي على ثغرات أمنية.
4. تحقق من سجلات نشاط WordPress
بشكل افتراضي ، لا يقدم WordPress سجلات النشاط. نعني بعبارة "سجل النشاط" سجلاً لكل ما يحدث على موقع الويب الخاص بك. يتضمن ذلك محاولات تسجيل الدخول والتغييرات في تكوين الموقع وتحديثات المكون الإضافي والعديد من أنواع الأحداث الأخرى.
يعد الوصول إلى سجل النشاط أمرًا أساسيًا لاختبار أمان موقع الويب لأنه يمكّنك من تحديد أي أحداث قد تؤدي إلى مشاكل. على سبيل المثال ، إذا رأيت في سجلات الأمان أن شخصًا ما يحاول بشكل متكرر تسجيل الدخول إلى حسابك ، فستعرف أن هناك هجومًا عنيفًا يحدث.
هناك الكثير من المكونات الإضافية لسجل نشاط WordPress للاختيار من بينها. نوصي بمراجعة تقريرنا لأهم المكونات الإضافية لسجل النشاط واختبارها لمعرفة أي منها يغطي أنواع الأحداث التي تريد مراقبتها.
بمجرد أن تتمكن من الوصول إلى سجلات الأمان ، سترغب في تكوين المكون الإضافي لإعلامك في حالة وقوع أحداث معينة. سيوفر لك هذا الاضطرار إلى قضاء بعض الوقت في البحث في السجلات يدويًا كل يوم. بدلاً من ذلك ، ستتلقى إشعارات فقط عندما يحدث شيء خطير.
5. اختبر لمعرفة ما إذا كان نظام النسخ الاحتياطي يعمل أم لا
تعتبر النسخ الاحتياطية ضرورية لأمن أي موقع ويب. نوصي بتكوين النسخ الاحتياطية التلقائية لـ WordPress حتى لا تقلق بشأن إنشاء نسخ من موقعك يدويًا. يعني توفر النسخ الاحتياطية الحديثة في أي وقت أنه يمكنك بسهولة استعادة موقع الويب الخاص بك في حالة وجود مشكلة أمنية.
يعمل هذا فقط إذا كان نظام النسخ الاحتياطي يعمل بكامل طاقته. اعتمادًا على المكون الإضافي أو أداة النسخ الاحتياطي التي تستخدمها ، قد يُنشئ نسخًا من موقعك لا تعمل. قد لا تتمكن أيضًا من تخزين النسخ الاحتياطية إذا نفدت المساحة على الخادم أو نظام التخزين التابع لجهة خارجية (وهو ما نوصي باستخدامه):
عند إجراء اختبار أمان موقع الويب ، نوصي باستخدام موقع مرحلي للتحقق مما إذا كانت النسخ الاحتياطية تعمل أم لا. اختر واحدة أو أكثر من النسخ الاحتياطية الحديثة واستخدم وظيفة الاستعادة في المكون الإضافي أو أداة الجهة الخارجية التي أعددتها وتحقق مما إذا كانت تعمل.
يجب ألا تعرض عملية الاستعادة أي أخطاء ويجب أن يعمل موقع الويب الخاص بك بشكل طبيعي بعد الانتهاء. قد لا تتوفر البيانات الحديثة اعتمادًا على عمر النسخة الاحتياطية ، ولكن المهم هو أنها تعمل في المقام الأول.
الأفكار النهائية حول اختبار أمان الموقع
لا ينبغي أن يكون اختبار أمان موقع الويب مخيفًا. يمكنك إكمال معظم العمليات الموضحة في هذه المقالة في أقل من ساعة. كلما قمت بذلك في كثير من الأحيان ، سيكون موقع الويب الخاص بك أكثر أمانًا وهذا يحرر مساحة ذهنية للتركيز على الجوانب الأخرى لتشغيله.
عندما يتعلق الأمر بـ WordPress ، غالبًا ما تقوم المكونات الإضافية بالكثير من العبء الثقيل من حيث الأمان ، مما يجعل العملية أكثر بساطة. إليك ما عليك القيام به لاختبار أمان موقع الويب الخاص بك:
- افحص موقع الويب الخاص بك بحثًا عن نقاط الضعف.
- تحقق من أدوار المستخدم والأذونات.
- تحقق مما إذا كانت هناك تحديثات متوفرة. ️
- تحقق من سجلات نشاط WordPress.
- اختبر لمعرفة ما إذا كان نظام النسخ الاحتياطي يعمل أم لا.
هل لديك أي أسئلة حول اختبار أمان الموقع؟ دعنا نتحدث عنها في قسم التعليقات أدناه .