أمان ووردبريس: كيفية تأمين موقع على شبكة الإنترنت
نشرت: 2023-10-21أمان WordPress هو في أذهان العديد من مالكي المواقع. يحتوي WordPress على نص برمجي مفتوح المصدر، لذلك من الطبيعي أن يشعر الجميع بالقلق من أنه عرضة للهجمات بجميع أنواعها. ومع ذلك، فإن WordPress ليس عرضة للخطر بطبيعته، وهناك العديد من الخطوات التي يمكنك اتخاذها لتأمين WordPress.
في نهاية المطاف، غالبًا ما يكون مالك الموقع مسؤولاً عن عمليات الاختراق أكثر من المنصة. اتضح أن لديك الكثير من الرأي حول كيفية جعل موقع WordPress الخاص بك آمنًا. فيما يلي بعض النصائح والحيل لمساعدتك في معرفة كيفية تأمين موقع الويب الخاص بك على WordPress.
إنشاء تأمين الموقع وحظر المستخدمين
سيساعد إنشاء ميزة تأمين لمحاولات تسجيل الدخول الفاشلة المتكررة في منع المتسللين المحتملين من القيام بمحاولات القوة الغاشمة المستمرة التي تنجح في النهاية. أي محاولة اختراق تستخدم بشكل متكرر كلمات مرور طويلة متكررة تؤدي إلى قفل الموقع وسيتم إعلامك بأي نشاط غير مصرح به. سيؤدي هذا إلى حظر الكثير من المتسللين على الفور.
إحدى الطرق لزيادة أمان WordPress ضد هذا النوع من محاولات القرصنة هي المكون الإضافي iThemes Security. لقد كان رائعًا لفترة طويلة دون أي علامة على التباطؤ. فهو يوفر لك خيار تحديد عدد محاولات تسجيل الدخول الفاشلة التي قام بها المستخدم قبل أن يحظر المكون الإضافي عنوان IP الخاص به وينبهك.
استخدم طرق المصادقة الثنائية
تعد المصادقة الثنائية (SFA) واحدة من أفضل ممارسات أمان WordPress. يطلب من المستخدم تقديم تفاصيل تسجيل الدخول لمكونين نفاثين. باعتبارك مالك الموقع، يمكنك تحديد هذين المكونين. يمكن أن تكون هذه كلمة مرور عادية متبوعة برمز سري، أو سؤال سري، أو مجموعة من الأحرف، أو اختبار CAPTCHA، وما إلى ذلك.
يفضل الكثير من أصحاب المواقع طريقة المصادقة الثنائية (2FA) لتأمين مواقعهم. يعد Google Authenticator مكونًا إضافيًا جيدًا لتضمين المصادقة الثنائية على موقعك. فهو، كما هو الحال مع العديد من المكونات الإضافية من Google، موثوق به ويتم تحديثه كثيرًا.
استخدم البريد الإلكتروني كاسم مستخدم لتسجيل الدخول
يطلب الإعداد الافتراضي لمعظم المواقع اسم مستخدم لتسجيل الدخول. ولزيادة أمان WordPress، استخدم معرف البريد الإلكتروني بدلاً من اسم المستخدم. إنه نهج أكثر أمانًا. من السهل على المتسللين التنبؤ بأسماء المستخدمين. ليس من السهل التنبؤ برسائل البريد الإلكتروني. أيضًا، يجب إنشاء حسابات مستخدمي WordPress باستخدام عنوان بريد إلكتروني فريد، مما يجعلها معرفًا أكثر صلاحية.
أحد المكونات الإضافية الجيدة لزيادة أمان WordPress بهذه الطريقة هو تسجيل الدخول إلى البريد الإلكتروني WP. يعمل مباشرة بعد التثبيت. ببساطة قم بتنشيطه وانطلق. لا يوجد تكوين ضروري. إذا كنت ترغب في اختبار ذلك، فما عليك سوى تسجيل الخروج من موقعك ثم تسجيل الدخول مرة أخرى باستخدام عنوان البريد الإلكتروني الذي أنشأت الحساب به.
إعادة تسمية عنوان URL لتسجيل الدخول الخاص بك
من السهل جدًا تغيير عنوان URL لتسجيل الدخول الخاص بك. من السهل الوصول إلى تسجيل الدخول الافتراضي لـ WordPress عبر wp-login.php أو wp-admin المضاف إلى عنوان URL الرئيسي لموقعك. عندما يعرف المتسللون عنوان URL المباشر لصفحة تسجيل الدخول، فسيحاولون غالبًا اختراق موقعك بالقوة. سيحاولون بعد ذلك تسجيل الدخول باستخدام قاعدة بيانات Guess Work (GWDb)، وهي قاعدة بيانات لأسماء المستخدمين وكلمات المرور التي تم تخمينها والتي تحتوي على الملايين من مجموعات الأحرف. يجد المتسللون أنه من السهل القيام بذلك. إنها طريقة بدائية وبسيطة، لكنها فعالة في كثير من الأحيان.
إذا اتبعت جميع الخطوات المفصلة أعلاه، فقد قمت بالفعل بتقييد عدد محاولات تسجيل دخول المستخدم واستبدلت أسماء المستخدمين بمعرف البريد الإلكتروني. من خلال تغيير عنوان URL بالإضافة إلى هذين الإجراءين الأمنيين في WordPress، ستتخلص من 99% من هجمات القوة الغاشمة المباشرة. سيؤدي هذا إلى إبعاد النوع الأكثر شيوعًا من قراصنة WordPress.
كل ما عليك فعله لمنع الكيان غير المصرح به من الوصول إلى صفحة تسجيل الدخول هو استخدام البرنامج الإضافي iThemes Security للقيام بذلك:
- قم بتغيير wp-login.php إلى شيء فريد؛ على سبيل المثال my_new_login
- قم بتغيير /wp-admin/ إلى شيء فريد؛ على سبيل المثال my_new_admin
- قم بتغيير /wp-login.php?action=register إلى شيء فريد
استخدم مضيفًا عالي الجودة
يشبه مضيفك إلى حد كبير شارع موقعك على الإنترنت. مثل عناوين الشوارع في الحياة الواقعية، يمكن أن تؤثر جودة الشارع على نوع حركة المرور التي يراها.
سيؤثر المضيف الجيد على مدى موثوقية موقعك، وكيفية أدائه، ومدى حجمه، وحتى مدى ترتيبه على محركات البحث. يقدم المضيفون الرائعون حقًا لأصحاب المواقع الكثير من الميزات المفيدة، بما في ذلك الدعم الجيد والخدمات المصممة خصيصًا للنظام الأساسي الذي اختاره المالك.
ابحث عن المضيفين الذين يقومون بشكل متكرر بتحديث خدماتهم وبرامجهم وأدواتهم بشكل منتظم وشبه مستمر. ويجب عليه أيضًا الاستجابة لأحدث التهديدات والقضاء بسرعة على الخروقات الأمنية المحتملة. يجب أن يقدم مضيف الويب ميزات أمان مستهدفة مثل شهادات SSL/TLS وحماية DDoS. يجب أن تتمكن من الوصول إلى جدار حماية تطبيقات الويب (WAF) للمساعدة في مراقبة التهديدات الخطيرة لموقع WordPress وحظرها.
من المحتمل أيضًا أن يوفر لك مضيف الويب الجيد طريقة لعمل نسخة احتياطية لموقعك. وفي بعض الحالات، سيقومون أيضًا بإجراء النسخ الاحتياطي نيابةً عنك. سيسمح لك هذا بالعودة إلى الإصدار الثابت السابق في حالة تعرض موقعك للاختراق. يجب أن يقدموا دعمًا موثوقًا على مدار الساعة طوال أيام الأسبوع حتى تتمكن دائمًا من الاتصال بخبير للمساعدة في مشكلات أمان موقع الويب.
قم بتحويل موقعك إلى HTTPS
باستخدام شهادة SSL/TLS، يمكنك تحويل موقع WordPress الخاص بك إلى HyperText Transfer Protocol Secure (HTTPS)، وهو إصدار أكثر أمانًا من HTTP. هذه طريقة رائعة لزيادة أمان WordPress.
HTTP هو البروتوكول الذي ينقل البيانات بين موقع الويب والمتصفح الذي يحاول الوصول إليه. عندما تظهر ساعة زائر على صفحتك، يتم إرسال جميع الثابت والوسائط والكود من خلال هذا البروتوكول إلى موقع الزائر. وهذا أمر ضروري ولكنه يخلق أيضًا مشاكل أمنية.
مع HTTPS، تم حل هذه المشكلة. إنه يفعل نفس الشيء مثل HTTP، ولكنه يقوم أيضًا بتشفير بيانات الموقع أثناء انتقاله من مكان إلى آخر. لقد بدأ الأمر كشيء تم استخدامه لحماية معلومات العملاء الحساسة، مثل تفاصيل بطاقة الائتمان، ولكنه أصبح أكثر شيوعًا لجميع أنواع المواقع.
عند التحول إلى HTTPS، سيحصل العملاء على ثقة عالية للتعامل مع موقعك. من المستحسن أن يكون لديك شهادة SSL من علامات تجارية معتمدة مثل Comodo، وThawte، وGlobalSign، وما إلى ذلك. إذا كان لديك موقع بنطاق واحد، فنوصي بالحصول على شهادة Comodo PositiveSSL من Comodo أو أي شهادة SSL ذات نطاق واحد من العلامات التجارية التي تمت مناقشتها. فإنه سيتم تأمين المعاملات عبر الإنترنت بين الخادم والمتصفح.
الأسئلة الشائعة حول أمان WordPress
كيف أحمي موقع WordPress الخاص بي من المتسللين؟
كما تعلمون، عندما نتحدث عن إبعاد الأشرار، فإن الأمر يشبه إغلاق منزلك ليلاً.
أول الأشياء أولاً، احرص دائمًا على تحديث كل شيء — السمات والمكونات الإضافية، والأهم من ذلك، WordPress نفسه. إنه مثل تثبيت أحدث نظام أمان. لا تتهاون في كلمات المرور الخاصة بك أيضًا؛ جعلها معقدة وفريدة من نوعها.
ومهلا، إضافة البرنامج المساعد للأمان؟ هذا مثل وجود كلب حراسة. يمكن أن يكون Wordfence أو Sucuri هو أفضل صديق جديد لك.
هل يمكن لموقع WordPress أن يكون آمنًا بنسبة 100%؟
الآن، هذا هو الحديث الحقيقي - الأمن المطلق، هذه أسطورة، مثل وحيد القرن، هل تعلم؟ حتى فورت نوكس ليست آمنة بنسبة 100%. لكن لا تدع ذلك يخيفك. من خلال التحركات الصحيحة، يمكنك جعل موقع WordPress الخاص بك صعب الاختراق.
عمليات التدقيق الأمني المنتظمة، والبقاء على اطلاع دائم بالتحديثات، باستخدام SSL، وبالطبع الاستضافة الموثوقة، أنت تبني حصنًا، شيئًا فشيئًا. قد لا تصل إلى نسبة 100%، لكنك ستكون قريبًا جدًا.
ما هي الصفقة مع ملحقات أمان WordPress؟
حسنًا، تخيل أن هذه المكونات الإضافية هي بمثابة حراسك الشخصيين. إنهم متواجدون على مدار الساعة طوال أيام الأسبوع لمراقبة أي أعمال مشبوهة. Wordfence، وSucuri، وiThemes Security — هذه بعض الأسماء الكبيرة في اللعبة.
يقومون بالبحث عن البرامج الضارة، ويمنعون الأشرار، ويبقيونك على اطلاع دائم بالتنبيهات. إنه مثل وجود تفاصيل أمنية لموقعك، وصدقني، الأمر يستحق ذلك.
كم مرة يجب أن أقوم بعمل نسخة احتياطية لموقع WordPress الخاص بي؟
فكر في النسخ الاحتياطية مثل شبكة الأمان الخاصة بك. أنت لا تريد استخدامه، لكن يا رجل، ألست سعيدًا بوجوده عندما تحتاج إليه؟ يعد الاستخدام اليومي مثاليًا، خاصة إذا كنت تضيف محتوى جديدًا باستمرار.
ولكن مهلا، إذا كان هذا كثيرًا، فيجب أن يكون الأسبوع هو الحد الأدنى. أدوات مثل UpdraftPlus أو VaultPress، تدعمك، حيث تقوم بأتمتة كل شيء حتى تتمكن من النوم بسهولة.
ما هذا الذي سمعته عن شهادات SSL؟
إذن، شهادات SSL، هي بمثابة المصافحة السرية بين موقعك ومتصفحات زوارك. فهو يقوم بتشفير البيانات، ويبقيها سرية وآمنة.
في هذه الأيام، لا يقتصر الأمر على مواقع التجارة الإلكترونية فقط؛ إنه للجميع. إن شركة Google تحرص على هذا الأمر، حتى أنها تضع علامة على المواقع التي لا تحتوي على طبقة المقابس الآمنة (SSL) على أنها "غير آمنة". Let's Encrypt تقدمه مجانًا، لذا لا توجد أعذار، حسنًا؟ احصل على هذه الشهادة، وأظهر للعالم (وجوجل) أنك تقصد العمل.
هل يجب أن أقلق بشأن أدوار المستخدم وأذوناته؟
أوه، على الاطلاق! تخيل تسليم مفاتيح منزلك لأي شخص تقريبا؟ ناه، أنت لن تفعل ذلك. الشيء نفسه ينطبق على موقع WordPress الخاص بك. كن بخيلاً مع وصول المسؤول.
أعطها فقط للأشخاص الذين تثق بهم، أعني الثقة الحقيقية. المحررون والمؤلفون والمشتركون - استخدموا هذه الأدوار بحكمة. الأمر كله يتعلق بإتاحة الوصول الكافي لإنجاز المهمة، وليس أكثر من ذلك بقليل. السلامة أولا يا صديقي.
كيف يمكنني حماية صفحة تسجيل الدخول إلى WordPress الخاصة بي؟
الآن، صفحة تسجيل الدخول، تشبه الباب الأمامي لمنزل WordPress الخاص بك. تريد قفلًا قويًا على ذلك. المصادقة الثنائية، هذه بداية قوية. إنه مثل وجود قفل مزدوج.
إخفاء صفحة تسجيل الدخول الخاصة بك، وتغيير اسم المستخدم الافتراضي للمسؤول، والحد من محاولات تسجيل الدخول. اجعل الأمر صعبًا قدر الإمكان على الأشرار للدخول. عليك أن تتفوق عليهم بذكاء عند كل منعطف.
ما هي أفضل طريقة لمراقبة أمان WordPress؟
مراقبة الأشياء، هذا أمر بالغ الأهمية. لن تترك بابك الأمامي مفتوحًا وتأمل فقط في الأفضل، أليس كذلك؟ أدوات المراقبة الأمنية، إنها مثل كاميرات المراقبة الشخصية الخاصة بك.
يقومون بالبحث عن البرامج الضارة، ومراقبة أي نشاط مشبوه، وهم متواجدون على مدار الساعة طوال أيام الأسبوع. ستتلقى تنبيهات في اللحظة التي يحدث فيها شيء مريب.
الأمر كله يتعلق بالبقاء متقدمًا بخطوة واحدة والقضاء على أي مشكلات في مهدها.
كيف أعرف إذا تم اختراق موقع WordPress الخاص بي؟
حسنًا، هذا الأمر صعب. في بعض الأحيان يكون الأمر واضحًا للغاية، حيث يتم تشويه موقعك أو إعادة التوجيه إلى بعض الأماكن المشبوهة.
لكن في بعض الأحيان، يكون الأمر أشبه بإنذار صامت. ظهور روابط غريبة، ومشكلات في الأداء، وحسابات مستخدمين غريبة - هذه هي العلامات الحمراء لديك.
راقب وحدة تحكم بحث Google الخاصة بك أيضًا؛ سوف يعطيك تنبيهًا إذا كانت رائحة شيء مريب. وتذكر أن عمليات الفحص المنتظمة باستخدام مكونات الأمان الإضافية هي أفضل رهان لك.
ما هي الثغرات الأمنية الشائعة في WordPress؟
لديك كلاسيكياتك، مثل حقن SQL، حيث يعبث الأشرار بقاعدة بياناتك من خلال تعليمات برمجية مراوغة.
ثم هناك البرمجة النصية عبر المواقع (XSS)، مما يسمح لهم بتشغيل البرامج النصية الضارة على متصفحات زوار موقعك. ولا تنسَ هجمات القوة الغاشمة — التي تضرب باب تسجيل الدخول الخاص بك حتى ينكسر.
ولكن مهلا، أنت لست عاجزا هنا. كلمات مرور قوية، وتحديثات منتظمة، وجدار حماية جيد، وأنت تخوض معركة قوية. ابق حادًا، ابق على اطلاع دائم، وقد حصلت على هذا.
إنهاء الأفكار حول أمان WordPress
ستساعدك نصائح أمان WordPress هذه على التأكد من أن كل العمل الذي وضعته في موقعك لن يضيع أثناء الاختراق. وسوف يشجع الناس على الزيارات ومعرفة ما لديك لتقدمه.
إذا استمتعت بقراءة هذه المقالة حول أمان WordPress، فيجب عليك الاطلاع على هذه المقالة حول مكون WordPress SSL الإضافي.
لقد كتبنا أيضًا عن بعض المواضيع ذات الصلة مثل المكونات الإضافية لفحص البرامج الضارة وأملاح WordPress.