كيفية القيام بتدقيق أمان WordPress - 8 خطوات سهلة - MalCare

ذات مرة جلست وأجريت تدقيقًا كاملاً لأمن WordPress على موقعك. لم يكن شيئًا تخيلته ، لكنك فعلته لإبعاد المتسللين الأشرار.

• لقد تقدمت وقمت بتثبيت مكون إضافي للأمان في WordPress على موقع الويب الخاص بك لأن المعلمون قالوا ذلك.
• لقد قمت بتحديث جميع المكونات الإضافية والسمات الخاصة بك في WordPress لأنك تعرف بالضبط ما يحدث إذا لم تفعل ذلك.
• تقرأ على إجراءات تقوية موقع الويب ونفذت الإجراءات التي تدوم.

باختصار: كنت متأكدًا بنسبة 100٪ أن موقع الويب الخاص بك آمن من المتسللين.

وبعد ذلك ، بعد بضعة أشهر ، استيقظت وأنت تتوقع أن تسير الأمور كالمعتاد ...

فقط لتجد أن موقع الويب الخاص بك قد تم اختراقه.

يمكن أن يكون أي شيء على الإطلاق. قد تكون إعادة توجيه ضارة إلى موقع آخر. أو قد تكتشف أن موقع الويب الخاص بك يحتوي على نوافذ منبثقة تحاول بيع شيء لا علاقة له على الإطلاق بعملك.

هذا عندما تدرك أنك فشلت في تأمين موقع الويب الخاص بك.

هذا هو السيناريو الذي يواجهه معظم مالكي مواقع WordPress. وإذا كان هذا هو ما تواجهه ، فقد وصلت إلى المقالة الصحيحة.

إليك الأمر: خطأك الوحيد هو أنك افترضت أن تدقيق أمان WordPress كان نشاطًا لمرة واحدة. عندما قمت بإلغاء تحديد جميع المربعات في القائمة ، كنت تعتقد أن كل شيء قد تم ونزع الغبار.

الحقيقة هي أن أمان موقع الويب الخاص بك مثل الإعلان تمامًا - إنه نشاط مستمر. لن تتوقف عن الإعلان عن عملك ، أليس كذلك؟

تتطور أدوات أمان مواقع الويب والتدابير الوقائية باستمرار ، لكن المتسللين لن يجلسوا ويسمحون لك فقط بالسيطرة على عملك. إنه عملك وعليك أن تقاتل من أجله كل يوم.

يعد تدقيق الأمان في WordPress هو أبسط طريقة لمعرفة ما الذي يعمل وما لا يعمل. هل إجراءاتك الأمنية عفا عليها الزمن؟

بدون عمليات تدقيق أمان WordPress كل 3 أشهر ، تكون فرص اختراق أحد المتسللين لموقع الويب الخاص بك وإلحاق الضرر بعملك أعلى بكثير.

لكن لا تقلق ، يمكن تجنب كل هذا من خلال التأكد من تحديث إجراءات الأمان الخاصة بك. سنعرض لك اليوم الخطوات الخاصة بكيفية إجراء تدقيق أمان ناجح على WordPress على موقع الويب الخاص بك.

TL ؛ DR: لتأمين موقع WordPress الخاص بك تمامًا ، نوصي باستخدام مكون إضافي للأمان. قم بتثبيت MalCare لفحص موقعك ومراقبته بانتظام. سيؤدي أيضًا إلى منع محاولات الاختراق على موقعك. ونعم ، يقوم أيضًا تلقائيًا بإجراء تدقيق أمان WordPress لك كل يوم.

ما هو تدقيق أمن ووردبريس؟

عاجلاً أم آجلاً ، تواجه معظم مواقع WordPress مشكلات أمنية. على سبيل المثال ، يمكن للمكونات الإضافية والسمات تطوير ثغرات يمكن أن يستغلها المتسللون لاقتحام موقع الويب الخاص بك.

بمجرد وصولهم إلى موقعك ، يمكنهم تحويل حركة المرور الخاصة بك ، وعرض محتوى وإعلانات غير قانونية ، والاحتيال على عملائك ، وسرقة البيانات الشخصية ، من بين قائمة طويلة من الأعمال الضارة.

يمكن أن يساعد تدقيق الأمان في WordPress في تحديد هذه المشكلات على الفور حتى تتمكن من اتخاذ تدابير لسد أي ثغرات أمنية على موقعك. عند إجراء تدقيق أمني ، سوف تتحقق من إجراءات الأمان الموجودة على موقع الويب الخاص بك. ثم حدد الإجراءات الأمنية الإضافية التي يمكنك تنفيذها على موقع الويب الخاص بك لضمان حمايته.

يمكن أن يتضمن تدقيق الأمان الكامل عدة خطوات ويمكن أن يصبح فوضى إذا لم يكن لديك عملية وقائمة تحقق في مكانها الصحيح.

الآن ، من المحتمل جدًا أنك قمت بالفعل بإجراء تدقيق أمان على WordPress من قبل. الهدف من هذه المقالة هو مساعدتك في إعداد عملية يمكنك تكرارها في نهاية كل 3 أشهر. من الناحية المثالية ، يجب إجراء تدقيق أمان على WordPress يوميًا. ولكن لكي تكون في الجانب الآمن ولا تزال منطقيًا ، نوصي بالقيام بذلك كل شهر.

اليوم ، سنأخذك عبر دليل تدقيق أمان WordPress خطوة بخطوة. سيمكنك مسار التدقيق هذا من إجراء تدقيق كامل وشامل لموقعك على الويب.

كيفية تشغيل تدقيق أمني ناجح

في هذا التدقيق ، سنراجع بدقة أمان موقع الويب الخاص بك. هيا نبدأ.

1. تقييم مكون الأمان الإضافي الخاص بك
2. اختبر حل النسخ الاحتياطي على WordPress
3. افحص إعداد المسؤول الحالي
4. قم بإزالة المكونات الإضافية غير المستخدمة المثبتة والنشطة
5. احذف ثيمات WordPress الإضافية المثبتة
6. تقييم مزود الاستضافة الحالي الخاص بك والخطة
7. تحقق من المستخدمين الذين لديهم وصول FTP
8. تحقق من إجراءات تقوية WordPress الخاصة بك

1. قم بتقييم المكون الإضافي للأمان

المكون الإضافي لأمان موقع الويب الخاص بك هو أول نقطة تفتيش لك. إذا لم تكن تستخدم بالفعل مكونًا إضافيًا للأمان ، ففكر في تنشيط واحد على موقعك على الفور. يحمي المكون الإضافي للأمان مواقع WordPress من المتسللين والروبوتات. هناك الكثير من الخيارات للاختيار من بينها. ولكن ليست جميعها فعالة ، لذلك عليك اختيار المكون الإضافي الأمني ​​المناسب. فيما يلي قائمة بالميزات التي يجب أن يقدمها المكون الإضافي للأمان:

1. فحص البرامج الضارة - يبحث المتسللون دائمًا عن المكونات الإضافية الضعيفة. نوصي بشدة باستخدام مكون إضافي يقوم بإجراء مسح يومي لموقع الويب الخاص بك. يجب إجراء فحص عميق يتحقق من كل ملف ومجلد في موقع الويب الخاص بك ، بما في ذلك قاعدة البيانات الخاصة بك.

2. الفحص خارج الموقع - تتطلب عملية المسح الكثير من موارد الخادم للتشغيل. إذا كان المكون الإضافي يستخدم الخادم الخاص بك ، يمكن أن يؤدي الفحص إلى زيادة التحميل على موقعك والتسبب في إبطائه. ابحث عن مكون إضافي يستخدم خوادمه الخاصة لفحص موقعك.

3. جدار الحماية - أنت بحاجة إلى جدار حماية على موقع الويب الخاص بك يحظر بشكل استباقي المتسللين والروبوتات الضارة وعناوين IP التي تحاول اقتحام موقعك. لإعداد جدار حماية ، أنت بحاجة إلى خبرة فنية. ومع ذلك ، يمكنك العثور على مكونات إضافية للأمان تقوم بتثبيتها وتنشيطها لك.

4. حماية تسجيل الدخول - غالبًا ما يهاجم المتسللون صفحة تسجيل الدخول الخاصة بك ويجربون مجموعات مختلفة من أسماء المستخدمين وكلمات المرور لاقتحام موقع الويب الخاص بك (المعروف باسم هجوم القوة الغاشمة). يجب أن يكون المكون الإضافي للأمان قادرًا على منع مثل هذه الهجمات.

5. تنبيهات في الوقت الفعلي - إذا كان هناك نشاط مشبوه على موقعك ، فيجب أن يكتشفه المكون الإضافي وينبهك على الفور. يمكّنك هذا من اتخاذ إجراءات فورية.

6. عمليات تنظيف البرامج الضارة - سيمكنك المكون الإضافي الجيد للأمان من تنظيف موقع الويب الخاص بك بسرعة. يجب أن يكون قادرًا على تنظيف موقع الويب الخاص بك تمامًا.

7. سجل النشاط - يتتبع سجل تدقيق الأمان في WordPress نشاط المستخدم على موقعك ، مثل من قام بتسجيل الدخول ، وتفاصيل محاولات تسجيل الدخول التي فشلت ، وما فعله مستخدمو WordPress على موقع الويب. يكون سجل النشاط مفيدًا عندما تريد معرفة كيفية اختراق موقعك أو التغييرات التي تم إجراؤها للتسبب في تعطله.

إذا كنت تشعر أن حل الأمان الخاص بك غير فعال ، فيمكنك الاختيار من بين أفضل المكونات الإضافية للأمان المتاحة.

نوصي باستخدام MalCare لأنه يغطي كل هذه الميزات. يحتوي على أحد أفضل أدوات فحص البرامج الضارة التي يمكنها اكتشاف أي نوع من البرامج الضارة. علاوة على ذلك ، يمكنك تنظيف أي إصابة بالبرامج الضارة في أقل من بضع دقائق!

2. اختبر حل النسخ الاحتياطي WordPress الخاص بك

يمكن أن يكون الحصول على نسخة احتياطية من موقع WordPress الخاص بك مفيدًا إذا حدث خطأ ما. يمكنك بسهولة استعادة النسخة الاحتياطية واستعادة موقعك إلى طبيعته.

ولكن ماذا يحدث إذا فشل النسخ الاحتياطي؟ ماذا يحدث إذا لم تتمكن من استعادتها؟

هذا هو سبب حاجتك إلى اختبار نسختك الاحتياطية. إذا كنت تستخدم نسخة احتياطية من مضيف ، فإن بعضها لا يقدم خيارات اختبار. إليك ما نوصي به لاختبار النسخ الاحتياطي:

قم بتثبيت البرنامج المساعد للنسخ الاحتياطي من BlogVault على موقع WordPress الخاص بك. سيستغرق الأمر تلقائيًا نسخة احتياطية كاملة من موقعك.

لاحظ أن النسخ الاحتياطي الأول قد يستغرق بعض الوقت حيث سيتم نسخ موقع الويب بالكامل على خوادمه الخاصة. تكون النسخ الاحتياطية اللاحقة أسرع بكثير لأنها تستخدم تقنية تدريجية حيث تدعم التغييرات التي تم إجراؤها فقط.

بمجرد اكتمال النسخ الاحتياطي ، من لوحة معلومات BlogVault ، قم بالوصول إلى الخيار "اختبار الاستعادة".

بمجرد الانتهاء من ذلك ، سوف ينبهك إلى أن الاستعادة كانت ناجحة.

3. افحص إعداد المسؤول الحالي

يتيح WordPress للعديد من الأشخاص التعاون والمساهمة في تطوير WordPress وصيانة WordPress. ولكن ليس كل مستخدم WordPress يحتاج إلى وصول كامل إلى الموقع. على سبيل المثال ، سيحتاج الكاتب فقط إلى الوصول لكتابة المحتوى ونشره. لا يحتاجون إلى الوصول لإجراء تغييرات أخرى مثل تثبيت المكونات الإضافية أو تغيير المظهر.

لمنع منح كل مستخدم على موقعك حق الوصول الكامل ، يحتوي WordPress على ستة أدوار مختلفة للمستخدم يمكنك تعيينها - المشرف المتميز ، والمسؤول ، والمحرر ، والمؤلف ، والمساهم ، والمشترك. لكل دور مستويات مختلفة من الأذونات.

أثناء إجراء تدقيق أمان WordPress الخاص بك ، فإن أول شيء تحتاج إلى تحليله هو المستخدمين الذين أضفتهم إلى موقع WordPress الخاص بك.

• تحقق من عدد هؤلاء المستخدمين الذين لديهم حق وصول المسؤول.
• حدد عدد الأشخاص الذين يحتاجون بالفعل إلى وصول المسؤول.
• تقييد الوصول ومنح أذونات أقل من خلال تغيير أدوار المستخدم لأولئك الذين لا يحتاجون إلى أن يكونوا مسؤولين.
• تأكد من أنه يمكنك التعرف على جميع المستخدمين على لوحة التحكم الخاصة بك. احذف أي مستخدم لا تعرفه لأنه يمكن أن يكون حسابات مستخدم محتالة أنشأها قراصنة.

بعد ذلك ، تأكد من أن أي شخص مسؤول على موقع الويب الخاص بك لا يستخدم اسم المستخدم "admin" . هذا هو اسم المستخدم الأكثر شيوعًا الذي يستخدمه مسؤولو WordPress لحساباتهم. يدرك المتسللون ذلك جيدًا ويحاولون استخدام الاسم للوصول إلى موقعك

لتغيير الاسم من "المسؤول" إلى اسم أكثر تميزًا ، ستحتاج أولاً إلى إنشاء حساب مستخدم جديد لهذا الشخص. يمكنك تعيين كل المحتوى لمستخدم WordPress الجديد الذي قمت بإنشائه. بعد ذلك ، يمكنك حذف حساب "المسؤول" القديم.

4. إزالة الإضافات غير المستخدمة المثبتة والنشطة

من خلال العمل مع WordPress لأكثر من عقد ، رأينا العديد من حالات اختراق مواقع WordPress بسبب المكونات الإضافية الضعيفة.

يتم إنشاء المكونات الإضافية لـ WordPress بواسطة مطوري الطرف الثالث الذين يقومون بصيانتها وتحديثها. ومع ذلك ، مثل أي برنامج ، تظهر نقاط الضعف بمرور الوقت. عادةً ما يكون المطورون سريعًا في إصلاحها وإصدار تحديث. سيحتوي هذا التحديث على تصحيح أمان يعمل على إزالة الثغرة الأمنية من موقعك.

إذا قمت بتأخير التحديث ، فسيظل موقعك عرضة للخطر.

• أثناء تدقيقك ، تحقق من قائمة المكونات الإضافية التي قمت بتثبيتها. يميل الكثير منا من مالكي مواقع الويب إلى تجربة سمات ومكونات إضافية جديدة. لا نستخدم معظمها ولكن ننسى أنها لا تزال مثبتة على موقعنا. احذف المكونات الإضافية التي لا تستخدمها. سيؤدي هذا إلى إزالة العناصر غير الضرورية من موقعك وتقليل فرص المتسللين لاقتحام موقعك.
• تأكد من التعرف على جميع المكونات الإضافية المثبتة. إذا لم تتعرف أنت أو فريقك على أي مكون إضافي ، فننصحك بحذفه. هذا لأنه عندما يقتحم المخترقون موقعك ، يقومون أحيانًا بتثبيت المكونات الإضافية الخاصة بهم. تحتوي هذه المكونات الإضافية على أبواب خلفية تمنحهم وصولاً سريًا إلى موقعك.
• إذا قمت بتثبيت أي نسخة مقرصنة أو ملغاة من المكونات الإضافية ، فاحذفها على الفور. غالبًا ما تحتوي هذه البرامج على برامج ضارة تصيب موقعك عند تثبيته. يستخدم المتسللون برامج مقرصنة لتوزيع برامجهم الضارة.

الآن بعد أن أصبح لديك المكونات الإضافية التي تستخدمها فقط ، تأكد من تحديثها عندما يقوم المطورون بإصدار التحديثات.

5. حذف ثيمات WordPress الإضافية المثبتة

بصفتنا مالكي مواقع الويب ، فإننا نميل إلى تثبيت سمات مختلفة للعثور على السمات التي نحبها. ومع ذلك ، في كثير من الأحيان ، ننسى حذف العناصر التي لا نحتاج إليها. تمامًا مثل المكونات الإضافية ، يمكن للقوالب أيضًا تطوير نقاط ضعف.

ننصح بحذف جميع السمات الأخرى والاحتفاظ بالموضوع الذي تستخدمه فقط. تأكد من استخدامك لأحدث إصدار متاح من مظهرك النشط.

6. تقييم مزود الاستضافة الحالي الخاص بك والخطة

بفضل الاستضافة المشتركة ، يمكن لعدد أكبر من الأشخاص إنشاء مواقع الويب دون استثمار كبير. خطط الاستضافة المشتركة أرخص ومصممة لمواقع WordPress الصغيرة.

ربما تكون قد اخترت خطة استضافة مشتركة عندما بدأت ، ولكن مع نموك ، تحتاج إلى تقييم ما إذا كنت بحاجة إلى الترقية.

تعني خطط الاستضافة المشتركة أنك تشارك خادمًا مع مواقع ويب أخرى. ليس لديك أي سيطرة على ما تفعله المواقع الأخرى التي تشارك خادمك. إذا تم اختراق موقعهم ، فقد يستهلك الكثير من موارد الخادم. سيؤدي ذلك إلى إبطاء موقع الويب الخاص بك وتقليل أدائه. هناك أيضًا احتمال ضئيل لانتشار أي إصابة ببرامج ضارة إلى المواقع التي تشترك في نفس الخادم. لذلك ، إذا كنت تستطيع تحمل تكلفة الترقية ، فننصح بالتبديل إلى خادم مخصص.

إذا لم تكن راضيًا عن خدمة مضيفك الحالي ، فيمكنك مقارنة مضيفين مختلفين ومعرفة ما إذا كنت تريد ترحيل موقع الويب الخاص بك إلى موقع أفضل.

7. تحقق من المستخدمين الذين لديهم وصول FTP

FTP هو بروتوكول نقل الملفات الذي يمكّنك من توصيل الكمبيوتر المحلي بخادم موقع الويب الخاص بك. يمكنك الوصول إلى ملفات ومجلدات موقع الويب الخاص بك وإجراء التغييرات.

نظرًا لأنه يمكنك إضافة ملفات وتعديلها وحذفها من موقع WordPress الخاص بك ، يجب منح الوصول إلى FTP فقط لمن تثق بهم وتحتاج تمامًا إلى الوصول.

نوصي بالتحقق من قائمة مستخدمي FTP وإعادة تعيين كلمات مرور FTP ، إذا لزم الأمر. للقيام بذلك ، تحتاج إلى الوصول إلى حساب استضافة WordPress الخاص بك> cPanel> حسابات FTP.

هنا ، سترى قائمة بجميع حسابات FTP التي تم إنشاؤها لموقعك على الويب. يمكنك حذف تلك التي لا تحتاج إلى الوصول.

8. تحقق من إجراءات التقوية الخاصة بـ WordPress

يوصي WordPress ببعض إجراءات التقوية التي تجعل موقع الويب الخاص بك أكثر أمانًا. وتشمل هذه:

1. تعطيل محرر الملفات في المكونات الإضافية والسمات
2. تعطيل تثبيت البرنامج المساعد
3. إعادة تعيين مفاتيح وأملاح WordPress
4. فرض كلمات مرور قوية
5. الحد من محاولات تسجيل الدخول إلى WordPress
6. تنفيذ المصادقة الثنائية

إذا كنت بحاجة إلى مزيد من الإرشادات ، فإننا نوصي بقراءة دليلنا الشامل لتقوية WordPress .

أثناء تدقيق الأمان في WordPress ، نوصي بالتحقق من وجود هذه الإجراءات. على سبيل المثال ، إذا كنت تستخدم مكونًا إضافيًا لتقييد محاولات تسجيل الدخول أو المصادقة الثنائية ، فتأكد من أن المكون الإضافي لا يزال يعمل ومحدّثًا. تحقق لمعرفة ما إذا كانت هناك خيارات أفضل متاحة.

تتطلب العديد من تدابير التقوية خبرة فنية لتنفيذها. ومع ذلك ، إذا كنت تستخدم المكون الإضافي للأمان MalCare ، فيمكنك تنفيذ إجراءات تصلب WordPress ببضع نقرات.

هذه ثماني مهام مهمة جدًا يجب القيام بها بانتظام. نوصي بإجراء تدقيق مرتين سنويًا أو سنويًا على الأقل. لتلخيص ما قمنا بتغطيته ، إليك قائمة تحقق يمكنك اتباعها:

قائمة مراجعة لتدقيق أمان WordPress

1. المكون الإضافي للأمان - قم بتقييم المكون الإضافي للأمان. نوصي باستخدام MalCare.

2. WordPress Backup - اختبر النسخة الاحتياطية لموقع الويب الخاص بك للتأكد من إمكانية استعادتها. نوصي باستخدام خيار استعادة اختبار BlogVault.

3. المستخدمون المسؤولون - افحص إعداد المسؤول الحالي. تأكد من أنك منحت امتيازات المسؤول فقط لمن يحتاجون إليها. احذف أي مستخدمين غير نشطين.

4. الإضافات - قم بإزالة المكونات الإضافية غير المستخدمة المثبتة والنشطة. احتفظ فقط بالمكونات الإضافية التي تستخدمها بالفعل وتأكد من تحديثها بانتظام.

5. السمات - حذف ثيمات WordPress الإضافية المثبتة. احتفظ فقط بالموضوع النشط على موقعك وتأكد من استخدام أحدث إصدار متاح.

6. مضيف الويب - قم بتقييم موفر الاستضافة الحالي وخطته. نوصي باستخدام مضيفي الويب الموثوق بهم وخطة خادم مخصصة.

7. FTP - تحقق من المستخدمين الذين لديهم وصول إلى FTP. امنح حق الوصول فقط لمن يحتاجون إليه.

8. التقوية - تأكد من أن إجراءات تقوية WordPress الخاصة بك سليمة ومحدثة.

افكار اخيرة

نأمل أن تساعدك هذه المقالة في إنشاء عملية قابلة للتكرار لتدقيق أمان WordPress. إذا كان بإمكانك الاستمرار في تنفيذ هذه العملية بشكل منتظم ، فنحن نضمن أنه يمكنك منع المتسللين من تجاوز أمان موقعك.

نعم ، يعد التدقيق الأمني ​​الكامل في WordPress عملية طويلة ومملة. لكن حقيقة الأمر هي أنه يمكن أن يساعد في حماية عملك لفترة طويلة.

وإذا كنت تعتقد أن تدقيق الأمان في WordPress ممل للغاية ، فيمكنك أتمتة العملية عن طريق تثبيت المكون الإضافي MalCare. على عكس معظم المكونات الإضافية لأمان مواقع الويب الأخرى ، تقدم MalCare مجموعة شاملة من أدوات الأمان التي يمكنها القيام بأكثر من مجرد تدقيق أمان على WordPress.

تقوم MalCare بأتمتة العديد من أنشطة الأمان المملة واليدوية مثل مسح البرامج الضارة وإزالتها ، والنسخ الاحتياطي المنتظم للموقع ، وتثبيت جدران الحماية وحماية الروبوتات ، وتقوية WordPress.

يمكنك إنجاز كل هذا ببضع نقرات فقط في لوحة تحكم حديثة وسهلة الاستخدام.

قم بتأمين موقع WordPress الخاص بك مع MalCare !