عملية أمان WordPress ؛ اختبار ، تصلب ، مراقبة ، تحسين

نشرت: 2020-06-11

لا يختلف أمان WordPress عن العديد من المجالات الأخرى لأمن تكنولوجيا المعلومات. إنه ليس إصلاحًا لمرة واحدة. إنه شيء لم ينته أبدًا. في حين أن هناك العديد من الخطوات التي يمكنك اتخاذها لتحسين أمان WordPress الخاص بك ، فإن موقعك ومتطلبات عملك ستتغير. لذا ، فإن اعتماد تقييم أمني في الوقت المناسب لن يؤدي إلا إلى منحك إحساسًا زائفًا بالأمان. بدلاً من ذلك ، تتمثل الإستراتيجية الفائزة في اتباع عملية مستمرة . عملية اختبار دفاعاتك باستمرار وتكرارها لتحسين الوضع الأمني ​​لموقعك على الويب.

تهدف هذه المقالة إلى تقديم طريقة بسيطة لمتابعة عملية تكرارية طويلة المدى يمكنك تنفيذها للتأكد من أن جهودك الأمنية في WordPress مستمرة وتستمر في أن تكون ذات صلة بمشهد التهديد الذي تعمل فيه أنت وعملك.

1. اختبار أمان ووردبريس

تبدأ معظم رحلات أمان WordPress من هنا ؛ لاحظت شيئًا خاطئًا حول تثبيت WordPress الخاص بك ، أو قرأت عن استخدام أدوات مثل WPScan أو nmap لتقييم أمان موقع WordPress الخاص بك. ربما كنت ضحية لحادث أمني وتريد قراءة كيفية اختبار أمان WordPress الخاص بك.

يعد اختبار الأمان خطوة حيوية في استراتيجية أمان WordPress المستمرة. من خلال النظر إلى موقع الويب الخاص بك من خلال نفس العدسة التي يستخدمها المهاجم ، يمكنك فهم موقفه الأمني ​​بشكل أفضل. هذا يعني أنك تعرف ما الذي يمكنك فعله لتقوية دفاعاتك ضد نقاط الضعف التي حددتها. راجع الخطوة رقم 2 لمزيد من التفاصيل حول هذا.

إذا لم تكن متأكدًا من أين تبدأ باختبار أمان WordPress الخاص بك ، فقم بتعيين متخصص تابع لجهة خارجية. بالطبع ، لا شيء يمنعك من بناء معرفتك تدريجيًا لإخضاع موقع WordPress الخاص بك بنفسك.

2. تصلب وورد

بمجرد أن تفهم ما كشفه اختبار الأمان الخاص بك ، فقد حان الوقت لتقوية تثبيت WordPress الخاص بك. بشكل افتراضي ، يعد WordPress آمنًا بشكل معقول. ومع ذلك ، هناك الكثير من الخيارات والتحسينات والتغييرات التي يمكنك إجراؤها على إعداد WordPress والبنية التحتية للخادم لجعل حياة المهاجم أكثر صعوبة. العديد من هذه التحسينات - قد يعتمد الكثير منها على حالة الاستخدام الخاصة بك. يشار إلى هذه العملية عادة باسم "تشديد الأمن" ، أو ببساطة ، "تصلب".

من المؤكد أن تقوية تثبيت WordPress الخاص بك ليس أمرًا لمرة واحدة. ستحتاج إلى تثبيت مكونات إضافية جديدة وتوسيع وظائف موقع WordPress الخاص بك لاستيعاب احتياجات العمل المتغيرة. بالتأكيد لا يوجد نقص في الموارد لتبدأ في تعزيز أمان WordPress. فيما يلي مبدآن أساسيان يجب عليك الالتزام بهما عند تقوية إعداد WordPress الخاص بك.

قم بتشغيل برامج أقل

مبدئيًا "تشغيل برامج أقل" لا يبدو مفيدًا للغاية. ومع ذلك ، من المحتمل أنك تقوم بتشغيل برامج أكثر مما هو ضروري. وهذا يعني أيضًا مساحة أكبر للمهاجمين لاستغلال نقاط الضعف المحتملة داخل هذا البرنامج الإضافي .

إذا لم تكن متأكدًا من أين تبدأ ، فابدأ بإلقاء نظرة على مكونات WordPress الإضافية. اسأل نفسك عما يمكنك الاستغناء عنه وإزالته. طبق نفس المبدأ على ملحقات PHP وتكوين خادم الويب وأدوات نظام التشغيل وخدمات الشبكة.

لا يعد تجريد البرامج عمومًا عملية سهلة لتبدأ بها. ومع ذلك ، في كل مرة ستخوض فيها هذا التمرين ، سيصبح الأمر أكثر صعوبة. على الرغم من أن نتيجة تشغيل نظام أصغر حجمًا تستحق الجهد المبذول.

بصرف النظر عن التأكد دائمًا من اختبار أي تغييرات في بيئة الاختبار أو التدريج ، فأنت تريد أيضًا التأكد من عدم إزالة البرامج مثل جدار حماية WordPress أو سجل نشاط WordPress أو المكونات الإضافية لمراقبة سلامة ملفات WordPress ، والتي توجد من أجل تحسين أمان WordPress الخاص بك.

ينطبق هذا أيضًا على المكونات الإضافية والقوالب المعطلة. يجب حذف المكونات الإضافية المعطلة على الفور ، لأنه في بعض الحالات ، لا يزال من الممكن استغلال شفرتها إذا كانت ضعيفة. فيما يتعلق بالموضوعات ، يستخدم موقع الويب الخاص بك سمة واحدة فقط. ربما اثنان إذا كان لديك إعداد موضوع فرعي. احذف جميع السمات الإضافية على موقع الويب الخاص بك ، بما في ذلك السمات الافتراضية التي يتم شحنها مع WordPress.

مبدأ الامتياز الأقل

لا يحتاج WordPress إلى مستخدم الجذر MySQL ليتم تشغيله. وبالمثل ، من الجيد تشغيل معظم البرامج كجذر على خوادم Linux (ما يعادل المسؤول على Microsoft Windows). استخدم حسابات المسؤول / الجذر فقط إذا كان هناك سبب مبرر للقيام بذلك.

إلى هذا الحد ، كقاعدة عامة ، حاول دائمًا بذل قصارى جهدك لمنح تطبيق أو مستخدم أقل الامتيازات الممكنة لإنجاز المهمة. بالطبع ، تشغيل كل شيء كجذر أو مسؤول يعني أن كل شيء سيعمل دون القلق بشأن الامتيازات. ومع ذلك ، فمن المحتمل أن يكون خطيرًا للغاية. قد يسمح تشغيل التطبيقات (بما في ذلك مهام مثل وظائف cron) ذات الامتيازات الإدارية لمهاجم أو مكون إضافي ضار بالتسبب في مزيد من الضرر في حالة حدوث خرق أمني.

إذا لم تكن متأكدًا من أين تبدأ ، فابدأ بإلقاء نظرة على المسؤول داخل WordPress وحدد ما إذا كنت بحاجة إلى تقييد ذلك بطريقة ما - أثناء تواجدك فيه ، قد ترغب في التأكد من أنك الوصول إلى مسؤول WordPress عبر HTTPS (SSL) ، وأنك قمت بتنفيذ مصادقة ثنائية (2FA) (أو أنك على الأقل قمت بتنفيذ مصادقة HTTP لمشرف WordPress الخاص بك).

بالطبع ، هناك العديد من نصائح الأمان الأخرى في WordPress التي يمكنك وضعها لتحسين الوضع الأمني ​​لموقع WordPress الخاص بك. ارجع إلى البرامج التعليمية والنصائح حول أمان WordPress الخاصة بنا لمعرفة المزيد.

3. مراقبة WordPress

السجلات ضرورية للغاية للحفاظ على أمان أي نظام. هم أقرب شيء لدينا إلى آلة الزمن. تعد القدرة على الرد على ما حدث ومتى أداة لا غنى عنها عند التحقيق في حادث أمني. قد يؤدي الوصول إلى السجلات الصحيحة إلى توضيح الفرق بين ملاحظة أن المهاجم قد اكتسب موطئ قدم على موقع الويب الخاص بك ، والسماح للسرقة بالمرور دون أن يلاحظها أحد حتى فوات الأوان.

مكمل لقطع الأشجار هو الرصد. في أبسط أشكالها ، تنتظر المراقبة حدوث بعض الأحداث (عادةً من خلال النظر بشكل دوري في بعض السجلات) ، وتسجيلها وعادة ما يتم تهيئتها باستخدام نوع من نظام التنبيه لتنبيه مسؤول النظام إلى حدوث شيء ما (مثل نظام الكشف عن التطفل في WordPress ). في حين أن العديد من مسؤولي النظام يراقبون عادةً استخدام وحدة المعالجة المركزية والذاكرة ، فقد يفقدون مراقبة الوصول إلى WordPress.

سجلات نشاط WordPress

تعد القدرة على مراجعة سجل نشاط WordPress لمعرفة ما فعله المستخدم بالضبط في إطار زمني معين أداة تحليلية مهمة في التحقيق. بالإضافة إلى ذلك ، قد ترغب في ربط هذه المعلومات بخادم الويب وخطأ PHP وسجلات قاعدة البيانات. فيما يلي بعض النصائح للتأكد من أنك تغطي معالجة السجل الأساسي على الأقل بشكل صحيح.

  • تأكد من تدوير سجلاتك بشكل صحيح لضمان عدم نفاد مساحة القرص
  • نسخ سجلاتك احتياطيًا بشكل دوري إلى نسخة احتياطية خارج الموقع (مثل Amazon S3 أو Digital Ocean Spaces)
  • اكتشف المدة التي تريدها للاحتفاظ بالسجلات وتهيئة سياسات الاحتفاظ بسجل النشاط. ينصح بالاحتفاظ بسنة واحدة على الأقل
  • تأكد من أن لديك طريقة سريعة للوصول إلى المعلومات المهمة في سجلاتك أثناء وقوع حادث

سجلات أخرى

بصرف النظر عن سجلات نشاط WordPress ، بصفتك مسؤول موقع ، يمكنك الوصول إلى العديد من السجلات الأخرى ، مثل سجلات خادم الويب وسجلات PHP والعديد من السجلات الأخرى. ارجع إلى قائمة ملفات السجل لمسؤولي WordPress لمعرفة المزيد حول جميع ملفات السجل المختلفة التي يمكنك الوصول إليها. تبرز المنشورات أيضًا كيف يمكنك استخدام المعلومات من جميع السجلات لتتبع حادث أو هجوم.

4. تحسين أمان WordPress الخاص بك

بمجرد الانتهاء من الدورة الموضحة أعلاه ، فإن الخطوة التالية هي محاولة تحليل ما يمكنك القيام به بشكل أفضل في المرة القادمة. كما تمت مناقشته في بداية المقالة ، ضع في اعتبارك أن الأمان عملية مستمرة - حاول مواكبة أخبار أمان WordPress ، وبشكل حاسم ، تأكد من أنك دائمًا على رأس تحديثات أمان WordPress.

بمجرد إجراء هذه العملية عدة مرات ، حاول توثيق تفاصيل العملية الخاصة بك . اجعلها روتينية تتبعها بين الحين والآخر. علاوة على ذلك ، عندما تقوم بإجراء تغييرات على موقع WordPress الخاص بك ، ضع في اعتبارك الأمان. اتبع عملية أمان WordPress المتكررة للاختبار والتشديد والمراقبة وتحسين أمان موقع الويب الخاص بك كلما قمت بإجراء تغيير على موقع الويب الخاص بك.