كيفية تأمين موقع WordPress الخاص بك - 9 نصائح | JustLearnWP.com
نشرت: 2020-01-13لا يمكن القول إن WordPress هو أشهر أنظمة إدارة المحتوى في العالم حيث يضم حوالي نصف حصة السوق في جميع أنحاء العالم. ليس من المستغرب أنه كان موجودًا منذ فترة طويلة ، بالإضافة إلى أنه يحتوي على الكثير من الميزات الممتازة التي يحبها المطورون.
ومع ذلك ، فإن شعبيتها تعني أيضًا أنها هدف من المهاجمين السيبرانيين الذين يفترسون مواقع WordPress غير المحمية جيدًا. لذا ، لا تكن الضحية التالية لهجمات WordPresstargeted! لذا ، ما يجب القيام به للحماية من المتسللين. لا تقلق! لقد قمنا بتجميع بعض الخطوات الرئيسية التي يجب عليك اتباعها لتشديد أمان WordPress الخاص بك.
استخدم SSL
يرمز SSL إلى Secure Socket Layer وهو بروتوكول ينفذ أمان خادم العميل على مواقع الويب ويؤمن البيانات بين الخادم والمتصفحات. يمكنك تمكين أمان SSL عن طريق تثبيت ما يعرف بشهادة SSL. بهذه الطريقة ستكون قادرًا على حمايتك وحماية المستخدمين لديك ، خاصةً إذا كان موقعك يتعامل مع بيانات حساسة مثل معلومات بطاقة الائتمان وما شابه.
Let's Encrypt نقدم شهادات SSL مجانية.
هناك العديد من أنواع شهادات SSL التي يمكنك شراؤها اعتمادًا على موقع WordPress الخاص بك. على سبيل المثال ، يمكنك شراء SSL متعدد المجالات يؤمن المجال الرئيسي لموقعك جنبًا إلى جنب مع المجالات والنطاقات الفرعية الأخرى تحته. خلاصة القول هي أنك تحتاج إلى شراء SSL المناسب لموقع WordPress الخاص بك.
موضوع التركيز وأمان البرنامج المساعد
واحدة من أسهل الطرق التي يمكن للمهاجم من خلالها التسلل إلى موقع WordPress الخاص بك هي استخدام السمات والمكونات الإضافية. هناك ميزات نحبها في بنية WordPress ، وللأسف بعض السمات الرائعة و WordPressplugins ليست مجانية.
غالبًا ما يقوم بعض المطورين المحتالين بقرصنة هذه السمات والإضافات مما يتيح الوصول المجاني إلى المجتمع. يبدو وكأنه صفقة جيدة؟ قد لا يكون.
يمكن أن تشكل معظم الإصدارات المقرصنة خطرًا محتملاً على موقع WordPress الخاص بك. ليس من المنطقي أن المطورين المحتالين سيعكسون هندسة هذه المنتجات ، وبالتأكيد لا يمكنك الوثوق في أنهم سيرغبون فقط في تسليمها لك مجانًا دون إخفاء بعض التعليمات البرمجية الضارة هناك.
بشكل عام ، يجب أن تكون حذرًا بشأن المكونات الإضافية والسمات سواء كانت مجانية أو مدفوعة. فيما يلي بعض النصائح الأمنية التي يجب وضعها في الاعتبار عند التعامل مع المكونات الإضافية والسمات في WordPress:
- قم بتثبيت السمات والإضافات فقط من مصادر موثوقة (كلما زادت المراجعات ، كان ذلك أفضل)
- قم بتحديث السمات والإضافات الخاصة بك كلما تم إصدار إصدارات جديدة
- قم بإلغاء تنشيط المكونات الإضافية والقوالب القديمة وإلغاء تثبيتها
تأمين كلمات مرور WordPress الخاصة بك
أمان كلمة المرور هو جانب آخر من جوانب أمان WordPress يتم تجاهله غالبًا. غالبًا ما تكون خطوات بسيطة مثل تغيير كلمات المرور الخاصة بك بشكل متكرر ، واستخدام كلمات مرور طويلة يصعب تخمينها وما إلى ذلك.
في الواقع ، نوع شائع من الهجمات المستخدمة ضد مواقع WordPress هو ما يُعرف باسم هجوم القوة الغاشمة. هذا هو المكان الذي يحاول فيه المهاجم تخمين كلمات مرور تسجيل الدخول الخاصة بك وسيكون من الأسهل بالتأكيد إذا كان من السهل اختراق كلمات المرور الخاصة بك.
- قم بتعيين كلمات مرور منتهية الصلاحية للتطبيقات الحساسة مثل الخدمات المصرفية
- قم بتعيين جلسات لمستخدمي موقع WordPress الخاص بك
- أضف طبقة المصادقة
تعد إضافة طبقات من المصادقة طريقة أخرى لتقليل فرص وصول المتسللين إلى موقعك من خلال هجمات مثل القوة الغاشمة. بمعنى آخر ، لا تريد أن يتمكن شخص ما من الوصول إلى موقعك بمجرد اختراق كلمات المرور الخاصة بك وهذا كل شيء!
يمكنك إضافة طبقة أخرى من التحدي لجعلها أكثر صعوبة. ومن الأمثلة الجيدة على ذلك ما يُعرف بالمصادقة الثنائية (2FA) حيث يمكنك إضافة شيء مثل التحقق من الرسائل القصيرة أعلى تركيبة اسم المستخدم / البريد الإلكتروني وكلمة المرور العادية.
قم بتغيير صفحة تسجيل الدخول إلى WordPress الخاصة بك
هناك طريقة أخرى لتقليل هجمات وهجمات القوة الغاشمة مثل Denial of Service (DOS) وهي تغيير صفحات تسجيل الدخول إلى WordPress من الصفحات الافتراضية ، مما يجعل من الصعب على المتسللين محاولة مهاجمة موقعك.
يعد HideMyWP مكونًا إضافيًا قويًا وشائعًا للأمان يوفر الكثير من الميزات لتأمين موقع WordPress الخاص بك.
يعد تغيير صفحة WordPresslogin الخاصة بك أمرًا سهلاً للغاية. ما عليك سوى العثور على مكون إضافي يقوم بتخصيص عنوان URL لتسجيل الدخول ، وتثبيته على WordPress الخاص بك وأنت على ما يرام.
تصفية حركة المرور إلى موقع WordPress الخاص بك
يمكنك أيضًا حماية موقع WordPress الخاص بك عن طريق تصفية حركة المرور خاصة تلك التي تبدو مشبوهة. على سبيل المثال ، يمكنك منع حركة المرور من المواقع التي لا تتوقع أي زوار منها.
يمكنك تقييد عناوين IP التي يمكنها الوصول إلى صفحات WordPresslogin ولوحة القيادة. مرة أخرى ، هناك الكثير من الأدوات التي يمكن أن تساعد في بناء مثل هذه القواعد والقيود مثل استخدام المكونات الإضافية لجدار الحماية ، واستخدام اختبار CAPTCHA وما إلى ذلك.
تأمين ملفات WordPress وقاعدة البيانات الخاصة بك
سيساعد مضيف الطرف الثالث في تأمين موقعك على مستوى الاستضافة ، ولكن لا يزال يتعين عليك العمل على موقعك لتأمين ملفات WordPress الخاصة بك. على سبيل المثال ، يجب عليك التأكد من أن أذونات الملف صحيحة لتجنب خرق الأمان. فيما يلي طرق أخرى لتأمين ملفات WordPress و DB:
- قم بتغيير بادئة قاعدة البيانات من البادئة الافتراضية
- تعطيل تنفيذ ملف PHP لمنع تشغيل التعليمات البرمجية الضارة على الواجهة الخلفية ،
- تعطيل تصفح الدليل
- إخفاء ملفات wp-config.php و. htaccess
تعيين امتيازات المستخدم المناسب
يجب أن يتم تعيين الامتيازات لكل مستخدم في فريقك بناءً على أدواره. بهذه الطريقة يمكنك فقط منع نقاط الضعف التي تستهدف مستخدمي WordPress الخاصين بك. يجب تخصيص امتيازات WordPress عالية المستوى فقط للمستخدمين الذين يمكنهم تحمل هذه المسؤولية وحمايتها.
قم بعمل نسخة احتياطية من موقع WordPress الخاص بك
أخيرًا ، احتفظ بنسخة احتياطية من موقعك بانتظام للتأكد من حصولك على نقطة استرداد في حالة ظهور أي موقف غير مرغوب فيه. هناك مكونات إضافية للنسخ الاحتياطي لجهة خارجية ، ومضيف ويب ، وخدمة صيانة مواقع الويب ، وطرق يدويًا ستساعدك على عمل نسخة احتياطية بشكل منتظم.
يعد JetPack أحد أفضل المكونات الإضافية للنسخ الاحتياطي وتأمين موقع الويب الخاص بك ، إذا كان يوفر الكثير من الميزات والنسخ الاحتياطي هو أحدها. قم بتثبيت Jetpack واستخدام ميزات النسخ الاحتياطي.
يمكن أن تصيب الكوارث موقع الويب الخاص بك في أي وقت مثل التوقف عن العمل يمكن أن يترجم إلى خسارة في العمل وهذا هو السبب الذي يجعلك تقوم بعمل نسخ احتياطي متكرر. من الحكمة جدولة النسخ الاحتياطية التلقائية بشكل مفضل لتسهيل الأمر عليك.
افكار اخيرة
لقد قمنا بتغطية بعض خطوات الأمان الأساسية التي يجب عليك اتخاذها لتأمين موقع WordPress الخاص بك ، وبالتالي حماية عملك. بالتأكيد ليس هناك كل شيء ولكن يجب أن تساعدك على ضبط الكرة من حيث أمان WordPresss.