19 طريقة لتأمين موقع الويب (7 هي مفتاح!)

نشرت: 2022-08-20


هل أنت قلق بشأن أمان WordPress؟

يجب ان تكون! لكن لا تقلق كثيرًا - إذا قمت بتنفيذ بعض أفضل ممارسات أمان موقع WordPress على موقعك ، فيمكنك أن تشعر بالثقة في أن موقعك لن يواجه مشكلات.

WordPress آمن . لكن الإجراءات التي يتخذها المستخدمون (والمكونات الإضافية التي يثبتها المستخدمون) يمكن أن تقدم جميع أنواع نقاط الضعف في WordPress.

لتجنب ارتكاب هذه الأخطاء ، كل ما عليك فعله هو اتباع النصائح الواردة في هذا المنشور.

لجعل هذا المنشور قابلاً للتنفيذ قدر الإمكان ، سنقوم بتقسيم نصائح أمان WordPress الخاصة بنا إلى فئتين:

سبعة يجب اتباع أفضل ممارسات أمان ووردبريس

إذا لم تأخذ أي شيء آخر من هذا المنشور ، فإنني أوصيك بتنفيذ أفضل ممارسات أمان WordPress السبعة هذه على الأقل على موقعك.

إذا كنت لا تفعل هذه الأشياء السبعة ، فأنت تفتح موقعك على نقاط ضعف هائلة.

1. تطبيق التحديثات الأساسية والإضافات في أسرع وقت ممكن

أحد أفضل الأشياء المطلقة التي يمكنك القيام بها للحفاظ على WordPress آمنًا هو تطبيق التحديثات على الفور على نواة WordPress والمكونات الإضافية والسمات.

بغض النظر عن مدى جودة البرنامج ، فمن الطبيعي اكتشاف نقاط ضعف جديدة. ومع ذلك ، مع فريق تطوير الجودة ، سيتم إصلاح هذه الثغرات الأمنية قبل أن يتم استغلالها من قبل الجهات الضارة ... طالما أنك تقوم بتطبيق التحديثات على الفور!

كان من الممكن تجنب العديد من عمليات استغلال WordPress الأكثر انتشارًا على نطاق واسع إذا كان الأشخاص قد قاموا فقط بتحديث مواقعهم .

ليتم تنبيهك بالتحديثات الجديدة ، انتبه إلى Dashboard → Updates area في مسؤول WP الخاص بك.

يعد تطبيق تحديثات WordPress أمرًا ضروريًا لأمان WordPress

إذا كنت قلقًا بشأن مشكلات التوافق ، فيمكنك اختبار التحديثات على موقع مرحلي قبل تطبيقها على موقعك المباشر. ستحتاج أيضًا إلى أخذ نسخة احتياطية قبل تطبيق التحديثات - المزيد عن ذلك لاحقًا.

ملاحظة - الاستثناء الوحيد لهذه القاعدة هو التحديثات الرئيسية ، والتي تركز فقط على إضافة ميزات جديدة ولا تتضمن أي إصلاحات أمنية. يمكنك الانتظار بأمان بضعة أسابيع لتطبيق هذه التحديثات الرئيسية.

  • الإصدار الرئيسي (الميزات) - 5.0 ، 5.1 ، 6.0 ، وما إلى ذلك - يمكنك الانتظار لتطبيق هذه التحديثات.
  • إصدار ثانوي (إصلاحات الأمان / الأخطاء ) - 5.0.1 ، 5.1.2 ، 6.0.4 ، وما إلى ذلك - تحتاج دائمًا إلى تطبيق هذه في أسرع وقت ممكن.

2. استخدم فقط المكونات الإضافية والسمات من المطورين ذوي السمعة الطيبة (ولا توجد مكونات إضافية ملغاة)

في حين أن برنامج WordPress الأساسي آمن ، لا يمكن قول الشيء نفسه عن كل مكون إضافي وموضوع موجود ( في الغالب المكونات الإضافية ).

من خلال إضافة رمز جديد وتعديل وظائف موقعك ، يمكن للمكونات الإضافية تقديم جميع أنواع الثغرات الأمنية.

في الوقت نفسه ، لا يعد عدم استخدام المكونات الإضافية خيارًا حقًا لأن المكونات الإضافية جزء لا يتجزأ من كل موقع من مواقع WordPress.

وبالتالي ، من المهم التركيز فقط على استخدام المكونات الإضافية والسمات من مطورين ذوي سمعة طيبة مع سجل حافل بجودة الكود الجيدة والصيانة السريعة.

بمعنى ، كن حذرًا بشأن المكونات الإضافية التي تقوم بتثبيتها على موقعك .

فيما يلي بعض النصائح لمساعدتك في استخدام المكونات الإضافية والسمات عالية الجودة فقط:

  • اقرأ الاستعراضات . قد تشير المراجعات السيئة إلى جودة التعليمات البرمجية السيئة.
  • تحقق من عدد التثبيت النشط . على الرغم من أن هذه ليست قاعدة ثابتة ، إلا أنه من المرجح بشكل عام أن تحظى المكونات الإضافية الشائعة بالاهتمام.
  • تحقق من التحديثات الأخيرة . يعد وجود مطور نشط أمرًا مهمًا لتصحيح أي ثغرات تم اكتشافها حديثًا.
  • لا تقم بتثبيت الإضافات غير الضرورية . نظرًا لأن كل مكون إضافي تقوم بتثبيته هو ناقل محتمل للهجوم ، يجب عليك فقط تثبيت المكونات الإضافية المهمة لموقعك.

لدينا أيضًا دليل كامل حول اختيار مكونات WordPress الإضافية.

أخيرًا ، سترغب أيضًا في تجنب المكونات الإضافية الفارغة لأنك لا تعرف الرمز الذي تمت إضافته إلى المكون الإضافي.

3. استخدم استضافة ووردبريس الآمنة

يمكن أن يؤدي اختيار مزود استضافة WordPress عالي الجودة إلى قطع شوط طويل نحو ضمان أمان موقعك.

أولاً ، سيضمن موفر استضافة WordPress عالي الجودة أن بيئتك محسّنة لأمان WordPress ، مثل أذونات الملفات المناسبة وملف wp-config.php آمن.

سيبني العديد من مضيفي WordPress أيضًا وسائل حماية أكثر استباقية ، مثل جدران الحماية المضمنة أو فحص البرامج الضارة.

يقوم بعض مضيفي WordPress المُدارين بتنظيف موقعك مجانًا في حالة حدوث أي شيء له.

في الأساس ، مع مضيف عالي الجودة (خاصةً مضيف WordPress مُدار) ، سيهتمون بالكثير من أفضل الممارسات هذه بحيث يمكنك التركيز فقط على تنمية موقعك.

للعثور على بعض خيارات الجودة ، تحقق من منشوراتنا مع أفضل استضافة WordPress مُدارة وأفضل استضافة WordPress بشكل عام.

إذا كنت تستطيع ذلك ، ففكر في خيارات مثل Flywheel (ما نستخدمه لـ WPKube - مراجعة Flywheel) أو Kinsta (مراجعة Kinsta الخاصة بنا).

يمكن لمضيف الجودة تنفيذ نصائح أمان موقع WordPress

4. تأمين صفحة تسجيل الدخول والوصول إلى الحساب

لا يمكن أن تساعدك جميع نصائح الأمان في WordPress في العالم إذا كان أحد الممثلين الخبيثين قادرًا على الوصول إلى أحد حسابات مستخدمي WordPress الشرعية ( خاصة حساب المسؤول ).

فكر في الأمر في العالم الحقيقي - يمكن أن يكون لديك أفضل نظام أمان منزلي مطلقًا في العالم ، ولكن لن تفعل أي شيء إذا كان السارق لديه مفتاح منزلك ورمز الأمان.

هذا يعني أنه من الضروري أن تجد طرقًا لحماية عملية تسجيل الدخول وحسابات المستخدمين لموقع WordPress الخاص بك.

للبدء ، ستحتاج إلى استخدام بيانات اعتماد حساب قوية:

  • اسم المستخدم - لا تستخدم مطلقًا "admin" كاسم مستخدم. بدلاً من ذلك ، اختر اسم مستخدم فريدًا لا تستخدمه في أي مكان آخر.
  • كلمة المرور - استخدم كلمة مرور قوية وفريدة من نوعها. للحصول على أفضل النتائج ، استخدم مدير كلمات المرور مثل LastPass أو Bitwarden لإنشاء كلمات مرور فريدة لكل موقع.

علاوة على ذلك ، يمكنك أيضًا استخدام التكتيكات لحماية صفحة تسجيل الدخول إلى WordPress:

  • قم بتغيير عنوان URL لتسجيل الدخول - يؤدي هذا أيضًا إلى تقليل الكثير من حركة مرور الروبوت. كيف؟ استخدم البرنامج الإضافي المجاني WPS Hide Login.
  • الحد من محاولات تسجيل الدخول - قم بحظر عنوان IP مؤقتًا إذا قام بإجراء العديد من محاولات تسجيل الدخول غير الصحيحة (تمامًا كما تفعل البنوك). كيف؟ استخدم البرنامج الإضافي المجاني Limit Login Attempts Reloaded.
  • طلب مصادقة ثنائية (2FA) - اجعل الأشخاص يدخلون رمزًا من تطبيق مصدق أو رسالة نصية قصيرة أو بريد إلكتروني بالإضافة إلى بيانات اعتمادهم. كيف؟ استخدم الإضافات المجانية مثل WP 2FA أو Two-Factor.
مثال على الحد من محاولات تسجيل الدخول على WordPress

يجب على جميع المواقع تغيير عنوان URL لتسجيل الدخول والحد من محاولات تسجيل الدخول ، ولكن استخدام المصادقة الثنائية لـ WordPress ضروري فقط للمواقع ذات المهام الحرجة.

5. قم بتثبيت شهادة SSL واستخدام HTTPS

تتيح لك شهادة SSL استخدام HTTPS على موقعك بدلاً من HTTP.

باستخدام HTTPS ، يتم تشفير أي بيانات تمر بين متصفحك وخادمك. بالإضافة إلى كونه مفيدًا بشكل عام للخصوصية ، يعد هذا ضروريًا لحماية البيانات المهمة مثل اسم المستخدم وكلمة المرور.

بدون HTTPS ، يمكن للممثل الضار على شبكة الإنترنت الخاصة بك رؤية جميع البيانات التي تمر بين متصفحك وموقعك. على سبيل المثال ، إذا قمت بتسجيل الدخول إلى موقعك في المقهى المحلي الخاص بك باستخدام HTTP ، فسيتمكن شخص ما على تلك الشبكة من رؤية اسم المستخدم وكلمة المرور الخاصين بك بنص عادي.

عند استخدام HTTPS ، يتم تشفير اسم المستخدم وكلمة المرور (إلى جانب جميع البيانات الأخرى) بشكل آمن ، مما يعني أن الجهات الخبيثة لن ترى سوى مجموعة من الأحرف العشوائية.

استخدام ووردبريس HTTPS

في الوقت الحاضر ، يقدم معظم موفري خدمات استضافة WordPress ذوي الجودة العالية شهادات SSL مجانية.

بمجرد تثبيت شهادة SSL عبر لوحة تحكم الاستضافة ، يمكنك تكوين موقعك لاستخدام HTTPS. إذا كنت بحاجة إلى بعض المساعدة في نقل موقعك إلى HTTPS ، فإن المكون الإضافي Really Simple SSL يقدم إعدادًا بنقرة واحدة.

اتبع دليل HTTPS في WordPress لمزيد من التفاصيل.

6. استخدام إصدارات PHP المدعومة

WordPress مكتوب بلغة برمجة PHP. ومع ذلك ، هناك إصدارات PHP مختلفة يمكنك استخدامها على حساب الاستضافة الخاص بك.

لم تعد الإصدارات القديمة من PHP تتلقى الصيانة ، مما يعني أنه يمكن أن يكون لديها مشكلات أمنية غير مسبوقة.

اعتبارًا من 2022 ، أقدم إصدار PHP يتلقى تحديثات الأمان هو PHP 7.4. ومع ذلك ، بدءًا من عام 2023 ، سترغب في استخدام PHP 8.0 كحد أدنى.

يمكنك التحقق من دعم إصدار PHP الحالي في هذه الصفحة.

دعم WordPress PHP

كمكافأة إضافية ، تقدم الإصدارات الأحدث من PHP أيضًا تحسينات كبيرة في الأداء ، مما يعني أن موقعك سيتم تحميله بشكل أسرع بالإضافة إلى كونه أكثر أمانًا.

إذا لم تكن متأكدًا من كيفية تحديث PHP ، فيمكنك أن تطلب دعم مضيفك. لدينا أيضًا دليل حول كيفية تحديث PHP لدى مضيفي WordPress المشهورين.

7. قم بعمل نسخة احتياطية من موقعك بانتظام

لن يمنع النسخ الاحتياطي لموقعك حدوث مشكلات أمنية على موقعك. ومع ذلك ، فإنه سيمنع تحول المشكلات الأمنية إلى مشكلات أكبر.

بدون نسخة احتياطية ، يمكن أن يكون أي حادث أمني على موقعك مدمرًا تمامًا. قد تفقد البيانات ، وتعطل الكثير من الوقت ، وما إلى ذلك.

مع وجود نسخة احتياطية حديثة ، فإن أسوأ حالة لحادث أمني هي أنك تحتاج فقط إلى استعادة النسخة الاحتياطية النظيفة لموقعك. لا يزال مزعجًا - لكنه أقل كارثيًا.

إذا كان مضيفك لا يقدم بالفعل نسخًا احتياطية تلقائية آمنة ، فإن الأدوات المدفوعة مثل Jetpack Backup أو BlogVault تقدم أبسط طريقة لتمكين النسخ الاحتياطية الآمنة خارج الموقع.

إذا لم يكن لديك ميزانية لدفع ثمن أداة ما ، فإن UpdraftPlus يعد أيضًا خيارًا مجانيًا رائعًا - فقط تأكد من توصيله بموفر تخزين خارج الموقع مثل Google Drive أو Amazon S3.

إليك منشورنا الكامل حول أفضل المكونات الإضافية للنسخ الاحتياطي في WordPress.

اثنا عشر نصيحة إضافية لتقوية أمان WordPress

إذا نفذت بأمانة أفضل ممارسات أمان موقع WordPress التي يجب اتباعها أعلاه ، فستتجنب 99٪ من المشكلات على موقعك.

ومع ذلك ، إذا كنت ترغب في تعزيز الأمور بشكل أكبر ، فهناك بعض النصائح الإضافية التي يمكنك تنفيذها لزيادة حماية موقعك.

8. قم بإعداد جدار حماية

يمكن لجدار الحماية حماية موقعك بشكل استباقي من التهديدات عن طريق حظر حركة المرور أو الإجراءات الضارة قبل أن تؤثر على موقعك أو خادمك.

يقوم العديد من المضيفين بالفعل بتطبيق جدران الحماية الخاصة بهم ، ولهذا السبب قد لا يكون هذا ضروريًا للمواقع إذا كنت تستخدم استضافة WordPress عالية الجودة ( انظر أعلاه ).

إذا لم يكن مضيفك (أو إذا كنت تريد المزيد من الحماية) ، فيمكنك إضافة جدار حماية على مستوى التطبيق باستخدام مكون إضافي مثل Wordfence أو على مستوى DNS مع خدمة مثل Cloudflare أو Sucuri.

9. استخدم برنامج أمان WordPress الإضافي

يمكنك إنشاء مواقع WordPress آمنة بدون مكون إضافي للأمان ، لذلك لا يلزم بالتأكيد وجود مكون إضافي للأمان لإنشاء موقع آمن.

مع ما يقال ، لا يزال من الممكن أن يكون المكون الإضافي للأمان في متناول اليد لعدة أسباب:

  1. يمكن أن توفر المكونات الإضافية للأمان جدران حماية في الوقت الفعلي للحماية من التهديدات الناشئة.
  2. سيجعل المكون الإضافي للأمان عالي الجودة من السهل تنفيذ الكثير من نصائح التقوية الأخرى في هذه القائمة ، والتي يمكن أن تبسط الأمور لك وتوفر لك الوقت.

عندما تكون في شك ، يعد المكون الإضافي Wordfence خيارًا رائعًا للبدء به. يمكنك العثور على المزيد من الخيارات في مجموعتنا الكاملة لأفضل مكونات أمان WordPress.

10. إخفاء نسخة ووردبريس

يؤدي إخفاء رقم إصدار WordPress إلى إضافة قدر ضئيل من "الأمان من خلال التعتيم" من خلال جعل اكتشاف رقم إصدار موقعك أصعب قليلاً على الجهات الضارة.

لإخفائه ، يمكنك إضافة الكود التالي إلى ملف function.php الخاص بقالب طفلك أو ملحق مثل Code Snippets.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

إذا كنت تريد أن تذهب أبعد من ذلك ، فلدينا دليل حول كيفية إخفاء أن موقعك يستخدم WordPress.

11. تحقق من أذونات الملف

إذا كنت تستخدم مضيفًا عالي الجودة ، فيجب أن تكون أذونات ملف موقعك صحيحة بالفعل. ومع ذلك ، قد يكون من المفيد التحقق مرة أخرى لأن الحصول على أذونات الملف الصحيحة أمر مهم.

لمعرفة المزيد ، راجع دليلنا الكامل لأذونات ملفات WordPress.

12. استخدم فقط الاتصالات الآمنة لبروتوكول نقل الملفات

عندما تتصل بموقعك عبر FTP أو تقنيات أخرى ، تأكد من استخدام بروتوكولات آمنة مثل SFTP.

مثلما يحمي HTTPS البيانات التي تنتقل بين متصفحك وموقعك على الويب ، فإن SFTP يحمي الاتصال بين عميل FTP وخادمك.

يجب أيضًا تجنب تخزين كلمات مرور FTP في عميل FTP الخاص بك ، ما لم يتم تشفير كلمات المرور هذه بشكل آمن.

13. إعداد تسجيل النشاط

يتيح لك تسجيل النشاط تتبع ما يفعله المستخدمون في لوحة التحكم الخاصة بك ، مما قد يساعدك على اكتشاف نشاط مريب (خاصة إذا منحت مستخدمين آخرين إمكانية الوصول إلى لوحة التحكم).

تسجيل نشاط WordPress لأمان موقع الويب

لإعداد هذا ، يمكنك استخدام مكون إضافي مثل WP Activity Log. لدينا برنامج تعليمي حول كيفية إعداد تسجيل النشاط ، بالإضافة إلى قسيمة WP Activity Log الحصرية لتوفير بعض المال.

14. قم بإجراء عمليات فحص البرامج الضارة / الأمان المنتظمة

على الرغم من أنه من المفترض ألا يواجه موقعك أية مشكلات إذا قمت بتطبيق أفضل الممارسات المذكورة أعلاه ، إلا أنه لا يزال من الممارسات الجيدة إجراء عمليات فحص البرامج الضارة / الأمان على موقعك بشكل دوري.

للتحقق من وجود أي مشكلات في الواجهة الأمامية لموقعك ، يمكنك استخدام أداة Sucuri SiteCheck المجانية.

لإجراء فحص كامل لملفات الخادم الخاص بك ، يمكنك التفكير في أدوات مثل MalCare أو Wordfence.

قد يقوم مضيف WordPress الخاص بك أيضًا بإجراء عمليات الفحص اليومية للبرامج الضارة ، مما قد يجعل هذه الأدوات زائدة عن الحاجة.

15. قم بتعطيل XML-RPC

يساعد XML-RPC الأدوات الخارجية في الاتصال بموقع WordPress الخاص بك ، مثل تطبيق WordPress لسطح المكتب.

ومع ذلك ، إذا كنت لا تستخدم هذه الأدوات ، فإنها تضيف فقط ناقل هجوم غير ضروري إلى موقعك. لتعطيله بالكامل ، يمكنك استخدام البرنامج المساعد المجاني Disable XML-RPC.

16. بلوك Hotlinking

Hotlinking هو عندما يقوم شخص ما بتضمين محتوى من الخادم الخاص بك على موقعه (مثل صورة). يمكن أن يؤثر على أمان موقعك عن طريق استنزاف موارد الخادم الخاص بك دون إذنك.

لمنع الارتباط السريع ، يمكنك إضافة بعض التعليمات البرمجية إلى ملف htaccess الخاص بموقعك.

لإنشاء كود htaccess المطلوب لمنع الارتباط السريع ، يمكنك استخدام هذه الأداة المجانية. سيتيح لك وضع قائمة بأمان لبعض موفري الروابط الساخنة (مثل بحث الصور من Google) ، مع حظر الآخرين.

17. تغيير بادئة قاعدة بيانات WordPress

يؤدي تغيير بادئة قاعدة بيانات WordPress إلى إضافة قدر صغير من "الأمان عن طريق الغموض" ، على الرغم من أن بعض الخبراء (بما في ذلك Wordfence) يقولون إن مزايا الأمان تافهة جدًا.

إذا كان لديك موقع WordPress حالي ، فأنا لا أوصي بذلك لأن مخاطر كسر موقعك تفوق أي فوائد أمنية محتملة.

ومع ذلك ، إذا كنت تقوم بإعداد موقع WordPress جديد ، فيمكنك أيضًا استخدام بادئة قاعدة بيانات مخصصة ، حتى لو لم يكن لها تأثير كبير.

18. تعطيل تنفيذ ملف PHP في مجلد wp-content / uploads

يمكنك منع بعض هجمات حالة الحافة عن طريق تعطيل تنفيذ ملف PHP في مجلد wp-content / uploads .

إليك الطريقة:

  1. استخدم المفكرة لإنشاء ملف htaccess جديد.
  2. أضف مقتطف الشفرة أدناه.
  3. قم بتحميل هذا الملف إلى مجلد wp-content / uploads .
 <Files *.php> deny from all </Files>

19. تعطيل تحرير التعليمات البرمجية في لوحة القيادة

بشكل افتراضي ، يتيح لك WordPress تحرير ملفات السمات والمكونات الإضافية من لوحة معلومات WordPress ، مما يسمح للمهاجمين بإضافة تعليمات برمجية ضارة إذا حصلوا على حق الوصول إلى حساب المسؤول.

لمنع هذا ، يمكنك تعطيل تحرير الملف عن طريق إضافة هذا المقتطف إلى ملف wp-config.php الخاص بك:

define( 'DISALLOW_FILE_EDIT', true );

الأسئلة الشائعة حول أمان موقع WordPress

لإنهاء الأمور ، إليك بعض الأسئلة الشائعة حول أمان WordPress.

هل يواجه WordPress مشكلات أمنية؟

لا يحتوي WordPress نفسه على مشكلات أمنية ، ولكن تثبيت المكونات الإضافية على موقعك يمكن أن يؤدي إلى حدوث ثغرات أمنية ، خاصة في حالة المكونات الإضافية سيئة الترميز و / أو الصيانة.

هل يتم اختراق WordPress بسهولة؟

تتعرض الغالبية العظمى من مواقع WordPress للاختراق بسبب خطأ المستخدم ، وليس بسبب البرنامج نفسه. سيؤدي اتباع بعض أفضل ممارسات الأمان الأساسية إلى جعل اختراق موقعك أمرًا شديد الصعوبة.

هل يمكنك جعل WordPress آمنًا؟

نعم بالتاكيد. طالما أنك تتبع أفضل الممارسات ، يمكن أن يكون WordPress آمنًا للغاية. هناك سبب يجعل العديد من العلامات التجارية الكبرى تثق في WordPress.

هل تحتاج إلى ملحق أمان WordPress؟

يمكنك إنشاء موقع WordPress آمن بدون مكون أمان إضافي شامل. ومع ذلك ، يمكن لهذه المكونات الإضافية تبسيط عملية تنفيذ أفضل ممارسات تعزيز الأمان وتمكينك من الوصول إلى ميزات مفيدة مثل جدران الحماية والفحص الأمني.

قم بتطبيق أفضل ممارسات أمان WordPress هذه اليوم

إذا لم تأخذ أي شيء آخر من هذا المنشور ، آمل أن تنفذ على الأقل سبع نصائح أمان WordPress يجب اتباعها أعلاه.

إذا قمت بهذه الأشياء السبعة فقط ، فيمكنك أن تكون واثقًا من أنك ستتجنب 99.9٪ من مشكلات الأمان على موقعك.

إذا كنت تريد حماية أفضل ، يمكنك المتابعة وتنفيذ جميع النصائح التسعة عشر في هذه القائمة.

هل لا يزال لديك أي أسئلة حول أمان WordPress؟ اسمحوا لنا أن نعرف في التعليقات!