5 طرق كيفية تأمين موقع ووردبريس من المتسللين
نشرت: 2023-08-18يعد WordPress نظامًا شائعًا لإدارة المحتوى (CMS) يتلقى تحديثات الأمان باستمرار. ومع ذلك، فإنه لا يزال عرضة لهجمات القرصنة. سواء كان لديك موقع للتجارة الإلكترونية أو مدونة، فمن المهم معرفة كيفية تأمين موقع WordPress من المتسللين.
والخبر السار هو أنك لا تحتاج إلى تعيين خبير أمني لهذه المهمة. من خلال اتخاذ بعض الاحتياطات واستخدام الأدوات المناسبة، يمكنك منع المتسللين من الوصول إلى موقع الويب الخاص بك وسرقة بياناتك. ️
هجمات القرصنة الشائعة على WordPress
يعمل WordPress على تشغيل 43% من المواقع على الويب، مما يجعله هدفًا شائعًا بين المتسللين [1] .
تتضمن بعض الهجمات الأكثر شيوعًا ما يلي:
- البرمجة النصية عبر المواقع (XXS) . يحدث هذا عندما يتمكن المتسللون من إدخال تعليمات برمجية ضارة في الموقع لأن موقع الويب المعني لا يتحقق من صحة إدخالات المستخدم أو يعقمها بشكل صحيح. تستهدف هجمات XXS عادةً المواقع التي تقبل المحتوى الذي ينشئه المستخدمون من خلال المنتديات وأقسام التعليقات والنماذج.
- هجمات القوة الغاشمة . قد يحاول المتسللون اقتحام موقعك عن طريق إنشاء مجموعات متعددة من اسم المستخدم وكلمة المرور حتى يخمنوا بيانات اعتماد تسجيل الدخول الصحيحة. يستخدم معظمهم برامج أو نصوص برمجية متخصصة لأتمتة هجمات القوة الغاشمة.
- هجمات حقن لغة الاستعلام المنظمة (SQL) . يمكن للجهات الخبيثة استغلال نقاط الضعف في موقع الويب (أو المكونات الإضافية التي يستخدمها) لإدراج أوامر SQL ضارة. يفعلون ذلك للوصول إلى قاعدة بيانات الموقع وسرقة المعلومات الحساسة، مثل تفاصيل بطاقة الائتمان.
بعض مواقع WordPress أكثر عرضة للخطر من غيرها. على سبيل المثال، إذا كان لديك الكثير من المكونات الإضافية على موقع الويب الخاص بك، فهذا يوفر المزيد من نقاط الدخول المحتملة للمتسللين.
بالإضافة إلى ذلك، إذا كان لديك متجرًا عبر الإنترنت، فقد يكون موقع الويب الخاص بك هدفًا أكثر جاذبية من المدونة الشخصية. وذلك لأن العديد من المتسللين يبحثون عن بيانات حساسة مثل أرقام بطاقات الائتمان وبيانات اعتماد تسجيل الدخول.
كيفية تأمين موقع ووردبريس من المتسللين (5 إستراتيجيات)
يمكن أن يكون لهجوم القرصنة آثار مدمرة على عملك. لذلك، من المهم أن تتعلم كيفية تأمين موقع WordPress من المتسللين.
لحسن الحظ، ليس من الصعب حماية موقعك. دعونا نلقي نظرة على بعض الاحتياطات الفعالة.
- تمكين المصادقة الثنائية
- قم بتغيير عنوان URL لتسجيل الدخول إلى WordPress
- الحد من محاولات تسجيل الدخول
- تأكد من تحديث العناصر الأساسية والمكونات الإضافية والموضوعات دائمًا
- اختر مضيف ويب آمن
1. تمكين المصادقة الثنائية
المصادقة الثنائية (2FA) هي إجراء أمني يُستخدم في العديد من مواقع الويب التي تحتوي على حسابات مستخدمين. بمجرد إدخال اسم المستخدم وكلمة المرور، قد يطلب منك أحد المواقع إدخال الرمز الذي تم إرساله إلى هاتفك المحمول أو عنوان بريدك الإلكتروني:
وهذا يضيف طبقة إضافية من الأمان، مما يجعل الأمر أكثر صعوبة على المتسللين لتنفيذ هجوم القوة الغاشمة الناجح. وذلك لأن تخمين اسم المستخدم وكلمة المرور لن يكون كافيًا للوصول إلى الموقع.
باعتبارك مالك موقع ويب، يمكنك إضافة المصادقة الثنائية (2FA) إلى صفحة تسجيل الدخول إلى WordPress. إذا كنت تستخدم مكونًا إضافيًا مثل WP 2FA، فيمكنك فرضه على المستخدمين الآخرين على موقع الويب الخاص بك، مثل المحررين والمؤلفين:
يمكن للمستخدمين اختيار إرسال رمز لمرة واحدة إلى عنوان بريدهم الإلكتروني الشخصي أو إنشاء الرمز باستخدام التطبيق الذي يختارونه (مثل Google Authenticator أو Authy).
بالإضافة إلى ذلك، يتكامل المكون الإضافي مع WooCommerce وأدوات التجارة الإلكترونية والعضوية الأخرى، بحيث يمكنك أيضًا إعداد المصادقة الثنائية لعملائك وأعضائك.
2. قم بتغيير عنوان URL لتسجيل الدخول إلى WordPress ️
هناك طريقة أخرى لمنع هجمات القوة الغاشمة وهي تغيير عنوان URL لتسجيل الدخول إلى WordPress لموقعك. افتراضيًا، يمكن للمستخدم الوصول إلى لوحة تحكم WordPress عن طريق إضافة /login/، أو /admin/، أو /wp-login.php إلى عنوان URL الخاص بالموقع. ومع ذلك، فإن هذا يجعل من السهل على المتسللين العثور على صفحة تسجيل الدخول الخاصة بك.
يمكنك تغيير عنوان URL لتسجيل الدخول إلى WordPress باستخدام مكون إضافي مثل WPS Hide Login:
تمكنك هذه الأداة من إنشاء عنوان URL مخصص لتسجيل الدخول، باستخدام أحرف وأحرف عشوائية لتجعل من الصعب تخمينه. فقط تذكر وضع إشارة مرجعية على صفحة تسجيل الدخول أو تدوين عنوان URL الجديد!
3. الحد من محاولات تسجيل الدخول
كما ذكرنا سابقًا، سيحاول المتسللون استخدام العديد من مجموعات كلمات المرور واسم المستخدم لاقتحام موقعك. يمكنك إيقاف هجمات القوة الغاشمة عن طريق الحد من عدد محاولات تسجيل الدخول التي يمكن للمستخدم القيام بها.
على سبيل المثال، قد تسمح فقط بمحاولتين فاشلتين لتسجيل الدخول. بعد ذلك، سيتم منع المستخدمين من الدخول إلى منطقة الإدارة (لا تقلق – سيتمكن المستخدمون الحقيقيون من إعادة تعيين كلمات المرور الخاصة بهم).
تتيح لك ميزة Limit Login Attempts Reloaded تقييد محاولات تسجيل الدخول على شاشة تسجيل الدخول الافتراضية إلى WordPress، بالإضافة إلى WooCommerce وأي صفحة تسجيل دخول مخصصة على موقعك:
سيقوم البرنامج الإضافي بحظر عنوان IP واسم المستخدم من إجراء المزيد من محاولات تسجيل الدخول بعد الوصول إلى عدد محدد من مرات إعادة المحاولة. لكي تكون في الجانب الآمن، قد ترغب في تحديد عدد محاولات تسجيل الدخول بثلاث محاولات لكل مستخدم.
4. تأكد من تحديث العناصر الأساسية والمكونات الإضافية والموضوعات دائمًا ️
قد يتمكن المتسللون من الدخول إلى موقعك من خلال ثغرة أمنية في مكون إضافي أو سمة. لهذا السبب، يقوم المطورون بانتظام بإصدار تصحيحات أمنية للمكونات الإضافية والموضوعات الخاصة بهم.
وهذا يعني أنه من المهم للغاية أن تقوم بتحديث المكونات الإضافية والموضوعات الخاصة بك بمجرد توفر إصدار جديد. الأمر نفسه ينطبق على برنامج WordPress، وهو جزء أساسي آخر لكيفية تأمين موقع WordPress من المتسللين.
يمكنك التحقق من تحديثات موقعك بالانتقال إلى لوحة التحكم > التحديثات . هنا، سترى أي برنامج يحتاج إلى التحديث:
ستحتاج إلى مراجعة هذه الصفحة بانتظام للحفاظ على أمان موقعك. وبدلاً من ذلك، يمكنك إعداد التحديثات التلقائية. للقيام بذلك، ما عليك سوى الانتقال إلى صفحة المكونات الإضافية والنقر على خيار تمكين التحديثات التلقائية بجوار المكون الإضافي:
يمكنك أن تفعل الشيء نفسه بالنسبة للموضوعات.
لاحظ أن تحديثات WordPress البسيطة يتم إجراؤها عادةً تلقائيًا بشكل افتراضي في معظم عمليات التثبيت. تركز التحديثات الثانوية على تحديثات الأمان والصيانة ويُشار إليها بنقطتين - على سبيل المثال، WordPress 5.6.1 أو 5.5.3.
ومع ذلك، قد يلزم بدء التحديثات الرئيسية يدويًا. هذه ليست مشكلة لأنه يمكنك الانتظار لتطبيق التحديثات الأساسية الرئيسية. وذلك لأن التحديثات الرئيسية تركز حصريًا على إضافة ميزات جديدة بدلاً من إجراء إصلاحات أمنية. تحتوي التحديثات الرئيسية على نقطة واحدة فقط - على سبيل المثال، WordPress 5.6 أو WordPress 5.5.
5. اختر مضيف ويب آمن ️️
إذا كنت تبحث عن المزيد من الطرق لكيفية تأمين موقع WordPress الإلكتروني من المتسللين، فيمكنك الانتقال إلى مزود استضافة أكثر موثوقية. يجب أن يكون لدى مضيف الويب الجيد العديد من الإجراءات الأمنية لحماية عملائه.
على سبيل المثال، يجب عليهم مراقبة خوادمهم بحثًا عن أي نشاط مشبوه وتحديث برامجهم وأجهزتهم بانتظام. إذا اخترت خطة استضافة WordPress مُدارة، فمن المرجح أن يقوم مضيفك بإجراء نسخ احتياطية يومية وفحص موقعك بحثًا عن البرامج الضارة.
إذا كنت تستخدم خطة استضافة مشتركة، فإن موقعك يشارك موارد الخادم مع العديد من مواقع الويب الأخرى. وهذا يعني أن الاختراق الأمني على موقع ويب آخر قد يؤثر أيضًا على موقعك إذا لم يقم مضيفك بعزل الحسابات المختلفة بشكل صحيح.
لذلك، قد ترغب في التفكير في التبديل إلى خدمة أكثر أمانًا، مثل الاستضافة المخصصة أو الخادم الافتراضي الخاص (VPS). بهذه الطريقة، تتم استضافة موقعك في بيئة معزولة ومن غير المرجح أن يتأثر بمشكلات الأمان على مواقع الطرف الثالث.
قم بتأمين موقع WordPress الخاص بك اليوم ️
يعد WordPress منصة شائعة لإنشاء مواقع الويب، ولكنه أيضًا هدف شائع للمتسللين. يمكن للمستخدمين الضارين استغلال نقاط الضعف في المكونات الإضافية والموضوعات للدخول إلى موقعك وسرقة المعلومات الحساسة.
يمكنهم أيضًا الوصول إلى هذه البيانات من خلال تنفيذ هجمات القوة الغاشمة.
للتلخيص، إليك كيفية تأمين موقع WordPress من المتسللين:
- قم بتمكين المصادقة الثنائية باستخدام مكون إضافي مثل WP 2FA.
- قم بتغيير عنوان URL لتسجيل الدخول إلى WordPress باستخدام WPS Hide Login. ️
- قم بالحد من محاولات تسجيل الدخول على موقعك، باستخدام أداة مثل Limit Login Attempts Reloaded.
- تأكد من تحديث المكونات الإضافية والموضوعات دائمًا. ️
- اختر مضيف ويب آمن. ️️
للحصول على المزيد من النصائح العامة، يمكنك الاطلاع على مجموعتنا الكاملة من نصائح أمان WordPress.
هل لديك أي أسئلة حول كيفية تأمين موقع WordPress من المتسللين؟ واسمحوا لنا أن نعرف في قسم التعليقات أدناه!