12 طريقة حيوية لزيادة أمان WordPress

يعد WordPress أحد أشهر منشئي مواقع الويب في العالم. يستخدمه ملايين الأشخاص ، بما في ذلك بعض أكبر العلامات التجارية والمؤسسات في العالم.

ومع ذلك ، فإن المسؤولية الكبيرة تأتي مع قوة كبيرة ، والتي تشمل ضمان أن يكون موقع WordPress الخاص بك آمنًا قدر الإمكان. تم اختراق العديد من مواقع WordPress رفيعة المستوى في السنوات الأخيرة ، لذلك من الضروري اتخاذ خطوات لحماية موقعك.

وجدت دراسة أجرتها Sucuri أن 43٪ من مواقع WordPress عرضة للهجوم.

فيما يلي بعض الطرق لزيادة أمان WordPress.

حافظ على WordPress محدثًا

أحد أهم الأشياء التي يمكنك القيام بها لزيادة أمان WordPress هو الحفاظ على تحديث موقع WordPress الخاص بك.

هذا يعني تحديث WordPress نفسه ، بالإضافة إلى أي سمات ومكونات إضافية قمت بتثبيتها. يتم إصدار إصدارات جديدة من WordPress بانتظام ، ويتضمن كل إصدار جديد إصلاحات أمنية لنقاط الضعف التي تم اكتشافها.

لتحديث WordPress ، انتقل إلى Dashboard> Updates وانقر فوق الزر "Update Now".

من المهم أيضًا تحديث السمات والإضافات الخاصة بك. يقوم معظم مطوري السمات والمكونات الإضافية بإصدار تحديثات بانتظام لإصلاح الثغرات الأمنية.

يمكنك تحديث السمات والإضافات الخاصة بك من لوحة المعلومات> صفحة التحديثات أو تثبيت المكوّن الإضافي WP Updates Notifier ، والذي سيرسل إليك رسالة إلكترونية عند توفر التحديثات.

إخفاء رقم إصدار WordPress

نظرًا لأن WordPress أصبح أكثر شيوعًا ، فقد استهدفه المتسللون بشكل متزايد.

أحد الأشياء التي يبحثون عنها هو رقم إصدار WordPress ، والذي يتم عرضه في الكود المصدري لكل موقع WordPress. يمكن للقراصنة استهداف نقاط ضعف معينة من خلال معرفة إصدار WordPress الذي تقوم بتشغيله. بالإضافة إلى ذلك ، ستعمل بعض إضافات أمان WordPress فقط مع إصدارات محددة من WordPress.

لذلك ، من الضروري إخفاء رقم إصدار WordPress الخاص بك. تحتوي معظم سمات WordPress على خيار للقيام بذلك ، أو يمكنك تثبيت مكون إضافي مثل WP-Hardening Plugin.

يمكنك أيضًا إخفائه يدويًا عن طريق لصق هذا الرمز في ملف function.php الخاص بك:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


استخدم كلمة مرور قوية

هناك طريقة أخرى مهمة لزيادة أمان WordPress وهي استخدام كلمة مرور قوية.

يجب أن تتكون كلمة المرور القوية من ثمانية أحرف على الأقل وتتضمن مزيجًا من الأحرف الكبيرة والصغيرة والأرقام والرموز. يعد استخدام كلمة مرور مختلفة لكل موقع ويب تزوره أمرًا ضروريًا أيضًا. بهذه الطريقة ، ستكون حساباتك الأخرى آمنة إذا تم اختراق أحد المواقع. يمكنك استخدام مدير كلمات المرور مثل LastPass أو KeePass لمساعدتك على إنشاء وتذكر كلمات مرور قوية.

وجدت دراسة بحثية أجرتها Imperva أن استخدام كلمة مرور قوية هو الطريقة الأكثر فعالية لمنع هجمات القوة الغاشمة ، وهي اختراق شائع لـ WordPress.

استخدم موقعًا لمولد كلمات المرور لإنشاء كلمة مرور قوية للغاية. فيما يلي بعض من أفضل برامج إنشاء كلمات المرور:

• Lastpass
• نورتون
• 1 كلمة المرور

استخدم المصادقة الثنائية

المصادقة الثنائية (المعروفة أيضًا باسم التحقق من خطوتين) هي طبقة إضافية من الأمان يمكن أن تساعد في حماية موقع WordPress الخاص بك.

باستخدام المصادقة ذات العاملين ، يُطلب منك إدخال كلمة المرور الخاصة بك ورمز ثانٍ ، يتم إنشاؤه عادةً بواسطة تطبيق على هاتفك الذكي. بهذه الطريقة ، حتى إذا تمكن شخص ما من تخمين كلمة مرورك ، فلن يتمكن من تسجيل الدخول ما لم يكن لديه هاتفك الذكي أيضًا.

لا يتضمن WordPress مصادقة ثنائية بشكل افتراضي ، ولكن يمكنك تثبيت مكون إضافي مثل Google Authenticator أو Duo Security.

تذكر ، مع ذلك ، أن المصادقة ذات العاملين لن تعمل إذا فقدت هاتفك الذكي ، لذلك من الضروري أن يكون لديك طريقة نسخ احتياطي ، مثل عنوان بريد إلكتروني بديل أو رقم هاتف.

الحد من محاولات تسجيل الدخول

هناك طريقة أخرى لزيادة أمان WordPress وهي الحد من محاولات تسجيل الدخول.

بشكل افتراضي ، يسمح WordPress بعدد غير محدود من محاولات تسجيل الدخول ، مما يمنح المتسللين فرصة كبيرة لتخمين كلمة المرور الخاصة بك. من خلال الحد من محاولات تسجيل الدخول ، يمكنك المساعدة في منع هجمات القوة الغاشمة. تسمح لك بعض المكونات الإضافية بالقيام بذلك ، مثل الحد من محاولات تسجيل الدخول وتأمين تسجيل الدخول.

يُظهر البحث الذي أجراه Wordfence أن الحد من محاولات تسجيل الدخول يمكن أن يمنع 99.99٪ من هجمات القوة الغاشمة.

أيضًا ، اختر مكونًا إضافيًا لا يحظر المستخدمين الشرعيين ، مثل نفسك ، إذا نسيت كلمة مرورك.

استخدم SSL

SSL (طبقة مآخذ التوصيل الآمنة) هو بروتوكول يقوم بتشفير البيانات المنقولة بين موقع الويب ومتصفح الويب الخاص بالمستخدم. هذا يعني أنه إذا حاول شخص ما اعتراض البيانات ، فلن يتمكن من قراءتها. في الماضي ، كانت مواقع التجارة الإلكترونية تستخدم أساسًا SSL لحماية معلومات بطاقة الائتمان.

ولكن في الوقت الحاضر ، يستخدم المزيد والمزيد من مواقع WordPress طبقة المقابس الآمنة لحماية البيانات الحساسة ، مثل بيانات اعتماد تسجيل الدخول وعمليات إرسال نماذج الاتصال. يمكنك إضافة SSL إلى موقع WordPress الخاص بك بعدة طرق مختلفة. على سبيل المثال ، تقدم بعض شركات استضافة الويب شهادات SSL مجانية ، أو يمكنك شراء شهادة من شركة مثل Symantec أو Comodo. بمجرد حصولك على شهادة SSL ، ستحتاج إلى تثبيت وتفعيل المكون الإضافي WordPress SSL.

تقييد الوصول إلى دليل الملحقات الخاصة بك

دليل إضافات WordPress عبارة عن مجلد على خادمك يحتوي على جميع المكونات الإضافية التي قمت بتثبيتها على موقعك.

بشكل افتراضي ، يمكن لأي شخص الوصول إلى هذا المجلد ومعرفة المكونات الإضافية التي يستخدمها. وإذا كان المتسلل يعرف المكونات الإضافية التي تستخدمها ، فيمكنه استهداف أي ثغرات أمنية في تلك المكونات الإضافية. لذلك ، من الضروري تقييد الوصول إلى دليل المكون الإضافي الخاص بك. يمكنك القيام بذلك عن طريق إضافة سطر بسيط من التعليمات البرمجية إلى ملف htaccess الخاص بك.

إذا لم تكن مرتاحًا لتحرير الملفات على الخادم الخاص بك ، فيمكنك تثبيت مكون إضافي مثل iThemes Security ، والذي سيضيف الرمز لك. إذا قمت بتحرير ملف htaccess الخاص بك ، فتأكد من إنشاء نسخة احتياطية قبل إجراء أي تغييرات.

تغيير اسم المستخدم المسؤول

عند تثبيت WordPress ، يكون اسم المستخدم الافتراضي للمسؤول هو "admin". هذا ليس آمنًا للغاية لأنه من السهل على المتسللين تخمينه.

لذلك ، من أول الأشياء التي يجب عليك القيام بها بعد تثبيت WordPress هو تغيير اسم مستخدم المسؤول. يمكنك إنشاء مستخدم جديد بامتيازات المسؤول ثم حذف المستخدم "المسؤول" القديم. أو يمكنك تثبيت مكون إضافي مثل WP Security Scan ، والذي سيفحص موقعك بحثًا عن أي إعدادات غير آمنة ، بما في ذلك اسم المستخدم الافتراضي للمسؤول.

بعد تغيير اسم المستخدم الخاص بالمسؤول ، قم بتسجيل الخروج من حساب WordPress الخاص بك وقم بتسجيل الدخول مرة أخرى باستخدام اسم المستخدم الجديد. ينسى الكثير من الناس القيام بذلك ويتساءلون لماذا لا يمكنهم الوصول إلى موقع WordPress الخاص بهم.

استخدم CAPTCHA أو reCAPTCHA على شاشة تسجيل الدخول الخاصة بك

اختبار CAPTCHA (اختبار Turing العام المؤتمت بالكامل لإخبار أجهزة الكمبيوتر وبصرف النظر عن البشر) هو اختبار استجابة للتحدي يستخدم لضمان أن البشر فقط يمكنهم الوصول إلى موقع ويب أو تنفيذ إجراءات معينة. reCAPTCHA هو إصدار من اختبار CAPTCHA تمتلكه Google. إنه أكثر أمانًا من اختبار CAPTCHA التقليدي لأنه يستخدم تقنيات متقدمة لتحليل المخاطر لمنع البرامج الآلية من الانخراط في أنشطة مسيئة على موقع الويب الخاص بك. لإضافة CAPTCHA أو reCAPTCHA إلى شاشة تسجيل الدخول إلى WordPress ، يمكنك تثبيت مكون إضافي مثل WP-reCAPTCHA.

بمجرد تثبيت المكون الإضافي وتنشيطه ، ستحتاج إلى التسجيل للحصول على حساب مجاني مع reCAPTCHA. ستحصل بعد ذلك على مفتاح موقع ومفتاح سري ، ستحتاج إلى إدخاله في إعدادات المكون الإضافي.

تسجيل خروج المستخدمين العاطلين تلقائيًا

عندما تقوم بتسجيل الدخول إلى موقع WordPress الخاص بك ، يمكنك الاستمرار في تسجيل الدخول إلى أجل غير مسمى ، حتى إذا أغلقت نافذة المتصفح أو ابتعدت عن جهاز الكمبيوتر الخاص بك. هذا ليس آمنًا للغاية لأنه يعني أن أي شخص لديه حق الوصول إلى جهاز الكمبيوتر الخاص بك يمكنه أيضًا الوصول إلى موقع WordPress الخاص بك.

يمكنك تثبيت مكون إضافي مثل Idle User Logout لحل هذه المشكلة. سيقوم هذا المكون الإضافي بتسجيل خروج المستخدمين غير النشطين تلقائيًا لفترة معينة.

على سبيل المثال ، يمكنك ضبطه لتسجيل خروج المستخدمين الذين لم يكونوا نشطين لمدة 15 دقيقة. بهذه الطريقة ، حتى إذا كان لدى شخص ما حق الوصول إلى جهاز الكمبيوتر الخاص بك ، فلن يتمكن من تسجيل الدخول إلى موقع WordPress الخاص بك. يعد المكون الإضافي ضروريًا إذا كان لديك جهاز كمبيوتر مشترك أو تستخدم شبكة Wi-Fi عامة.

استخدم SFTP للاتصال بخادمك

عندما تتصل بموقع WordPress الخاص بك ، فأنت تتصل بخادمك.

بشكل افتراضي ، يتصل معظم الأشخاص بخادمهم باستخدام FTP (بروتوكول نقل الملفات). لكن FTP هو بروتوكول غير آمن لأنه لا يقوم بتشفير بياناتك. هذا يعني أن أي شخص يراقب الاتصال يمكنه رؤية اسم المستخدم وكلمة المرور الخاصين بك.

لذلك ، يعد استخدام SFTP (بروتوكول نقل الملفات الآمن) أمرًا ضروريًا. SFTP هو بروتوكول آمن يقوم بتشفير بياناتك ، لذلك يصعب على شخص ما اعتراض اتصالك وسرقة بيانات الاعتماد الخاصة بك. لاستخدام بروتوكول SFTP ، ستحتاج إلى إنشاء زوج مفاتيح SSH وإضافة المفتاح العام إلى خادمك. معظم مقدمي الاستضافة لديهم تعليمات حول كيفية القيام بذلك.

مراقبة البرامج الضارة

البرامج الضارة هي برامج ضارة يمكن أن تصيب موقع WordPress الخاص بك وتتسبب في العديد من المشكلات.

على سبيل المثال ، يمكن للبرامج الضارة إعادة توجيه زوارك إلى مواقع ويب أخرى ، أو يمكنها عرض الإعلانات على موقعك دون إذنك. يمكن للبرامج الضارة أيضًا سرقة المعلومات الحساسة مثل كلمات المرور وأرقام بطاقات الائتمان. لذلك ، من المهم فحص موقع WordPress الخاص بك بانتظام بحثًا عن البرامج الضارة وإزالة أي برامج تجدها. هناك عدة طرق مختلفة للقيام بذلك. على سبيل المثال ، يمكنك استخدام مكون إضافي مثل Wordfence Security ، والذي سيفحص موقعك بحثًا عن برامج ضارة ويزيل تلقائيًا ما يعثر عليه.

بدلاً من ذلك ، يمكنك استخدام خدمة مثل Sucuri SiteCheck ، والتي ستفحص موقعك ثم تزودك بتقرير عن أي برامج ضارة يعثر عليها.

استنتاج

هذه ليست سوى عدد قليل من الطرق العديدة التي يمكنك من خلالها زيادة أمان WordPress. من خلال اتخاذ هذه الإجراءات ، يمكنك المساعدة في حماية موقع WordPress الخاص بك من المتسللين والمستخدمين الضارين الآخرين. العديد من هذه النصائح سهلة التنفيذ ، لذلك ليس هناك أي عذر لعدم اتخاذ إجراء. تذكر أن موقع WordPress الخاص بك آمن تمامًا كما تفعل. لذا ، من فضلك لا تنتظر حتى فوات الأوان لبدء التفكير في الأمن. اتخذ إجراء الآن وساعد في الحفاظ على أمان موقع WordPress الخاص بك.