حماية موقع WordPress الخاص بك من برامج الفدية

يعد WordPress أكثر أنظمة إدارة المحتوى شيوعًا في العالم. وعلى الرغم من أن هذا عادة ما يكون شيئًا جيدًا ، إلا أنه يمكن أيضًا أن يجعل WordPress هدفًا للبرامج الضارة التي تسعى للوصول إلى نطاق واسع.

لسوء الحظ ، نظرًا لأن الهجمات الإلكترونية أصبحت أكبر وأكثر قابلية للتوسع على مر السنين ، فعلى المدى الطويل لا يتعلق الأمر غالبًا بـ "إذا" ولكن "متى" ستتعرض الأعمال التجارية عبر الإنترنت للهجوم. وتعني النجاحات التي حظيت بتغطية إعلامية كبيرة لهجمات برامج الفدية الأخيرة أن هذا الاتجاه من المرجح أن يستمر.

ومع ذلك ، هناك الكثير من الخطوات التي يمكنك اتخاذها لجعل موقع الويب الخاص بك أقل عرضة للهجمات الشائعة.

فهم المخاطر

برنامج الفدية هو برنامج يقوم المهاجم بتثبيته على الخادم الخاص بك أو على جهاز الكمبيوتر الخاص بك بعد استخدام أحد الثغرات للوصول. بمجرد التثبيت ، غالبًا ما يتم تنفيذ البرنامج تلقائيًا ، إما فورًا أو بعد السكون لفترة من الوقت.

حتى قبل عامين ، كانت هجمات برامج الفدية عادةً تستهدف محطات عمل Windows. ومع ذلك ، بدأ المحللون في عام 2017 بتسجيل ارتفاع في حالات الهجمات على مواقع WordPress الإلكترونية.

بمجرد تنفيذ البرنامج ، تستخدم برامج الفدية تشفيرًا قويًا لقفل جميع ملفاتك ، مما يمنعك من الوصول إليها. ما تبقى لديك بدلاً من ذلك هو واجهة تطالب بدفع فدية - عادةً بعملة البيتكوين التي لا يمكن تعقبها - من أجل فتح الملفات.

دفع الفدية

تأثر عدد من الشركات البارزة ، وحتى المدن ، في جميع أنحاء العالم في السنوات الأخيرة. في يونيو ، دفعت ليك سيتي في فلوريدا فدية قيمتها 500 ألف دولار للقراصنة الذين سيطروا على أنظمة الكمبيوتر الخاصة بهم.

لكن دفع الفدية لا يضمن أن المتسللين سيفككون تشفير بياناتك. وحتى لو فعلوا ذلك ، يمكنهم ترك أجزاء من البرنامج خلفهم لتشفير ملفاتك مرة أخرى في وقت لاحق.

في بعض الحالات ، يقوم البرنامج بإنشاء ملف .php يحتوي على واجهة من المفترض أن تفتح الملفات المشفرة. ومع ذلك ، لا يعمل هذا الملف ، وحتى إذا حصلت على حق الوصول ، فستحتاج إلى مطور WordPress ماهر لإصلاح جميع التعليمات البرمجية المعطلة.

حافظ على كل شيء محدثًا

يعد الحفاظ على WordPress وأي سمات ومكونات إضافية محدثة لأحدث الإصدارات هو أبسط طريقة لحماية موقع الويب الخاص بك من برامج الفدية. تحتوي هذه التحديثات ، من بين أشياء أخرى ، على أحدث تصحيحات الأمان من المطورين.

يبحث المتسللون باستمرار عن نقاط الضعف لاستغلالها. بمجرد تحديدها ، يقوم المطورون بإصدار تصحيحات لإصلاح المشكلات. تمثل الإصدارات القديمة من WordPress ثغرة أمنية كبيرة ، حيث لن يتم تطويرها لمقاومة أحدث التهديدات الأمنية.

يجب عليك أيضًا التحقق بانتظام من تحديث إصدارات مضيفك PHP و MySQL. ستهتم وكالة WordPress الجيدة بالحفاظ على كل شيء محدثًا لك ، حتى لا تقلق.

الحماية من هجمات القوة الغاشمة

هجوم القوة الغاشمة ، كما يوحي الاسم ، هو هجوم غير متطور حيث يحاول الروبوت الوصول إلى موقع الويب الخاص بك باستخدام مئات من مجموعات أسماء المستخدمين وكلمات المرور في الدقيقة حتى يحصلوا عليها بشكل صحيح.

تجعل الطبيعة الفظة لهذه الهجمات من السهل نسبيًا منعها عن طريق حظر عناوين IP التي تحاول الوصول إلى موقعك عدة مرات بتفاصيل تسجيل دخول غير صحيحة. ولكن بدون هذه الطبقة البسيطة من الحماية ، يمكن للروبوتات أن تحاول باستمرار الوصول إلى أن تنجح.

Limit Login Attempt Reloaded (إعادة تحميل محاولة تسجيل الدخول) هو مكون إضافي يسمح لك بالحد من عدد محاولات تسجيل الدخول ، سواء من خلال صفحة تسجيل الدخول وملفات تعريف الارتباط.

قم بتعيين أمان وصول قوي

كما قد يبدو واضحًا ، فإن استخدام كلمات قصيرة يمكن تخمينها - أو الأسوأ من ذلك ، كلمة مرور - لأن كلمة المرور الخاصة بك ستجعل موقع WordPress الخاص بك ضعيفًا بشكل لا يصدق.

ولكن حتى كلمات المرور القوية التي تم استخدامها لفترة طويلة جدًا ، أو للعديد من التطبيقات المختلفة ، يمكن أن تصبح عرضة للخطر. نوصي باستخدام مولد كلمة مرور مثل 1Password لإنشاء كلمات مرور قوية وفريدة وتخزينها بشكل آمن لكل تسجيل دخول.

بدلاً من ذلك ، يمكنك إضافة مصادقة ثنائية لتسجيل الدخول إلى WordPress الخاص بك باستخدام Google Authenticator. يمكن تمكين طبقة الأمان الإضافية هذه على أساس كل مستخدم ، مما يسمح لأدوار المستخدم الأقل امتيازًا بمواصلة تسجيل الدخول بكلمة مرور.

قم بتثبيت شهادات SSL

تضمن شهادات SSL أن جميع البيانات التي يتم تمريرها بين جهاز الكمبيوتر الخاص بك والمتصفح الخاص بك مشفرة ، مما يجعل من الصعب على المتسللين اعتراض الاتصال.

يشتمل موفرو استضافة WordPress المُدارون مثل WP Engine على تثبيت وتجديد شهادة SSL تلقائيًا مع جميع خطط الاستضافة الخاصة بهم.

تغيير بادئة قاعدة بيانات WordPress

يستخدم WordPress بادئة قاعدة بيانات افتراضية ، واستخدام هذه البادئة يجعل موقع الويب الخاص بك عرضة لهجمات حقن SQL. يمكن منع ذلك عن طريق تغيير البادئة الافتراضية wp- إلى كلمة أخرى.

إذا كنت قد قمت بالفعل بتثبيت WordPress بالبادئة الافتراضية ، فلا تقلق. هناك عدد من المكونات الإضافية التي لا تزال تسمح لك بتغييرها - فقط تأكد من الاحتفاظ بنسخة احتياطية من كل شيء أولاً ، في حالة حدوث أي خطأ.

قم بإيقاف تشغيل تحرير الملف

إذا تمكن المتسللون من الوصول إلى لوحة تحكم المسؤول في WordPress ، فسيكون بإمكانهم تحرير أي ملفات تشكل جزءًا من تثبيت WordPress الخاص بك.

لذلك فإن إعداد أمان وصول قوي هو خط الدفاع الأول. ومع ذلك ، من خلال إيقاف تشغيل تحرير الملف ، لن يتمكن المتسللون من تعديل أي من ملفاتك ، حتى لو تمكنوا من الوصول إلى لوحة المعلومات الخاصة بك.

يتم ذلك عن طريق تقييد ملف theme-editor.php تمامًا وإزالة خيار Theme Editing من CMS.

تدابير إضافية

تشمل إجراءات الأمان الإضافية دائمًا اتباع إرشادات تطوير أفضل الممارسات الموضحة في WordPress Codex. من الناحية المثالية ، يجب عليك أيضًا إجراء مراجعة النظراء لشفرتك ، حيث يساعد ذلك على تحسين الجودة الشاملة ويمكن أن يستأصل أي أخطاء أو نقاط ضعف تم التغاضي عنها.

يجب عليك أيضًا التحقق من أن جميع النماذج الموجودة على موقع الويب الخاص بك محمية ضد حقن SQL والبرمجة النصية عبر المواقع ، وتعطيل XMLRPC.

تتمثل إحدى الطرق البسيطة لتحسين أمان الوصول في منع المتسللين من معرفة أسماء المستخدمين الخاصة بك ، لأن هذا يعني أنه يتعين عليهم فقط العثور على كلمات المرور الخاصة بك للوصول إليها. يمكنك القيام بذلك عن طريق حذف المستخدم باسم "admin" وتقييد نقاط النهاية الافتراضية لـ WP-JSON لإخفاء جميع أسماء المستخدمين الأخرى.

يمكنك أيضًا توفير طبقة أمان إضافية لخادمك عن طريق تشغيل تطبيق مثل Sucuri ، والذي يقوم بمسح الثغرات الأمنية باستمرار.

النسخ الاحتياطي لموقع الويب الخاص بك بانتظام

أحد الأسباب الرئيسية التي دفعت العديد من الشركات إلى المتسللين فدية هو عدم وجود نسخ احتياطية جيدة ، مما يعني أن تكلفة الفدية ستكون أقل تكلفة من فقدان جميع بياناتهم.

ومع النسخ الاحتياطية ، كلما كان لديك المزيد ، كان ذلك أفضل. يمكن لهجمات برامج الفدية أيضًا تشفير النسخ الاحتياطية الخاصة بك إذا تم تخزينها على محرك أقراص محلي. يمكنك نسخ بياناتك احتياطيًا على الخادم ، ولكن النسخ الاحتياطية خارج الموقع المخزنة في مكان منفصل تكون أكثر أمانًا.

عادةً ما يقدم مضيفو WordPress المُدارون نسخًا احتياطية من جانب الخادم كجزء من خطط الاستضافة الخاصة بهم.

استنتاج

على الرغم من أنك قد لا تكون قادرًا على إيقاف جميع الهجمات نهائيًا - خاصةً إذا كانت شركتك مستهدفة - فهناك عدد من الخطوات التي يمكنك اتخاذها للتأكد من أن موقع الويب الخاص بك لا يبرز على أنه اختيارات سهلة للمتسللين.

يتزايد حجم برامج الفدية وتطورها طوال الوقت ، ولكن المتسللين - مثل معظم المجرمين - هم أيضًا انتهازيون ، ولا يزال ضمان أن يكون موقع الويب الخاص بك أقل عرضة للخطر من معظمهم هو أفضل طريقة للحفاظ على أمان بياناتك.

إذا كنت ترغب في مناقشة أمان موقع WordPress الخاص بك وكيف يمكن تحسينه ، فيرجى الاتصال بنا.