أمان WordPress - نصائح أساسية لكل مالك موقع

هل تعلم أن هناك أكثر من 90978 هجومًا على مواقع WordPress كل دقيقة؟ لحسن الحظ ، على الرغم من أن هذا الرقم يبدو ضخمًا ، إذا اتبعت قواعد الأمان الأساسية ، يمكنك منع غالبية الهجمات المحتملة وجعل موقع الويب الخاص بك دليلًا على الهجوم.

أو على الأقل يجعل من الصعب للغاية الاختراق لدرجة أن المتسللين يفضلون استهداف واحد من آلاف الأشخاص الذين يتمتعون بتأمين ضعيف. وهذا ليس بالأمر الصعب ، خاصة إذا كنت تعتقد أن العديد من الهجمات يتم تنفيذها بعد أن تجد أدوات فحص الثغرات الأمنية طرقًا محتملة. لذا ، كيف يمكنك زيادة أمان موقع WordPress الخاص بك؟ إليك 6 نصائح أساسية.

1. حافظ على تحديث تثبيت WP والسمات والإضافات

لا يفكر ولكن كثيرا ما يتم تجاهلها. وفقًا لموقع WordPress.org ، لم يتم تحديث 1/3 من جميع مواقع WordPress إلى أحدث إصدار. علاوة على ذلك ، يستخدم ما يقرب من 2/3 من جميع مضيفي الويب PHP أقدم من 7.0. تشكل إطارات عمل الخادم وتثبيت WordPress القديمة تهديدًا كبيرًا لموقعك وتزيد من خطر الاختراق الناجح حيث سيحاول المتسللون الوصول إلى موقع الويب الخاص بك باستخدام ثغرات أمنية غير مصححة.

في الواقع ، إذا احتفظت بجميع السمات والمكونات الإضافية و WordPress محدثة ، فستكون أكثر أمانًا بنسبة 75٪ من جميع المواقع الشرعية - حيث يُقدر أن ثلاثة من كل أربعة مواقع تحتوي على ثغرات أمنية غير مصححة. لحسن الحظ ، فإن الحصول على أحدث الإصدارات من إضافات WP والسمات و WP نفسها أمر بسيط جدًا - كل ما تحتاجه هو بضع نقرات على زر.

في الوقت نفسه ، قد يستغرق التأكد من أن الخادم الخاص بك يعمل بأحدث إصدار من PHP وقتًا أطول قليلاً. لهذا السبب من الأفضل التواصل مع دعم الاستضافة الخاص بك واطلب منهم توجيهك إلى دليل حول كيفية ترقيته بنفسك أو حتى مطالبتهم بترقيته لك.

2. قم بتثبيت ماسح البرامج الضارة وجدار الحماية

إذا كنت تعتقد أن جهاز الكمبيوتر الخاص بك فقط هو الذي يتأثر بالبرامج الضارة والفيروسات وهجمات القوة الغاشمة ، فلا يمكن أن تكون مخطئًا. لا يمكن أن يتأثر WordPress فحسب ، بل إنه في الواقع أكثر مواقع الويب إصابة CMS ، والتي على الأرجح لها علاقة كبيرة بشعبيتها.

والخبر السار هو أن هناك العديد من جدران الحماية المجانية والمدفوعة وأجهزة فحص البرامج الضارة لـ WordPress. أحد أكثرها شيوعًا هو Wordfence Security ، والذي يوفر فحصًا للبرامج الضارة وجدار الحماية ، ويأتي في كل من الإصدارات المجانية والمدفوعة.

3. احصل على خادم افتراضي خاص وحوّله إلى حصن

بالمقارنة مع الاستضافة المشتركة ، يسمح لك VPS بالتحكم في كل جانب من جوانب تكوينه. بفضل ذلك ، لا يمكنك جعل موقع الويب الخاص بك أسرع فحسب ، بل يمكنك أيضًا التأكد من أن بيئة الاستضافة - الخادم - مؤمنة بشكل صحيح.

في VPS غير المُدار ، الأمر متروك لك لاختيار نظام التشغيل (على سبيل المثال ، يعتبر CentOS أكثر أمانًا مقارنةً بـ Ubuntu) وجدار الحماية والبرامج الأخرى التي تقوم بتثبيتها ، مثل ماسحات البرامج الضارة (والتي يجب عليك تثبيتها على WordPress و الخادم نفسه).

علاوة على ذلك ، من خلال تثبيت WordPress الخاص بك على VPS حيث يمكنك الوصول إلى الجذر ، يكون من السهل تغيير أشياء مثل كلمات مرور MySQL أو إعادة تسمية مجلدات WordPress وإعادة تكوين ملفاتها لتقليل فرصة حدوث هجوم محتمل. على الرغم من أن بعضًا من ذلك يمكن القيام به أيضًا باستخدام المكونات الإضافية للأمان

بطبيعة الحال ، لجني جميع مزايا الخادم الافتراضي الخاص (السرعة والمرونة وقابلية التوسع على سبيل المثال لا الحصر) ، يجب عليك استئجار خادم من شركة تقدم حزم تسعير مختلفة يسهل ترقيتها إذا احتجت إلى المزيد من الموارد. يمكنك مشاهدة مثال رائع لهذا العرض هنا .

4. إخفاء / wp-admin وتثبيت WordPress الخاص بك

لماذا تخبر العالم أنك تعمل على WordPress في المقام الأول؟ على الرغم من أنه نظام إدارة محتوى رائع ، إلا أنه لا يتعين عليك بالضرورة التباهي بتشغيله. خاصة أنه يزود المتسلل المحتمل بمعلومات قيمة. على سبيل المثال ، ما لم تخفي WordPress ، فإن مواقع الويب مثل What WordPress Theme هو هذا؟ الكشف عن المعلومات ليس فقط حول الموضوع الذي تستخدمه ولكن أيضًا حول بعض المكونات الإضافية. إنه مثل إخبار المخترق ، هذه هي الطريقة التي يمكنك من خلالها الدخول:

لذا ، كيف تخفي معلومات موقع WP الخاص بك عن أعين المتطفلين المحتملين؟ لحسن الحظ ، لا تحتاج إلى أي مهارات تقنية على الإطلاق. حيثما يكون هناك طلب ، توجد مكونات WordPress الإضافية ، والتي يمكنك استخدامها للقيام بذلك - وأكثرها شيوعًا هي Hide My WP by the wave ، والتي يمكن أن تخفي صفحة تسجيل الدخول الخاصة بك ، وتجعل التفاصيل حول موقع WordPress الخاص بك غير مرئية (لسوء الحظ ، هناك لا يوجد نسخة مجانية).

بدلاً من ذلك ، يمكنك الحصول على الإصدار المجاني من iThemes Security ، والذي لا يوفر لك العديد من خيارات الإخفاء (على الرغم من أنه يسمح لك بإخفاء صفحة تسجيل الدخول) ، ولكنه يأتي مع العديد من امتيازات الأمان الأخرى.

5. قم بتغيير اسم مستخدم WP الخاص بك واحتفظ به مخفيًا

تمامًا مثلما لا يجب عليك استخدام كلمة المرور ككلمة المرور الفعلية ، فإن ترك اسم مستخدم WordPress الافتراضي admin يمكن أن يكون له عواقب وخيمة. في النهاية ، من المحتمل أن يكون هذا هو أول شيء يحاول أي متسلل محتمل تخمينه ، لذلك باستخدامه ، تجعل من السهل جدًا عليهم معرفة تفاصيل حساب المسؤول الخاص بك.

كيف تغيره؟ هناك طريقتان يمكنك من خلالهما القيام بذلك. يمكنك البحث عن مكون إضافي يمكنه القيام بذلك نيابة عنك أو اتباع الطريقة اليدوية. أنا شخصياً أفضل الخيار الأخير - لأنه سريع وسهل ، ويمكن لأي شخص القيام بذلك. ولكن نظرًا لأن WordPress لا يمنحك خيارًا جاهزًا لتغييره ، فأنت بحاجة إلى استخدام حل بسيط. أولاً ، قم بتسجيل الدخول إلى موقعك وانتقل إلى المستخدمون> إضافة جديد.

بمجرد الوصول إلى هناك ، أدخل اسم المستخدم لحساب المسؤول الجديد وتأكد من تعيين دور المستخدم إلى المسؤول. بمجرد الانتهاء من ذلك ، انقر فوق إظهار كلمة المرور وقم بتغيير أو نسخ كلمة المرور الافتراضية (الآمنة).

بعد إنشاء المستخدم ، قم بتسجيل الخروج من الموقع ، وقم بتسجيل الدخول باستخدام المستخدم الجديد. انتقل إلى المستخدمون> جميع المستخدمين وقم بإزالة حساب مسؤول WordPress القديم. لكن هذا ليس كل شيء. تحتاج إلى حساب لنشر مشاركاتك ، أليس كذلك؟ بدلاً من نشرها باستخدام مسؤول ، والذي ، بسبب الروابط الثابتة ، يجعل من السهل تخمين اسم المستخدم الخاص به ، (ما لم تتلاعب بهم) ، فابدأ وأنشئ حسابًا منفصلاً. هذه المرة ، بدلاً من تعيين دوره لمسؤول ، قم بتعيينه على دور لا يمتلك إمكانيات المسؤول (مثل دور المؤلف أو المحرر).

بمجرد الانتهاء من ذلك ، امض قدمًا وقم بتعيين مؤلف جميع المنشورات الحالية للمستخدم الجديد (يمكنك القيام بذلك في كل المنشورات> تحرير سريع تحت كل مقالة).

6. تأمين حسابات مستخدمي WordPress الحالية

هل تعمل مع مساعدين افتراضيين أو لديك موظفين يمكنهم الوصول إلى موقع WordPress الخاص بك؟ في هذه الحالة ، من الأفضل عدم منحهم حق الوصول إلى جميع المكونات الإضافية والبيانات. في النهاية ، ربما لا يتعين عليهم تكوين جميع المكونات الإضافية على موقعك. وما لم يكن مطورًا موثوقًا به ، فمن المؤكد أنه لا ينبغي أن يكون لديه حق الوصول إلى محرر السمات. كيفية تقييد وصولهم؟ تتمثل إحدى الطرق في إنشاء حساباتهم وتعيين أدوارهم إلى أحد الأدوار الافتراضية للمساهم أو المؤلف أو المحرر.

ولكن ماذا لو كنت تريد منعهم من أكثر من تقييد هذه الأدوار مع منحهم حق الوصول إلى أجزاء من موقع الويب لا توفر لهم الإعدادات الافتراضية؟ في هذه الحالة ، يمكنك استخدام مكون إضافي مجاني مثل محرر دور المستخدم ، والذي يسمح لك بإنشاء أدوار جديدة ، وتعيين عناصر موقع الويب التي يمكن الوصول إليها من خلالهم.

7. مراقبة النشاط من خلال سجل التدقيق

وماذا لو كنت لا تستطيع فقط تقييد المستخدمين من الوصول إلى غالبية العناصر الضعيفة على موقع الويب الخاص بك ، ولكنك ترغب على الأقل في معرفة من الذي قام بتغيير أو تعديل ماذا ، في حالة حدوث أي خطأ؟ للحصول على نظرة عامة في شكل سجل تدقيق شامل ، يمكنك تثبيت WP Security Audit Log . نسخته المجانية أكثر من كافية لتزويدك بنظرة عامة ملائمة لنشاط موظفيك ومساعدي المساعدة:

8. اجعل تسجيل الدخول أكثر أمانًا باستخدام Google Authenticator

عند الحديث عن المستخدمين ، هناك شيء آخر يمكنك القيام به لجعل موقعك أكثر أمانًا. تخيل أن بيانات اعتماد WordPress الخاصة بك (أو بيانات اعتماد موظفيك) سُرقت. في هذه الحالة ، اعتمادًا على دور المستخدم لموظفك ، يمكن للمتطفل الوصول إلى موقع WP بأكمله. لمنع حدوث ذلك ، ضع في اعتبارك إضافة مصادقة ثنائية عند تسجيل الدخول. أسهل طريقة للقيام بذلك هي المكون الإضافي Google Authenticator . بمجرد الانتهاء من ذلك ، حتى إذا حصل شخص ما على اسم المستخدم وكلمة المرور الخاصين بك ، فلن يتمكن من تسجيل الدخول بدون الرمز المقدم من تطبيق Google Authenticator.

كما ترى ، على الرغم من أن WordPress يعتبر أكثر أنظمة إدارة المحتوى ضعفًا من بين جميع الأنظمة الشائعة ، إلا أنه ليس من الصعب تقليل المخاطر الأكثر شيوعًا أو حتى التخلص منها تمامًا وتأمين العناصر الأكثر تعرضًا للخطر على موقع الويب الخاص بك.

إذا اتبعت النصائح المذكورة أعلاه ، فابق حذرًا عند منح حق الوصول إلى موقعك للآخرين ، وحافظ على تحديث عناصر موقعك ، وموقعك على الويب ، ومعه ، سيكون عملك في مأمن من أي متسللين محتملين. ناهيك عن مقدار ما يمكنك توفيره فقط لمنع الخرق الأمني.