8 نصائح WordPress سريعة وسهلة لتحسين أمان موقع الويب الخاص بك
أشار تحديث أمني بواسطة Wordfence إلى وجود أكثر من 20 مليون هجوم ضد أكثر من نصف مليون موقع WordPress في مايو 2020. ويؤكد الحجم الهائل لهذه الهجمات في ذلك الشهر وحده مدى ضعف موقعك.
هذا لا يعني أن نظام إدارة محتوى WordPress ليس مكانًا آمنًا - إنه كذلك. ما يجعله هدفًا مثيرًا للمهاجمين هو فشل معظم المسؤولين في الالتزام بـ WordPress الضروري أمن أفضل الممارسات.
كيفية تحسين موقع WordPress الخاص بك للأمان
الآن ، من المستحيل عمليا إنشاء وصيانة موقع آمن تمامًا. ومع ذلك ، هناك بعض الأشياء التي يمكن أن تساعد في تحسين وضع الأمان العام وتقليل مخاطر الهجمات الإلكترونية:
اختر مزود الاستضافة الخاص بك بحكمة
بعض الوقت ، كانت الميزات والسعر هي الاعتبارات الرئيسية عند اختيار شركة الاستضافة التي تريدها. بالنسبة لمعظم الناس ، يأتي الأمن في المرتبة الأخيرة ، أي إذا تم تكوينه في قائمة مخاوفهم. ولكن في الوقت الذي أصبحت فيه القرصنة متفشية للغاية ، تغيرت الأولويات. يجب أن تكون الاستضافة الآمنة دليلك عند اختيار شركة الاستضافة التي تثق بها في موقع الويب الخاص بك.
هناك نوعان من ميزات الأمان الأساسية التي يجب أن تبحث عنها عند اختيار ملف أفضل موفري استضافة الويب وورد في عام 2021. وتشمل هذه:
- أمان خادم موثوق
- مسح البرامج الضارة
- قدرات الخادم الآمنة - يجب تأمينها عبر بروتوكول SFTP. تحقق من نوع شهادة SSL أيضًا.
- منع هجمات DDoS (تحقق مما إذا كانت تعمل مع شركة CDN ، مثل Cloudflare).
- حماية جدار الحماية
- القدرة على إعادة التشغيل يدويًا
قم بتأمين ملف wp-config [.] php
ملف wp-config [.] php هو ملف أساسي به بيانات اعتماد مهمة ومعلومات اتصال يحتاجها WordPress لتخزين واسترداد البيانات من قاعدة البيانات. تتضمن هذه المعلومات المضيف المحلي والاسم واسم المستخدم وكلمة المرور.
يعد ملف wp-config [.] php من بين أكثر المناطق المستهدفة من قبل الجهات الخبيثة لأنه يمنحهم وصولاً سهلاً إلى قاعدة البيانات حيث يتم تخزين محتوى الموقع المهم. إن جعل هذا الملف غير قابل للوصول يعني أنك تعمل على تقوية موقعك من الصميم.
تتضمن حماية ملف wp-config [.] php نقله من موقعه الافتراضي. من الجيد أن WordPress يسمح لك بإخفائه خارج تثبيت WordPress وسيظل يعمل.
انشر WordPress على Kubernetes
WordPress هو نظام أساسي بسيط بطبيعته للاستخدام للمبتدئين وأداة قوية للمطورين. لا عجب أنه خيار ما يقرب من 30٪ من مواقع الويب في العالم - من المدونات الفردية الصغيرة إلى الشركات العملاقة.
يمكنك جعل موقع WordPress الخاص بك أكثر قابلية للإدارة والأمان من خلال استضافته من خلال حاويات Docker التي يتم تنظيمها باستخدام Kubernetes. يوفر لك تشغيل WordPress على Kubernetes بعض الفوائد ، بما في ذلك التكامل المستمر (CI). بصفتك مطورًا ، تقلل CI الوقت الذي تستغرقه لإصدار تحديثات جديدة بنسبة 10-15٪.
علاوة على ذلك ، فإن إرساء موقع WordPress الخاص بك يعني أنه سيتم اختراق حاوية واحدة فقط في حالة وجود ثغرة أمنية.
قد يستغرق نقل موقع تم إنشاؤه إلى حاويات Docker بعض العمل. ومع ذلك ، بالنظر إلى أن الحاويات هي مستقبل الاستضافة ، فإننا ننصح بتعلم Docker و أمن Kubernetes في اقرب وقت ممكن.
قم بتثبيت ملحق أمان WordPress
النصيحة حول ما إذا كنت بحاجة إلى مكون إضافي للأمان في WordPress موجودة في كل مكان. ما لم يكن لديك أحد تلك المواقع عالية الخطورة التي تتطلب الحماية من جميع الجبهات ، فمن الممكن تأمين موقعك دون استخدام مكوّن أمان إضافي مخصص لـ WordPress.
ومع ذلك ، إذا كنت تأخذ أمان موقعك على محمل الجد (وهو ما نراهن أنك تفعله) ، فإن المكون الإضافي للأمان في WordPress هو شيء ستحتاج إلى مراعاته. تقدم أفضل المكونات الإضافية للأمان في WordPress ، مثل Sucuri و Wordfence ، خط دفاع إضافي لموقعك عن طريق تقوية صفحة تسجيل الدخول الخاصة بك ، ومسح موقعك بحثًا عن البرامج الضارة ، وإنشاء جدار حماية.
اجعل كلمات المرور هذه صعبة!
تهدف كلمات المرور إلى أن تكون خط الدفاع الأول ضد المتسللين والأشرار. لكن من المدهش تمامًا أن معظم مالكي مواقع WordPress ما زالوا يستخدمون كلمات مرور بسيطة وسهلة التخمين ، مثل 123456 و QWERTY وكلمة المرور. "iloveyou" ليست قوية أيضًا.
عند إنشاء كلمة مرور لموقعك ، تأكد من أنها طويلة ومعقدة. سيؤدي الجمع بين الأحرف والأرقام والأحرف ، مثل الأقواس والأقواس وعلامة النسبة المئوية ، إلى جعل تخمين كلمات المرور الخاصة بك أكثر صعوبة واستهلاكًا للوقت.
الأهم من ذلك، تجنب استخدام نفس كلمة المرور لمواقع وأجهزة مختلفة. يمكن أن تكون العواقب وخيمة إذا تم اختراق كلمة المرور.
تفعيل مصادقة WordPress ذات العاملين
دائمًا ما يكون المتسللون والممثلون الضارون في صدارة لعبة تخمين كلمات المرور الخاصة بهم. على الرغم من الحملات التي لا تنتهي حول أهمية استخدام بيانات اعتماد تسجيل دخول صارمة ، فليس من المفاجئ أن تستمر الهجمات المرتبطة بكلمات المرور في الارتفاع.
إن فرض كلمات مرور فائقة القوة لمواقع WordPress الخاصة بك وحده لا يكفي. يعد تنفيذ المصادقة الثنائية أمرًا بالغ الأهمية لأنه يخلق مرحلة تحقق إضافية حيث يتعين على المستخدمين تقديم جزء من المعلومات المعروفة لهم فقط. يمكن أن يكون هذا رمزًا أو نصًا تم إرساله عبر الهاتف أو البريد الإلكتروني ، أو دليلًا بيولوجيًا ، مثل مسح الوجه ، أو رمزًا زمنيًا من تطبيق آخر.
تعطيل تحرير الملف
بشكل افتراضي ، يمكن للمستخدمين المسؤولين فتح ملفات المظهر >> محرر الموضوع واستخدم هذا المكون الإضافي للتحرير لتعديل أي ملفات يرغبون فيها مباشرة من لوحة WordPress الخاصة بهم. قد يكون هذا مفيدًا حقًا ، ولكنه ينطوي أيضًا على مخاطر عالية محتملة.
في حالة اقتحام أحد المهاجمين للوحة القيادة الخاصة بك ، فإن تمكين خيار تحرير الملف هذا يمنحه حق الوصول المطلق إلى جميع الرموز الموجودة على موقع الويب الخاص بك. إذا كنت نادرًا ما تقوم بإجراء تغييرات على ملفاتك ، فقد لا يكون هذا المكون الإضافي ضروريًا لك أو للمستخدمين الآخرين.
يعد تعطيل هذا المكون الإضافي أمرًا بسيطًا ومباشرًا. ما عليك سوى إضافة النص تعريف ('DISALLOW_FILE_EDIT' ، صحيح) ؛ عند نهاية ال wp-config [.] php ملف.
تجنب الموضوعات الملغاة مثل الطاعون
عند البحث عن أفضل مكونات WordPress الإضافية ، من المحتمل أن تبحث عن مكون إضافي يوفر ميزات رائعة مع خفض التكلفة. تعد سمات WordPress الفارغة خيارًا مفضلًا لمعظم الأشخاص. تشير السمات الفارغة إلى النسخ المقرصنة لموضوعات WordPress المتميزة التي تباع غالبًا بجزء بسيط من التكلفة الأصلية.
على الرغم من أن الوعد بالاستفادة من الميزات المتميزة دون إنفاق الكثير هو أمر مغري ، يرجى عدم الوقوع في غرامها. تعد السمات والإضافات الفارغة من بين الأسباب الرئيسية وراء اختراق معظم مواقع WordPress اليوم. هذا لأن هذه المنتجات غالبًا ما تحمل برامج ضارة تنتشر بسهولة عبر ملفات مختلفة في موقعك ، مما يجعل من الصعب اكتشافها وإصلاحها.
تحتوي هذه السمات والإضافات المتصدعة أيضًا على أكواد ضارة ، يستخدمها المتسللون لسرقة معلومات الاعتماد الخاصة بك ، مثل عنوان البريد الإلكتروني واسم المستخدم وكلمات المرور ، وإتاحتها لممثلين آخرين على شبكة الإنترنت المظلمة.
