10 مفاتيح قوية لتأمين موقع WordPress الخاص بك في عام 2023
في كثير من الأحيان ، يجد مالكو مواقع WordPress أن مواقعهم قد تعرضت للاختراق. نظرًا لشعبيته باعتباره CMS ، فإن WordPress هو النظام الأساسي الأكثر استهدافًا من قبل المتسللين ونتيجة لذلك ، يحصل على اسم سيئ باعتباره غير آمن.
لكن هذا ليس هو الحال حقا.
تعني طبيعة المصدر المفتوح لـ WordPress أنه يمكن لأي شخص استخدامه ، والغالبية العظمى ممن يستخدمونه ليسوا على دراية جيدة بممارسات الأمن السيبراني الأساسية. هذا ما يخلق وهمًا بأن WordPress أقل أمانًا بطريقة ما من خيارات إنشاء مواقع الويب الأخرى.
نادرًا ما يواجه هؤلاء الأفراد الذين يستخدمون ممارسات أمنية سليمة مشكلات في اختراق المواقع. إذن ما الذي يجعل موقع WordPress آمنًا؟
تأمين موقع WordPress الخاص بك
فيما يلي 10 أشياء يجب مراعاتها عندما يتعلق الأمر بتأمين موقع WordPress الخاص بك.
استخدم مضيفًا آمنًا
إذا لم تحصل على أي شيء آخر من هذا المنشور ، فعليك على الأقل الانتباه إلى هذا المنشور. موقع WordPress الخاص بك آمن تمامًا مثل الخادم الذي يعيش عليه.
معظم مواقع WordPress مبنية على الاستضافة المشتركة ، مما يعني أن موقعك يعيش على نفس الخادم مثل مواقع الويب للعملاء الآخرين. اختر شركة مضيفة تضع أذونات الحساب بشكل صحيح على خوادمها.
التحقق من ذلك: أفضل خدمات استضافة ووردبريس مقارنة
ليس من غير المألوف أن يصيب أحد مواقع الويب المخترقة الآخرين على نفس الخادم. إذا اخترت مضيفًا حيث يتم فصل الأذونات بشكل صحيح لكل حساب ، يتم تقليل مخاطر التلوث عبر المواقع إلى الحد الأدنى.
خلافا للرأي الشعبي ، استضافة VPS عرضة أيضًا لنشر البرامج الضارة. يمكن أن تسمح هجمات VMescape ، حيث تستخدم البرامج الضارة نقاط الضعف في الأنظمة الأساسية الافتراضية ، للبرامج الضارة بالهروب من خادم VPS واحد والانتقال إلى خادم VPS آخر يعيش على نفس الأجهزة المادية.
سيكون لدى المضيفين الآمنين أيضًا عوامل تخفيف أخرى. يتضمن ذلك استخدام mod-security في تكوين خادم الويب الخاص بهم ، وحزم مكافحة البرامج الضارة مثل Imunify360 ، وحماية DDoS لمنع المواقع من أن تغمرها برامج الروبوت.
حافظ على تحديث Core ، والموضوعات ، والإضافات
تتعرض معظم مواقع WordPress للاختراق بسبب نفاد رمز تاريخها. هذا ليس رأيًا ، إنها حقيقة موثقة.
حدد الباحثون الأمنيون الذين أجروا تحليلًا جنائيًا لآلاف مواقع WordPress التي تم اختراقها ، دون أدنى شك ، أن المكونات الإضافية والقوالب القديمة مسؤولة عن أكثر من 80٪ منها.
تخيل ، ببساطة عن طريق تحديث السمات والإضافات الخاصة بك ، يمكنك القضاء على 80٪ من فرص اختراق موقعك. الآن ، هذا هو المفتاح لتأمين WordPress جدير بالملاحظة.
تمكين المصادقة الثنائية
في حين أن السمات والمكونات الإضافية القديمة هي المسؤولة عن الغالبية العظمى من مواقع WordPress التي تم اختراقها ، فإن هجمات القوة الغاشمة على أسماء المستخدمين وكلمات المرور هي أكثر الطرق شيوعًا التي يتم محاولة الوصول إليها بشكل غير مصرح به إلى مواقع الويب.
على الرغم من أن معدل النجاح عادة ما يكون منخفضًا ، إلا أنه تم اختراق حوالي 8٪ من مواقع الويب المخترقة ببساطة عن طريق تخمين كلمة مرور المستخدم.
تتمثل إحدى طرق حماية موقع الويب الخاص بك في تمكين المصادقة الثنائية (2FA). بالإضافة إلى اسم المستخدم وكلمة المرور الخاصين بك ، ستطلب منك المصادقة الثنائية (2FA) أيضًا إرسال رمز مرور لمرة واحدة من جهازك المحمول أو من رسالة بريد إلكتروني.
إذا كان المتسلل لديه اسم المستخدم وكلمة المرور لموقع الويب الخاص بك ، ولكن ليس لديه هاتفك أو الوصول إلى بريدك الإلكتروني ، فلن يتمكن من تسجيل الدخول.
هناك العديد من المكونات الإضافية التي تضيف 2-Factor Authentication إلى موقع الويب الخاص بك ، والعديد من المكونات الإضافية للأمان الشاملة التي سنتحدث عنها في القسم التالي ، نضيفها أيضًا كجزء من العديد من الميزات التي تتضمنها.
قم بتثبيت مكون إضافي للأمان
هناك أشخاص يقولون إن كل الأمن يجب أن يقوم به مضيفك ، ولكن في عالم الأمن السيبراني ، نعتقد أن الأمن يحدث في طبقات. وجود مكون إضافي للأمان على WordPress الخاص بك موقع الويب هو مجرد طبقة أخرى من تلك الطبقات.
عندما يتعلق الأمر بمكونات الأمان الإضافية ، فهناك مجموعة متنوعة للاختيار من بينها. فيما يلي بعض المكونات الإضافية الأكثر شيوعًا للأمان. يجب عليك اختبارها ومعرفة أي منها يناسب احتياجاتك بشكل أفضل.
Wordfence
على الرغم من أن هذا المنشور لن يتطرق إلى أي مكون إضافي للأمان هو الأفضل ، فإن الأكثر شيوعًا هو Wordfence - وهناك أسباب وجيهة لماذا.
أولاً ، Wordfence هي شركة مخصصة للأمان في هذا الأمان هو كل ما يفعلونه. إنهم ليسوا من مطوري WordPress الإضافيين الذين صادف أن لديهم مكونًا إضافيًا للأمان في محفظتهم ، إنهم يعيشون ويتنفسون الأمن.
يأتي المكون الإضافي Wordfence مزودًا بجدار حماية مجاني لتطبيق الويب يقوم بفحص كل طلب مقابل قائمة بالمآثر المعروفة ويمنعها في حالة العثور على تطابق. لديهم أيضًا ماسح ضوئي للبرامج الضارة يبحث عن علامات منبهة للأنشطة والملفات الضارة. ميزة أخرى رائعة هي قدرة الماسح الضوئي على فحص جميع ملفات القالب والمكونات الإضافية الخاصة بك مقابل تلك الموجودة في مستودع WordPress.org للتأكد من مطابقتها.
يقوم Wordfence بتسجيل جميع الأنشطة المتعلقة بالأمان افتراضيًا حتى تتمكن من مراجعتها والتأكد من أن موقعك آمن.
ميزة أخرى لطيفة في Wordfence هي أن لديهم وحدة مصادقة ثنائية العوامل حتى تتمكن من التخلص من التوصية رقم 2 في هذا المنشور. في نفس خط الحماية ، لديهم أيضًا حماية من القوة الغاشمة لإغلاق عناوين IP التي تحاول تسجيل الدخول عدة مرات بشكل فعال لإيقاف الروبوتات في مساراتها.
Sucuri
Sucuri هو مكون إضافي رائع للأمان يمكن أن يساعد في حماية موقع WordPress الخاص بك. يحتوي على العديد من الميزات الرائعة نفسها التي يقدمها Wordfence مع استثناء واحد ملحوظ: لا يوجد جدار حماية مجاني - إنه متاح فقط في خطة مدفوعة الأجر.
إحدى الملاحظات المهمة حول Sucuri هي أن GoDaddy اشترى المكوّن الإضافي مؤخرًا ، لذا لم يتم إثبات قدرته على دعمه بشكل صحيح. في دوائر الاستضافة على الويب ، لا يتم النظر إلى GoDaddy بشكل إيجابي ، لذا فإن الوقت فقط هو الذي سيحدد ما إذا كانت هذه السمعة ستمتد إلى Sucuri أم أنها ستكون قادرة على مواجهة التحدي.
لدى Sucuri أيضًا سجل تدقيق حتى تتمكن من مراجعة النشاط المتعلق بالأمان على موقع الويب الخاص بك مثل عمليات تسجيل الدخول الفاشلة.
الكل في واحد WP Security & Firewall
الكل في واحد WP Security & Firewall هو المكون الإضافي الوحيد الذي يقترب من شعبية Wordfence. يقدم العديد من المزايا نفسها بما في ذلك جدار حماية مجاني يعتمد على قواعد .htaccess ، وحماية من القوة الغاشمة ، وماسح ضوئي للأمان.
الشيء الوحيد الذي لا يتضمنه هو وحدة المصادقة ثنائية العوامل ، لذلك ستحتاج إلى إضافة مكون إضافي مستقل لهذه الوظيفة.
يمكن القول أن All in One WP Security & Firewall يوفر في الواقع أقوى جدار حماية لجميع مكونات الأمان الإضافية. نظرًا لأن جدار الحماية يعتمد على .htaccess ، فإنه تتم معالجته قبل تشغيل أي برامج نصية مما يجعله موثوقًا للغاية.
يتضمن All in One WP Security & Firewall أيضًا ميزة لطيفة للمساعدة في الحماية من البريد العشوائي للتعليقات التلقائية. بدلاً من ذلك ، يمكنك استبدال نظام التعليقات الافتراضي في WordPress بـ Deepإيه التعليقات للحصول على ميزات وحماية إضافية.
استخدم Cloudflare
اكتسبت Cloudflare شعبية مع مستخدمي WordPress بسبب خدمة CDN الممتازة (والمجانية) التي تساعد على تسريع موقع الويب الخاص بك. لكن Cloudflare تقدم أيضًا مجموعة من الأدوات المجانية التي تساعد في تقوية موقعك ضد الهجمات.
أولاً ، عندما توجه خوادم الأسماء الخاصة بك إلى Cloudflare ، يمكنك الاستفادة من واحدة من أسرع خدمات DNS المتاحة وأكثرها أمانًا وشهادات SSL المجانية.
تتحقق خوادم Cloudflare من كل حركة المرور قبل أن تصل إلى الخادم الخاص بك من أجل هجمات DDoS ويكون جدار الحماية الخاص بها قابلاً للتهيئة بدرجة كبيرة حتى في الإصدار المجاني (مع عدد محدود من القواعد) التي تسمح لك بتصفية حركة المرور بناءً على البلد أو ASN أو حتى عنوان URL أو سلسلة الاستعلام.
على سبيل المثال ، إذا قمت بتسجيل الدخول إلى موقع الويب الخاص بك فقط من عنوان IP واحد أو عدد صغير من عناوين IP الثابتة ، فيمكنك إنشاء قاعدة في Cloudflare تحظر جميع عناوين IP الأخرى حتى من الوصول إلى wp-admin أو wp-login.php . سيؤدي ذلك إلى منع جميع الروبوتات التي تحاول تنفيذ هجمات القوة الغاشمة التي تحدثنا عنها في القسم 3. يمكنك أيضًا تقييد الوصول إلى wp-admin باستخدام ملف htaccess الخاص بك بدلاً من Cloudflare. يمكنك تنفيذ كليهما إذا كنت تريد طبقات حماية متعددة (موصى به بشدة).
لا تستخدم السمات أو المكونات الإضافية Nulled
هل تريد هذا المظهر المتميز ولكنك لا تريد دفع ثمنه؟ حسنًا ، إذا حصلت عليه من أحد تلك المواقع البسيطة التي تقدم سمات وإضافات فارغة ، فيمكنك الحصول عليها مجانًا. لكن لا يزال هناك سعر ...
عندما تستخدم سمة أو مكونًا إضافيًا فارغًا ، تفقد ضمان أن المنتج مطابق لما يقدمه البائع الرسمي. هذا يعني أنك تفقد سلامة الكود.
تعد السمات والمكونات الإضافية التي تم إلغاؤها مصدرًا مهمًا للبرامج الضارة ، لأنه في بعض الأحيان قام أي شخص قام بإلغاء المكون الإضافي ، أو أضاف البرامج الضارة الخاصة به من أجل الاستيلاء على موقعك أو تنفيذ إجراءات ضارة أخرى مثل سرقة مواردك من أجل التنقيب عن العملات المشفرة.
السمات والإضافات الفارغة هي البرامج الضارة التي تقوم بتثبيتها عن طيب خاطر على موقع الويب الخاص بك دون أن تدرك ذلك. فقط لتوفير بضعة دولارات؟ لا يستحق كل هذا العناء. إذا كنت بحاجة إلى ميزة متميزة ، فادفع لمطور حسن السمعة مقابل ذلك.
تعطيل تحرير الملف
تحتوي لوحة تحكم مسؤول WordPress على محرر مدمج ملائم للغاية يسمح لك بتعديل محتويات ملفات القالب والمكونات الإضافية. لسوء الحظ ، يسهل هذا المحرر أيضًا على المتسللين تعديل رمز موقع الويب الخاص بك إذا حدث اختراق لحسابك.
الحقيقة هي أنك تقريبًا أبدا ذاهب لاستخدام هذه الوظيفة. إذا قمت بتحرير ملف أساسي في أي وقت ، فمن المحتمل أن تقوم بذلك مباشرة من خلال مدير ملفات مضيفك أو باستخدام عميل FTP.
يمكنك تعطيل القدرة على تحرير الملفات من لوحة تحكم المسؤول عن طريق إضافة هذا السطر إلى ملف wp-config.php الخاص بك:
تعريف ('DISALLOW_FILE_EDIT' ، صحيح) ؛
بمجرد إضافة هذا السطر ، لم تعد قوائم التحرير متاحة للمكونات الإضافية وملفات السمات في لوحة تحكم مسؤول WordPress.
انقل ملف wp-config.php وأعد تسميته
بينما نتحدث عن ملف wp-config.php ، يعرف الكثير من الأشخاص بالفعل أنه يمكنك نقل ملف wp-config.php إلى دليل واحد من تثبيت WordPress الخاص بك وسيعمل موقعك بشكل جيد. لكن دعنا نأخذ خطوة إلى الأمام.
هل تعلم أنه يمكنك بالفعل إعادة تسمية ملف wp-config.php إلى ما تريد ونقله من تثبيت WordPress الخاص بك بالكامل إلى مجلد غير عام؟ يتطلب الأمر مزيدًا من العمل ، لكن الأمر يستحق ذلك.
بينما يعرض الملف نفسه بشكل عام صفحة فارغة عند استدعائه في متصفح الويب ، في حالات نادرة عندما يفشل معالج PHP ، يمكن أن تكون محتويات الملف بالكامل مرئية كنص عادي في متصفح الويب.
يحتوي ملف wp-config.php على معلومات حساسة حول موقع الويب الخاص بك بما في ذلك اسم مستخدم قاعدة البيانات وكلمة المرور. قد تكون هذه المعلومات في الأيدي الخطأ كارثية. تساعد إعادة تسمية الملف إلى شيء عشوائي على إخفائه من الروبوتات والمتسللين.
By نقل ملف wp-config.php إلى مجلد غير عام، فإنك تقضي على قدرة شخص ما على الحصول على المعلومات من خلال متصفح أثناء فشل PHP.
تدقيق النشاط على موقعك
إذا كنت لا تتعقب ما يحدث على موقع الويب الخاص بك ، فقد تفقد المعلومات الأساسية التي يمكن أن تنبهك إلى محاولة نشاط ضار ، أو حتى اكتشاف نشاط ضار إذا كان موقعك قد تم اختراقه بالفعل.
بصرف النظر عن مزايا الأمان ، إذا كان لديك موقع به عدة مستخدمين ، فإن وجود مكون إضافي للتدقيق يمكن أن يساعد أيضًا في ضمان إمكانية تتبع الأنشطة المشروعة. بصفتك وكالة ، إنها أداة رائعة لمعرفة ما إذا كان عميلك قد أفسد شيئًا ما حتى لو قال إنه لم يفعل ذلك!
هناك العديد من المكونات الإضافية الجيدة لتدقيق نشاط الموقع. تحتوي بعض المكونات الإضافية للأمان المذكورة سابقًا على مستوى معين من إمكانية تسجيل التدقيق ، لكن المكونات أدناه تنقلها إلى المستوى التالي من خلال تدقيق جميع أنشطة المستخدم بدلاً من مجرد الأحداث المتعلقة بالأمان. فيما يلي أهم 3.
سجل بسيط - سجل نشاط المستخدم ، أداة تدقيق
التاريخ بسيط هو البرنامج المساعد الأكثر شيوعًا للتدقيق وهو رائع لبدء الاختبار معه. يسجل كل الأشياء التي تتوقعها مثل تحديثات المحتوى وتثبيتات المكونات الإضافية والتنشيط وأي نوع آخر من أنشطة المستخدم.
يتمتع المكون الإضافي بتصنيف 5 نجوم وفريق المطور نشط جدًا في منتديات الدعم ويجيب بانتظام على أسئلة الدعم هناك في إطار زمني معقول.
سجل نشاط WP
• سجل نشاط WP يعد المكون الإضافي خيارًا رائعًا آخر لاستخدامه لموقعك. يحتوي على بعض الخيارات القابلة للتكوين أكثر من المكون الإضافي السابق مثل القدرة على تمكين وتعطيل تدقيق أحداث معينة وفترة استبقاء قابلة للتكوين للتسجيل. كما أن لديها الكثير من الوظائف الإضافية لتوسيع المراقبة لتشمل المكونات الإضافية المتخصصة مثل WooCommerce و WPForms.
يتمتع المكون الإضافي بتصنيف 4.5 نجوم ويستجيب المطور الرئيسي لكل سؤال من أسئلة منتدى الدعم شخصيًا.
إذا كنت تدير وكالة ، فإن WP Activity Log يتكامل جيدًا مع أداة الإدارة الشهيرة MainWP حتى تتمكن من عرض سجلات التدقيق لجميع مواقع العملاء في واجهة واحدة. بين الوكالات ، WP Activity Log هو الخيار رقم 1 لتسجيل التدقيق.
سجل النشاط
خيار شائع آخر مع تصنيف 4.5 نجوم. سجل النشاط يلتقط كل ما تتوقعه ولديه عدد كبير من عمليات التثبيت النشطة.
لسوء الحظ ، لا يستجيب المطور غالبًا لطلبات الدعم في المنتديات حيث تظل معظم أسئلة الدعم بلا إجابة إلى أجل غير مسمى.
استخدم مبدأ الامتياز الأقل
في عالم الأمن السيبراني ، يعد مبدأ الامتياز الأقل مفهومًا يمتلك فيه المستخدم الأذونات التي يحتاجها فقط للقيام بعمله.
في عالم WordPress ، ليس من غير المألوف رؤية شركة بها 10 مستخدمين تم تعيينهم جميعًا كمسؤول. قد تكون هناك أسباب مشروعة لهذا المستوى من الوصول ، ولكن من النادر أن تحتاج إلى أكثر من حساب واحد أو حسابين بهذا المستوى العالي من الأذونات.
هناك شيء واحد لا يمكنك التحكم فيه وهو ما يفعله المستخدمون عندما لا يؤدون العمل بنشاط على موقع WordPress الخاص بك. هذا يعني إذا فشلوا في ذلك حماية بياناتهم الخاصة من المتسللين، هناك فرصة جيدة لأن ينتشر عدم الدقة في موقع الويب الخاص بك.
من خلال تقييد وصولهم ، ستتمكن من تخفيف أي ضرر قد يفعله المستخدم عن غير قصد مثل النقر فوق ارتباط ضار أثناء تسجيل الدخول إلى موقع الويب الخاص بك. حتى لو كنت مسؤول الموقع ، يجب عليك استخدام حساب محرر منفصل بأذونات محدودة عندما لا تقوم بمهام إدارية عالية المستوى.
هل من الممل أن تفعل هذا؟ بالتأكيد. لكنها أقل مللًا بكثير من الاضطرار إلى تنظيف موقع ويب مصاب.
المكافأة: خذ نسخ احتياطية متكررة
في أسوأ السيناريوهات حيث تم اختراق موقعك ، يكون الخيار الوحيد أحيانًا هو استعادته من نسخة احتياطية نظيفة ؛ الذي تم تناوله قبل الإصابة. ستقوم معظم شركات استضافة الويب اللائقة بعمل نسخة احتياطية من موقعك مرة واحدة يوميًا ، لكنها عادةً ما تحتفظ بهذه النسخ الاحتياطية فقط لبضعة أسابيع.
هذا يمثل مشكلة إذا كان لديك عدوى لم يلاحظها أحد لفترة من الوقت. تخفي العديد من الإصابات نفسها بشكل فعال عن المسؤولين الذين قاموا بتسجيل الدخول لتجنب الاكتشاف لأطول فترة ممكنة.
نظرًا لأنك تعلم الآن أن الأمان هو الأفضل في الطبقات ، يمكنك تطبيق نفس المفهوم على النسخ الاحتياطية الخاصة بك عن طريق أخذ النسخ الاحتياطية الخاصة بك بالإضافة إلى مضيف الويب الخاص بك.
هناك بعض الإضافات المجانية الرائعة المتاحة للنسخ الاحتياطي بما في ذلك UpdraftPlus, BackWPupو هجرة الكل في واحد. لكل منها نقاط قوتها وضعفها ، لكنها جميعها موثوقة للغاية وتتيح لك إجراء نسخ احتياطي لموقعك بشكل أكثر انتظامًا. في بعض الحالات ، يمكنك النسخ الاحتياطي تلقائيًا إلى التخزين السحابي البعيد مثل Dropbox أو OneDrive.
افكار اخيرة
يعد أمان WordPress جزءًا مهمًا من امتلاك موقع ويب. يمكن أن تكون أيضًا عملية تستغرق وقتًا طويلاً وتستهلك موارد كثيرة إذا تم إجراؤها بشكل غير صحيح أو تم إهمالها. من خلال تنفيذ المفاتيح في هذا المنشور ، يمكنك وضع معظم احتياجات الأمان الخاصة بك تلقائيًا حتى تتمكن من التركيز على ما هو مهم: عملك.
