في الفقرات التالية سنتحدث عن 10 نصائح أمنية رئيسية لـ WordPress يمكنها مساعدتك في تأمين موقع الويب الخاص بك وجعل من الصعب على المتسللين القيام بعملهم.
يُعد ووردبريس أحد أكثر أنظمة إدارة المحتوى استخدامًا على الإنترنت، وهو المسؤول عن تشغيل ملايين المواقع الإلكترونية حول العالم.
بفضل مرونته وسهولة واجهته، أصبح ووردبريس سريعًا المنصة المفضلة لأصحاب المواقع والمدونين. لكن هذه الشعبية الهائلة لها جانب سلبي: فهي تجعله هدفًا جذابًا لمجرمي الإنترنت وغيرهم من الجهات الخبيثة.
يُعدّ تطبيق تدابير الأمان ضروريًا لحماية بياناتك الحساسة وموقعك الإلكتروني في آنٍ واحد. في هذه المقالة، سنستعرض الإجراءات الأساسية التي عليك اتخاذها لحماية موقع ووردبريس الخاص بك باستخدام مجموعة متنوعة من الإضافات والمعايير المهنية.
ليس هناك شك في أن WordPress هو نظام إدارة المحتوى الأكثر شعبية.
A دراسة أجرتها شركة Netcraft و WordPress.com يكشف أن نظام إدارة المحتوى يسيطر الآن على أكثر من 35% من الإنترنت.
لقد تمتع WordPress بقاعدة مستخدمين كبيرة بسبب تنوعه الذي سمح بنشره على جميع أنواع مواقع الويب، سواء كانت مدونات شخصية صغيرة أو مواقع تجارة إلكترونية صغيرة وكبيرة أو مواقع ويب تابعة لمنظمات أخرى
لا يمكن القول أن WordPress هو ملاذ آمن بشعبيته والراحة التي يوفرها إذا كنت تستخدم WordPress أو تفكر في استخدامه كنظام إدارة المحتوى الخاص بك، فيجب أن تشعر بالقلق بشأن التهديدات الأمنية المرتبطة به.
لدى المتسللين هدف وهو الوصول إلى موقع WordPress الخاص بك.
سيقومون بشن هجمات القوة الغاشمة، وتنفيذ عمليات حقن SQL، وجمع بياناتك الحساسة من خلال حقن البرامج الضارة.
ربما تكون أنت الشخص الذي يمنح المتسللين فرصة لمهاجمة موقع WordPress الخاص بك.
على سبيل المثال، إذا كنت تستخدم كلمات مرور ضعيفة، أو تفشل في إجراء تحديثات منتظمة لموضوعات WordPress والمكونات الإضافية، أو تستخدم موفري استضافة رديئين.
هذه هي الأشياء البسيطة التي يمكن أن تعرض أمان موقع WordPress الخاص بك للخطر وتجعله عرضة للمتسللين.
ينبغي تثبيت تدابير أمنية مناسبة لضمان أقصى قدر من الأمان لموقع WordPress الخاص بك.
نصائح أمنية لـ WordPress
لقد شرحت هذه المقالة نصائح أمان WordPress التي يمكنك استخدامها لحماية موقع WordPress الخاص بك:
حافظ على تحديث جوهر WordPress الخاص بك والمظاهر والمكونات الإضافية
من الضروري إجراء تحديثات دورية لنواة ووردبريس، والقوالب، والإضافات للحفاظ على أمان موقعك الإلكتروني في أفضل حالاته. يُصدر المطورون تحديثات دورية لسد الثغرات الأمنية وتعزيز أمان النظام بشكل عام.
إذا اخترت تجاهل هذه التحديثات، فقد يصبح موقع الويب الخاص بك عرضة لمخاطر مختلفة. سكوت دودسون، الرئيس التنفيذي للنمو في تطبيق لينغ يقترح "استراتيجية أمنية سهلة وفعالة للغاية هي التأكد من تحديث تثبيت WordPress والموضوعات والمكونات الإضافية إلى أحدث الإصدارات.
يستغل المتسللون في كثير من الأحيان العيوب المعروفة في البرامج القديمة؛ لذلك، من الضروري إبقاء كل شيء محدثًا لمنع حدوث خروقات أمنية.
اختر شركة استضافة جيدة
تلعب شركات الاستضافة دورًا مهمًا للغاية في أمان مواقع WordPress.
يمكن لمزود الاستضافة الذي تختاره إجراء أو كسر موقع ووردبريس الخاص بكيعد مزود استضافة الويب بمثابة نبض أمان WordPress الخاص بك.
بعض الأدوار الأمنية التي ستلعبها شركة الاستضافة الجيدة هي:
- قم بمراقبة شبكاتك ومواردك الرقمية بانتظام ضد أي اختراقات أو وصول غير مصرح به.
- سوف يقوم مزود الاستضافة بحماية موقع WordPress الخاص بك ضد هجمات DDoS الصغيرة والكبيرة.
- ستقوم شركة الاستضافة بتحديث كل من الأجهزة والبرامج لديك لضمان عدم قيام المهاجمين الإلكترونيين باستغلال الثغرات الأمنية والثغرات الموجودة في الإصدارات القديمة.
- سيقوم مزود الاستضافة بنشر آلية استرداد البيانات في حالة حدوث خرق إلكتروني.
- ستقوم شركة الاستضافة بإجراء عمليات فحص منتظمة للملفات لاكتشاف وإزالة البرامج الضارة التي يمكن أن تشل موقع WordPress الخاص بك.
مع ذلك، فيما يتعلق بمشكلة مزود استضافة الويب، فإنني أنصحك بشدة بعدم استخدام منصة استضافة مشتركة لمشاركة موارد الخادم مع العديد من الآخرين.
يُعرّضك لمخاطر إلكترونية. يستطيع المخترق بسهولة استخدام موقع مجاور لشنّ هجوم على موقعك.
أنصحك باستخدام خدمة استضافة WordPress المُدارة، وهي عبارة عن منصة أكثر أمانًا لموقع WordPress الخاص بك.
ستستمتع ببعض تكوينات الأمان المتقدمة التي ستحافظ على موقع WordPress الخاص بك آمنًا ومحميًا من المتسللين.
إذا كنت تريد اختيار أفضل شركة استضافة ووردبريس، فقد جعلنا الأمر أسهل، ألق نظرة على مقالتنا الشاملة حول خدمات استضافة ووردبريس: أفضل 10 خدمات استضافة ووردبريس
تثبيت شهادة SSL
SSL تعني طبقة مآخذ التوصيل الآمنة.
عند تثبيته على موقع ويب، ستسمح الشهادة بتشفير HTTPS.
بدون شهادة SSL، سيتم إجراء الاتصال بين الخوادم والمتصفحات عبر بروتوكول HTTP.
إن بروتوكول HTTP ليس بروتوكولًا آمنًا، ولهذا السبب تحتاج إلى شهادة SSL.
تلعب شهادة SSL دورًا حيويًا في حماية موقع الويب الخاص بك من المتسللين الذين يحاولون اعتراض عمليات نقل البيانات والاتصالات باستخدام هجمات الرجل في المنتصف.
يتم إجراء كافة الاتصالات بين الخوادم والمتصفحات من خلال تنسيق مشفر لا يمكن فك شفرته إلا من قبل المتلقي المقصود.
سيكون من غير المجدي أن يحاول المتطفل الوصول إلى ما لا يستطيع فهمه.
بفضل بروتوكول HTTPS، أصبحت مواقع WordPress أكثر أمانًا.
تعتمد شهادة SSL التي تختارها لموقع WordPress الخاص بك على نوع موقع الويب الخاص بك واحتياجاته.
وفيما يلي بعض الخيارات التي ينبغي عليك مراعاتها:
- إذا كان موقعك صغيرًا ولا يتطلب الاحتفاظ بالكثير من البيانات الحيوية، فيمكنك الحصول على شهادة SSL للتحقق من صحة النطاق.
- عندما تحتاج إلى حماية نطاقات فرعية متعددة، فستكون شهادة SSL Wildcard كافية.
هناك الكثير من شهادات SSL Wildcard رخيصة يمكنك الاختيار من بينها. ولأمان نطاقات متعددة، يمكنك اختيار شهادة SSL متعددة النطاقات.
لا تستخدم السمات الملغاة
القالب الملغي هو قالب مقرصن معدّل ويحتوي على أكواد خطيرة تهدف على وجه التحديد إلى جمع معلومات ضارة أو إلحاق الضرر بموقع WordPress الخاص بك.
تعتبر البرامج المجانية مغرية للاستخدام لأنها تتيح لك الوصول إلى الميزات المتميزة مجانًا.
كما يقول المثل، عندما تكون الصفقة جيدة جدًا، فكر مرتين.
تشكل مثل هذه البرامج والموضوعات المقرصنة تهديدًا كبيرًا لأمن موقع WordPress الخاص بك.
كانت معظم السمات الملغاة مليئة بالبرامج الضارة.
سوف يتسبب البرنامج الخبيث في إحداث ضرر كبير بموقع WordPress الخاص بك ويسمح للمتسللين بالدخول إليه.
بمجرد دخولهم، يمكن للمخترقين إحداث كل أنواع الفوضى في موقعك. سيرسلون رسائل بريد إلكتروني غير مرغوب فيها، وينشرون محتوى وإعلانات بذيئة، ويضللون زوارك.
وتكون العواقب المترتبة على مثل هذه الحالة وخيمة للغاية عادة.
تفقد الزوار وتتشوه صورتك وعندما يكتشف جوجل الاختراق سيتم إدراج حسابك في القائمة السوداء.
يمكن لشركة استضافة الويب الخاصة بك أيضًا تعليق حسابك.
لكي تكون في الجانب الأكثر أمانًا، لا يجب عليك أبدًا، في أي وقت من الأوقات، استخدام السمات الملغاة.
هناك العديد مواضيع مثالية والمكونات الإضافية متاحة في مستودع WordPress مجانًا.
يجب عليك أيضًا التأكد من أن لديك مكون إضافي للأمان مثل MalCare قبل تثبيت أي مكون إضافي أو سمة.
سيساعدك هذا على فحص موقع WordPress الخاص بك بانتظام بحثًا عن أي برامج ضارة وحماية موقع WordPress الخاص بك أيضًا من الهجمات.
تثبيت مكون إضافي لأمان WordPress
تحدث العديد من الخروقات الأمنية يوميًا.
إذا نجح المتسللون في تنفيذ خرق أمني على موقع WordPress الخاص بك بنجاح، فأنت في خطر شديد.
يجب أن يكون أمان موقع WordPress الخاص بك على رأس أولوياتك.
مع إضافة أمان ووردبريس، يمكنك الاطمئنان إلى أمان موقع ووردبريس. ستحافظ هذه الإضافة على أمان وخصوصية موقعك.
بعض من أفضل إضافات أمان WordPress التي يمكنك استخدامها هي:
- Sucuri الأمن
- تأمين Wordfence
- شركة مالكير للأمن
- برنامج ithemes security pro
- أمان Jetpack
- مصدق جوجل
- كل شيء في واحد WP Security &Firewall
تثبيت جدار حماية تطبيق ويب (WAF)
سيتم حماية موقع الويب الخاص بك من أي مخاطر قد تنشأ بفضل استخدام جدار حماية تطبيقات الويب.
يمكنه حماية موقع الويب الخاص بك من أكثر أنواع الهجمات شيوعًا، بما في ذلك تصفية حركة المرور الضارة، وحظر الطلبات الضارة، وحماية موقع الويب الخاص بك من متجهات الهجوم الشائعة.
لمزيد من راحة البال، قد ترغب في التفكير في تثبيت ملحق جدار حماية التطبيقات (WAF). خشايار شاهنازاري، الرئيس التنفيذي لشركة FinlyWealth يقول، "يؤدي جدار حماية تطبيق الويب وظيفة المرشح من خلال تحليل حركة المرور الواردة ومنع معالجة الطلبات الضارة.
"يمكن أن يوفر خط أمان أساسي ضد مجموعة واسعة من التهديدات المستندة إلى الويب، مثل برمجة النصوص عبر المواقع وحقن SQL، وغيرها."
إزالة السمات والمكونات الإضافية غير المستخدمة
حتى لو لم تكن قيد الاستخدام حاليًا، فقد تُشكّل القوالب والإضافات غير النشطة خطرًا أمنيًا. يُنصح بإزالة أي قوالب وإضافات لم تعد تستخدمها من موقعك الإلكتروني، فقد يحاول المخترقون استغلالها.
"يمكن أن تصبح السمات والمكونات الإضافية التي لا يتم استخدامها نقاط ضعف منسية.
"إذا قمت بإزالتها بالكامل، فإنك تقلل من عدد نقاط الوصول المحتملة للمتسللين، مما يجعل موقع الويب الخاص بك أكثر أمانًا" كما يقول أندرو بريوبرازينسكي، الرئيس التنفيذي والمدير في مفاعل
فرض استخدام كلمات مرور قوية
تعتبر كلمات المرور بمثابة المفتاح الذي يحفظ جميع بياناتك ومواردك من الوصول إليها من قبل المتسللين.
الطريقة الأسهل التي يمكن للمتطفل من خلالها الوصول إلى حساب WordPress الخاص بك هي الوصول إلى تفاصيل تسجيل الدخول الخاصة بك.
وسوف يقومون بشن هجمات القوة الغاشمة في محاولة للحصول على تلك كلمات المرور.
إذا كنت من النوع الذي يستخدم كلمات مرور ضعيفة، فأنت ببساطة تجعل موقع WordPress الخاص بك عرضة للخطر.
عند إنشاء كلمات مرور لموقع WordPress الخاص بك، تأكد من اتباع أفضل ممارسات كلمة المرور.
اختر كلمة مرور قوية وفريدة من نوعها بحيث يصعب على المتسللين تخمينها.
ينبغي أن تكون كلمة المرور المثالية طويلة بما يكفي، أي حوالي ثمانية أحرف.
ويجب أيضًا أن يكون مزيجًا من الأرقام والحروف والأحرف الخاصة.
يعد استخدام كلمة مرور واحدة لكل حساب أيضًا إجراءً مثاليًا لحماية موقع WordPress الخاص بك.
تنفيذ المصادقة الثنائية (2FA)
يُطلب من المستخدمين إدخال ليس فقط كلمة المرور الخاصة بهم ولكن أيضًا نموذجًا ثانيًا للتحقق للوصول إلى حساباتهم باستخدام المصادقة الثنائية، مما يضيف طبقة من الأمان.
"تتوفر العديد من المكونات الإضافية لتمكين المصادقة الثنائية (2FA) في WordPress، مما يجعل إجراء تسجيل الدخول أكثر أمانًا.
توفر المصادقة الثنائية (2FA) طبقة إضافية من الأمان من خلال مطالبة المستخدمين بتوفير رمز حساس للوقت ويتم إرساله إليهم عبر البريد الإلكتروني أو رسالة نصية إلى أجهزتهم المحمولة.
حتى لو تمكن أحد المتسللين من الحصول على كلمة المرور الخاصة بك، فلن يتمكن من الوصول إلى موقع الويب الخاص بك بدون هذا الرمز الثانوي، كما يقول جراهام جريف، مدير التسويق في تأجير المركبات الأولى
تعطيل تحرير الملف
بشكل افتراضي، يسمح WordPress للمستخدمين الإداريين بإجراء التحرير على ملفات PHP والمكونات الإضافية من منطقة إدارة WordPress.
في أي حال من الأحوال يتمكن المهاجم من الوصول إلى المنطقة الإدارية، فإنه سوف ينظر أولاً إلى هذه الوظيفة نظرًا لأنها تمكن من تنفيذ التعليمات البرمجية على الخادم.
وبالتالي، تشكل هذه الميزة تهديدًا أمنيًا عند تركها في الأيدي الخطأ.
لكي تكون في الجانب الآمن، يجب عليك أطفئه.
يمكنك أيضًا تعطيل تحرير الملفات عند استخدام البرنامج الإضافي Sucuri من خلال استخدام ميزة التصلب.
نسخ احتياطية منتظمة
من الخطوات الأساسية لضمان سلامة موقع ووردبريس الخاص بك إنشاء نسخ احتياطية بانتظام. إذا كانت لديك نسخة احتياطية حديثة، فستتمكن من استعادة موقعك بسرعة إلى حالة صالحة للعمل في حال تعرضه لاختراق أمني أو عطل فني.
مات ماجنانتي، رئيس التسويق في فيتنس فولت يقول، "إن النسخ الاحتياطية الخاصة بك تعادل شبكة الأمان.
تتيح لك هذه الخدمة استعادة موقعك الإلكتروني إلى حالته السابقة في حال حدوث خرق أمني أو عطل فني كارثي. أتمت هذه العملية لضمان تحديث النسخ الاحتياطية الدورية باستمرار.
مراقبة النشاط المشبوه
ريتيكا أسراني، المالك والوسيط شركة سينشري 21 العقارية في سانت مارتن يقترح أن "المكونات الإضافية مثل Wordfence و Sucuri Security توفر إمكانيات المراقبة والتنبيه التي تخبرك بالأنشطة المشبوهة على موقعك، مثل محاولات تسجيل الدخول غير الناجحة أو التغييرات في الملفات الهامة.
تُعلمك هذه الأدوات بالأنشطة الضارة المحتملة على موقع الويب الخاص بك.
الحفاظ على حالة من الوعي الدائم ضروري للاستجابة السريعة لأي مخاطر. تُرسل مكونات المراقبة الإضافية تنبيهات فورية في حال حدوث سلوكيات ضارة محتملة، مما يُمكّنك من الاستجابة بسرعة وحسم.
"إن إعلامك بمحاولات تسجيل الدخول غير المصرح بها أو التغييرات التي تطرأ على الملفات الأساسية لموقع الويب الخاص بك هو أحد الأمثلة على ما يمكن أن يستلزمه هذا الأمر."
تغيير عنوان URL الخاص بمسؤول WordPress الخاص بك
سيوصي معظم خبراء ومحترفي WordPress بتغيير عنوان URL لتسجيل الدخول إلى WordPress كإجراء أمني.
السؤال هو ما إذا كان القيام بذلك يحسن أمان موقع WordPress الخاص بك أم لا.
هناك العديد من الأسباب التي تفسر لماذا يعد القيام بذلك ضروريًا لتحسين أمان موقع WordPress الخاص بك.
أولاً، سيؤدي تغيير عنوان URL لتسجيل الدخول إلى WordPress إلى إخفاء حقيقة أنك تستخدم WP.
يمكن للمتسللين الذين يدركون أنك تستخدم WordPress العثور بسهولة على صفحة تسجيل الدخول الخاصة بك ومحاولة الوصول إليها باستخدام هجمات القوة الغاشمة.
لذا، إذا كان بإمكانك تغيير عنوان URL لتسجيل الدخول إلى WP، فيجب عليك القيام بذلك.
استخدم كلمات مرور قوية وفريدة من نوعها
وفقًا لرودس بيري، مالك دراجة الجليد"يجب أن يكون خط الدفاع الأول ضد الوصول غير المصرح به هو كلمة مرور معقدة وسهلة التذكر.
ابتعد عن استخدام كلمات المرور البسيطة، وفكر بدلاً من ذلك في الاستثمار في إدارة كلمة المرور الذي يمكنه إنشاء وتخزين كلمات مرور معقدة وفريدة من نوعها لمسؤول WordPress وقاعدة البيانات الخاصة بك.
استخدام كلمات مرور بسيطة مثل "password123" أو "admin" أشبه بتسليم المخترقين بطاقة ذهبية. اختر كلمات مرور طويلة، يصعب تخمينها، وتحتوي على مزيج من الأحرف والأرقام والرموز الخاصة. بالإضافة إلى ذلك، فكر في استخدام مدير كلمات المرور إلى
الحد من محاولات تسجيل الدخول
تتضمن الهجمات التي تستخدم القوة الغاشمة محاولة استخدام مجموعات مختلفة من أسماء المستخدمين وكلمات المرور بشكل متكرر حتى يتمكن المخترق من الوصول إلى البيانات بنجاح.
يمكنك منع حدوث ذلك بتحديد حد أقصى لعدد محاولات تسجيل الدخول، مما يُحبط أي هجمات من هذا النوع بفعالية. يمكنك تثبيت هذه الحماية بمساعدة المكونات الإضافية المتاحة.
"يمكن تثبيط استخدام القوة الغاشمة من خلال تحديد حد لعدد المرات التي يمكن للمستخدم محاولة تسجيل الدخول فيها.
"سيكون من الصعب للغاية على المستخدمين غير المصرح لهم الوصول إلى النظام إذا تم تكوين النظام لمنع المزيد من الوصول بعد عدد محدد مسبقًا من المحاولات الفاشلة لتسجيل الدخول"، كما يقول روبرت سميث، رئيس التسويق في النجاح السيكومتري
يحتوي WordPress على إعداد افتراضي يسمح لمستخدميه بتسجيل الدخول عدة مرات كما يحلو لهم.
عندما تكون هذه هي الحالة، يصبح موقع WordPress الخاص بك عرضة لهجمات مثل هجمات القوة الغاشمة.
سيحاول المتسللون استخدام مجموعة مختلفة من اسم المستخدم وكلمة المرور للوصول إلى حسابك.
يعد هذا تهديدًا أمنيًا كبيرًا لا يمكن إصلاحه إلا من خلال الحد من عدد محاولات تسجيل الدخول التي يقوم بها المستخدم.
إخفاء ملفات wp-config و htaccess
في جميع مواقع WordPress، عادةً ما يكون لملف wp-config.php موقع افتراضي.
يجب أن يكون أحد التدابير الأمنية المهمة لموقع WordPress هو تغيير الموقع الافتراضي لملفات wp-config وملفات htaccess.
لحسن الحظ، يسمح WordPress بتخزين الملفات خارج تكوين WordPress وسيظل WP يعمل بشكل طبيعي.
حافظ على تحديث المكونات الإضافية الخاصة بك
الإجابة على سؤال ما إذا كان ينبغي عليك تحديث السمات والمكونات الإضافية الخاصة بـ WordPress بشكل منتظم أم لا هي نعم مؤكدة.
لقد أصبح المتسللون أذكياء ويستخدمون وسائل متطورة للوصول إلى مواقع الويب التي تعمل بنظام WordPress.
يحاول المطورون دائمًا اكتشاف مثل هذه الثغرات الأمنية ثم إصدار إصدارات جديدة تعالج هذه الثغرات.
سيؤدي تحديث المكونات الإضافية والمظاهر الخاصة بـ WordPress إلى تعزيز أمانك من خلال التخلص من الثغرات الأمنية التي يمكن أن تزيد من فرص تعرض موقعك للهجوم.
لكي تكون في الجانب الأكثر أمانًا، تأكد فقط من تنفيذ هذه التحديثات المنتظمة بمجرد إصدارها واختبارها.
الحماية من حقن SQL وهجمات البرامج النصية عبر المواقع (XSS)
تعرّف على الثغرات الأمنية الشائعة، مثل حقن SQL وبرمجة النصوص عبر المواقع، ثم استخدم أفضل ممارسات الصناعة لحماية موقع ووردبريس الخاص بك من التهديدات التي تُشكّلها هذه الثغرات. استخدم إضافات الأمان للمساعدة في حمايتك من هذه المخاطر. "حقن SQL وبرمجة النصوص عبر المواقع نوعان من ناقلات الهجوم الشائعة الاستخدام. تعرّف على هذه الثغرات، ثم ثبّت إضافات الأمان التي توفر الحماية ضدها. تُتيح هذه الإضافات إمكانية تصفية مُدخلات المستخدم وتنقيحها تلقائيًا، مما يُقلل من احتمالية استغلالها"، كما تقترح كيم ليري، المديرة الإبداعية في مشادة كلامية
خاتمة
تزداد شعبية ووردبريس يومًا بعد يوم، وقد زاد استخدامه بشكل ملحوظ.
إذا كان لديك أو تخطط لإنشاء موقع ووردبريس، فأنت على الطريق الصحيح. ستتمتع بالعديد من المزايا.
ولكن هذا لا يعني أن WordPress محصن ضد العديد من التهديدات الإلكترونية الموجودة على الإنترنت اليوم.
يتعين عليك اتخاذ التدابير المناسبة لضمان عدم وقوعك ضحية للهجمات الإلكترونية.
لقد شرحت هذه المقالة عشر طرق يمكن استخدامها لجعل موقع WordPress الخاص بك آمنًا عند تطبيقها عمليًا.
