كيفية إجراء تدقيق أمان WordPress

إن تأمين موقع WordPress الخاص بك ليس صفقة فردية. بغض النظر عن مدى ثقتك في المكون الإضافي للأمان أو مدى شمولك في تقوية موقع الويب ، فإن موقع الويب الآمن اليوم لا يصنع موقعًا آمنًا غدًا. لإبقاء المتسللين في مأزق ، عليك إجراء عمليات تدقيق أمنية على WordPress بانتظام وملء ثغرات الأمان التي تجدها.

تتقدم أساليب القرصنة على مواقع الويب دائمًا ، ومعها كذلك توجد تدابير وقائية للحفاظ على أمان موقعك. فكر في الأمر كدورة. كلما كان موقع الويب أكثر أمانًا ، يجب أن يكون المتسللون أكثر إبداعًا للوصول إليه ، مما يعني أن موقع الويب الخاص بك يجب أن يصبح أكثر أمانًا ، وهكذا.

تهدف إلى إجراء تدقيق أمان على WordPress كل ثلاثة أشهر على الأقل. كل شهر أفضل ، وكل أسبوع (أو حتى يوميًا ، اعتمادًا على مدى حساسية موقعك) هو الأفضل. وبالطبع ، إذا شعرت أن هناك شيئًا ما خطأ في موقعك ، فقم بإجراء تدقيق أمني على الفور. يجب أن يرفع أي مما يلي علامة حمراء:

• موقع الويب الخاص بك بطيء وبطيء فجأة.
• هناك انخفاض كبير في حركة المرور على موقع الويب دون سبب واضح.
• هناك حسابات جديدة ، محاولات تسجيل الدخول أو طلبات "نسيت كلمة المرور".
• الروابط الجديدة التي لم تضفها موجودة على موقعك.

لا بد من اتباع الخطوات التالية للحفاظ على موقعك في أفضل شكل مع مراعاة السلامة. مع وجود قائمة مرجعية في متناول اليد ، ستجعل عمليات التدقيق الخاصة بك مبسطة بدلاً من إجهادها.

نظرة عامة على تدقيق أمان WordPress

في وقت أو آخر ، سيواجه كل موقع ويب WordPress نوعًا من مشكلات الأمان. الشائع هو المكون الإضافي أو المظهر الذي يعاني من ثغرة أمنية ، مما يسمح للمتسللين بالدخول مباشرة إلى موقعك. بمجرد اختراق موقعك ، يمكن أن يحدث أي عدد من الأشياء:

• سرقة البيانات الشخصية للعملاء
• عرض الإعلانات والمحتوى غير القانوني
• تم تحويل حركة المرور إلى مكان آخر
• بيانات WordPress مشفرة أو محذوفة أو مباعة

هذا أكثر بكثير من مجرد صداع أو موقع متعطل لبضع ساعات. يمكن للقراصنة الاحتفاظ ببياناتك للحصول على فدية. يمكن بيع المعلومات من موقعك على شبكة الويب المظلمة. يمكن لـ Google وضع موقعك في القائمة السوداء لعرض البريد العشوائي على صفحات الويب. يمكن للعملاء مقاضاتك في حالة سرقة معلومات بطاقة الائتمان الخاصة بهم. يمكن إصابة مواقع الويب الأخرى بمجرد وصول المتسللين إلى موقعك.

تحدد عمليات تدقيق الأمان في WordPress هذه الثغرات الأمنية حتى تتمكن من تصحيحها على الفور - قبل أن يجد المتسلل طريقه إليه. وستتأكد من أن خطوات الأمان التي تتخذها حاليًا لا تزال تعمل ، وستكتشف أيضًا مكانك بحاجة الى مزيد من الحماية.

قم بتقييم المكون الإضافي للأمان الذي تستخدمه

يعد المكون الإضافي للأمان في WordPress أحد أهم الأدوات لحماية موقعك. تأكد من أن المكون الإضافي للأمان لا يزال يعمل بالطرق التالية:

• سجل النشاط: هذا يتتبع مستخدمي موقعك ، بما في ذلك من قاموا بتسجيل الدخول ومتى ، ومحاولات تسجيل الدخول الفاشلة ، وتغييرات الموقع.
• جدار الحماية: سيؤدي هذا إلى حظر الروبوتات والمتسللين وعناوين IP التي تحاول الوصول إلى موقعك.
• محاولات تسجيل الدخول: ستعمل المكونات الإضافية للأمان عالية الجودة على فرض كلمات مرور قوية ، وتتطلب مصادقة ثنائية وتحد من محاولات تسجيل الدخول.
• حماية تسجيل الدخول: يحظر هذا هجمات القوة الغاشمة ، وهي عندما يحاول المتسللون مجموعات مختلفة من أسماء المستخدمين وكلمات المرور لتسجيل الدخول.
• عمليات مسح وتنظيف البرامج الضارة: يجب أن يتم تشغيل هذا يوميًا ، ويقوم بفحص عميق لقاعدة بيانات موقعك وملفاته ومجلداته بحثًا عن البرامج الضارة ومسح أي شيء يعثر عليه.
• تنبيهات الوقت الفعلي: يجب أن يخطرك المكون الإضافي على الفور إذا كان هناك أي شيء مريب يحدث في موقع الويب الخاص بك.

ليس لديك مكون إضافي للأمان حتى الآن؟ ضع في اعتبارك الحصول على واحدة لتكون خطوتك الأولية في تدقيق أمان WordPress الخاص بك. لقد جمعنا أفضل 6 إضافات أمان في WordPress للاختيار من بينها.

اختبر حل النسخ الاحتياطي لموقع الويب الخاص بك

إذا حدث خطأ ما على موقعك وكان من المستحيل إصلاحه أو تعقيده ، فإن وجود نسخة احتياطية من WordPress يعني أنه يمكنك استعادة موقعك إلى حالته السابقة قبل حدوث المشكلة. ومع ذلك ، إذا فشلت النسخة الاحتياطية الخاصة بك ، فلن يكون لديك شيء لاستعادته ، مما يعني أنك قد تكون عالقًا مع موقع مصاب أو به خلل. من الناحية المثالية ، ستستخدم حلاً للنسخ الاحتياطي (سواء كان ذلك يوفره مضيفك أو مكونًا إضافيًا تستخدمه) يسمح لك باختبار النسخ الاحتياطية ، مثل BlogVault. قد ترغب أيضًا في قراءة مقالتنا مع أفضل 6 إضافات للنسخ الاحتياطي في WordPress.

انتقل إلى مدير WordPress وإعداد FTP

باستخدام WordPress ، يمكن أن يكون لديك عدة أشخاص يسجلون الدخول للعمل في مشاريع مختلفة ، لكن هذا لا يعني أن كل شخص لديه معلومات تسجيل دخول يجب أن يكون لديه حق الوصول الكامل إلى موقع الويب الخاص بك. وعندما يتعلق الأمر بعميل FTP ، فإن السماح لعدة أشخاص بالوصول يعني أنه يمكنهم إجراء تغييرات على موقعك ... حسنًا ، كل شيء.

عندما تضيف مستخدمًا جديدًا في WordPress ، فإنك تقوم بتعيين دور له (ويمكنك تعديل ملفه الشخصي لتغيير دوره أيضًا):

الأدوار المختلفة لها قدرات مختلفة. على سبيل المثال ، يمكن للمسؤول الوصول إلى جميع أدوات إدارة الموقع (مثل تغيير السمة أو تثبيت مكون إضافي) ، ولكن لا يمكن للمساهم سوى كتابة وإدارة منشوراته الخاصة. فيما يلي تفصيل شامل للأدوار المختلفة وقدراتها.

لتدقيق أمان WordPress الخاص بك ، قم بما يلي:

• تعرف على مستخدمي WordPress الذين لديهم وصول على مستوى المسؤول.
• حدد ما إذا كان كل هؤلاء المستخدمين بحاجة إلى هذا المستوى من الوصول (وما إذا كان يجب أن يكون الآخرون الذين لديهم وصول محدود هم مشرفون).
• تقليل الأذونات وتقييد الوصول عن طريق تحديث أدوار المستخدم لهؤلاء الأفراد.
• إذا لم تتعرف على المستخدمين في لوحة المعلومات ، فاحذفهم - فقد يكونوا حسابات أنشأها أحد المتطفلين.
• هل أي أسماء مستخدمين هي ببساطة “admin”؟ هذا اسم مستخدم شائع جدًا وهو اسم يحاول المتسللون استخدامه غالبًا للوصول إلى موقعك. قم بإنشاء حساب مستخدم جديد للشخص واحذف الحساب القديم.
• احذف حسابات FTP للمستخدمين الذين لا يحتاجون إلى هذا المستوى العالي من الوصول.

أخيرًا ، إذا كان موقعك يسمح للأعضاء ، فأنت تريد التأكد من أنه يتعين عليهم إنشاء حساب بالفعل عند التسجيل وأن دورهم الافتراضي لا يسمح بوصول المسؤول. اذهب إلى الإعدادات > عام . قم بإلغاء تحديد المربع الموجود بجوار أي شخص يمكنه التسجيل . بعد ذلك ، حدد الخيار المناسب ضمن الدور الافتراضي للمستخدم الجديد .

تأكد من أن WordPress محدث

قد يتم تشغيل هذا تلقائيًا ، ولكن لا يزال من المفيد التحقق مرة أخرى من تحديث WordPress إلى أحدث إصدار له. لا تقوم التحديثات فقط بإصلاح الثغرات الأمنية - بل إنها تعمل أيضًا على تحسين الأداء وإضافة ميزات. انتقل إلى لوحة التحكم > التحديثات لمعرفة ما إذا كان أحدها جاهزًا.

تنظيف الإضافات والسمات الخاصة بك

يمكن أن تزيد المكونات الإضافية من قدرة موقع الويب الخاص بك ، ولكنها أيضًا عرضة للهجمات ، خاصة إذا استمرت دون تحديثها لفترة طويلة. سيبقى المطورون الموثوق بهم على دراية بالثغرات الأمنية للمكون الإضافي الخاص بهم ويصدرون تحديثات مع التصحيحات. أثناء التحديث الأمني ​​لـ WordPress ، توجه إلى قائمة المكونات الإضافية وقم بما يلي:

• قم بإلغاء تنشيط وإلغاء تثبيت أي مكونات إضافية لم تعد تستخدمها أو لا تعرفها.
• قم بتحديث أي مكونات إضافية متبقية تحتوي على تحديثات جاهزة.
• إذا كنت تستخدم مكونًا إضافيًا لم يتلق تحديثات من المطور ، ففكر في استخدام مكون إضافي آخر له نفس الوظيفة - المكون الإضافي القديم يكون عرضة لمشاكل الأمان.

حتى إذا كنت تقوم بتدقيق أمان WordPress مرة كل شهر أو نحو ذلك ، فمن الجيد التحقق من المكونات الإضافية بانتظام لتحديثها حسب الحاجة. قم أيضًا بإزالة أي سمات لا تستخدمها حاليًا أو لا تتوقع أن تحتاجها. تمامًا كما هو الحال مع المكونات الإضافية ، تشكل السمات خطر حدوث ثغرات أمنية ، لذلك من الأفضل الحفاظ على موقع الويب الخاص بك خاليًا من الفوضى قدر الإمكان.

ابق بأمان هناك!

لا تتوقف عن العمل في أجزاء أخرى من عملك - ابتكار منتجات أو خدمات جديدة ، وتسويقها ، وبيعها ، وما إلى ذلك. يجب ألا يكون أمان موقع الويب الخاص بك مختلفًا. يمكن أن تؤدي مشكلة صغيرة بسرعة إلى اختراق تهدد الأعمال إذا لم تكتشفها في الوقت المناسب ، ولكن دون معرفة مكان وجود المشكلة ، لن تعرف الإصلاحات التي يجب تنفيذها.

الحفاظ على موقع الويب الخاص بك آمنًا هو عملية مستمرة ، كما أن وجود قائمة مراجعة تدقيق الأمان في WordPress يوفر عليك عناء محاولة تذكر ما يجب القيام به كل شهر. بالإضافة إلى ذلك ، كلما زادت قدرتك على التشغيل التلقائي باستخدام مكون إضافي للأمان ، كان ذلك أفضل. يمكن أن تكون قائمة تدقيق الأمان في WordPress أصغر بكثير إذا كان معظم ما عليك القيام به هو التحقق جيدًا من أن المكون الإضافي لا يزال يعمل بشكل صحيح. لدينا لمحات عامة متعمقة لمراجعات اثنين من الإضافات الأمنية الرائدة ، Sucuri و Wordfence.