كيفية تأمين موقع WordPress ، دليل Step To Step لتأمين موقع WordPress الخاص بك

يميل الناس إلى الاعتقاد الخاطئ بأن أي شيء مجاني ومفتوح المصدر أقل أمانًا. لكن الحقيقة هي أن المجتمعات مفتوحة المصدر مثل تلك الموجودة خلف WordPress كبيرة جدًا وتأكد من تحديث WordPress لجميع أحدث ممارسات الأمان وفحوصات الجودة. ما عليك سوى اتباع أفضل الممارسات واتخاذ الاحتياطات اللازمة. يجب أن يكون لديك معرفة واضحة بكيفية تأمين موقع WordPress لحماية موقع الويب الخاص بك.

دعنا نبدأ بدليل خطوة بخطوة حول كيفية تأمين موقع WordPress ، وبعد ذلك يمكنك القراءة للحصول على مزيد من النصائح الإضافية لضمان موقع ويب آمن.

دليل حول كيفية تأمين موقع WordPress

قبل أن تبدأ في تعلم كيفية تأمين موقع WordPress ، افهم سبب الحاجة إليه في المقام الأول. مثل كل نشاط متعلق بالموقع ، يتطلب الأمان وقتك وجهدك ومواردك. يعتبر التعامل مع الأمر على محمل الجد وتخصيص الموارد اللازمة أمرًا مجزيًا تمامًا لأن الفشل في القيام بذلك سيؤدي إلى العديد من الأضرار لسمعة علامتك التجارية ونمو عملك.

وفقًا لأحد التقارير ، فإن أكثر من 70٪ من عمليات تثبيت WordPress عرضة للهجمات من أكثر من 40.000+ موقع WordPress مدرج في أفضل مليون موقع في تصنيفات Alexa.

يمكن أن يؤدي موقع الويب الذي يتعرض للهجوم إلى فقدان الصفقات التجارية ، وفقدان الخصوصية ، وضياع وقت الكمبيوتر ، ويمكن أن يتسبب في خسائر مالية فادحة. ضع في اعتبارك هجمات برامج الفدية الأخيرة التي أدت إلى اضطرار العديد من الشركات إلى الدفع من مجموعاتها لاستعادة بياناتها من المتسللين.

لهذا السبب يجب أن يكون الهدف الرئيسي للتدابير الأمنية هو المنع وليس رد الفعل. يجب عليك استخدام الأدوات والممارسات الصحيحة حتى لا تترك مجالًا للبرامج الضارة والهجمات الإلكترونية لاستغلالك.

الخطوة 1: حافظ على تحديث WordPress الخاص بك.

WordPress مدعوم من قبل مجتمع تطوير متنامٍ يتأكد من الاستمرار في توفير تصحيحات الأمان والحلول لتغطية الثغرة الأمنية المكتشفة. يمكنك الحصول على هذه التحديثات عندما تحافظ على تحديث WordPress الخاص بك بانتظام.

بالنسبة لمعظم التحديثات البسيطة ، يمكنك ضبط إعدادات WordPress لتمكين التحديثات التلقائية. تأكد من تحديث إصدار WordPress الخاص بك إلى أحدث إصدار بمجرد إطلاق إصدار جديد.

لا تمنحك أحدث الإصدارات أمانًا محدثًا فحسب ؛ كما أنها توفر لك أحدث الميزات والتحسينات على ميزاتك الحالية. تعد تحديثات WordPress ضرورية للتشغيل السلس للموقع وهي ضرورية لأمن واستقرار موقعك.

نصيحة للمحترفين: تم إصدار WordPress 5.5 ، قم بتحديث موقع الويب الخاص بك إلى أحدث إصدار الآن.

الخطوة 2: تحديث الإضافات والسمات

إلى جانب WordPress الأساسي ، تحتاج أيضًا إلى تحديث جميع المكونات الإضافية والسمات التي تستخدمها بانتظام.

ربما تستخدم عددًا من المكونات الإضافية والسمات التابعة لجهات خارجية ، والتي قد يكون بعضها سيئ الصيانة. حاول استبدال هذه المكونات الإضافية ببدائل أفضل تضمن التحديثات المنتظمة وميزات الأمان. قد تحمل المكونات الإضافية القديمة ثغرات قد لا تكون على دراية بها. إذا كان موقعك يشغل أي مكون إضافي لا تستخدمه حاليًا ، فقم بإلغاء تنشيطه.

قم بإجراء تدقيق شهري لجميع المكونات الإضافية المتاحة واختر الاحتفاظ فقط بما هو ضروري.

الخطوة 3: استخدم كلمات مرور قوية

هناك العديد من حسابات المستخدمين مثل حساب التوقف ، وحساب مسؤول WordPress ، وحسابات FTP ، وحسابات قاعدة البيانات ، وغير ذلك مما قد تتعامل معه عند تشغيل موقع WordPress. سيتطلب كل حساب من هذه الحسابات معرف بريد إلكتروني وكلمة مرور قوية لتأمين الاستخدام المصرح به.

لذا اختر عناوين بريد إلكتروني مخصصة لهذا الغرض واستخدم كلمات مرور قوية. قد يكون من الصعب تذكر كل كلمات المرور ، لكنه إجراء ضروري لضمان السلامة. يمكنك محاولة استخدام مدير كلمات المرور للمساعدة في إدارة جميع كلمات المرور الخاصة بك.

الخطوة 4: إنشاء مستويات وصول مناسبة

عندما تقوم بتشغيل موقع WordPress كفريق أو لديك العديد من المؤلفين الضيوف الذين يكتبون على موقعك ، تأكد من تعيين أدوار وقدرات مستخدم مناسبة لكل مستخدم.

افهم الأدوار المتاحة في WordPress وأنشئ حسابات مستخدمين فيما يتعلق بالدور المعين فقط.

الخطوة 5: اختر منصة استضافة آمنة

ربما يكون هذا هو أهم جزء في أمان WordPress. يجب أن يكون شريك الاستضافة الجيد قادرًا على توفير تدابير أمنية مناسبة لتجنب أي تسرب للبيانات وهجمات إلكترونية. فيما يلي بعض صفات نظام الاستضافة الجيد الذي يجب عليك التحقق منه أثناء اختيار واحد.

• قدرات مراقبة مستمرة للشبكة لاكتشاف أي نشاط مشبوه.
• أدوات لمنع هجمات DDOS
• توفير خوادم احتياطية في حالة انقطاع التيار الكهربائي أو هجوم إلكتروني مستمر.
• أجهزة وبرامج محدثة لإصلاح أي ثغرة أمنية معروفة
• خطة مناسبة للتعافي من الكوارث والطوارئ لحماية البيانات في حالة وقوع أي حوادث أو حوادث مؤسفة.

تعد خطط الاستضافة المشتركة أكثر خطورة من خوادم الاستضافة المخصصة حيث ستشارك موارد الخادم مع العملاء الآخرين. يمكن أن يضعك هذا في حالة ضعف للتلوث عبر المواقع حيث يمكن استخدام موقع مجاور لاختراق موقعك.

هناك شيء يجب مراعاته ، هناك بعض موفري خدمات استضافة الويب الذين يقدمون بالإضافة إلى الوظائف الإضافية الأمنية المدفوعة لحماية الخادم الأساسية مثل Sitelock.

بشكل عام ، لتحسين الأمان ، حاول اختيار خطة استضافة WordPress مُدارة.

الخطوة 6. لديك حل النسخ الاحتياطي في المكان

احتفظ دائمًا بنسخة احتياطية محدثة لمساعدتك في حالة وقوع هجوم أو حادث كبير. تسمح النسخ الاحتياطية باستعادة أسرع لموقع WordPress الخاص بك والعودة إلى الحالة المناسبة. هناك العديد من الإصدارات المجانية والمدفوعة من مكونات WordPress الإضافية التي تسمح لك بأخذ نسخ احتياطية وتخزينها بأمان في مكان بعيد.

يعد التخزين في مكان بعيد أكثر أمانًا مقارنة بالنسخ الاحتياطية التي يتم إجراؤها على حساب الاستضافة الخاص بك. يمكنك الاستفادة من أي خدمات تخزين سحابي مثل Amazon و Dropbox.

قم بنسخ موقعك احتياطيًا مرة واحدة يوميًا واضبطه على النسخ الاحتياطي تلقائيًا. يمكنك زيادة أو تقليل تردد النسخ الاحتياطي بناءً على تكرار التحديثات الخاصة بك.

الخطوة 7. استفد من إضافات أمان WordPress

قم بتثبيت مكون إضافي جيد للأمان سيساعدك في تدقيق أنشطة موقعك ومراقبتها. يمكن أن تساعدك المكونات الإضافية للأمان أيضًا في تتبع كل تفاعل يقوم به موقعك مع قنوات الجهات الخارجية واكتشاف أي نشاط مشبوه أو محاولة اختراق موقعك.

على سبيل المثال ، يمكن مراقبة أنشطة مثل محاولات تسجيل الدخول الفاشلة وهجمات الروبوت وحظرها في الوقت المناسب باستخدام مكونات الأمان الإضافية. يمكنك أيضًا إجراء فحص للبرامج الضارة وفحوصات سلامة الملفات والمزيد من المهام المتعلقة بالأمان باستخدام المكونات الإضافية للأمان. قم ببعض الأبحاث حول أفضل المكونات الإضافية للأمان المتاحة والتي تناسب احتياجاتك وابدأ في استخدامها.

نصيحة احترافية: بعض المكونات الإضافية للأمان التي يمكنك استخدامها هي Sucuri و Wordfence Security و Defender و VaultPress.

الخطوة 8. قم بتمكين جدار حماية تطبيق الويب

تساعدك جدران الحماية على توفير نظام دفاعي لمنع أي حركة مرور ضارة من الوصول إلى موقعك. هناك مستويان من جدران الحماية تحتاج إلى استخدامهما.

• جدار حماية موقع DNS Level

سيقوم جدار الحماية هذا بتوجيه طلبات الويب الخاصة بك عبر خوادم بروكسي سحابية ويسمح فقط لحركة المرور المشروعة بالوصول إلى موقعك.

• جدار حماية على مستوى التطبيق

سيقوم جدار الحماية هذا بفحص الطلب من جانب الخادم وسيسمح بتشغيل البرامج النصية الخاصة بك فقط إذا تبين أنها طلب أصلي. لكن هذا النوع من جدار الحماية يمكن أن يزيد من تحميل الخادم.

الخطوة 9. قم بالتبديل إلى https

تعد مواقع Https أكثر أمانًا من مواقع HTTP العادية لأنها تقبل الاتصالات الآمنة القائمة على التشفير فقط. تقوم طبقة مقبس SSL بتشفير كل عملية نقل بيانات بين موقع الويب الخاص بك والمتصفح مما يجعل من الصعب على المتسللين الوصول إلى موقع الويب الخاص بك.

تبدأ أسعار شهادات SSL الصادرة عن السلطات الخاصة من 80 دولارًا سنويًا. يمكنك أيضًا اختيار الشهادات المجانية الممنوحة ضمن برنامج Let's Encrypt.

نصائح حول كيفية تأمين موقع WordPress

كل ما تمت مناقشته أعلاه هو الأشياء الأساسية للغاية ، يجب أن تهتم بالأمن. فيما يلي بعض الاقتراحات والنصائح الإضافية لإنشاء موقع ويب مؤمن بإحكام.

استخدم معرف مستخدم مخصص.

تخلص من اسم المستخدم المعتاد admin للحصول على شيء أكثر شخصية ويصعب على المتسللين تخمينه. لحسن الحظ ، يتطلب WordPress منك الآن الاختيار من اسم مستخدم مخصص لحسابك. ولكن عند إجراء عمليات التثبيت بنقرة واحدة ، يتم تعيين اسم المستخدم الافتراضي على admin ، وبالتالي سيتعين عليك تثبيت WordPress لتعيين اسم مستخدم مخصص مناسب يدويًا. في حالة قيامك بالفعل بإعداد admin كاسم المستخدم الخاص بك ، قم بإنشاء اسم مستخدم جديد للمسؤول وحذف الاسم القديم. يمكنك استخدام البرنامج المساعد أو صفحة phpMyAdmin لهذه المهمة.

تعطيل تحرير الملف

لتعطيل محرر الشفرة المدمج في WordPress ، يجب عليك تغيير ملف wp-config.php. اضبط "DISALLOW_FILE_EDIT" على "صحيح". يمكن أيضًا تمكين هذه الميزة عن طريق تقوية حساب WordPress الخاص بك عبر مكونات إضافية للأمان.

عندما لا يكون البرنامج النصي مطلوبًا للتشغيل من أدلة معينة ، فمن الآمن تعطيلها هناك. على سبيل المثال ، يمكنك تعطيل تنفيذ ملف PHP عن طريق إضافة إدخالات ذات صلة إلى ملف htaccess

الحد من محاولات تسجيل الدخول

يمكن إعداد ذلك باستخدام مكون إضافي للأمان يمكنه مراقبة محاولات تسجيل الدخول غير الناجحة من حساب ما وحظره لفترة محددة. هذا يساعد على منع هجمات القوة الغاشمة.

اجعل عمليات تسجيل الدخول الخاصة بك أقوى باستخدام المصادقة ذات العاملين. تتطلب المصادقة ذات العاملين عملية تسجيل دخول من خطوتين حيث بالإضافة إلى كلمة المرور ، يتم إرسال رسالة تحقق أو كلمة مرور لمرة واحدة إلى الهاتف المحمول أو عنوان البريد الإلكتروني للمستخدم. يجب أن تفكر أيضًا في أمان صفحة تسجيل الدخول الخاصة بك. يعد عنوان URL الخاص بتسجيل الدخول إلى WordPress أحد أكثر الأماكن ضعفًا.

يمكنك أيضًا الاستفادة من تطبيقات المصادقة لتوفير طبقة حماية قوية لكل محاولة تسجيل دخول.

تخصيص اصطلاحات تسمية قاعدة البيانات.

بشكل افتراضي ، تبدأ جداول قاعدة البيانات في WordPress ببادئة wp_ ، والتي يمكن أن تسمح للمتسللين بعمل تخمينات على أسماء الجداول. حاول تغيير هذه البادئات إلى تسمية أكثر تخصيصًا توفر بعض الحماية الإضافية

أضف حماية إضافية بكلمة مرور على مستوى جانب الخادم لكبح أي محاولات لهجمات DOS.

تعطيل فهرسة الدليل والتصفح.

عندما يتمكن المتسللون من البحث في الدلائل والملفات الخاصة بك ، فقد يتعرفون على أي ثغرة ويحاولون الاستفادة منها. يمكن القيام بهذا الإعداد بتعديل ملف htaccess.

تعطيل XML-RPC. تمت إضافة XML RPC من WordPress 3.5 كطريقة لتحسين معالجة الطلب. لكن هذا يمكن أن يكون بمثابة باب خلفي لتسهيل هجمات القوة الغاشمة من قبل المتسللين. لذلك ، إذا لم يكن لديك أي استخدام لـ XML-RPC في موقعك ، فتأكد من تعطيله عن طريق تعديل ملف htaccess أو استخدام جدار حماية.

تسجيل خروج المستخدمين الخمول بعد فترة من وقت الخمول.

يمكنك الاستفادة من المكون الإضافي لتسجيل الخروج غير النشط لتسجيل خروج المستخدمين غير النشطين تلقائيًا.

أضف أسئلة الأمان إلى شاشة تسجيل الدخول للحصول على مستوى مصادقة إضافي.

قم بإجراء عمليات الفحص

قم بتشغيل عمليات فحص البرامج الضارة بانتظام ، وإذا تم العثور على أي برامج ضارة أو ملفات غير مهمة ، فتأكد من تنظيفها. يمكن أن يكون إصلاح موقع ويب تم اختراقه عملاً صعبًا. من الأفضل تعيين متخصص أمني أو مشرف موقع متمرس لرعايته. إذا كنت تحاول القيام بذلك بنفسك ، فتأكد من البحث جيدًا ، ونسخ الملفات المهمة احتياطيًا ، وابدأ في إصلاح موقعك.

اختر شركة استضافة جيدة تتمتع بطبقات أمان متعددة.

عندما تقوم بتشغيل موقع ويب يتضمن بيانات عميل حساسة ، فأنت بحاجة إلى الاستثمار للحفاظ على أمان البيانات. لذلك لا تنجذب إلى اختيار خطط استضافة أرخص تفتقر إلى التدابير الأمنية. اجعل الأمن هو الشغل الشاغل عند اختيار منصة الاستضافة الخاصة بك.

احصل على السمات والإضافات الخاصة بك من مصادر تم التحقق منها. قد تبدو السمات والإضافات المجانية مغرية ، ولكن بدون الصيانة والدعم المناسبين ، يمكن أن تحمل هذه المكونات الإضافية أو السمات القديمة كتل تعليمات برمجية ضعيفة يمكن أن تعرض أمان موقعك للخطر.

بالإضافة إلى ذلك ، قم بإخفاء ملفات WordPress الأساسية مثل htaccess و wp-config.

تغليف

تذكر المبادئ الأساسية لتأمين أي برنامج - تقييد الوصول وإعداد مستويات الترخيص المناسبة. بالإضافة إلى ذلك ، احتواء المكونات الهامة في قاعدة البيانات وحمايتها. تأكد من تحديث نظامك بانتظام والحفاظ على النسخ الاحتياطية في مكان بعيد آمن. ودائمًا استخدم المكونات الإضافية والسمات من مصادر موثوقة فقط.

استخدم كلمات مرور قوية ، ولا تشارك كلمات المرور الخاصة بك ، وقم بتقييد امتيازات المستخدم ، وراقب نشاط الموقع بانتظام. استخدم أدوات الأمان لمساعدتك في المراقبة واتخاذ إجراءات استباقية لتأمين موقعك.

وأخيرًا ، تذكر الإبلاغ عن أي مشكلة أمنية وطلب المساعدة من الدعم الفني لإجراء مزيد من التحقيق. لا تتردد في تعيين خبراء للتعامل مع المشاكل الأمنية.

لذا ، نعم ، هذا كل شيء من جانبي ، آمل أن تفهم كيفية تأمين موقع WordPress.