أهم 10 أشياء يجب القيام بها بعد تثبيت iThemes Security Pro

نشرت: 2020-09-17

iThemes Security Pro مليء بأكثر من 50 طريقة أمان لتأمين وحماية موقع WordPress الخاص بك. هذا الكثير من الخيارات!

إذا وجدت نفسك لا تعرف من أين تبدأ بعد تثبيت iThemes Security Pro ، فلا تقلق ، فقد قمنا بتغطيتك. في هذا المنشور ، سنغطي أهم 10 أشياء يجب القيام بها بعد تثبيت iThemes Security Pro.

جدول المحتويات

    1. قم بتشغيل فحص الأمان

    هناك عدة أسباب تدفعك إلى تشغيل iThemes Security Pro Security Check . يمكّن فحص الأمان جميع إعدادات iThemes Security Pro التي تعمل بشكل جيد في جميع البيئات ، بما في ذلك تلك ذات الموارد المحدودة.

    دعنا نتحدث عن الإعدادات التي تم تمكينها بواسطة فحص الأمان.

    • الحماية من القوة الغاشمة المحلية - تحتفظ ميزة الحماية من القوة الغاشمة المحلية بتتبع محاولات تسجيل الدخول غير الصالحة التي تتم بواسطة عناوين IP وأسماء المستخدمين. بمجرد أن يقوم المهاجم بالعديد من محاولات تسجيل الدخول غير الصالحة المتتالية ، سيتم حظره.
    • المستخدمون المحظورون - ميزة المستخدمين المحظورين تتعقب عمليات تأمين IP. بمجرد أن يصبح عنوان IP مجرمًا متكررًا ، سيضيف iThemes Security Pro عنوان IP إلى قائمة المضيفين المحظورين ويمنع IP من القدرة على عرض موقع الويب الخاص بك ، ناهيك عن محاولة تسجيل الدخول.
    • نُسخ قاعدة البيانات الاحتياطية - تُنشئ ميزة نُسخ قاعدة البيانات الاحتياطية نُسخًا احتياطية من قاعدة بيانات موقعك.
    • الروابط السحرية - تتيح لك ميزة Magic Links طلب بريد إلكتروني يحتوي على رابط تسجيل دخول فريد عندما يتم قفل اسم المستخدم الخاص بك. سيسمح لك استخدام الرابط المرسل بالبريد الإلكتروني بتجاوز الحظر ، بينما يظل مهاجمو القوة الغاشمة في وضع مغلق.
    • تسجيل الدخول بدون كلمة مرور - تعد ميزة تسجيل الدخول بدون كلمة مرور طريقة جديدة للتحقق من هوية المستخدم دون الحاجة إلى كلمة مرور لتسجيل الدخول.
    • فحص الموقع - يقوم Site Scan بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.
    • المصادقة الثنائية - المصادقة الثنائية هي عملية للتحقق من هوية الشخص من خلال طلب طريقتين منفصلتين للتحقق.
    • تسجيل المستخدم - تقوم ميزة تسجيل المستخدم بما تعتقده بالضبط ؛ يقوم بتسجيل إجراءات المستخدم مثل تسجيل الدخول وحفظ المحتوى.
    • تعديلات WordPress - لا يتم تمكين جميع خيارات WordPress Tweaks بواسطة فحص الأمان. تم تمكين طرق الأمان الأساسية مثل تعطيل محرر الملفات ، وحظر محاولات المصادقة المتعددة لكل طلب XML-RPC ، وتقييد الوصول إلى REST API ، وتخفيف هجوم اجتياز ملف المرفقات .

    سيساعد تشغيل فحص الأمان أيضًا في منع أي عمليات إغلاق غير مقصودة للخادم من خلال تحديد خادم موقع الويب الخاص بك وعناوين IP الخاصة بالاسترجاع. سيتحقق فحص الأمان أيضًا من وصول عناوين IP البعيدة إلى موقع الويب الخاص بك للحماية من انتحال IP.

    بالإضافة إلى ذلك ، يتحقق Security Check… لمعرفة ما إذا كان الخادم الخاص بك به شهادة SSL ممكّنة وما إذا كانت طلبات صفحة HTTP الخاصة بك تتم إعادة توجيهها إلى HTTPs. تحمي الصفحة التي يتم تحميلها باستخدام بروتوكول HTTPs زوار موقعك بتشفير SSL. تقوم بفرض إعادة توجيه HTTPS من قائمة فحص الأمان.

    أخيرًا ، سيطالبك فحص الأمان بتنشيط ترخيص Network Brute Force Protection الخاص بك. تساعد شبكة القوة الغاشمة مستخدمي iThemes Security على حماية بعضهم البعض. سيتم الإبلاغ عن عناوين IP التي يتم حظرها لمهاجمة موقع الويب الخاص بك ، إلى جانب عنوان IP المحظور لمواقع الويب الأخرى المحمية بواسطة iThemes Security ، إلى شبكة Brute Force Network. بمجرد أن يكون عنوان IP في شبكة القوة الغاشمة ، سيتم حظره من جميع المواقع في الشبكة.

    2. تمكين الترقيع التلقائي للثغرات الأمنية

    يمكّن فحص الأمان فحص الموقع الذي سيفحص موقع الويب الخاص بك تلقائيًا بحثًا عن نقاط الضعف المعروفة في WordPress والمكوِّن الإضافي والسمات. هذا شيء رائع ، ولكن يمكن لـ iThemes Security Pro أن يخطو خطوة أخرى إلى الأمام. إذا تم العثور على ثغرة أمنية على موقع الويب الخاص بك ، يمكن لـ iThemes Security Pro تطبيق التصحيح تلقائيًا إذا كان متاحًا.

    كل ما عليك فعله هو تمكين خيار التحديث التلقائي إذا كان يعمل على إصلاح الثغرة الأمنية في إعدادات إدارة الإصدار .

    3. حظر البرامج الآلية السيئة باستخدام Google reCAPTCHA v3

    تحمي ميزة reCAPTCHA من Google في iThemes Security Pro موقعك من الروبوتات السيئة. تحاول هذه الروبوتات اقتحام موقع الويب الخاص بك باستخدام كلمات مرور مخترقة أو نشر بريد عشوائي أو حتى كشط المحتوى الخاص بك. تستخدم reCAPTCHA تقنيات متقدمة لتحليل المخاطر للتمييز بين البشر والروبوتات.

    ما يميز reCAPTCHA الإصدار 3 هو أنه يساعدك على اكتشاف حركة مرور الروبوتات المسيئة على موقع الويب الخاص بك دون أي تفاعل من المستخدم. بدلاً من إظهار اختبار CAPTCHA ، يراقب reCAPTCHA v3 الطلبات المختلفة التي يتم إجراؤها على موقعك ويعيد النتيجة لكل طلب. تتراوح النتيجة من 0.01 إلى 1. وكلما زادت الدرجة التي قدمتها reCAPTCHA ، زادت الثقة في أن الإنسان قدم الطلب. كلما انخفضت هذه النتيجة التي أرجعها reCAPTCHA ، زادت الثقة في أن الروبوت قد قام بالطلب.

    يسمح لك iThemes Security Pro بتعيين حد حظر باستخدام نتيجة reCAPTCHA. توصي Google باستخدام 0.5 كإعداد افتراضي. ضع في اعتبارك أنه يمكنك حظر المستخدمين الشرعيين عن غير قصد إذا قمت بتعيين العتبة عالية جدًا.

    يمكنك تمكين reCAPTCHA في تسجيل مستخدم WordPress الخاص بك وإعادة تعيين كلمة المرور وتسجيل الدخول والتعليقات. يسمح لك iThemes Security Pro بتشغيل برنامج Google reCAPTCHA النصي على جميع الصفحات لزيادة دقة الروبوت مقابل النتيجة البشرية.

    4. تأمين حساب المستخدم الخاص بك مع تطبيق 2FA

    يقدم لك iThemes Security Pro ثلاث طرق مختلفة للمصادقة الثنائية لتأمين مستخدمي WordPress.

    1. تطبيق الهاتف المحمول - تتطلب منك هذه الطريقة استخدام تطبيق جوال مجاني ذي عاملين مثل Authy.
    2. البريد الإلكتروني - طريقة البريد الإلكتروني ذات العاملين سترسل رموزًا حساسة للوقت إلى عنوان البريد الإلكتروني للمستخدم.
    3. رموز النسخ الاحتياطي - مجموعة من أكواد الاستخدام لمرة واحدة والتي يمكن استخدامها لتسجيل الدخول في حالة فقد الطريقة الأساسية ثنائية العاملين.

    طريقة تطبيق الهاتف هي الأكثر أمانًا ، لذلك دعونا نلقي نظرة على كيفية إضافة هذا المستوى من الأمان إلى مستخدمك.

    أول شيء عليك القيام به هو تنزيل تطبيق 2fa مثل Authy ثم الانتقال إلى صفحة ملف تعريف مستخدم WordPress. بمجرد دخولك إلى ملف تعريف WordPress الخاص بك ، قم بالتمرير لأسفل حتى ترى عنوان خيارات المصادقة الثنائية. تأكد من تحديد المربعات لتمكين طريقة تطبيق الهاتف المحمول وجعلها النموذج الأساسي لـ 2fa. الآن انقر فوق الزر عرض رمز الاستجابة السريعة والمفتاح السري .

    من هاتفك ، امسح رمز الاستجابة السريعة للاستمرار في ربط السر بتطبيق هاتفك المحمول.

    أدخل الآن الرمز المكون من 6 أرقام من هاتفك في متصفح الويب الخاص بك وانقر فوق " تحقق" لإنهاء الإعداد.

    ملاحظة: تأكد من النقر فوق الزر تحديث الملف الشخصي قبل مغادرة صفحة ملف التعريف الخاص بك.

    5. إنشاء لوحة الأمن

    لوحة معلومات أمان iThemes هي لوحة معلومات ديناميكية تحتوي على جميع إحصائيات نشاط أمان موقع الويب الخاص بك في مكان واحد. تعمل لوحة معلومات الأمان على إضفاء الحيوية على سجلات الأمان الخاصة بك من خلال تجميع الإدخالات ذات الصلة معًا وعرضها بطريقة مناسبة لك.

    تقوم لوحة المعلومات بفرز نشاط أمان موقع الويب الخاص بك إلى بطاقات أمان . فكر فيهم مثل بطاقات البيسبول. لا تمنحك بطاقات البيسبول معلومات عن كل لاعب في MLB. البطاقات تهتم فقط بالشخص المصور في المقدمة. وبالمثل ، فإن بطاقات الأمان لا تظهر لك كل إدخال في السجل. بدلاً من ذلك ، يقدمون لك فقط المعلومات المتعلقة بهذه البطاقة المحددة.

    الـ 11 بطاقة أمنية

    1. فحص الموقع

    اطلع على محفوظات عمليات فحص موقع iThemes Security Pro.

    2. ملفات تعريف أمان المستخدم

    شاهد قائمة بكل مستخدم إداري على الموقع. انقر فوق أي اسم مستخدم للحصول على نظرة عامة على الأمان.

    3. ملف تعريف أمان المستخدم

    قم بتثبيت ملف تعريف مستخدم واحد في لوحة المعلومات الخاصة بك ، واطلع على دور المستخدم وقوة كلمة المرور والعمر ، سواء كان لديهم عاملين ممكّنين أم لا ، ووقت آخر ظهور لهم على الموقع.

    4. عمليات تأمين نشطة

    عرض جميع عمليات الإغلاق النشطة. إذا قام عميلك بإغلاق نفسه ، يمكنك بسرعة مسح الإغلاق من هذه البطاقة.

    5. تأمين

    انظر إلى تاريخ عمليات الإغلاق على موقعنا.

    6. نظرة عامة على الحظر

    عرض محفوظات إذا تم حظر عناوين IP بواسطة أمان iThemes.

    7. هجمات القوة الغاشمة

    يعرض رسمًا بيانيًا يوضح نشاط القوة الغاشمة.

    8. الأجهزة الموثوقة

    يعرض رسمًا بيانيًا للأجهزة المعتمدة والمعتمدة تلقائيًا والمحظورة.

    9. 404 ثانية

    اطّلع على نظرة عامة على أخطاء 404 على مدار الثلاثين يومًا الماضية.

    10. النسخ الاحتياطي لقاعدة البيانات

    عرض محفوظات النسخ الاحتياطي لمدة 30 يومًا وإنشاء نسخة احتياطية جديدة لقاعدة البيانات.

    11. تحديث الملخص

    اعرض عدد تحديثات WordPress والإضافات والقوالب خلال فترة زمنية محددة.

    12. المستخدمون المحظورون

    إدارة قائمة المضيفين المحظورين في موقع الويب الخاص بك.

    كيفية إنشاء لوحة معلومات أمنية في iThemes Security Pro

    لبدء استخدام لوحة معلومات الأمان ، تأكد من تمكينها في الصفحة الرئيسية لإعدادات الأمان.

    بمجرد التمكين ، يمكنك إنشاء لوحة معلومات الأمان الأولى من قائمة لوحة تحكم المسؤول وإعدادات الأمان في قائمة مسؤول WordPress .

    بعد ذلك ، يمكنك إنشاء لوحة معلومات جديدة باستخدام لوحة القيادة الافتراضية في iThemes Security أو إنشاء واحدة من البداية. أدخل اسمًا للوحة الخاصة بك ، ثم انقر فوق الزر إنشاء لوحة.

    إنشاء صفحة لوحة القيادة

    الهدف من لوحة معلومات الأمان هو تزويدك بالمعلومات التي تريدها بطريقة منطقية بالنسبة لك. يمكنك البدء بلوحة فارغة وإضافة البطاقات التي تهمك فقط.

    لوحة معلومات الأمان الديناميكية قابلة للتخصيص بالكامل. أنت تختار البطاقات التي تريد رؤيتها ، والترتيب الذي تظهر به على شاشتك ، وكم تريد أن تكون كل بطاقة كبيرة أو صغيرة. هذه هي لوحة التحكم التي أنشأتها لك.

    6. رفع مستوى لعبة كلمة المرور الخاصة بك مع متطلبات كلمة المرور

    كلمات المرور هي خط دفاعك الأول ضد الهجمات على تسجيل الدخول إلى WordPress الخاص بك. ميزة متطلبات كلمة المرور في iThemes Security Pro ليست فقط سياسة كلمة المرور الخاصة بك ، ولكنها أيضًا أداة الإنفاذ الخاصة بك.

    يمكنك إجبار أعضاء مجموعة مستخدمين على استخدام كلمة مرور قوية ، واختيار وقت انتهاء صلاحية كلمة المرور ، ورفض كلمات المرور المخترقة ، وفرض تغيير كلمات المرور على مستوى الموقع لجعل الجميع يمتثلون لسياسة كلمة المرور القوية الجديدة.

    • قوة كلمات مرور قوية - قوة مجموعة من المستخدمين لاستخدام كلمة مرور قوية.
    • انتهاء صلاحية كلمة المرور - قم بتعيين الحد الأقصى لعدد الأيام التي يمكن استخدام كلمة المرور فيها قبل انتهاء صلاحيتها.
    • رفض كلمات المرور المخترقة - إجبار المستخدمين على استخدام كلمات المرور التي لم تظهر في أي خروقات لكلمات المرور تتبعها Have I Been Pwned.
    • فرض تغيير كلمة المرور - إجبار جميع المستخدمين على تغيير كلمة المرور الخاصة بهم عند تسجيل الدخول التالي.

    7. ضبط رسائل البريد الإلكتروني الخاصة بإشعارات الأمان

    يحتوي مركز الإشعارات على جميع الأدوات التي تحتاجها لإدارة إشعارات البريد الإلكتروني التي ينشئها iThemes Security Pro.

    توجد وحدة مركز الإشعارات في الصفحة الرئيسية لإعدادات الأمان. انقر فوق زر تكوين الإعدادات لبدء تخصيص إشعارات البريد الإلكتروني.

    أول شيئين تريد إعدادهما في مركز الإشعارات هما من البريد الإلكتروني وقائمة المستلمون الافتراضيون .

    من البريد الإلكتروني هو عنوان البريد الإلكتروني الذي سيستخدمه iThemes Security Pro لإرسال الإخطارات. المستلمون الافتراضيون هي قائمة الأشخاص الذين سيتلقون إشعارًا بالبريد الإلكتروني ما لم ينص على خلاف ذلك.

    يمكنك أيضًا تخصيص المستلمين لكل إشعار بريد إلكتروني يتم إرساله من iThemes Security Pro. لنفترض أن إشعار البريد الإلكتروني الوحيد الذي تريد أن يراه العميل هو ملخص الأمان. للقيام بذلك ، قم بالتمرير لأسفل إلى Security Digest إعدادات البريد الإلكتروني وانقر فوق تبديل المستلم ، وحدد مخصص .

    حدد المربع بجوار اسم مستخدم العميل لإضافته إلى قائمة البريد الإلكتروني لخلاصة الأمان.

    يمكن تخصيص الموضوع والرسالة لمعظم رسائل البريد الإلكتروني في مركز الإشعارات. يمكنك الاستفادة من علامات البريد الإلكتروني المختلفة لتخصيص رسائل البريد الإلكتروني. على سبيل المثال ، يمكنك استخدام علامة username لتضمين اسم مستخدم المستلمين في البريد الإلكتروني.

    8. حماية لوحة معلومات WP الخاصة بك باستخدام الأجهزة الموثوقة

    تعمل ميزة iThemes Security Pro Trusted Devices على تقييد الوصول إلى لوحة معلومات WordPress إلى قائمة الأجهزة المعتمدة.

    بمجرد السماح لـ iThemes Security Pro بمعرفة أجهزتك ، يمكن للأجهزة الموثوقة حماية موقعك بطريقتين مختلفتين:

    1. تقييد إمكانيات الأجهزة غير المعروفة - عندما يقوم شخص ما بتسجيل الدخول باستخدام جهاز غير معروف ، يمكنك تقييد إمكاناته على مستوى المسؤول ومنعهم من تحرير تفاصيل تسجيل الدخول الخاصة بهم. سيقوم iThemes Security Pro بعد ذلك بإرسال بريد إلكتروني إلى العنوان المحدد في ملف تعريف مستخدم WordPress الخاص بهم.

    سيكون لدى البريد الإلكتروني لتسجيل الدخول غير المعروف خيار تأكيد الجهاز أو حظره. إذا تم النقر فوق الزر " تأكيد الجهاز" ، فسيتم استعادة إمكانيات المسؤول للمستخدم. إذا تم النقر فوق الزر This Was Not Me ، فسيقوم iThemes Security Pro بتسجيل خروج المستخدم غير الشرعي والجهاز قائمة الأجهزة المرفوضة في ملف تعريف WordPress.

    2. الحماية من اختطاف الجلسة - اختطاف الجلسة هو هجوم يتم فيه الاستيلاء على جلسة المستخدم من قبل المهاجم. على سبيل المثال ، يقوم WordPress بإنشاء ملف تعريف ارتباط للجلسة في كل مرة تقوم فيها بتسجيل الدخول إلى موقع الويب الخاص بك. ولنفترض أن لديك امتداد متصفح به ثغرة أمنية تسمح للمتسللين باختراق ملف تعريف ارتباط المتصفح الخاص بك. بعد اختطاف جلستك ، سيتمكن المخترق من البدء في إجراء تغييرات ضارة على موقع الويب الخاص بك.

    إذا تغير جهاز المستخدم أثناء الجلسة ، فسيقوم iThemes Security بتسجيل خروج المستخدم تلقائيًا لمنع أي نشاط غير مصرح به على حساب المستخدم ، مثل تغيير عنوان البريد الإلكتروني للمستخدم أو تحميل المكونات الإضافية الضارة.

    9. استخدام مجموعات المستخدمين لإدارة أمان المستخدم

    تتيح لك وحدة مجموعات المستخدمين في iThemes Security Pro إمكانية معرفة الإعدادات التي تؤثر على تجربة المستخدم بسرعة وإجراء التعديلات عليها من مكان واحد.

    لتسهيل إدارة أمان المستخدم على موقعك ، يقوم iThemes Security Pro بفرز جميع المستخدمين في مجموعات مختلفة. بشكل افتراضي ، سيتم تجميع المستخدمين حسب إمكانيات WordPress الخاصة بهم. يتيح الفرز حسب إمكانيات WordPress الجمع السهل بين WordPress وأدوار المستخدم المخصصة في نفس المجموعة. على سبيل المثال ، إذا كنت تقوم بتشغيل موقع WooCommerce ، فسيكون مسؤولو الموقع ومديرو المتاجر في مجموعة المستخدمين الإداريين ، وسيكون المشتركون والعملاء في مجموعة المشتركين.

    في إعدادات مجموعات المستخدمين ، سترى جميع مجموعات المستخدمين وجميع إعدادات الأمان التي تم تمكينها لكل مجموعة ، وقم بتبديل الإعدادات وإيقافها بسرعة. تمنحك مجموعة المستخدمين الثقة في أنك تقوم بتطبيق المستوى المناسب من الأمان على المستخدمين المناسبين.

    10. إنشاء مستخدم الدعم العام

    الميزة الأكثر استخدامًا في iThemes Security Pro هي Privilege Escalation . تتيح لك الميزة تصعيد امتيازات المستخدم مؤقتًا.

    في أي وقت تنشئ فيه مستخدمًا جديدًا ، وخاصة مستخدم المسؤول ، فأنت تضيف نقطة دخول أخرى يمكن للمتسلل استغلالها. ولكن ، هناك أوقات قد تحتاج فيها إلى بعض المساعدة الخارجية لموقعك على الويب ، مثل عندما تبحث عن الدعم.

    يمكنك إنشاء مستخدم جديد وتسميته بالدعم ومنحه دور المستخدم المشترك. في المرة التالية التي تحتاج فيها إلى توفير وصول مؤقت إلى موقع الويب الخاص بك ، انتقل إلى صفحة الملف الشخصي لمستخدم الدعم.

    قم بتحديث عنوان البريد الإلكتروني للسماح لشخص الدعم الخارجي بطلب كلمة مرور جديدة. ثم قم بالتمرير لأسفل حتى ترى إعدادات تصعيد الامتياز المؤقت . انقر فوق تبديل تعيين الدور المؤقت ، وحدد المسؤول . سيكون لدى المستخدم الآن حق وصول المسؤول لمدة 24 ساعة القادمة.

    إذا لم يكونوا بحاجة إلى 24 ساعة كاملة ، فيمكنك إبطال تصعيد الامتياز من صفحة ملف تعريف المستخدم.

    تغليف

    يحتوي iThemes Security Pro على العديد من الأدوات المختلفة التي يمكنك استخدامها لتأمين موقع الويب الخاص بك وحمايته. فيما يلي قائمة تحقق لمساعدتك في البدء في تأمين موقع WordPress الخاص بك بعد تثبيت iThemes Security Pro.

    • 1. قم بتشغيل فحص الأمان
    • 2. تمكين الترقيع التلقائي للثغرات الأمنية
    • 3. حظر البرامج الآلية السيئة باستخدام Google reCAPTCHA v3
    • 4. تأمين مستخدم WP الخاص بك باستخدام تطبيق 2FA
    • 5. إنشاء لوحة الأمن
    • 6. حتى لعبة كلمة السر الخاصة بك
    • 7. ضبط رسائل البريد الإلكتروني الأمنية
    • 8. حماية لوحة معلومات WP الخاصة بك باستخدام الأجهزة الموثوقة
    • 9. التعرف على مجموعات المستخدمين
    • 10. إنشاء مستخدم الدعم العام