نصائح لتأمين موقع WordPress الخاص بك ضد نقاط الضعف

قد ينتهي بك الأمر في هذه المقالة بالبحث عن كيفية تأمين موقع WordPress الإلكتروني ضد عمليات الاستغلال؟ أو

كيف يمنع موقع ووردبريس من الاختراق والبرمجيات الخبيثة؟

أو النصائح تؤمن موقع WordPress الخاص بك ضد جميع المآثر.

بالطبع هذه هي المقالة الصحيحة وهذا يتحدث عن جميع أنواع التقنيات والأدوات والمكونات الإضافية لمساعدتك في تأمين موقع WordPress الخاص بك.

وفقًا لـ W3Techs WordPress يدعم أكثر من 58 ٪ من جميع مواقع الويب التي تستخدم CMS والتي تصل إلى 24.9 ٪ من جميع مواقع الويب في العالم.

لذلك مع زيادة استخدام WordPress ومع الشعبية المتزايدة باستمرار لمدى سهولة إعداده ومدى سهولة استخدامه ، كان هناك ارتفاع في استخدام المزيد والمزيد من سمات WordPress بالإضافة إلى المكونات الإضافية.

ولكن نظرًا لأنه سهل ، فهناك أيضًا متسابق يأتي معه. يصبح من السهل جدًا على المتسللين اختراقه إذا تم استخدامه في جميع إعداداته الافتراضية.

ومن هنا تأتي الحاجة إلى فهم الأمان وتأمين موقع الويب الخاص بك الذي يعمل بنظام WordPress لأنه لا أحد يحب اختراق موقع الويب الخاص به.

من الواضح عند البحث على Google عن هذه الكلمة الرئيسية: "منع اختراق WordPress" ، تظهر 8 ملايين أو أكثر من النتائج التي توضح مدى رغبة الأشخاص مثل المطورين وكذلك المستخدمين المبتدئين في معرفة تقنيات وأدوات منع الاختراق لموقع الويب الخاص بهم على WordPress.

فيما يلي قائمة بالنصائح والأدوات بالإضافة إلى التقنيات التي يمكن أن نفكر بها كمطوري قوالب WordPress.

بالطبع يمكن أن تؤدي هذه المقالة إلى مناقشة ويمكن إجراء المزيد من المدخلات والمزيد من الإضافات مع مرور الوقت.

سنبدأ بأبسط التقنيات ثم ننتقل إلى الأساليب الأكثر تعقيدًا:

نصائح أبسط للأمان:

1. الاستضافة : تلعب استضافتك دورًا حاسمًا ومهمًا في تأمين موقع WordPress الخاص بك. في كثير من الأحيان يكون المضيف السيئ هو الذي يجعلك تتعرض للاختراق.

إذا كان لديك استضافة رائعة في مكانها ، فيمكن تسوية العديد من الأشياء بسرعة ويمكن تقليل معظم إحباطك. على سبيل المثال: النسخ الاحتياطية سهلة.

غالبًا ما يتم فحص وتجنب هجمات القوة الغاشمة والبريد العشوائي وإدخال SQL. ومن ثم سنتحدث عن المضيفين الموصى بهم وأدواتهم.

أ. الاستضافة المشتركة : يريد معظم الأشخاص فقط بدء موقع الويب الخاص بهم ، وبالتالي لا يرغبون في إنفاق الكثير في أول رحلة لهم ، وبالتالي اختيار الاستضافة المشتركة كمنصة خاصة بهم.

هناك الآلاف من شركات الاستضافة التي تقدم استضافة مشتركة ولا يمكننا أن نضيفها جميعًا هنا ولكننا نقوم فقط بتضمين 4 استضافة مشتركة قمنا بتجربتها شخصيًا ويمكننا التوصية بها.

ومع ذلك قد تكون هناك خدمة أفضل أو مماثلة. هل تعلمنا:

أنا. Bluehost : تمت إحالة Bluehost باستمرار بواسطة WordPress.org على صفحة الاستضافة الخاصة به: https://wordpress.org/hosting/ إنها نقطة انطلاق جيدة للاستضافة المشتركة في حال كنت بحاجة إلى موقع ويب WordPress نظرًا لأنه يحتوي على كلٍ من استضافة WordPress المتميزة لـ استضافة مشتركة مستقبلية وبسيطة بنقرة واحدة تثبيت.

نظرًا لأنها استضافة مشتركة تكلفك 3 إلى 4 دولارات أمريكية شهريًا ، فلا يمكنك الشكوى كثيرًا من نقص الميزات أو الخدمات.

ومع ذلك ، فإنه يحتوي على أداة آلية للنسخ الاحتياطي تُعرف باسم معالج النسخ الاحتياطي تأتي جنبًا إلى جنب مع لوحة التحكم التي يمكنك استخدامها. وبالتالي ، يمكن أن تضمن النسخ الاحتياطية أنك آمن ، وإذا تعرض موقع الويب الخاص بك للاختراق ، فيمكنك استعادة النسخة الاحتياطية.

ثانيا. برتقالة صغيرة : نحن مستضافون شخصيًا على هذه الاستضافة ومعظم الميزات الموجودة في Bluehost موجودة هنا. ولكن قبل كل شيء نحب أكثر ويمكن أن نقول إنه أفضل من المضيف أعلاه هو الدعم.

يتم الرد على تذاكر الدعم في غضون 5-6 ساعات ، ودائمًا ما نتحدث مع شخص ما في الدردشة المباشرة في غضون بضع دقائق.

الدعم هو ما يجعل هذا المضيف متميزًا عن البقية لأن هناك الكثير من الإجابات والمساعدة التي يمكنهم تقديمها مجانًا. كل ما عليك فعله هو أن تطلب منهم ذلك. مثال: تثبيت ذاكرة التخزين المؤقت لخادم NGINX والنسخ الاحتياطية وكيفية استخدامها وما إلى ذلك.

ثالثا. SiteGround : استضافة مشهورة أخرى لـ WordPress توفر أيضًا أدوات جيدة لك لعمل نسخة احتياطية من موقع الويب الخاص بك. بقية cpanel والميزات القياسية موجودة. تعد الدردشة أيضًا استباقية ويتم الرد على تذاكر الدعم كثيرًا.

رابعا. Godaddy : يعد Godaddy أكبر مسجل للنطاقات وبالتالي يفضله الكثيرون لاستضافتهم أيضًا. قام Godaddy أيضًا بإجراء العديد من التغييرات لجعله استضافة موثوقة لـ WordPress.

وقد بدأت أيضًا في تقديم خدمة استضافة Cpanel WordPress القياسية والتي تسمح بالنسخ الاحتياطي وأدوات أخرى سهلة الاستخدام.

ب. استضافة WordPress المُدارة : بالنسبة لأولئك الذين لديهم ميزانية صغيرة ويريدون استضافة إدارة أمنهم لهم.

شركتا الاستضافة هاتان من بين العديد من الشركات التي وجدناها موثوقة وأرخص من الراحة وغالبًا ما تساعدك على تأمين موقع الويب الخاص بك بالإضافة إلى إخبارك بالمكونات الإضافية الجيدة وأيها ليست جيدة.

لديهم أيضًا نسخ احتياطية ليلية يعني أنك في راحة البال معهم. لذلك من أي وقت مضى يحدث اختراق وهو أمر نادر الحدوث منذ إدارته ، يمكنهم استعادة النسخة الاحتياطية بسرعة:

أنا. WP Engine : يتيح لك WP Engine معرفة قائمة المكونات الإضافية التي يوصون بها لمعظم المستخدمين. ومن ثم يتم الاحتفاظ بالمكونات الإضافية الضعيفة في وضع حرج.

ثانيا. FlyWheel : يخبرك Flywheel بعدم تثبيت أي مكون إضافي للأمان لأنهم يتعاملون مع الأمان بأنفسهم مما يعني أنك لست بحاجة إلى فعل أي شيء بمجرد التثبيت معهم وسيهتمون بالباقي.

2. النسخ الاحتياطية: يمكن أن تكون عمليات النسخ الاحتياطي باستخدام مدير ملفات cpanel أو عبر بروتوكول نقل الملفات (للملفات) وتنزيل قاعدة البيانات باستخدام phpMyAdmin باستخدام cpanel أو الوصول إلى قاعدة بيانات المضيف.

هناك مئات البرامج التعليمية المتوفرة حول كيفية إجراء نسخ احتياطي لموقع WordPress الخاص بك يدويًا. ومع ذلك ، يجب أن تفكر في قراءة إجراءات النسخ الاحتياطي للدستور لأنها آمنة وقد تمت كتابتها بشكل جيد: http://codex.wordpress.org/WordPress_Backups.

هناك العديد من المكونات الإضافية أيضًا. سنتحدث عنها باختصار لأن معظمهم الذين ذكرناهم هنا يعملون بشكل جيد ولديهم تقييمات جيدة من الآخرين:

أ. BackUpWordPress
ب. BackUpBuddy (نسخة مدفوعة من هذا البرنامج المساعد موجودة أيضًا)
ج. القبو
د. Dropbox النسخ الاحتياطي والاستعادة
ه. Amazon S3 BackUp and Restore. النسخ الاحتياطي والاستعادة في Amazon S3

3. تحديث إصدار WordPress : في معظم الأوقات بسبب استخدام إصدار قديم من WordPress ، يكون موقعك عرضة للاختراق. يتعرف WordPress على العديد من العيوب والمعايير الأمنية في إصداراته السابقة وكما أفاد زملائه المساهمين والتي يتم تحديثها من وقت لآخر.

ومن ثم فإن استخدام أحدث إصدار من WordPress يجب أن يقلل من خطر التعرض للاختراق أو الإرفاق بواسطة البرامج الضارة.

4. تحديث المكونات الإضافية والسمات الخاصة بـ WordPress : بشكل عام بنفس الطريقة التي يقوم بها مؤلفو القوالب ومؤلفو الإضافات بإصدار التحديثات والميزات. في معظم الأحيان يتم تحديث الميزات.

ولكن من وقت لآخر ، يقوم هؤلاء المؤلفون أيضًا بإعادة تحديد الثغرات الأمنية ، وبالتالي من الممارسات الجيدة الاستمرار في استخدام المكونات الإضافية والسمات المحدثة أيضًا.

5. تغيير اسم المستخدم وكلمة المرور الافتراضيين: استخدام اسم المستخدم الافتراضي وكلمة المرور الافتراضية مثل سلسلة بسيطة من الأرقام أو الاحتفاظ بالمسؤول على ما يرام طالما أنك على خادم محلي أو على موقع اختبار.

ولكن بالنسبة لمواقع الويب التجارية ، من المهم أن تقوم بتغيير اسم المستخدم وكلمة المرور الافتراضيين.

الآن مع أحدث إصدارات WordPress ، من الممكن اختيار اسم مستخدم مؤمن ويقوم بإنشاء كلمة مرور آمنة ولكن بالنسبة للمستخدمين الذين لديهم إصدارات أقدم من WordPress ، يمكنك الانتقال إلى ملف التعريف الخاص بك لتغيير كلمة المرور الخاصة بك.

ومع ذلك ، لتغيير اسم المستخدم ، استخدم إما phpMyAdmin في حال كنت مرتاحًا لتغييره من هناك أو استخدم أيًا من المكونات الإضافية أدناه:
أ. تمديد إعادة تسمية المسؤول
ب. مغير اسم المستخدم

6. المصادقة بخطوتين لهجمات القوة الغاشمة : المصادقة بخطوتين ضرورية في حالة تعرض موقعك للعديد من هجمات القوة الغاشمة ولديه حركة مرور عالية أو معلومات حساسة.

المصادقة بخطوتين تؤمن منطقة تسجيل الدخول إلى موقع WordPress الخاص بك وتجعلها معقدة للغاية لهجمات القوة الغاشمة. المكونات الإضافية التي يمكن استخدامها للمصادقة بخطوتين هي:
أ. المفتاح الموسيقي
ب. Duo
ج. Authy
د. Google Authenticator
ه. روبلون

يجب أن تجعل هذه الخطوات البسيطة المستخدم يشعر براحة البال فيما يتعلق على الأقل بالحصول على نسخ احتياطية في الوقت المناسب وعلى الأقل تقديم موقع الويب الخاص به مع الحد الأدنى من الأمان.

الخطوات التالية التي سنناقشها هي خطوات أكثر تعقيدًا في تأمين موقع WordPress الخاص بك بشكل أكبر.

خطوات معقدة:

1. الخطوات المدرجة في Hardening WordPress by Codex : http://codex.wordpress.org/Hardening_WordPress
معظم هذه الخطوات مخصصة للمطورين أو للأشخاص الذين يستخدمون WordPress لفترة طويلة ويفهمون كيفية عمل wp-config.

استخدمت مدير الملفات أو ftp ويمكنها تنفيذ تغييرات في htaccess و wp-config وما إلى ذلك.

تعمل هذه الخطوات بالتأكيد كنقطة انطلاق في تأمين موقع الويب الخاص بك. ومع ذلك ، لا تزال بعض الإضافات الأمنية القليلة التي سنناقشها بعد ذلك ستضع غطاءً صافياً للأمان على موقع WordPress الخاص بك ، وبالتالي يجب عليك التحقق من المكونات التالية أيضًا:

2. المكونات الإضافية التي ستساعد في اكتشاف البرامج الضارة واكتشاف تغيير الملفات :

أ. فحص موقع Sucuri: يحتوي Sucuri Site Scan على عدد قليل من علامات التبويب. في علامة التبويب الأولى ، توجد إعدادات عامة حول وقت تلقي الإشعارات للتنبيهات مثل تسجيل الدخول وهجمات القوة الغاشمة وتسجيل مستخدمين جدد وتنبيهات لمحاولات تسجيل الدخول الفاشلة وتثبيت البرنامج المساعد وما إلى ذلك.

لذلك إذا كان لديك العديد من المستخدمين في موقع الويب الخاص بك والعديد من المسؤولين أو المحررين الذين قد يقومون بتثبيت المكون الإضافي ، فإن هذه الميزات مفيدة وضرورية.

والثاني هو فحص البرامج الضارة والذي يخبرك عن أي نوع من البرامج الضارة أو الرموز الضارة الموجودة في أي مكون إضافي أو دليل سمة.

يقوم أيضًا بالتحقق من ملفات الأخطاء والملفات المعدلة إن وجدت. يجب تقليل الفحص إذا كانت حركة المرور على موقعك منخفضة وتتم استضافتك على استضافة مشتركة لأن الفحص يستهلك أيضًا الكثير من ذاكرة الوصول العشوائي.

الجزء الثالث هو تشديد الأمان مثل إزالة إصدار WordPress (نظرًا لأن الإصدارات الأقل عرضة للاختراق ، يتحقق المتسللون من الإصدار ويعرفون نوع الثغرات الأمنية الموجودة).

ومن ثم إزالة إصدار WordPress ، يجب تأمين دليل التحميلات حيث يتم تخزين الوسائط وتقويتها ، وتقييد الوصول إلى محتوى wp ، و readme.html ليتم إزالته ، وحساب المسؤول الافتراضي المراد إزالته وتغييره ، وتغيير بادئة قاعدة البيانات الافتراضية Sucuri Firewall Protection .

لم نختبر هذا ولكن ظهرنا باستخدام Cloudproxy Firewall الذي يزعم أنه يجب أن يساعدك في تأمين موقع الويب الخاص بك ضد DDOS و Brute Force و SQL. إذا كنت قد استخدمت هذه الميزة ، فأخبرنا بذلك لأنه ليس لدينا دليل على أن جدار الحماية هذا يساعد حقًا.

ب. مضاد الفيروسات : مكون إضافي آخر وجدنا أنه مفيد وهو مضاد الفيروسات. يكتشف ملفات WordPress Theme وملفات قاعدة البيانات للأمان والاستغلال.

المخادع الوحيد لهذا المكون الإضافي للأمان هو أنه سيستخدم wp-cron وإذا قمت بإعداد فحص يومي وفي حالة عدم قوة الاستضافة المشتركة لديك وكان موقع الويب الخاص بك أكبر من حيث الحجم.

من حيث الصفحات والمنشورات وقاعدة البيانات ، قد يستهلك هذا البرنامج المساعد الكثير من الموارد لأنه يمسح الملفات وجداول قاعدة البيانات.

ج. Anti-Malware and Brute Force Security by ELI : Anti-malware and Brute Force Security كما يوحي الاسم يقوم بعمل رائع في هذا الصدد.

في حالة قيامك بالتسجيل للحصول على المكون الإضافي على gotmls.net ، فستحصل على جميع تحديثات التهديدات المعروفة. يقوم أيضًا بمسح htaccess بحثًا عن أي نصوص ، ويتحقق من ثغرات timethumb ويحذرك ، ويتحقق من أي نصوص مخفية ويطلب منك عدم استخدامك ، ويتحقق من تسجيل الدخول الخاص بك بحثًا عن أي نقاط ضعف.

وبهذه الطريقة ، يقوم هذا المكون الإضافي بمهمة مكافحة البرامج الضارة. يتحقق أيضًا من جميع ملفات WordPress الأصلية. يمكنك استخدامه والتحقق من أي مشاكل في موقع الويب الحالي الخاص بك وتصحيحها.

د. مدقق صحة السمة : حسنًا في معظم الحالات ، نحاول فحص المكونات الإضافية وأمن لوحة معلومات WordPress العامة مثل تسجيل الدخول وملفات WordPress وما إلى ذلك.

لكن سمات WordPress وأمانها مهمان أيضًا لأنه قد يكون هناك نصوص غير ضرورية أو أكواد ضارة غامضة يمكن اختراقها بسهولة.

ومن ثم ، فإن هذا المكون الإضافي يعمل كأداة لطيفة لفحص المظهر الخاص بك وفحصه وبمجرد أن تعرف الملفات غير المرغوب فيها أو الرمز الذي يمثل مشكلة ، يمكنك إحالته إلى مؤلف القالب الأصلي إما لإزالة أو تغيير الرمز.

لممارسات أكثر أمانًا أو إذا كان هناك الكثير من نقاط الضعف بدلاً من استخدام موضوع أكثر أمانًا. بالنسبة لمعظم الحالات الخاصة بفحص السمات ، فإنها تعمل بشكل أفضل من برامج مكافحة الفيروسات.

3. ملحقات الأمان التي ستؤمن موقع WordPress الخاص بك

أ. All in One WP Security and Firewall : يعتني هذا بما يلي والذي يلخص معظم الأمان الذي يمكنك تحمله على موقع الويب الخاص بك:
أنا. أمان تسجيل دخول المستخدم
ثانيا. أمان حساب المستخدم
ثالثا. أمن تسجيل المستخدم
رابعا. أمن ملفات النظام
v. إعداد جدار الحماية
السادس. ميزة القائمة السوداء
السابع. أمان قاعدة البيانات
ثامنا. باك اب
التاسع. جدار الحماية والقوة الغاشمة

ب. أمان WordFence

ج. أمان أفضل لـ WP (الآن iThemes Security)

د. أمان مضاد للرصاص

4. تم استبعاد الآخرين من هذه القائمة ولكن قد يكونون مفيدًا :

أ. Acunetix WP Security : ظهرت مؤخرًا الكثير من المراجعات السلبية لهذا المكون الإضافي على WordPress.org وبالتالي لا يمكننا التوصية به لك.

ب. 6Scan Security : لقد اشتكى العديد من العملاء من أن الموقع أصبح فارغًا بعد تثبيت هذا المكون الإضافي ، وبالتالي لا يمكننا التوصية به لك.

ج. استغلال الماسح

د. برنامج Quttera Web Malware Scanner