دليل أمان WordPress: جعل WordPress آمنًا 2022

تصور هذا:

تفتح موقع WordPress الخاص بك ، وكله ذو عيون مشرقة وذيل كثيف وجاهز لتحميل أحدث مشاركة في مدونتك ... فقط لتلتقي بمجموعة من المحتوى الغريب الذي يوجه الأشخاص لشراء حبوب صيدلانية من مواقع ويب بسيطة.

إنه أسوأ كابوس لمشرفي المواقع ، ولكنه شيء يمكن أن يحدث لموقع WordPress الخاص بك ... إذا لم تضع أفضل الممارسات الأمنية الصحيحة.

نحن لا نحاول إخافتك - WordPress آمن . لديها فريق أمني مخصص وجيش من المساهمين والمطورين المطلعين للمساعدة في الحفاظ عليها على هذا النحو.

ولكن إذا كنت لا تبني على هذا الأساس الآمن باتباع أفضل ممارسات الأمان في WordPress ، فقد تفتح الباب أمام الجهات الفاعلة الخبيثة لإدخال أنيابها إلى موقع الويب الخاص بك.

في هذا المنشور ، نحن هنا لمساعدتك في معرفة أفضل الممارسات حتى تتمكن من منع سيناريو الكابوس هذا من أن يصبح حقيقة.

لتحقيق هذه الغاية ، سنغطي الأقسام التالية:

• هل WordPress آمن؟
• لماذا لا تنتظر للحصول على أمنك بالترتيب
• 21 شيئًا يمكنك القيام به بشأن الأمان الآن
• مخاطر الخرق الأمني
• كيف تتحقق مما إذا كان موقعك قد تم اختراقه
• ثلاثة إضافات أمان من الدرجة الأولى في WordPress
• أهم ثلاثة تكتيكات أمنية يجب تنفيذها
• مراقبة وإصلاح الخروقات الأمنية في ووردبريس

بينما قد يستغرق الأمر بضع ساعات للعمل من خلال أفضل الممارسات في هذا المنشور ، فإن هذا الاستثمار الصغير الآن سيؤتي ثماره في المستقبل في شكل موقع WordPress آمن ومقاوم للرصاص.

هل WordPress آمن؟

يعمل WordPress على تشغيل أكثر من 43٪ من جميع مواقع الويب على الإنترنت ، مما يعني أنه هدف مثير للجهات الفاعلة الخبيثة.

حقيقة أن WordPress تحظى بشعبية كبيرة تعني أيضًا أنها تستخدم من قبل مجموعة متنوعة من الأشخاص ، بما في ذلك الأشخاص الذين لديهم مستويات معرفة مختلفة إلى حد كبير. فكر في مطور خبير مقابل شخص ما بدأ للتو في إطلاق مدونته الأولى ... والجميع بينهما.

هناك أخبار جيدة وأخبار سيئة هنا ...

أخبار جيدة:

WordPress آمن . لهذا السبب يتم استخدامه من قبل العديد من الأشخاص العاديين ، فضلاً عن المنظمات الكبيرة مثل البيت الأبيض الأمريكي وفيسبوك.

لن يثق Facebook والبيت الأبيض في مواقعهما على شبكة الإنترنت لمنصة غير آمنة. علاوة على ذلك ، فإن 43٪ من مواقع الويب على الإنترنت لن تعمل على WordPress إذا لم تكن آمنة.

أخبار سيئة :

يتم اختراق الكثير من مواقع WordPress. في تقارير موقع Sucuri الذي تم اختراقه ، يعد WordPress بشكل روتيني أكثر الأنظمة الأساسية اختراقًا ( تذكر - إنه يتمتع بشعبية كبيرة ).

إذن - كيف يمكن أن يكون WordPress آمنًا وأيضًا تم اختراق المواقع؟ أليست تلك الأشياء المتنافية؟

حسنًا ، الإجابة تكمن تمامًا في كيفية استخدام الأشخاص لـ WordPress.

إذا كنت استباقيًا بشأن اتباع أفضل الممارسات الأمنية ، مثل تلك التي سنغطيها في هذا المنشور ، فيمكنك الحفاظ على أمان موقع WordPress الخاص بك وتجنب المشكلات.

يحتوي WordPress على جهاز أمان كبير في مكانه ، بما في ذلك فريق أمان رسمي يزيد عن 50 عضوًا ومجموعة من المطورين ذوي الخبرة الذين ينشئون امتدادات آمنة ويبلغون عن المشكلات المحتملة.

يقوم هؤلاء الأشخاص بعمل رائع في جعل WordPress آمنًا - ولكن لا يزال يتعين عليك القيام بدورك إذا كنت تريد الاحتفاظ به على هذا النحو.

إذا كنت لا تبني على العمل الشاق الذي قام به هؤلاء المساهمون في WordPress وتتبع أفضل الممارسات ، فيمكنك ارتكاب أخطاء تفتح ثغرات في برنامج WordPress ، سواء كان ذلك باستخدام كلمة مرور ضعيفة ، أو تثبيت مكون إضافي ضعيف ، أو أي شيء آخر.

لماذا لا يجب أن تنتظر لتصبح جادًا بشأن أمان WordPress

أمان WordPress هو أحد تلك الأشياء التي تشعر أنها ليست مشكلة كبيرة ... حتى تصبح مشكلة كبيرة حقًا .

لديك الكثير من الأشياء فيما يتعلق بالتسويق وتنمية موقعك ، لذلك من السهل دفع الأمان إلى الخلف لأنه من الصعب ربط إجراء التحسينات الأمنية بمقاييس النمو مثل حركة المرور أو الإيرادات.

نحن نتعامل مع بعض الصراحة هنا ، لكن هذا الخط من التفكير قصير النظر بشكل لا يصدق. يستغرق تنفيذ قائمة التحقق من أمان WordPress أدناه بعض الوقت وربما القليل من المال ، ولكن هذه التكاليف باهتة مقارنة بما ستدفعه إذا تم اختراق موقعك.

سيكلفك خرق أمني واحد بسهولة أكثر من حيث الوقت الضائع ، والإيرادات ، وزيارات تحسين محركات البحث ، والثقة مع زوارك.

في الأساس ، لا تريد المقامرة بأمان موقعك. خصص الوقت الآن لحماية نفسك من تكلفة باهظة لاحقًا.

20 شيئًا يمكنك القيام به الآن حول أمان WordPress

حتى الآن ، تحدثنا عن النظرية. الآن ، دعنا نبدأ في التمحور في بعض التكتيكات القابلة للتنفيذ لإغلاق موقعك ، بدءًا من قائمة التحقق من أمان WordPress التي يمكنك تنفيذها لحماية موقعك اليوم.

1. فهم سمات أمان WordPress الأساسية

قبل تغيير أي شيء على موقعك ، ستحتاج إلى فهم السمات الأساسية لأمان WordPress:

• تقييد الوصول - تقييد الوصول إلى موقعك ، سواء من خلال الطرق المقصودة (حسابات المستخدمين) والأساليب غير المقصودة (نقاط الضعف).
• احتواء المشكلات - إذا تمكن أحد العناصر الضارة من الوصول ، فأنت تريد الحد من الضرر الذي يمكن أن يحدثه.
• استخدم فقط جهات خارجية موثوقة - بينما يكون جوهر WordPress آمنًا ، فإن كل امتداد تضيفه إلى موقعك يمثل ثغرة أمنية محتملة.

2. تطبيق تحديثات WordPress على الفور

لحماية موقعك من الثغرات الأمنية الناشئة ، من الضروري تطبيق تحديثات WordPress الأساسية وتحديثات المكونات الإضافية وتحديثات السمات على الفور. هذا ينطبق بشكل خاص على التحديثات الأمنية ، والتي يجب عليك تطبيقها على الفور *.

* تحتوي تحديثات الأمان على نقطتين في رقم الإصدار - مثل 5.9.1. يمكنك الانتظار لتطبيق تحديثات الميزات الرئيسية ، والتي لها نقطة واحدة فقط - مثل 5.9.

3. استخدم كلمات مرور قوية لكل شيء

يمكن أن يؤدي استخدام كلمات مرور قوية وفريدة من نوعها لحساب WordPress Admin الخاص بك وحساب الاستضافة والأدوات الأخرى (مثل بيانات اعتماد SFTP) إلى قطع شوط طويل نحو منع هجمات القوة الغاشمة وأنواع أخرى من الهجمات القائمة على تسجيل الدخول.

لتخزين كلمات المرور بأمان ، يمكنك استخدام مدير كلمات المرور مثل Bitwarden أو LastPass. يمكن لمديري كلمات المرور أيضًا مساعدتك في إنشاء كلمات مرور فريدة.

4. استخدم الإضافات الموثوقة

قم بتثبيت المكونات الإضافية فقط من المطورين الموثوق بهم الذين لا يزالون يقومون بصيانة المكون الإضافي بشكل نشط لحساب إصدارات WordPress الجديدة ونقاط الضعف المكتشفة حديثًا.

5. تأمين جهاز الكمبيوتر الخاص بك

تأكد من نظافة الكمبيوتر الذي تستخدمه للوصول إلى موقع WordPress الخاص بك. استخدم برامج مكافحة فيروسات عالية الجودة وقم بإجراء عمليات فحص منتظمة للبرامج الضارة.

6. تأمين صفحة تسجيل الدخول الخاصة بك

بالإضافة إلى استخدام كلمات مرور قوية ، يمكنك حماية صفحة تسجيل الدخول الخاصة بك باستخدام أساليب مثل الحد من محاولات تسجيل الدخول والمصادقة الثنائية. يمكنك تحقيق ذلك من خلال المكونات الإضافية المجانية الخاصة بالميزات مثل إعادة تحميل محاولات تسجيل الدخول والحد من المصادقة الثنائية. أو يمكنك استخدام بعض الإضافات الأمنية لـ WordPress التي سنناقشها لاحقًا في هذا المنشور.

يمكنك أيضًا تغيير عنوان URL لتسجيل الدخول إلى WordPress. على الرغم من أن هذا لا يضيف أمانًا إضافيًا لتسجيل الدخول إذا كنت تنفذ النصائح المذكورة أعلاه ، إلا أنه يمكن أن يقلل من حركة مرور الروبوت.

7. خذ نسخ احتياطية منتظمة

يعد أخذ نسخ احتياطية بشكل منتظم وتخزينها في مكان طويل عنصرًا كبيرًا في أمان WordPress. إذا كان لديك نسخة احتياطية حديثة في مكانها ، فإن أسوأ حالة خرق أمني هي إزعاج بدلاً من كارثة عندما يتعلق الأمر ببيانات موقعك.

يقدم معظم مضيفي WordPress المُدارين نسخًا احتياطية تلقائية خارج الموقع في الوقت الحاضر. إذا لم يكن كذلك ، يمكنك استخدام مكون إضافي مثل UpdraftPlus.

8. استخدم الاستضافة الآمنة

استخدم مضيف WordPress عالي الجودة يقوم بتنفيذ بروتوكولات أمان قوية مثل جدران الحماية ومسح البرامج الضارة. بينما لا يجب أن تعتمد على مضيفك وحده ، يمكن لمضيف WordPress عالي الجودة أن يقطع شوطًا طويلاً نحو تأمين موقع WordPress الخاص بك.

9. قم بتثبيت شهادة SSL واستخدام HTTPS

تأكد من تثبيت شهادة SSL وإعداد موقعك لفرض كل حركة المرور إلى إصدار HTTPS الآمن. يضمن ذلك تشفير أي بيانات تمر بين متصفح الويب الخاص بالزائر وخادم موقعك.

يمكنك استشارة فريق الدعم الخاص بالمضيف أو الوثائق لمعرفة كيفية تثبيت شهادة SSL ويمكن أن تساعدك المكونات الإضافية مثل Really Simple SSL في فرض حركة مرور HTTPS على موقعك.

10. استخدم SFTP ولا تقم بتخزين كلمات المرور

تأكد من استخدام بروتوكول SFTP عند الاتصال بخادم موقعك ، بدلاً من بروتوكول FTP العادي (غير المشفر). بالإضافة إلى ذلك ، حاول تجنب تخزين كلمات مرور SFTP في عميل FTP ما لم تكن مشفرة ومحمية بكلمة مرور.

11. قم بتعطيل XML-RPC

يساعد XML-RPC بعض التطبيقات ، مثل تطبيق iPhone ، على الاتصال بموقع WordPress الخاص بك. لن يستخدم معظم الأشخاص هذه التطبيقات أبدًا للاتصال ، مما يعني أن XML-RPC هو مجرد ناقل ثغرات غير ضروري لهجمات القوة الغاشمة أو هجمات DDoS.

لهذا السبب ، يقوم معظم الأشخاص بتعطيل XML-RPC ، وهو ما يمكنك إنجازه باستخدام مكون إضافي مثل Disable XML-RPC أو أحد مكونات الأمان الإضافية العامة التي سنناقشها لاحقًا.

12. تعطيل تحرير الملف

بشكل افتراضي ، يتيح WordPress للمستخدمين المسؤولين تحرير ملفات السمات والمكونات الإضافية مباشرة من لوحة معلومات WordPress ، وهي ثغرة أمنية كبيرة إذا تمكن أي ممثل ضار من الوصول إلى لوحة القيادة الخاصة بك.

يمكنك تعطيله عن طريق إضافة سطر إلى ملف wp-config.php الخاص بك.

13. مراقبة المشاكل الأمنية

يمكن أن يساعدك وضع سياسات مراقبة أمنية منتظمة في التعرف على المشكلات قبل أن تصبح مشكلات أكبر. سنتحدث عن ممارسات المراقبة المناسبة لاحقًا في هذا المنشور.

14. تأمين ملفات ومجلدات WordPress الرئيسية

بعض ملفات ومجلدات WordPress معرضة للخطر بشكل خاص ، لذلك ستحتاج إلى إيلاء اهتمام خاص لتأمين ملف wp-config.php ومجلدات wp-admin و wp-include .

15. تطبيق أذونات الملف المناسبة

تتحكم أذونات الملفات في وصول المستخدمين والبرامج إلى الملفات والمجلدات الموجودة على خادم الاستضافة. إذا تم تكوينها بشكل غير صحيح ، فيمكنها منح الجهات الضارة حق الوصول إلى الملفات المهمة مثل ملف wp-config.php أو ملف htaccess .

لمعرفة الأذونات المناسبة لـ WordPress ، يمكنك قراءة صفحة WordPress.org هذه.

16. النظر في تسجيل النشاط

يتيح لك تسجيل النشاط تتبع ما يحدث على موقعك ، مما يساعدك على اكتشاف السلوك المشبوه قبل أن يصبح مشكلة كبيرة.

لإعداد تسجيل النشاط ، يمكنك استخدام مكون إضافي متخصص مثل WP Activity Log. أو ، تتضمن بعض المكونات الإضافية للأمان في WordPress لجميع الأغراض وظيفة التسجيل.

17. قم بإضافة أحدث رؤوس الأمان

يمكن أن تساعد رؤوس أمان HTTP في تأمين موقعك من خلال التحكم في كيفية تفاعل متصفحات الويب مع محتوى موقعك. ستقوم عادةً بتكوينها على مستوى الخادم - لدى KeyCDN منشور رائع يشرح أهم رؤوس الأمان.

18. تأمين قاعدة البيانات الخاصة بك

يمكن أن يؤدي استخدام بادئة جدول قاعدة بيانات فريدة واسم قاعدة بيانات فريد إلى صعوبة بعض الشيء على الجهات الفاعلة الخبيثة في ضخ محتوى ضار في قاعدة البيانات الخاصة بك ، على الرغم من أن بعض الخبراء يناقشون فائدتها. نظرًا لسهولة تطبيق هذا التغيير ، فإنه لا يزال يستحق العناء حتى لو كان قدرًا ضئيلًا من "الأمان من خلال الغموض".

19. تعطيل Hotlinking

قد لا يمثل وجود ارتباط سريع إلى مواقع أخرى لصورك خطرًا أمنيًا مباشرًا ، ولكن يمكن أن يكون له تأثير سلبي على الخادم الخاص بك من حيث الموارد المهدرة ، لذلك من الممارسات الأمنية الجيدة تعطيل الارتباط السريع.

20. قم بإعداد حماية DDoS مقدمًا

لديك خطة للتعامل مع هجمات رفض الخدمة الموزعة. يمكنك أن تسأل مضيفك عن وسائل الحماية الموجودة لديه أو إضافة موقعك إلى Cloudflare بحيث يمكنك بسرعة تمكين وضع "أنا تحت الهجوم" في Cloudflare إذا لزم الأمر.

ما هي المخاطر عند اختراق الموقع؟

هناك ثلاثة أنواع رئيسية من المخاطر في حالة اختراق موقعك ...

المخاطر التي يتعرض لها زوار موقعك على الويب

إذا قمت بتخزين بيانات حول زوارك ، فيمكن للجهات الخبيثة الوصول إلى كل هذه المعلومات ، مما قد يتسبب في حدوث مشكلات في سرقة الهوية أو السرقة المالية اعتمادًا على البيانات التي تخزنها.

يمكن للجهات الخبيثة أيضًا محاولة خداع المستخدمين لتنزيل ملفات ضارة وإصابة أجهزة الكمبيوتر الخاصة بهم.

المخاطر التي يتعرض لها أصحاب المواقع

يمكن أن يتسبب خرق الأمان في حدوث مشكلات مباشرة في شكل بيانات ضائعة ، ووقت ضائع ، وعدم توفر الموقع. إذا لم تحتفظ بنسخ احتياطية منتظمة ( نأمل ألا يكون هذا هو الحال بعد قراءة هذا الدليل ) ، فقد تفقد موقعك بالكامل وتحتاج إلى إعادة البناء من نقطة الصفر.

يمكن أن يتسبب الخرق أيضًا في مشكلات ملموسة أقل ، مثل فقدان الثقة مع زوارك أو الإضرار بالسمعة العامة.

خطر على المواقع الأخرى

إذا كنت تستخدم الاستضافة المشتركة و / أو تستضيف بعض مواقعك الأخرى على نفس حساب الاستضافة ، يمكن أن ينتشر اختراق أحد المواقع بسرعة إلى مواقع أخرى إذا لم تكن المواقع معزولة بإحكام عن بعضها البعض. وبهذه الطريقة ، فإن إصابة موقع واحد يمكن أن تتصرف مثل دومينو لإزالة المواقع الأخرى ، حتى لو كانت هذه المواقع آمنة بخلاف ذلك.

كيف تتحقق مما إذا كان موقع WordPress الخاص بك قد تم اختراقه

هناك طريقتان يمكنك من خلالهما اكتشاف تعرض موقعك للاختراق:

• العلامات التفاعلية - تكتشف مشكلة لأنك ترى المشكلة على موقعك.
• العلامات الاستباقية - تنبهك بروتوكولات المراقبة الأمنية الخاصة بك إلى المشكلة قبل ظهورها على موقعك.

من الناحية المثالية ، تريد استخدام الأدوات التي تتيح لك إصلاح المشكلات بشكل استباقي ، بدلاً من انتظار تحولها إلى مشكلة. بهذه الطريقة ، يمكنك تقليل الضرر الذي يلحق بموقعك.

علامات القرصنة التفاعلية

• تنبيه المستعرض - ستعرض معظم المتصفحات تحذيرًا إذا قمت بزيارة صفحة مصابة. إذا حدث ذلك عند زيارة موقعك ، فأنت تعلم أن لديك مشكلة.
• تنبيه محرك البحث - ستقوم Google أيضًا بتنبيه الزوار إذا نقروا على رابط يؤدي إلى موقع مصاب. تقول شيئًا مثل "ربما يكون هذا الموقع مخترقًا".
• خدمات مشرفي المواقع - إذا كنت تستخدم Google Search Console ، فسوف تنبهك Google إلى مشكلات الأمان إذا انتقلت إلى الأمان والإجراءات اليدوية ← مشكلات الأمان .
• زوار الويب - إذا واجه زوار الويب محتوى ضارًا ، فقد يخبروك مباشرة.

علامات استباقية للقرصنة

• ماسح البرامج الضارة - يمكن لفحص البرامج الضارة اكتشاف الشفرة الضارة على خادمك حتى لو لم تبدأ في التأثير على الواجهة الأمامية لموقعك.
• عمليات التحقق من سلامة الملفات - إذا كانت ملفات WordPress الأساسية لا تتطابق مع الإصدارات الرسمية ، فهذه علامة على وجود خطأ ما في موقعك. تنبهك معظم المكونات الإضافية للأمان تلقائيًا إذا تم تعديل ملف أساسي.
• مراقبو حركة المرور - ستساعدك مراقبة حركة مرور موقع WordPress الخاص بك على اكتشاف المخالفات فور حدوثها.

ثلاثة من أفضل ملحقات وأدوات أمان WordPress

إذا كنت تريد المزيد من راحة البال عندما يتعلق الأمر بأمان WordPress ، فيمكنك التفكير في استخدام مكون إضافي أو خدمة أمان WordPress مخصصة.

على الرغم من أن هذه الأدوات لا تلغي تمامًا الحاجة إلى توخي اليقظة ، إلا أنها يمكن أن تتعامل مع أفضل ممارسات أمان WordPress من أجلك.

فيما يلي ثلاثة من الأفضل:

1. Wordfence

Wordfence هو البرنامج المساعد الأمني ​​الأكثر شيوعًا في WordPress في WordPress.org. يحتوي على مجموعة ميزات شاملة يمكنها حماية ومراقبة جميع مناطق أمان موقعك:

• جدار حماية تطبيقات الويب (WAF) لحظر التهديدات بشكل استباقي قبل أن تلحق الضرر بموقعك. يتضمن مجموعة من التعريفات يتم تحديثها باستمرار لمنع التهديدات الناشئة.
• فحص البرامج الضارة والأمان لاكتشاف الإصابات أو الثغرات الأمنية.
• ميزات أمان تسجيل الدخول بما في ذلك الحد من محاولات تسجيل الدخول ، والمصادقة الثنائية ، وحماية كلمة المرور المسربة ، وتعطيل / تقوية XML-RPC ، والمزيد.
• التسجيل في الوقت الحقيقي لاكتشاف الجهات الخبيثة.
• إخطارات لتنبيهك على الفور إلى المشكلات المحتملة على موقعك.
• العديد من أساليب التقوية الأصغر الأخرى بما في ذلك الكشف عن تغيير الملف.
• لوحة معلومات أمنية مركزية تتيح لك إدارة أمان مواقع متعددة من مكان واحد.

هناك إصدار مجاني على WordPress.org و Wordfence Premium يبدأ من 99 دولارًا.

2. سوكوري

سوكوري شيئين:

1. مكون إضافي مجاني في WordPress.org يقوم بتنفيذ ممارسات الأمان الأساسية.
2. خدمة جدار حماية مدفوعة توجد أمام الخادم الخاص بك وتحظر حركة المرور الضارة قبل أن تتمكن من الوصول إلى موقعك.

للحصول على أفضل حماية ، ستحتاج إلى استخدام كلتا الأداتين.

يقوم البرنامج المساعد المجاني Sucuri بتنفيذ ميزات الأمان التالية:

• مراقبة سلامة الملفات
• سجلات التدقيق
• المراقبة التلقائية للقائمة السوداء
• خيارات التقوية الأساسية مثل تعطيل تحرير الملفات وحظر بعض ملفات PHP
• فشل مراقبة تسجيل الدخول لاكتشاف هجمات القوة الغاشمة
• تنبيهات أمنية تلقائية عبر البريد الإلكتروني

لاستخدام خدمة جدار الحماية ، ستقوم بتغيير خوادم أسماء المجال الخاص بك إلى Sucuri وسيحمي جدار الحماية Sucuri موقعك على مستوى الشبكة.

البرنامج المساعد Sucuri مجاني لكن جدار الحماية يبدأ من 10 دولارات شهريًا. يمكنك أيضًا الدفع مقابل خطة أمان كاملة لموقع الويب تتضمن تنظيف البرامج الضارة وإزالتها. تبدأ هذه الخطط من 200 دولار في السنة.

3. أمان iThemes

iThemes Security هي أداة شائعة أخرى يمكن أن تساعدك على تقوية موقعك ومراقبته بحثًا عن مشكلات الأمان.

إليك ما يمكن أن تساعد فيه:

• سيكتشف ماسح الموقع تلقائيًا نقاط الضعف المعروفة على موقعك.
• حماية تسجيل الدخول بما في ذلك المصادقة ذات العاملين ، والحد من محاولات تسجيل الدخول ، والأجهزة الموثوقة ، ومتطلبات كلمة المرور القوية ، والمزيد.
• سجلات الأمان بما في ذلك تسجيل أحداث الأمان وتسجيل نشاط المستخدم.
• الكشف عن تغيير الملف لمعرفة ما إذا تم تعديل الملفات الأساسية.
• إشعارات البريد الإلكتروني لتنبيهك على الفور إلى مشاكل الأمان المحتملة.
• تقوية WordPress العامة بما في ذلك تعطيل XML-RPC وتعطيل تحرير الملف وفحص أذونات الملفات والمزيد.

إحدى الميزات التي لا يقدمها iThemes Security هي جدار الحماية - يوصي المطورون بإقرانه بخدمة جدار الحماية Sucuri إذا كنت تريد جدار حماية.

على الرغم من وجود إصدار مجاني محدود من iThemes Security على WordPress.org ، فستحتاج إلى iThemes Security Pro للحصول على أفضل حماية. يبدأ من 80 دولارًا.

ركز على هذه الأشياء الثلاثة لأكبر عائد استثمار لأمن WordPress

مثل الكثير من الأشياء في الحياة ، يتبع أمان WordPress مبدأ 80/20 Pareto. وهذا يعني أن التركيز على بعض تكتيكات الأمان الأساسية في WordPress سيساعدك على الوصول إلى موقع آمن.

لذلك بينما نعتقد بالتأكيد أنه من المهم اتباع قائمة التحقق من أمان WordPress التي شاركناها أعلاه ، فإن التركيز على ثلاثة مجالات فقط سيحميك من معظم المشكلات المتعلقة بأمان WordPress.

دعنا نذهب من خلالهم ...

1. الإضافات

بينما يكون برنامج WordPress الأساسي آمنًا ( طالما أنك تحافظ عليه محدثًا ) ، تقدم المكونات الإضافية متغيرات لا يستطيع الفريق الأساسي التحكم فيها ، مما يجعلها واحدة من أكبر نواقل الهجوم للممثلين الضارين.

ومع ذلك ، تعد المكونات الإضافية أيضًا جزءًا أساسيًا من WordPress ، لذا فإن عدم استخدامها ليس خيارًا واقعيًا.

فيما يلي ثلاث طرق للاستمرار في الاستفادة من المكونات الإضافية مع تقليل المخاطر بشكل كبير:

• تجنب المكونات الإضافية المهجورة - إذا لم يتم الاحتفاظ بالمكوِّن الإضافي ، فهذا يعني أنه لا يوجد أحد لإصلاح المشكلات المكتشفة حديثًا والحفاظ على توافقه مع الإصدارات الأحدث من WordPress.
• اشترِ فقط من المطورين ذوي السمعة الطيبة - استخدم مطورين موثوقين مثل HeroThemes الذين يتبعون أفضل ممارسات أمان WordPress ويبقون على رأس التهديدات الناشئة.
• قم بالتحديث بانتظام - حتى أفضل المكونات الإضافية من أفضل المطورين يمكن أن تكون قد اكتشفت نقاط ضعف جديدة في بعض الأحيان. سيقوم مطورو الجودة بتصحيح هذه الثغرات الأمنية قبل أن تصبح مشكلة - طالما أنك تقوم بالتحديث على الفور.

2. هجمات القوة الغاشمة

تعد هجمات القوة الغاشمة وسيلة هجوم شائعة تعتمد على الدخول إلى موقعك عبر صفحة تسجيل الدخول. لا يهم مدى أمان باقي أجزاء موقعك - ​​إذا تمكن أحد الفاعلين الضارين من تخمين اسم المستخدم وكلمة المرور الخاصين بك ، فسيكون لديهم مفاتيح الباب الأمامي.

إليك كيفية حماية نفسك:

• استخدم كلمات مرور قوية وفريدة من نوعها - اختر كلمة مرور قوية لجميع حساباتك ولا تعيد استخدام نفس كلمة المرور في أماكن متعددة.
• الحد من محاولات تسجيل الدخول - منع الأشخاص من فرض صفحة تسجيل الدخول الخاصة بك عن طريق الحد من محاولات تسجيل الدخول الفاشلة و / أو إضافة اختبار CAPTCHA.
• ضع في اعتبارك المصادقة ذات العاملين - لمزيد من الأمان ، يمكنك التفكير في استخدام المصادقة ذات العاملين عبر الرسائل القصيرة أو من الناحية المثالية تطبيق الهاتف الذكي أو مفتاح الجهاز.
• اسم مستخدم فريد - لا تستخدم "admin" كاسم مستخدم خاص بك وحاول أن تجعل اسم المستخدم الخاص بك يصعب تخمينه.

3. حساب الاستضافة

يمكن إغلاق موقع WordPress الخاص بك تمامًا ؛ ولكن إذا تمكن ممثل ضار من الوصول إلى حساب الاستضافة الخاص بك ، فيمكنه فعل ما يريده إلى موقعك.

لإيقاف هذا ، من الضروري إغلاق حساب الاستضافة والخادم أيضًا:

• استخدم كلمات مرور قوية - كما هو الحال مع حساب WordPress الخاص بك ، استخدم كلمات مرور قوية وفريدة من نوعها لحسابات الاستضافة وحسابات SFTP.
• قم بتمكين المصادقة ذات العاملين - يدعم معظم موفري الاستضافة المصادقة ذات العاملين - استفد منها.
• استخدم SFTP - اتصل دائمًا عبر SFTP وليس FTP غير المشفر.
• لا تخزن كلمات مرور SFTP - لا تخزن كلمات مرور SFTP غير المشفرة في عميل FTP.

مراقبة وتحديد وإصلاح الخروقات الأمنية في ووردبريس

إذا قمت بتنفيذ جميع تكتيكات أمان WordPress المذكورة أعلاه ، فمن المأمول ألا تضطر أبدًا إلى التعامل مع خرق أمني.

ومع ذلك ، من الممكن دائمًا أن ينزلق شيء ما عبر الثغرات ، ولهذا السبب من المهم أن يكون لديك خطة لاكتشاف المشكلات الأمنية وإصلاحها.

مراقبة الثغرات الأمنية

• افحص موقعك - ​​استخدم أدوات مثل Sucuri SiteCheck للقبض على مشكلات القائمة السوداء وفحص الخادم الخاص بك باستخدام مكون إضافي للأمان.
• Google Search Console - انتبه للتحذيرات في قسم مشكلات الأمان.
• استخدم أمر موقع Google في البحث - ابحث عن site: yoursite.com لمعرفة ما إذا كان محرك بحث Google قد فهرس محتوى يبدو ضارًا. قد يكون هذا محتوى لم تنشئه أو محتوى به عناوين غريبة / أوصاف تعريفية.
• سجل النشاط - تصفح سجل نشاط موقعك للقبض على النشاط المشبوه.
• تحقق من التحليلات - ابحث عن الانخفاضات أو القمم غير المبررة في تحليلات حركة المرور الخاصة بك.
• ملف .htaccess - انتبه إلى التغييرات التي تطرأ على ملف .htaccess الخاص بك ، حيث سيضع الكثير من الممثلين عمليات إعادة توجيه ضارة أو يُنشئون قواعد وكيل المستخدم لإخفاء الرسائل غير المرغوب فيها لتحسين محركات البحث عن الزائرين من البشر.

تحديد القضايا

بمجرد أن تكتشف جهود المراقبة الخاصة بك حدوث خطأ ما ، فقد حان الوقت لتحديد المشكلة المحددة على موقعك حتى تتمكن من إصلاحها وتشغيل موقعك. للقيام بذلك ، يمكنك استخدام مكون إضافي للأمان لفحص موقعك وتحديد الملفات الضارة والأبواب الخلفية.

إصلاح موقعك

بمجرد تحديد المشكلة المحددة ، حان الوقت لإصلاح موقعك.

هناك عدة طرق مختلفة يمكنك اتباعها هنا اعتمادًا على شدة الإصابة ومستوى معرفتك:

• استخدم مكونًا إضافيًا للأمان - تقدم العديد من المكونات الإضافية للأمان إصلاحات بنقرة واحدة ، إما عن طريق تنظيف الملف أو إعادة موقعك إلى إصدار نظيف.
• استعن بخبير - إذا شعرت بالإرهاق ، يمكنك الدفع مقابل خدمة متخصصة مثل Sucuri's Website Security أو Wordfence Site Cleaning Services.
• قم بإجراء تنظيف يدوي - إذا كانت لديك المعرفة التقنية ، يمكنك تنظيف موقعك يدويًا - لدى MalCare دليل مفصل حول كيفية إجراء التنظيف اليدوي.

إذا تم إدراج موقعك في القائمة السوداء بواسطة Google ، فستحتاج أيضًا إلى طلب مراجعة بعد تنظيف موقعك. يمكنك القيام بذلك من قسم مشكلات الأمان في Google Search Console.

حافظ على أمان موقع WordPress الخاص بك

WordPress آمن ، لكن الطرق التي يستخدم بها الأشخاص WordPress ليست آمنة دائمًا.

إن قضاء بعض الوقت الآن في إنشاء خطة استباقية لأمان WordPress سيؤتي ثماره في شكل موقع آمن ويتجنب الحاجة إلى التعامل مع خرق في المستقبل.

يمكنك تنفيذ النصائح من هذا المنشور واتباع قائمة التحقق من أمان WordPress مثل قائمة التحقق الخاصة بـ Wordfence. إذا كنت ترغب في المساعدة ، يمكنك أيضًا الحصول على مساعدة من مطور أو استئجار خدمة صيانة WordPress.

إن أمان WordPress أيضًا ليس شيئًا أنت وحدك فيه. فلديك مجتمع WordPress بأكمله على موقعك يساعدك في إنشاء مواقع أكثر أمانًا.

هنا في HeroThemes ، نركز على إنشاء مكونات إضافية وموضوعات آمنة وموثوقة تتيح لك توسيع موقع WordPress الخاص بك مع إبقائه آمنًا. هناك أكوام من المطورين الآخرين يفعلون نفس الشيء.

إذا التزمت بامتدادات مثل هذه واتبعت أفضل ممارسات الأمان الأخرى ، فيمكنك الاستمتاع بمزايا موقع WordPress الآمن.