أمان WordPress: كيفية تحديد التهديدات والقضاء عليها

نشرت: 2018-05-11

لم تعد الأعذار مثل "نحن صغيرون جدًا للهجوم" أو "لا نعالج البيانات الحساسة ، مثل التقارير المالية" ذات صلة. لقد ثبت مرارًا وتكرارًا أن جميع مواقع الويب ، بغض النظر عن حجمها ، معرضة للخطر ويمكن أن تقع في فخ المتسللين.

إذا كنت تتعامل مع موقع الويب الخاص بك بشكل احترافي ، فيجب عليك الانتباه إلى أفضل ممارسات الأمان في WordPress. سنشارك قائمة شاملة من النصائح لحماية موقع WordPress الخاص بك من المتسللين والبرامج الضارة.

بصفتك مالكًا لموقع الويب ، لديك القدرة على تحسين أمان WordPress ، حتى إذا كنت لا تعرف كيفية البرمجة ولا تريد الدخول في متاهة تعقيداته.

لقد أعددنا تعليمات خطوة بخطوة وأنشأنا التنقل حتى لا تواجه صعوبات عند استعراض المواد. يمكنك الوصول بسرعة إلى الجزء الصحيح من النص ، وبحلول نهاية قراءة موقع الويب الخاص بك سيكون أكثر أمانًا من معظم الموارد على الويب.

لماذا الأمن مهم؟

يمكن لموقع WordPress الذي تم اختراقه أن يضر بشدة بعملك وسمعتك. يمكن للقراصنة سرقة معلومات المستخدم وكلمات المرور وتثبيت البرامج الضارة وتوزيع أحصنة طروادة بين المستخدمين.

في عام 2017 ، ذكرت Google أنه تم تحذير أكثر من 55 مليون مستخدم من زيارة مواقع الويب التي تحتوي على برامج ضارة. كل أسبوع ، تُعد Google قائمة بأكثر من 20000 برنامج ضار.

إذا كان موقعك هو عملك ، فعليك أن تولي مزيدًا من الاهتمام لأمنه. أنت وحدك المسؤول عن حماية مواردك من الدخلاء. كما جاء في مخطوطة WordPress Security Codex: "في الأساس ، لا يتعلق الأمن بأنظمة آمنة تمامًا. قد يكون مثل هذا الشيء غير عملي ، أو من المستحيل العثور عليه و / أو صيانته. ما هو الأمن رغم ذلك هو الحد من المخاطر ، وليس القضاء على المخاطر. يتعلق الأمر باستخدام جميع عناصر التحكم المناسبة المتاحة لك ، في حدود المعقول ، والتي تسمح لك بتحسين وضعك العام عن طريق تقليل احتمالات جعل نفسك هدفًا ، وبالتالي التعرض للاختراق ".

خذ وقتك وتصفح أفضل الممارسات التالية ، وكذلك تحقق من بعض استراتيجيات أمان WordPress التي أثبتت كفاءتها في الصناعة مثل استخدام برنامج WordPress المحدث وسياسة بيانات الاعتماد القوية وإدارة النظام التي تركز على الأمان.

أنواع نقاط الضعف

تتمثل نقاط الضعف الشائعة في WordPress في انخفاض مستوى الأمان للسمات ونقاط ضعف الخوادم وقواعد البيانات وأذونات الملفات و FTP ومكونات ملفات معينة مثل wp-admin و wp-config و wp-include. هم الأكثر عرضة للهجمات.

أظهرت العديد من حوادث القرصنة مدى سهولة استخدام المتسللين للروابط غير المحمية في خدمات أمان WordPress لصالحهم. يمكن أن تعرض إحدى نقاط الضعف موقع الويب الخاص بك لآلاف الهجمات. على سبيل المثال ، في أوائل فبراير ، أطلق مجرمو الإنترنت حملة واسعة النطاق حيث أعادت مواقع WordPress المخترقة توجيه الزوار إلى مجالات بها مجموعة من عمليات الاستغلال .

Exploit هو جزء من التعليمات البرمجية التي يمكن أن تستخدم ثغرات في موقع WordPress الخاص بك وتسمح للمتسللين باختراق النظام. بمعنى آخر ، إنه برنامج يبحث عن العناصر غير المحمية على موقع الويب الخاص بك ويهاجمها.

تتشكل برمجيات إكسبلويت نتيجة لأخطاء المبرمجين الذين لا يهتمون بأمن المورد. عندما يتم اكتشاف استغلال ، تحتاج إلى عمل تصحيح يزيل هذه الثغرة الأمنية.

في سلسلة أخرى من الهجمات ، استغل المتسللون ثغرة في ملف XML-RPC.

XML-RPC هو بروتوكول استدعاء إجراء عن بعد (RPC) يستخدم XML لتشفير مكالماته و HTTP لإرسال الطلبات أو الطلبات إلى مواقع الويب عن بُعد. إذا كنت لا ترغب في منح المتسللين فرصة إضافية لاختراق مواردك ، فيمكنك ببساطة حذفها. عندما تكون هناك حاجة ، يمكنك استعادتها.

يعد حقن SQL هو الطريقة الأكثر شيوعًا لمهاجمة قاعدة بيانات تتجاوز جدران الحماية عندما يرسل المتسللون طلبات SQL خاصة إلى موقع ويب. يمكن لإدخالات الشفرة هذه إنشاء حسابات مسؤول جديدة يمكنها الارتباط بمواقع خبيثة أو احتيالية من مواردك.

كيف تمنع حقن SQL؟

تُستخدم رسائل الخطأ بشكل أساسي لاسترداد معلومات حساسة حول موقع ويب. لذلك إما يجب تعطيلهما ، أو إنشاء رسائل خطأ مخصصة. يقول خبراء الأمن السيبراني من خدمات تطوير WordPress أنه يجب استخدام تشفير SHA1 أو SHA لجميع المعلومات وكلمات المرور السرية. سيؤدي الحد من عدد الأذونات الممنوحة إلى تقليل احتمالية حدوث مثل هذه الهجمات الضارة.

هجمات القوة الغاشمة

يتكون هجوم القوة الغاشمة من محاولات الحصول على التركيبة الصحيحة لتسجيل الدخول وكلمة المرور عن طريق طريقة التجربة والخطأ. إنها أسهل طريقة يحاول بها المتسللون الوصول إلى معلومات تسجيل الدخول. يمكن تنفيذ هذا النوع من الهجوم بطرق مختلفة ، كل طريقة تحاول بشكل متكرر تخمين مزيج تسجيل الدخول وكلمة المرور. إنه تكتيك شائع تستخدمه برامج الروبوت نظرًا لعدم وجود قيود على عدد محاولات تسجيل الدخول إلى WordPress. إذا نجح الهجوم ، فقد تتعرض المعلومات الحساسة لموقعك على الويب وعملك للخطر. حتى لو فشل ، فلا يزال من الممكن تحميل نظامك بشكل زائد.

كيف تتعامل مع هجمات القوة الغاشمة؟

أفضل طريقة هي تفعيل سياسة القفل التي تقضي على محاولات تسجيل الدخول غير المحدودة. يمكن أيضًا استخدام التأخيرات التدريجية عند قفل الحساب لفترة زمنية معينة. ستساعد الأدوات مثل Captcha ، على الرغم من أن هذا سيؤثر على قابلية استخدام موقع الويب. يمكن أن يكون إنشاء كلمات مرور معقدة لمكافحة هذه الأنواع من الهجمات مفيدًا أيضًا.

عبر موقع البرمجة

ما يقرب من 84٪ من جميع الخروقات الأمنية في WordPress هي هجمات عبر الموقع أو هجمات XSS. غالبًا ما يمكن العثور على هذا النوع من الثغرات الأمنية في مكونات WordPress الإضافية. هنا ، يستخدم الدخيل تطبيق ويب لإرسال البرامج النصية والرموز الضارة إلى مواقع آمنة وموثوقة ، من بينها مواقع قد تكون لك. نتيجة لذلك ، يتم تنزيل ملفات JavaScript الضارة إلى صفحة ويب واستخدامها لسرقة المعلومات السرية.

كيفية منع البرمجة عبر المواقع؟

هناك عدة طرق لمنع هجمات XSS:

  1. لا تسمح للبيانات غير الموثوق بها بالوصول إلى مستندات HTML الخاصة بك.
  2. استخدم Sanitization API WordPress و Escaping API WordPress (وظائف تنظيف الكود لحماية المعلومات السرية وليس عرضها علنًا - على سبيل المثال ، في سطر عنوان ارتباط المتصفح).
  3. قبل إدخال بيانات غير موثوقة في سلسلة طلب عنوان URL ، تأكد من ترميزها في عنوان URL.
  4. قبل أن تضع بيانات غير موثوقة في صفحات HTML ، تأكد من ترميزها بتنسيق HTML ، عن طريق استبدال بناء جملة التعليمات البرمجية.

هجمات خادم الويب ونظام التشغيل

هناك أيضًا بعض الثغرات الأمنية على خوادم الويب وأنظمة التشغيل. يتم إنشاء مثل هذه التهديدات الأمنية عندما يتم تسجيل خطأ في OpenSSL ، مما يجعله متاحًا للمتسللين للوصول إلى قواعد البيانات والمعلومات السرية. تؤثر هذه الثغرة الخطيرة على ما يقرب من ثلثي جميع مواقع الويب.

كيف تمنع الهجمات على خادم الويب؟

  1. قم بإجراء فحوصات أمنية منتظمة على برنامج OpenSSL.
  2. إجراء التحقق من جانب الخادم.
  3. لا تثق في المدخلات من الخارج.
  4. قم بتحديث توقيعات IPS وجدار الحماية وتمكين تواقيع Heartbleed.
  5. قم بإلغاء شهادات SSL الحالية وإنشاء شهادات جديدة.
  6. لا تقم بإنشاء شهادات جديدة بالمفتاح القديم.

تم تصميم البرامج الضارة لتدمير النظام وإتلافه أو الوصول إلى قاعدة بيانات. مثل هذه البرامج هي شكل من أشكال الأكواد والنصوص القابلة للتنفيذ التي تخترق النظام دون موافقة المستخدم.

عندما يتم اختراق موقع WordPress الخاص بك ، ألق نظرة على الملفات المعدلة مؤخرًا. تشمل الإصابات بالبرامج الضارة الأكثر شيوعًا الأبواب الخلفية والأقراص القابلة للتنزيل وعمليات إعادة التوجيه الضارة.

كيف تتعامل مع الهجمات الخبيثة؟

  1. قم بإزالة الملفات الضارة يدويًا.
  2. قم باستعادة موقع WordPress من نسخة احتياطية.
  3. قم دائمًا بتحديث WordPress والإضافات.
  4. احذف حساب "المسؤول" واستخدم اسم مستخدم فريدًا مختلفًا.

كشف الاختراقات

توجد نسبة منخفضة من محاولات القرصنة التي يصعب للغاية اكتشافها ، ولكن بشكل عام يمكنك تحديد أي محاولات سواء كانت ناجحة أم لا.

مؤشرات الكشف عن نقاط الضعف:

  • الزيادات المفاجئة وغير المتوقعة في حركة المرور ، خاصة من الخارج (غالبًا ليس من منطقتك ، حيث يكون احتمال العثور على جمهورك المستهدف منخفضًا للغاية) ؛
  • يتم إعادة توجيه المجال الخاص بك تلقائيًا إلى موقع طرف ثالث (غالبًا ما يكون بريدًا عشوائيًا) ؛
  • تتغير صفحتك الرئيسية وصفحاتك الداخلية فجأة أو يختفي المحتوى ؛
  • يمكن أن تشير التدفقات من النطاق الترددي الصادر إلى أن الخادم الخاص بك قد تم التقاطه واستخدامه لهجمات DDoS ؛
  • تنخفض حركة المرور المباشرة والعضوية لأن محركات البحث مثل Google و Yandex و Bing والمتصفحات (Firefox و Chrome) تحذر من مخاطر زيارة المستخدمين لموقعك.

إذا لاحظت أحد الأنشطة المدرجة على موقع الويب الخاص بك ، فقم بإجراء التشخيصات الأمنية لموقع WordPress الخاص بك بسرعة هنا . ما عليك سوى استبدال www.example.com بنطاق موقع الويب الخاص بك في شريط العناوين. أحد البدائل للخدمة هو التحقق من سمعة الموقع بمساعدة أداة URLVoid المجانية .

القضاء على الخروقات الأمنية

راقب مواردك بعناية وموضوعية بحثًا عن محاولات الاختراق. في حالة وجود مشكلات أمنية ، يجب أن تبدأ في القضاء على الانتهاكات.

إذا كنت متأكدًا من أن موقعك أصبح هدفًا لمجرمي الإنترنت ، فسيكون من الصواب إبلاغ زوارك به. نظّم التوزيع التلقائي للبريد الإلكتروني للمستخدمين ، لأنهم قد يكونون عرضة للمتسللين. أخبرهم أن موقعك قد يكون ضحية لخرق أمني وأنه من الأفضل تعليق زيارة موقعك لفترة من الوقت. حدد التاريخ الذي سيتم إصلاح المشكلة فيه.

إذا انتشر الهجوم ، فمن المنطقي إيقاف تشغيل الموقع والعمل في وضع عدم الاتصال حتى تعثر على المشكلة وحلها. بالنسبة لفترة العمل ، يوصى بوضع صفحة "الموقع قيد البناء". ستوضح للمستخدمين أن المشكلة مؤقتة ولن تخيفهم إلى الأبد.

اتصل بمضيف الويب الخاص بك

تعمل شركات استضافة الويب يوميًا مع آلاف المواقع وتواجه جميع أنواع مشاكل الأمان على الإنترنت. بمجرد أن تعلم أن أمان موقعك في خطر ، اتصل بشركة الاستضافة واشرح مشكلتك.

معظم شركات استضافة الويب لديها متخصصون في تكنولوجيا المعلومات والأمن. يمكنهم المساعدة في تحديد الهجمات الضارة وتصحيحها. حتى إذا كانت شركة الاستضافة الخاصة بك لا تقدم مساعدتها ، يمكن لخبرائها الاتصال بمالكي مواقع الويب الآخرين الذين واجهوا مشكلة مماثلة. سيساعدك على فهم ما يجب عليك فعله لحل المشكلة.

يتخذ مقدمو الاستضافة الجيدون إجراءات إضافية لحماية خوادمهم من التهديدات الشائعة. ولكن عند الاستضافة المشتركة ، فإنك تشارك الموارد مع مالكي مواقع الويب الآخرين. إنه يزيد من مخاطر هجمات البرمجة النصية عبر المواقع عندما يتمكن المتسلل من استخدام موقع ويب مجاور لمهاجمة موقعك.

يوفر استخدام الاستضافة المُدارة من WordPress تشغيلًا أكثر أمانًا لموقع الويب الخاص بك بسبب وظائفه الإضافية مثل النسخ الاحتياطي التلقائي والتحديثات وتكوينات الأمان الأكثر تعقيدًا لحماية مواردك.

احصل على المساعدة من خبراء أمن الويب

عادةً ما تكون ملفات مواقع الويب الأكثر ضعفًا هي ملفات الوسائط وملفات .php وتلك المخزنة في أماكن غير آمنة. يقوم المتسللون بحقن شفرة خبيثة في هذه الملفات وإتلاف موقع الويب الخاص بك باستخدام الهجمات الخلفية. نظرًا لأن هذه مناطق خطر نموذجية ، فأنت بحاجة أولاً إلى فحصها ، وبعد ذلك ، انتقل إلى مناطق أخرى من الموقع لبدء عملية التنظيف.

يتطلب مسح الشفرة الضارة من الملفات المصابة تنزيلها من الخادم الخاص بك وإزالة الشفرة المتأثرة وإعادة تحميل الملفات النظيفة إلى الخادم.

في بعض الأحيان لا يكفي مجرد تنظيف الملفات المصابة. ربما يتمكن المتسللون من الوصول إلى ملفاتك ، وسيستمرون في إجراء تغييرات عليها وحذف مقتطفات التعليمات البرمجية. تتمثل الممارسة الصحيحة في مقارنة الإصدار الذي تم تنظيفه من الملفات المصابة بالملفات المصدر لمطوري الويب لديك لمعرفة ما إذا كنت قد فقدت أجزاء مهمة من التعليمات البرمجية.

تذكر أنه عادةً ما يقوم المتسللون بتثبيت قذائف خلفية تسمح لهم باختراق موقعك حتى بعد إزالة جميع الملفات المصابة. غالبًا ما يتم إخفاء هذه الأصداف كملفات عادية. إذا تم اختراق موقعك ، فعند العودة إلى النسخة الاحتياطية ، استعن بمصادر خارجية لخدمات الأمان للتأكد من أن موقع الويب الخاص بك آمن تمامًا ويمكنه العمل بشكل أكبر.

تغيير كلمات المرور

يعد تنظيف الملفات المصابة جزءًا فقط من مهمة إزالة الثغرات الأمنية. تحتاج إلى التأكد من أن المتسللين لا يمكنهم الوصول إلى بياناتك مرة أخرى. الطريقة الأسهل والأكثر فاعلية للقيام بذلك هي تغيير كلمات المرور. كل كلمات المرور الخاصة بك من:

  • بريد الالكتروني؛
  • حساب FTP
  • حساب الاستضافة
  • لوحة إدارة WordPress.

عليك أن تتأكد من أن كلمات مرورك الجديدة موثوقة ولا يمكن اختراقها باستخدام أساليب القوة الغاشمة. تذكر أن سرقة كلمات المرور هي أكثر أنواع اختراق مواقع WordPress شيوعًا. لذلك ، نوصي بإنشاء كلمات مرور أكثر تعقيدًا لم يتم استخدامها من قبل.

السبب الرئيسي لعدم تفضيل المبتدئين استخدام كلمات مرور قوية هو صعوبة تذكرها. يوجد الآن حل لهذه المشكلة - فقط استخدم مدير كلمات المرور.

طريقة فعالة لتقليل المخاطر هي أن يكون لديك أدوار متعددة للوصول إلى حساب WordPress الخاص بك. إذا كان لديك مؤلفون ضيوف ، فتأكد من فهمك لأدوار وقدرات الجميع قبل إضافة مستخدمين جدد إلى موقع الويب الخاص بك.

كيفية تأمين موقع WordPress الخاص بك

عادةً ما يُنظر إلى الحفاظ على أمان موقع الويب على أنه عمل معقد ، ويتطلب طاقمًا من المهنيين ذوي الأجور العالية. في حالة WordPress ، الأمور ليست مخيفة. سنوضح لك كيفية حماية موقع WordPress الخاص بك دون معرفة تقنية متعمقة. لا يتعين عليك معرفة كيفية البرمجة أو تنفيذ الإجراءات المعقدة أو الوقوف على رأسك أو أداء طقوس الفودو السرية.

هيا بنا!

الخطوة 1. تعيين خيارات النسخ الاحتياطي

النسخ الاحتياطية هي درعك من أي هجوم على WordPress. تذكر أنه لا يوجد موقع ويب يمكن أن يكون آمنًا بنسبة 100٪. حتى المواقع الحكومية تتعرض للاختراق من وقت لآخر. لذلك قد يصبح موردك أيضًا هدفًا.

تم تصميم النسخ الاحتياطية لاستعادة موقع ويب ضعيف بسرعة. لذلك ، نوصي باستخدام إضافات WordPress الجاهزة لهذا الغرض. هناك الكثير منهم: هناك خيارات مدفوعة ومجانية.

أهم شيء هنا هو ضرورة عمل النسخ الاحتياطية بانتظام. هناك قاعدة واحدة مهمة - يجب إنشاؤها على خدمة تخزين تابعة لجهة خارجية (على سبيل المثال ، في Dropbox cloud ، Amazon) ، وليس في حساب الاستضافة الخاص بك.

كلما قمت بتحديث موقع الويب الخاص بك في كثير من الأحيان ، كلما احتجت إلى عمل نسخ احتياطية منه. إذا قمت بإجراء تحديثات على المدونة يوميًا ، فننصحك بعمل نسخة احتياطية مرة واحدة على الأقل يوميًا.

كيف افعلها؟

قم بتنزيل المكونات الإضافية مثل VaultPress أو BackupBuddy . إنها موثوقة ، والأهم من ذلك أنها سهلة الاستخدام ، وسهلة الإعداد والتعامل بشكل مثالي مع وظيفة النسخ الاحتياطي الرئيسية.

استخدم الإضافات والخدمات الأمنية في WordPress

يعد امتلاك بنية أساسية أمنية أساسية أمرًا ضروريًا لأي موقع ويب بغض النظر عن حجمه. على سبيل المثال ، أداة بسيطة ، Login Lockdown ، لمستخدمي WordPress مفيدة لمنع الهجمات البدائية من محاولات تسجيل الدخول باستخدام القوة الغاشمة.

لذلك ، إذا لم يكن لديك بالفعل جدار حماية أو نظام أمان يحمي موقعك ، فقم بتنشيطهما دون أي تأخير. نظرًا لأن هدفنا هو منع الهجوم وليس الاستعادة بعد حدوث الضرر ، نقترح استخدام جدار حماية تطبيق الويب (WAF) كحل.

جدار الحماية هو حل برمجي جاهز يضيف مستوى إضافيًا من الحماية ويتحكم في كل حركة المرور الواردة إلى موقع الويب الخاص بك ، مما يحظر مجموعة واسعة من التهديدات الضارة.

إنه يحارب التهديدات الأكثر شيوعًا وخطورة ، بما في ذلك مشروع أمان تطبيق الويب المفتوح ، وإدخالات SQL ، والبرمجة عبر المواقع ، وعمليات إعادة التوجيه غير الصالحة. غالبًا ما يتم تضمين جدار الحماية أو جدار الحماية في أنظمة التشغيل الحديثة أو يتم تضمينه في أنظمة مكافحة الفيروسات المدفوعة.

يعد جدار حماية تطبيق الويب (WAF) أسهل طريقة لحماية الموقع والتأكد من أمانه. يمنع كل حركة المرور الضارة قبل أن تتجاوز مواردك.

يقدم موفرو الاستضافة الجيدون حماية WAF مضمنة باستخدام وحدة خادم mod_security Apache مع مصدر مفتوح ، لكننا نتفهم أنه لا يكفي حظر أحدث التهديدات المكتشفة. نادرًا ما يتم تحديث الوحدة من خلال استضافة الويب الذين ليس لديهم موارد كافية لتتبع مشهد التهديدات سريع التطور.

لذلك ، يجب على المستخدمين تولي المهمة بأيديهم ، باستخدام جدار الحماية الذي يوفره موفرو الأمان السحابي. تعد WAFs المستندة إلى مجموعة النظراء حلول التوصيل والتشغيل التي تتحكم في كل حركة المرور الواردة وتعالج بشكل مستقل عملية الكشف عن التهديدات وإزالتها بالكامل للاستجابة للتهديدات الجديدة والحالية بسرعة.

إلى جانب ذلك ، تأتي هذه الخدمات السحابية عادةً مع شبكات توصيل محتوى CDN وخدمات تجاوز فشل DDoS وحتى حلول موازنة التحميل لتحسين الأداء والأمان والتوافر.

كأفضل جدار حماية لتطبيقات الويب لـ WordPress ، نوصي باستخدام Sucuri . تتمثل ميزة جدار الحماية Sucuri في أنه يأتي مع ضمان إزالة البرامج الضارة. يضمن المطورون أنهم سيصلحون موقع الويب الخاص بك (بغض النظر عن عدد الصفحات التي لديك). عادةً ما يقدر المتخصصون الأمنيون عملهم بمبلغ 250 دولارًا في الساعة بينما يمكنك الحصول على النطاق الكامل للأمان مع Sucuri مقابل 199 دولارًا سنويًا.

Sucuri ليس البائع الوحيد لجدار الحماية. منافسه الشهير الذي يخطو على عقبه هو Cloudflare .

ما هي الاختلافات بين Sucuri و Cloudflare؟

تقدم كلتا الخدمتين خططًا مختلفة ، والتي تأتي مع مجموعة مختلفة من الميزات.

ميزات Cloudflare

اكتسبت Cloudflare شهرة لخدمة CDN المجانية. وهي متخصصة في منع هجمات DDoS. تحافظ Cloudflare على إمكانية وصول المستخدمين إلى موقعك أثناء الهجوم أو مع حركة المرور الكثيفة عندما يتوقف خادمك عن الاستجابة.

يغطي جدار الحماية أيضًا النماذج ويحمي موقع الويب الخاص بك من تعليقات البريد العشوائي وتسجيلات البريد العشوائي. تقدم Cloudflare أيضًا شهادات SSL مجانية في جميع خططها المدفوعة. تسمح لك الخطط المجانية باستخدام شهادات Cloudflare فقط. للحصول على شهادة مخصصة ، يجب عليك الترقية إلى خطة عمل أو شركة.

على الرغم من أن Cloudflare يحتوي على إصدار مجاني يوفر CDN مجانيًا ، إلا أن معظم الوظائف الأخرى ، بما في ذلك جدار حماية تطبيق الويب ، تتطلب الانتقال إلى خطة مدفوعة.

لا تقدم Cloudflare خدمة لمسح الخوادم لاكتشاف البرامج الضارة. كما أنه لا يوفر ضمانًا لإزالة البرامج الضارة.

ميزات سوكوري

Sucuri هي واحدة من أكثر خدمات الأمان موثوقية لمراقبة مواقع الويب. يوفر مراقبة ومسحًا شاملين للبرامج الضارة ، وحماية من DDoS ، وإزالة البرامج الضارة.

تقدم Sucuri CloudProxy وجدار حماية لموقع الويب وخدمات موازنة التحميل. إنه يحظر حركة المرور المشبوهة والشفرات المصابة والروبوتات والتهديدات الأخرى. يقوم Sucuri بفحص موقع الويب الخاص بك بانتظام.

ماذا تختار؟

من الواضح أن Sucuri لديها المزيد من المزايا لأنها تقدم أفضل مجموعة من الأدوات والخدمات (موقع جدار الحماية + موازنة التحميل + تنظيف البرامج الضارة / استعادة الاختراق).

التسعير

تقدم Cloudflare خدمة CDN مجانية للجميع. إنهم لا يتقاضون رسومًا مقابل عرض النطاق الترددي ، أي يمكنك استخدام CDN المجاني بغض النظر عن مقدار حركة المرور.

ومع ذلك ، فإن الخطة المجانية لا تأتي مع جدار حماية لتطبيقات الويب. يمكن لموقعك الإلكتروني استخدام CDN ، لكن لن تتم حمايته بشكل صحيح من هجمات DDoS والبريد العشوائي وما إلى ذلك.

لاستخدام جدار حماية ، فأنت بحاجة إلى خطة Pro تكلف 20 دولارًا شهريًا ولكن هذه الخطة لا تتضمن التخفيض المتقدم لهجمات DDoS و SSL المخصص. للحصول على هذه الميزات ، ستحتاج إلى شراء خطة عمل تكلف 200 دولار شهريًا.

لا تقدم Sucuri خطة مجانية. تبدأ خطة الأمان الخاصة بهم بسعر 199 دولارًا سنويًا ، والتي تبين أنها أكثر تكلفة من خطة CloudFlare's Pro. تتضمن هذه الخطة الأساسية المراقبة الكاملة للموقع وجدار حماية تطبيقات الويب وحماية DDoS وإزالة البرامج الضارة وشهادة SSL مجانية.

بدلاً من استبعاد الميزات المهمة من الخطط ذات المستوى الأدنى ، تستخدم Sucuri أولوية الوقت كحافز لخططها الأكثر تكلفة. على سبيل المثال ، وقت إزالة البرامج الضارة في خطة التسعير الأساسية هو 12 ساعة و 6 ساعات للخطة الاحترافية و 4 ساعات لخطة العمل. في الوقت نفسه ، يكون وقت التنظيف الفعلي أسرع مما هو مذكور في الخطط.

تقدم Sucuri دعمًا على مدار الساعة لجميع الخطط. يمكن للمشتركين في خطة العمل الخاصة بهم أيضًا استخدام دعم الدردشة.

ماذا تختار؟

Sucuri هو خيار واضح للشركات الصغيرة عندما يتعلق الأمر بالأسعار. تبلغ تكلفة Cloudflare Pro 240 دولارًا سنويًا مقابل شركة Sucuri التي تتقاضى 199 دولارًا سنويًا مع مجموعة واسعة من الميزات. للحصول على نفس الوظيفة ، ستحتاج إلى الانتقال إلى خطة Cloudflare بسعر 2400 دولار في السنة. أغلى خطة Sucuri هي 499 دولارًا سنويًا.

إزالة البرامج الضارة

تعد البرامج الضارة والتعليمات البرمجية المصابة أكثر التهديدات شيوعًا التي يواجهها مالكو مواقع الويب.

كيف تحمي Sucuri و Cloudflare المواقع من هذه التهديدات الشائعة؟

عادةً ما يكون الإصدار المجاني من Cloudflare جيدًا كشبكة توصيل محتوى ستجعل تنزيل موقعك أسرع.

يتضمن أمان جدار الحماية لمواقع الويب (متوفر في الإصدار المدفوع) حماية الموقع من التعليمات البرمجية الضارة والاستغلال في XSS JavaScript والنماذج. لا يوفر الكشف عن التغييرات في الملفات ومسح البرامج الضارة ومراقبة القائمة السوداء وميزات الأمان الأخرى. يمكنك إضافة تطبيقات خارجية لفحص البرامج الضارة ، لكن هذه الخدمات ستكلفك أموالاً إضافية.

Sucuri متخصص في مراقبة المواقع وحمايتها من البرامج الضارة والهجمات الأخرى. يحميك جدار الحماية Sucuri من DDoS وإدخال SQL وحقن XSS JavaScript والتعليقات ونماذج جهات الاتصال غير المرغوب فيها.

ومع ذلك ، إذا قام المهاجم أيضًا بكسر هذه الحواجز ، فسوف يعرض Sucuri تنظيف موقعك (مجانًا). إذا كان لديك الآن موقع ويب متأثر بالبرامج الضارة ، فيمكن لـ Sucuri أيضًا تنظيفه.

ماذا تختار؟

للاستفادة من جدار حماية تطبيق الويب مع خدمات المراقبة والحماية من البرامج الضارة والتنظيف ، فإن Sucuri هو الأنسب. ومع ذلك ، في مجال تسليم المحتوى ، من الأفضل استخدام Cloudflare.

الخطوة 2. انقل إلى HTTPS إذا لم تكن قد قمت بذلك بالفعل

أحد أحدث عوامل الترتيب التي أعلنت عنها Google رسميًا هو شرط التبديل إلى HTTPS. يوضح هذا التركيز على أمان مواقع الويب أن Google جادة بشأن حقيقة أن مواقع الويب غير الموثوقة أو المخترقة قد تم تخفيضها في تصنيفات محرك البحث. وفقًا لـ Google نفسها ، هذه محاولة لجعل الإنترنت أكثر أمانًا.

HTTPS هو بروتوكول لتأمين سرية تبادل البيانات بين المستخدم والموقع الإلكتروني. يضمن أمان نقل المعلومات المهمة بين المواقع والخوادم ، على عكس بروتوكول HTTP القديم.

تم استخدام HTTPS سابقًا على نطاق واسع في المعاملات المالية على مواقع التجارة الإلكترونية لحماية علب البريد. بمعنى آخر ، تم تطبيقه على أي معاملات تتطلب الأمان والموثوقية.

بنقل موقعك إلى بروتوكول HTTPS ، لن تجعله أكثر أمانًا فحسب ؛ ستزيد أيضًا من فرصك في الحصول على مناصب عالية في نتائج البحث على استعلامات Google و Bing المواضيعية.

الخطوة 3: تثبيت المكونات الإضافية للأمان في WordPress

من المهم إعداد نظام تدقيق ومراقبة يتتبع كل نشاط يحدث على موقعك.

أنت بحاجة إلى مكون إضافي للأمان من أجل:

  • مراقبة سلامة الملفات ؛
  • تتبع محاولات تسجيل الدخول غير الناجحة ؛
  • فحص الموقع بحثًا عن برامج ضارة ؛
  • القضاء على أي تهديدات ؛
  • حماية موقعك من التهديدات ؛
  • لديك مساعد عالمي في مكافحة جميع أنواع نقاط الضعف ؛

البرنامج الإضافي المجاني ، Sucuri Scanner ، يمكنه التعامل مع هذه المهام.

كيفية تكوين Sucuri Scanner؟

  1. قم بإنشاء مفتاح API مجاني. سيساعد ذلك في الاحتفاظ بسجلات التتبع ، والتحقق من سلامة موقع الويب ، والإخطار عن طريق البريد الإلكتروني عند حدوث تهديدات.
  2. انتقل إلى علامة التبويب Hardening في قائمة Sucuri في لوحة معلومات WordPress. حدد كل خيار وانقر على زر "تعزيز".

تساعد هذه الإعدادات في حظر مناطق الخطر التي يستخدمها المتسللون غالبًا لهجماتهم.

  1. تكوين تنبيهات التهديد عن طريق البريد الإلكتروني. للتأكد من أن البريد الإلكتروني الخاص بك لا يفسد بريدك ، نوصي بإعداد تلقي رسائل البريد الإلكتروني فقط حول الإجراءات الهامة مثل تسجيل مستخدمين جدد ، والتغييرات في المكونات الإضافية.

يعد Wordfence Security أحد أشهر المكونات الإضافية للأمان مع أكثر من 2 مليون تثبيت نشط وجدار حماية مدمج. يوفر حماية شاملة للموقع على جميع الجبهات:

  • حماية شاملة للموقع ؛
  • الحماية من التهديدات الجديدة ؛
  • الحماية من هجمات القوة الغاشمة ؛
  • الكشف عن حركة المرور الخبيثة ؛
  • منع المتسللين قبل وصولهم إلى الموقع ؛
  • الحماية من الروبوتات ؛
  • حجب الشبكات الخبيثة ؛
  • حماية المدخلات من كلمات مرور القوة الغاشمة وهجمات DDoS ؛
  • فحص الموقع لاكتشاف التهديدات ؛
  • مسح للأبواب الخلفية
  • المسح بحثًا عن أحصنة طروادة ، الشفرة المشبوهة ؛
  • فحص الرسائل والتعليقات.

للحصول على جدار حماية أكثر موثوقية ، ستحتاج إلى شراء إصدار Premium (من 99 دولارًا للسنة). تتوفر ميزات البرنامج المساعد الأساسية في الإصدار المجاني.

أرسل طلبًا إلى Google و Bing وما إلى ذلك.

النتيجة السلبية للاختراق هي أن العديد من محركات البحث والمتصفحات وبرامج الأمان تحدد مواردك على أنها إشكالية وتصدر تنبيهات للمستخدمين الذين يرغبون في زيارة الموقع. وبالتالي ، يحاولون ضمان سلامة مستخدميهم ، ومنعهم من الخطر.

لكي يتمكن موقعك من الوصول إلى قدميه في أسرع وقت ممكن ، اتصل بـ Google و Bing و Yahoo و Mozilla وغيرها من الخدمات لإزالة موقعك من قائمتهم السوداء.

ليستنتج

كما هو الحال مع معظم الأشياء الأخرى التي حدثت بشكل خاطئ فجأة ، فقط كن حذرًا وتأكد من أنك اتخذت كل الاحتياطات الممكنة لحماية موقع WordPress الخاص بك من أي هجمات. إذا كان لا مفر منه وتم اختراقك بالفعل ، فلا تقلق.

ما عليك سوى استخدام التجربة السلبية (التي يمكن تجنبها عادةً) كجرس إنذار ، واتبع الخطوات الموضحة أعلاه ، واستخدم أي تدابير أمنية لتجنب مثل هذا الحدث في المستقبل.