من الواضح أنه لا احد يريد ان يكون موقعه مهدد او تم اختراقه
وإذا حدث ذلك ، فمن المحتمل أن تكون هناك عواقب وخيمة ؛ قد يتم إدراج موقع الويب الخاص بك في قائمة سوداء من محركات البحث ، وقد يحصل على عدد أقل بكثير من الزيارات ، وأخيرا وليس آخرا قد تخسر العملاء .
في هذه المقالة ، سنقدم بعض الخطوات التي يمكنك اتخاذها لتقليل أي ثغرات محتملة. تابع القراءة للحصول على بعض النصائح المفيدة حول كيفية تأمين موقعك!
يعمل WordPress على أكثر من 30٪ من الإنترنت ولديه حوالي 40،000 مكون إضافي تم تصميمه بواسطة مطورين من جميع أنحاء العالم. بالإضافة إلى ذلك ، هناك عشرات الآلاف من السمات المتاحة بحيث يمكنك تخصيص مظهر موقعك.
هناك اعتقاد خاطئ شائع بأن WordPress غير آمن للاستخدام. ومع ذلك ، هذا ليس هو الحال ببساطة لأن الفريق في WordPress يعمل بجد للغاية لمنع مشاكل الأمان. والحقيقة هي أن معظم نقاط الضعف في WordPress ناتجة عن الإضافات والتصميمات السيئة التصميم التي أنشأها مطورون غير مهرة.
يحب العديد من الأشخاص استخدام WordPress بسبب القابلية للتوسعة التي تتيح لك تصميم موقعك وفقًا لاحتياجاتك الخاصة ؛ ومع ذلك ، يجب أن تدرك أنه نظرًا لاستخدام WordPress بشكل شائع ، فهو هدف شائع للهجمات الخبيثة والمتسللين.
هناك نوعان رئيسيان من الاختراقات التي تحدث على مواقع WordPress
النوع الأول هو هجوم مستهدف حيث يتخذ المتسلل قرارًا متعمدًا بخرق موقع الويب الخاص بك. في أغلب الأحيان، يحدث هذا على الأرجح مع مواقع الويب الشهيرة التي قد يختلف فيها أحد المتطفلين أو الناشطين بشدة مع محتوى موقع ويب، أو ربما يحمل ضغينة، على سبيل المثال.
النوع الثاني من الاختراق هو هجوم عام غير مستهدف ، ولا يستهدف أي شخص على وجه الخصوص. يرسل المتسللون هجمات آلية قادرة على مسح مجموعة واسعة من عناوين IP التي تبحث عن مشكلات أمنية معروفة في إصدار معين من WordPress أو مكون إضافي أو قالب بمجرد العثور على نقطة ضعف ، قد تكون هناك فرصة لاستغلالها.
يتمتع الهجوم الخلفي بالقدرة على الوصول إلى خادم موقعك عن بُعد عن طريق تجاوز إجراءات المصادقة المعتادة مثل تسجيل الدخول. وبمجرد وصول شخص ما إلى الخادم الخاص بك ، يمكنه سرقة البيانات المهمة ، بما في ذلك كلمات المرور وتفاصيل الحساب المصرفي.
إذا تم الاستيلاء على موقعك ، فيمكن للمخترق استبدال صفحة الويب الخاصة بك بموقع تصيد ، والذي سيحاول جذب الزائر وسرقة البيانات الخاصه به.
او يمكن تثبيت البرامج الضارة المعروفة باسم البرامج الضارة على مواقع الويب للتجسس على المستخدمين أو لنشر مزيد من الفيروسات.
يمكن للمتسللين إسقاط موقع ويب عن طريق إطلاق هجوم رفض الخدمة ، وغالبًا ما "يجندون" مواقع ويب أخرى لمساعدتهم.
هام: قبل إجراء أي تغييرات على موقع الويب الخاص بك ، يجب اخذ نسخة احتياطية كاملة للتأكد من أنه يمكنك استعادة موقعك إذا كانت هناك أية مشكلات. إذا لم تكن مرتاحًا لإجراء هذه التغييرات ، فإننا نوصي بتعيين مطور(خبير) لتنفيذ هذه التعديلات نيابة عنك.
الآن بعد أن تعرفت أكثر قليلاً عن أمان WordPress ، فقد حان الوقت لتنفيذ التدابير الوقائية التالية على موقع الويب الخاص بك:
قبل تثبيت مكون إضافي للأمان ، تأكد من دراسة إعدادات التكوين وأي وثائق.
يمكن أن يساعد المكون الإضافي الذي تم إعداده بشكل صحيح في تخفيف الكثير من المخاطر وتقليل احتمالية اختراق موقعك ومن أشهر هذه الاضافات.
iThemes Security
يمكن لـ iThemes Security منع هجمات القوة الغاشمة عن طريق إيقاف محاولات تسجيل الدخول غير القانونية ؛ كما أنها جيدة في العثور على الروبوتات التي تبحث عن نقاط الضعف. بالإضافة إلى ذلك ، يمكن لهذا البرنامج المساعد في إخفاء نقاط الضعف وتشغيل عمليات فحص النظام.
All in One Security & Firewall
الكل في واحد الأمن وجدار الحماية هو البرنامج المساعد الذي يمنع وكلاء المستخدم وعناوين IP يوفر أيضًا أمان تسجيل الدخول إلى قاعدة البيانات والمستخدمين ، لذلك فهو بالتأكيد يستحق التدقيق.
Wordfence Security
يوفر Wordfence Security فحصًا أمنيًا ويسمح لك بفرض مصادقة ثنائية. ميزة أخرى كبيرة هي أنه يحدد الهجمات الخبيثة.
ستندهش من عدد الأشخاص الذين يستخدمون كلمات مرور سهلة التخمين مثل كلمة المرور أو كلمة المرور.
يجب أيضًا تجنب كلمات المرور ذات الأحرف المتسلسلة لأن برنامج تكسير كلمات المرور يجدها سهلة الفهم.
إنشاء كلمة مرور آمنة ضروري لتدعيم صفحة تسجيل الدخول الخاصة بك. للقيام بذلك ، تأكد من استخدام مولد كلمة مرور قوي يستخدم مجموعة من الأحرف.
مثل
Password Generator | LastPass
Strong Random Password Generator
Password Generator - RANDOM.ORG
على الرغم من أنه من الأسهل بكثير الحفاظ على اسم مستخدم موقع WordPress الخاص بك على أنه "المسؤول" "Admin" الافتراضي ، فإن ذلك يعد انتهاكًا خطيرًا للأمان.
ستستخدم العديد من الهجمات كلمة "المسؤول ""Admin" لتسجيل الدخول لأن المتسللين يأملون في ألا يكون أصحاب المواقع لديهم القدرة على تعديلها.
تابع هذا التغيير الحاسم عن طريق إنشاء مستخدم جديد عبر الذهاب الي المستخدمين> مستخدم جديد ، ثم منح حقوق تسجيل الدخول الجديدة الخاصة بك.
بعد ذلك ، قم بتسجيل الدخول باستخدام حساب الإدارة الجديد الخاص بك وحذف حساب "المسؤول" الافتراضي القديم.
ملاحظة: لحسن الحظ ، يتجنب الآن الكثير من المضيفين استخدام اسم المستخدم الافتراضي "المسؤول".
هناك إجراء إضافي يمكن اتخاذه لتأمين تثبيت WordPress الخاص بك وهو إعداد مصادقة ثنائية .
حتى لو كنت قد اتخذت هذه الخطوة لاستخدام كلمة مرور قوية وتعديل اسم المستخدم المسؤول الخاص بك. سيؤدي تمكين 2 FA إلى منع الوصول إلى تفاصيل تسجيل الدخول الخاصة بك.
لمساعدتك في إعداد هذه الميزة الأساسية ، يمكنك استخدام المكونات الإضافية مثل Authy و Rublon و UNLOQ و Keyy.
ويمكنك استخدام تلك الخاصية عن طريق تثبيت اضافة Google Authenticator for WordPress
عند منح شخص جديد حق الوصول إلى موقعك ، قم بإعداد تسجيل دخول جديد لا يحتوي على مزيد من الامتيازات الأمنية اللازمة لتمكينه من أداء وظيفته.
على سبيل المثال ، لن تمنح شخصًا ما حق الوصول الإداري الكامل عندما يكون كل ما يحتاج القيام بة إليه هو بعض التعديلات البسيطة.
خذ نسخة احتياطية من ملف wp-config.php الخاص بك ، ثم قم بتعديل النص الأصلي عن طريق إضافة النص أدناه:
define('DISALLOW_FILE_EDIT', true);
بإضافة هذه الأسطر القليلة المفيدة من التعليمات البرمجية ، يمكنك منع المتسللين من إجراء تغييرات على موقعك عبر
محرر المظهر في الووردبريس
إنه لألم دائم أن تتحقق من أن موقعك دائمًا محدّث.
من خلال تطبيق التحديثات التلقائية ، يمكنك أن تطمئن إلى أن السمات والإضافات يتم تحديثها تلقائيًا في كل مرة يتم فيها إصدار أحدث إصدار.
يمكنك استخدام المكون الإضافي Advanced Automatic Updates أو إضافة الكود أدناه إلى ملف wp-config.php لإعداد التحديثات التلقائية:
add_filter( 'auto_update_theme', '__return_true' );
add_filter( 'auto_update_plugin', '__return_true' );
لا تقم أبدًا بتنزيل المكونات الإضافية الممتازة دون سدادها ، وتأكد دائمًا من شراء الإضافات من المواقع ذات السمعة الطيبة.
إن نتيجة تنزيل الإضافات المجانية الممتازة هي أنه يمكن أن يصاب بالبرامج الضارة ، وهذا يعني إذا قمت بتثبيتها أنها ستؤدي إلى مضاعفات خطيرة.
قم بإجراء بعض المتطلبات المسبقة قبل تنزيل البرنامج المساعد أو السمة. ألقِ نظرة على المراجعات واكتشف آخر مرة تم فيها تحديثها.
اذا حدث اختراق لموقعك او حدثت اي مشكلة يمكن بكل سهولة استرجاع موقعك كما كان من خلال النسخة الاحتياطية
التي قمت باخذها مسبقا.
اهم الاضافات الخاصة بالنسخ الاحتياطي
1. UpDraftPlus Backup and Restoration
2. VaultPress
3. BackupBuddy
4. BackWPUp
5. WP-DB-Backup
6. BackupWordPress
إذا لم يتم تحديث مكون إضافي أو سمة لفترة من الوقت ، فمن المحتمل أن المطور لم يعد يعمل عليها وسيصبح قديمًا. من الحكمة أيضًا التحقق من التوافق مع إصدار WordPress الخاص بك.
راقب المكونات الإضافية التي قمت بتثبيتها بالفعل. إذا لم تعد تستخدمها ، فقم بإلغاء تثبيتها.
إن أبسط طريقة للحفاظ على أمان موقعك هي الذهاب الي مزود استضافة يوفر طبقات متعددة من الأمان.
قد يبدو من المغري الذهاب مع موفر استضافة رخيص ، بعد كل توفير المال على استضافة موقع الويب الخاص بك يعني أنه يمكنك إنفاقه في أي مكان آخر داخل مؤسستك. ومع ذلك ، لا تنخدع بهذه الطريقة.
يمكن محو بياناتك تمامًا ويمكن أن يبدأ عنوان URL في إعادة التوجيه في مكان آخر.
إن دفع مبلغ أكبر قليلاً مقابل شركة استضافة عالية الجودة يعني أن طبقات إضافية من الأمان تأتي تلقائيًا إلى موقع الويب الخاص بك. فائدة إضافية ، باستخدام استضافة WordPress جيدة ، يمكنك تسريع موقع WordPressبشكل ملحوظ.
بينما هناك العديد من شركات الاستضافة ، نوصي باستخدام hostgator. أنها توفر العديد من ميزات الأمان بما في ذلك عمليات الفحص اليومية للبرامج الضارة والوصول إلى الدعم على مدار الساعة طوال أيام الأسبوع كما ان سعرها معقول أيضا.
order allow,deny
deny from all
</Files>
بطريقة مماثلة ، ستقوم بإضافة الكود التالي إلى ملف htaccess الخاص بك ،
<Files .htaccess>
order allow,deny
deny from all
</Files>
إذا أنشأت مجلد جديدًا كجزء من موقع الويب الخاص بك ولم تضع ملف index.html فيه ، فقد تفاجأ عندما تجد أن زائريك يمكنهم الحصول على قائمة كاملة بكل ما هو موجود في هذا المجلد.
على سبيل المثال ، إذا قمت بإنشاء مجلد يسمى "البيانات" ، يمكنك رؤية كل شيء في هذا المجلد ببساطة عن طريق كتابة http://www.example.com/data/ في متصفحك. ليس هناك حاجة إلى كلمة مرور أو أي شيء.
توضيح ما هو تصفح المجلدات او الملفات
يتم استعراض المجلدات عند الوصول إلى موقع ويب باستخدام مستعرض ويب وبدلاً من صفحة ويب ، ترى قائمة من الملفات والمجلدات. يحدث هذا لأن خادم الويب الذي يستضيف موقعك لا يمكنه فقط عرض صفحات الويب. ولكن أيضا محتوى المجلدات على شبكة الإنترنت وغيرها من الملفات. سبب حدوث ذلك هو عدم وجود ملف فهرس index.html أو index.php في المجلد.
عندما يرسل المستعرض طلبًا للوصول إلى صفحة ويب ، فإن خادم الويب هو الذي يعالج هذا الطلب. يمكن تهيئة خادم الويب أو توجيهه لتحديد أولويات صفحات الويب التي يتم عرضها عند تلقي هذه الطلبات.
يمكنك منع ذلك عن طريق إضافة سطر التعليمات البرمجية التالي في ملف htaccess الخاص بك:
Options -Indexes
افتراضيا عندما تقوم بتثبيت سكربت الووردبريس تكون بادئة قاعدة البيانات wp_
من المهم تغيير تلك البادئة حتي يصعب علي المخترق تخمين اسماء جداول قاعدة البيانات
بحيث تكون بهذا الشكل wp_a1b2c3d4 ويصعب معرفتها.
ملاحظة: يمكنك فقط تغييرها إلى أرقام وحروف وشرطات سفلية.
ويمكن تغييرها عن طريق اضافة :
WP-DBManager
او من خلال إضافة iThemes Security
اذا لم تقم بتغييرها من البداية أثناء تنصيب سكربت الووردبريس
بشكل افتراضي ، يوجد ملف. htaccess في مجلد جذر موقع WordPress الخاص بك ، ولكن يمكنك أيضًا إنشاؤه واستخدامه داخل مجلدات WordPres الخاصة بك.
لحماية موقع الويب الخاص بك من ملفات الوصول إلى الباب الخلفي ، تحتاج إلى إنشاء ملف htaccess وتحميله إلى موقعك بداخل / wp-include / و / wp-content / uploads
ما عليك سوى إنشاء ملف فارغ على جهاز الكمبيوتر الخاص بك باستخدام محرر نصوص مثل Notepad ثم الصق التعليمة البرمجية التالية بداخله و احفظ الملف كـ .htaccess
<Files *.php>
deny from all
</Files>
الآن قم بحفظ الملف على جهاز الكمبيوتر الخاص بك.
بعد ذلك ، تحتاج إلى تحميل هذا الملف إلى / wp-include / و / wp-content / uploads / folder على خادم استضافة WordPress الخاص بك.
يمكنك تحميله باستخدام برنامج FTP أو عبر تطبيق File Manager في لوحة تحكم cPanel الخاصة بحساب الاستضافة.
قم بتحميل ملف htaccess إلى موقع WordPress الخاص بك
بمجرد إضافة ملف .htaccess الذي يحتوي على الكود أعلاه ، فإنه سيتم إيقاف تشغيل أي ملف PHP في هذه المجلدات.
في نهاية هذة المقالة حول كيفية تأمين موقع الويب الخاص بك على ووردبريس
إن كل ما ذكرته في هذه المقالة يمثل خطوة في الاتجاه الصحيح. كلما اهتممت بأمان WordPress الخاص بك ، كلما زاد صعوبة اقتحام أحد المتسللين لموقعك.
ومع ذلك ، مع ما يقال ، ربما بنفس القدر من الأهمية مثل الأمن هو أداء موقع الويب. بشكل أساسي ، بدون وجود موقع ويب يتم تحميله بسرعة ، فلن تتاح للزائرين أبدًا فرصة لمشاهدة المحتوى الخاص بك. سوف ينتظر زائر الموقع العادي لمدة ثانيتين فقط قبل الإحباط والمغادرة.
ستكون إدارة موقع الويب أسهل بكثير إذا لم يكن لدينا ما يدعو للقلق بشأن الهجمات الضارة. ومع ذلك ، في العالم الواقعي ، يجب أن تكون زيادة أمان موقع الويب الخاص بك في قمة قائمتك. حتى لو كنت تملك موقعًا صغيرًا على الويب ، فإن الاختراقات الآلية لا تزال مدعاة للقلق.
على الجانب الإيجابي ، من خلال إعداد بعض التدابير الأمنية المذكورة أعلاه وأخذ نسخ احتياطية منتظمة ، يمكنك تقليل فرصة اختراق موقعك على نحو كبير.
سيؤدي الإجراء الاستباقي الذي تقوم به لتشديد أمان موقعك الآن إلى حماية موقعك جيدًا في المستقبل.
وإذا حدث ذلك ، فمن المحتمل أن تكون هناك عواقب وخيمة ؛ قد يتم إدراج موقع الويب الخاص بك في قائمة سوداء من محركات البحث ، وقد يحصل على عدد أقل بكثير من الزيارات ، وأخيرا وليس آخرا قد تخسر العملاء .
في هذه المقالة ، سنقدم بعض الخطوات التي يمكنك اتخاذها لتقليل أي ثغرات محتملة. تابع القراءة للحصول على بعض النصائح المفيدة حول كيفية تأمين موقعك!
يعمل WordPress على أكثر من 30٪ من الإنترنت ولديه حوالي 40،000 مكون إضافي تم تصميمه بواسطة مطورين من جميع أنحاء العالم. بالإضافة إلى ذلك ، هناك عشرات الآلاف من السمات المتاحة بحيث يمكنك تخصيص مظهر موقعك.
هناك اعتقاد خاطئ شائع بأن WordPress غير آمن للاستخدام. ومع ذلك ، هذا ليس هو الحال ببساطة لأن الفريق في WordPress يعمل بجد للغاية لمنع مشاكل الأمان. والحقيقة هي أن معظم نقاط الضعف في WordPress ناتجة عن الإضافات والتصميمات السيئة التصميم التي أنشأها مطورون غير مهرة.
يحب العديد من الأشخاص استخدام WordPress بسبب القابلية للتوسعة التي تتيح لك تصميم موقعك وفقًا لاحتياجاتك الخاصة ؛ ومع ذلك ، يجب أن تدرك أنه نظرًا لاستخدام WordPress بشكل شائع ، فهو هدف شائع للهجمات الخبيثة والمتسللين.
أنواع الاختراقات
هناك نوعان رئيسيان من الاختراقات التي تحدث على مواقع WordPress
النوع الأول هو هجوم مستهدف حيث يتخذ المتسلل قرارًا متعمدًا بخرق موقع الويب الخاص بك. في أغلب الأحيان، يحدث هذا على الأرجح مع مواقع الويب الشهيرة التي قد يختلف فيها أحد المتطفلين أو الناشطين بشدة مع محتوى موقع ويب، أو ربما يحمل ضغينة، على سبيل المثال.
النوع الثاني من الاختراق هو هجوم عام غير مستهدف ، ولا يستهدف أي شخص على وجه الخصوص. يرسل المتسللون هجمات آلية قادرة على مسح مجموعة واسعة من عناوين IP التي تبحث عن مشكلات أمنية معروفة في إصدار معين من WordPress أو مكون إضافي أو قالب بمجرد العثور على نقطة ضعف ، قد تكون هناك فرصة لاستغلالها.
يتمتع الهجوم الخلفي بالقدرة على الوصول إلى خادم موقعك عن بُعد عن طريق تجاوز إجراءات المصادقة المعتادة مثل تسجيل الدخول. وبمجرد وصول شخص ما إلى الخادم الخاص بك ، يمكنه سرقة البيانات المهمة ، بما في ذلك كلمات المرور وتفاصيل الحساب المصرفي.
إذا تم الاستيلاء على موقعك ، فيمكن للمخترق استبدال صفحة الويب الخاصة بك بموقع تصيد ، والذي سيحاول جذب الزائر وسرقة البيانات الخاصه به.
او يمكن تثبيت البرامج الضارة المعروفة باسم البرامج الضارة على مواقع الويب للتجسس على المستخدمين أو لنشر مزيد من الفيروسات.
يمكن للمتسللين إسقاط موقع ويب عن طريق إطلاق هجوم رفض الخدمة ، وغالبًا ما "يجندون" مواقع ويب أخرى لمساعدتهم.
هام: قبل إجراء أي تغييرات على موقع الويب الخاص بك ، يجب اخذ نسخة احتياطية كاملة للتأكد من أنه يمكنك استعادة موقعك إذا كانت هناك أية مشكلات. إذا لم تكن مرتاحًا لإجراء هذه التغييرات ، فإننا نوصي بتعيين مطور(خبير) لتنفيذ هذه التعديلات نيابة عنك.
الآن بعد أن تعرفت أكثر قليلاً عن أمان WordPress ، فقد حان الوقت لتنفيذ التدابير الوقائية التالية على موقع الويب الخاص بك:
1- تثبيت الإضافات الخاصة بحماية سكربت الووردبريس
قبل تثبيت مكون إضافي للأمان ، تأكد من دراسة إعدادات التكوين وأي وثائق.
يمكن أن يساعد المكون الإضافي الذي تم إعداده بشكل صحيح في تخفيف الكثير من المخاطر وتقليل احتمالية اختراق موقعك ومن أشهر هذه الاضافات.
iThemes Security
يمكن لـ iThemes Security منع هجمات القوة الغاشمة عن طريق إيقاف محاولات تسجيل الدخول غير القانونية ؛ كما أنها جيدة في العثور على الروبوتات التي تبحث عن نقاط الضعف. بالإضافة إلى ذلك ، يمكن لهذا البرنامج المساعد في إخفاء نقاط الضعف وتشغيل عمليات فحص النظام.
All in One Security & Firewall
الكل في واحد الأمن وجدار الحماية هو البرنامج المساعد الذي يمنع وكلاء المستخدم وعناوين IP يوفر أيضًا أمان تسجيل الدخول إلى قاعدة البيانات والمستخدمين ، لذلك فهو بالتأكيد يستحق التدقيق.
Wordfence Security
يوفر Wordfence Security فحصًا أمنيًا ويسمح لك بفرض مصادقة ثنائية. ميزة أخرى كبيرة هي أنه يحدد الهجمات الخبيثة.
2- لا تستخدم كلمات المرور الشائعة
ستندهش من عدد الأشخاص الذين يستخدمون كلمات مرور سهلة التخمين مثل كلمة المرور أو كلمة المرور.
يجب أيضًا تجنب كلمات المرور ذات الأحرف المتسلسلة لأن برنامج تكسير كلمات المرور يجدها سهلة الفهم.
إنشاء كلمة مرور آمنة ضروري لتدعيم صفحة تسجيل الدخول الخاصة بك. للقيام بذلك ، تأكد من استخدام مولد كلمة مرور قوي يستخدم مجموعة من الأحرف.
مثل
Password Generator | LastPass
Strong Random Password Generator
Password Generator - RANDOM.ORG
3- تغيير اسم المستخدم الافتراضي
على الرغم من أنه من الأسهل بكثير الحفاظ على اسم مستخدم موقع WordPress الخاص بك على أنه "المسؤول" "Admin" الافتراضي ، فإن ذلك يعد انتهاكًا خطيرًا للأمان.
ستستخدم العديد من الهجمات كلمة "المسؤول ""Admin" لتسجيل الدخول لأن المتسللين يأملون في ألا يكون أصحاب المواقع لديهم القدرة على تعديلها.
تابع هذا التغيير الحاسم عن طريق إنشاء مستخدم جديد عبر الذهاب الي المستخدمين> مستخدم جديد ، ثم منح حقوق تسجيل الدخول الجديدة الخاصة بك.
بعد ذلك ، قم بتسجيل الدخول باستخدام حساب الإدارة الجديد الخاص بك وحذف حساب "المسؤول" الافتراضي القديم.
ملاحظة: لحسن الحظ ، يتجنب الآن الكثير من المضيفين استخدام اسم المستخدم الافتراضي "المسؤول".
4- إعداد عامل التوثيق بخطوتين TWO-FACTOR AUTHENTICATION
هناك إجراء إضافي يمكن اتخاذه لتأمين تثبيت WordPress الخاص بك وهو إعداد مصادقة ثنائية .
حتى لو كنت قد اتخذت هذه الخطوة لاستخدام كلمة مرور قوية وتعديل اسم المستخدم المسؤول الخاص بك. سيؤدي تمكين 2 FA إلى منع الوصول إلى تفاصيل تسجيل الدخول الخاصة بك.
لمساعدتك في إعداد هذه الميزة الأساسية ، يمكنك استخدام المكونات الإضافية مثل Authy و Rublon و UNLOQ و Keyy.
ويمكنك استخدام تلك الخاصية عن طريق تثبيت اضافة Google Authenticator for WordPress
5- عدم اعطاء الامتيازات الكاملة لأي شخص
عند منح شخص جديد حق الوصول إلى موقعك ، قم بإعداد تسجيل دخول جديد لا يحتوي على مزيد من الامتيازات الأمنية اللازمة لتمكينه من أداء وظيفته.
على سبيل المثال ، لن تمنح شخصًا ما حق الوصول الإداري الكامل عندما يكون كل ما يحتاج القيام بة إليه هو بعض التعديلات البسيطة.
6- إيقاف تشغيل تحرير الملف
define('DISALLOW_FILE_EDIT', true);
بإضافة هذه الأسطر القليلة المفيدة من التعليمات البرمجية ، يمكنك منع المتسللين من إجراء تغييرات على موقعك عبر
محرر المظهر في الووردبريس
7- تحديث سكربت الووردبريس و الإضافات و القوالب بانتظام
إنه لألم دائم أن تتحقق من أن موقعك دائمًا محدّث.
من خلال تطبيق التحديثات التلقائية ، يمكنك أن تطمئن إلى أن السمات والإضافات يتم تحديثها تلقائيًا في كل مرة يتم فيها إصدار أحدث إصدار.
يمكنك استخدام المكون الإضافي Advanced Automatic Updates أو إضافة الكود أدناه إلى ملف wp-config.php لإعداد التحديثات التلقائية:
add_filter( 'auto_update_theme', '__return_true' );
add_filter( 'auto_update_plugin', '__return_true' );
8- استخدم أفضل السمات (القوالب) والإضافات
لا تقم أبدًا بتنزيل المكونات الإضافية الممتازة دون سدادها ، وتأكد دائمًا من شراء الإضافات من المواقع ذات السمعة الطيبة.
إن نتيجة تنزيل الإضافات المجانية الممتازة هي أنه يمكن أن يصاب بالبرامج الضارة ، وهذا يعني إذا قمت بتثبيتها أنها ستؤدي إلى مضاعفات خطيرة.
قم بإجراء بعض المتطلبات المسبقة قبل تنزيل البرنامج المساعد أو السمة. ألقِ نظرة على المراجعات واكتشف آخر مرة تم فيها تحديثها.
9- أخذ نسخة احتياطية من ملفات موقعك
اذا حدث اختراق لموقعك او حدثت اي مشكلة يمكن بكل سهولة استرجاع موقعك كما كان من خلال النسخة الاحتياطية
التي قمت باخذها مسبقا.
اهم الاضافات الخاصة بالنسخ الاحتياطي
1. UpDraftPlus Backup and Restoration
2. VaultPress
3. BackupBuddy
4. BackWPUp
5. WP-DB-Backup
6. BackupWordPress
إذا لم يتم تحديث مكون إضافي أو سمة لفترة من الوقت ، فمن المحتمل أن المطور لم يعد يعمل عليها وسيصبح قديمًا. من الحكمة أيضًا التحقق من التوافق مع إصدار WordPress الخاص بك.
راقب المكونات الإضافية التي قمت بتثبيتها بالفعل. إذا لم تعد تستخدمها ، فقم بإلغاء تثبيتها.
10- اختيار شركة استضافة جيدة
إن أبسط طريقة للحفاظ على أمان موقعك هي الذهاب الي مزود استضافة يوفر طبقات متعددة من الأمان.
قد يبدو من المغري الذهاب مع موفر استضافة رخيص ، بعد كل توفير المال على استضافة موقع الويب الخاص بك يعني أنه يمكنك إنفاقه في أي مكان آخر داخل مؤسستك. ومع ذلك ، لا تنخدع بهذه الطريقة.
يمكن محو بياناتك تمامًا ويمكن أن يبدأ عنوان URL في إعادة التوجيه في مكان آخر.
إن دفع مبلغ أكبر قليلاً مقابل شركة استضافة عالية الجودة يعني أن طبقات إضافية من الأمان تأتي تلقائيًا إلى موقع الويب الخاص بك. فائدة إضافية ، باستخدام استضافة WordPress جيدة ، يمكنك تسريع موقع WordPressبشكل ملحوظ.
بينما هناك العديد من شركات الاستضافة ، نوصي باستخدام hostgator. أنها توفر العديد من ميزات الأمان بما في ذلك عمليات الفحص اليومية للبرامج الضارة والوصول إلى الدعم على مدار الساعة طوال أيام الأسبوع كما ان سعرها معقول أيضا.
11- تثبيت شهادة أمان SSL
وهو ببساطة تحويل بروتوكول http الي https وهي اختصار Secure Sockets Layer
في الوقت الحاضر ، تعد شهادة الامان SSL مفيدة لجميع أنواع المواقع.
في البداية كانت هناك حاجة إلى طبقة حماية (SSL) لجعل موقعًا آمنًا لمعاملات محددة ، مثل معالجة المدفوعات. ومع ذلك ، فقد أدركت Google اليوم أهميتها وتظهر المواقع بشهادة طبقة الآمنة بمكان أكثر أهمية ضمن نتائج البحث.
طبقة الحماية إلزامية لأي مواقع تعالج المعلومات الحساسة ، مثل كلمات المرور أو تفاصيل بطاقة الائتمان. بدون شهادة SSL ، يتم تسليم جميع البيانات بين متصفح الويب الخاص بالمستخدم وخادم الويب بنص عادي. هذا يمكن قراءته من قبل المتسللين. باستخدام طبقة الحماية الآمنة (SSL) ، يتم تشفير المعلومات الحساسة قبل نقلها بين المستعرض والخادم ، مما يجعل قراءة موقعك أكثر صعوبة وجعله أكثر أمانًا.
يمكن العثور على رقم إصدار WordPress الحالي الخاص بك بسهولة شديدة. إنه موجود بشكل أساسي في عرض مصدر موقعك. يمكنك أيضًا رؤيتها في أسفل لوحة المعلومات ولكن هذا لا يهم عند محاولة تأمين موقع الويب الخاص بك على WordPress
إليك ما يلي: إذا كان المتسللون يعرفون أي إصدار من WordPress تستخدمه ، فمن الأسهل بالنسبة لهم تصميم الهجوم المثالي.
لإزالة رقم الإصدار من سكربت الووردبريس قم بإضافة الكود التالي إلى ملف functions.php الخاص بك:
function startnow_remove_version() {
return '';
}
add_filter('the_generator', startnow_remove_version');
ويمكن أيضاً ان تقوم بذلك عن طريق اي اضافة من الإضافات التالية :
SUCURI SECURITY
ITHEMES SECURITY
BULLETPROOF SECURITY
يعد تغيير عنوان URL لتسجيل الدخول أمرًا سهلاً. افتراضيًا ، يمكن الوصول إلى صفحة تسجيل الدخول إلى WordPress بسهولة عبر wp-login.php أو إضافة wp-admin إلى عنوان URL الرئيسي للموقع.
عندما يعرف المتسللون عنوان URL المباشر لصفحة تسجيل الدخول الخاصة بك ، فيمكنهم محاولة إفساد طريقهم. ويحاولون تسجيل الدخول باستخدام GWDb قاعدة بيانات عمل التخمين ، أي قاعدة بيانات لأسماء المستخدمين وكلمات المرور المضاربة ؛ على سبيل المثال اسم المستخدم: المسؤول وكلمة المرور: p @ ssword ... مع ملايين هذه المجموعات
هذه الخدعة الصغيرة تقيد الدخول غير المصرح به من الوصول إلى صفحة تسجيل الدخول. فقط شخص لديه عنوان URL الدقيق يمكنه القيام بذلك. مرة أخرى ، يمكن أن يساعدك المكون الإضافي لـ iThemes Security في تغيير عناوين URL الخاصة بتسجيل الدخول. مثل ذلك:
تغيير wp-login.php إلى شيء فريد ؛ مثلا my_new_login
تغيير / wp-admin / إلى شيء فريد ؛ مثلا my_new_admin
تغيير /wp-login.php؟ action=register إلى شيء فريد ؛ مثلا my_new_registeration
بشكل افتراضي ، يسمح WordPress للمستخدمين بمحاولة تسجيل الدخول قدر ما يريدون. على الرغم من أن هذا قد يساعدك في حالة نسيان الحروف الكبيرة بشكل متكرر ، إلا أنه يفتح عليك أيضًا شن هجمات عنيفة.
من خلال الحد من محاولات تسجيل الدخول إلى ثلاث محاولات ، يمكن للمستخدمين تجربة عدد محدود من المرات حتى يتم حظرهم مؤقتًا. يحد من فرصتك في محاولة القوة الغاشمة حيث يتم إغلاق التسجيل قبل ان يتمكن القراصنة من إنهاء هجومهم.
يمكنك تمكين ذلك بسهولة باستخدام البرنامج المساعد لتسجيل الدخول إلى WordPress بعد تثبيت المكوّن الإضافي ، يمكنك تغيير عدد محاولات تسجيل الدخول عبر الإعدادات محاولات الحد من تسجيل الدخول.
قم باستخدام هذة الاضافة
WordPress login limit attempts plugin
رغم أن هذه عملية متقدمة لتحسين أمان موقعك ، فإذا كنت جادًا بشأن أمانك ، فمن الممارسات الجيدة إخفاء ملفات .htaccess و wp-config.php الخاصة بموقعك لمنع المتسللين من الوصول إليها.
نوصي بشدة بتنفيذ هذا الخيار من قِبل المطورين ذوي الخبرة ، حيث يتحتم أولاً إجراء نسخة احتياطية من موقعك ثم المتابعة بحذر. أي خطأ قد يجعل موقعك غير قابل للوصول.
لإخفاء الملفات ، بعد النسخ الاحتياطي لديك ، هناك شيئان تحتاج إلى القيام به:
أولاً ، انتقل إلى ملف wp-config.php وأضف الكود التالي
<Files wp-config.php>
في الوقت الحاضر ، تعد شهادة الامان SSL مفيدة لجميع أنواع المواقع.
في البداية كانت هناك حاجة إلى طبقة حماية (SSL) لجعل موقعًا آمنًا لمعاملات محددة ، مثل معالجة المدفوعات. ومع ذلك ، فقد أدركت Google اليوم أهميتها وتظهر المواقع بشهادة طبقة الآمنة بمكان أكثر أهمية ضمن نتائج البحث.
طبقة الحماية إلزامية لأي مواقع تعالج المعلومات الحساسة ، مثل كلمات المرور أو تفاصيل بطاقة الائتمان. بدون شهادة SSL ، يتم تسليم جميع البيانات بين متصفح الويب الخاص بالمستخدم وخادم الويب بنص عادي. هذا يمكن قراءته من قبل المتسللين. باستخدام طبقة الحماية الآمنة (SSL) ، يتم تشفير المعلومات الحساسة قبل نقلها بين المستعرض والخادم ، مما يجعل قراءة موقعك أكثر صعوبة وجعله أكثر أمانًا.
12- أزل رقم إصدار WordPress الخاص بك
يمكن العثور على رقم إصدار WordPress الحالي الخاص بك بسهولة شديدة. إنه موجود بشكل أساسي في عرض مصدر موقعك. يمكنك أيضًا رؤيتها في أسفل لوحة المعلومات ولكن هذا لا يهم عند محاولة تأمين موقع الويب الخاص بك على WordPress
إليك ما يلي: إذا كان المتسللون يعرفون أي إصدار من WordPress تستخدمه ، فمن الأسهل بالنسبة لهم تصميم الهجوم المثالي.
لإزالة رقم الإصدار من سكربت الووردبريس قم بإضافة الكود التالي إلى ملف functions.php الخاص بك:
function startnow_remove_version() {
return '';
}
add_filter('the_generator', startnow_remove_version');
ويمكن أيضاً ان تقوم بذلك عن طريق اي اضافة من الإضافات التالية :
SUCURI SECURITY
ITHEMES SECURITY
BULLETPROOF SECURITY
13- إعادة تسمية عنوان URL لتسجيل الدخول
يعد تغيير عنوان URL لتسجيل الدخول أمرًا سهلاً. افتراضيًا ، يمكن الوصول إلى صفحة تسجيل الدخول إلى WordPress بسهولة عبر wp-login.php أو إضافة wp-admin إلى عنوان URL الرئيسي للموقع.
عندما يعرف المتسللون عنوان URL المباشر لصفحة تسجيل الدخول الخاصة بك ، فيمكنهم محاولة إفساد طريقهم. ويحاولون تسجيل الدخول باستخدام GWDb قاعدة بيانات عمل التخمين ، أي قاعدة بيانات لأسماء المستخدمين وكلمات المرور المضاربة ؛ على سبيل المثال اسم المستخدم: المسؤول وكلمة المرور: p @ ssword ... مع ملايين هذه المجموعات
هذه الخدعة الصغيرة تقيد الدخول غير المصرح به من الوصول إلى صفحة تسجيل الدخول. فقط شخص لديه عنوان URL الدقيق يمكنه القيام بذلك. مرة أخرى ، يمكن أن يساعدك المكون الإضافي لـ iThemes Security في تغيير عناوين URL الخاصة بتسجيل الدخول. مثل ذلك:
تغيير wp-login.php إلى شيء فريد ؛ مثلا my_new_login
تغيير / wp-admin / إلى شيء فريد ؛ مثلا my_new_admin
تغيير /wp-login.php؟ action=register إلى شيء فريد ؛ مثلا my_new_registeration
14- الحد من محاولات تسجيل الدخول
بشكل افتراضي ، يسمح WordPress للمستخدمين بمحاولة تسجيل الدخول قدر ما يريدون. على الرغم من أن هذا قد يساعدك في حالة نسيان الحروف الكبيرة بشكل متكرر ، إلا أنه يفتح عليك أيضًا شن هجمات عنيفة.
من خلال الحد من محاولات تسجيل الدخول إلى ثلاث محاولات ، يمكن للمستخدمين تجربة عدد محدود من المرات حتى يتم حظرهم مؤقتًا. يحد من فرصتك في محاولة القوة الغاشمة حيث يتم إغلاق التسجيل قبل ان يتمكن القراصنة من إنهاء هجومهم.
يمكنك تمكين ذلك بسهولة باستخدام البرنامج المساعد لتسجيل الدخول إلى WordPress بعد تثبيت المكوّن الإضافي ، يمكنك تغيير عدد محاولات تسجيل الدخول عبر الإعدادات محاولات الحد من تسجيل الدخول.
قم باستخدام هذة الاضافة
WordPress login limit attempts plugin
15- إخفاء ملفات wp-config.php و htaccess
رغم أن هذه عملية متقدمة لتحسين أمان موقعك ، فإذا كنت جادًا بشأن أمانك ، فمن الممارسات الجيدة إخفاء ملفات .htaccess و wp-config.php الخاصة بموقعك لمنع المتسللين من الوصول إليها.
نوصي بشدة بتنفيذ هذا الخيار من قِبل المطورين ذوي الخبرة ، حيث يتحتم أولاً إجراء نسخة احتياطية من موقعك ثم المتابعة بحذر. أي خطأ قد يجعل موقعك غير قابل للوصول.
لإخفاء الملفات ، بعد النسخ الاحتياطي لديك ، هناك شيئان تحتاج إلى القيام به:
أولاً ، انتقل إلى ملف wp-config.php وأضف الكود التالي
<Files wp-config.php>
order allow,deny
deny from all
</Files>
بطريقة مماثلة ، ستقوم بإضافة الكود التالي إلى ملف htaccess الخاص بك ،
<Files .htaccess>
order allow,deny
deny from all
</Files>
16- تعطيل تصفح المجلدات
إذا أنشأت مجلد جديدًا كجزء من موقع الويب الخاص بك ولم تضع ملف index.html فيه ، فقد تفاجأ عندما تجد أن زائريك يمكنهم الحصول على قائمة كاملة بكل ما هو موجود في هذا المجلد.
على سبيل المثال ، إذا قمت بإنشاء مجلد يسمى "البيانات" ، يمكنك رؤية كل شيء في هذا المجلد ببساطة عن طريق كتابة http://www.example.com/data/ في متصفحك. ليس هناك حاجة إلى كلمة مرور أو أي شيء.
توضيح ما هو تصفح المجلدات او الملفات
يتم استعراض المجلدات عند الوصول إلى موقع ويب باستخدام مستعرض ويب وبدلاً من صفحة ويب ، ترى قائمة من الملفات والمجلدات. يحدث هذا لأن خادم الويب الذي يستضيف موقعك لا يمكنه فقط عرض صفحات الويب. ولكن أيضا محتوى المجلدات على شبكة الإنترنت وغيرها من الملفات. سبب حدوث ذلك هو عدم وجود ملف فهرس index.html أو index.php في المجلد.
عندما يرسل المستعرض طلبًا للوصول إلى صفحة ويب ، فإن خادم الويب هو الذي يعالج هذا الطلب. يمكن تهيئة خادم الويب أو توجيهه لتحديد أولويات صفحات الويب التي يتم عرضها عند تلقي هذه الطلبات.
يمكنك منع ذلك عن طريق إضافة سطر التعليمات البرمجية التالي في ملف htaccess الخاص بك:
Options -Indexes
17- تغيير بادئة قاعدة البيانات
افتراضيا عندما تقوم بتثبيت سكربت الووردبريس تكون بادئة قاعدة البيانات wp_
من المهم تغيير تلك البادئة حتي يصعب علي المخترق تخمين اسماء جداول قاعدة البيانات
بحيث تكون بهذا الشكل wp_a1b2c3d4 ويصعب معرفتها.
ملاحظة: يمكنك فقط تغييرها إلى أرقام وحروف وشرطات سفلية.
ويمكن تغييرها عن طريق اضافة :
WP-DBManager
او من خلال إضافة iThemes Security
اذا لم تقم بتغييرها من البداية أثناء تنصيب سكربت الووردبريس
18- تعطيل تنفيذ PHP في بعض مجلدات WordPress باستخدام .htaccess File
بشكل افتراضي ، يوجد ملف. htaccess في مجلد جذر موقع WordPress الخاص بك ، ولكن يمكنك أيضًا إنشاؤه واستخدامه داخل مجلدات WordPres الخاصة بك.
لحماية موقع الويب الخاص بك من ملفات الوصول إلى الباب الخلفي ، تحتاج إلى إنشاء ملف htaccess وتحميله إلى موقعك بداخل / wp-include / و / wp-content / uploads
ما عليك سوى إنشاء ملف فارغ على جهاز الكمبيوتر الخاص بك باستخدام محرر نصوص مثل Notepad ثم الصق التعليمة البرمجية التالية بداخله و احفظ الملف كـ .htaccess
<Files *.php>
deny from all
</Files>
الآن قم بحفظ الملف على جهاز الكمبيوتر الخاص بك.
بعد ذلك ، تحتاج إلى تحميل هذا الملف إلى / wp-include / و / wp-content / uploads / folder على خادم استضافة WordPress الخاص بك.
يمكنك تحميله باستخدام برنامج FTP أو عبر تطبيق File Manager في لوحة تحكم cPanel الخاصة بحساب الاستضافة.
قم بتحميل ملف htaccess إلى موقع WordPress الخاص بك
بمجرد إضافة ملف .htaccess الذي يحتوي على الكود أعلاه ، فإنه سيتم إيقاف تشغيل أي ملف PHP في هذه المجلدات.
في نهاية هذة المقالة حول كيفية تأمين موقع الويب الخاص بك على ووردبريس
إن كل ما ذكرته في هذه المقالة يمثل خطوة في الاتجاه الصحيح. كلما اهتممت بأمان WordPress الخاص بك ، كلما زاد صعوبة اقتحام أحد المتسللين لموقعك.
ومع ذلك ، مع ما يقال ، ربما بنفس القدر من الأهمية مثل الأمن هو أداء موقع الويب. بشكل أساسي ، بدون وجود موقع ويب يتم تحميله بسرعة ، فلن تتاح للزائرين أبدًا فرصة لمشاهدة المحتوى الخاص بك. سوف ينتظر زائر الموقع العادي لمدة ثانيتين فقط قبل الإحباط والمغادرة.
ستكون إدارة موقع الويب أسهل بكثير إذا لم يكن لدينا ما يدعو للقلق بشأن الهجمات الضارة. ومع ذلك ، في العالم الواقعي ، يجب أن تكون زيادة أمان موقع الويب الخاص بك في قمة قائمتك. حتى لو كنت تملك موقعًا صغيرًا على الويب ، فإن الاختراقات الآلية لا تزال مدعاة للقلق.
على الجانب الإيجابي ، من خلال إعداد بعض التدابير الأمنية المذكورة أعلاه وأخذ نسخ احتياطية منتظمة ، يمكنك تقليل فرصة اختراق موقعك على نحو كبير.
سيؤدي الإجراء الاستباقي الذي تقوم به لتشديد أمان موقعك الآن إلى حماية موقعك جيدًا في المستقبل.
