يعد أمان WordPress موضوعا ذا أهمية كبيرة لكل مالك موقع ويب. تسرد Google مواقع 10,000 + كل يوم للبرامج الضارة وحوالي 50,000 للتصيد الاحتيالي كل أسبوع.
إذا كنت جادا بشأن موقع الويب الخاص بك ، فأنت بحاجة إلى الانتباه إلى أفضل ممارسات أمان WordPress. في هذا الدليل ، سنشارك جميع أهم نصائح أمان WordPress لمساعدتك على حماية موقع الويب الخاص بك من المتسللين والبرامج الضارة.
على الرغم من أن برنامج WordPress الأساسي آمن للغاية ، ويتم تدقيقه بانتظام من قبل مئات المطورين ، إلا أن هناك الكثير الذي يمكن القيام به للحفاظ على أمان موقعك.
في dr-wp ، نعتقد أن الأمن لا يتعلق فقط بالقضاء على المخاطر. يتعلق الأمر أيضا بالحد من المخاطر. بصفتك مالكا لموقع الويب ، هناك الكثير الذي يمكنك القيام به لتحسين أمان WordPress الخاص بك (حتى لو لم تكن خبيرا في التكنولوجيا).
لدينا عدد من الخطوات القابلة للتنفيذ التي يمكنك اتخاذها لحماية موقع الويب الخاص بك من الثغرات الأمنية.
جاهز؟ هيا بنا نبدأ.
يمكن أن يتسبب موقع WordPress المخترق في إلحاق أضرار جسيمة بإيرادات عملك وسمعتك. يمكن للقراصنة سرقة معلومات المستخدم وكلمات المرور وتثبيت البرامج الضارة وحتى توزيع البرامج الضارة على المستخدمين.
الأسوأ من ذلك ، قد تجد نفسك تدفع برامج الفدية للمتسللين فقط لاستعادة الوصول إلى موقع الويب الخاص بك.
في مارس 2016 ، ذكرت Google أنه تم تحذير أكثر من 50 مليون مستخدم لموقع الويب من أن موقع الويب الذي يزورونه قد يحتوي على برامج ضارة أو يسرق المعلومات.
علاوة على ذلك ، تدرج Google في القائمة السوداء حوالي 20,000 موقع ويب للبرامج الضارة وحوالي 50,000 للتصيد الاحتيالي كل أسبوع.
إذا كان موقع الويب الخاص بك نشاطا تجاريا ، فأنت بحاجة إلى إيلاء اهتمام إضافي لأمان WordPress الخاص بك.
على غرار مسؤولية أصحاب الأعمال لحماية مبنى متجرهم الفعلي ، بصفتك مالكا للأعمال التجارية عبر الإنترنت ، تقع على عاتقك مسؤولية حماية موقع الويب الخاص بعملك.
الحفاظ على تحديث ووردبريس
WordPress هو برنامج مفتوح المصدر يتم صيانته وتحديثه بانتظام. بشكل افتراضي ، يقوم WordPress تلقائيا بتثبيت تحديثات طفيفة. بالنسبة للإصدارات الرئيسية ، تحتاج إلى بدء التحديث يدويا.
يأتي WordPress أيضا مع الآلاف من الاضافات والقوالب التي يمكنك تثبيتها على موقع الويب الخاص بك. يتم الاحتفاظ بهذه الاضافات والقوالب بواسطة مطوري الجهات الخارجية الذين يصدرون تحديثات منتظمة أيضا.
تعد تحديثات WordPress هذه ضرورية لأمن واستقرار موقع WordPress الخاص بك. تحتاج إلى التأكد من تحديث WordPress الأساسي والاضافات والقالب الخاصة بك.
كلمات مرور قوية وأذونات المستخدم
تستخدم محاولات اختراق WordPress الأكثر شيوعا كلمات المرور المسروقة. يمكنك جعل ذلك صعبا باستخدام كلمات مرور أقوى فريدة لموقعك على الويب. ليس فقط لمنطقة إدارة WordPress ، ولكن أيضا لحسابات FTP وقاعدة البيانات وحساب استضافة WordPress وعناوين بريدك الإلكتروني المخصصة التي تستخدم اسم مجال موقعك.
لا يحب العديد من المبتدئين استخدام كلمات مرور قوية لأنه يصعب تذكرها. الشيء الجيد هو أنك لست بحاجة إلى تذكر كلمات المرور بعد الآن. يمكنك استخدام مدير كلمات المرور.
هناك طريقة أخرى لتقليل المخاطر وهي عدم منح أي شخص حق الوصول إلى حساب مسؤول WordPress الخاص بك إلا إذا كنت مضطرا لذلك. إذا كان لديك فريق كبير أو مؤلفون ضيوف ، فتأكد من فهمك لأدوار المستخدمين وقدراتهم في WordPress قبل إضافة حسابات مستخدمين ومؤلفين جدد إلى موقع WordPress الخاص بك.
دور استضافة ووردبريس
تلعب خدمة استضافة WordPress الخاصة بك الدور الأكثر أهمية في أمان موقع WordPress الخاص بك. مزود استضافة مشترك جيد مثل Hostinger أو Bluehost أو Siteground اتخاذ تدابير إضافية لحماية خوادمهم من التهديدات الشائعة.
إليك كيفية عمل شركة استضافة ويب جيدة في الخلفية لحماية مواقع الويب والبيانات الخاصة بك.
- يراقبون شبكتهم باستمرار بحثا عن أي نشاط مشبوه.
- جميع شركات الاستضافة الجيدة لديها أدوات لمنع هجمات DDOS واسعة النطاق
- إنهم يحتفظون ببرامج الخادم وإصدارات php والأجهزة محدثة لمنع المتسللين من استغلال ثغرة أمنية معروفة في إصدار قديم.
- لديهم استعداد لنشر خطط التعافي من الكوارث والحوادث التي تسمح لهم بحماية بياناتك في حالة وقوع حادث كبير.
في خطة استضافة مشتركة ، يمكنك مشاركة موارد الخادم مع العديد من العملاء الآخرين. هذا يفتح خطر التلوث عبر المواقع حيث يمكن للمتسلل استخدام موقع مجاور لمهاجمة موقع الويب الخاص بك.
يوفر استخدام خدمة استضافة WordPress المدارة نظاما أساسيا أكثر أمانا لموقعك على الويب. تقدم شركات استضافة WordPress المدارة نسخا احتياطية تلقائية وتحديثات WordPress تلقائية وتكوينات أمان أكثر تقدما لحماية موقع الويب الخاص بك
نوصي باستخدام WPEngine كمزود استضافة WordPress المدار المفضل لدينا. هم أيضا الأكثر شعبية.
أمان WordPress في خطوات سهلة (بدون تشفير)
نحن نعلم أن تحسين أمان WordPress يمكن أن يكون فكرة مرعبة للمبتدئين. خاصة إذا لم تكن تقنيا. خمن ماذا – أنت لست وحدك.
لقد ساعدنا الآلاف من مستخدمي WordPress في تقوية أمان WordPress الخاص بهم.
سنوضح لك كيف يمكنك تحسين أمان WordPress الخاص بك ببضع نقرات فقط (لا يلزم الترميز).
إذا كنت تستطيع الإشارة والنقر ، يمكنك القيام بذلك!
قم بتثبيت حل النسخ الاحتياطي ل WordPress
النسخ الاحتياطية هي دفاعك الأول ضد أي هجوم WordPress. تذكر أنه لا يوجد شيء آمن بنسبة 100٪. إذا كان من الممكن اختراق مواقع الويب الحكومية ، فيمكن اختراق مواقعك أيضا.
تسمح لك النسخ الاحتياطية باستعادة موقع WordPress الخاص بك بسرعة في حالة حدوث شيء سيء.
هناك العديد من الاضافات المجانية والمدفوعة للنسخ الاحتياطي ل WordPress التي يمكنك استخدامها. أهم شيء تحتاج إلى معرفته عندما يتعلق الأمر بالنسخ الاحتياطية هو أنه يجب عليك حفظ النسخ الاحتياطية للموقع بالكامل بانتظام في موقع بعيد (وليس حساب الاستضافة الخاص بك).
نوصي بتخزينه على خدمة سحابية مثل Amazon أو Dropbox أو السحب الخاصة مثل Stash.
استنادا إلى عدد مرات تحديث موقع الويب الخاص بك ، قد يكون الإعداد المثالي إما مرة واحدة يوميا أو النسخ الاحتياطية في الوقت الفعلي.
لحسن الحظ ، يمكن القيام بذلك بسهولة باستخدام الاضافات مثل Duplicator أو UpdraftPlus أو BlogVault. كلاهما موثوق به والأهم من ذلك سهل الاستخدام (لا حاجة إلى ترميز).
أفضل الاضافة للأمان ووردبريس
بعد النسخ الاحتياطية ، فإن الشيء التالي الذي يتعين علينا القيام به هو إعداد نظام تدقيق ومراقبة يتتبع كل ما يحدث على موقع الويب الخاص بك.
يتضمن ذلك مراقبة سلامة الملفات ومحاولات تسجيل الدخول الفاشلة وفحص البرامج الضارة وما إلى ذلك.
لحسن الحظ ، يمكن الاهتمام بكل هذا من خلال أفضل اضافة مجاني لأمان WordPress ، Sucuri Scanner.
تحتاج إلى تثبيت وتفعيل الاضافة المجاني Sucuri Security. لمزيد من التفاصيل ، يرجى الاطلاع على دليلنا خطوة بخطوة حول كيفية تثبيت اضافة WordPress .
عند التنشيط ، تحتاج إلى الانتقال إلى قائمة Sucuri في مسؤول WordPress الخاص بك. أول شيء سيطلب منك القيام به هو إنشاء مفتاح API مجاني. يتيح ذلك تسجيل التدقيق والتحقق من النزاهة وتنبيهات البريد الإلكتروني والميزات المهمة الأخرى.
الشيء التالي ، عليك القيام به هو النقر فوق علامة التبويب “تصلب” من قائمة الإعدادات. انتقل من خلال كل خيار وانقر على زر “تطبيق تصلب”.
تساعدك هذه الخيارات على قفل المناطق الرئيسية التي يستخدمها المتسللون غالبا في هجماتهم. خيار التصلب الوحيد الذي هو ترقية مدفوعة هو جدار حماية تطبيق الويب الذي سنشرحه في الخطوة التالية ، لذا تخطيه الآن.
لقد قمنا أيضا بتغطية الكثير من خيارات “التصلب” هذه لاحقا في هذه المقالة لأولئك الذين يرغبون في القيام بذلك دون استخدام اضافة أو تلك التي تتطلب خطوات إضافية مثل “تغيير بادئة قاعدة البيانات” أو “تغيير اسم مستخدم المسؤول”.
بعد جزء التصلب ، تكون إعدادات الاضافة الافتراضية جيدة بما يكفي لمعظم مواقع الويب ولا تحتاج إلى أي تغييرات. الشيء الوحيد الذي نوصي بتخصيصه هو “تنبيهات البريد الإلكتروني”.
يمكن أن تؤدي إعدادات التنبيه الافتراضية إلى ازدحام صندوق الوارد الخاص بك برسائل البريد الإلكتروني. نوصي بتلقي تنبيهات للإجراءات الرئيسية مثل التغييرات في الاضافات وتسجيل المستخدم الجديد وما إلى ذلك. يمكنك تكوين التنبيهات بالانتقال إلى إعدادات Sucuri »التنبيهات.
يعد الاضافة لأمان WordPress قويا جدا ، لذا تصفح جميع علامات التبويب والإعدادات لمعرفة كل ما يفعله مثل فحص البرامج الضارة وسجلات التدقيق وتتبع محاولة تسجيل الدخول الفاشلة وما إلى ذلك.
تمكين جدار حماية تطبيق الويب (WAF)
أسهل طريقة لحماية موقعك والثقة في أمان WordPress الخاص بك هي استخدام جدار حماية تطبيق الويب (WAF).
يحظر جدار حماية موقع الويب كل حركة المرور الضارة قبل أن تصل إلى موقع الويب الخاص بك.
جدار حماية موقع الويب على مستوى DNS – يقوم جدار الحماية هذا بتوجيه حركة مرور موقع الويب الخاص بك من خلال خوادم الوكيل السحابية الخاصة بهم. هذا يسمح لهم فقط بإرسال حركة مرور حقيقية إلى خادم الويب الخاص بك.
جدار حماية مستوى التطبيق – تقوم مكونات جدار الحماية الإضافية هذه بفحص حركة المرور بمجرد وصولها إلى الخادم الخاص بك ولكن قبل تحميل معظم البرامج النصية ل WordPress. هذه الطريقة ليست فعالة مثل جدار حماية مستوى DNS في تقليل حمل الخادم.
نحن نستخدم Sucuri ونوصي به كأفضل جدار حماية لتطبيق الويب ل WordPress. يمكنك أن تقرأ عن كيف ساعدنا Sucuri في منع 450,000 هجوم WordPress في شهر واحد.
أفضل جزء في جدار الحماية الخاص ب Sucuri هو أنه يأتي أيضا مع تنظيف البرامج الضارة وضمان إزالة القائمة السوداء. في الأساس ، إذا تم اختراقك تحت مراقبتهم ، فإنهم يضمنون أنهم سيصلحون موقع الويب الخاص بك (بغض النظر عن عدد الصفحات التي لديك).
هذا ضمان قوي جدا لأن إصلاح مواقع الويب المخترقة مكلف. يتقاضى خبراء الأمن عادة 250 دولارا في الساعة. بينما يمكنك الحصول على مكدس أمان Sucuri بالكامل مقابل 199 دولارا سنويا.
تحسين أمان WordPress الخاص بك باستخدام جدار حماية Sucuri »
Sucuri ليس مزود جدار الحماية على مستوى DNS الوحيد هناك. المنافس الشهير الآخر هو Cloudflare.
انقل موقع WordPress الخاص بك إلى SSL / HTTPS
SSL (طبقة مآخذ التوصيل الآمنة) هو بروتوكول يقوم بتشفير نقل البيانات بين موقع الويب الخاص بك ومتصفح المستخدمين. هذا التشفير يجعل من الصعب على شخص ما شم المعلومات وسرقتها.
بمجرد تمكين SSL ، سيستخدم موقع الويب الخاص بك HTTPS بدلا من HTTP ، وسترى أيضا علامة قفل بجوار عنوان موقع الويب الخاص بك في المتصفح.
عادة ما يتم إصدار شهادات SSL من قبل المراجع المصدقة ، وتبدأ أسعارها من 80 دولارا إلى مئات الدولارات كل عام. نظرا للتكلفة الإضافية ، اختار معظم مالكي مواقع الويب الاستمرار في استخدام البروتوكول غير الآمن.
لإصلاح ذلك ، قررت منظمة غير ربحية تسمى Let’s Encrypt تقديم شهادات SSL مجانية لأصحاب مواقع الويب. يتم دعم مشروعهم من قبل Google Chrome و Facebook و Mozilla والعديد من الشركات الأخرى.
الآن ، أصبح من الأسهل من أي وقت مضى البدء في استخدام SSL لجميع مواقع WordPress الخاصة بك. تقدم العديد من شركات الاستضافة الآن شهادة SSL مجانية لموقع WordPress الخاص بك.
إذا كانت شركة الاستضافة الخاصة بك لا تقدم واحدة ، فيمكنك شراء واحدة من Domain.com. لديهم أفضل صفقة SSL وأكثرها موثوقية في السوق. يأتي مع ضمان أمان بقيمة 10,000 دولار وختم أمان TrustLogo.