يعد أمان WordPress موضوعًا ذا أهمية كبيرة لكل مالك موقع. تضع Google في القائمة السوداء ما يزيد عن 10000 موقع ويب كل يوم للبرامج الضارة وحوالي 50000 موقع للتصيد الاحتيالي كل أسبوع.
إذا كنت جادًا بشأن موقع الويب الخاص بك ، فأنت بحاجة إلى الانتباه إلى أفضل ممارسات أمان WordPress. في هذا الدليل ، سنشارك جميع نصائح الأمان في WordPress لمساعدتك على حماية موقع الويب الخاص بك من المتسللين والبرامج الضارة..
على الرغم من أن برنامج WordPress الأساسي آمن للغاية ، ويتم تدقيقه بانتظام من قبل مئات المطورين ، إلا أن هناك الكثير الذي يمكن القيام به للحفاظ على أمان موقعك.
في WPBeginner ، نعتقد أن الأمن لا يقتصر فقط على التخلص من المخاطر. إنه يتعلق أيضًا بالحد من المخاطر. بصفتك مالكًا لموقع الويب ، هناك الكثير الذي يمكنك القيام به لتحسين أمان WordPress الخاص بك (حتى لو لم تكن خبيرًا في التكنولوجيا).
لدينا عدد من الخطوات القابلة للتنفيذ التي يمكنك اتخاذها لحماية موقع الويب الخاص بك من الثغرات الأمنية.
مستعد؟ هيا بنا نبدأ.
لماذا أمان الموقع مهم؟
يمكن أن يتسبب موقع WordPress الذي تم اختراقه في إلحاق ضرر جسيم بإيرادات عملك وسمعتك. يمكن للقراصنة سرقة معلومات المستخدم وكلمات المرور وتثبيت البرامج الضارة ، ويمكنهم حتى توزيع البرامج الضارة على المستخدمين.
الأسوأ ، قد تجد نفسك تدفع ransomware للقراصنة فقط لاستعادة الوصول إلى موقع الويب الخاص بك.
في مارس 2016 ، ذكرت Google أنه تم تحذير أكثر من 50 مليون مستخدم لموقع الويب من أن موقع الويب الذي يزورونه قد يحتوي على برامج ضارة أو يسرق معلومات.
علاوة على ذلك ، تضع Google في القائمة السوداء حوالي 20000 موقع للبرامج الضارة وحوالي 50000 موقع للتصيد الاحتيالي كل أسبوع.
إذا كان موقع الويب الخاص بك عبارة عن شركة ، فأنت بحاجة إلى إيلاء اهتمام إضافي لأمن WordPress الخاص بك.
على غرار مسؤولية أصحاب الأعمال عن حماية مبنى متجرهم الفعلي ، بصفتك مالكًا للأعمال التجارية عبر الإنترنت ، تقع على عاتقك مسؤولية حماية موقع الويب الخاص بشركتك.
تحديث ووردبريس باستمرار
WordPress هو برنامج مفتوح المصدر يتم صيانته وتحديثه بانتظام. بشكل افتراضي ، يقوم WordPress تلقائيًا بتثبيت التحديثات الطفيفة. بالنسبة للإصدارات الرئيسية ، تحتاج إلى بدء التحديث يدويًا.
يأتي WordPress أيضًا مع آلاف المكونات الإضافية والسمات التي يمكنك تثبيتها على موقع الويب الخاص بك. يتم الحفاظ على هذه المكونات الإضافية والسمات بواسطة مطوري الجهات الخارجية الذين يقومون بإصدار تحديثات بانتظام أيضًا.
تعد تحديثات WordPress هذه ضرورية لأمان واستقرار موقع WordPress الخاص بك. تحتاج إلى التأكد من تحديث جوهر WordPress والإضافات والقوالب الخاصة بك.
كلمات مرور قوية وأذونات المستخدم
تستخدم محاولات اختراق WordPress الأكثر شيوعًا كلمات مرور مسروقة. يمكنك جعل ذلك صعبًا باستخدام كلمات مرور أقوى تكون فريدة لموقعك على الويب. ليس فقط لمنطقة إدارة WordPress ، ولكن أيضًا لحسابات FTP وقاعدة البيانات وحساب استضافة WordPress وعناوين بريدك الإلكتروني المخصصة التي تستخدم اسم مجال موقعك.
لا يحب العديد من المبتدئين استخدام كلمات مرور قوية لأنه من الصعب تذكرها. الشيء الجيد هو أنك لست بحاجة إلى تذكر كلمات المرور بعد الآن. يمكنك استخدام مدير كلمات المرور.
هناك طريقة أخرى لتقليل المخاطر وهي عدم منح أي شخص حق الوصول إلى حساب مسؤول WordPress الخاص بك ما لم تضطر إلى ذلك تمامًا . إذا كان لديك فريق كبير أو مؤلفون ضيوف ، فتأكد من فهمك لأدوار المستخدمين وقدراتهم في WordPress قبل إضافة حسابات مستخدمين ومؤلفين جدد إلى موقع WordPress الخاص بك.
دور استضافة ووردبريس
تلعب خدمة استضافة WordPress الخاصة بك الدور الأكثر أهمية في أمان موقع WordPress الخاص بك. يتخذ موفر استضافة مشترك جيد مثل Bluehost أو Siteground تدابير إضافية لحماية خوادمه من التهديدات الشائعة.
إليك كيفية عمل شركة استضافة ويب جيدة في الخلفية لحماية مواقع الويب والبيانات الخاصة بك.
- إنهم يراقبون شبكتهم باستمرار بحثًا عن أي نشاط مشبوه.
- تمتلك جميع شركات الاستضافة الجيدة أدوات لمنع هجمات DDOS واسعة النطاق
- يحافظون على تحديث برامج الخادم وإصدارات php والأجهزة الخاصة بهم لمنع المتسللين من استغلال ثغرة أمنية معروفة في إصدار قديم.
- لديهم استعداد لنشر خطط التعافي من الكوارث والحوادث التي تسمح لهم بحماية بياناتك في حالة وقوع حادث كبير.
في خطة الاستضافة المشتركة ، تقوم بمشاركة موارد الخادم مع العديد من العملاء الآخرين. هذا يفتح خطر التلوث عبر المواقع حيث يمكن للمتسلل استخدام موقع مجاور لمهاجمة موقع الويب الخاص بك.
يوفر استخدام خدمة استضافة WordPress مُدارة نظامًا أساسيًا أكثر أمانًا لموقع الويب الخاص بك. تقدم شركات استضافة WordPress المُدارة نسخًا احتياطية تلقائية وتحديثات WordPress تلقائية وتكوينات أمان أكثر تقدمًا لحماية موقع الويب الخاص بك
نوصي باستخدام WPEngine باعتباره موفر استضافة WordPress المُدار المفضل لدينا. إنها أيضًا الأكثر شهرة في الصناعة.
أمان WordPress في خطوات سهلة (بدون تشفير)
نحن نعلم أن تحسين أمان WordPress يمكن أن يكون فكرة مرعبة للمبتدئين. خاصة إذا لم تكن تقنيًا. خمن ماذا – لست وحدك.
لقد ساعدنا الآلاف من مستخدمي WordPress في تعزيز أمان WordPress الخاص بهم.
سنوضح لك كيف يمكنك تحسين أمان WordPress الخاص بك ببضع نقرات فقط (لا يلزم الترميز).
إذا كنت تستطيع التأشير والنقر ، يمكنك القيام بذلك!
قم بتثبيت برنامج WordPress Backup Solution
النسخ الاحتياطية هي دفاعك الأول ضد أي هجوم على WordPress. تذكر أنه لا يوجد شيء آمن بنسبة 100٪. إذا كان من الممكن اختراق مواقع الويب الحكومية ، فيمكن اختراق مواقعك أيضًا.
تسمح لك النسخ الاحتياطية باستعادة موقع WordPress الخاص بك بسرعة في حالة حدوث شيء سيء.
هناك العديد من الإضافات المجانية والمدفوعة للنسخ الاحتياطي في WordPress والتي يمكنك استخدامها. أهم شيء تحتاج إلى معرفته عندما يتعلق الأمر بالنسخ الاحتياطية هو أنه يجب عليك حفظ النسخ الاحتياطية الكاملة للموقع بانتظام في موقع بعيد (وليس حساب الاستضافة الخاص بك).
نوصي بتخزينه على خدمة سحابية مثل Amazon أو Dropbox أو السحب الخاصة مثل Stash.
استنادًا إلى عدد المرات التي تقوم فيها بتحديث موقع الويب الخاص بك ، قد يكون الإعداد المثالي إما مرة واحدة يوميًا أو نسخًا احتياطيًا في الوقت الفعلي.
لحسن الحظ ، يمكن القيام بذلك بسهولة باستخدام مكونات إضافية مثل UpdraftPlus أو BlogVault . كلاهما موثوق به والأهم من ذلك أنه سهل الاستخدام (لا حاجة إلى ترميز).
أفضل مكون إضافي لأمن WordPress
بعد النسخ الاحتياطية ، فإن الشيء التالي الذي يتعين علينا القيام به هو إعداد نظام تدقيق ومراقبة يتتبع كل ما يحدث على موقع الويب الخاص بك.
يتضمن ذلك مراقبة سلامة الملفات ، ومحاولات تسجيل الدخول الفاشلة ، ومسح البرامج الضارة ، وما إلى ذلك.
لحسن الحظ ، يمكن الاعتناء بكل هذا من خلال أفضل مكون إضافي للأمان في WordPress ، وهو Sucuri Scanner .
تحتاج إلى تثبيت وتفعيل البرنامج المساعد المجاني Sucuri Security . لمزيد من التفاصيل ، يرجى الاطلاع على دليلنا خطوة بخطوة حول كيفية تثبيت مكون WordPress الإضافي .
عند التنشيط ، يجب أن تذهب إلى قائمة Sucuri في مسؤول WordPress الخاص بك. أول شيء سيُطلب منك القيام به هو إنشاء مفتاح API مجاني. يتيح ذلك تسجيل التدقيق والتحقق من النزاهة وتنبيهات البريد الإلكتروني وميزات مهمة أخرى.
الشيء التالي ، ما عليك فعله هو النقر فوق علامة التبويب “التقوية” من قائمة الإعدادات. انتقل من خلال كل خيار وانقر على زر “تطبيق التقوية”.
تساعدك هذه الخيارات في تأمين المجالات الرئيسية التي يستخدمها المتسللون غالبًا في هجماتهم. الخيار الوحيد الذي يعد ترقية مدفوعة الأجر هو جدار حماية تطبيق الويب الذي سنشرحه في الخطوة التالية ، لذا تخطاه في الوقت الحالي.
لقد قمنا أيضًا بتغطية الكثير من خيارات “التقوية” هذه لاحقًا في هذه المقالة لأولئك الذين يريدون القيام بذلك دون استخدام مكون إضافي أو تلك التي تتطلب خطوات إضافية مثل “تغيير بادئة قاعدة البيانات” أو “تغيير اسم مستخدم المسؤول”.
بعد الجزء المتصلب ، تكون إعدادات المكون الإضافي الافتراضية جيدة بما يكفي لمعظم مواقع الويب ولا تحتاج إلى أي تغييرات. الشيء الوحيد الذي نوصي بتخصيصه هو “تنبيهات البريد الإلكتروني”.
يمكن لإعدادات التنبيه الافتراضية أن تزدحم صندوق الوارد الخاص بك برسائل البريد الإلكتروني. نوصي بتلقي تنبيهات للإجراءات الأساسية مثل التغييرات في المكونات الإضافية ، وتسجيل مستخدم جديد ، وما إلى ذلك. يمكنك تكوين التنبيهات بالانتقال إلى إعدادات Sucuri »التنبيهات.
يعد هذا المكون الإضافي للأمان في WordPress قويًا للغاية ، لذا تصفح جميع علامات التبويب والإعدادات لمعرفة كل ما يفعله مثل فحص البرامج الضارة وسجلات التدقيق وتتبع محاولة تسجيل الدخول الفاشلة وما إلى ذلك.
تمكين جدار حماية تطبيق الويب (WAF)
أسهل طريقة لحماية موقعك والتأكد من أمان WordPress الخاص بك هي باستخدام جدار حماية تطبيق ويب (WAF).
يحظر جدار حماية موقع الويب كل حركة المرور الضارة حتى قبل أن تصل إلى موقع الويب الخاص بك.
جدار حماية موقع الويب DNS Level – يقوم جدار الحماية هذا بتوجيه حركة مرور موقع الويب الخاص بك من خلال خوادم الوكيل السحابية الخاصة بهم. هذا يسمح لهم فقط بإرسال حركة مرور حقيقية إلى خادم الويب الخاص بك.
جدار حماية مستوى التطبيق – تقوم هذه المكونات الإضافية لجدار الحماية بفحص حركة المرور بمجرد وصولها إلى الخادم الخاص بك ولكن قبل تحميل معظم نصوص WordPress النصية. هذه الطريقة ليست فعالة مثل جدار الحماية على مستوى DNS في تقليل تحميل الخادم.
نحن نستخدم Sucuri ونوصي به كأفضل جدار حماية لتطبيق الويب لـ WordPress.
أفضل جزء في جدار الحماية Sucuri هو أنه يأتي أيضًا مع ضمان تنظيف البرامج الضارة وإزالة القائمة السوداء. في الأساس ، إذا تم اختراقك تحت ساعتهم ، فإنهم يضمنون أنهم سيصلحون موقع الويب الخاص بك (بغض النظر عن عدد الصفحات التي لديك).
هذا ضمان قوي جدًا لأن إصلاح المواقع المخترقة مكلف. عادة ما يتقاضى خبراء الأمن 250 دولارًا في الساعة. بينما يمكنك الحصول على مكدس Sucuri الأمني بالكامل مقابل 199 دولارًا سنويًا.
حسِّن أمان WordPress الخاص بك باستخدام جدار الحماية Sucuri »
Sucuri ليس مزود جدار الحماية الوحيد على مستوى DNS الموجود هناك. المنافس الشهير الآخر هو Cloudflare.
انقل موقع WordPress الخاص بك إلى SSL / HTTPS
SSL (طبقة مآخذ التوصيل الآمنة) هو بروتوكول يقوم بتشفير نقل البيانات بين موقع الويب الخاص بك ومتصفح المستخدمين. يجعل هذا التشفير من الصعب على أي شخص شم المعلومات وسرقة المعلومات.
بمجرد تمكين SSL ، سيستخدم موقع الويب الخاص بك HTTPS بدلاً من HTTP ، وسترى أيضًا علامة قفل بجوار عنوان موقع الويب الخاص بك في المتصفح.
عادةً ما يتم إصدار شهادات SSL من قبل جهات إصدار الشهادات ، وتبدأ أسعارها من 80 دولارًا إلى مئات الدولارات كل عام. نظرًا للتكلفة المضافة ، اختار معظم مالكي مواقع الويب الاستمرار في استخدام البروتوكول غير الآمن.
لإصلاح ذلك ، قررت منظمة غير ربحية تسمى Let’s Encrypt تقديم شهادات SSL مجانية لأصحاب مواقع الويب. مشروعهم مدعوم من قبل Google Chrome و Facebook و Mozilla والعديد من الشركات الأخرى.
الآن ، أصبح بدء استخدام SSL لجميع مواقع WordPress الخاصة بك أسهل من أي وقت مضى. تقدم العديد من شركات الاستضافة الآن شهادة SSL مجانية لموقع الويب الخاص بك على WordPress .
إذا كانت شركة الاستضافة الخاصة بك لا تقدم واحدة ، فيمكنك شراء واحدة من Domain.com . لديهم أفضل صفقة SSL وأكثرها موثوقية في السوق. يأتي مع ضمان أمان بقيمة 10000 دولار وختم أمان TrustLogo.
أمان WordPress لمستخدمي DIY
إذا فعلت كل ما ذكرناه حتى الآن ، فأنت في حالة جيدة جدًا.
ولكن كما هو الحال دائمًا ، هناك المزيد الذي يمكنك القيام به لتعزيز أمان WordPress الخاص بك.
قد تتطلب بعض هذه الخطوات معرفة الترميز.
تغيير اسم المستخدم الافتراضي “المسؤول”
في الماضي ، كان اسم المستخدم الافتراضي لمشرف WordPress هو “admin”. نظرًا لأن أسماء المستخدمين تشكل نصف بيانات اعتماد تسجيل الدخول ، فقد سهّل ذلك على المتسللين تنفيذ هجمات القوة الغاشمة.
لحسن الحظ ، قام WordPress بتغيير هذا منذ ذلك الحين ويطلب منك الآن تحديد اسم مستخدم مخصص في وقت تثبيت WordPress .
ومع ذلك ، فإن بعض أدوات تثبيت WordPress بنقرة واحدة لا تزال تعين اسم المستخدم الافتراضي للمسؤول على “admin”. إذا لاحظت أن هذا هو الحال ، فمن الأفضل تبديل استضافة الويب الخاصة بك .
نظرًا لأن WordPress لا يسمح لك بتغيير أسماء المستخدمين افتراضيًا ، فهناك ثلاث طرق يمكنك استخدامها لتغيير اسم المستخدم.
- أنشئ اسم مستخدم مسؤول جديدًا واحذف الاسم القديم.
- استخدم البرنامج المساعد Username Changer
- تحديث اسم المستخدم من phpMyAdmin
ملاحظة: نحن نتحدث عن اسم المستخدم المسمى “admin” ، وليس دور المسؤول.
تعطيل تحرير الملف
يأتي WordPress مزودًا بمحرر كود مضمن يسمح لك بتعديل ملفات القالب والمكونات الإضافية مباشرة من منطقة إدارة WordPress الخاصة بك. في الأيدي الخطأ ، يمكن أن تكون هذه الميزة مخاطرة أمنية ولهذا نوصي بإيقاف تشغيلها.
يمكنك القيام بذلك بسهولة عن طريق إضافة الكود التالي في ملف wp-config.php الخاص بك .
|
1 2 |
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true ); |
بدلاً من ذلك ، يمكنك القيام بذلك بنقرة واحدة باستخدام ميزة Hardening في البرنامج المساعد المجاني Sucuri الذي ذكرناه أعلاه.
تعطيل تنفيذ ملف PHP في أدلة WordPress معينة
هناك طريقة أخرى لتعزيز أمان WordPress الخاص بك وهي تعطيل تنفيذ ملف PHP في الدلائل حيث لا تكون هناك حاجة إليه مثل / wp-content / uploads /.
يمكنك القيام بذلك عن طريق فتح محرر نصوص مثل Notepad ولصق هذا الرمز:
|
1 2 3 |
<Files *.php> deny from all </Files> |
بعد ذلك ، تحتاج إلى حفظ هذا الملف باسم .htaccess وتحميله إلى / wp-content / uploads / مجلدات على موقع الويب الخاص بك باستخدام عميل FTP .
لمزيد من الشرح التفصيلي ، راجع دليلنا حول كيفية تعطيل تنفيذ PHP في أدلة WordPress معينة
بدلاً من ذلك ، يمكنك القيام بذلك بنقرة واحدة باستخدام ميزة Hardening في البرنامج المساعد المجاني Sucuri الذي ذكرناه أعلاه.
الحد من محاولات تسجيل الدخول
بشكل افتراضي ، يتيح WordPress للمستخدمين محاولة تسجيل الدخول قدر ما يريدون. هذا يترك موقع WordPress الخاص بك عرضة لهجمات القوة الغاشمة. يحاول المتسللون كسر كلمات المرور من خلال محاولة تسجيل الدخول بمجموعات مختلفة.
يمكن إصلاح ذلك بسهولة عن طريق الحد من محاولات تسجيل الدخول الفاشلة التي يمكن للمستخدم القيام بها. إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقًا ، فسيتم الاهتمام بذلك تلقائيًا.
ومع ذلك ، إذا لم يكن لديك إعداد جدار الحماية ، فتابع الخطوات أدناه.
أولاً ، تحتاج إلى تثبيت وتفعيل المكون الإضافي Login LockDown . لمزيد من التفاصيل ، راجع دليلنا خطوة بخطوة حول كيفية تثبيت مكون WordPress الإضافي .
عند التنشيط ، قم بزيارة الإعدادات » صفحة تأمين تسجيل الدخول لإعداد البرنامج المساعد.
إضافة المصادقة الثنائية
تتطلب تقنية المصادقة ذات العاملين أن يقوم المستخدمون بتسجيل الدخول باستخدام طريقة مصادقة من خطوتين. الأول هو اسم المستخدم وكلمة المرور ، والخطوة الثانية تتطلب منك المصادقة باستخدام جهاز أو تطبيق منفصل.
تسمح لك معظم المواقع الإلكترونية الكبرى مثل Google و Facebook و Twitter بتمكينها لحساباتك. يمكنك أيضًا إضافة نفس الوظيفة إلى موقع WordPress الخاص بك.
أولاً ، تحتاج إلى تثبيت وتفعيل المكون الإضافي Two Factor Authentication . عند التنشيط ، تحتاج إلى النقر فوق رابط “Two Factor Auth” في الشريط الجانبي لمسؤول WordPress.
بعد ذلك ، تحتاج إلى تثبيت وفتح تطبيق المصادقة على هاتفك. يتوفر العديد منها مثل Google Authenticator و Authy و LastPass Authenticator.
نوصي باستخدام LastPass Authenticator أو Authy لأن كلاهما يسمح لك بعمل نسخة احتياطية من حساباتك على السحابة. هذا مفيد جدًا في حالة فقد هاتفك أو إعادة ضبطه أو شراء هاتف جديد. سيتم استعادة جميع عمليات تسجيل الدخول إلى حسابك بسهولة.
سنستخدم LastPass Authenticator في البرنامج التعليمي. ومع ذلك ، فإن التعليمات متشابهة لجميع تطبيقات المصادقة. افتح تطبيق المصادقة الخاص بك ، ثم انقر فوق الزر “إضافة”.
سيتم سؤالك عما إذا كنت ترغب في مسح موقع يدويًا أو مسح الرمز الشريطي ضوئيًا. حدد خيار مسح الرمز الشريطي ثم وجه كاميرا هاتفك إلى QRcode الظاهر في صفحة إعدادات البرنامج المساعد.
هذا كل شيء ، سيحفظه تطبيق المصادقة الآن. في المرة التالية التي تقوم فيها بتسجيل الدخول إلى موقع الويب الخاص بك ، سيُطلب منك رمز المصادقة الثنائي بعد إدخال كلمة المرور الخاصة بك.
ما عليك سوى فتح تطبيق المصادقة على هاتفك وإدخال الرمز الذي تراه عليه.
تغيير بادئة قاعدة بيانات WordPress
بشكل افتراضي ، يستخدم WordPress wp_ كبادئة لجميع الجداول في قاعدة بيانات WordPress الخاصة بك . إذا كان موقع WordPress الخاص بك يستخدم بادئة قاعدة البيانات الافتراضية ، فإنه يسهل على المتسللين تخمين اسم الجدول الخاص بك. هذا هو السبب في أننا نوصي بتغييره.
يمكنك تغيير بادئة قاعدة البيانات الخاصة بك باتباع البرنامج التعليمي خطوة بخطوة حول كيفية تغيير بادئة قاعدة بيانات WordPress لتحسين الأمان .
ملاحظة: يمكن أن يؤدي هذا إلى تعطيل موقعك إذا لم يتم بشكل صحيح. تابع فقط ، إذا كنت تشعر بالراحة مع مهاراتك في الترميز.
كلمة مرور حماية مدير WordPress وصفحة تسجيل الدخول
عادة ، يمكن للمتسللين طلب مجلد wp-admin وصفحة تسجيل الدخول دون أي قيود. هذا يسمح لهم بتجربة حيل القرصنة أو تشغيل هجمات DDoS.
يمكنك إضافة حماية إضافية بكلمة مرور على مستوى جانب الخادم ، مما يؤدي إلى حظر هذه الطلبات بشكل فعال.
تعطيل فهرسة الدليل والاستعراض
يمكن للمتسللين استخدام تصفح الدليل لمعرفة ما إذا كان لديك أي ملفات بها نقاط ضعف معروفة ، حتى يتمكنوا من الاستفادة من هذه الملفات للوصول إليها.
يمكن أيضًا استخدام تصفح الدليل بواسطة أشخاص آخرين للبحث في ملفاتك ونسخ الصور ومعرفة بنية الدليل الخاص بك ومعلومات أخرى. هذا هو السبب في أنه يوصى بشدة بإيقاف تشغيل فهرسة الدليل والتصفح.
تحتاج إلى الاتصال بموقع الويب الخاص بك باستخدام مدير ملفات FTP أو cPanel. بعد ذلك ، حدد موقع ملف .htaccess في الدليل الجذر لموقع الويب الخاص بك. إ
بعد ذلك ، تحتاج إلى إضافة السطر التالي في نهاية ملف .htaccess:
Options -Indexes
لا تنس حفظ وتحميل ملف htaccess مرة أخرى إلى موقعك. لمزيد من المعلومات حول هذا الموضوع ،
تعطيل XML-RPC في WordPress
تم تمكين XML-RPC افتراضيًا في WordPress 3.5 لأنه يساعد على ربط موقع WordPress الخاص بك بتطبيقات الويب والجوال.
بسبب طبيعتها القوية ، يمكن لـ XML-RPC تضخيم هجمات القوة الغاشمة بشكل كبير.
على سبيل المثال ، إذا أراد أحد المتطفلين عادةً تجربة 500 كلمة مرور مختلفة على موقع الويب الخاص بك ، فسيتعين عليهم إجراء 500 محاولة منفصلة لتسجيل الدخول والتي سيتم اكتشافها وحظرها بواسطة المكون الإضافي لإغلاق تسجيل الدخول.
ولكن مع XML-RPC ، يمكن للمتسلل استخدام وظيفة system.multicall لتجربة الآلاف من كلمات المرور مع 20 أو 50 طلبًا.
لهذا السبب إذا كنت لا تستخدم XML-RPC ، فنحن نوصيك بتعطيله.
هناك 3 طرق لتعطيل XML-RPC في WordPress
نصيحة: طريقة .htaccess هي الأفضل لأنها الأقل كثافة للموارد.
إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقًا ، فيمكن أن يتولى جدار الحماية هذا الأمر.
قم بتسجيل الخروج تلقائيًا من Idle Users في WordPress
يمكن للمستخدمين الذين قاموا بتسجيل الدخول في بعض الأحيان الابتعاد عن الشاشة ، وهذا يشكل مخاطرة أمنية. يمكن لأي شخص الاستيلاء على جلسته أو تغيير كلمات المرور أو إجراء تغييرات على حسابه.
هذا هو السبب في أن العديد من المواقع المصرفية والمالية تسجل خروج المستخدم غير النشط تلقائيًا. يمكنك تنفيذ وظائف مماثلة على موقع WordPress الخاص بك أيضًا.
سوف تحتاج إلى تثبيت وتفعيل المكون الإضافي Inactive Logout . عند التنشيط ، قم بزيارة الإعدادات »صفحة تسجيل الخروج غير النشطة لتكوين إعدادات المكون الإضافي.
ما عليك سوى تعيين المدة الزمنية وإضافة رسالة تسجيل الخروج. لا تنس النقر على زر حفظ التغييرات لتخزين إعداداتك.
أضف أسئلة الأمان إلى شاشة تسجيل الدخول إلى WordPress
تؤدي إضافة سؤال أمان إلى شاشة تسجيل الدخول إلى WordPress إلى زيادة صعوبة حصول شخص ما على وصول غير مصرح به.
يمكنك إضافة أسئلة الأمان عن طريق تثبيت المكون الإضافي WP Security Questions . عند التنشيط ، تحتاج إلى زيارة الإعدادات »صفحة أسئلة الأمان لتكوين إعدادات المكون الإضافي.
فحص WordPress بحثًا عن البرامج الضارة والعناصر الثغرات الأمنية
إذا كان لديك مكون إضافي للأمان في WordPress مثبتًا ، فستتحقق هذه المكونات الإضافية بشكل روتيني من البرامج الضارة وعلامات الخروقات الأمنية.
ومع ذلك ، إذا رأيت انخفاضًا مفاجئًا في حركة مرور موقع الويب أو تصنيفات البحث ، فقد ترغب في إجراء فحص يدويًا. يمكنك استخدام المكون الإضافي للأمان في WordPress ، أو استخدام أحد هذه البرامج الضارة وأجهزة فحص الأمان .
يعد إجراء عمليات الفحص عبر الإنترنت هذه أمرًا مباشرًا تمامًا ، فأنت تقوم فقط بإدخال عناوين URL لموقع الويب الخاص بك وتنتقل برامج الزحف الخاصة بهم إلى موقع الويب الخاص بك للبحث عن البرامج الضارة والشفرات الضارة المعروفة.
ضع في اعتبارك الآن أن معظم ماسحات الأمان في WordPress يمكنها فقط فحص موقع الويب الخاص بك. لا يمكنهم إزالة البرامج الضارة أو تنظيف موقع WordPress تم الاستيلاء عليه.
يقودنا هذا إلى القسم التالي ، وهو تنظيف البرامج الضارة ومواقع WordPress المخترقة.
إصلاح موقع WordPress تم اختراقه
لا يدرك العديد من مستخدمي WordPress أهمية النسخ الاحتياطية وأمان موقع الويب حتى يتم اختراق موقع الويب الخاص بهم.
قد يكون تنظيف موقع WordPress أمرًا صعبًا للغاية ويستغرق وقتًا طويلاً. نصيحتنا الأولى هي السماح للمحترف بالاعتناء بها.
يقوم المتسللون بتثبيت أبواب خلفية على المواقع المتأثرة ، وإذا لم يتم إصلاح هذه الأبواب الخلفية بشكل صحيح ، فمن المحتمل أن يتم اختراق موقع الويب الخاص بك مرة أخرى.
سيضمن السماح لشركة أمنية محترفة مثل Sucuri لإصلاح موقع الويب الخاص بك أن يكون موقعك آمنًا للاستخدام مرة أخرى. سوف تحميك أيضًا من أي هجمات مستقبلية.
نصيحة إضافية: سرقة الهوية وحماية الشبكة
بصفتنا أصحاب أعمال صغيرة ، من الأهمية بمكان أن نحمي هويتنا الرقمية والمالية لأن عدم القيام بذلك يمكن أن يؤدي إلى خسائر كبيرة. يمكن للقراصنة والمجرمين استخدام هويتك لسرقة اسم نطاق موقع الويب الخاص بك ، واختراق حساباتك المصرفية ، وحتى ارتكاب جريمة يمكن أن تكون مسؤولاً عنها.
تم الإبلاغ عن 4.7 مليون حادثة سرقة هوية واحتيال بطاقات الائتمان إلى لجنة التجارة الفيدرالية (FTC) في عام 2020.
هذا هو السبب في أننا نوصي باستخدام خدمة حماية سرقة الهوية مثل Aura (نحن نستخدم Aura بأنفسنا).
إنها توفر حماية للجهاز وشبكة wifi من خلال VPN المجانية (الشبكة الافتراضية الخاصة) التي تؤمن اتصالك بالإنترنت بتشفير من الدرجة العسكرية أينما كنت. يعد هذا أمرًا رائعًا عند السفر أو الاتصال بمسؤول WordPress الخاص بك من مكان عام مثل Starbucks ، حتى تتمكن من العمل عبر الإنترنت بأمان وخصوصية.
تراقب خدمة مراقبة الويب المظلمة الخاصة بهم باستمرار الويب المظلم باستخدام الذكاء الاصطناعي وتنبهك إذا تم اختراق كلمات المرور ورقم الضمان الاجتماعي والحسابات المصرفية.
يتيح لك ذلك التصرف بشكل أسرع وحماية هويتك الرقمية بشكل أفضل.
هذا كل شيء ، نأمل أن تساعدك هذه المقالة في تعلم أفضل ممارسات أمان WordPress بالإضافة إلى اكتشاف أفضل المكونات الإضافية لأمان WordPress لموقعك على الويب.
قد ترغب أيضًا في الاطلاع على دليل WordPress SEO النهائي الخاص بنا لتحسين تصنيفات SEO الخاصة بك .