سنشارك جميع نصائح الأمان في دليل أمان WordPress لمساعدتك على حماية موقع الويب الخاص بك من المتسللين والبرامج الضارة.
أمان ووردبريس لمستخدمي DIY
إذا فعلت كل ما ذكرناه حتى الآن ، فأنت في حالة جيدة.
ولكن كما هو الحال دائما ، هناك المزيد الذي يمكنك القيام به لتشديد أمان WordPress الخاص بك.
قد تتطلب بعض هذه الخطوات معرفة الترميز.
تغيير اسم المستخدم الافتراضي “المسؤول”
في الأيام الخوالي ، كان اسم مستخدم مسؤول WordPress الافتراضي هو “admin”. نظرا لأن أسماء المستخدمين تشكل نصف بيانات اعتماد تسجيل الدخول ، فقد سهل ذلك على المتسللين القيام بهجمات القوة الغاشمة.
لحسن الحظ ، قام WordPress منذ ذلك الحين بتغيير هذا ويتطلب منك الآن تحديد اسم مستخدم مخصص في وقت تثبيت WordPress.
ومع ذلك ، فإن بعض مثبتات WordPress التي انقر فوقها 1 ، لا تزال تقوم بتعيين اسم مستخدم المسؤول الافتراضي على “admin”. إذا لاحظت أن هذا هو الحال ، فمن المحتمل أن يكون من الجيد تبديل استضافة الويب الخاصة بك.
نظرا لأن WordPress لا يسمح لك بتغيير أسماء المستخدمين افتراضيا ، فهناك ثلاث طرق يمكنك استخدامها لتغيير اسم المستخدم.
- قم بإنشاء اسم مستخدم مشرف جديد واحذف الاسم القديم.
- استخدم الاضافة “مغير اسم المستخدم”
- تحديث اسم المستخدم من phpMyAdmin
ملاحظه: نحن نتحدث عن اسم المستخدم المسمى “admin” ، وليس دور المسؤول.
تعطيل تحرير الملفات
يأتي WordPress مزودا بمحرر كود مدمج يسمح لك بتحرير ملفات القالب والاضافة مباشرة من منطقة إدارة WordPress الخاصة بك. في الأيدي الخطأ ، يمكن أن تشكل هذه الميزة خطرا أمنيا ولهذا نوصي بإيقاف تشغيلها.
يمكنك القيام بذلك بسهولة عن طريق إضافة الكود التالي في ملف wp-config.php الخاص بك.
1
2
|
// Disallow file edit define( 'DISALLOW_FILE_EDIT' , true ); |
بدلا من ذلك ، يمكنك القيام بذلك بنقرة 1 باستخدام ميزة Hardening في الاضافة Sucuri المجاني الذي ذكرناه أعلاه.
تعطيل تنفيذ ملف PHP في بعض أدلة WordPress
هناك طريقة أخرى لتشديد أمان WordPress الخاص بك وهي تعطيل تنفيذ ملف PHP في الدلائل التي لا تكون هناك حاجة إليها مثل / wp-content / uploads /.
يمكنك القيام بذلك عن طريق فتح محرر نصوص مثل Notepad ولصق هذا الرمز:
1
2
3
|
<Files *.php> deny from all </Files> |
بعد ذلك ، تحتاج إلى حفظ هذا الملف بتنسيق .htaccess وتحميله إلى مجلدات / wp-content / uploads / على موقع الويب الخاص بك باستخدام عميل FTP.
لمزيد من الشرح التفصيلي ، راجع دليلنا حول كيفية تعطيل تنفيذ PHP في بعض أدلة WordPress
بدلا من ذلك ، يمكنك القيام بذلك بنقرة 1 باستخدام ميزة Hardening في الاضافة Sucuri المجاني الذي ذكرناه أعلاه.
الحد من محاولات تسجيل الدخول
بشكل افتراضي ، يتيح WordPress للمستخدمين محاولة تسجيل الدخول عدة مرات كما يريدون. هذا يترك موقع WordPress الخاص بك عرضة لهجمات القوة الغاشمة. يحاول المتسللون كسر كلمات المرور من خلال محاولة تسجيل الدخول باستخدام مجموعات مختلفة.
يمكن إصلاح ذلك بسهولة عن طريق الحد من محاولات تسجيل الدخول الفاشلة التي يمكن للمستخدم القيام بها. إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقا ، الاعتناء بذلك تلقائيا.
ومع ذلك ، إذا لم يكن لديك إعداد جدار الحماية ، فتابع الخطوات أدناه.
أولا ، تحتاج إلى تثبيت وتنشيط الاضافة Login LockDown. لمزيد من التفاصيل ، راجع دليلنا خطوة بخطوة حول كيفية تثبيت الاضافة WordPress .
عند التنشيط ، قم بزيارة الإعدادات »صفحة تسجيل الدخول LockDown لإعداد الإضافة.
إضافة المصادقة الثنائية
تتطلب تقنية المصادقة الثنائية من المستخدمين تسجيل الدخول باستخدام طريقة مصادقة من خطوتين. الأول هو اسم المستخدم وكلمة المرور ، والخطوة الثانية تتطلب منك المصادقة باستخدام جهاز أو تطبيق منفصل.
تسمح لك معظم مواقع الويب الرئيسية على الإنترنت مثل Google و Facebook و Twitter بتمكينها لحساباتك. يمكنك أيضا إضافة نفس الوظيفة إلى موقع WordPress الخاص بك.
أولا ، تحتاج إلى تثبيت وتنشيط الاضافة للمصادقة الثنائية. عند التنشيط ، تحتاج إلى النقر فوق الارتباط “المصادقة الثنائية” في الشريط الجانبي لمسؤول WordPress.
بعد ذلك ، تحتاج إلى تثبيت تطبيق مصادقة وفتحه على هاتفك. هناك العديد منها متاح مثل Google Authenticator و Authy و LastPass Authenticator.
نوصي باستخدام LastPass Authenticator أو Authy لأن كلاهما يسمح لك بعمل نسخة احتياطية من حساباتك على السحابة. هذا مفيد جدا في حالة فقد هاتفك أو إعادة ضبطه أو شراء هاتف جديد. ستتم استعادة جميع عمليات تسجيل الدخول إلى حسابك بسهولة.
سنستخدم LastPass Authenticator للبرنامج التعليمي. ومع ذلك ، فإن التعليمات متشابهة لجميع تطبيقات المصادقة. افتح تطبيق المصادقة الخاص بك ، ثم انقر فوق الزر إضافة.
سيتم سؤالك عما إذا كنت ترغب في مسح موقع يدويا أو مسح الرمز الشريطي ضوئيا. حدد خيار مسح الرمز الشريطي ثم وجه كاميرا هاتفك إلى رمز الاستجابة السريعة الموضح في صفحة إعدادات الاضافة.
هذا كل شيء ، سيقوم تطبيق المصادقة الخاص بك الآن بحفظه. في المرة القادمة التي تقوم فيها بتسجيل الدخول إلى موقع الويب الخاص بك ، سيطلب منك رمز المصادقة ذي العاملين بعد إدخال كلمة المرور الخاصة بك.
ما عليك سوى فتح تطبيق المصادقة على هاتفك وإدخال الرمز الذي تراه عليه.
تغيير بادئة قاعدة بيانات ووردبريس
بشكل افتراضي ، يستخدم WordPress wp_ كبادئة لجميع الجداول في قاعدة بيانات WordPress الخاصة بك. إذا كان موقع WordPress الخاص بك يستخدم بادئة قاعدة البيانات الافتراضية ، فإنه يسهل على المتسللين تخمين اسم جدولك. هذا هو السبب في أننا نوصي بتغييره.
ملاحظه: يمكن أن يؤدي ذلك إلى كسر موقعك إذا لم يتم ذلك بشكل صحيح. تابع فقط ، إذا كنت تشعر بالراحة مع مهاراتك في الترميز.
حماية كلمة المرور WordPress المسؤول وصفحة تسجيل الدخول
عادة ، يمكن للمتسللين طلب مجلد wp-admin وصفحة تسجيل الدخول دون أي قيود. هذا يسمح لهم بتجربة حيل القرصنة أو تشغيل هجمات DDoS.
يمكنك إضافة حماية إضافية بكلمة مرور على مستوى الخادم ، مما سيؤدي إلى حظر هذه الطلبات بشكل فعال.
تعطيل فهرسة الدليل وتصفحه
يمكن استخدام تصفح الدليل من قبل المتسللين لمعرفة ما إذا كان لديك أي ملفات بها ثغرات أمنية معروفة ، حتى يتمكنوا من الاستفادة من هذه الملفات للوصول.
يمكن أيضا استخدام تصفح الدليل من قبل أشخاص آخرين للنظر في ملفاتك ونسخ الصور ومعرفة بنية الدليل والمعلومات الأخرى. هذا هو السبب في أنه يوصى بشدة بإيقاف تشغيل فهرسة الدليل وتصفحه.
تحتاج إلى الاتصال بموقع الويب الخاص بك باستخدام FTP أو مدير ملفات cPanel. بعد ذلك ، حدد موقع ملف htaccess في الدليل الجذر لموقع الويب الخاص بك.
بعد ذلك ، تحتاج إلى إضافة السطر التالي في نهاية ملف htaccess:
Options -Indexes
لا تنس حفظ ملف htaccess وتحميله مرة أخرى إلى موقعك.
تعطيل XML-RPC في ووردبريس
تم تمكين XML-RPC افتراضيا في WordPress 3.5 لأنه يساعد في توصيل موقع WordPress الخاص بك بتطبيقات الويب والجوال.
نظرا لطبيعتها القوية ، يمكن ل XML-RPC تضخيم هجمات القوة الغاشمة بشكل كبير.
على سبيل المثال ، تقليديا ، إذا أراد أحد المتسللين تجربة 500 كلمة مرور مختلفة على موقع الويب الخاص بك ، فسيتعين عليه إجراء 500 محاولة تسجيل دخول منفصلة والتي سيتم اكتشافها وحظرها بواسطة الاضافة لتأمين تسجيل الدخول.
ولكن مع XML-RPC ، يمكن للمتسلل استخدام وظيفة system.multicall لتجربة الآلاف من كلمات المرور مع 20 أو 50 طلبا.
لهذا السبب إذا كنت لا تستخدم XML-RPC ، فإننا نوصي بتعطيله.
نصيحة: طريقة .htaccess هي الأفضل لأنها الأقل كثافة في استخدام الموارد.
إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقا ، فيمكن أن يعتني به جدار الحماية.
تسجيل الخروج تلقائيا من المستخدمين الخاملين في WordPress
يمكن للمستخدمين الذين قاموا بتسجيل الدخول في بعض الأحيان التجول بعيدا عن الشاشة ، وهذا يشكل خطرا أمنيا. يمكن لأي شخص اختطاف جلسته أو تغيير كلمات المرور أو إجراء تغييرات على حسابه.
هذا هو السبب في أن العديد من المواقع المصرفية والمالية تقوم تلقائيا بتسجيل خروج مستخدم غير نشط. يمكنك تنفيذ وظائف مماثلة على موقع WordPress الخاص بك أيضا.
ستحتاج إلى تثبيت وتنشيط الاضافة لتسجيل الخروج غير النشط. عند التنشيط ، قم بزيارة الإعدادات »صفحة تسجيل الخروج غير النشط لتكوين إعدادات الإضافة.
ما عليك سوى تعيين المدة الزمنية وإضافة رسالة تسجيل خروج. لا تنس النقر فوق الزر “حفظ التغييرات” لتخزين إعداداتك.
أضف أسئلة الأمان إلى شاشة تسجيل الدخول إلى WordPress
إن إضافة سؤال أمان إلى شاشة تسجيل الدخول إلى WordPress يجعل من الصعب على شخص ما الحصول على وصول غير مصرح به.
يمكنك إضافة أسئلة الأمان عن طريق تثبيت الاضافة WP Security Questions. عند التنشيط ، تحتاج إلى زيارة الإعدادات »صفحة أسئلة الأمان لتكوين إعدادات الاضافة.
مسح WordPress بحثا عن البرامج الضارة و Vulnerabilies
إذا كان لديك اضافة لأمان WordPress مثبتا ، فستقوم هذه الإضافات بشكل روتيني بالتحقق من البرامج الضارة وعلامات الانتهاكات الأمنية.
ومع ذلك ، إذا رأيت انخفاضا مفاجئا في حركة المرور على موقع الويب أو تصنيفات البحث ، فقد ترغب في إجراء فحص يدويا. يمكنك استخدام الاضافة للأمان في WordPress ، أو استخدام أحد هذه البرامج الضارة والماسحات الضوئية الأمنية.
يعد تشغيل عمليات الفحص عبر الإنترنت هذه أمرا سهلا تماما ، ما عليك سوى إدخال عناوين URL لموقع الويب الخاص بك وتنتقل برامج الزحف الخاصة بها عبر موقع الويب الخاص بك للبحث عن البرامج الضارة المعروفة والتعليمات البرمجية الضارة.
ضع في اعتبارك الآن أن معظم الماسحات الضوئية الأمنية في WordPress يمكنها فقط فحص موقع الويب الخاص بك. لا يمكنهم إزالة البرامج الضارة أو تنظيف موقع WordPress المخترق.
يقودنا هذا إلى القسم التالي ، تنظيف البرامج الضارة ومواقع WordPress المخترقة.
إصلاح موقع WordPress المخترق
لا يدرك العديد من مستخدمي WordPress أهمية النسخ الاحتياطية وأمن مواقع الويب حتى يتم اختراق موقع الويب الخاص بهم.
قد يكون تنظيف موقع WordPress أمرا صعبا للغاية ويستغرق وقتا طويلا. نصيحتنا الأولى هي السماح للمحترف بالاعتناء بها.
يقوم المتسللون بتثبيت أبواب خلفية على المواقع المتأثرة ، وإذا لم يتم إصلاح هذه الأبواب الخلفية بشكل صحيح ، فمن المحتمل أن يتم اختراق موقع الويب الخاص بك مرة أخرى.
إن السماح لشركة أمان محترفة مثل Sucuri بإصلاح موقع الويب الخاص بك سيضمن أن موقعك آمن للاستخدام مرة أخرى. كما أنه سيحميك من أي هجمات مستقبلية.
نصيحة إضافية: سرقة الهوية وحماية الشبكة
بصفتنا أصحاب أعمال صغيرة ، من الأهمية بمكان أن نحمي هويتنا الرقمية والمالية لأن الفشل في القيام بذلك يمكن أن يؤدي إلى خسائر كبيرة. يمكن للقراصنة والمجرمين استخدام هويتك لسرقة اسم نطاق موقع الويب الخاص بك ، واختراق حساباتك المصرفية ، وحتى ارتكاب جريمة يمكن أن تكون مسؤولا عنها.
تم الإبلاغ عن 4.7 مليون حادث سرقة هوية واحتيال على بطاقات الائتمان إلى لجنة التجارة الفيدرالية (FTC) في عام 2020.
هذا هو السبب في أننا نوصي باستخدام خدمة الحماية من سرقة الهوية مثل Aura.
إنها توفر حماية للجهاز وشبكة wifi من خلال VPN المجاني (الشبكة الافتراضية الخاصة) التي تؤمن اتصالك بالإنترنت بتشفير من الدرجة العسكرية أينما كنت. يعد هذا أمرا رائعا عند السفر أو الاتصال بمسؤول WordPress الخاص بك من مكان عام مثل ستاربكس ، حتى تتمكن من العمل عبر الإنترنت بأمان وخصوصية.
تراقب خدمة مراقبة الويب المظلم الخاصة بهم باستمرار الويب المظلم باستخدام الذكاء الاصطناعي وتنبهك إذا تم اختراق كلمات المرور ورقم الضمان الاجتماعي والحسابات المصرفية.
يتيح لك ذلك التصرف بشكل أسرع وحماية هويتك الرقمية بشكل أفضل.
هذا كل شيء ، نأمل أن تساعدك هذه المقالة في معرفة أفضل ممارسات أمان WordPress بالإضافة إلى اكتشاف أفضل الإضافات لأمان WordPress لموقعك على الويب.
قد ترغب أيضا في الاطلاع على دليل WordPress SEO النهائي لتحسين تصنيفات تحسين محركات البحث ، ونصائح الخبراء لدينا حول كيفية تسريع WordPress.