كيفية تحسين أمان موقع WordPress؟

نشرت: 2022-06-16

هل أنت قلق بشأن أمان WordPress؟ انت لست وحدك. يبحث معظم مالكي مواقع الويب عن طرق لحماية مواقع WordPress الخاصة بهم من المتسللين ، نظرًا للكم المتزايد من الهجمات الإلكترونية على مواقع WordPress. تعد شعبية WordPress ، التي تجعله نظام إدارة المحتوى المفضل لجميع أنواع مواقع الويب ، أحد أسباب ارتفاع عدد هذه الهجمات. ولكن ، هناك بعض الأسباب الأخرى أيضًا.

في دليل أمان WordPress هذا ، نجيب على جميع أسئلة أمان WordPress الخاصة بك ونشارك الإجراءات الموثوقة والموصى بها والتي تضمن مساعدتك في تأمين موقع الويب الخاص بك. هيا بنا نبدأ.

جدول المحتويات

هل WordPress آمن؟
كيفية تأمين موقع WordPress؟
- 1. منع هجمات القوة الغاشمة
- 2. تعيين أدوار المستخدم بحكمة
- 3. حافظ على تحديث موقع الويب الخاص بك دائمًا
- 4. قم بعمل نسخة احتياطية من موقع الويب الخاص بك بانتظام.
- 5. قم بتثبيت شهادة SSL
- 6. قم بتغيير اسم المستخدم الافتراضي الخاص بك إلى "admin"
- 7. تقوية موقع WordPress الخاص بك
- 9. تمكين المصادقة الثنائية (2FA)
- 10. استخدم مكونًا إضافيًا للأمان
- 11. استخدم الاستضافة الآمنة.
نقاط الضعف في موقع WordPress
- 1. حقن SQL
- 2. البرمجة النصية عبر المواقع (XSS)
- 3. التصيد
- 4. تصعيد الامتياز
- 5. فارما الإختراق
- 6. اختراق الكلمات الرئيسية اليابانية
لماذا أمان WordPress مهم

هل WordPress آمن؟

نظرًا لجميع المحادثات المتعلقة بتأمين WordPress ، فقد حظيت منصة WordPress بسمعة طيبة لكونها عرضة للتهديدات والمخاطر الأمنية. إذن ، السؤال هو: هل WordPress غير آمن بطبيعته؟ الإجابة هي لا ، لكن هذا لا يعني أن مواقع WordPress آمنة من المتسللين.

دعونا نوضح. بينما يعد WordPress آمنًا بحد ذاته ، إلا أن مواقعه الإلكترونية لا تعمل بمعزل عن غيرها. على سبيل المثال ، يعد WordPress شائعًا حيث يمكنه العمل مع المكونات الإضافية والسمات التابعة لجهات خارجية - قد لا تكون مصممة بالضرورة للأمان عبر الإنترنت. لجعل الأمور أسوأ ، لا يتبع معظم مالكي ومستخدمي المواقع أفضل ممارسات أمان WordPress مثل التحديثات في الوقت المناسب والنسخ الاحتياطية وغيرها من الإجراءات ، مما يجعلها عرضة للخطر.

كيفية تأمين موقع WordPress؟

إليك نظرة على 11 من أفضل تدابير الأمان في WordPress التي يمكن أن توفر لك راحة البال:

1. منع هجمات القوة الغاشمة

تستهدف هجمات القوة الغاشمة بشكل أساسي حسابات تسجيل الدخول إلى WordPress وتستغل كلمات المرور الضعيفة وإجراءات المصادقة غير الكافية. ينشر المتسللون الروبوتات الآلية للحصول على وصول إجباري إلى حسابات المستخدمين - لا سيما حسابات المستخدمين الإداريين.

كيف يمكنك منع هجمات القوة الغاشمة؟ حدد عدد محاولات تسجيل الدخول الفاشلة باستخدام CAPTCHA في صفحة تسجيل الدخول الخاصة بك.

بعد ذلك ، قم بتكوين كلمات مرور قوية لكل مستخدم. يجب أن تكون كلمات المرور القوية إلزامية لكل مستخدم ، بما في ذلك المستخدمين المسؤولين. على سبيل المثال ، يجب أن تتكون كلمات المرور القوية من 12 حرفًا على الأقل ويجب أن تتضمن ما يلي:

الحروف الهجائية الكبيرة والصغيرة
أحرف خاصة مثل $ أو @ أو _
مزيج من الأرقام

من يمكنه استخدام مديري كلمات المرور مثل LastPass أو 1Password لإنشاء كلمات مرور قوية وتخزينها لمستخدميك؟

2. تعيين أدوار المستخدم بحكمة

يتيح WordPress ستة أدوار افتراضية للمستخدم لكل موقع: المشرف المتميز ، والمسؤول ، والمحرر ، والمؤلف ، والمساهم ، والمشترك. تتبع هذه الأدوار تسلسل هرمي للسلطة والامتيازات. يمكن أن يؤدي تعيين العديد من الإمكانات أو المزايا الأعلى إلى الشخص الخطأ إلى مخاطر أمنية.

جزء أساسي من ضمان أن موقعك في أيد أمينة هو الحصول على مهمة توزيع الأدوار هذه بشكل صحيح.

3. حافظ على تحديث موقع الويب الخاص بك دائمًا

ما هي أفضل طريقة لتأمين موقع WordPress الخاص بك من المتسللين؟ ابقها محدثة دائما. هذا يعني تثبيت أحدث إصدارات Core WordPress والإضافات والقوالب. لماذا هذا مهم؟ غالبًا ما تحتوي آخر تحديثات البرامج على إصلاحات وتحسينات أمنية. لسوء الحظ ، يختار الملايين من مستخدمي WordPress عدم تحديث مواقعهم خوفًا من كسر مواقعهم المباشرة.

4. قم بعمل نسخة احتياطية من موقع الويب الخاص بك بانتظام.

بغض النظر عن عدد الإجراءات التي تتخذها ، لا يمكنك أبدًا ضمان حماية موقعك من المتسللين. عندما تحدث أسوأ الأشياء ، يمكنك استخدام النسخ الاحتياطية الحالية لاستعادة موقع ويب معطل.

من يمكنه القيام بذلك بسرعة عن طريق تثبيت المكونات الإضافية المدفوعة للنسخ الاحتياطي في WordPress مثل BlogVault أو UpdraftPlus؟

5. قم بتثبيت شهادة SSL

يمكنك زيادة تحسين أمان موقع WordPress الخاص بك عن طريق تشغيله عبر اتصال مشفر مثل HTTPS. يسمح HTTPS باختصار لـ Secure HTTP ، للمتصفحات أو تطبيقات الويب بالاتصال الآمن بمواقع الويب. كيف تنتقل من موقع ويب HTTP إلى موقع ويب HTTPS؟ تثبيت شهادة SSL ، المعيار المقبول في المجال للمواقع الإلكترونية المشفرة.

بالنسبة لمواقع WordPress ، يمكنك تثبيت شهادة SSL من شركة مضيف الويب الخاصة بك أو من خلال مكونات SSL التابعة لجهات خارجية مثل Let's Encrypt.

6. قم بتغيير اسم المستخدم الافتراضي الخاص بك إلى "admin"

فيما يتعلق بالمنطق السليم ، يجب على مستخدمي WordPress عدم الاستمرار في استخدام أسماء المستخدمين الافتراضية مثل "admin" الذي ينشئه WordPress. استبدل جميع أسماء المستخدمين الافتراضية بأسماء مستخدمين فريدة يصعب تخمينها. ربما تكون هذه هي أسهل طريقة لإحباط هجمات القوة الغاشمة.

يمكنك إنشاء مستخدم إداري جديد من لوحة "المستخدمون" في لوحة تحكم استضافة الويب - أو استخدام أداة phpMyAdmin.

7. تقوية موقع WordPress الخاص بك

هناك طرق متعددة لتقوية موقع WordPress الخاص بك من المتسللين ، بما في ذلك تأمين ملف wp-config.php المهم في تثبيت WordPress. يوصي WordPress بحوالي 12 إجراء تقوية مختلف لحماية مستخدميه. يتضمن ذلك حظر عمليات تنفيذ PHP وتثبيت المكونات الإضافية وتغيير مفاتيح الأمان وغير ذلك الكثير.

يعد تنفيذ تصلب WordPress معقدًا من الناحية الفنية. نوصي باستخدام مكون إضافي للأمان في WordPress مثل MalCare للقيام بذلك أو الاستعانة بمطور WordPress أو خبير.

8. تقييد وصول المستخدم إلى لوحة التحكم الخاصة بك ، هل تقيد المستخدمين الذين لديهم امتيازات "المسؤول" فقط للوصول إلى لوحة معلومات WordPress الخاصة بك؟ نعم ، هذا ممكن. هذا يمنع المستخدمين ذوي الامتيازات الأقل (مثل المحررين والمشتركين) من الوصول إلى الصفحات الأساسية مثل لوحة تحكم المستخدم.
لتقييد وصول المستخدم ، قم بتثبيت مكون WordPress الإضافي مثل "Remove Dashboard Access" أو "تقييد وصول المستخدم".

9. تمكين المصادقة الثنائية (2FA)

المصادقة الثنائية هي أيضًا مقياس فعال لجعل WordPress آمنًا من أي هجمات القوة الغاشمة. مع تطبيق المصادقة الثنائية (2FA) ، يجب على المستخدمين الذين يسجلون الدخول إلى حساباتهم اتباع عملية من خطوتين

إدخال اسم المستخدم وكلمة المرور الصحيحين
إدخال رمز تحقق فريد لمرة واحدة يتم إنشاؤه وإرساله إلى أجهزتهم فقط

يمكنك تنفيذ المصادقة الثنائية (2FA) عن طريق تثبيت المكون الإضافي Google Authenticator.

10. استخدم مكونًا إضافيًا للأمان

إذا كان لديك القليل من الوقت لتطبيق الأمان لمواقع WordPress ، فإن أفضل حل هو الاستثمار في مكون أمان WordPress الإضافي. تم تصميم أدوات الأمان هذه لاكتشاف وإزالة أكثر أنواع التهديدات عبر الإنترنت تعقيدًا مثل البرامج الضارة والأبواب الخلفية ونقاط الضعف الأمنية الأخرى والجمع بين معظم الخطوات التي ناقشناها بالفعل في هذا الدليل.

على سبيل المثال ، يجمع مكون إضافي للأمان مثل MalCare بين مسح البرامج الضارة والتنظيف التلقائي مع حماية تسجيل الدخول وإدارة تحديث موقع الويب و 2FA وتقوية WordPress.

أفضل جزء هو أنه يمكن استخدامها حتى من قبل المستخدمين الذين لديهم معرفة أساسية بـ WordPress.

11. استخدم الاستضافة الآمنة.

يجب أن تستثمر في نظام استضافة آمن لزيادة أمان موقع WordPress الخاص بك. يضيف مضيف معين مثل Bluehost أو Kinsta العديد من طبقات الإجراءات الأمنية لمواقع WordPress المستضافة للدفاع عنها من التهديدات المعقدة والمعقدة.

اختر مضيف ويب WordPress يمكنك الوثوق به للحفاظ على موقع الويب الخاص بك آمنًا وعاملاً على مدار الساعة طوال أيام الأسبوع.

بدون إجراءات الأمان الـ 11 هذه ، من المحتمل أن يواجه موقع WordPress الخاص بك وطأة المهاجمين الذين يبحثون عن ثغرات أمنية طفيفة أو ثغرات لإتلاف موقع الويب الخاص بك.

نقاط الضعف في موقع WordPress

مواقع WordPress ليست مهددة فقط بهجمات القوة الغاشمة. يمكن للقراصنة نشر أنواع مختلفة من الهجمات الأمنية لاقتحام مواقع WordPress الإلكترونية. فيما يلي 6 من الأشياء الشائعة:

1. حقن SQL

في هذا الهجوم ، يستغل المتسللون الثغرات الأمنية في المكونات الإضافية للنماذج عبر الإنترنت لإدخال رمز أو روابط مشبوهة في قاعدة بيانات WordPress. بمجرد الوصول إلى هناك ، يمكنه استخدام أوامر SQL لإتلاف جداول وسجلات قاعدة البيانات الخاصة بك.

2. البرمجة النصية عبر المواقع (XSS)

يتم إدخال الكود أو البرنامج النصي الضار مباشرة في موقع الويب (أو تطبيق الويب). تُستخدم هجمات XSS "لسرقة" ملفات تعريف الارتباط أو بيانات الجلسة أو إعادة كتابة محتوى صفحة HTML.

3. التصيد

كما يوحي الاسم ، يستخدم المتسللون هجمات التصيد "لاصطياد" المستخدمين المطمئنين من خلال إرسال رسائل بريد إلكتروني تجارية تبدو حقيقية لهم. يتم إغراء ضحية التصيد بالضغط على رابط أو مرفق في رسائل البريد الإلكتروني هذه ويتم خداعها لشراء منتجات مزيفة أو إفشاء معلومات حساسة.

4. تصعيد الامتياز

يمكن للقراصنة أيضًا استغلال الثغرات الأمنية في حسابات WordPress لشن هجمات تصعيد الامتيازات. يمكن أن يحصل هذا الهجوم على وصول مرتفع إلى امتيازات "المسؤول" التي لا تتوفر عادةً للمستخدمين ذوي الحقوق "الأقل".

5. فارما الإختراق

يُشار إليها باسم "Google Viagra" ، حيث يتمكن المتسللون من شركات الأدوية من استغلال الأخطاء الأمنية لإدراج كلمات رئيسية "غير مرغوب فيها" (مثل "شراء الفياجرا عبر الإنترنت") في شفرة تحسين محركات البحث لمواقع الويب الشهيرة. نتيجة لذلك ، يتم سرد مواقع الويب هذه عندما يبحث مستخدمو محرك البحث عن هذه الكلمات الرئيسية - ويتم إعادة توجيههم إلى مواقع الويب التي تبيع منتجات أو خدمات صيدلانية "وهمية".

6. اختراق الكلمات الرئيسية اليابانية

هذا مشابه لكيفية عمل قرصنة الأدوية - باستثناء أن موقع الويب المستهدف مليء بالكلمات الرئيسية اليابانية. نتيجة لذلك ، يتم سرد مواقع الويب الأصلية في نتائج البحث - استجابةً لإدخال المستخدم للكلمات الرئيسية اليابانية بالضبط.

لماذا أمان WordPress مهم

إن معرفة كيفية تأمين موقع WordPress الخاص بهم من مجرمي الإنترنت هو الطريقة الوحيدة التي يمكن للشركات من خلالها الحفاظ على مواقع الويب الخاصة بهم وظيفية والعملاء سعداء. يعني موقع الويب المخترق فترة تعطل ممتدة للشركة - مما يؤدي إلى فقدان حركة المرور أو تحويلات العملاء أو خسارة إيرادات الأعمال في نهاية المطاف.

على الرغم من أفضل الإجراءات الأمنية ، لا يوجد ضمان بنسبة 100٪ بأن المتسللين لن يهاجموا موقعك. أفضل طريقة لمنع اختراق موقع WordPress الخاص بك هي فحص وإزالة البرامج الضارة بمجرد العثور عليها واستخدام جدار حماية لتثبيت جدار حماية يمكنه إبعاد حركة المرور الرهيبة. القيام بذلك يدويًا ، بشكل مستمر ، هو عمل شاق. يمكن أن تزيل المكونات الإضافية للأمان هذا العبء من ظهرك عن طريق اكتشاف وتنظيف أحدث أنواع البرامج الضارة ومساعدتك في تنفيذ أفضل تدابير الأمان لموقعك بسرعة وكفاءة.

فوائد ووردبريس: كيفية استخدام ووردبرس