يجب أن يكون الحفاظ على أمان موقع الويب أولوية قصوى لأي مالك موقع. عندما يتعلق الأمر بـ WordPress ، فهناك العديد من الطرق لتعزيز الأمان وخطوات معينة يجب اتباعها. معظمها إعدادات سريعة وسهلة ، بينما يتطلب البعض الآخر مزيدًا من الاهتمام.
هناك العديد من الطرق لتأمين موقع WordPress على الويب. أمان الموقع ليس عدوًا سريعًا. بدلا من ذلك يبدو أشبه بالماراثون. حسنًا … لأكون صادقًا تمامًا ، لا ينتهي الأمر أبدًا. لا توجد خطوات للقيام بها ونسيانها. صيانة الأمن مهمة مستمرة.
في هذه المقالة ، سنناقش الخطوات الأساسية لأمان WordPress ، وكيفية إجراء تدقيق أساسي للأمان.
أهمية الأمن
بصفتك مالكًا لموقع WordPress ، فأنت بحاجة إلى الاستمرار في التركيز على الأمان لأن الفشل في حماية موقعك لا يضر فقط بوجودك على الويب ، ولكن أيضًا علامتك التجارية وسمعتك وبيانات العملاء والمعلومات المالية وغير ذلك. تسمح الاختراقات الأمنية أيضًا بالبرامج الضارة المثبتة على موقع الويب من قبل المتسللين الذين اكتشفوا نقاط ضعف ونقاط ضعف. يمكن لمثل هذه البرامج النصية أن تنشر البريد العشوائي والفيروسات والأخطاء.
يمكن أن يتسبب ذلك في أضرار جسيمة ليس فقط لموقعك ، ولكن أيضًا لجهاز الكمبيوتر ، مما يؤثر بشكل كبير على عملك.
تقوية موقع WordPress الخاص بك
1. حافظ على WordPress محدثًا
قد يبدو الأمر بسيطًا ، لكنه في الواقع أحد أسهل الطرق وأكثرها أهمية لتعزيز أمان WordPress الخاص بك. يقوم مجتمع مطوري WordPress بتحديث WordPress بشكل منتظم. عند تحديث تثبيت WordPress الخاص بك ، فإنه يضمن إزالة العيوب الأمنية في الإصدار السابق ويساعدك في الحفاظ على أمان موقعك.
لتحديث WordPress ، انقر فوق الزر “تحديث” في صفحة “التحديثات”. يمكنك العثور على صفحة التحديث ضمن قائمة DASHBOARD في مسؤول WordPress الخاص بك.
لا يتعلق الأمر بجوهر WordPress ، على الرغم من ذلك. من خلال تحديث السمة والمكونات الإضافية ، تقل احتمالية تعرض موقعك لانتهاكات أمنية. تظهر إشعارات تحديث السمات والمكونات الإضافية بشكل متكرر على لوحة المعلومات. لا تتجاهل أبدًا هذه الأشياء لأنها لا تعمل على تحسين الأمان فحسب ، بل تعمل أيضًا على إصلاح الأخطاء التي قد لا تعرفها حتى.
2. استخدم كلمات مرور معقدة
يمكن لـ WordPress إنشاء كلمات مرور قوية تلقائيًا لحسابات المستخدمين. عندما يتعلق الأمر بمقارنة كلمات المرور ، يصعب اختراق كلمات المرور التي أنشأها WordPress بواسطة Brute Force Attacks (BAT) – وهو نوع شائع من الهجمات يستخدم لاختراق مواقع الويب عن طريق تجربة مجموعات الرموز الشائعة والمحتملة.
في شاشة تحرير المستخدم ، يمكنك العثور على خيار كلمة المرور. قم بإنشاء كلمة مرور جديدة وحفظ التغييرات في النهاية.
إذا كنت تفضل كلمات مرور مخصصة ، فاستخدم دائمًا ما لا يقل عن 8-12 رمزًا ومجموعة من الأحرف الصغيرة والكبيرة والأرقام والرموز الخاصة – على سبيل المثال “MyP @ ssw0rd” أقوى بكثير من “mypassword”.
3. النسخ الاحتياطي لموقعك بانتظام
النسخ الاحتياطية هي بشكل عام نسخة محفوظة من موقعك بالكامل. حتى إذا تم اختراق موقعك بنجاح ، يمكنك استعادة جميع ملفاتك وبياناتك من حزمة نسخ احتياطي.
لحسن الحظ ، يقدم معظم مزود الاستضافة خيار النسخ الاحتياطي الكامل للموقع. حتى إذا لم تكن استضافتك كذلك ، فإن الإضافات الاحتياطية لـ WordPress مثل UpdraftPlus تغطي الفجوة للمبتدئين.
فقط كن حذرًا ، حيث يمكن لهذه المكونات الإضافية أن تستهلك كل مساحة تخزين الخادم بسرعة وسهولة في أي وقت من الأوقات. اقرأ الإعدادات بعناية وتأكد من أنك لا تخزن أكثر من نسخة احتياطية واحدة في كل مرة.
4. تثبيت البرنامج المساعد لأمان WordPress
على الرغم من أنه يمكنك إدارة الأمان يدويًا ، فقد ثبت أن المكونات الإضافية للأمان في WordPress مفيدة للغاية ، خاصة للمستخدمين غير المتمرسين.
لا تقوم معظم المكونات الإضافية للأمان بمراقبة الثغرات الأمنية الشائعة والحفاظ عليها على موقعك فحسب ، بل توفر أيضًا فحصًا أمنيًا وفحص البرامج النصية الضارة وتغييرات الملفات المشبوهة.
الإضافات الأمنية الشائعة في WordPress هي WordFence أو Sucuri أو Defender Security.
توفر جميعها إخطارات عبر البريد الإلكتروني ولوحة المعلومات حول الثغرات الأمنية المحتملة ، وإصدارات البرامج القديمة ، بما في ذلك ملفات WordPress الأساسية والمكونات الإضافية. كما أنها تتيح لك تتبع محاولات تسجيل الدخول الفاشلة وعناوين IP المحظورة.
5. استخدم وظيفة “الحد من محاولات تسجيل الدخول”
يساعد تنفيذ إجراءات أمنية مقيدة على محاولات تسجيل الدخول على حماية موقعك من هجمات القوة الغاشمة. عندما يتم تمكين وظيفة الحد من محاولات تسجيل الدخول على موقعك ، يتم رفض المستخدمين (أو حتى برامج الروبوت) الذين يقومون بإدخال تفاصيل تسجيل دخول غير صحيحة بشكل متكرر لفترة محددة و / أو يتم حظرهم بواسطة IP.
تحتوي معظم مكونات أمان WordPress على هذا الخيار مدمجًا ، ولكنه متاح أيضًا كمكوِّن إضافي مجاني مستقل. يمكنك استخدام المكون الإضافي Limit Login Attempts Reloaded (إعادة تحميل محاولات تسجيل الدخول) للغرض المذكور. يساعدك بشكل كبير على تعزيز أمان موقعك ضد هجمات القراصنة.
6. إضافة طبقة أمان إضافية مع مصادقة عاملين
تمامًا مثل استخدام مكون WordPress الإضافي للحد من محاولات تسجيل الدخول ، يمكنك الحصول على طبقة أمان إضافية مع مكون إضافي لمصادقة Two Factor Authentication.
المصادقة الثنائية (2FA) هي إجراء أمني من خطوتين لتسجيل الدخول إلى WordPress. بعد تنشيطه على موقع الويب الخاص بك ، في كل مرة تحاول فيها تسجيل الدخول ، ستحصل على رمز أمان إضافي عن طريق رسالة نصية أو بريد إلكتروني (إذا كانت كلمة المرور الخاصة بك صحيحة). بمجرد إدخال هذا الرمز من البريد الإلكتروني أو الرسائل النصية ، سترى لوحة التحكم الخاصة بموقعك.
نظرًا لأنه ليس من المفترض أن يتمكن المتسللون من الوصول إلى بريدك الإلكتروني أو هاتفك المحمول ، حتى إذا استخدموا كلمة المرور الصحيحة ، فلن يكون لديهم فرصة لدخول مسؤول موقعك دون اجتياز المصادقة الثنائية (2FA).
7. استخدم يصعب تخمين اسم مستخدم المسؤول
يعد استخدام “admin” لاسم المستخدم خطأ في حد ذاته بشكل عام. بصفتك مشرفًا على الموقع ، يمكنك تنفيذ جميع الإجراءات الممكنة باستخدام حساب المسؤول. استخدم دائمًا كلمة يصعب تخمينها لاسم مستخدم حساب المسؤول ولا تكشفها علنًا أبدًا. لديك خيار لتعيين اسم عرض عام على موقعك في شاشة تحرير ملف تعريف المستخدم الخاص بك. تأكد من أن زوار الموقع يمكنهم فقط رؤية اسمك (على سبيل المثال – John Doe) ، ولكن ليس اسم المستخدم الخاص بك (مثل J0hn @ dmin). كلما أمكن ، استخدم حساب محرر لمهام صيانة الموقع الشائعة ، مثل إنشاء المحتوى. سيساعدك هذا على الابتعاد عن هجمات القرصنة مثل Session Hijacking ، وهو نوع من الهجوم يستخدم لاختطاف جلسات تسجيل الدخول.
بالتأكيد ، يمكن للقراصنة أيضًا استهداف حساب محرر ، لكن لا يمكنهم استخدامه للسيطرة الكاملة على موقعك.
8. مراقبة ملف التغييرات
أثناء قيامك بتثبيت مكونات إضافية ونصوص برمجية مختلفة ، قد تلاحظ أن ملفاتك قد تم تغييرها أو تحديثها.
في هذه الحالة ، لا يمكنك ملاحظة التغييرات دون وجود مقياس معين في مكانه.
لمراقبة ملفات موقعك بفاعلية ، قم بتثبيت مكون إضافي مثل WordFence أو WP Security Scan. تساعدك هذه المكونات الإضافية في الحصول على إشعارات بشأن تغييرات الملف.
تأكد أيضًا من تعطيل محرر رمز محرر السمات والإضافات على واجهة المسؤول. ما عليك سوى تحرير ملف wordpress-config.php الخاص بك بإضافة السطر التالي قبل السطر الذي يشير إلى ذلك هذا كل شيء ، توقف عن التحرير! نشر سعيد ‘ :
define( 'DISALLOW_FILE_EDIT', true );
هذا كل شيء ، سيختفي محررو المكونات الإضافية والقوالب الآن من قوائم السمات والإضافات في منطقة إدارة WordPress.
9. قم باستضافة موقع WordPress الخاص بك على خوادم آمنة
عندما يتعلق الأمر باستضافة موقع WordPress الخاص بك ، فإن اختيار مزود حسن السمعة أمر بالغ الأهمية.
توفر شركات استضافة WordPress الجيدة تدابير نشطة وسلبية لوقف الهجمات والنية الخبيثة في مساراتها. المراقبة المستمرة لوقت التشغيل ، واكتشاف هجوم DDoS ، والقيود المستندة إلى البرامج ، ودعم SSL ، وجدران حماية الأجهزة هي الأشياء التي تبحث عنها أيضًا.
يمكنك قراءة دليلنا المحدث حول كيفية اختيار أفضل استضافة WordPress لموقعك.
10. حذف السمات والإضافات غير المستخدمة
يمكنك فقط تشغيل موضوع واحد في كل مرة على موقعك ، لذلك لا يوجد سبب لبناء مجموعة من السمات التي تم تحميلها على الخادم الخاص بك. فهو لا يؤدي فقط إلى زيادة مساحة تخزين الملفات ، ولكنه يمثل أيضًا ثغرة أمنية كبيرة. غالبًا ما تحتوي السمات القديمة على ملفات قديمة حيث لا تزال نقاط الضعف المعروفة موجودة.
عندما يتعلق الأمر بتحسين أمان موقع الويب الخاص بك ، فإن إزالة السمات والمكونات الإضافية غير المستخدمة تساعدك أيضًا على إغلاق “الثغرات” ، ولكنها تساعد أيضًا في تسريع موقع WordPress وتقليل عدد inodes (مشكلة شائعة) على الخادم الخاص بك.
خاتمة
هذه هي الإجراءات الأساسية لتعزيز أمان موقع الويب المستند إلى WordPress.
أخيرًا وليس آخرًا ، مع نمو موقعك بمحتوى جديد ، يجب عليك إنشاء عادات المراقبة وتنفيذها.
ما هي نصائح الأمان التي لديك لتأمين موقع WordPress؟ من فضلك ، شارك تجربتك في التعليقات أدناه.
ديميتار كويف مصمم جرافيك وويب ، مطور واجهات أمامية وخبير تسويق. الرئيس التنفيذي ومؤسس فريق Althemist (المعروف سابقًا باسم Koev) – مؤلف سوق إنفاتو مستقل ، يركز على بناء موضوعات WordPress بلهجة قوية للتجارة الإلكترونية.
