13 طريقة تمكنك من تأمين موقع WordPress من المخترقين

13-طريقة-تمكنك-من-تأمين-موقع-wordpress-من-المخترقين

ما أهمية تأمين موقع WordPress من المخترقين

غالبًا ما يتم التغاضي عن تأمين موقع WordPress من المخترقين ، وعندما يحدث اختراق ، يمكن أن يكون ذلك قاتلًا لمدونتك أو موقع الويب الخاص بالعمل. غالبًا ما يُعزى الافتقار إلى الأمان إلى عدم فهم كيفية (أو حتى سبب) اختراق شخص ما لمواقع الويب ، وهذا هو سبب أهمية ضمان بقاء استثمارك آمنًا بالحفاظ على أمان الموقع .

فقط بعد أن حصل  اختراق لموقع الويب الأول الخاص بي ، بدأت أفهم أهمية التأكد من أن موقع الويب الخاص بك لم يكن صلبًا فحسب ، بل كان لدي دائمًا نسخة احتياطية حديثة لتصحيح المشكلة إذا حدث خطأ ما.

كنت محظوظًا لأن موقع الويب المعني لم يكن مهمًا بالنسبة لي ، أو كان من الممكن أن يكون هذا مدمرًا.

في عام 2013 ، أجرى Enable Security بحثًا (بعد يوم واحد فقط من إصدار WordPress 3.6.1) ووجد أن أكثر من 70٪ من مواقع الويب الأكثر شهرة في العالم تعتبر “عرضة” للهجوم!

خلص البحث إلى عدد من أسباب نقاط الضعف ، ولكن المشكلة الرئيسية كانت الفشل في تحديث WordPress باستمرار.

حسنا! نكتفي بهذا القدر من القصص المخيفة ، والآن دعنا نناقش كيفية الحفاظ على موقع الويب الخاص بك من الاختراق بشكل مجاني! 

1. النسخ الاحتياطي بانتظام وأهميته في تأمين موقع الويب الخاص بك !

أولاً ،عند الحديث عن تأمين موقع WordPress يمكن القول إن الأهم هو التأكد من أن لديك نسخة احتياطية منتظمة من موقع الويب الخاص بك. بالنسخ الاحتياطي أعني النسخ الاحتياطي الكامل (قاعدة البيانات ، وكل شيء). سيضمن ذلك أنه إذا حدث خطأ ما (حتى إذا حدث خطأ عن طريق تثبيت مكون إضافي مخصص للمساعدة في أمنك) ، فلديك طريقة لإصلاح ذلك بأقل قدر من المتاعب.

update

يقدم العديد من أفضل مزودي خدمة استضافة WordPress نسخًا احتياطية يومية مجانية ، وطالما يتم تخزينها خارج الموقع (بعيدًا عن الخوادم الخاصة بهم) ، فأنا أعتقد بصدق أن هذه هي الطريقة المثالية لضمان إدارة النسخ الاحتياطية بشكل فعال. على الرغم من أنني لا أزال في كثير من الأحيان احتفظ بنسخة احتياطية خاصة بي في حالة حدوث خطأ (على الرغم من أن هذا يتم فقط على أساس شهري).

إذا كنت راضيًا عن مضيفك ، أو لا تريد أن تضطر إلى صرف الأموال الزائدة على الاستضافة ، فيمكنك استخدام عدد من الخدمات البديلة ، مثل Vaultpress (موصى به).

2. قم بتحديث نسخة WordPress الخاص بك

كما ذكرنا أعلاه ، فإن هذا يمثل أكبر خطر على موقع الويب الخاص بك ، وطالما أن لديك نسخة احتياطية كافية من موقع الويب الخاص بك ، فستتمكن دائمًا من استعادته إذا أدى تحديث WordPress إلى كسر موقع الويب. عدم تحديث التثبيت ليس خيارًا ، إذا تأخر موقع الويب الخاص بك عن هذه التحديثات ، فستكون مسألة وقت فقط قبل أن يستفيد المتسلل من الثغرات الأمنية في التحديثات السابقة.

update

مرة أخرى ، يدير عدد قليل من أفضل مضيفي WordPress هذه التحديثات من أجلك للتأكد من أنك تقوم دائمًا بتشغيل أحدث إصدار من WordPress ، والبديل الآخر (إذا لم تكن سعيدًا بفعل ذلك بنفسك) هو استئجار شركة صيانة محترفة (على الرغم من أنها يمكن أن تكون باهظة الثمن).

3. حافظ على الإضافات والقوالب محدثة

plugin update

يمثل كل مكون إضافي وموضوع WordPress تقوم بتثبيته تهديدًا محتملاً ، حيث يمكن أن يوفر أولئك الذين يعانون من نقاط ضعف وصولًا خلفيًا إلى مسؤول مواقع الويب الخاصة بك. هذا مهم بشكل خاص عند استخدام القوالب أو المكونات الإضافية الشائعة.

لذا ، انظر بانتظام إلى المكونات الإضافية والسمات التي قمت بتثبيتها وفكر فيما إذا كانت ضرورية. تحقق أيضًا مما إذا كان قد تم تحديثها مؤخرًا أو لا يزال المؤلف يحتفظ بها. إذا لم يكن الأمر كذلك ، فمن الأفضل حذفها من الوظائف الإضافية الخاصة بك

4. لا تقم بتنزيل القوالب والمكونات الإضافية بشكل غير قانوني

Download

يمثل كل مكون إضافي وموضوع WordPress تقوم بتثبيته تهديدًا محتملاً ، حيث يمكن أن يوفر أولئك الذين يعانون من نقاط ضعف وصولًا خلفيًا إلى مسؤول مواقع الويب الخاصة بك. هذا مهم بشكل خاص عند استخدام القوالب أو المكونات الإضافية الشائعة.

لذا ، انظر بانتظام إلى المكونات الإضافية والسمات التي قمت بتثبيتها وفكر فيما إذا كانت ضرورية. تحقق أيضًا مما إذا كان قد تم تحديثها مؤخرًا أو لا يزال المؤلف يحتفظ بها. إذا لم يكن الأمر كذلك ، فمن الأفضل حذفها من الوظائف الإضافية الخاصة بك

5. تغيير صلاحيات ملف الاستضافة

وفقًا لـ WordPress والعديد من المدونات الأخرى التي ناقشت الأمر سابقًا ، يجب تجنب تكوين الأدلة بأذونات 777. يجب عليك اختيار 755 أو 750 ، بدلاً من ذلك ، وفقًا لموقع WordPress.org. أثناء تواجدك فيه ، اضبط الملفات على 640 أو 644 و wp-config.php على 600.

6. تثبيت برنامج مساعد أمان متخصص

Security plugins

هناك عدد متزايد من الإضافات الأمنية المميزة والمجانية التي يمكنك استخدامها للمساعدة في تأمين تثبيت WordPress الخاص بك ، وتضيف هذه الميزات مثل ؛ الحد من عدد محاولات تسجيل الدخول الفاشلة ، وفرض كلمة المرور القوية ، وتغيير عنوان URL الافتراضي لتسجيل الدخول ، والمصادقة المكونة من خطوتين (وهذا يعني أن كلمة المرور مطلوبة بالإضافة إلى رمز التفويض الذي يتم إرساله إلى هاتفك لتسجيل الدخول إلى موقعك. في كثير من الأحيان ، يتم إرسال رمز تسجيل الدخول الثاني عبر الرسائل القصيرة).

لن يضمن أي منها عدم انتهاك أمان مواقع الويب الخاصة بك ، لكنها ستحظر بشكل فردي أنواعًا معينة من الهجمات!

7. استخدم أفضل استضافة يمكنك تحمل اعبائها!

لقد قيل أن 41٪ من جميع الاختراقات كانت بسبب عيوب أمنية مع المضيف نفسه ، لذلك من المهم أن تعرف أن موقع الويب الخاص بك يتم الاعتناء به من قبل الأفضل.

web-hosting

أنا مرتاح أكثر للثقة في الاستضافة المتخصصة في WordPress ، فعند حدوث الاختراقات ، يسارعون دائمًا إلى العثور على الثقب الأمني وتوصيله – يعتمد عملهم بالكامل على ذلك!

من المرجح أن يشتمل مزود الاستضافة المُدار والمتخصص في WordPress على جدار حماية WP ، و PHP محدث ، و MySQL ، وفحص منتظم للبرامج الضارة ، وخادم مصمم لتشغيل WordPress ، وفريق خدمة عملاء يعرف WordPress من الداخل والخارج.

8. إخفاء اسم المستخدم للمدونين بالموقع

في تثبيت WordPress الافتراضي ، يمكن للمتسلل العثور بسهولة على اسم المستخدم للمسؤولين الرئيسيين عن طريق إضافة “؟ author = 1 إلى عنوان URL لمواقع الويب الرئيسية. يخفي العديد من مضيفي WordPress الرائعين هذا افتراضيًا ، ولكن إذا كنت تستخدم خطة استضافة مشتركة غير متخصصة في WordPress ، فمن غير المحتمل.

يمكنك اختيار إخفاء هذا ببساطة عن طريق إضافة الكود التالي إلى ملف jobs.php الخاص بك.

9. تقييد الوصول إلى منطقة الإدارة باستخدام .htaccess

من السهل جدًا تقييد الوصول إلى منطقة الإدارة الخاصة بك عن طريق السماح فقط بتسجيل الدخول من عناوين IP المحددة. يمكنك القيام بذلك ببساطة عن طريق إنشاء ملف .htaccess منفصل وتحميله إلى الدليل / wp-admin /.

ملاحظة: لا تعدّل ملف htaccess الجذر ، ولا تلصق هذه الرموز فيه. يجب أن يكون /wp-admin/.htaccess إذا كنت لا ترى هذا الملف ، ثم أنشئ ملفًا فارغًا ، وقم بتسميته .htaccess في مجلد wp-admin.

يمكنك إضافة عنوان IP واحد:

1 ip

Multible IPs

(تأكد من تغيير عنوان IP إلى تلك التي ستصل إلى موقع الويب الخاص بك منها) إذا كنت ترغب في الوصول إلى موقع الويب الخاص بك من مكان آخر ، فستحتاج إلى تسجيل الدخول إلى استضافتك وتغيير ملف .htaccess.

10. حماية ملف wp-config.php الخاص بك

wp-config.php هو الملف الموجود في الدليل الجذر الخاص بك والذي يخزن معلومات حول موقعك بالإضافة إلى تفاصيل قاعدة البيانات ، فأنت بالتأكيد لا تريد أن يتمكن شخص ما من الوصول إلى هذا الملف ..

يمكنك حماية هذا عن طريق إضافة رمز مرة أخرى إلى ملف .htaccess الخاص بك – باستثناء هذه المرة سترغب في إضافة هذا الرمز إلى ملف htaccess في الدليل الجذر الخاص بك (public_html / .htaccess /)

wp-config

لذلك قد يبدو ملف htaccess الخاص بك كما يلي:

htaccess

11. الحد من محاولات تسجيل الدخول

غالبًا ما يقدم معظم مزودي خدمة استضافة WordPress المتقدمين هذا افتراضيًا ، على الرغم من وجود عدد من المكونات الإضافية الجيدة التي يمكن أن تساعدك على حماية نفسك من هجوم القوة الغاشمة.

تحد هذه المكونات الإضافية بشكل أساسي من عدد المحاولات التي يتعين على أي مستخدم تسجيل الدخول إليها ، وإذا أخطأت بيانات اعتماد تسجيل الدخول الخاصة به بشكل متكرر (علامة مؤكدة على هجوم القوة الغاشمة) ، فسيتم حظر نطاق IP لفترة زمنية محددة مسبقًا.

أفضل شيء في هذه المكونات الإضافية هو أنها توفر سجلاً لعنوان IP التي تحاول خرق أمنك – وبالتالي تمنحك الوقت لحظرها إلى أجل غير مسمى باستخدام htaccess.

اثنان من المكونات الإضافية المجانية الشائعة التي يمكنك استخدامها لهذه الوظيفة إذا كان حل أمان تسجيل الدخول وتسجيل الدخول.

إذا كنت تريد حظر عنوان IP البسيط إلى أجل غير مسمى ، أضف الكود التالي إلى ملف .htaccess الخاص بك (تغيير عناوين IP إلى تلك التي ترغب في حظرها) ، فلن يتمكن هؤلاء الأشخاص بعد ذلك من التعرض لموقعك.

limit login

12. منع الوصول إلى مجلد wp-content

يحتوي مجلد wp-content على جميع صور مواقع الويب الخاصة بك والسمات والمكونات الإضافية وهو مجلد جيد لإضافة المزيد من الأمان إليه. سيسمح المقتطف التالي للمستخدمين بعرض الملفات المضمنة ، ولكنه سيسمح للمستخدمين بعرض CSS والصور وما إلى ذلك ، ولكنه سيمنع الوصول إلى ملفات PHP الأساسية.

سيتطلب هذا ملف .htaccess الخاص به في الدليل / wp-content / – ما عليك سوى إنشاء ملف يسمى .htaccess وإضافة الكود التالي.

wp-content

13. حماية ملف htaccess الخاص بك

حسنًا ، والآن بعد أن استخدمنا ملفات .htaccess الخاصة بنا لحماية المناطق المختلفة التي من المرجح أن تتعرض للهجوم – نحتاج الآن إلى حماية هذا الملف ، حتى لا يمكن اختراقه.

يمنع هذا المقتطف بشكل أساسي أي شخص من مشاهدة أي ملف على موقعك يبدأ بـ “hta” ، وهذا سيحميه ويجعله أكثر أمانًا إلى حد ما.

protect .htaccess

يمكنك إما إدخال الكود الخاص بك قبل # BEGIN WordPress أو بعد # END WordPress – وهذا سيضمن أن تحديثات WP المستقبلية لا يزال بإمكانها تحديث الكود ضمن هذه المعلمات.

يجب استخدام هذا ضمن ملف htaccess. المستوى الأعلى.

تأكد من عمل نسخة من ملف htaccess الحالي الخاص بك قبل تنفيذ أي تغييرات.

هذا المنشور ليس شاملاً بأي حال من الأحوال ، ولكنه يقدم بعض الأفكار حول كيفية حماية موقع الويب الخاص بك من التعرض للهجوم. حتى يتم اختراق موقع الويب ، من المحتمل جدًا أنك لن تأخذ الأمان على محمل الجد ، وبعد حدوث ذلك فقط قررت جعل الأمان أولويتك الأولى (يجب أن أعرف).

أخطط للقيام بمزيد من المنشورات حيث سأناقش طرقًا أخرى لاستخدام .htaccess لحماية موقع الويب الخاص بك ، ولكن إذا كنت مستخدمًا مبتدئًا أو غير متأكد من كيفية تأمين موقع الويب الخاص بك ، فأنا أقترح بشدة إما ترقية استضافتك إلى مضيف WordPress متخصص ، أو بدلاً من ذلك الاستثمار في أحد المكونات الإضافية للأمان المتميزة المتاحة.

أقضي أيامًا في تصنيف مواقع الويب للعملاء الذين تم اختراقهم ، وصدقوني أنك لا تريد المخاطرة بسمعتك من خلال إصابة أجهزة الكمبيوتر الخاصة بزوارك ببرامج ضارة – يمكن أن يكون رد الفعل العكسي أكثر مما يمكن لنشاطك التجاري التعامل معه.

المصدر

كيف-تنشئ-قوالب-موك-اب-mockup-احترافية؟

كيف تنشئ قوالب موك اب Mockup احترافية؟

تبحث الأنشطة التجارية باستمرار عن طرقٍ احترافية لاستعراض خدماتها ومنتجاتها على شبكة الإنترنت؛ لتظهر بتناسق وجاذبية. من هنا شاع استخدام الشركات وأصحاب الأعمال قوالب موك

دليلك-الشامل-إلى-إضافات-ووردبريس

دليلك الشامل إلى إضافات ووردبريس

نال ووردبريس شهرةً واسعةً بسبب سهولة استخدامه وتعدد الميزات التي يقدمها للمواقع الإلكترونية. ربما أبرز هذه الميزات هي إضافات ووردبريس، تبعًا لما تساهمه في تطوير