الأخبار التكنولوجية والاستعراضات والنصائح!
blogs6

أمان WordPress: 16 خطوة لتأمين وحماية موقعك

ستساعدك المقالة التالية: أمان WordPress: 16 خطوة لتأمين وحماية موقعك

عندما يتعلق الأمر بالأمان، لا يوجد نوع أمان خاص بـ WordPress. جميع المشكلات المتعلقة بالأمان شائعة في جميع مواقع الويب أو التطبيقات.

ومع ذلك، فإن مشكلات الأمان الخاصة بـ WordPress تحظى باهتمام كبير، لأنها تعمل على حل المشكلة 40% للويب وهو مفتوح المصدر. عندما يجد المرء ثغرة أمنية إما في جوهر WordPress أو المكونات الإضافية، تصبح مواقع الويب الأخرى التي تستخدمها معرضة للخطر لأنها تستخدم جميعها نفس الكود.

من ناحية أخرى، هناك عدد لا بأس به من المكونات الإضافية التي يمكنك استخدامها لتعزيز أمان موقع الويب الخاص بك.

في هذا العمود، ستتعلم كيفية تقوية موقع WordPress الخاص بك ضد أنواع مختلفة من نقاط الضعف، على الرغم من أن نطاق هذه المقالة أوسع وينطبق على جميع أنواع تطبيقات الويب.

الحماية ضد نقاط الضعف في ووردبريس

أكثر أنواع نقاط الضعف شيوعًا هي:

  1. أبواب خلفية.
  2. فارما هاكس.
  3. محاولات تسجيل الدخول بالقوة الغاشمة.
  4. عمليات إعادة التوجيه الضارة.
  5. البرمجة النصية عبر المواقع (XSS).
  6. رفض الخدمة (DDoS).

هذه هي الأنواع الشائعة من الثغرات الأمنية، لكن هذا لا يعني أنها تقتصر عليها فقط. عندما تفكر في الأمن، بشكل عام، يجب أن تفكر بطريقة 360 درجة.

لا توجد مجموعة محدودة من الطرق لاختراق موقع ويب. يمكن للمهاجمين استخدام العديد من التقنيات للوصول إلى موقعك.

على سبيل المثال، يمكنهم سرقة جهاز الكمبيوتر الخاص بك والوصول فعليًا إلى جهاز الكمبيوتر الخاص بك. يمكنهم أيضًا استخدام تقنيات المراقبة لرؤية كلمات المرور الخاصة بك عند تسجيل الدخول من شبكة عامة إلى موقع الويب الخاص بك.

دعونا نتعمق في كيفية تقوية عمليات تثبيت WordPress الخاصة بنا من أجل جعل الحياة أكثر صعوبة على المهاجمين.

استمر في القراءة لمعرفة المزيد حول كل من هذه الطرق الـ 16 لتعزيز أمان موقع WordPress الخاص بك:

  1. استخدم HTTPS.
  2. استخدم دائمًا كلمات مرور قوية.
  3. استخدم مديري كلمات المرور لتخزين كلمات المرور الخاصة بك.
  4. تمكين Captcha في نماذج تسجيل الدخول.
  5. منع محاولات تسجيل الدخول الغاشمة.
  6. استخدم المصادقة الثنائية.
  7. حافظ على المكونات الإضافية المحدثة.
  8. قم بتعيين رؤوس HTTP للأمان.
  9. قم بتعيين أذونات الملف الصحيحة لملفات WordPress.
  10. تعطيل تحرير الملفات من ووردبريس.
  11. تعطيل كافة الميزات غير الضرورية.
  12. إخفاء نسخة ووردبريس.
  13. تثبيت جدار حماية ووردبريس.
  14. احتفظ بالنسخ الاحتياطية.
  15. استخدم بروتوكول النقل الآمن للملفات (SFTP).
  16. مراقبة أنشطة المستخدمين.

1. قم بتأمين موقعك باستخدام HTTPS

ليس من قبيل الصدفة أننا سنبدأ بتأمين موقع الويب باستخدام HTTPS.

كل ما تفعله يتدفق عبر الشبكة والكابلات السلكية. HTTP تبادل البيانات كنص عادي بين المتصفح والخادم. ولذلك، فإن أي شخص لديه حق الوصول إلى الشبكة بين الخادم والمتصفح قادر على عرض بياناتك غير المشفرة.

إذا لم تقم بحماية اتصالك، فأنت معرض لخطر كشف البيانات الحساسة للمهاجمين. باستخدام HTTPS، سيتم تشفير بياناتك ولن يتمكن المهاجمون من قراءة البيانات المرسلة حتى لو كان لديهم إمكانية الوصول إلى شبكتك.

لذا فإن الخطوة الأولى لتأمين موقع الويب الخاص بك هي تمكين HTTPS. إذا لم تكن قد انتقلت إلى HTTPS بعد، فيمكنك استخدام هذا الدليل لنقل WordPress الخاص بك إلى HTTPS.

الأدوات ومكونات WordPress الإضافية التي يمكنك استخدامها لترحيل HTTP إلى HTTPS

  1. استبدال بحث أفضل.
  2. البحث في قاعدة البيانات واستبدال البرنامج النصي.

2. استخدم دائمًا كلمات مرور قوية

الطريقة الأكثر شيوعًا لوصول المتسللين إلى مواقع الويب هي من خلال كلمات المرور الضعيفة أو المخترقة. هذه تجعلك عرضة لهجمات القوة الغاشمة.

قم بتعزيز أمانك باستخدام كلمات مرور قوية أكثر من أي طريقة أخرى مدرجة أدناه.

استخدم دائمًا كلمات مرور قوية وتحقق بانتظام مما إذا كانت كذلك com.pwned.

ملحقات WordPress لتعزيز أمان كلمات المرور:

  1. عدم السماح بكلمة المرور Pwned.
  2. تحميل مدير سياسة كلمة المرور.
  3. كلمة المرور بكريبت.

3. استخدم مديري كلمات المرور لتخزين كلمات المرور الخاصة بك

عندما تقوم بتسجيل الدخول أثناء العمل من شبكة عامة، لا يمكنك التأكد من من يراقب ما تكتبه على الكمبيوتر المحمول الخاص بك أو من يسجل كلمات المرور الخاصة بك.

لحل هذه المشكلة، استخدم مديري كلمات المرور للوصول بسهولة إلى كلمات المرور الخاصة بك وتخزينها في مكان آمن.

حتى لو تم الوصول إلى جهاز الكمبيوتر الخاص بك، فلن يتمكنوا من الحصول على كلمات المرور الخاصة بك. يعتمد مديرو كلمات المرور على المتصفح وليس على مكونات WordPress الإضافية.

الوظائف الإضافية لمتصفح إدارة كلمات المرور:

  1. لاست باس.
  2. 1كلمة المرور.
  3. نورد باس.

4. أضف اختبار CAPTCHA في نموذج تسجيل الدخول والتسجيل

عندما تقوم بتأمين موقع الويب الخاص بك باستخدام HTTPS واستخدام كلمات مرور قوية، فقد جعلت الحياة صعبة للغاية على المتسللين.

ولكن يمكنك جعل الأمر أكثر صعوبة عن طريق إضافة اختبار CAPTCHA إلى نماذج تسجيل الدخول.

تعد Captchas طريقة رائعة لحماية نماذج تسجيل الدخول الخاصة بك من هجمات القوة الغاشمة.

المكونات الإضافية لإضافة كلمة التحقق عند تسجيل الدخول إلى WordPress:

  1. تسجيل الدخول لا يوجد Captcha reCAPTCHA.
  2. تسجيل الدخول الأمن reCAPTCHA.

5. الحماية من محاولات تسجيل الدخول بالقوة الغاشمة

سوف يمنحك اختبار CAPTCHA الخاص بتسجيل الدخول الحماية ضد محاولات القوة الغاشمة حتى نقطة معينة، ولكن ليس بشكل كامل. في كثير من الأحيان، بمجرد حل رموز التحقق، تكون صالحة لبضع دقائق.

Google reCaptcha، على سبيل المثال، صالح لمدة دقيقتين. يمكن للمهاجمين استخدام هاتين الدقيقتين لتجربة محاولات تسجيل الدخول العنيفة إلى نموذج تسجيل الدخول الخاص بك خلال تلك الفترة.

لحل هذه المشكلة، يجب عليك حظر محاولات تسجيل الدخول الفاشلة عن طريق عنوان IP.

ملحقات WordPress لمنع هجمات القوة الغاشمة:

  1. WP الحد من محاولات تسجيل الدخول.
  2. تم إعادة تحميل محاولات تسجيل الدخول المحدودة.

6. إعداد المصادقة الثنائية (2FA).

مع كلمات المرور الآمنة ورمز التحقق في نماذج تسجيل الدخول، أنت أكثر حماية، نعم.

ولكن ماذا لو استخدم المتسللون أساليب المراقبة وسجلوا كلمة المرور التي كتبتها على الفيديو للوصول إلى موقع الويب الخاص بك؟

إذا كان لديهم كلمة المرور الخاصة بك، فإن المصادقة الثنائية فقط يمكنها حماية موقع الويب الخاص بك من المهاجمين.

ملحقات WordPress لإعداد مصادقة 2FA:

  1. عاملين.
  2. أداة مصادقة جوجل.
  3. المصادقة الثنائية لـ WordPress (2FA، MFA).

7. حافظ على تحديث WordPress Core والمكونات الإضافية

تحدث الثغرات الأمنية غالبًا في WordPress الأساسية والمكونات الإضافية، وعندما يحدث ذلك يتم العثور عليها والإبلاغ عنها. تأكد من تحديث المكونات الإضافية الخاصة بك بأحدث إصدار لمنع اختراق مواقع الويب من خلال الثغرات المعروفة والمبلغ عنها في الملفات.

لا أوصي بالتبديل إلى التحديث التلقائي لأنه قد يؤدي إلى تعطيل مواقع الويب الخاصة بك دون علمك.

لكن أنا نوصي بشدة أن تقوم بتمكين التحديثات البسيطة لـ WordPress Core عن طريق إضافة هذا السطر من التعليمات البرمجية في wp-config.php نظرًا لأن هذه التحديثات تتضمن تصحيحات أمان للنواة.

تعريف (‘WP_AUTO_UPDATE_CORE’، ‘ثانوي’)؛

8. قم بتعيين رؤوس HTTP للأمان

توفر رؤوس الأمان طبقة إضافية من الحماية عن طريق تقييد الإجراءات التي يمكن تنفيذها بين المتصفح والخادم عند تصفح موقع الويب.

تهدف رؤوس الأمان إلى الحماية من هجمات Clickjacking والبرمجة عبر المواقع (XSS).

رؤوس الأمان هي:

  • أمن النقل الصارم (HSTS).
  • سياسة أمان المحتوى.
  • خيارات الإطار X.
  • خيارات نوع المحتوى X.
  • جلب رؤوس البيانات الوصفية.
  • سياسة الإحالة.
  • التحكم في ذاكرة التخزين المؤقت.
  • مسح بيانات الموقع.
  • سياسة الميزة.

لن نتعمق في كل شرح لرأس الأمان، ولكن إليك بعض المكونات الإضافية لإصلاحها.

ملحقات WordPress لتمكين رؤوس الأمان:

  1. رؤوس HTTP لتحسين أمان موقع الويب.
  2. رؤوس الأمن GD.

9. قم بتعيين أذونات الملف الصحيحة لملفات WordPress

أذونات الملف هي قواعد نظام التشغيل الذي يستضيف ملفات WordPress الخاصة بك؛ تحدد هذه القواعد كيفية قراءة الملفات وتحريرها وتنفيذها. يعد هذا المقياس للأمان ضروريًا، خاصة عند استضافة موقع ويب على استضافة مشتركة.

إذا تم التعيين بشكل غير صحيح، عندما يتم اختراق موقع ويب واحد على الاستضافة المشتركة، يمكن للمهاجمين الوصول إلى الملفات الموجودة على موقع الويب الخاص بك وقراءة أي محتوى هناك – على وجه التحديد wp-config.php – والحصول على حق الوصول الكامل إلى موقع الويب الخاص بك.

  • يجب أن تكون جميع الملفات 644.
  • يجب أن تكون جميع المجلدات 775.
  • يجب أن يكون wp-config.php 600.

تعني القواعد المذكورة أعلاه أن حساب المستخدم المضيف الخاص بك يمكنه قراءة الملفات وتعديلها، ويمكن لخادم الويب (WordPress) تعديل الملفات والمجلدات وحذفها وقراءتها.

لا يستطيع المستخدمون الآخرون قراءة محتوى wp-config.php. إذا أدى تعيين 600 لـ wp-config.php إلى تعطل موقع الويب الخاص بك، فقم بتغييره إلى 640 أو 644.

10. قم بتعطيل تحرير الملفات من WordPress

إنها ميزة معروفة في WordPress حيث يمكنك تحرير الملفات من الواجهة الخلفية للمشرف.

هذا ليس ضروريًا حقًا لأن المطورين يستخدمون SFTP ونادرًا ما يستخدمونه.

11. قم بتعطيل جميع الميزات غير الضرورية

يأتي WordPress مزودًا بالعديد من الميزات التي قد لا تحتاجها على الإطلاق. على سبيل المثال، تم إنشاء نقطة نهاية XML-RPC في WordPress للتواصل مع التطبيقات الخارجية. يمكن للمهاجمين استخدام نقطة النهاية هذه لتسجيلات الدخول العنيفة.

قم بتعطيل XML-RPC باستخدام البرنامج المساعد تعطيل XML-RPC-API.

هناك مشكلة أخرى قام WordPress بدمجها وهي توفير نقطة نهاية REST-API لسرد جميع المستخدمين على موقع الويب.

إذا قمت بإلحاق “/wp-json/wp/v2/users” بأي تثبيت WordPress، فسترى قائمة بأسماء المستخدمين ومعرفات المستخدمين كبيانات JSON.

قم بتعطيل REST-API للمستخدمين عن طريق إضافة هذا السطر من التعليمات البرمجية إلى jobs.php

وظيفة Disable_users_rest_json( $response, $user, $request ){ return ”; }add_filter( ‘rest_prepare_user’, ‘disable_users_rest_json’, 10, 3 );

12. إخفاء إصدار ووردبريس

يقوم WordPress تلقائيًا بإدخال تعليق بإصدار WordPress في HTML الخاص بالصفحة. إنه يمنح المهاجم إصدار WordPress المثبت لديك كمعلومات إضافية.

على سبيل المثال، إذا كنت تستخدم إصدار WordPress الذي تم الإبلاغ عن وجود ثغرة أمنية في نواته، فإن المهاجم يعرف أنه يمكنه استخدام التقنية التي تم الإبلاغ عنها لاختراق موقع الويب الخاص بك.

إخفاء العلامات التعريفية لإصدار WordPress باستخدام هذه المكونات الإضافية:

  1. مولد التعريف ومزيل معلومات الإصدار.
  2. مزيل مولدات الفسفور الأبيض بواسطة Dawsun.

13. قم بتثبيت جدار الحماية الخاص بـ WordPress

جدار الحماية هو تطبيق ويب يعمل على مواقع الويب ويحلل أي طلبات HTTP واردة. فهو يطبق منطقًا متطورًا لتصفية الطلبات التي قد تشكل تهديدًا.

يمكن للمرء إعداد قواعده أعلى القواعد المضمنة في جدار الحماية لمنع الطلبات. أحد أنواع الهجمات الشائعة هو حقن SQL.

لنفترض أنك تقوم بتشغيل مكون WordPress الإضافي الذي يكون عرضة لحقن SQL ولا تعلم عنه. إذا قمت بتشغيل جدار الحماية، حتى لو كان المهاجم على علم بالثغرة الأمنية في البرنامج الإضافي، فلن يتمكن من اختراق موقع الويب.

وذلك لأن جدار الحماية سيحظر تلك الطلبات التي تحتوي على حقن SQL.

ستقوم جدران الحماية بحظر هذه الطلبات من عنوان IP وتمنع وصول الطلبات الخطيرة المتعاقبة. تستطيع جدران الحماية أيضًا منع هجمات DDoS من خلال اكتشاف عدد كبير جدًا من الطلبات من عنوان IP واحد وحظرها.

من الممكن أيضًا تشغيل جدران الحماية على مستوى DNS والتي يتم تشغيلها قبل تقديم الطلبات إلى خادم الويب. مثال على ذلك جدار الحماية Cloudflare DNS.

وتتمثل ميزة هذه الطريقة في أنها أكثر قوة ضد هجمات DDoS.

تسمح جدران الحماية على مستوى التطبيق التي تعمل على الخادم لطلبات HTTP بالوصول إلى خادم الويب ثم حظره. وهذا يعني أن الخادم ينفق بعض موارد وحدة المعالجة المركزية/ذاكرة الوصول العشوائي لحظرها.

مع جدران الحماية على مستوى DNS، لا تستهلك موارد الخادم، وبالتالي فهي أكثر استدامة للهجمات.

ملحقات جدار حماية WordPress التي يمكنك استخدامها:

  1. الأمن ووردفينس.
  2. سوكوري.
  3. الكل في واحد WP الأمن وجدار الحماية.
  4. الأمن المضاد للرصاص.
  5. درع الأمن.

Note: إذا قررت تثبيت جدران الحماية، فقد تحتوي على ميزات مثل الحماية من القوة الغاشمة لتسجيل الدخول أو المصادقة 2F ويمكنك استخدام ميزاتها بدلاً من تثبيت المكونات الإضافية المذكورة أعلاه.

14. احتفظ بالنسخ الاحتياطية

إذا تعرضت للاختراق، فإن أفضل طريقة لاسترداد موقع الويب هي استعادة موقع الويب من أحدث إصدار غير مصاب.

إذا لم تقم بتخزين نسخ احتياطية لموقع الويب، فقد تستغرق عملية تنظيف موقع الويب وقتًا طويلاً. وفي بعض الحالات، قد لا يكون من الممكن استعادة جميع المعلومات لأن البرامج الضارة قامت بمسح جميع البيانات.

لتجنب مثل هذه السيناريوهات، قم بعمل نسخ احتياطية منتظمة لقاعدة بيانات وملفات موقع الويب الخاص بك.

تحقق مع دعم الاستضافة الخاص بك ما إذا كانوا يوفرون وظيفة النسخ الاحتياطي اليومي ويقومون بتمكينها. إذا لم يكن الأمر كذلك، فيمكنك استخدام هذه المكونات الإضافية لتشغيل النسخ الاحتياطية:

  1. BackWPup.
  2. UpdraftPlus.
  3. BackupBuddy.
  4. BlogVault.

15. استخدم بروتوكول النقل الآمن للملفات (SFTP).

يستخدم الكثير من المطورين بالفعل بروتوكول SFTP للاتصال بخوادم الويب، ولكن من المهم التذكير بذلك، فقط في حالة عدم القيام بذلك بعد.

مثل HTTPS، يستخدم SFTP التشفير لنقل الملفات عبر الشبكة مما يجعل من المستحيل قراءتها كنص عادي حتى لو كان لدى الشخص حق الوصول إلى الشبكة.

16. مراقبة نشاط المستخدمين

لقد ناقشنا الكثير من الطرق لتأمين موقع الويب الخاص بك من المتسللين غير المعروفين. ولكن ماذا لو قام أحد موظفيك الذين لديهم حق الوصول إلى مسؤول موقع الويب بأشياء مشبوهة مثل إضافة روابط في المحتوى؟

لا تستطيع أي من الطرق المذكورة أعلاه اكتشاف الموظف المشبوه.

ويمكن القيام بذلك من خلال مشاهدة سجلات النشاط. من خلال النظر في نشاط كل مستخدم، قد تجد أن أحد الموظفين قام بتحرير مقالة لم يكن من المفترض أن يقوموا بها.

يمكنك أيضًا البحث في النشاط الذي يبدو مريبًا ومعرفة التغييرات التي تم إجراؤها.

ملحقات WordPress لمراقبة نشاط المستخدمين:

  1. سجل النشاطات.
  2. سجل نشاط المستخدم.
  3. سجل نشاط الفسفور الأبيض.

Note أنك قد ترغب في تحديد الفترة (أو عدد السجلات) التي تحتفظ بها هذه المكونات الإضافية. إذا كان هناك عدد كبير جدًا، فسيؤدي ذلك إلى زيادة التحميل على قاعدة بياناتك وقد يؤثر على أداء موقع الويب وسرعته.

ماذا تفعل إذا تعرضت للاختراق؟

حتى مع كل النصائح المقدمة من خبراء الأمن ومعرفة طرق حماية مواقع الويب الخاصة بك من الاختراقات، فإنها لا تزال تحدث.

إذا تم اختراق موقع الويب الخاص بك، فستحتاج إلى تنفيذ الخطوات التالية للتعافي:

  1. قم بتغيير جميع بريدك الإلكتروني وكلمات المرور الشخصية الأخرى أولاً نظرًا لأن المتسللين ربما تمكنوا من الوصول إلى بريدك الإلكتروني أولاً وبالتالي يمكنهم الوصول إلى موقع الويب الخاص بك.
  2. قم باستعادة موقع الويب الخاص بك إلى أحدث نسخة احتياطية معروفة غير مخترقة.
  3. إعادة تعيين كلمات المرور لجميع مستخدمي الموقع.
  4. قم بتحديث كافة المكونات الإضافية إذا كانت هناك تحديثات متوفرة.

خاتمة

فكر 360 درجة عندما يتعلق الأمر بالأمن. أكد على أهمية الأمن لجميع موظفيك حتى يفهموا العواقب التي قد تتعرض لها الشركة إذا لم يتبعوا القواعد الأمنية.

إذا تعرضت للاختراق، ]قم باستعادة موقع الويب الخاص بك من النسخة الاحتياطية وتغيير جميع كلمات المرور إلى موقع الويب الخاص بك ورسائل البريد الإلكتروني في أسرع وقت ممكن.

نحن نوصيك: