كيفية حماية موقع وورد من المخترقين

دليل أمان WordPress للشركات الصغيرة & رجال الأعمال. تعرف على كيفية حماية موقع WordPress الخاص بك من المتسللين من خلال هذه الخطوات الاستباقية.


نصائح أمان ووردبريس

هناك قول “إذا قمت ببنائه ، سيأتون”. وفي عالم الإنترنت ، هذا يعني المتسللين. ولكن ماذا تفعل لإيقافهم؟ الأمان مهم ، ويعتبر اتباع نهج استباقي أفضل طريقة لحماية موقعك. تمامًا مثل منزلك أو عملك ، تريد الحفاظ على أصولك آمنة. معظم مواقع WordPress مصابة بسبب عدم تحديث الملفات أو كسر أحد عمليات تسجيل الدخول أو هجوم القوة الغاشمة. الجزء الأصعب هو إدراك أن الإصابة بالبرامج الضارة يمكن أن تحدث لأي موقع. لقد رأيت هجومًا من القوة الغاشمة على موقع اختبار لم تقم Google بفهرسته حتى ولم يكن بها زوار. في حين أن لا شيء هو دليل كامل 100 ٪ ، هناك طرق لتجنب الأسوأ. في ما يلي بعض الخطوات البسيطة التي يمكن لمالك الأعمال الصغيرة اتخاذها للحفاظ على أمان أعماله عبر الإنترنت والتي لا تتطلب مطورًا أو ترميزًا من جانبك.

أهمية كلمات المرور

كلمة المرور الرائعة هي خط الدفاع الأول لإبعاد الأشخاص غير المرغوب فيهم عن مواقع الويب الخاصة بك. عندما يأتي الروبوت في محاولة للدخول إلى لوحة تحكم WordPress ، فإن أول شيء يحاولون استخدامه عند تسجيل الدخول هو “admin” و “password” حيث أن هذه المجموعة هي تسجيل الدخول الأكثر استخدامًا. تغييره ليكون “Pa $$ w0rd” لا يجعله أكثر أمانًا إما لأنه لا يزال يقرأ “كلمة المرور”. الأسماء أو أي شيء سيظل يُقرأ على أنه كلمة مقروءة هي أسهل كلمات المرور المخترقة. عادةً ما يجب أن تتكون أي كلمة مرور من 12 حرفًا على الأقل غير مقروءة ، وتحتوي على أحرف كبيرة وصغيرة وأرقام وأحرف خاصة. كلما زاد عدد الأحرف في كلمة المرور ، كان من الصعب كسرها. إذا كنت تريد اختبار مدى أمان كلمات المرور الخاصة بك ، فتحقق من ما مدى أمان كلمة المرور الخاصة بي فاحص. سيظهر لك هذا الوقت الذي سيستغرقه روبوت الكمبيوتر لكسر كلمة المرور الخاصة بك. أخبرني المدقق أن الأمر سيستغرق جهاز كمبيوتر سطح المكتب حوالي 377 مليار سنة لتكسير كلمة المرور الخاصة بي. هذا عندما تعرف أن لديك كلمة مرور رائعة!

الإضافات الأمنية تساعد

هناك العديد من أنواع المكوِّنات الإضافية للأمان التي تؤدي مجموعة من الوظائف. يمكنك استخدام أكثر من مكون إضافي للأمان على موقعك طالما لم يتم تعيينها للقيام بنفس الأشياء. فيما يلي قائمة ببعض مكونات أمان WordPress الرائعة المتوفرة. ولكن بالنسبة لهذه المقالة ، إليك كيفية إعداد جميع مواقعي لأقصى قدر من الأمان.

Jetpack – أستخدم المكوّن الإضافي المتعدد الخيال Jetpack على جميع مواقعي. لديهم بعض الميزات المضمنة للتدابير الأمنية التي أقوم بتشغيلها.

  • مراقب – سوف يخطرك Jetpack عندما يتعطل موقعك وعندما يعود مرة أخرى. كن على اطلاع دائم عندما لا يستطيع عملاؤك الوصول إلى موقع الويب الخاص بك.
  • بروتيكت – بروتيكت هو البرنامج المساعد المستقل الذي يدعى BruteProtect. كانت واحدة من أعلى الإضافات المستخدمة لمنع هجمات القوة الغاشمة. استحوذت شركة Automattic عليها العام الماضي ، وهي الآن مدمجة في Jetpack.
  • إدارة – تتيح لك إدارة Jetpack تحديث المكونات الإضافية والمظاهر والأساسية لجميع مواقع الويب التي تستضيفها بنفسك من لوحة تحكم واحدة وتمنحك الفرصة للحصول على تحديثات تلقائية.

iThemes Security (المعروف سابقًا باسم Better WP Security) – في حين أن iThemes Security ليس جدار حماية أمني ، إلا أنه يوفر فوائد رائعة لتأمين موقع ويب دون الحاجة إلى تغيير الرمز بنفسك. لديهم نسخة مجانية ونسخة احترافية. فيما يلي الميزات التي يجب تشغيلها مع هذا البرنامج المساعد أثناء استخدام Jetpack.

  • اسمح دائمًا لـ iThemes Security بالكتابة إلى wp-config.php و .htaccess. هذه هي الطريقة التي يخبر فيها المكون الإضافي موقع الويب بكيفية تشديد الأمان.
  • تمكين القائمة السوداء تكرار المخالف
  • تفعيل اكتشاف 404
  • استفد من وضع بالخارج عندما تعلم أنه لا يجب تسجيل أي شخص في لوحة التحكم. اتركه إذا كنت تعمل على موقع الويب الخاص بك في جميع ساعات اليوم.
  • قم بتمكين مستخدمي الحظر وميزة القائمة السوداء في HackRepair.com. سيؤدي ذلك إلى إبعاد عناوين IP الضارة عن موقعك على الويب.
  • قم بتمكين الكشف عن تغيير الملف وتقسيم فحص الملف إلى ظرف. ستخطرك iThemes في حالة تغير أي من الملفات ولا تتطابق مع ما هو موجود في الملفات الأصلية للمستودع.
  • قم بتمكين ميزة إخفاء النسخ الاحتياطي. سيؤدي هذا إلى تغيير تسجيل دخولك من YourSite.com/wp-login.php إلى صفحة مخصصة من اختيارك. لا تضعها كصفحة أو مشاركة حالية أو مستقبلية. الأمثلة الرائعة هي إدخال ، رئيسي ، أو آمن.
  • يوفر iThemes Security الآن عمليات فحص Sucuri SiteCheck لجميع مستخدمي المكونات الإضافية.
  • تمكين كلمات مرور قوية لجميع المستخدمين بما في ذلك المشتركين.
  • حدد جميع المربعات في تعديلات النظام.
  • في منطقة تعديلات WordPress ، لا تقم بتعطيل XML-RPC تمامًا عند استخدام Jetpack لأن ذلك قد يتسبب في توقف Jetpack عن العمل بشكل صحيح.
  • يمنحك الإصدار Pro خيار استخدام مصادقة ثنائية لتسجيل الدخول من بين ميزات أخرى.

WordFence – على الرغم من أنني أحب الماسح الضوئي لـ WordFence ، إلا أنني عادةً ما يتم تنزيله على أحد المواقع عندما أتحقق مرة أخرى للتأكد من حذف جميع البرامج الضارة. إذا كنت تشعر أن موقعك قد أصيب بالعدوى ، فيمكن لـ WordFence اكتشاف أي ملف WordPress تم تغييره من أصله. يوفر WordFence أيضًا أداة للتخزين المؤقت. إذا اخترت استخدام WordFence ، فيمكنك تمكين جميع الخيارات ولكن لا تشغّلها باستخدام iThemes Security أو Jetpack’s Protect أو Sucuri Security لأنها يمكن أن تسبب تضاربًا مع بعضها البعض.

Sucuri Security – يحتوي Sucuri على كل من جدار الحماية ومكافحة الفيروسات التي يمكن أن تساعد في منع الأشرار من الوصول إلى موقع الويب الخاص بك. يحتوي Sucuri على جدار الحماية WordPress الأكثر استخدامًا على نطاق واسع في الصناعة. يمكنك تشغيل جدار الحماية Sucuri CloudProxy باستخدام iThemes Security ولكن احصل على قائمة IPPro CloudProxy من Sucuri لوضع IP WhiteList في إعدادات أمان iThemes.

توثيق ذو عاملين

أي تسجيل دخول يمكنك الحصول على مصادقة من طرفين عليه ، يُنصح دائمًا باستخدامه. هناك طرق مختلفة لإعداد ذلك. يمكن أن يكون هناك CAPTCHA ، أو رمز تفويض Google ، أو سؤال رياضيات بسيط لإثبات أنك إنسان. إذا اخترت استخدام أي من هذه ، فتأكد من أن كل شخص يدخل إلى لوحة التحكم لديه معلومات تسجيل دخول خاصة به. يمكن أن تتسبب عمليات تسجيل الدخول المشتركة في حدوث مشكلات خاصة عند استخدام رمز تفويض Google الذي يتم إرساله إلى هاتف محمول.

  • iThemes Security Pro – له العديد من الخيارات ذات العاملين بما في ذلك اختبار CAPTCHA. تفويض Google والرياضيات البسيطة.
  • المفتاح الموسيقي – باستخدام هاتفك الخلوي ، يقدم Clef منهجًا بدون كلمة مرور لتسجيل الدخول إلى لوحة تحكم WordPress الخاصة بك.
  • أداة مصادقة Google – يستخدم المصادقة ذات العاملين من خلال تطبيق Google Authenticator لأجهزة Android / iPhone / Blackberry.

تحديث دائما

يرجع السبب الأكبر في دخول رمز ضار إلى موقع ويب إلى وجود ثغرة في التعليمات البرمجية لمكوّن إضافي أو سمة أو موقع ويب. يمكن معالجة ذلك بسهولة من خلال جعل موقعك على الويب في دورة تحديث. سيكون لدى بعض المالكين يوم محدد من الأسبوع لتحديث موقع الويب الخاص بهم ، بينما سيتم تحديث الآخرين في كل مرة يقومون فيها بتسجيل الدخول. هناك مكونات إضافية يمكن أن تساعد في الحفاظ على تحديث مواقعك.

  • Jetpack – تعامل مع جميع مواقع Jetpack المتصلة في لوحة تحكم WordPress.com واحدة
  • مزامنة iThemes – قم بمزامنة ما يصل إلى 10 مواقع مجانًا بحيث توجد لوحة تحكم واحدة لتحديث وتشغيل BackupBuddy وفتح قفل iThemes Security.

هل لديك نظام النسخ الاحتياطي

هناك القليل جدًا الأكثر أهمية مع موقع ويب ثم وجود نظام نسخ احتياطي. طالما هناك نسخة احتياطية كاملة من الموقع بما في ذلك قاعدة البيانات ، فلن تفقد موقع الويب الخاص بك. هناك العديد من الطرق لعمل نسخة احتياطية من موقع ويب ، بعضها مؤتمت ، وبعضها يدوي. قم دائمًا بإرسال نسخك الاحتياطية إلى مكان آخر بخلاف الخادم الخاص بك.

  • Updraft Plus – لديهم نسخة مجانية ومميزة لعمل نسخة احتياطية لموقع الويب الخاص بك.
  • BackupBuddy – مكوّن إضافي احتياطي يتكامل مع iThemes Security and Sync.

نصائح أمنية متنوعة

في حين أن هذه لا تتناسب مع فئة أكبر ، إلا أنها لا تقل أهمية عن تذكرها

  • استخدم دائمًا بروتوكول SFTP عند استخدام مدير الملفات.
  • احتفظ بالدلائل في 755 والملفات في 644. لا تحتفظ بها أبدًا على 777 أو 666 لأن ذلك يجعلها قابلة للتنفيذ من قبل الجميع.
  • تأكد من أن اسم المستخدم وكلمة المرور لقاعدة البيانات معقدة.
  • لا ترسل كلمات المرور في بريد إلكتروني. قم بإرفاقها كمستند نصي مضغوط.
  • استخدم مدير كلمات المرور لتتبع تسجيلات الدخول الخاصة بك. LastPass و 1Password هي أدوات رائعة يمكن استخدامها في أي متصفح وعلى أجهزتك المحمولة.
  • احتفظ بمضاد للفيروسات على جهازك لإيقاف التنزيل التلقائي من موقع ويب ضار.

سيساعدك اتباع هذه الخطوات أنت وعملك عبر الإنترنت على البقاء آمنًا. تذكر أن تكون استباقيًا هو أفضل نهج لأمان WordPress!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me