يُظهر استطلاع أمان WordPress أننا نعرف المخاطر، فلماذا لا نتحرك؟
نشرت: 2024-09-09يعد WordPress نظام إدارة المحتوى الأكثر شعبية في العالم، ولكن مع هذه الشعبية تأتي مخاطر كبيرة. إذا كنت تدير موقع WordPress، فأنت معرض للهجمات أكثر مما تعتقد.
لقد تعرضت 72% من مواقع WordPress التي يديرها المشاركون في نتائج المسح الأمني Melapress 2024 لخرق أمني واحد على الأقل. هذه الأرقام هي بمثابة جرس إنذار، وهي توضح أن حماية موقعك ليست اختيارية، بل ضرورية.
في هذه المقالة، سأناقش بعض النتائج التي توصلت إليها الدراسة الأمنية وأوصي بالخطوات البسيطة التي يمكنك اتخاذها لحماية موقع الويب الخاص بك من أن يصبح إحصائية أخرى.
الأرقام لا تكذب – لقد حان وقت العمل.
تم اختراق أكثر من 72% من مواقع WordPress
إذا لم يتعرض موقعك للهجوم بعد، فاعتبر نفسك محظوظًا، ولكن لا تشعر بالرضا عن النفس.
يستخدم المتسللون أدوات آلية للبحث عن نقاط الضعف في مواقع WordPress، مما يعني أنك قد تكون هدفًا دون أن تدرك ذلك. تشبه كلمات المرور الضعيفة أو المكونات الإضافية القديمة أو إصدار WordPress غير المصحح الأبواب المفتوحة لمجرمي الإنترنت.
لتجنب أن تصبح جزءًا من هذه الإحصائية المثيرة للقلق، تأكد من أن موقعك محمي. يعد تحديث إصدار WordPress والمكونات الإضافية بشكل منتظم خطوة أولى جيدة، ولكن تذكر أن هذه مجرد طبقة واحدة.
هل تتوافق مخاوفك الأمنية مع أفعالك؟
ربما تكون على دراية بالفعل بالمخاطر الأمنية التي تأتي مع إدارة موقع WordPress - كلمات مرور ضعيفة، أو مكونات إضافية قديمة، أو فقدان المصادقة الثنائية - ولكن المعرفة ليست كافية.
لقد رأينا دائمًا فجوة بين المخاوف والتنفيذ الفعلي لأفضل الممارسات. من السهل الاعتراف بالمخاطر، إلا أن العديد من مالكي المواقع لا يتخذون أي إجراء إلا بعد فوات الأوان. لقد كنا مذنبين بهذا بأنفسنا في الماضي وهي ليست تجربة ممتعة.
ما عليك سوى الاطلاع على نتائج Melapress من استطلاعهم:
من الواضح أن قسمًا كبيرًا منا يدرك المخاطر الأمنية ويعرف ما يتعين علينا القيام به لحماية أنفسنا، ولكننا لا نفعل دائمًا ما يتعين علينا القيام به.
لا تنتظر أن تسوء الأمور قبل أن تتخذ أي إجراء. إليكم اقتباس من روبرت أبيلا، مؤسس Melapress، مع أفكاره حول نتائج الاستطلاع.
تسلط نتائج استطلاع أمان WordPress لهذا العام الضوء على الاتجاهات المشجعة والمجالات التي تحتاج إلى مزيد من الاهتمام. من الواضح أن العديد من المسؤولين يتبنون إجراءات أمنية قوية، مثل المصادقة الثنائية. ومع ذلك، لا يزال هناك عمل يتعين القيام به في مجال تدريب الفرق وتنفيذ خطط التعافي الشاملة. وأنا على ثقة من أن هذه الأفكار ترشدنا والعديد من الآخرين في تطوير الحلول التي تعالج هذه التحديات.
روبرت أبيلا، مؤسس ميلابريس
توصيات عملية لتأمين موقع WordPress الخاص بك
لقد كتبنا عن أمان WordPress عدة مرات في WP Mayor وكان لدينا خبراء أمنيون، بما في ذلك روبرت نفسه، شاركوا بآرائهم ونصائحهم. فيما يلي توصياتنا العملية لحماية موقع WordPress الخاص بك.
قم بتثبيت البرنامج الإضافي لأمان WordPress
قد تشعر الآن أنك تعرف ما يكفي عن الأمان لتنفيذ التدابير بنفسك، ولكن الاستعانة بمصادر خارجية لهذا الجزء الحيوي من تشغيل موقع WordPress لمضيفك أو أي جهة خارجية أخرى ليست دائمًا أفضل فكرة.
من الجيد أن تقضي بعض الوقت في التعرف على الأساسيات وتنفيذ بعض الإجراءات الأمنية. ولأخذ خطوة واحدة إلى الأمام، نوصي بوضع خطة للتعافي عندما يحدث خطأ ما، لأنه دعونا نواجه الأمر، فالاحتمالات هي أن يحدث خطأ ما.
تحقق من توصياتنا بشأن المكونات الإضافية الأمنية الأساسية لـ WordPress بالإضافة إلى مقارنات المكونات الإضافية للأمان للبدء.
تنفيذ المصادقة الثنائية (2FA)
تعد إضافة طبقة إضافية من الأمان إلى تجربة تسجيل الدخول إلى WordPress أمرًا ضروريًا. باستخدام المصادقة الثنائية، والتي تعني المصادقة الثنائية، حتى لو تم اختراق كلمة المرور، فإن العامل الثاني (مثل تطبيق الهاتف مثل Google Authenticator أو الرمز المرسل عبر الرسائل القصيرة) سيمنع الوصول غير المصرح به.
تقدم Melapress نفسها مكونًا إضافيًا يسمى WP 2FA والذي يساعدك على القيام بذلك مجانًا. هناك عدد قليل من المكونات الإضافية للأمان 2FA المتاحة مجانًا أيضًا إذا كنت تريد البحث حولك.
مهما كان المكون الإضافي الذي تختاره، يعد هذا أحد أبسط الإجراءات وأكثرها أهمية لبدء تأمين موقع WordPress الخاص بك.
تعزيز سياسات كلمة المرور الخاصة بك
تعد كلمات المرور الضعيفة نقطة دخول شائعة للمتسللين وما زال يذهلني أن العديد من مالكي المواقع يستخدمون كلمات المرور الافتراضية أو الأساسية. لقد ولت أيام استخدام الأسماء أو تواريخ الميلاد ككلمة المرور الخاصة بك. تحتاج إلى جعل الأمر أكثر صعوبة قليلاً بالنسبة للمتسللين.
يعد وضع إرشادات قوية لكلمة المرور لجميع مستخدمي موقع الويب الخاص بك، بما في ذلك سياسات الطول والتعقيد وانتهاء الصلاحية، أمرًا ضروريًا للحفاظ على أمان موقعك.
يوفر WordPress نفسه قائمة بأفضل الممارسات لكلمات المرور، وقد خطونا خطوة أخرى إلى الأمام من خلال بعض إرشادات أمان كلمات المرور الأخرى التي ستحتاج إلى أخذها في الاعتبار.
وإذا كنت تتساءل عن كيفية تذكر كلمة المرور مثل تلك الموضحة أعلاه، فلا داعي لذلك. استخدم مدير كلمات المرور مثل 1Password لتخزين جميع عمليات تسجيل الدخول الخاصة بك وستحتاج فقط إلى تذكر كلمة مرور واحدة.
استخدم اختبار CAPTCHA لمنع البريد العشوائي
تعتبر اختبارات CAPTCHA فعالة للغاية في منع روبوتات البريد العشوائي من إغراق النماذج الخاصة بك أو مهاجمة موقعك. من خلال إضافة اختبار CAPTCHA إلى أقسام تسجيل الدخول أو التعليقات الخاصة بك، يمكنك تقليل حركة المرور غير المرغوب فيها بشكل كبير.
يعد CAPTCHA 4WP أحد المكونات الإضافية التي توفر مجموعة كبيرة من الوظائف للقيام بذلك. والأفضل من ذلك، أن لديك مجموعة من عمليات التكامل المبتكرة مع WooCommerce ونموذج الاتصال 7 وغير ذلك الكثير. تحقق من دليلنا الكامل حول تنفيذ اختبار CAPTCHA لموقع WordPress الخاص بك.
تأمين النماذج الخاصة بك
تعد النماذج ثغرة أمنية شائعة في العديد من مواقع WordPress. إن ضمان التحقق المناسب من صحة الإدخال، باستخدام اختبار CAPTCHA الذي ذكرته أعلاه، والحد من معدلات إرسال النماذج، يمكن أن يساعد جميعًا في الحماية من هجمات القوة الغاشمة والبريد العشوائي.
لقد قمنا بتجميع الدليل النهائي لأمان نماذج WordPress الذي يشرح كيفية استخدام المتسللين لنماذج الويب للدخول إلى موقعك ويوضح لك كيفية تأمين نماذج WordPress الخاصة بك للحفاظ على بيانات موقعك آمنة ومأمونة.
حماية الصفحات بكلمة مرور
قد تكون صفحات WordPress المحمية بكلمة مرور حلاً أقل شهرة وفي الحقيقة لن يحتاجه الجميع.
إذا كان لديك محتوى حساس على موقعك، مثل الصفحات التي يجب أن تكون مرئية لأشخاص معينين فقط، فتأكد من أنه لا يمكن الوصول إليها إلا لأولئك الذين يحتاجون إليها عن طريق إعداد الحماية بكلمة مرور.
تتبع سلوك المستخدم
تنفيذ التدابير الأمنية هو عملك الأول. وبمجرد الانتهاء من ذلك، فقد حان الوقت لتتبع كيفية تصرف المستخدمين (والمتسللين المحتملين) على موقعك. هذا هو المكان الذي تلعب فيه سجلات النشاط.
لدينا سلسلة من ثلاثة أجزاء حول سجلات الأنشطة التي يجب عليك إلقاء نظرة عليها:
- كيف تعمل سجلات تدقيق WordPress على تحسين مساءلة المستخدم
- استخدام سجلات نشاط WordPress لاستكشاف مشكلات الموقع الفنية وإصلاحها
- الدور الحيوي للسجلات في أمان WordPress
لا تنتظر الخرق
تعتبر البيانات الواردة من استطلاع Melapress بمثابة دعوة للاستيقاظ لأي شخص يدير موقع WordPress. سواء كان الأمر يتعلق بتحديث المكونات الإضافية أو تأمين نماذج تسجيل الدخول أو استخدام المصادقة الثنائية، فإن اتخاذ الإجراء اليوم هو أفضل طريقة لحماية موقعك من أن يصبح إحصائية أخرى.
لقد اعتمدنا على فريق Melapress للحصول على المشورة الأمنية لسنوات عديدة ولسبب وجيه. يمكنك الاطلاع على مقابلتنا مع مؤسس Melapress روبرت أبيلا من عام 2019 لمعرفة كل شيء عن خلفيتهم ولماذا يمكنك الوثوق بنصائحهم بشأن الأمان.
أخيرًا وليس آخرًا، إذا كنت تعتقد أن موقعك قد تعرض للاختراق، فإليك خمسة أشياء يتعين عليك القيام بها بمجرد اختراق موقعك.