أمان WordPress: الدليل النهائي لتأمين موقع WordPress

بلغت الجريمة الإلكترونية أعلى مستوياتها على الإطلاق مع انتشار المتسللين والبرامج الضارة عبر المشهد الشاسع عبر الإنترنت. تضع Google قوائم سوداء لما يزيد عن 20000 موقع ويب لوجود برامج ضارة وأكثر من 50000 موقع كمواقع تصيد محتملة - كل أسبوع! دع الأرقام تغرق للحظة. ولذلك ، لغرض هذه القراءة ، قمنا بتجميع دليل شامل لمساعدتك على تحسين أمان WordPress الخاص بك.

كما ترى ، إذا فشل موقع الويب الخاص بك في الالتزام بأفضل ممارسات الأمان ، فستترك موقعك وجميع محتوياته عرضة للاختراق. ولكن ليس المحتوى الخاص بك فقط على المحك ، حيث يتم أيضًا معاقبة مواقع الويب غير الآمنة بواسطة خوارزميات البحث من Google.

لا يشكل المتسللون والبرامج الضارة خطراً على محتوى موقع الويب الخاص بك فحسب ، بل يشكلون أيضًا تهديدًا للأشخاص الذين يزورون موقع الويب الخاص بك. وهكذا ، إذا فشلت في الالتزام بإرشادات الأمان الأساسية - والتي من السهل جدًا القيام بها - فسيقوم Google بتخفيض رتبتك في SERP (صفحة نتائج محرك البحث).

لحسن الحظ ، يتمتع مستخدمو WordPress بإمكانية الوصول إلى المكونات الإضافية المخصصة وواجهة فائقة السهولة يمكن أن تساعد في زيادة أمان WordPress بهامش كبير. لذلك دون إبقائك في الانتظار لفترة أطول ، إليك أفضل 10 + طرق لتحسين أمان WordPress الخاص بك:

أفضل 10+ طرق لتحسين أمان WordPress الخاص بك

1. تثبيت الإضافات الاحتياطية

المفهوم هنا بسيط جدًا - من الأفضل أن تكون آمنًا الآن ، بدلاً من الأسف لاحقًا!

من خلال النسخ الاحتياطي للمحتوى وقاعدة البيانات الخاصة بك على الإنترنت ، يتم الاحتفاظ بكل شيء آمنًا حتى في ظل الحدث المؤسف المتمثل في الوقوع فريسة للمتسللين والبرامج الضارة. هذا يجعل تثبيت البرنامج المساعد للنسخ الاحتياطي هو الفصل الأول من أمان WordPress 101 ويضعه في أعلى قائمة الأولويات.

يمكن لمكوِّن إضافي للنسخ الاحتياطي مثل WPvivid Backup Plugin أن يأخذ نسخًا احتياطية روتينية تلقائية لموقع WordPress بالكامل بما في ذلك قاعدة البيانات. يمكنك تكوينه لجدولة النسخ الاحتياطية لتكون إما أسبوعية أو يومية. يتم تخزين البيانات التي تم نسخها احتياطيًا بشكل عام في نظام أساسي منفصل للتخزين السحابي - سواء تم توفيره بواسطة المكون الإضافي نفسه ، أو بين الأنظمة الأساسية المختلفة الموجودة بالفعل مثل Google Drive و Amazon S3 و Dropbox وما إلى ذلك.

الآن ، إذا تعطل موقعك في وقت لاحق بسبب البرامج الضارة أو المتسللين ، فسيظل بإمكانك الوصول إلى جميع بياناتك ويمكنك استعادة النسخ الاحتياطية إلى موقع الويب الخاص بك لإعادتها إلى حالة عملها السابقة. فقط تذكر أن تتستر على الثغرات الأمنية التي استخدمها المتسللون أو البرامج الضارة للوصول إلى موقع الويب الخاص بك حتى لا يحدث ذلك مرة أخرى.

مع كل ما يقال ، إذا كنت تبحث عن بعض التوصيات حول أي مكون إضافي للنسخ الاحتياطي بالإضافة إلى WPvivid Backup Plugin لاستخدامه لتحسين أمان WordPress الخاص بك ، فإليك بعض الخيارات:

• UpDraftPlus
• النسخ الاحتياطي

2. قم بتثبيت البرنامج المساعد لجدار الحماية لمراقبة موقع WordPress الخاص بك

على غرار برنامج جدار الحماية الذي قمت بإعداده على سطح المكتب / الكمبيوتر المحمول ، سيقوم مكون إضافي لجدار الحماية بمراقبة حركة المرور الواردة ومنع التهديدات الأمنية الشائعة من الوصول إلى موقع الويب الخاص بك على WordPress.

تشير المكونات الإضافية عمومًا إلى قاعدة بيانات تتكون من توقيعات ضارة وعناوين IP مدرجة في القائمة السوداء لفحص التهديدات المحتملة القادمة إلى موقع الويب الخاص بك وحظرها على الفور.

كما ترى ، الأمر بسيط مثل تثبيت مكون إضافي لبرنامج WordPress ولكنه يحسن أمان WordPress الخاص بك عن طريق منع المتسللين والبرامج الضارة والديدان والفيروسات من دخول موقع الويب الخاص بك.

3. تعيين كلمة مرور قوية لتسجيل دخول المسؤول

عندما تفكر في الأمر ، فإن الوصول إلى لوحة معلومات الواجهة الخلفية لـ WordPress ليس بالأمر الكبير. من المعروف أن إضافة "/ wp-admin" في نهاية عنوان URL لموقع WordPress يأخذ المستخدم إلى صفحة تسجيل دخول المسؤول. هنا الشيء الوحيد الذي يحد من الوصول إلى الواجهة الخلفية للموقع هو ببساطة تخمين اسم المستخدم وكلمة المرور.

الآن ، نظرًا لأن اسم المستخدم "admin" مرتبط دائمًا تقريبًا بموقع WordPress على الويب ، فإن الشيء الوحيد الذي يحتاجه المخترق هو تخمين كلمة المرور ومن ثم سيكون لديهم وصول مباشر إلى جميع محتويات وبيانات موقع الويب الخاص بك. شيء مخيف يتخيله أليس كذلك؟

مع وضع كل هذا في الاعتبار ، فإن التحسين الأمني ​​الأكثر وضوحًا في WordPress الذي يمكنك استخدامه هو جعل كلمة مرورك معقدة للغاية ويصعب فك تشفيرها حتى بالقوة الغاشمة. يتضمن ذلك إنشاء كلمات مرور أطول تتكون من 10 إلى 12 حرفًا على الأقل. تذكر أيضًا استخدام الأحرف الكبيرة والأحرف الصغيرة والأرقام والأحرف الخاصة في كلمة مرورك.

ولكي لا ينتهي بك الأمر إلى نسيان الأمر بنفسك ، قم بتدوينه في مكان تعرف أنه سيكون آمنًا فيه.

4. تخصيص اسم المستخدم المسؤول

على غرار تغيير كلمة مرور تسجيل دخول مسؤول WordPress الخاص بك ، يجب أن تفكر أيضًا في تغيير اسم المستخدم الافتراضي الذي يمكن التنبؤ به بسهولة - admin. لذا يحتاج المخترق الآن إلى فك تشفير كلمة المرور مع اسم المستخدم الصحيح للوصول إلى الواجهة الخلفية لموقعك ، مما يزيد بشكل كبير من أمان WordPress الخاص بك.

ولكن مع قول ذلك ، فإن تغيير اسم مستخدم المسؤول الافتراضي أمر صعب إلى حد ما. أولاً ، تحتاج إلى تسجيل الدخول إلى الواجهة الخلفية لـ WordPress> مستخدم> إضافة مستخدم جديد ، ثم إنشاء مستخدم جديد (باسم المستخدم الجديد) مع تعيين دور المستخدم على - المسؤول . بمجرد الانتهاء ، قم بتسجيل الدخول باستخدام حساب المستخدم الجديد وحذف حساب المستخدم الافتراضي "المسؤول" ، مما يجبر المتسللين ليس فقط على فك كلمة المرور الصحيحة ولكن أيضًا اسم المستخدم الجديد الخاص بك. بدلاً من ذلك ، يمكنك إدارة أدوار المستخدم وتحريرها باستخدام مكون إضافي لمحرر دور المستخدم.

5. تخصيص عنوان URL لتسجيل الدخول

حتى الآن تحدثنا عن كيفية جعل من الصعب على المتسللين تخمين بيانات اعتماد تسجيل الدخول الخلفية لـ WordPress. ولكن ، قد يكون تكتيك أمان WordPress الأفضل هو رفض وصول المتسللين إلى شاشة تسجيل الدخول الخاصة بك تمامًا.

كما ذكرنا سابقًا ، يتضمن عنوان URL الافتراضي لصفحة تسجيل الدخول الخلفية لموقع الويب الخاص بك عنوان URL لموقع الويب الخاص بك متبوعًا بـ "/ wp-admin". ومع ذلك ، هل تعلم أنه يمكنك تخصيص الجزء الأخير من عنوان URL لتسجيل الدخول إلى موقع الويب الخاص بك لأي سلسلة أبجدية رقمية مختلفة يمكنك تخيلها ، مثل - "/ zero-hackers-allowed."

ومع ذلك ، لاحظ أن هذه ليست ميزة افتراضية لـ CMS (نظام إدارة المحتوى) ، وسوف تحتاج إلى تثبيت مكون WordPress الإضافي مثل WPS Hide Login لمساعدتك. بمجرد التثبيت والتفعيل ، سيسمح لك المكون الإضافي بتغيير عنوان URL لتسجيل الدخول حتى لا يتمكن المتسللون من الوصول بسهولة إلى صفحة wp-login.php ودليل wp-admin.

في الوقت الحالي ، لم نجعل من الصعب على المتسللين تخمين كلمة المرور الصحيحة ومجموعة اسم المستخدم للوصول إلى موقعنا فحسب ، بل قمنا أيضًا بإخفاء صفحة تسجيل الدخول بشكل فعال من أعين المتطفلين. كما يمكنك أن تتخيل ، فإن هذا يزيد بشكل كبير من أمان WordPress الخاص بك ويجعل هجمات القوة الغاشمة شبه مستحيلة.

6. تعيين كلمة مرور قوية لمستخدم قاعدة البيانات

إذا كان موقع الويب الخاص بك يحتوي على عدة مستخدمين مع بعضهم لديه وصول مباشر إلى قاعدة البيانات الخاصة بك أو معلومات حساسة أخرى ، فتأكد من تعيين كلمات مرور قوية لحساباتهم. من المرجح أن يحاول المتسللون الوصول إلى موقع الويب الخاص بك عن طريق استغلال المستخدمين الآخرين على موقع الويب الخاص بك. مع وضع هذا في الاعتبار ، فإن أي طرف غير محكم هو ثغرة أمنية محتملة وتهديدًا أمنيًا.

يمكنك جعل الأمر إلزاميًا للمستخدمين لتعيين كلمة مرور قوية لحساباتهم باتباع الخطوات المذكورة سابقًا. بدلاً من ذلك ، يمكنك استخدام المكونات الإضافية لجهات خارجية لإجبار المستخدمين على إنشاء كلمة مرور قوية لإكمال عملية إنشاء حساباتهم.

7. تمكين SSL (HTTP إلى HTTPS)

SSL ، اختصار لـ Secure Sockets Layer هو بروتوكول الأمان القياسي على الإنترنت الذي ينشئ اتصالاً مشفرًا بين العميل والخادم. بمجرد التنشيط ، ستلاحظ أن نص HTTP في بداية عنوان URL الخاص بك يتم استبداله بـ HTTPS أو HTTP مؤمن. من خلال تمكين شهادة SSL ، فإنك تجعل من الصعب على المتسللين سرقة البيانات أثناء نقلها بين الخادم والعميل.

تأخذ Google أيضًا شهادة SSL على محمل الجد. على سبيل المثال ، يتم عرض مواقع الويب التي لا تزال على HTTP على أنها "غير آمنة" على متصفح Google Chrome. علاوة على ذلك ، يتم معاقبتهم أيضًا من خلال خوارزمية محرك البحث الخاصة بهم. بينما على الجانب الآخر ، يتم منح HTTPS لمواقع الويب المعتمدة من SSL بواسطة محرك البحث. لذلك ، وضعنا تثبيت SSL كخطوة أولى لتحسين مدونة ووردبريس جديدة.

يجب أن تكون هاتان النقطتان سببًا كافيًا لك لتثبيت شهادة SSL على موقع الويب الخاص بك - خاصة عندما تعتبر أنها ليست كبيرة من المتاعب. بادئ ذي بدء ، تشتمل جميع خدمات استضافة الويب الشهيرة في الغالب على شهادة SSL مجانًا. وفي حالة عدم حصولك على واحد مجانًا ، يمكنك القيام بذلك بسهولة باستخدام Let's Encrypt .

يمكنك أيضًا الوصول إلى مكون WordPress SSL الإضافي المخصص - Really Simple SSL لتحويل HTTP إلى HTTPS وتحسين أمان WordPress الخاص بك.

8. انقل wp-config إلى مستوى أعلى من دليل الجذر

افتراضيًا ، يوجد ملف wp-config.php داخل نفس المجلد مثل مدونة / موقع WordPress الخاص بك. يمكن أن يكون هذا كابوسًا أمنيًا حيث يحتوي الملف على اسم مستخدم قاعدة بيانات MySQL وكلمة المرور ومفاتيح مصادقة WordPress وبيانات حساسة أخرى.

إذا حصل شخص ما على هذا الملف ، فسيكون لديه سيطرة كاملة على كل التفاصيل الدقيقة لموقعك على الويب. هذا هو السبب في أن كودكس WordPress يوصي بأن يقوم المستخدمون بنقل wp-config.php بعيدًا عن الدليل الجذر الافتراضي إلى مجلد مستوى أعلى ليس له حق الوصول العام.

يمكن تحقيق ذلك بسهولة عن طريق تضمين مقتطف الشفرة التالي في مجلد .htaccess:

 <ملفات wp-config.php>

أمر يسمح ، يرفض

رفض من الجميع

</files>

كما ترى ، فإنه يتضمن العبث بالملفات الأساسية لموقع WordPress الخاص بك ، ولذا يُنصح بأخذ نسخة احتياطية قبل المضي قدمًا في هذه الخطوة.

9. منع سرد الدليل باستخدام .htaccess عندما لا يحتوي المجلد على ملف index.php

تتيح قائمة الدليل ، المعروفة أيضًا باسم تصفح الدليل ، لأي مستخدم عرض محتوى المجلدات الفردية (الدلائل) على موقع الويب الخاص بك. كما يمكنك أن تتخيل ، فإن هذا يستدعي مخاوف أمنية كبيرة حيث يمكن للمتسللين تصفح جميع ملفاتك المختلفة بسهولة وتحديد نقاط الضعف المحتملة لاقتحام موقع الويب الخاص بك.

الآن ، دفاعًا عن WordPress CMS ، تحتوي بعض الأدلة على ملفات index.php التي يقوم الخادم بتشغيلها / تحميلها فورًا عند دخول شخص ما إلى المجلد. هذا يمنع المتفرجين من تصفح الدلائل الخاصة بك والوصول إلى بنية موقعك.

ولكن ماذا لو لم يكن ملف index.php موجودًا؟

حتى مع ذلك ، يمكن حل المشكلات بسهولة عن طريق إجراء تعديل بسيط على ملف htaccess. كل ما عليك فعله هو ببساطة إضافة السطر التالي في نهاية .htaccess وحفظه.

 خيارات جميع الفهارس

بمجرد الانتهاء من ذلك ، إذا حاول المستخدم الوصول إلى أي من الدلائل الخاصة بك التي تفتقر إلى ملف index.php ، فسيظهر للمستخدم وصول 403 ممنوع أو صفحة 404 لم يتم العثور على خطأ للمستخدم.

10. تحديث ووردبريس بانتظام

يتمتع WordPress بشعبية كبيرة ، حيث يعمل على تشغيل أكثر من 30 ٪ من جميع مواقع الويب على شبكة الويب العالمية. وهذا يجعل نظام إدارة المحتوى (CMS) الهدف الرئيسي للمتسللين والجهات الخبيثة. إنهم دائمًا مشغولون في العثور على الثغرات الأمنية والثغرات في الشفرة التي يمكنهم استغلالها للوصول إلى بيانات موقعك.

وبالمثل ، فإن فريق تطوير WordPress يبحث بنشاط أيضًا عن الأخطاء والعيوب الأمنية ، حتى يتمكنوا من تصحيحها قبل أن يستغلها المتسللون. لذلك ، لا تتعلق الترقية إلى أحدث إصدار من WordPress بالوصول إلى الميزات والوظائف الجديدة فحسب ، بل تتعلق أيضًا بالتأكد من أن الكود لا يحتوي على أي عيوب يمكن للقراصنة استغلالها.

الآن ، بمجرد إصدار تحديث WordPress جديد ، يمكن للعالم بأسره ، بما في ذلك المتسللين التعرف على الثغرات الأمنية التي كانت موجودة في الإصدار السابق. إذا قمت بالمماطلة في ترقية موقعك بسرعة إلى أحدث التكرار ، فيمكن للقراصنة الاستفادة من الثغرات الأمنية المعروفة الآن على موقعك مما يجعل أمان WordPress الخاص بك أضعف بكثير من ذي قبل. بالإضافة إلى ذلك ، نظرًا لأن WordPress مبني باستخدام PHP ، فمن المهم أيضًا ترقية موقع WordPress الخاص بك إلى أحدث إصدار من PHP لتحسين أداء وأمن موقع الويب الخاص بك. تذكر عمل نسخة احتياطية كاملة من موقعك قبل القيام بأي تحديث!

11. إزالة رقم إصدار WordPress

على الرغم من أنه يجب عليك دائمًا ترقية موقع الويب الخاص بك على WordPress بمجرد إصدار تحديث جديد لنظام إدارة المحتوى ، ولكن في بعض الأحيان ، لا يكون هذا هو أفضل قرار يمكنك اتخاذه. قد تكون بعض الأسباب المحتملة لتأخير ترقية الموقع بسبب تحديث عربات التي تجرها الدواب ، ومشكلات التوافق مع المكونات الإضافية والسمات الحالية ، وما إلى ذلك.

ومع ذلك ، كما ناقشنا للتو ، فإن تأجيل الترقية يفتح لك عددًا كبيرًا من التهديدات الأمنية ومحاولات الاختراق. ولكن يمكن تجنب ذلك إذا كان بإمكانك إزالة رقم إصدار WordPress من موقع الويب الخاص بك. لهذا السبب لن يعرف المتسللون قريبًا أن موقعك يعمل على إصدار أقدم مما يقلل من فرص تعرضك للاستغلال من خلال الثغرات الأمنية المكتشفة حديثًا.

الآن ، لإزالة رقم إصدار WordPress من موقع الويب الخاص بك ، تحتاج إلى التوجه إلى ملف jobs.php وإدخال مقتطف الشفرة التالي:

 الوظيفة remove_wordpress_version () {
إرجاع ''؛
}
add_filter ('the_generator'، 'remove_wordpress_version') ؛

سيؤدي هذا إلى إزالة رقم إصدار WordPress من كل من ملف الرأس وخلاصة RSS مع التأكد من عدم وجود طريقة للمتسللين لتخمين إصدار WordPress الذي تستخدمه.

ختاماً

كانت هذه بعض النصائح والحيل التي نوصي بها لتحسين أمان WordPress الخاص بك. نأمل أن تكون قد وجدت هذه القراءة مفيدة وأنها كانت موردًا مفيدًا في جعل موقعك أكثر أمانًا وأمانًا.

كما ترى ، يمكن إجراء الكثير من التحسينات ببساطة عن طريق اتباع بعض الخطوات الأساسية خطوة أو خطوتين وتثبيت بعض المكونات الإضافية للأمان. الآن هناك بعض الجوانب الفنية التي يجب أن تعتني بها أيضًا. ومع ذلك ، لا داعي للقلق بشأن ذلك كثيرًا إذا كنت قد بدأت للتو في مدونة / موقع الويب الخاص بك على WordPress.

ولكن مع استمرار نمو موقعك ، عليك أن تدرك أن المتسللين سيحاولون بجدية أكبر لاقتحام موقعك والتسبب في المتاعب. على هذا النحو ، ابق دائمًا على اطلاع دائم بأحدث اتجاهات الأمان ، ناهيك عن تغطية جميع الخطوات التقنية التي تمت مناقشتها أعلاه مثل نقل ملف wp-config وكلمة المرور لحماية قاعدة البيانات الخاصة بك.

مع كل هذا في السياق ، يتم تشجيع المستخدمين ذوي الخبرة على الاعتماد على المحادثة وإضافة تكتيكاتهم الشخصية لضمان خلو موقعهم من المتسللين والبرامج الضارة. سيستفيد زملائك القراء بشكل كبير من خلال رؤيتك ، وقد تساعدهم في حماية موقعهم من التهديدات السيبرانية المحتملة.

إذا كنت مهتمًا أيضًا ، فإليك دليلنا الشامل حول كيفية تحقيق الدخل من مدونة.