أدوات أمان وحماية ووردبريس من أجل سلامة موقعك والحفاظ على عملائك – تطوير المواقع – منتدى تقارب التطويري

اشعارات
حذف الجميع
دروس أدوات أمان وحماية ووردبريس من أجل سلامة موقعك والحفاظ على عملائك

أحمد فؤاد
مساعد
مشارك
إجتماعي
مشاركات: 79
الإدارة تطوير wpforo
الكاتب
(@tqarb)
تاريخ الإشتراك: منذ 6 أشهر

يعد أمان ووردبريس موضوعًا ذا أهمية كبيرة لكل مالك موقع. تضع جوجل في القائمة السوداء ما يزيد عن 10000 موقع ويب كل يوم للبرامج الضارة وحوالي 50000 موقع للتصيد الاحتيالي كل أسبوع.

إذا كنت جادًا بشأن موقع الويب الخاص بك ، فأنت بحاجة إلى الانتباه إلى أفضل ممارسات أمان ووردبريس. في هذا الدليل ، سنشارك جميع نصائح الأمان في ووردبريس لمساعدتك على حماية موقع الويب الخاص بك من المتسللين والبرامج الضارة.

Complete WordPress security guide

على الرغم من أن برنامج ووردبريس الأساسي آمن للغاية ، ويتم تدقيقه بانتظام من قبل مئات المطورين ، إلا أن هناك الكثير الذي يمكن القيام به للحفاظ على أمان موقعك.

في منتدى تقارب ، نعتقد أن الأمن لا يقتصر فقط على التخلص من المخاطر. إنه يتعلق أيضًا بالحد من المخاطر. بصفتك مالكًا لموقع الويب ، هناك الكثير الذي يمكنك القيام به لتحسين أمان ووردبريس الخاص بك (حتى لو لم تكن خبيرًا في التكنولوجيا).

لدينا عدد من الخطوات القابلة للتنفيذ التي يمكنك اتخاذها لحماية موقع الويب الخاص بك من الثغرات الأمنية.

لماذا أمان الموقع مهم؟

يمكن أن يتسبب موقع ووردبريس الذي تم اختراقه في إلحاق ضرر جسيم بإيرادات عملك وسمعتك. يمكن للقراصنة سرقة معلومات المستخدم وكلمات المرور وتثبيت البرامج الضارة ، ويمكنهم حتى توزيع البرامج الضارة على المستخدمين.

الأسوأ ، قد تجد نفسك تدفع للقراصنة فقط لاستعادة الوصول إلى موقع الويب الخاص بك.

Why WordPress security is important

في آذار (مارس) 2016 ، أفادت جوجل أنه تم تحذير أكثر من 50 مليون مستخدم لموقع الويب من أن موقع الويب الذي يزورونه قد يحتوي على برامج ضارة أو يسرق معلومات.

علاوة على ذلك ، تضع جوجل في القائمة السوداء حوالي 20000 موقع للبرامج الضارة وحوالي 50000 موقع للتصيد الاحتيالي كل أسبوع.

إذا كان موقع الويب الخاص بك عبارة عن شركة ، فأنت بحاجة إلى إيلاء اهتمام إضافي لأمن ووردبريس الخاص بك.

على غرار مسؤولية مالكي الأنشطة التجارية عن حماية مبنى متجرهم الفعلي ، بصفتك مالكًا للنشاط التجاري عبر الإنترنت ، تقع على عاتقك مسؤولية حماية موقع الويب الخاص بنشاطك التجاري.

تحديث ووردبريس باستمرار

 

Keeping WordPress updated

ووردبريس هو برنامج مفتوح المصدر يتم صيانته وتحديثه بانتظام. بشكل افتراضي ، يقوم ووردبريس تلقائيًا بتثبيت التحديثات الطفيفة. بالنسبة للإصدارات الرئيسية ، تحتاج إلى بدء التحديث يدويًا.

يأتي ووردبريس أيضًا مع آلاف الاضافات والقوالب التي يمكنك تثبيتها على موقع الويب الخاص بك. يتم الحفاظ على هذه المكونات الإضافية والقوالب بواسطة مطوري الجهات الخارجية الذين يقومون بإصدار تحديثات بانتظام أيضًا.

تعد تحديثات ووردبريس هذه ضرورية لأمان واستقرار موقع ووردبريس الخاص بك. تحتاج إلى التأكد من تحديث WordPress core والإضافات والقوالب الخاصة بك.

كلمات المرور القوية وأذونات المستخدم

 

Manage strong passwords

تستخدم محاولات اختراق ووردبريس الأكثر شيوعًا كلمات مرور مسروقة. يمكنك جعل ذلك صعبًا باستخدام كلمات مرور أقوى تكون فريدة لموقعك على الويب. ليس فقط لمنطقة إدارة ووردبريس ، ولكن أيضًا لحسابات FTP وقاعدة البيانات وحساب استضافة ووردبريس وعناوين بريدك الإلكتروني المخصصة التي تستخدم اسم نطاق موقعك.

لا يحب العديد من المبتدئين استخدام كلمات مرور قوية لأنه من الصعب تذكرها. الشيء الجيد هو أنك لست بحاجة إلى تذكر كلمات المرور بعد الآن. يمكنك استخدام password manager.

هناك طريقة أخرى لتقليل المخاطر وهي عدم منح أي شخص حق الوصول إلى حساب مسؤول ووردبريس الخاص بك ما لم تضطر إلى ذلك تمامًا. إذا كان لديك فريق كبير أو مؤلفون ضيوف ، فتأكد من فهمك لأدوار المستخدمين وقدراتهم في ووردبريس قبل إضافة حسابات مستخدمين ومؤلفين جدد إلى موقع ووردبريس الخاص بك.

دور استضافة ووردبريس

تلعب خدمة استضافة ووردبريس الخاصة بك الدور الأكثر أهمية في أمان موقع ووردبريس الخاص بك. يتخذ موفر استضافة مشترك جيد مثل Bluehost أو Siteground تدابير إضافية لحماية خوادمه من التهديدات الشائعة.

إليك كيفية عمل شركة استضافة ويب جيدة في الخلفية لحماية مواقع الويب والبيانات الخاصة بك.

  • إنهم يراقبون شبكتهم باستمرار بحثًا عن أي نشاط مشبوه.
  • تمتلك جميع شركات الاستضافة الجيدة أدوات لمنع هجمات DDOS واسعة النطاق
  • يحافظون على تحديث برامج الخادم وإصدارات php والأجهزة الخاصة بهم لمنع المتسللين من استغلال ثغرة أمنية معروفة في إصدار قديم.
  • لديهم استعداد لنشر خطط التعافي من الكوارث والحوادث التي تسمح لهم بحماية بياناتك في حالة وقوع حادث كبير.

في خطة الاستضافة المشتركة ، تقوم بمشاركة موارد الخادم مع العديد من العملاء الآخرين. هذا يفتح خطر التلوث عبر المواقع حيث يمكن للمتسلل استخدام موقع مجاور لمهاجمة موقع الويب الخاص بك.

يوفر استخدام خدمة استضافة ووردبريس مُدارة ( managed WordPress ) نظامًا أساسيًا أكثر أمانًا لموقع الويب الخاص بك. تقدم شركات استضافة ووردبريس المُدارة نسخًا احتياطية تلقائية وتحديثات ووردبريس تلقائية وتكوينات أمان أكثر تقدمًا لحماية موقع الويب الخاص بك

نوصي باستخدام WPEngine باعتباره موفر استضافة ووردبريس المُدار المفضل لدينا. إنها أيضًا الأكثر شهرة في هذا المجال.

يمكنك أيضًا تجربة Liquid Web وهو بديل جيد لـ WP Engine.

أمان ووردبريس في خطوات سهلة

نحن نعلم أن تحسين أمان ووردبريس يمكن أن يكون فكرة مرعبة للمبتدئين. خاصة إذا لم تكن خبيرًا في المجال التقني. لا تقلق - لست وحدك.

لقد ساعدنا من خلال موقع ومنتدى تقارب العديد من مستخدمي ووردبريس في تعزيز أمان ووردبريس الخاص بهم.

سنوضح لك كيف يمكنك تحسين أمان ووردبريس الخاص بك ببضع نقرات فقط

قم بتثبيت اضافة WordPress Backup

 

Install a WordPress backup solution

النسخ الاحتياطية هي دفاعك الأول ضد أي هجوم على ووردبريس. تذكر أنه لا يوجد شيء آمن بنسبة 100٪. إذا كان من الممكن اختراق مواقع الويب الحكومية ، فيمكن اختراق مواقعك أيضًا.

تسمح لك النسخ الاحتياطية باستعادة موقع ووردبريس الخاص بك بسرعة في حالة حدوث شيء سيء.

هناك العديد من الإضافات المجانية والمدفوعة للنسخ الاحتياطي في ووردبريس والتي يمكنك استخدامها. أهم شيء تحتاج إلى معرفته عندما يتعلق الأمر بالنسخ الاحتياطية هو أنه يجب عليك حفظ النسخ الاحتياطية الكاملة للموقع بانتظام في موقع بعيد (وليس حساب الاستضافة الخاص بك).

نوصي بتخزينه على خدمة سحابية مثل Amazon أو Dropbox أو السحب الخاصة مثل Stash.

استنادًا إلى عدد المرات التي تقوم فيها بتحديث موقع الويب الخاص بك ، قد يكون الإعداد المثالي إما مرة واحدة يوميًا أو نسخًا احتياطيًا في الوقت الفعلي.

لحسن الحظ ، يمكن القيام بذلك بسهولة باستخدام مكونات إضافية مثل UpdraftPlus أو BlogVault. كلاهما موثوق به والأهم من ذلك أنه سهل الاستخدام  .

أفضل مكون إضافي لأمن ووردبريس

بعد النسخ الاحتياطية ، فإن الشيء التالي الذي يتعين علينا القيام به هو إعداد نظام للتدقيق والمراقبة يتتبع كل ما يحدث على موقع الويب الخاص بك.

يتضمن ذلك مراقبة سلامة الملفات ، ومحاولات تسجيل الدخول الفاشلة ، ومسح البرامج الضارة ، وما إلى ذلك.

لحسن الحظ ، يمكن الاعتناء بكل هذا من خلال أفضل مكون إضافي للأمان في ووردبريس ، وهو Sucuri Scanner.

تحتاج إلى تثبيت وتفعيل البرنامج المساعد المجاني Sucuri Security.

عند التنشيط ، يجب أن تذهب إلى قائمة Sucuri في مسؤول ووردبريس الخاص بك. أول شيء سيُطلب منك القيام به هو إنشاء مفتاح API مجاني. يتيح ذلك تسجيل التدقيق والتحقق من النزاهة وتنبيهات البريد الإلكتروني وميزات مهمة أخرى.

Generate Sucuri API Key

الشيء التالي ، ما عليك فعله هو النقر فوق علامة التبويب "Hardening" من قائمة الإعدادات. انتقل من خلال كل خيار وانقر على زر "Apply Hardening".

Sucuri security hardening

تساعدك هذه الخيارات في تأمين المجالات الرئيسية التي يستخدمها المتسللون غالبًا في هجماتهم. الخيار الوحيد المتصلب للترقية المدفوعة هو جدار حماية تطبيق الويب الذي سنشرحه في الخطوة التالية ، لذا تخطاه في الوقت الحالي.

لقد قمنا أيضًا بتغطية الكثير من خيارات "Hardening" هذه لاحقًا في هذه المقالة لأولئك الذين يريدون القيام بذلك دون استخدام مكون إضافي أو تلك التي تتطلب خطوات إضافية مثل "تغيير بادئة قاعدة البيانات" أو "تغيير اسم مستخدم المسؤول".

بعد الجزء hardening ، تكون إعدادات المكون الإضافي الافتراضية جيدة بما يكفي لمعظم مواقع الويب ولا تحتاج إلى أي تغييرات. الشيء الوحيد الذي نوصي بتخصيصه هو "Email Alerts".

يمكن لإعدادات التنبيه الافتراضية أن تزدحم صندوق الوارد الخاص بك برسائل البريد الإلكتروني. نوصي بتلقي تنبيهات للإجراءات الأساسية مثل التغييرات في المكونات الإضافية ، وتسجيل مستخدم جديد ، وما إلى ذلك. يمكنك تكوين التنبيهات بالانتقال إلى Settings Sucuri »Alerts.

Set up security email alerts

يعد هذا المكون الإضافي للأمان في ووردبريس قويًا للغاية ، لذا تصفح جميع علامات التبويب والإعدادات لمعرفة كل ما يفعله مثل فحص البرامج الضارة وسجلات التدقيق وتتبع محاولة تسجيل الدخول الفاشلة وما إلى ذلك.

تمكين جدار حماية تطبيق الويب (WAF)

أسهل طريقة لحماية موقعك والتأكد من أمان ووردبريس الخاص بك هي باستخدام جدار حماية تطبيق ويب (WAF).

يحظر جدار حماية موقع الويب كل حركة المرور الضارة حتى قبل أن تصل إلى موقع الويب الخاص بك.

DNS Level Website Firewall – يقوم جدار الحماية هذا بتوجيه حركة مرور موقع الويب الخاص بك من خلال خوادم الوكيل السحابية الخاصة بهم. هذا يسمح لهم فقط بإرسال حركة مرور حقيقية إلى خادم الويب الخاص بك.

Application Level Firewall – تقوم هذه المكونات الإضافية لجدار الحماية بفحص حركة المرور بمجرد وصولها إلى الخادم الخاص بك ولكن قبل تحميل معظم نصوص WordPress النصية. هذه الطريقة ليست فعالة مثل جدار الحماية على مستوى DNS في تقليل تحميل الخادم.

 

Sucuri WAF

نحن نستخدم Sucuri ونوصي به كأفضل جدار حماية لتطبيق الويب لـ ووردبريس. يمكنك أن تقرأ كيف ساعدتنا Sucuri في منع 450 ألف هجوم على ووردبريس في شهر واحد.

Attacks blocked by Sucuri

أفضل جزء في جدار الحماية الخاص بـ Sucuri هو أنه يأتي أيضًا مع ضمان إزالة البرامج الضارة وإزالة القائمة السوداء. في الأساس ، إذا تم اختراقك تحت ساعتهم ، فإنهم يضمنون أنهم سيصلحون موقع الويب الخاص بك (بغض النظر عن عدد الصفحات التي لديك).

هذا ضمان قوي جدًا لأن إصلاح المواقع المخترقة مكلف. عادة ما يتقاضى خبراء الأمن 250 دولارًا في الساعة. بينما يمكنك الحصول على باقة Sucuri الأمني ​​بالكامل مقابل 199 دولارًا سنويًا.

حسِّن أمان ووردبريس الخاص بك باستخدام جدار الحماية Sucuri »

Sucuri ليس مزود جدار الحماية الوحيد على مستوى DNS الموجود هناك. المنافس الشهير الآخر هو Cloudflare.

انقل موقع ووردبريس الخاص بك إلى SSL / HTTPS

SSL (Secure Sockets Layer) هو بروتوكول يقوم بتشفير نقل البيانات بين موقع الويب الخاص بك ومتصفح المستخدمين. يجعل هذا التشفير من الصعب على أي شخص شم المعلومات وسرقة المعلومات.

How SSL works

بمجرد تمكين SSL ، سيستخدم موقع الويب الخاص بك HTTPS بدلاً من HTTP ، وسترى أيضًا علامة قفل بجوار عنوان موقع الويب الخاص بك في المتصفح. كما هو الحال في منتدى تقارب .

عادةً ما يتم إصدار شهادات SSL من قبل جهات إصدار الشهادات ، وتبدأ أسعارها من 80 دولارًا إلى مئات الدولارات كل عام. نظرًا للتكلفة المضافة ، اختار معظم مالكي مواقع الويب الاستمرار في استخدام البروتوكول غير الآمن.

لإصلاح ذلك ، قررت منظمة غير ربحية تسمى Let’s Encrypt تقديم شهادات SSL مجانية لأصحاب مواقع الويب. مشروعهم مدعوم من قبل Google Chrome و Facebook و Mozilla والعديد من الشركات الأخرى.

الآن ، أصبح بدء استخدام SSL لجميع مواقع ووردبريس الخاصة بك أسهل من أي وقت مضى. تقدم العديد من شركات الاستضافة الآن شهادة SSL مجانية لموقع الويب الخاص بك على ووردبريس.

إذا كانت شركة الاستضافة الخاصة بك لا تقدم واحدة ، فيمكنك شراء واحدة من Domain.com. لديهم أفضل صفقة SSL وأكثرها موثوقية في السوق. يأتي مع ضمان أمان بقيمة 10000 دولار وختم أمان TrustLogo.

إذا فعلت كل ما ذكرناه حتى الآن ، فأنت في حالة جيدة جدًا.

ولكن كما هو الحال دائمًا ، هناك المزيد الذي يمكنك القيام به لتعزيز أمان ووردبريس الخاص بك.

قد تتطلب بعض هذه الخطوات معرفة الترميز.

قم بتغيير اسم المستخدم الافتراضي "admin"

في الماضي ، كان اسم المستخدم الافتراضي لمشرف ووردبريس هو "admin". نظرًا لأن أسماء المستخدمين تشكل نصف بيانات اعتماد تسجيل الدخول ، فقد سهّل ذلك على المتسللين تنفيذ هجمات القوة الغاشمة.

لحسن الحظ ، قام ووردبريس بتغيير هذا منذ ذلك الحين ويطلب منك الآن تحديد اسم مستخدم مخصص في وقت تثبيت ووردبريس.

ومع ذلك ، فإن بعض أدوات تثبيت ووردبريس بنقرة واحدة لا تزال تعين اسم المستخدم الافتراضي للمسؤول على "admin". إذا لاحظت أن هذا هو الحال ، فمن المحتمل أن تقوم بتبديل استضافة الويب الخاصة بك لفكرة جيدة.

نظرًا لأن ووردبريس لا يسمح لك بتغيير أسماء المستخدمين افتراضيًا ، فهناك ثلاث طرق يمكنك استخدامها لتغيير اسم المستخدم.

  1. أنشئ اسم مستخدم مسؤول جديدًا واحذف الاسم القديم.
  2. استخدم اضافة Username Changer
  3. تحديث اسم المستخدم من phpMyAdmin

ملاحظة: نحن نتحدث عن اسم المستخدم المسمى "Admin" ، وليس دور المشرف.

تعطيل تحرير الملف

يأتي ووردبريس مزودًا بمحرر كود مضمن يسمح لك بتعديل ملفات القالب والمكونات الإضافية مباشرة من منطقة إدارة ووردبريس الخاصة بك. في الأيدي الخطأ ، يمكن أن تكون هذه الميزة مخاطرة أمنية ولهذا نوصي بإيقاف تشغيلها.

Disable file editing in WordPress

يمكنك القيام بذلك بسهولة عن طريق إضافة الكود التالي في ملف wp-config.php الخاص بك.

بدلاً من ذلك ، يمكنك القيام بذلك بنقرة واحدة باستخدام ميزة Hardening في البرنامج المساعد المجاني Sucuri الذي ذكرناه أعلاه.

تعطيل تنفيذ ملف PHP في أدلة ووردبريس معينة

هناك طريقة أخرى لتعزيز أمان ووردبريس الخاص بك وهي تعطيل تنفيذ ملف PHP في الدلائل حيث لا تكون هناك حاجة إليه مثل / wp-content / uploads /.

يمكنك القيام بذلك عن طريق فتح محرر نصوص مثل Notepad ولصق هذا الرمز:

بعد ذلك ، تحتاج إلى حفظ هذا الملف باسم .htaccess وتحميله إلى / wp-content / uploads / مجلدات على موقع الويب الخاص بك باستخدام FTP client.

الحد من محاولات تسجيل الدخول

بشكل افتراضي ، يتيح ووردبريس للمستخدمين محاولة تسجيل الدخول قدر ما يريدون. هذا يترك موقع ووردبريس الخاص بك عرضة لهجمات القوة الغاشمة. يحاول المتسللون كسر كلمات المرور من خلال محاولة تسجيل الدخول بمجموعات مختلفة.

يمكن إصلاح ذلك بسهولة عن طريق الحد من محاولات تسجيل الدخول الفاشلة التي يمكن للمستخدم القيام بها. إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقًا ، فسيتم الاهتمام بذلك تلقائيًا.

ومع ذلك ، إذا لم يكن لديك إعداد الجدار الناري ، فتابع الخطوات أدناه.

أولاً ، تحتاج إلى تثبيت وتنشيط اضافة Login LockDown .

عند التنشيط ، قم بزيارة Settings »Login LockDown page لضبط اعدادات الاضافة.

Login Lockdown options

 

إضافة المصادقة الثنائية

تتطلب تقنية المصادقة الثنائية أن يقوم المستخدمون بتسجيل الدخول باستخدام طريقة مصادقة من خطوتين. الأول هو اسم المستخدم وكلمة المرور ، والخطوة الثانية تتطلب منك المصادقة باستخدام جهاز أو تطبيق منفصل.

تسمح لك معظم المواقع الإلكترونية الكبرى مثل Google و Facebook و Twitter بتمكينها لحساباتك. يمكنك أيضًا إضافة نفس الوظيفة إلى موقع ووردبريس الخاص بك.

أولاً ، تحتاج إلى تثبيت وتفعيل المكون الإضافي Two Factor Authentication. عند التنشيط ، تحتاج إلى النقر فوق رابط "Two Factor Auth" في الشريط الجانبي لمسؤول ووردبريس.

Two Factor Authenticator settings

بعد ذلك ، تحتاج إلى تثبيت وفتح تطبيق المصادقة على هاتفك. يتوفر العديد منها مثل Google Authenticator و Authy و LastPass Authenticator.

نوصي باستخدام LastPass Authenticator أو Authy لأن كلاهما يسمح لك بعمل نسخة احتياطية من حساباتك على السحابة. هذا مفيد جدًا في حالة فقد هاتفك أو إعادة ضبطه أو شراء هاتف جديد. سيتم استعادة جميع عمليات تسجيل الدخول إلى حسابك بسهولة.

سنستخدم LastPass Authenticator في البرنامج التعليمي. ومع ذلك ، فإن التعليمات متشابهة لجميع تطبيقات المصادقة. افتح تطبيق المصادقة الخاص بك ، ثم انقر فوق الزر "إضافة".

Add website

سيتم سؤالك عما إذا كنت ترغب في فحص موقع يدويًا أو مسح الرمز الشريطي ضوئيًا. حدد خيار مسح الرمز الشريطي ثم وجه كاميرا هاتفك إلى رمز الاستجابة السريعة المعروض في صفحة إعدادات المكون الإضافي.

هذا كل شيء ، سيحفظه تطبيق المصادقة الآن. في المرة التالية التي تقوم فيها بتسجيل الدخول إلى موقع الويب الخاص بك ، سيُطلب منك رمز المصادقة الثنائي بعد إدخال كلمة المرور الخاصة بك.

Enter your two-factor auth code

ما عليك سوى فتح تطبيق المصادقة على هاتفك وإدخال الرمز الذي تراه عليه.

تغيير بادئة قاعدة بيانات ووردبريس

بشكل افتراضي ، يستخدم ووردبريس wp_ كبادئة لجميع الجداول في قاعدة بيانات ووردبريس الخاصة بك. إذا كان موقع ووردبريس الخاص بك يستخدم بادئة قاعدة البيانات الافتراضية ، فإنه يسهل على المتسللين تخمين اسم الجدول الخاص بك. هذا هو السبب في أننا نوصي بتغييره.

ملاحظة: يمكن أن يؤدي ذلك إلى تعطل موقعك إذا لم يتم بشكل صحيح. تابع فقط ، إذا كنت تشعر بالثقة تجاه مهاراتك في الترميز.

كلمة مرور حماية مدير ووردبريس وصفحة تسجيل الدخول

 

Password protect WordPress admin area

عادة ، يمكن للمتسللين طلب مجلد wp-admin وصفحة تسجيل الدخول دون أي قيود. هذا يسمح لهم بتجربة حيل القرصنة أو تشغيل هجمات DDoS.

يمكنك إضافة حماية إضافية بكلمة مرور على مستوى جانب الخادم ، مما يؤدي إلى حظر هذه الطلبات بشكل فعال.

تعطيل فهرسة الدليل والاستعراض

 

Disable directory browsing

يمكن للمتسللين استخدام تصفح الدليل لمعرفة ما إذا كان لديك أي ملفات بها نقاط ضعف معروفة ، حتى يتمكنوا من الاستفادة من هذه الملفات للوصول إليها.

يمكن أيضًا استخدام تصفح الدليل بواسطة أشخاص آخرين للبحث في ملفاتك ونسخ الصور ومعرفة بنية الدليل الخاص بك ومعلومات أخرى. هذا هو السبب في أنه يوصى بشدة بإيقاف تشغيل فهرسة الدليل والتصفح.

تحتاج إلى الاتصال بموقعك على الويب باستخدام مدير ملفات FTP أو cPanel. بعد ذلك ، حدد موقع ملف .htaccess في الدليل الجذر لموقعك على الويب.

بعد ذلك ، تحتاج إلى إضافة السطر التالي في نهاية ملف .htaccess:

 

لا تنس حفظ وتحميل ملف htaccess مرة أخرى إلى موقعك.

تعطيل XML-RPC في ووردبريس

تم تمكين XML-RPC افتراضيًا في WordPress 3.5 لأنه يساعد على ربط موقع ووردبريس الخاص بك بتطبيقات الويب والجوال.

بسبب طبيعتها القوية ، يمكن لـ XML-RPC تضخيم هجمات القوة الغاشمة بشكل كبير.

على سبيل المثال ، إذا أراد أحد المتطفلين عادةً تجربة 500 كلمة مرور مختلفة على موقع الويب الخاص بك ، فسيتعين عليهم إجراء 500 محاولة منفصلة لتسجيل الدخول والتي سيتم اكتشافها وحظرها بواسطة المكون الإضافي لإغلاق تسجيل الدخول.

ولكن مع XML-RPC ، يمكن للمتسلل استخدام وظيفة system.multicall لتجربة الآلاف من كلمات المرور مع 20 أو 50 طلبًا.

لهذا السبب إذا كنت لا تستخدم XML-RPC ، فإننا نوصي بتعطيله.

نصيحة: طريقة .htaccess هي الأفضل لأنها الأقل كثافة للموارد.

إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقًا ، فيمكن أن يتولى جدار الحماية هذا الأمر.

قم بتسجيل الخروج تلقائيًا من ووردبريس

يمكن للمستخدمين الذين قاموا بتسجيل الدخول في بعض الأحيان الابتعاد عن الشاشة ، وهذا يشكل مخاطرة أمنية. يمكن لأي شخص الاستيلاء على جلسته أو تغيير كلمات المرور أو إجراء تغييرات على حسابه.

هذا هو السبب في أن العديد من المواقع المصرفية والمالية تسجل خروج المستخدم غير النشط تلقائيًا. يمكنك تنفيذ وظائف مماثلة على موقع ووردبريس الخاص بك أيضًا.

سوف تحتاج إلى تثبيت وتفعيل المكون الإضافي Inactive Logout. عند التنشيط ، قم بزيارة الإعدادات »صفحة تسجيل الخروج غير النشطة لتكوين إعدادات المكون الإضافي.

Logout idle users

ما عليك سوى تعيين المدة الزمنية وإضافة رسالة تسجيل الخروج. لا تنس النقر على زر حفظ التغييرات لتخزين إعداداتك.

فحص ووردبريس بحثًا عن البرامج الضارة والعناصر الثغرات الأمنية

 

Malware scanning

إذا كان لديك مكون إضافي للأمان في ووردبريس مثبتًا ، فستتحقق هذه المكونات الإضافية بشكل روتيني من البرامج الضارة وعلامات الخروقات الأمنية.

ومع ذلك ، إذا رأيت انخفاضًا مفاجئًا في حركة مرور موقع الويب أو تصنيفات البحث ، فقد ترغب في إجراء فحص يدويًا. يمكنك استخدام المكون الإضافي للأمان في ووردبريس

يعد إجراء عمليات الفحص عبر الإنترنت هذه أمرًا مباشرًا تمامًا ، فأنت تقوم فقط بإدخال عناوين URL لموقع الويب الخاص بك وتنتقل برامج الزحف الخاصة بهم إلى موقع الويب الخاص بك للبحث عن البرامج الضارة والشفرات الضارة المعروفة.

ضع في اعتبارك الآن أن معظم ماسحات الأمان في ووردبريس يمكنها فقط فحص موقع الويب الخاص بك. لا يمكنهم إزالة البرامج الضارة أو تنظيف موقع ووردبريس تم الاستيلاء عليه.

يقودنا هذا إلى القسم التالي ، وهو تنظيف البرامج الضارة ومواقع ووردبريس المخترقة.

إصلاح موقع ووردبريس تم اختراقه

لا يدرك العديد من مستخدمي ووردبريس أهمية النسخ الاحتياطي وأمن مواقع الويب حتى يتم اختراق موقع الويب الخاص بهم.

قد يكون تنظيف موقع ووردبريس أمرًا صعبًا للغاية ويستغرق وقتًا طويلاً. نصيحتنا الأولى هي السماح للمحترف بالاعتناء بها.

يقوم المتسللون بتثبيت أبواب خلفية على المواقع المتأثرة ، وإذا لم يتم إصلاح هذه الأبواب الخلفية بشكل صحيح ، فمن المحتمل أن يتم اختراق موقع الويب الخاص بك مرة أخرى.

سيضمن السماح لشركة أمنية محترفة مثل Sucuri لإصلاح موقع الويب الخاص بك أن يكون موقعك آمنًا للاستخدام مرة أخرى. سيحميك أيضًا من أي هجمات مستقبلية.

هذا كل شيء ، نأمل أن يساعدك هذا الموضوع في تعلم أفضل ممارسات أمان WordPress بالإضافة إلى اكتشاف أفضل المكونات الإضافية لأمان WordPress لموقعك على الويب.

رد
وسوم الموضوع
1 تعليق
ماجد عزازي
مبتدئ
مشاركات: 8
الأعضاء
(@maged_azazy)
تاريخ الإشتراك: منذ 6 أشهر

موضوع موسوعي ياغالي . بالصدفه دخلت لقيته لسه منشور من وقت قريب اوي عشان كده هدخل بكره امخمخ فيه علي روقان 😍 

رد
موضوع جديد

  المتصدرين

  إعلان