female programmer working software javascript computer office writing codes data code website coding database 199665690

تعرف على التهديدات الأكثر شيوعًا اليوم لمواقع WordPress ، وكيفية الحفاظ على موقع WordPress الخاص بك آمنًا من الهجمات الإلكترونية.

إذا كان لديك وجود على الإنترنت ، فأنت بحاجة إلى إعطاء الأولوية للأمان. وإذا كان WordPress هو نظام إدارة المحتوى الخاص بك ، فأنت بالتأكيد بحاجة إلى إعطاء الأولوية للأمان.

بشكل عام ، يعد WordPress نظام إدارة محتوى آمنًا ، ولكن نظرًا لأنه مفتوح المصدر ، فإنه يعاني من العديد من نقاط الضعف الحرجة. لحسن الحظ ، يكون تحقيق أمان WordPress أمرًا بسيطًا عند اتخاذ الخطوات الصحيحة.

في هذه المقالة ، سوف ندخل في تفاصيل نقاط الضعف الأمنية الأكثر شيوعًا وخطورة التي تأتي مع استخدام WordPress. بعد ذلك ، سنغطي جميع الخطوات التي ستحتاج إليها لإدارة موقع WordPress آمن .

المحتويات إخفاء

لماذا تحتاج إلى أمان WordPress

دعونا نناقش الأسباب التي تجعل كل موقع ويب ناجح تم إنشاؤه باستخدام WordPress يعطي الأولوية للأمان. تنطبق هذه على الشركات من جميع الأحجام والسمعة والصناعات.

إنه يحمي معلوماتك وسمعتك.

إذا حصل المهاجمون على معلومات شخصية عنك أو عن زوار موقعك على الويب ، فليس هناك حد لما يمكنهم فعله بهذه المعلومات. تفتحك الاختراقات الأمنية أمام تسريبات البيانات العامة ، وسرقة الهوية ، وبرامج الفدية ، وتعطل الخوادم ، والقائمة تطول للأسف. وغني عن القول ، أن أيًا من هذه الأحداث بعيد عن أن يكون مثاليًا لنمو عملك وسمعته ، وعادة ما تكون مضيعة للوقت والمال والطاقة.

زوار موقعك يتوقعون ذلك.

مع نمو عملك ، سيزداد عدد المشكلات التي ستحتاج إلى حلها وتوقعات عملائك لكيفية معالجة هذه المشكلات. تتمثل إحدى هذه المشكلات في الحفاظ على أمان معلومات العملاء. إذا لم تتمكن من تقديم هذه الخدمة الأساسية من البداية ، فسوف تقوض ثقة العميل فيك.

يحتاج عملاؤك إلى الوثوق في أنه سيتم استخدام معلوماتهم وتخزينها بأمان ، سواء كانت معلومات الاتصال أو معلومات الدفع (التي تتطلب الامتثال لـ PCI ) أو استجابة أساسية لاستبيان. هناك نقطة توقف هنا: إذا نجحت إجراءات الأمان الخاصة بك ، فلن يحتاج عملاؤك إلى معرفة ذلك أبدًا. إذا رأوا يومًا أخبارًا عن أمان موقعك ، فمن المحتمل أن تكون هذه أخبارًا سيئة ولن يعود معظمهم.

يحب Google مواقع الويب الآمنة.

الحفاظ على أمان موقع WordPress الخاص بك هو حجر الزاوية في الحفاظ على موقع ويب عالي المستوى.

لماذا ا؟ لأن موقع الويب الآمن يمكن البحث فيه. يؤثر أمان موقع الويب بشكل مباشر على الرؤية من خلال البحث على Google (ومحركات البحث الأخرى) ، وقد يحدث ذلك لفترة من الوقت. يعد الأمان أحد أسهل الطرق لتعزيز تصنيف البحث الخاص بك.

من الواضح أن حماية ممتلكاتك على الإنترنت يجب أن تكون مصدر قلق رئيسي. يحتاج كل موقع إلى ضمان سلامة زواره ومستخدميه ، وسنتجاوز الخطوات للقيام بذلك. لكن أولاً ، قد تتساءل: هل WordPress آمن ؟

دعنا نلقي نظرة أدناه.

ما مدى أمان WordPress؟

WordPress هو نظام إدارة محتوى آمن. ومع ذلك ، يمكن أن يكون عرضة للهجمات – تمامًا مثل أي نظام إدارة محتوى.

لا توجد طريقة للتغلب على ذلك: مواقع الويب التي تستخدم WordPress هي هدف شائع للهجمات الإلكترونية. في تقرير أمان WordPress الخاص بها ، قامت خدمة جدار الحماية المسماة Wordfence بحظر 18.5 مليار طلب هجوم بكلمة مرور على مواقع WordPress. هذا ما يقرب من 20 مليار هجوم على مواقع WordPress وحدها.

أمان WordPress: طلبات هجوم كلمات المرور المحظورة

 

قد يكون هذا أقل إثارة للدهشة ، مع العلم أن 42.7٪ من جميع مواقع الويب تستخدم WordPress. ومع ذلك ، لا يزال ما يقرب من عشرين مليار هجوم مرتفعًا جدًا ، حتى مع مراعاة حصة WordPress في السوق.

تستمر الأخبار السيئة: 8 من أصل 10 من مخاطر الأمان في WordPress تقع ضمن درجة الخطورة “متوسطة” أو “عالية” وفقًا لنظام نقاط الضعف المشترك .

أمان WordPress: الثغرات التي تم الإبلاغ عنها حسب الخطورة

 

ولكن قبل حذف حسابك على WordPress نهائيًا ، يجب أن تعلم أن هذه الأرقام ليست خطأ WordPress بالكامل. أو ، على الأقل ، ليس خطأ منتج WordPress نفسه.

يستخدم WordPress فريقًا أمنيًا كبيرًا من الباحثين والمهندسين العالميين الذين يبحثون عن نقاط الضعف في نظامه ، ويقومون بإصدار تحديثات أمنية بانتظام لبرامجهم. بقدر ما يذهب جوهر WordPress ، فنحن مغطى. تكمن المشكلة في كيفية إتاحة WordPress لمستخدميه.

WordPress هو برنامج مفتوح المصدر ، مما يعني أن شفرة المصدر متاحة لأي شخص للتعديل والتوزيع. نظرًا لأن WordPress مفتوح المصدر ، فإن البرنامج قابل للتخصيص والتحسين بشكل لا نهائي. هناك الآلاف من المكونات الإضافية والسمات والمطورين الذين يمتلكون المهارات اللازمة لتعديل كود الواجهة الخلفية بأنفسهم. هذه المرونة هي سمة مميزة لـ WordPress ، وجزء كبير مما يجعلها قوية جدًا ومستخدمة على نطاق واسع.

الجانب السلبي لكل هذه الحرية هو أن موقع WordPress الذي تم تكوينه أو صيانته بشكل غير صحيح عرضة لعدد لا يحصى من مشكلات الأمان. يمنح WordPress الكثير من القوة لمستخدميه ، ومع القوة الكبيرة تأتي مسؤولية كبيرة. المسؤولية التي يتجاهلها الكثيرون. يعرف المتسللون هذا ويستهدفون مواقع WordPress وفقًا لذلك.

يمكنك الراحة بسهولة بمعرفة ما يلي ، على الرغم من ذلك: الأمان المثالي ببساطة غير موجود ، خاصة عبر الإنترنت. كما ورد في ووردبريس :

“الأمن [S] … هو الحد من المخاطر ، وليس القضاء على المخاطر. يتعلق الأمر باستخدام جميع عناصر التحكم المناسبة المتاحة لك ، في حدود المعقول ، والتي تسمح لك بتحسين وضعك العام وتقليل احتمالات جعل نفسك هدفًا ، وبالتالي التعرض للاختراق “.

لا يمكنك أبدًا ضمان الحصانة الكاملة للتهديدات عبر الإنترنت ، ولكن يمكنك اتخاذ خطوات لتقليل احتمالية حدوثها. حقيقة أنك تقرأ هذا يعني أنك ربما تهتم بالأمن وأنك على استعداد لبذل جهد إضافي للحفاظ على سلامتك أنت وزوارك. لتلخيص كل هذا ، يعد WordPress آمنًا ، ولكن فقط إذا أخذ مستخدموه الأمان على محمل الجد واتبعوا أفضل الممارسات.

مشكلات أمان WordPress

لذا ، ما الذي يمكن أن يحدث إذا اختار المرء دفع كل هذه الأرقام جانبًا وعدم القيام بأي شيء لتأمين موقع WordPress الخاص به؟ كما اتضح ، الكثير. أكثر أنواع الهجمات الإلكترونية شيوعًا على مواقع WordPress هي:

محاولات تسجيل الدخول باستخدام القوة الغاشمة

هذا هو أحد أبسط أنواع الهجمات. يحدث تسجيل الدخول باستخدام القوة الغاشمة عندما يستخدم المهاجمون الأتمتة لإدخال العديد من مجموعات اسم المستخدم وكلمة المرور بسرعة كبيرة ، مما يؤدي في النهاية إلى تخمين بيانات الاعتماد الصحيحة. يمكن للقرصنة باستخدام القوة الغاشمة الوصول إلى أي معلومات محمية بكلمة مرور ، وليس فقط عمليات تسجيل الدخول.

البرمجة النصية عبر المواقع (XSS)

يحدث XSS عندما يقوم المهاجم “بحقن” تعليمات برمجية ضارة في الواجهة الخلفية لموقع الويب الهدف لاستخراج المعلومات وإحداث فوضى في وظائف الموقع. يمكن تقديم هذا الرمز في الواجهة الخلفية بوسائل أكثر تعقيدًا ، أو إرساله ببساطة كرد في نموذج يواجه المستخدم.

حقن قاعدة البيانات

يُعرف أيضًا باسم حقن SQL ، يحدث هذا عندما يرسل المهاجم سلسلة من التعليمات البرمجية الضارة إلى موقع ويب من خلال إدخال بعض المستخدمين ، مثل نموذج الاتصال. ثم يخزن موقع الويب الرمز في قاعدة البيانات الخاصة به. على غرار هجوم XSS ، يتم تشغيل الشفرة الضارة على موقع الويب لجلب المعلومات السرية المخزنة في قاعدة البيانات أو اختراقها.

أبواب خلفية

الباب الخلفي هو ملف يحتوي على رمز يسمح للمهاجم بتجاوز تسجيل الدخول القياسي إلى WordPress والوصول إلى موقعك في أي وقت. يميل المهاجمون إلى وضع الأبواب الخلفية بين ملفات مصدر WordPress الأخرى ، مما يجعل من الصعب العثور عليها من قبل المستخدمين عديمي الخبرة. حتى عند الإزالة ، يمكن للمهاجمين كتابة أشكال مختلفة من هذا الباب الخلفي والاستمرار في استخدامها لتجاوز تسجيل الدخول الخاص بك.

على الرغم من أن WordPress يقيد أنواع الملفات التي يمكن للمستخدمين تحميلها لتقليل فرصة وجود أبواب خلفية ، إلا أنه لا يزال هناك مشكلة كبيرة يجب أن تكون على دراية بها.

هجمات رفض الخدمة (DoS)

تمنع هذه الهجمات المستخدمين المصرح لهم من الوصول إلى مواقع الويب الخاصة بهم. غالبًا ما يتم تنفيذ هجمات DoS عن طريق التحميل الزائد على الخادم بحركة المرور والتسبب في حدوث عطل. تتفاقم التأثيرات في حالة هجوم رفض الخدمة الموزع (DDoS) ، وهو هجوم DoS يتم إجراؤه بواسطة العديد من الأجهزة في وقت واحد.

التصيد

عندما يتصل المهاجم بهدف يتظاهر بأنه شركة أو خدمة شرعية ، يُعرف هذا باسم التصيد الاحتيالي . عادةً ما تدفع محاولات التصيد الاحتيالي الهدف إلى التخلي عن معلومات شخصية أو تنزيل برامج ضارة أو زيارة موقع ويب خطير. إذا تمكن المهاجم من الوصول إلى حساب WordPress الخاص بك ، فيمكنه حتى تنسيق هجمات التصيد الاحتيالي على عملائك أثناء انتحال شخصية أنت.

نموذج بريد إلكتروني للتصيد الاحتيالي يتظاهر بأنه PayPal

 

الارتباط السريع

يحدث الارتباط السريع عندما يعرض موقع ويب آخر محتوى مضمنًا (عادةً صورة) تتم استضافته على موقع الويب الخاص بك دون إذن ، بحيث يظهر المحتوى كما لو كان خاصًا بهم. في حين أنه أقرب إلى السرقة من الهجوم الكامل ، فإن الارتباط الساخن عادة ما يكون غير قانوني ويعطي الضحية مشكلات خطيرة ، حيث يتعين عليهم الدفع في كل مرة يتم فيها استرداد المحتوى من الخادم الخاص بهم عند عرضه على موقع ويب آخر.

لحدوث هذه الجرائم ، يحتاج المتسللون إلى اكتشاف ثغرات في أمان الموقع. تشمل نقاط الضعف الشائعة التي يبحث عنها المتسللون عند استهداف مواقع WordPress على الويب ما يلي:

  • المكونات الإضافية: تمثل المكونات الإضافية لجهات خارجية غالبية انتهاكات أمان WordPress. نظرًا لأن المكونات الإضافية يتم إنشاؤها بواسطة جهات خارجية ولها حق الوصول إلى الواجهة الخلفية لموقع الويب الخاص بك ، فهي قناة شائعة للمتسللين لتعطيل وظائف موقعك.
  • إصدارات WordPress القديمة: يقوم WordPress أحيانًا بإصدار إصدارات جديدة من برامجه لتصحيح الثغرات الأمنية. عندما تظهر الإصلاحات ، تصبح الثغرات الأمنية معرفة عامة ، وغالبًا ما يستهدف المتسللون مشاكل الإصدارات القديمة من WordPress.
  • صفحة تسجيل الدخول: صفحة تسجيل الدخول الخلفية لأي موقع WordPress افتراضيًا هي عنوان URL الرئيسي للموقع مع إضافة “/ wp-admin” أو “/wp-login.php” إلى النهاية. يمكن للمهاجمين العثور بسهولة على هذه الصفحة ومحاولة الدخول بالقوة الغاشمة.
  • السمات: نعم ، حتى سمة WordPress الخاصة بك يمكنها فتح موقعك للهجمات الإلكترونية. قد تكون السمات القديمة غير متوافقة مع أحدث إصدار من WordPress ، مما يتيح سهولة الوصول إلى ملفات المصدر الخاصة بك. أيضًا ، لا تتبع العديد من سمات الجهات الخارجية معايير WordPress الخاصة بالتعليمات البرمجية ، مما يتسبب في حدوث مشكلات في التوافق ونقاط ضعف مماثلة.

 

 

 

الآن بعد أن تجاوزنا الجزء المخيف ، دعنا نناقش ما يمكنك فعله لتقليل تهديد الهجوم الإلكتروني على موقع WordPress الخاص بك.

ينحصر أمان موقع الويب ، وأمن موقع WordPress على امتداده ، في اتباع مجموعة من أفضل الممارسات. ينطبق بعضها على جميع مواقع الويب بشكل عام (مثل كلمات المرور القوية والمصادقة الثنائية و SSL والجدران النارية) ، بينما ينطبق البعض الآخر بشكل خاص على مواقع WordPress (على سبيل المثال ، استخدام المكونات الإضافية الآمنة وموضوع WordPress الآمن).

للحفاظ على موقعك في أكثر حالاته أمانًا ، نوصي بالالتزام بأكبر قدر ممكن من أفضل الممارسات هذه. أولاً ، سنغطي أفضل الممارسات الأساسية. سنضيف بعد ذلك خطوات إضافية يمكنك اتخاذها إذا كان موقعك معرضًا للخطر بشكل خاص أو إذا كنت تريد المضي قدمًا إلى أبعد من ذلك.

أفضل ممارسات أمان WordPress

1. تأمين إجراءات تسجيل الدخول الخاصة بك.

الخطوة الأساسية لتأمين موقع الويب الخاص بك هي الحفاظ على حساباتك آمنة من محاولات تسجيل الدخول الضارة. لفعل هذا:

  • استخدم كلمات مرور قوية : كنا نعتقد أنه سيكون هناك سيارات طائرة في المستقبل ، ولكن اعتبارًا من هذا العام ، لا يزال الأشخاص يستخدمون “123456” ككلمة مرور . تأكد من أن جميع المستخدمين الذين لديهم حسابات على الواجهة الخلفية لـ WordPress يستخدمون كلمات مرور قوية لتسجيل الدخول. قد ترغب في استخدام أحد مديري كلمات المرور الموصى بهم لإنشاء كلمات مرور قوية وتتبعها من أجلك.
  • تمكين المصادقة ذات العاملين : تتطلب المصادقة الثنائية (2FA) من المستخدمين التحقق من تسجيل الدخول بجهاز ثانٍ. هذه واحدة من أبسط الأدوات وأكثرها فعالية لتأمين تسجيل الدخول الخاص بك.
  • لا تجعل أي اسم مستخدم للحساب “admin” : من المحتمل أن يكون هذا هو أول اسم مستخدم يقوم المهاجمون بتوصيله أثناء محاولة تسجيل الدخول باستخدام القوة الغاشمة. إذا قمت بالفعل بإنشاء مستخدم بهذا الاسم ، فقم بإنشاء حساب مسؤول جديد باسم مستخدم مختلف.
  • الحد من محاولات تسجيل الدخول : سيؤدي وضع حد لعدد المرات التي يقوم فيها المستخدم بإدخال بيانات اعتماد خاطئة في فترة زمنية معينة إلى منع المتسللين من فرض عملية تسجيل دخول غاشمة. قد تعتني بعض خدمات الاستضافة والجدران النارية بهذا الأمر نيابةً عنك ، ولكن يمكنك أيضًا تثبيت مكون إضافي مثل Limit Login Attempts للوظيفة.
  • إضافة كلمة التحقق : من المحتمل أنك رأيت ميزة الأمان هذه على العديد من مواقع الويب الأخرى. يضيفون طبقة إضافية من الأمان لتسجيل الدخول الخاص بك عن طريق التحقق من أنك بالفعل شخص حي. يمكنك استخدام المكونات الإضافية لإضافة captcha إلى موقعك. reCaptcha by BestWebSoft هو أحد الخيارات التي نوصي بها – راجع دليلنا لتمكين Google reCaptcha في WordPress .
  • تمكين تسجيل الخروج التلقائي : بينما يجب أن تتذكر تسجيل الخروج من حساب WP الخاص بك عند الانتهاء ، يمنع تسجيل الخروج التلقائي الغرباء من التطفل على حسابك إذا نسيت. لتمكين تسجيل الخروج التلقائي من حساب WordPress الخاص بك ، جرب المكون الإضافي Inactive Logout .

2. استخدم استضافة ووردبريس آمنة.

عند اختيار الخدمة التي تستضيف موقع الويب الخاص بك ، هناك العديد من العوامل التي يجب أخذها في الاعتبار ، ولكن يجب أن يكون الأمان أولوية قصوى. ضع في اعتبارك الخدمات التي اتخذت خطوات لحماية معلوماتك والتعافي الفوري في حالة حدوث هجوم. راجع قائمتنا لموفري استضافة WordPress الموصى بهم .

3. قم بتحديث إصدار WordPress الخاص بك.

تعد الإصدارات القديمة من برنامج WordPress هدفًا شائعًا جدًا للمتسللين. تأكد من التحقق بانتظام من تحديثات WordPress وتثبيتها في أقرب وقت ممكن للتخلص من نقاط الضعف الموجودة في الإصدارات القديمة.

لتحديث WordPress إلى أحدث إصدار ، قم أولاً بعمل نسخة احتياطية من موقعك وتحقق من توافق المكونات الإضافية مع أحدث إصدار من WordPress ، وقم بتحديث المكونات الإضافية وفقًا لذلك. يمكنك الرجوع إلى دليلنا حول كيفية تحديث مكونات WordPress الإضافية .

بعد تحديث الإضافات ، اتبع تعليمات التحديث على موقع WordPress الإلكتروني .

4. قم بالتحديث إلى أحدث إصدار من PHP.

تعد الترقية إلى أحدث إصدار من PHP واحدة من أهم الخطوات التي يمكنك اتخاذها للحفاظ على موقع WordPress الخاص بك آمنًا. عندما تكون الترقية جاهزة ، سيعلمك WordPress على لوحة التحكم الخاصة بك. سيطالبك بعد ذلك بالتوجه إلى حساب الاستضافة الخاص بك للترقية إلى أحدث إصدار من PHP. إذا لم يكن لديك حق الوصول إلى حساب الاستضافة الخاص بك ، فاتصل بمطور الويب الخاص بك للترقية.

5. تثبيت واحد أو أكثر من المكونات الإضافية للأمان.

نوصي بشدة بتثبيت واحد أو أكثر من مكونات الأمان ذات السمعة الطيبة على موقع الويب الخاص بك. تقوم هذه المكونات الإضافية بالكثير من الأعمال اليدوية المتعلقة بالأمان نيابة عنك ، بما في ذلك فحص موقع الويب الخاص بك بحثًا عن محاولات التسلل ، وتغيير ملفات المصدر التي قد تترك موقعك عرضة للتأثر ، وإعادة تعيين موقع WordPress واستعادته ، ومنع سرقة المحتوى مثل الارتباط السريع. 

أيًا كان المكون الإضافي (المكونات) الذي قررت تثبيته ، سواء كان متعلقًا بالأمان أم لا ، تأكد من أنه راسخ جيدًا وشرعيًا. راجع قائمة المكونات الإضافية للأمان الموصى بها في WordPress .

6. استخدم سمة WordPress آمنة.

تمامًا كما لا يجب عليك تثبيت مكون إضافي سطحي على موقعك ، قاوم الرغبة في استخدام أي سمة WordPress تبدو جيدة. لمنع الثغرات الأمنية التي تسببها سمة WordPress ، اختر واحدة متوافقة مع معايير WordPress.

للتحقق مما إذا كان المظهر الحالي الخاص بك يلبي متطلبات WordPress ، انسخ عنوان URL لموقع الويب الخاص بك (أو عنوان URL لأي موقع WordPress أو أي عرض توضيحي مباشر لأي سمة) في أداة التحقق من W3C . إذا وجدت أن المظهر الخاص بك غير متوافق ، فابحث عن سمة جديدة في دليل قوالب WordPress الرسمي . جميع السمات الموجودة في هذا الدليل متوافقة بأمان مع برنامج WordPress. بدلاً من ذلك ، راجع قائمة HubSpot الخاصة بموضوعات WordPress الموصى بها ، أو ابحث عن سوق آخر ذي مصداقية.

7. تمكين SSL / HTTPS.

SSL (طبقة المقابس الآمنة) هي تقنية تقوم بتشفير الاتصالات بين موقع الويب الخاص بك ومتصفحات الويب الخاصة بالزائرين ، مما يضمن أن حركة المرور بين موقعك وأجهزة الكمبيوتر الخاصة بزوارك في مأمن من الاعتراضات غير المرغوب فيها.

8. قم بتثبيت جدار حماية.

يوجد جدار حماية بين الشبكة التي تستضيف موقع WordPress الخاص بك وجميع الشبكات الأخرى ، ويمنع تلقائيًا حركة المرور غير المصرح بها من دخول شبكتك أو نظامك من الخارج. تعمل جدران الحماية على إبعاد الأنشطة الضارة عن موقعك عن طريق إزالة الاتصال المباشر بين شبكتك والشبكات الأخرى. 

نوصي بتثبيت مكون إضافي لجدار حماية تطبيقات الويب (WAF) لحماية موقع WordPress الخاص بك. مع CMS Hub ، سيأتي موقعك مع WAF داخل النظام الأساسي. كما هو الحال مع كل شيء آخر في هذه القائمة ، توخ الحذر بشأن نوع جدار الحماية والمكوِّن الإضافي الذي يعمل بشكل أفضل لاحتياجاتك قبل اتخاذ اختيارك.

9. قم بعمل نسخة احتياطية من موقع الويب الخاص بك.

التعرض للاختراق أمر سيء. فقدان كل المعلومات الخاصة بك هو أسوأ. تأكد من أن لديك معلومات موقع الويب الخاص بك مدعومة بواسطة WordPress ومضيفك في حالة حدوث هجوم (أو أي حادث آخر) يتسبب في فقدان البيانات. نوصي بأن تكون النسخ الاحتياطية تلقائية أيضًا. اطلع على قائمتنا لأفضل الإضافات الاحتياطية المتوفرة في WordPress.

10. إجراء فحوصات أمنية منتظمة لـ WordPress.

من الجيد إجراء فحوصات روتينية على موقعك. تهدف على الأقل مرة واحدة في الشهر. هناك العديد من المكونات الإضافية التي يمكنها فحص موقعك بحثًا عنك. فيما يلي المكونات الإضافية السبعة لبرنامج WordPress التي نوصي بها .

بمجرد اتخاذ هذه الخطوات الأساسية ، يمكنك بعد ذلك الانتقال إلى إجراءات أكثر تقدمًا لتأمين موقع WordPress الخاص بك.

أفضل ممارسات أمان WordPress المتقدمة

1. تصفية الأحرف الخاصة من مدخلات المستخدم.

إذا قبل أي جزء من موقع الويب الخاص بك ردًا من الزوار ، سواء كان نموذج دفع أو نموذج اتصال أو حتى قسم تعليق على منشور مدونة ، فهذه فرصة لهجوم XSS أو قاعدة بيانات. يمكن للمهاجمين إدخال تعليمات برمجية ضارة في أي من حقول النص هذه وتعطيل الواجهة الخلفية لموقع الويب الخاص بك.

لتجنب هذه المشكلة ، تأكد من تصفية الأحرف الخاصة من مدخلات المستخدم قبل معالجتها بواسطة موقعك وتخزينها في قاعدة بيانات. يمكنك أيضًا استخدام مكون إضافي لاكتشاف التعليمات البرمجية الضارة . بدلاً من ذلك ، يمكنك استخدام مكون إضافي لنموذج WordPress لتصفية هذه الأحرف تلقائيًا.

2. الحد من أذونات مستخدم WordPress.

إذا كان موقع WordPress الخاص بك يحتوي على حسابات مستخدمين متعددة ، فإننا نوصي بتغيير أدوار كل مستخدم لتقييد وصولهم إلى ما يحتاجون إليه فقط. يحتوي WordPress على ستة أدوار للاختيار من بينها لكل مستخدم. من خلال الحد من عدد المستخدمين الذين لديهم أذونات المسؤول ، فإنك تقلل من فرصة قيام المهاجم بشق طريقه إلى حساب المسؤول ، والحد من الضرر الذي يمكن أن يحدث إذا قام المهاجم بتخمين بيانات اعتماد المستخدم بشكل صحيح.

3. استخدم مراقبة WordPress.

إن وجود نظام مراقبة في موقع الويب الخاص بك سينبهك إلى أي نشاط مشبوه يحدث على موقعك. من الناحية المثالية ، كانت الإجراءات الأخرى التي اتخذتها ستمنع مثل هذا النشاط ، ولكن من الأفضل اكتشاف ذلك عاجلاً وليس آجلاً. يمكنك استخدام مكون إضافي لمراقبة WordPress للحصول على تنبيه في حالة حدوث خرق.

4. سجل نشاط المستخدم.

إليك طريقة أخرى للتغلب على المشكلات قبل حدوثها: قم بإنشاء سجل لجميع الأنشطة التي يقوم بها المستخدمون على موقع الويب الخاص بك ، وتحقق من هذا السجل بشكل دوري بحثًا عن أي نشاط مشبوه. بهذه الطريقة ، سترى ما إذا كان مستخدم آخر يتصرف بشكل مريب (على سبيل المثال ، محاولة تغيير كلمات المرور ، أو تغيير ملفات السمات أو المكونات الإضافية ، أو تثبيت أو إلغاء تنشيط المكونات الإضافية بدون إذن). تعد السجلات مفيدة أيضًا للتنظيف بعد الاختراق ، حيث توضح لك الخطأ الذي حدث ومتى.

هذا لا يعني أن جميع تغييرات كلمة المرور أو تعديلات الملفات هي دائمًا علامات على وجود مخترق بين فريقك. ومع ذلك ، إذا كنت تستخدم العديد من المساهمين الخارجيين ومنحهم أذونات الوصول ، فمن الأفضل دائمًا مراقبة الأمور.

تنشئ العديد من مكونات WordPress الإضافية سجلات للأنشطة ، وهناك العديد من مكونات التسجيل الإضافية المخصصة لـ WordPress مثل WP Activity Log أو المكون الإضافي المجاني Activity Log .

5. قم بتغيير عنوان URL الافتراضي لتسجيل الدخول إلى WordPress.

كما ذكرت ، من السهل العثور على عنوان URL الافتراضي لصفحة تسجيل الدخول إلى WordPress لأي موقع WordPress. الإضافات مثل WPS Hide Login تقوم بتغيير عنوان URL لصفحة تسجيل الدخول هذه من أجلك.

6. قم بتعطيل تحرير الملف في لوحة معلومات WordPress.

بشكل افتراضي ، يتيح WordPress للمسؤولين تحرير رمز ملفاتهم مباشرةً باستخدام محرر الشفرة. يمنح هذا المهاجمين طريقة سهلة لتغيير ملفاتك إذا تمكنوا من الوصول إلى حسابك. إذا لم يقم المكون الإضافي بتعطيل هذه الميزة بالفعل ، فيمكنك القيام ببعض الترميز الخفيف لتعطيله بنفسك. أضف الكود أدناه إلى نهاية الملف wp-config.php:

 

// Disallow file edits

define( ‘DISALLOW_FILE_EDIT’, true );

 

7. قم بتغيير بادئة ملف قاعدة البيانات.

تبدأ أسماء الملفات التي تشكل قاعدة بيانات WordPress الخاصة بك بـ “wp_” افتراضيًا. يستفيد المتسللون من هذا الإعداد لتحديد موقع ملفات قاعدة البيانات بالاسم وإجراء عمليات حقن SQL.

حل بسيط؟ غيّر البادئة إلى شيء مختلف ، مثل “wpdb_” أو “wptable_”. من الممكن ضبط هذا عند تثبيت WordPress CMS. إذا كان موقعك يعمل بالفعل مع هذا الإعداد ، فيمكنك إعادة تسمية هذه الملفات. في هذه الحالة ، نوصي بشدة باستخدام مكون إضافي للتعامل مع هذه العملية ، نظرًا لأن قاعدة البيانات الخاصة بك تخزن كل المحتوى الخاص بك وسيؤدي التهيئة الخاطئة إلى تعطيل موقع الويب الخاص بك. ابحث عن القدرة على تغيير بادئات الجدول بين ميزات مكون الأمان الإضافي المفضل لديك.

8. قم بتعطيل ملف xmlrpc.php الخاص بك.

XML-RPC هو بروتوكول اتصال يمكّن WordPress CMS من التفاعل مع تطبيقات الويب والجوال الخارجية. منذ دمج WordPress REST API ، يتم استخدام XML-RPC بشكل أقل بكثير مما كان عليه من قبل. ومع ذلك ، لا يزال البعض يستخدمه لشن هجمات قوية على مواقع WordPress.

وذلك لأن تقنية XML-RPC تتيح للمهاجمين إرسال طلبات تحتوي على مئات الأوامر ، مما يسهل تنفيذ هجمات القوة الغاشمة لتسجيل الدخول. يعد XML-RPC أيضًا أقل أمانًا من REST لأن طلباته تحتوي على بيانات اعتماد المصادقة التي يمكن استغلالها.

إذا كنت لا تستخدم XML-RPC ، فيمكنك تعطيل ملف xmlrpc.php. أولاً ، تحقق مما إذا كان موقعك يستخدم الملف. أدخل عنوان URL في مدقق XML-RPC للتحقق مما إذا كان موقعك يستخدم البروتوكول حاليًا. إذا لم يكن الأمر كذلك ، فإن أسهل طريقة لتعطيل هذا الملف هي باستخدام مكون إضافي مثل Disable XML-RPC-API . قد يكون المكون الإضافي للأمان في WordPress قادرًا أيضًا على القيام بذلك نيابة عنك.

9. ضع في اعتبارك حذف حساب مسؤول WordPress الافتراضي.

لقد ناقشنا تغيير اسم المستخدم “admin” لحساب مسؤول WordPress الافتراضي ، ولكن إذا كنت ترغب في اتخاذ خطوة إلى الأمام ، فتخلص من هذا الحساب الافتراضي تمامًا ، وقم بإنشاء حساب جديد بنفس أذونات المسؤول. هذه خطوة جيدة يجب اتخاذها إذا كنت تعتقد أنه تم اكتشاف اسم المستخدم وكلمة المرور الأصليين للمشرف.

10. ضع في اعتبارك إخفاء إصدار WordPress الخاص بك.

سيضمن إخفاء إصدار WordPress الخاص بك أن المتسللين لا يعرفون أن موقعك معرض للخطر. كما ورد سابقًا ، يجب عليك دائمًا التحديث إلى أحدث إصدار من WordPress. ولكن إذا لم تكن قد حصلت على الفرصة للقيام بذلك ، فمن الضروري إخفاء الثغرة الأمنية المحتملة. إليك برنامج تعليمي حول كيفية إخفاء إصدار WordPress الخاص بك . 

ماذا تفعل إذا تم اختراقك

لذلك ، لقد نفذت بعض أو كل الإجراءات المذكورة أعلاه ، والآن تريد أن تكون مستعدًا بشكل إضافي في حالة حدوث خطأ ما. أو حدث خطأ ما. في كلتا الحالتين ، إليك ما يجب فعله:

1. التزام الهدوء.

من الطبيعي أن تصاب بالذعر في هذه المواقف. فقط تذكر أن الخرق الأمني ​​يمكن أن يحدث لأي شخص. من الضروري الاحتفاظ برأس واضح حتى تتمكن من تحديد مصدر الاختراق والبدء في حله.

2. قم بتشغيل وضع الصيانة على موقع الويب الخاص بك.

يؤدي تقييد الوصول إلى موقعك إلى إبعاد الزائرين عن جانبك وآمنهم من الهجوم. افتح موقع الويب الخاص بك فقط عندما تكون واثقًا من أن الوضع تحت السيطرة.

3. ابدأ في إنشاء تقرير عن الحادث.

سجل كل التفاصيل ذات الصلة التي يمكن أن تساعد في حل المشكلة. وتشمل على سبيل المثال لا الحصر:

  • عندما اكتشفت المشكلة.
  • ما جعلك تعتقد أنك تعرضت للهجوم.
  • المظهر الحالي والمكونات الإضافية النشطة وموفر الاستضافة وموفر الشبكة.
  • أي تغييرات أجريتها مؤخرًا على موقع WordPress الخاص بك قبل الحادث.
  • سجل بإجراءاتك أثناء البحث عن المشكلة وحلها.

قم بتحديث هذا المستند عندما تتوفر المزيد من التفاصيل.

4. إعادة تعيين الوصول والأذونات.

قم بتغيير جميع كلمات مرور الحساب على موقع WordPress الخاص بك لمنع أي تغييرات أخرى في الموقع. بعد ذلك ، قم بفرض تسجيل الخروج لأي مستخدم ما زال يقوم بتسجيل الدخول.

يجب على جميع أصحاب الحسابات أيضًا التفكير بشدة في تحديث كلمات المرور على أجهزة العمل والأجهزة الشخصية الخاصة بهم ، بالإضافة إلى الحسابات الشخصية ، نظرًا لأنك لا تعرف على وجه اليقين ما الذي تمكن المهاجمون من الوصول إليه خارج موقع WordPress الخاص بك.

5. تشخيص المشكلة.

إما أن تبحث عن المشكلة بنفسك باستخدام مكون إضافي للأمان ، أو ، بناءً على حجم الهجوم ، استعن بمتخصص لتشخيص المشكلة وإصلاح موقعك. بغض النظر عن الطريقة التي تختارها ، قم بإجراء فحص أمني على موقعك والملفات المحلية لمسح أي ملفات ضارة متبقية أو تعليمات برمجية قد تركها المهاجمون ، واستعادة أي ملفات مفقودة.

6. مراجعة المواقع والقنوات ذات الصلة.

إذا كان لديك حسابات لأي نظام أساسي آخر على الإنترنت مرتبط بموقعك على الويب ، مثل حساب وسائل التواصل الاجتماعي أو موقع WordPress آخر ، فتحقق من هذه الأنظمة الأساسية لمعرفة ما إذا كانت قد تأثرت. قم بتغيير كلمات المرور الخاصة بك لهذه القنوات أيضًا.

7. إعادة تثبيت النسخ الاحتياطي والموضوعات والإضافات.

أعد تثبيت قالبك ومكوناتك الإضافية (تحقق مرة أخرى من أنها آمنة). إذا كان لديك نسخة احتياطية في مكانها ، فاستعد أحدث نسخة احتياطية قبل الحادث.

8. قم بتغيير كلمات المرور الخاصة بموقعك مرة أخرى.

نعم ، لقد قمت بإعادة تعيين جميع كلمات مرور WordPress من قبل ، ولكن كان من الممكن اختراق بيانات الاعتماد هذه أثناء قيامك بإصلاح المشكلة. يمكنك أبدا أن نكون حذرين للغاية.

9. تنبيه العملاء وأصحاب المصلحة.

بعد إعادة تشغيل موقعك وتشغيله مرة أخرى ، فكر جيدًا في التواصل مع عملائك لتنبيههم بالهجوم ، خاصةً إذا تم الوصول إلى المعلومات الشخصية وتسريبها. إنه الشيء الصحيح الذي يجب فعله ، وكن مستعدًا للردود السلبية من العملاء.

10. تأكد من عدم إدراج موقع الويب الخاص بك في القائمة السوداء بواسطة Google.

إذا تم إدراج موقع الويب الخاص بك في القائمة السوداء من قِبل Google نتيجة للهجوم ، فلن تحذر Google المستخدمين بمهارة من دخول موقع الويب الخاص بك:

صفحة تحذير Google Chrome باللون الأحمر تنبه المستخدمين إلى أن أحد مواقع الويب غير آمن

 

في حين أن القائمة السوداء ضرورية لإبعاد المستخدمين عن مواقع الويب الضارة ، إلا أنها ستخيف أيضًا معظم حركة المرور من موقعك الشرعي. لدى Sucuri أداة مجانية لفحص موقع الويب الخاص بك بحثًا عن حالة القائمة السوداء في Google.

11. اتبع أفضل الممارسات المذكورة أعلاه.

سوف يمنحك اتخاذ جميع الاحتياطات الممكنة للحد من احتمالية وقوع هجوم آخر بعض راحة البال. دعونا نأمل ألا يحدث شيء كهذا مرة أخرى. ولكن إذا حدث ذلك ، فستكون في حالة أفضل بكثير.

لا تأخذ الأمن كأمر مسلم به.

يطور مجرمو الإنترنت باستمرار طرقًا جديدة للاستفادة من تواجد الشركات عبر الإنترنت ضدهم ، ويعمل مهندسو الأمن دائمًا على تطوير أساليب جديدة لإيقافهم. هذه هي دورة الأمان المتغيرة باستمرار على الإنترنت ، وكلنا عالقون في المنتصف. ضع دائمًا في اعتبارك سلامة عملائك ، حتى لا يقلقهم شيء واحد.

ملاحظة: أي معلومات قانونية في هذا المحتوى تختلف عن المشورة القانونية ، حيث يطبق المحامي القانون على ظروفك الخاصة ، لذلك نصر على استشارة محامٍ إذا كنت ترغب في الحصول على المشورة بشأن تفسيرك لهذه المعلومات أو دقتها. . باختصار ، لا يجوز لك الاعتماد على هذا كمشورة قانونية أو كتوصية لأي فهم قانوني معين.

Mustafa AbdoAuthor posts

Avatar for Mustafa Abdo

أحب الكتابة عن التكنولوجيا والتجارة الإلكترونية والتسويق عبر الإنترنت. كنت أعمل كمسوق إنترنت بدوام كامل ، وأكسب المال بينما أعيش حياتي بشروطي الخاصة ، قمت أيضاً بتدريب الأشخاص الآخرين لتحقيق النجاح والربح من الإنترنت.

لا تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.