|

أمن ووردبريس: 20 طرق لحماية موقعك

بواسطةإدغار شوك

أمن WordPress إنه موضوع قديم, واسع, وسيستمر ذلك في جعل الكثير من الحبر موضوعًا للعديد من المناقشات. والحقيقة هي أنه على الرغم من أن WordPress هو الحل المفضل لـإنشاء مواقع الويب, المدونات, وجميع أنواع المنصات عبر الإنترنت, سيستمر في الوقوع ضحية لهجمات مختلفة عبر الإنترنت.

يستخدم WordPress حاليًا حوالي 40 ٪ من الويب, هذا كثير من الناس وهذا العدد يميل إلى النمو, وهذا يعني أيضًا أن WordPress هو الحل الأكثر استخدامًا لإنشاء مواقع الويب وجميع أنواع المنشورات عبر الإنترنت. مع هذا المستوى من الشعبية يسحب انتباه الأولاد السيئين بسهولة.

وفقًا للبيانات ، عانى WordPress بالفعل من عدة هجمات المتسللين, استكشاف نقاط الضعف دائمًا في المكونات الإضافية, المواضيع, أو حتى من خلال الهجمات ، القوة الغاشمة من أجل الاستفادة من عدم وجود احتياطية لأصحاب المواقع الإلكترونية.

مع كل هذه الهجمات التي يعانيها WordPress ، يجب أن تتساءل عما إذا كان WordPress آمنًا, الحقيقة هي أن WordPress آمن نعم. مع فريقها الواسع من المطورين المكرس حصريًا للأمن ودعم مجتمع متحمس للغاية, الأمن هو شيء يأخذ WordPress على محمل الجد.

ولكن بعد ذلك يعاني من العديد من الهجمات? معظم الهجمات التي يعاني منها WordPress ليست بسبب المنصة نفسها, ولكن لأن الأشخاص الذين يستخدمون WordPress هم ليس لديهم عادات أمان. وبالتالي, قررت أن أكتب هذا المقال بهدف توجيهك من خلال إظهار عدة خطوات يمكنك اتخاذها لحماية موقعك وهزه.

#1 تغيير اسم المستخدم "مشرف"

بحكم التعريف يأتي WordPress باسم المستخدم"مسؤل", والمتسللون يعرفون هذا عندما يريدون مهاجمة موقع ويب في ووردبريس, أول شيء يفعلونه هو محاولة تخمين اسم المستخدم باستخدام"مسؤل", لذلك فإن الخطوة الأولى التي يجب أن تتخذها كتدبير أمان هي تغيير اسم المستخدم إلى شيء ليس من السهل تخمينه.

يُنصح أيضًا بعدم استخدام اسم موقعك كاسم مستخدم لأن هذا واضح وسهل التخمين أيضًا. إذا تمكن الأشخاص من اكتشاف اسم المستخدم ، فسيكونون بالفعل خطوة واحدة إلى الأمام حتى يتمكنوا من اختراق موقع الويب الخاص بهم.

#2 إنشاء كلمات مرور قوية

تعد كلمات المرور جانبًا مهمًا آخر يجب أخذه في الاعتبار كإجراء أمني لموقعك على الويب. يخطئ الكثير من الأشخاص في استخدام كلمات مرور ضعيفة جدًا يسهل تخمينها، مثل 12345, اي بي سي دي, وأشياء من هذا القبيل واضحة. من المهم أن تعرف أن هذه ليست كلمات مرور.

أفضل ما يمكنك فعله هو إنشاء كلمات مرور قوية جدًا باستخدام مجموعة من الأحرف الكبيرة والصغيرة, أعداد, وأحرف خاصة من أجل تعزيز كلمة المرور الخاصة بك وجعل الوصول إلى موقع الويب الخاص بك أكثر صعوبة. حسب التعريف، يمنحك WordPress كلمات مرور قوية جدًا, يمكنك استخدام أدوات مثلالمرور الأخير انها ال1كلمة المرور لتشفير كلمات المرور الخاصة بك.

#3 تعطيل تحرير الملف

يتيح لك WordPress بحكم التعريف تحرير ملفات الإضافات وموضوع موقعك من اللوحة الإدارية. لا, إذا تمكن المتسللون من اختراق موقعهم ، فإن المركز الأول لاستكشافهم سيكون هذه الملفات حيث سيقومون بإدراج الرموز الخبيثة. تحتاج إلى تعطيل تحرير هذه الملفات من خلال ملف wp-config.php, إدخال الرمز أدناه:

define( 'DISALLOW_FILE_EDIT', true );

#4 الحد من محاولات تسجيل الدخول

واحدة من التكتيكات المستخدمة من قبلالمتسللين لمهاجمة موقعك من خلال تكتيك يسمى اللغة الإنجليزيةالقوة الغاشمة atack, أو قوة الغاشمة في البرتغالية. يتكون هذا النوع من الهجوم من استخدام روبوتات لتخمين اسم المستخدم وكلمة المرور, وتقوم هذه الروبوتات بذلك عشرات بل مئات المرات باتباع سلسلة من الأسماء وكلمات المرور المبرمجة مسبقًا لهذا الغرض.

ولمنع استمرار هذه الهجمات، قم بتحديد عدد المحاولاتتسجيلات الدخول على موقع الويب الخاص بك, من السهل القيام بذلك باستخدام مكون إضافي مثلمحاولات تسجيل الدخول إلى حدود WP. هذا البرنامج المساعد مجاني ويمكنك العثور عليه في دليل البرنامج المساعد ووردبريس.

#5 تغيير بادئة قاعدة البيانات

تحتوي قاعدة البيانات على جميع المعلومات والمحتوى الموجود على موقع الويب الخاص بك, إذا كان بإمكان شخص ما الوصول إليه، فسيكون بإمكانه أيضًا الوصول إلى جميع محتوياته.. ومن يدري ماذا قد يفعل هذا الشخص بها؟, ولكن الحقيقة هي أنه يجب ألا تسمح لأي شخص بالوصول إلى قاعدة البيانات الخاصة بك.

طريقة واحدة لحماية قاعدة البيانات الخاصة بك هي تغيير البادئة إلى أي, يأتي ذلك بحكم التعريف مع WordPress. يمكنك تغيير هذا إلى بادئة أخرى ليس من السهل تخمينها.

#6 تعطيل تنفيذ ملفات PHP

يؤدي الحد من الوصول إلى ملفات PHP إلى إرسال المتسللين إلى ملفات PHP, ويمكن أن يحدث هذا إذا سمح مكون إضافي أو سمة إرسال ملف دون استخدام واجهة برمجة تطبيقات WordPress, السماح بإدراج رموز ضارة محتملة. لتعطيل تنفيذ ملفات PHP أدخل الرمز التالي في الملف.htaccess:

<دليل "/var/www/wp-content/uploads/">

<الملفات "*.بي أتش بي">

أمر ينكر,يسمح

إنكار من الجميع

</الملفات>

</دليل>

#7 Desactivar XML-RPC

يسمح XML-RPC بتوصيل WordPress بهاتفك الذكي, Trackbacks هpingbacks عندما تشير مواقع أخرى إلى موقع الويب الخاص بك, ه jetpack. على الرغم من أنها وظيفة لها فائدتها لـ WordPress, يمكن للمتسللين استخدام هجمات القوة الغاشمة لاختراق موقعك, ذلك هو السبب, الخيار الأفضل هو تعطيل هذه الوظيفة.

يمكنك تعطيل هذه الوظيفة باستخدام البرنامج المساعدإيثيمز للأمن.

#8 تحديث WordPress

يقوم WordPress Core بإجراء تحديثات متكررة إما السلامة أو حتى التحديثات الرئيسية للإصدارات الجديدة, وكلما حدث هذا يترك بعض الثغرات وراء. إذا لم تكن معتادًا على تحديث WordPress لأحدث إصدار ، فستجعل موقعك ضعيفًا. وقد ثبت أن أحد الأسباب الرئيسية لاختراق مواقع WordPress بسهولة يرجع إلى نقص التحديثات..

ذلك هو السبب, من المهم تحديث موقع الويب الخاص بك إلى الإصدار الأحدث كلما كان هناك, لا تترك موقع الويب الخاص بك عرضة للخطر.

#9 تحديث الإضافات والموضوعات

يجب أيضًا تحديث السمات والمكونات الإضافية عندما يكون هناك تحديث جديد. يقوم مؤلفو السمات والمكونات الإضافية بتحديث السمات والمكونات الإضافية الخاصة بهم باستمرار, سواء لتغطية ثغرة أمنية أو حتى لجلب ميزات جديدة. ولهذا السبب من المهم أن تفعل ذلك كلما كانت هناك تحديثات للقوالب والمكونات الإضافية..

#10 قم بإزالة السمات والمكونات الإضافية التي لا تستخدمها

في بعض الأحيان ، توجد مواضيع ومكونات إضافية مثبتة على موقعك لا تستخدم, أفضل ما يجب فعله هو إلغاء تثبيت هذه المواضيع والإضافات. هذا لأنه أولاً ، لا يوجد من المنطقي تثبيتها على موقعك وأيضًا لأنها قد تحتوي على نقاط ضعف يمكن استكشافها من قبل المتسللين.

لذلك, أفضل ما يجب فعله هو إلغاء تثبيت جميع الموضوعات والمكونات الإضافية التي لا تستخدم.

#11 تجنب تثبيت السمات والمكونات الإضافية من أماكن غير معروفة

الأماكن الوحيدة التي يجب أن تقوم بتنزيلها والمكونات الإضافية هي دليل ووردبريس ودليل الإضافات, وهو المكان الرسمي وإذا كان الحال في الوكالة التي اشتريت فيها المكون الإضافي. خارج ذلك يتجنب التنزيل و الإضافات Instalar ه المواضيع أماكن غير معروفة, غالبًا ما تحتوي هذه السمات والمكونات الإضافية على أسطر مشبوهة من التعليمات البرمجية التي يمكن أن تهدد موقع الويب الخاص بك.. لذلك, كن حذرا.

#12 استخدم شهادة SSL

يعد استخدام شهادة SSL أمرًا في غاية الأهمية لأمن موقع الويب الخاص بك. بدأت جوجل، على سبيل المثال، في معاقبة المواقع التي لا تملك شهادة SSL. حيث أنه في السابق كان هذا النوع من الشهادات مهمًا لتشفير معلومات البيانات في مواقع البيع على سبيل المثال, لم يعد هذا هو الحال. بالنسبة إلى Google، يجب أن تحتوي جميع مواقع الويب على شهادة SSL.

يعد هذا أيضًا أمرًا جيدًا جدًا لأمان موقع الويب الخاص بك لأنه يجبر أي شخص على الوصول إلى موقع الويب الخاص بك عبر بروتوكول https.. وهو أمر جيد جدا.

#13 منح الإدارة حق الوصول إلى الأشخاص الموثوق بهم

لا ينبغي إعطاء الوصول إلى المنطقة الإدارية لموقعك لأي شخص, يجب على الأشخاص الذين تثق بهم فقط ومن هم مديرو الموقع الوصول إلى المنطقة الإدارية. وإلا فقط يتيح الوصول إلى المناطق المقيدة في الموقع.

#14 استخدم مصادقة عاملين

تعد مصادقة عاملين واحدة من أكثر الطرق فعالية لحماية موقعك, مع هذا النوع من المصادقة ، الشخص الذي يصل إلى الموقع باستخدام كلمة المرور المتبعة لمسألة مسألة, رمز سري, أو سلسلة من الشخصيات, سيتم تحديد هذا مسبقًا من قبل المالك.

#15 حماية الملفwp-config.php

الملفwp-config.php هو الملف الأكثر أهمية على موقع الويب الخاص بك, أنه يحتوي على معلومات من قاعدة البيانات الخاصة بك, اسم المستخدم, وأيضا كلمة المرور الخاصة بك. إذا تمكن شخص ما من الوصول إلى هذا الملف، فسيتم اختراق موقع الويب الخاص بك بالكامل., لأنه المدخل إلى موقع الويب الخاص بك. ذلك هو السبب, من المهم حمايته حتى لا يتمكن أحد من الوصول إلى هذا الملف سواك.

لحماية الملف، أدخل هذا الرمز في الملف.htaccess:

  1. # حماية wp-config أباتشي 2.2
  2. <ملفات wp-config.php>
  3. يسمح النظام,ينكر
  4. أنكر من الجميع
  5. </ملفات>
  6. #حماية wp-config أباتشي 2.4
  7. <الملفات "wp-config.php">
  8. تتطلب كل رفض
  9. تتطلب الملكية الفكرية 1.1.1.1
  10. </الملفات>

#16 حذف الملفات الأساسية غير الضرورية

يحتوي كل تثبيت WordPress على بعض الملفات التي يتم استخدامها فقط في وقت التثبيت., والبعض الآخر يحتوي فقط على معلومات حول WordPress. علاوة على ذلك، ليس لهذه الملفات أي وظيفة أخرى على موقع الويب الخاص بك وليست ضرورية. ذلك هو السبب, أفضل شيء يمكنك القيام به هو حذفها من موقع الويب الخاص بك.

الملفات التي يجب عليك استبعادها من موقع الويب الخاص بك هي كما يلي:

  • /wp-config-sample.php
  • /readme.html
  • /License.txt
  • /wp-admin/install.php

#17 تثبيت البرنامج المساعد للأمان

هناك العديد من المكونات الإضافية للأمان التي يمكنك استخدامها لحماية موقع الويب الخاص بك, أنا استخدم والتوصيةإيثيمز للأمن. العديد من الأساليب التي أوصي بها في هذه المقالة، مثل الحد من عدد عمليات تسجيل الدخول،, إخفاء الملفات, تغيير صفحة تسجيل الدخول, وغيرها يمكن القيام بها من خلال هذا البرنامج المساعد.

هذا البرنامج المساعد مجاني ويمكنك تنزيله من دليل البرنامج المساعد في WordPress, ele também tem uma versão paga mas muitas das funcionalidades para a proteção do seu site podem ser feitas com a versão grátis.

#18 Esconda a Página de Login de WordPress

A página de logins de WordPress éwp-admin, أوlogin.php, toda gente que usa WordPress sabe disso, e principalmente os hackers. O que você tem que fazer é alterar o nome da página de login, usando uma outra página que não sejam essas duas. Assim estará dificultando ainda mais a tarefa daqueles que querem invadir o seu site, plugins como Ithemes Security permitem fazer isso com relativa facilidade.

#19 Faça Backups Regulares

Fazer backups regulares do seu site é uma das principais regras de proteção e prevenção contra ataques. Na verdade os backups não servem para prevenir ataques, mas servem como mais uma camada de segurança no caso do seu site for comprometido. É importante criar backups regulares da base de dados e também de todos os ficheiros no seu site, usando plugins como BackupBuddy ه تحديثات يجعل مهمتك سهلة.

يُنصح بعمل نسخ احتياطية لموقع الويب الخاص بك مرة أو مرتين على الأقل في الأسبوع.

#20 إزالة نسخة ووردبريس

إن إصدار WordPress الذي تستخدمه مرئي لأي شخص يبحث ويهتم بمعرفته. ما يحدث هو أنه إذا كنت تستخدم إصدارًا به نقاط ضعف معروفة, يمكن للمتسللين الاستفادة من هذا لاختراق موقع الويب الخاص بك.

من الممكن إزالة إصدار WordPress باستخدام معظم المكونات الإضافية للأمان, مع إيثيمز للأمن يمكنك القيام بذلك أيضًا.

استنتاج

كما ترون من هذه المقالة، فإن أمان WordPress هو شيء يجب أن تأخذه على محمل الجد إذا كنت تريد منع تعرض موقع الويب الخاص بك للهجوم.. ربما لم يتم اختراق موقع الويب الخاص بك اليوم, mas não significa que um dia não será atacado, quanto mais popular o seu site se tornar, mais vulnerável a ataques será.

أنت المتسللين gostam de sites populares, por isso é importante que siga esses passos para proteger o seu site contra ataques e tenha um site seguro. Melhor é prevenir do que remediar, لذا, poderá descansar em paz e sem temor do que poderá acontecer com o seu site. كن آمنًا وقم بتطبيق جميع قواعد الأمان لحماية موقع الويب الخاص بك.

إدغار شوك هو مؤسس ومحرر Tecnofala. لديها شغف لإنتاج محتوى تعليمي عالي الجودة, هو سفير وسفير WordPress رائع, والتسويق الرقمي بشكل عام. لديه شغف بتعليم الناس كيفية إنشاء الأعمال التجارية عبر الإنترنت.

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني. الحقول المطلوبة محددة *

يستخدم هذا الموقع Akismet لتقليل البريد العشوائي. تعرف على كيفية معالجة بيانات تعليقك.