أمن ووردبريس: 20 طرق لحماية موقعك
أمن WordPress إنه موضوع قديم, واسع, وسيستمر ذلك في جعل الكثير من الحبر موضوعًا للعديد من المناقشات. والحقيقة هي أنه على الرغم من أن WordPress هو الحل المفضل لـإنشاء مواقع الويب, المدونات, وجميع أنواع المنصات عبر الإنترنت, سيستمر في الوقوع ضحية لهجمات مختلفة عبر الإنترنت.
يستخدم WordPress حاليًا حوالي 40 ٪ من الويب, هذا كثير من الناس وهذا العدد يميل إلى النمو, وهذا يعني أيضًا أن WordPress هو الحل الأكثر استخدامًا لإنشاء مواقع الويب وجميع أنواع المنشورات عبر الإنترنت. مع هذا المستوى من الشعبية يسحب انتباه الأولاد السيئين بسهولة.
وفقًا للبيانات ، عانى WordPress بالفعل من عدة هجمات المتسللين, استكشاف نقاط الضعف دائمًا في المكونات الإضافية, المواضيع, أو حتى من خلال الهجمات ، القوة الغاشمة من أجل الاستفادة من عدم وجود احتياطية لأصحاب المواقع الإلكترونية.
مع كل هذه الهجمات التي يعانيها WordPress ، يجب أن تتساءل عما إذا كان WordPress آمنًا, الحقيقة هي أن WordPress آمن نعم. مع فريقها الواسع من المطورين المكرس حصريًا للأمن ودعم مجتمع متحمس للغاية, الأمن هو شيء يأخذ WordPress على محمل الجد.
ولكن بعد ذلك يعاني من العديد من الهجمات? معظم الهجمات التي يعاني منها WordPress ليست بسبب المنصة نفسها, ولكن لأن الأشخاص الذين يستخدمون WordPress هم ليس لديهم عادات أمان. وبالتالي, قررت أن أكتب هذا المقال بهدف توجيهك من خلال إظهار عدة خطوات يمكنك اتخاذها لحماية موقعك وهزه.
#1 تغيير اسم المستخدم "مشرف"
بحكم التعريف يأتي WordPress باسم المستخدم"مسؤل", والمتسللون يعرفون هذا عندما يريدون مهاجمة موقع ويب في ووردبريس, أول شيء يفعلونه هو محاولة تخمين اسم المستخدم باستخدام"مسؤل", لذلك فإن الخطوة الأولى التي يجب أن تتخذها كتدبير أمان هي تغيير اسم المستخدم إلى شيء ليس من السهل تخمينه.
يُنصح أيضًا بعدم استخدام اسم موقعك كاسم مستخدم لأن هذا واضح وسهل التخمين أيضًا. إذا تمكن الأشخاص من اكتشاف اسم المستخدم ، فسيكونون بالفعل خطوة واحدة إلى الأمام حتى يتمكنوا من اختراق موقع الويب الخاص بهم.
#2 إنشاء كلمات مرور قوية
As senhas são o outro aspecto importante a ter em conta como medida de segurança do seu site. Muitos cometem o erro de usar senhas muito fracas e que sejam fáceis de adivinhar como por exemplo 12345, abcd, e coisas assim como essas que são óbvias. É importante saber que isso não são senhas.
A melhor coisa a fazer é criar senhas muito fortes usando a combinação de letras maiúsculas e minúsculas, أعداد, e caracteres especiais de modo a robustecer a sua senha e dificultar o acesso ao seu site. Por definição WordPress dá senhas muito fortes para si, você pode usar ferramentas como oLastpass انها ال1كلمة المرور para encriptar as suas senhas.
#3 Desabilitar a Edição de Ficheiros
يتيح لك WordPress بحكم التعريف تحرير ملفات الإضافات وموضوع موقعك من اللوحة الإدارية. لا, إذا تمكن المتسللون من اختراق موقعهم ، فإن المركز الأول لاستكشافهم سيكون هذه الملفات حيث سيقومون بإدراج الرموز الخبيثة. تحتاج إلى تعطيل تحرير هذه الملفات من خلال ملف wp-config.php, إدخال الرمز أدناه:
define( 'DISALLOW_FILE_EDIT', true );
#4 الحد من محاولات تسجيل الدخول
واحدة من التكتيكات المستخدمة من قبلالمتسللين لمهاجمة موقعك من خلال تكتيك يسمى اللغة الإنجليزيةالقوة الغاشمة atack, أو قوة الغاشمة في البرتغالية. يتكون هذا النوع من الهجوم من استخدام روبوتات لتخمين اسم المستخدم وكلمة المرور, e esses bots fazem isso por dezenas e até centenas de vezes seguindo um sequência de nomes e senhas pré-programadas para o efeito.
De modo a impedir que esses ataques continuem é limitar o número de tentativas delogins no seu site, isso é fácil de fazer usando um plugin como oمحاولات تسجيل الدخول إلى حدود WP. Esse plugin é grátis e pode encontrá-lo no directório de plugins do WordPress.
#5 Mudar o Prefixo da Base de Dados
A base de dados contém toda a informação e conteúdo do seu site, se alguém consegue ter acesso a ela terá também acesso a todo o seu conteúdo. E quem sabe o que essa pessoa poderá fazer com isso, mas o facto é que você não deve permitir que ninguém tenha acesso à sua base de dados.
طريقة واحدة لحماية قاعدة البيانات الخاصة بك هي تغيير البادئة إلى أي, يأتي ذلك بحكم التعريف مع WordPress. يمكنك تغيير هذا إلى بادئة أخرى ليس من السهل تخمينها.
#6 تعطيل تنفيذ ملفات PHP
يؤدي الحد من الوصول إلى ملفات PHP إلى إرسال المتسللين إلى ملفات PHP, ويمكن أن يحدث هذا إذا سمح مكون إضافي أو سمة إرسال ملف دون استخدام واجهة برمجة تطبيقات WordPress, السماح بإدراج رموز ضارة محتملة. لتعطيل تنفيذ ملفات PHP أدخل الرمز التالي في الملف.htaccess:
<دليل "/var/www/wp-content/uploads/"> <الملفات "*.بي أتش بي"> أمر ينكر,يسمح إنكار من الجميع </الملفات> </دليل>
#7 Desactivar XML-RPC
يسمح XML-RPC بتوصيل WordPress بهاتفك الذكي, Trackbacks هpingbacks عندما تشير مواقع أخرى إلى موقع الويب الخاص بك, ه jetpack. على الرغم من أنها وظيفة لها فائدتها لـ WordPress, يمكن للمتسللين استخدام هجمات القوة الغاشمة لاختراق موقعك, ذلك هو السبب, الخيار الأفضل هو تعطيل هذه الوظيفة.
يمكنك تعطيل هذه الوظيفة باستخدام البرنامج المساعدإيثيمز للأمن.
#8 تحديث WordPress
يقوم WordPress Core بإجراء تحديثات متكررة إما السلامة أو حتى التحديثات الرئيسية للإصدارات الجديدة, وكلما حدث هذا يترك بعض الثغرات وراء. إذا لم تكن معتادًا على تحديث WordPress لأحدث إصدار ، فستجعل موقعك ضعيفًا. E está provado que uma das principais razões porquê sites com WordPress são facilmente comprometidos é por falta de actualização.
ذلك هو السبب, é importante actualizar o seu site para a versão mais recente sempre que existir uma, não deixe o seu site vulnerável.
#9 Actualizar Plugins e Temas
Os temas e plugins também precisam de ser actualizados sempre que há uma nova actualização por fazer. Os autores de temas e plugins fazem constantes actualizações dos seus temas e plugins, quer seja para tapar alguma vulnerabilidade ou até mesmo para trazer novas funcionalidades. Por isso é importante que sempre que houver actualizações para temas e plugins você o faça.
#10 Remover Temas e Plugins Que Não Estiver a Usar
في بعض الأحيان ، توجد مواضيع ومكونات إضافية مثبتة على موقعك لا تستخدم, أفضل ما يجب فعله هو إلغاء تثبيت هذه المواضيع والإضافات. هذا لأنه أولاً ، لا يوجد من المنطقي تثبيتها على موقعك وأيضًا لأنها قد تحتوي على نقاط ضعف يمكن استكشافها من قبل المتسللين.
لذلك, أفضل ما يجب فعله هو إلغاء تثبيت جميع الموضوعات والمكونات الإضافية التي لا تستخدم.
#11 تجنب تثبيت السمات والمكونات الإضافية من أماكن غير معروفة
الأماكن الوحيدة التي يجب أن تقوم بتنزيلها والمكونات الإضافية هي دليل ووردبريس ودليل الإضافات, وهو المكان الرسمي وإذا كان الحال في الوكالة التي اشتريت فيها المكون الإضافي. خارج ذلك يتجنب التنزيل و الإضافات Instalar ه المواضيع أماكن غير معروفة, muitas vezes esses temas e plugins contém linhas de códigos suspeitos que podem comprometer o seu site. لذلك, seja prudente.
#12 Usar Certificado SSL
O uso de certificado SSL é de extrema importância para a segurança do seu site. Google por exemplo começou a penalizar sites que não tem o certificado SSL. Enquanto que antes este tipo de certificados era importante para encriptar informação de dados em sites de venda por exemplo, esse já não é o caso. Para Google todos os sites tem que ter o certificado SSL.
Isso também é muito bom para a segurança do seu site porque força a quem quer que seja a aceder o seu site através do protocolo https. O que é muito bom.
#13 Dar Acesso à Administração a Pessoas Confiáveis
لا ينبغي إعطاء الوصول إلى المنطقة الإدارية لموقعك لأي شخص, يجب على الأشخاص الذين تثق بهم فقط ومن هم مديرو الموقع الوصول إلى المنطقة الإدارية. وإلا فقط يتيح الوصول إلى المناطق المقيدة في الموقع.
#14 استخدم مصادقة عاملين
تعد مصادقة عاملين واحدة من أكثر الطرق فعالية لحماية موقعك, مع هذا النوع من المصادقة ، الشخص الذي يصل إلى الموقع باستخدام كلمة المرور المتبعة لمسألة مسألة, رمز سري, أو سلسلة من الشخصيات, سيتم تحديد هذا مسبقًا من قبل المالك.
#15 حماية الملفwp-config.php
الملفwp-config.php é o ficheiro mais importante do seu site, ele contém informação da sua base de dados, اسم المستخدم, e também a sua senha. Se alguém tiver acesso a esse ficheiro então todo o seu site estará comprometido, porque ele é que é a entrada para o seu site. ذلك هو السبب, é importante protegê-lo de modo a que ninguém tenha acesso a esse ficheiro a não ser você.
Para proteger o ficheiro insira esse código no ficheiro.htaccess:
- # Protect wp-config Apache 2.2
- <files wp-config.php>
- order allow,deny
- deny from all
- </files>
- #Protect wp-config Apache 2.4
- <Files “wp-config.php”>
- Require all denied
- Require ip 1.1.1.1
- </الملفات>
#16 Excluir Arquivos Desnecessários do Core
Toda a instalação de WordPress contém alguns arquivos que por definição são apenas usados no momento da instalação, e outros contém apenas informação sobre o WordPress. Para além disso esses arquivos não tem nenhuma outra função no seu site e não são necessários. ذلك هو السبب, a melhor coisa que pode fazer é excluí-los do seu site.
Os arquivos que deve excluir do seu site são os seguintes:
- /wp-config-sample.php
- /readme.html
- /license.txt
- /wp-admin/install.php
#17 Instalar Um Plugin de Segurança
Existem vários plugins de segurança que pode usar para proteger o seu site, eu uso e recomendo oإيثيمز للأمن. Muitas das tácticas que recomendo neste artigo como limitar o número de logins, esconder ficheiros, alterar a página de logins, e outros podem se fazer através deste plugin.
Este plugin é grátis e você pode baixar no directório de plugins do WordPress, ele também tem uma versão paga mas muitas das funcionalidades para a proteção do seu site podem ser feitas com a versão grátis.
#18 Esconda a Página de Login de WordPress
A página de logins de WordPress éwp-admin, أوlogin.php, toda gente que usa WordPress sabe disso, e principalmente os hackers. O que você tem que fazer é alterar o nome da página de login, usando uma outra página que não sejam essas duas. Assim estará dificultando ainda mais a tarefa daqueles que querem invadir o seu site, plugins como Ithemes Security permitem fazer isso com relativa facilidade.
#19 Faça Backups Regulares
Fazer backups regulares do seu site é uma das principais regras de proteção e prevenção contra ataques. Na verdade os backups não servem para prevenir ataques, mas servem como mais uma camada de segurança no caso do seu site for comprometido. É importante criar backups regulares da base de dados e também de todos os ficheiros no seu site, usando plugins como BackupBuddy ه تحديثات torna a sua tarefa fácil.
É aconselhável fazer backups do seu site no mínimo uma a duas vezes por semana.
#20 Remova a Versão do WordPress
A versão do WordPress que estiver a usar é visível a qualquer pessoa que procurar e estiver interessado em saber. O que acontece é que se estiver a usar uma versão com vulnerabilidades conhecidas, os hackers podem tirar proveito disso para penetrar o seu site.
É possível remover a versão do WordPress usando grande parte dos plugins de segurança, com o إيثيمز للأمن também pode fazer isso.
استنتاج
Como pode perceber através deste artigo a segurança para WordPress é algo que deve levar a sério se quiser evitar com que o seu site seja atacado. O seu site poder não ter sido penetrado hoje, mas não significa que um dia não será atacado, quanto mais popular o seu site se tornar, mais vulnerável a ataques será.
أنت المتسللين gostam de sites populares, por isso é importante que siga esses passos para proteger o seu site contra ataques e tenha um site seguro. Melhor é prevenir do que remediar, لذا, poderá descansar em paz e sem temor do que poderá acontecer com o seu site. Seja seguro e aplique todas as regras de segurança para proteger o seu site.
