وورد الأمن – 24 نصائح لتأمين موقع الويب الخاص بك من المتسللين

04.06.2020
نکات و ترفندهای سرعت وردپرس 'وورد الأمن – 24 نصائح لتأمين موقع الويب الخاص بك من المتسللين
0 138 мин.

يجب أن يكون أمان WordPress هو الأولوية الأولى عند إدارة موقع الويب. أنت تصمم موقعك على الويب ، وتنشر المحتوى ، وتبيع المنتجات عبر الإنترنت ، ولكن إذا لم تأخذ أمن WordPress على محمل الجد ، فيمكن اختراق موقعك في أي وقت. 


كل يوم يتم اختراق 30000 موقع ويب ويتم إدراج أكثر من 2000 موقع في القائمة السوداء بواسطة Google. انت لست استثناء إذا كان من الممكن اختراق موقع إلكتروني حكومي ، فلماذا لا يتم اختراق موقعك?

في صباح أحد الأيام ، استيقظت ورأيت أن موقع WordPress الخاص بك لا يمكن الوصول إليه ورؤية رسائل عشوائية مثل,

“تم اختراق موقع الويب الخاص بك بواسطة xyz” – تم اختراق الموقع

“يحتوي الموقع التالي على برامج ضارة” – مدرجة في القائمة السوداء بواسطة Google

هذا هو أسوأ شيء يمكن أن تواجهه على موقع الويب الخاص بك.

ولكن ، لماذا وورد?

يعمل WordPress على تشغيل أكثر من 31٪ (80 مليون) من إجمالي مواقع الويب على الويب. بالنسبة الى W3Techs, يحتوي WordPress على 60٪ من حصة سوق CMS أكثر من المنصات الأخرى ، وهو سبب قوي جدًا لجذب المتسللين.

لكن لا داعي للذعر. يعتبر Hardening WordPress Security أمرًا سهلاً للغاية ويمكنك القيام بذلك أيضًا.

في هذه المقالة ، سأشارك 24 أفضل نصائح أمان WordPress لحماية موقعك على الويب من المتسللين والبرامج الضارة.

“لماذا لا تختفي البوابة إلى قصرك قبل أن يكتشفوها؟” – WPMyWeb

Contents

مشكلات أمان WordPress الشائعة

قبل أن نتعمق في أفضل ممارسات أمان WordPress ، دعنا نفهم أولاً بعض مشكلات أمان WordPress الشائعة.

يعتقد العديد من المستخدمين أن WordPress ليس نظامًا أساسيًا آمنًا للاستخدام في الأعمال التجارية ، وهذا ليس صحيحًا على الإطلاق. ويرجع ذلك إلى نقص المعرفة بأمان WordPress ، وإدارة النظام السيئة ، باستخدام برامج WordPress والمكونات الإضافية القديمة وما إلى ذلك..

يفترض العديد من مبتدئي WordPress أن إنشاء موقع ويب هو النهاية ولا يتطلب أي صيانة أمنية. هذه هي الطريقة التي تترك بها موقعك عرضة للخطر.

بمجرد أن يجد المخترقون ضعفًا في موقعك ، يمكنهم بسهولة استغلال موقعك.

دعنا نتحقق من بعض مشكلات أمان WordPress الشائعة.

1. هجمات القوة الغاشمة: 

في هجوم القوة الغاشمة ، يتم استخدام برنامج نصي آلي لإنشاء مجموعات مختلفة من أسماء المستخدمين وكلمات المرور. يستخدم Hacker صفحة تسجيل الدخول إلى WordPress لتنفيذ هجوم القوة الغاشمة. 

إذا كنت تستخدم اسم مستخدم وكلمة مرور بسيطة ، فقد تكون الضحية التالية لهذا الهجوم.

2. البرمجة النصية عبر المواقع (XSS):

البرمجة عبر المواقع هي نوع من الهجوم حيث يقوم المهاجمون بحقن كود / سكريبت ضار على موقع موثوق به. طريقة الاختراق هذه غير مرئية تمامًا للمستخدمين الذين يتصفحون الموقع.

يتم تحميل هذه البرامج النصية الضارة بشكل مجهول وسرقة المعلومات من متصفح المستخدمين. حتى إذا قام المستخدم بإدخال أي بيانات في أي شكل ، فقد يتم سرقة البيانات.

3. حقن SQL:

يستخدم WordPress قاعدة بيانات MySQL لتخزين معلومات المدونة.

يحدث إدخال SQL عندما يتمكن المتسللون من الوصول إلى قاعدة بيانات WordPress. من خلال اختراق قاعدة بيانات WordPress ، يمكن للمتسللين إنشاء حساب مشرف جديد مع وصول كامل إلى موقعك.

يمكنهم أيضًا إدراج البيانات في قاعدة بيانات MySQL وإضافة روابط إلى مواقع الويب الضارة أو غير المرغوب فيها.

4. الأبواب الخلفية:

باسم “الباب الخلفي” ، يمكنك فهم ما يعنيه. 

Backdoor هي طريقة قرصنة تسمح للمتسللين بدخول موقع ويب عن طريق تجاوز عملية المصادقة العادية وحتى البقاء دون اكتشاف من مالك موقع الويب.

بعد اختراق أحد مواقع الويب ، عادة ما يترك المتسللون بصماتهم ، حتى يتمكنوا من الوصول إلى موقع الويب حتى تتم إزالة الاختراق.

5. فارما المأجورون:

WordPress Pharma hacks هو نوع من المحتوى غير المرغوب فيه على موقع الويب الذي يملأ نتائج محرك البحث بمحتوى صيدلية غير مرغوب فيه محظور على الويب مثل Viagra و Nexium و Cialis إلخ.

على عكس عمليات اختراق WordPress الأخرى ، لا تظهر نتائج اختراق pharma إلا لمحركات البحث. لذلك لا يمكنك اكتشاف الاختراق بمجرد عرض موقع الويب أو شفرة المصدر.

انتقل إلى Google واكتب site: domain.com. إذا أظهرت نتائج البحث محتوى موقعك على الويب (وليس محتوى الصيدلة) ، فلن يتأثر موقعك باختراق الأدوية.

الهدف من هذا الاختراق هو استغلال الصفحات الأكثر قيمة من خلال تجاوز علامة العنوان بروابط ضارة. ناهيك عن أنه إذا لم تقم بفحص الأمر مبكرًا ، فيمكن لمحركات البحث مثل Google و Bing إدراج موقعك على الويب في القائمة السوداء لتوفير محتوى ضار.

6. عمليات إعادة التوجيه الخبيثة:

تعد إعادة توجيه WordPress الخبيثة نوعًا من الاختراق حيث تتم إعادة توجيه زوار موقعك تلقائيًا إلى مواقع غير مرغوب فيها مثل المقامرة والمواقع الإباحية والمواعدة. يحدث هذا الاختراق عندما يتم حقن شفرة ضارة في ملف أو قاعدة بيانات موقع الويب الخاص بك.

إذا كان موقعك يعيد توجيه الزائرين إلى مواقع غير قانونية أو ضارة ، فمن المحتمل أن يتم إدراج موقعك في القائمة السوداء بواسطة Google.

لماذا يعتبر WordPress Security مهمًا?

يمثل موقع الويب الخاص بك علامتك التجارية ، عملك ، والأهم من ذلك الاتصال الأول مع عملائك.

ربما استغرقت عدة سنوات مع الكثير من الجهود للوقوف على عملك وزيادة حركة المرور الخاصة بك. يحب جمهورك مقالاتك ويثقون بمنتجاتك ، ولهذا يبقون على اتصال معك.

إذا كان موقع WordPress الخاص بك غير آمن ، فهناك العديد من الطرق التي سيتأثر بها كل من موقعك وعملائك. يمكن للمتسللين سرقة المعلومات الشخصية للمستخدم وكلمات المرور وتفاصيل بطاقة الائتمان ومعلومات المعاملات ويمكنهم توزيع البرامج الضارة على المستخدمين.

إذا تم اختراق موقعك ، فستلاحظ أن حركة المرور الخاصة بك تنخفض بشكل كبير. علاوة على ذلك ، ستدرج Google موقعك على الويب.

وفقا ل مدونة جوجل, يزداد عدد المواقع المخترقة بنسبة 20٪ تقريبًا في عام 2016 مقارنة بعام 2015.

في دراسة Securi التقارير تقوم Google بوضع قوائم سوداء على أكثر من 10000 موقع ويب كل يوم.

إذا كنت جادًا بشأن عملك ، فأنت بحاجة إلى إيلاء اهتمام إضافي لأمان WordPress الخاص بك.

وورد الأمن

أفضل دليل أمان WordPress

  1. احصل على استضافة WordPress جيدة
  2. حافظ على تحديث إصدار WordPress
  3. لا تستخدم أي مظهر أو مكون إضافي خالٍ / متصدع
  4. استخدم كلمات مرور قوية
  5. إضافة (2FA) مصادقة عاملين
  6. تغيير عنوان URL لتسجيل الدخول إلى WordPress
  7. محاولات الحد من تسجيل الدخول
  8. عمل نسخة احتياطية من موقعك بانتظام
  9. استخدم مكونًا إضافيًا لأمان WordPress
  10. تسجيل خروج المستخدمين تلقائيًا
  11. أضف أسئلة الأمان إلى صفحة تسجيل الدخول إلى WordPress
  12. قم بتغيير اسم مستخدم “المشرف” الافتراضي
  13. قم بتعيين المستخدمين إلى أدنى دور ممكن
  14. مراقبة تغييرات الملف وأنشطة المستخدم
  15. تثبيت شهادة SSL
  16. حذف السمات والمكونات الإضافية غير المستخدمة
  17. قم بتعطيل تحرير الملف في لوحة تحكم WordPress
  18. حماية كلمة المرور صفحة تسجيل الدخول إلى WordPress
  19. تعطيل تصفح الدليل
  20. إزالة رقم إصدار WordPress الخاص بك
  21. تغيير بادئة جدول قاعدة بيانات WordPress
  22. استخدم فقط قوالب ووردبريس المضمونة والمكونات الإضافية
  23. تعطيل الإبلاغ عن خطأ PHP
  24. إضافة رؤوس HTTP الآمنة إلى WordPress

جاهز؟ لنبدأ.

1. احصل على استضافة WordPress جيدة

تلعب استضافة WordPress دورًا رئيسيًا عندما يتعلق الأمر بتحسين أمان WordPress.

أنت تدفع مقابل خدمة الاستضافة ويبقى موقعك تحت سيطرتهم. لذلك يجب عليك توخي الحذر قبل اختيار استضافة WordPress جيدة لموقعك على الويب.

الاستضافة المشتركة مثل A2Hosting و Bluehost إلخ هي أفضل خيار استضافة لتشغيل مدونة ذات حركة مرور منخفضة. ولكن في الاستضافة المشتركة ، ستكون هناك دائمًا فرصة للتلوث عبر المواقع.

يحدث التلوث عبر المواقع عندما يتمكن المخترق من الوصول إلى خادم الويب من خلال موقع ويب ضعيف ، ومن ثم استغلال جميع مواقع الويب الأخرى على نفس خادم الويب.

نوصي باستخدام موفر استضافة WordPress مدار. توفر شركات استضافة WordPress المدارة خيارات أمان متعددة الطبقات لمواقع الويب. منصات الاستضافة الخاصة بهم آمنة للغاية وتوفر فحصًا يوميًا للبرامج الضارة وتمنع أي هجمات خارجية. إن وجدوا ، على أي حال ، يجدون برامج ضارة على خادمهم ، يتحملون المسؤولية ويزيلونها على الفور.

كما أنها توفر نسخًا احتياطية يوميًا وشهادة SSL مجانية ودعم خبراء على مدار 24 ساعة طوال أيام الأسبوع.

نوصي شركة استضافة WordPress المُدارة بواسطة WPEngine. يقدمون طبقات أمان متعددة لحماية موقع WordPress الخاص بك. مع خطتهم ، ستحصل على نسخ احتياطية يومية ، SSL مجاني ، CDN عالمي ، ودعم خبراء على مدار 24 ساعة طوال أيام الأسبوع.

يزور WPEngine. [تمت إضافة رمز الخصم في هذا الرابط]

عد إلى الأعلى

2. حافظ على تحديث إصدار WordPress

تُعد المحافظة على تحديث موقع WordPress الخاص بك من الممارسات الأمنية الجيدة لتقوية أمان WordPress الخاص بك. يتضمن هذا التحديث إصدار WordPress والمكونات الإضافية والمظاهر.

في دراسة حديثة, حلل سيكوري أن 56 ٪ من إجمالي مواقع الويب المصابة بالوردبريس لا تزال محدثة. إذا كنت أحدهم ، فأنت في خطر.

يتم اكتشاف نقاط ضعف جديدة كل يوم ولا توجد طريقة لإيقافها. يمكن أن تحتوي البرامج والمكونات الإضافية القديمة على نقاط ضعف يمكن أن يستخدمها المخترق لاستغلال موقع.

مع كل تحديث ، يشتمل المطورون على ميزات جديدة ، وإصلاح الثغرات الأمنية ، وإصلاح الأخطاء وما إلى ذلك. مثل برنامج WordPress ، تحتاج أيضًا إلى تحديث مظاهر WordPress والمكونات الإضافية.

الشيء الجيد هو أن WordPress يطرح تحديثاته تلقائيًا ويخطر مستخدميه.

يعد تحديث إصدار WordPress والمكونات الإضافية والمظاهر أمرًا سهلاً للغاية ويمكنك القيام بذلك من خلال لوحة تحكم المشرف في WordPress.

كيفية تحديث وورد ، والمكونات الإضافية ، والسمات?

قم أولاً بتسجيل الدخول إلى لوحة تحكم WordPress الخاصة بك وانتقل إلى لوحة القيادة> التحديثات. هناك يمكنك معرفة ما إذا كان هناك تحديث جديد متاح.

ملحوظة: قبل تحديث إصدار WordPress الخاص بك ، خذ نسخة احتياطية كاملة من الملفات وقاعدة البيانات الخاصة بك. في حالة حدوث خطأ ، يمكنك بسهولة استعادة موقعك إلى الإصدار السابق. يمكنك بسهولة نسخ موقعك احتياطيًا واستعادته باستخدام BlogVault بنقرة واحدة.

من الصفحة ، يمكنك أن ترى “نسخة محدثة من WordPress متاحة”. انقر فوق تحديث الان زر لتحديث إصدار WordPress الخاص بك ، قد تستغرق هذه العملية بضع ثوان.

بمجرد اكتمال التحديث ، قم بالتمرير لأسفل لتحديث مكونات WordPress الإضافية. نوصي بتحديث المكونات الإضافية واحدة تلو الأخرى. أولا ، حدد البرنامج المساعد وانقر على تحديث الإضافات.

بنفس الطريقة ، قم بتحديث مظاهرك أدناه.

قم بتحديث WordPress من لوحة المعلومات

ومع ذلك ، فإن عملية التحديث صعبة بعض الشيء بالنسبة لبعض المستخدمين ، وخاصة أولئك الذين ليسوا على دراية بالتكنولوجيا.

يوفر بعض موفري استضافة WordPress المُدارين مثل SiteGround و Kinsta و FlyWheel التحديث التلقائي خاصية. لذلك ، إذا كنت في جدول مزدحم أو كسول للتحديث ، فقد يكون هذا مفيدًا.

اقرأ أيضًا ، كيفية تحديث إصدار WordPress والمكونات الإضافية والسمات يدويًا

عد إلى الأعلى

3. لا تستخدم أيًا من المظاهر والمكوِّنات الإضافية التي تم إلغاء تشفيرها / تصدعها

لا عجب في أن الإضافات والمظاهر الممتازة تتضمن المزيد من الوظائف وتبدو احترافية. ولكن ، لا يوجد أي من المنتجات الممتازة مجانية. يأتي مع سعر وبعد شراء أي منتجات متميزة ، يحتاج المستخدمون إلى إدخال مفتاح المنتج لتنشيط المنتج.

ولكن ، هناك العديد من المواقع الخبيثة المتاحة التي توفر موضوعات ومكونات إضافية متميزة مجانًا. لا تتطلب هذه المظاهر والمكونات الإضافية المتصدعة مفتاحًا تسلسليًا للتنشيط ولا يتم تحديثها أبدًا.

إليك ما أعنيه:

مثال البرنامج المساعد وورد فارغة

هذه السمات والمكونات الإضافية الملغاة خطيرة للغاية على موقعك. يقوم المتسللون بشكل خاص بحقن الرموز الخبيثة في ذلك وإنشاء باب خلفي إلى موقعك. حتى يتمكنوا من الوصول بسهولة إلى موقع الويب الخاص بك واختراق موقع الويب الخاص بك بما في ذلك قاعدة البيانات.

لذلك لا تستخدم أبدًا أي قوالب ووردبريس لاغية أو متصدعة.

نوصي بشدة بتنزيل المواضيع أو الإضافات المجانية فقط من WordPress.org.

نحن نتفهم أن السمة أو المكون الإضافي المجاني له وظائف محدودة جدًا. ولكن ، هذه السمات أو المكونات الإضافية المجانية آمنة الاستخدام ويتم تحديثها بانتظام.

اقرأ أيضًا ، 7 أفضل مظاهر التدوين المميزة لـ WordPress

عد إلى الأعلى

4. استخدم كلمات مرور قوية

كلمة المرور هي مفتاح أساسي للوصول إلى موقع WordPress الخاص بك. إذا كان الأمر بسيطًا وقصيرًا ، فيمكن للمتسللين اختراق كلمة المرور بسهولة. على 80٪ من الانتهاكات المرتبطة بالقرصنة تحدث بسبب كلمة مرور ضعيفة أو كلمة مرور مسروقة.

في دراسة حديثة, كشفت SplashData أسوأ 100 كلمة مرور لعام 2017.

فيما يلي عدد قليل منهم:

  1. 123456
  2. كلمه السر
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. دعني ادخل
  8. 1234567
  9. كرة القدم
  10. أحبك
  11. مشرف
  12. أهلا بك
  13. قرد (لول)

إذا كانت كلمة المرور الخاصة بك بسيطة مثل أعلاه ، فقم بتغييرها على الفور. يجب أن تتكون كلمة المرور ذات القوة الجيدة من 10 أرقام على الأقل وأن تحتوي على أحرف كبيرة وصغيرة وأرقام وأحرف خاصة.

يمكنك استخدام أداة مولد كلمة المرور عبر الإنترنت لإنشاء آلاف كلمات المرور المؤمنة على الفور.

من الضروري أيضًا حفظ كلمة المرور على جهاز الكمبيوتر الخاص بك.

لتسهيل الأمر ، يمكنك استخدام برنامج إدارة كلمات المرور لإدارة جميع كلمات المرور الخاصة بك مثل LastPass و Dashlane وما إلى ذلك.

فرض كلمة مرور قوية للمستخدمين

بشكل افتراضي ، لا يأتي WordPress بوظيفة تمنع المستخدمين من إدخال كلمات مرور ضعيفة. في معظم الأحيان ، يقوم المستخدمون بتعيين كلمة مرور ضعيفة لحسابهم ويصعب عليهم تغييرها.

إذا كنت تقوم بتشغيل مدونة WordPress متعددة المستخدمين ، فيجب عليك إجبار المستخدمين على استخدام كلمة مرور قوية.

لتسهيل هذه العملية ، يمكنك استخدام مكون إضافي. التثبيت والتنشيط فرض كلمات مرور قوية البرنامج المساعد وانتهيت. سيمنع هذا المستخدمين وحتى المشرف من إدخال كلمة مرور ضعيفة.

عد إلى الأعلى

5. إضافة مصادقة عاملين (2FA) 

طريقة أخرى بسيطة لتقوية أمان WordPress الخاص بك هي عن طريق إضافة المصادقة ذات العاملين (2FA) إلى صفحة تسجيل الدخول إلى WordPress الخاصة بك. بشكل أساسي ، المصادقة الثنائية أو التحقق بخطوتين هي عملية أمان تتطلب طريقتين للتحقق من هويتك.

بشكل افتراضي ، نقوم عادةً بإدخال اسم المستخدم وكلمة المرور لتسجيل الدخول إلى موقع ويب. من خلال إضافة المصادقة ذات العاملين ، ستتطلب منك عملية تحقق إضافية مثل تطبيق الهاتف الذكي للموافقة على عملية المصادقة.

لذلك ، إذا كان شخص ما يعرف اسم المستخدم وكلمة المرور ، فسيحتاج إلى هاتفك الذكي للحصول على رمز التحقق لتسجيل الدخول إلى موقعك.

بإضافة المصادقة ذات العاملين ، فأنت لا تقوم فقط بتأمين صفحة تسجيل الدخول إلى WordPress الخاصة بك ولكن أيضًا تمنع هجمات القوة الغاشمة.

يمكنك تمكين المصادقة الثنائية بسهولة من خلال استخدام مكون WordPress المصادق الثنائي العامل من Google.

بمجرد تنشيطه ، انتقل إلى المستخدمون> ملف تعريفي للمستخدم وتنشيط البرنامج المساعد.

إعدادات Google Authenticator

ثم قم بتنزيل تطبيق Google Authentator من هاتفك ومسح الرمز الشريطي أو أدخل الرمز السري (انظر الصورة أعلاه) من موقعك لإضافة موقعك.

بمجرد الإضافة ، قم بتسجيل الخروج من موقعك. في صفحة تسجيل الدخول ، سترى حقلاً إضافيًا حيث تحتاج إلى إدخال رمز التحقق من تطبيق Google Authenticator للجوال.

حقل Google Authenticator

للحصول على تعليمات مفصلة ، راجع الدليل حول كيفية إضافة المصادقة الثنائية من Google في صفحة تسجيل الدخول إلى WordPress.

عد إلى الأعلى

6. تغيير عنوان URL لصفحة تسجيل الدخول إلى WordPress

بشكل افتراضي ، يمكن لأي شخص الوصول إلى صفحة تسجيل الدخول الخاصة بك ببساطة عن طريق إضافة “wp-admin” أو “wp-login.php” في نهاية اسم المجال الخاص بك مثل: “domain.com/wp-admin” أو “domain.com/ wp-login.php “.

خمين ما! يمكن للمتسللين تشغيل هجوم القوة الغاشمة باستخدام صفحة تسجيل الدخول الخاصة بك. إذا كنت تستخدم كلمة مرور بسيطة للغاية ، فيمكن للمتسللين اختراق كلمة المرور بسهولة والدخول إلى موقع الويب الخاص بك.

ولكن ماذا لو لم يعرفوا أين يهاجمون؟ نعم ، لقد خمنت ذلك بشكل صحيح.

إذا قمت بإخفاء عنوان URL الخاص بصفحة تسجيل الدخول أو إعادة تسميته ، فلن يتمكن المخترقون من شن هجوم عنيف.

في WordPress ، يمكنك بسهولة إخفاء أو إعادة تسمية صفحة تسجيل الدخول باستخدام مكون إضافي. قم بتثبيت وتنشيط من معرض الإضافات WordPress WPS إخفاء تسجيل الدخول توصيل في.

بمجرد تنشيطه ، انتقل إلى الإعدادات> جنرال لواء وفي الأسفل ، يمكنك العثور على WP إخفاء خيار تسجيل الدخول.

WPS إخفاء إعدادات تسجيل الدخول

ببساطة قم بتغيير عنوان URL لتسجيل الدخول “تسجيل الدخول” إلى شيء آخر يصعب تخمينه والنقر عليه حفظ التغييرات.

بمجرد الانتهاء من ذلك ، ضع إشارة على صفحة تسجيل الدخول الجديدة وستنتهي.

عد إلى الأعلى

7. الحد من محاولات تسجيل الدخول

بشكل افتراضي ، لا يحدد WordPress عدد محاولات تسجيل الدخول من خلال نموذج تسجيل الدخول. وهذا يعني أن أي شخص يعرف عنوان URL لتسجيل الدخول يمكنه تجربة وظيفة تسجيل الدخول بقدر ما يريد. وبهذه الطريقة ، يقوم المخترقون بتنفيذ هجوم بالقوة الوحشية لاختراق “اسم المستخدم” و “كلمة المرور” للوصول إلى موقع الويب الخاص بك.

من خلال الحد من محاولات تسجيل الدخول ، يمكنك تشديد أمان WordPress وحماية صفحة تسجيل الدخول الخاصة بك من هجمات القوة الغاشمة.

يمكنك تعيين الحد الأقصى لعدد محاولات تسجيل الدخول غير الصحيحة التي يمكن للمستخدم إجراؤها من عنوان IP نفسه. إذا تجاوز المستخدم الحدود ، فسيتم حظر عنوان IP الخاص بالمستخدم لفترة زمنية معينة.

للحد من محاولات تسجيل الدخول في WordPress ، قم بالتثبيت تسجيل الدخول LockDown توصيل في. بمجرد تنشيطه ، انتقل إلى الإعدادات> تسجيل الدخول LockDown لتكوين البرنامج المساعد.

تسجيل الدخول إعدادات LockDown

للحصول على تعليمات مفصلة ، راجع دليلنا حول كيفية الحد من محاولات تسجيل الدخول في WordPress

عد إلى الأعلى

8. النسخ الاحتياطي لموقعك بانتظام

النسخ الاحتياطية مثل Time Machine. إذا كان لديك ، موقع الويب الخاص بك آمن.

ومع ذلك ، فإن النسخ الاحتياطية لمواقع الويب لا تحمي موقعك من المتسللين ولكنها تساعدك على استعادة موقعك.

على سبيل المثال ، إذا حدث خطأ ما في موقعك أثناء التحديث أو تم اختراق موقعك ، فكيف ستصلح موقعك مرة أخرى؟ ربما تفقد موقعك.

ولكن إذا كانت لديك نسخ احتياطية من موقعك ، فيمكنك بسهولة استعادة موقعك قبل نقطة اختراقه أو تعطله.

لهذا السبب نوصيك بشدة باستخدام مكون احتياطي موثوق به من WordPress. ومع ذلك ، تقدم العديد من شركات الاستضافة نسخًا احتياطيًا مجانيًا على موقع الويب ، ولكن يمكنها ضمان توفر موقعك في حالة حدوث فشل فادح. لذلك تحتاج إلى حفظ النسخ الاحتياطية في موقع بعيد مثل Google Drive و Amazon S3 و Dropbox وما إلى ذلك.

لحسن الحظ ، يمكن القيام بذلك باستخدام BlogVault أو BackUpBuddy WordPress Backup Plugin. كلاهما يقدم نسخًا احتياطيًا يوميًا واستعادة بنقرة واحدة. يمكنك أيضًا إنشاء موقع مرحلي بدون تكلفة إضافية.

عد إلى الأعلى

9. استخدم WordPress Security Plugin

الشيء التالي الذي تحتاجه لتصلب الخاص بك وورد الأمن هو مكون إضافي للأمان. هناك العديد من المكونات الإضافية لأمان WordPress المتاحة والتي ستغلق موقعك من المتسللين والبرامج الضارة.

ستكتشف المكونات الإضافية للأمان في WordPress البرامج الضارة وتزيلها إذا كانت موجودة في موقعك. إلى جانب ذلك ، يراقبون نشاط المستخدم في الوقت الفعلي ، ويبلغونك إذا تغير أي شيء ، إذا كان المكون الإضافي يحتوي على برنامج ضار ، ويحظر حركة البريد العشوائي وغيرها الكثير.

نوصي بـ Securi WordPress Security Plugin. يوفر Securi Security نوعًا مختلفًا من ميزات الأمان مثل تدقيق الأنشطة الأمنية ومراقبة موقع الويب, جدار حماية الموقع,  و أكثر من ذلك بكثير.

سيكوري

أفضل شيء في Securi هو أنه إذا تم اختراق موقعك أو وضعه في القائمة السوداء بواسطة Google أثناء استخدام خدمتهم ، فإنهم يضمنون أنهم سيصلحون موقعك.

يتقاضى معظم خبراء أمان WordPress أكثر من 300 دولار لإصلاح موقع تم اختراقه ، بينما ستحصل على جميع خدمات الأمان فقط 199 دولارًا كل سنة. إنه استثمار جيد لتقوية أمان WordPress الخاص بك.

عد إلى الأعلى

10. تسجيل خروج المستخدمين تلقائيًا

إذا ظل المستخدم خاملاً أو غير نشط على موقعك لفترة طويلة جدًا ، فقد يتسبب ذلك في هجوم القوة الغاشمة.

عندما يظل المستخدم غير نشط لفترة طويلة جدًا ، قد يستخدم المخترقون طريقة اختطاف ملفات تعريف الارتباط أو الجلسة للوصول غير المصرح به إلى موقع الويب الخاص بك. هذا هو السبب في أن معظم مواقع الويب التعليمية والمالية مثل البنوك ومواقع بوابة الدفع تستخدم وظيفة مهلة جلسة المستخدم. لذلك ، عندما ينتقل المستخدم بعيدًا عن الصفحة ولا يتفاعل بعد فترة زمنية ، يسجّل موقع الويب تلقائيًا المستخدم غير النشط.

نفس الوظيفة التي يمكنك إضافتها إلى موقع WordPress الخاص بك لتحسين أمان WordPress الخاص بك. إن إضافة المستخدمين الخارجين تلقائيًا على WordPress أمر بسيط للغاية. كل ما تحتاجه لتثبيت البرنامج المساعد.

أولا ، قم بتحميل وتثبيت تسجيل الخروج غير النشط وورد البرنامج المساعد. ثم تنشيطه وانتقل إلى الإعدادات> تسجيل الخروج غير النشط لتكوين البرنامج المساعد.

إعدادات المكون الإضافي غير النشط لتسجيل الخروج

من الإعدادات ، يمكنك تغيير مهلة الخمول. بعد ذلك ، سيتم تسجيل خروج جميع المستخدمين في موقعك تلقائيًا.

يمكنك أيضًا تغيير رسالة مهلة الخمول وتعديل الإعدادات الأخرى إذا لزم الأمر.

بمجرد الانتهاء ، انقر فوق حفظ التغييرات لتخزين الإعدادات.

للحصول على تعليمات مفصلة ، راجع دليلنا حول كيفية تسجيل خروج المستخدمين الخمول تلقائيًا في WordPress

عد إلى الأعلى

11. أضف أسئلة الأمان إلى صفحة تسجيل الدخول إلى WordPress

من خلال إضافة أسئلة الأمان إلى صفحة تسجيل الدخول إلى WordPress الخاصة بك ، لن تقوم فقط بحماية صفحة تسجيل الدخول إلى WordPress الخاصة بك ، بل ستعمل أيضًا على تقوية أمان WordPress.

يضيف سؤال الأمان طبقة إضافية من الأمان لمزيد من المصادقة على هويتك أثناء تسجيل الدخول. هذا مفيد جدًا إذا كنت تدير مدونة WordPress متعددة المؤلفين.

إذا تمت سرقة أي من المستخدم أو كلمة المرور الخاصة بك ، فيمكن أن ينقذ سؤال الأمان الحياة.

نظرًا لأنه يمكن اختراق اسم المستخدم وكلمة المرور بسهولة ، ولكن اختيار سؤال الأمان وإجابته الصحيحين أمر مستحيل. بهذه الطريقة يمكنك حفظ صفحة تسجيل الدخول إلى WordPress الخاصة بك من المتسللين وهجمات القوة الغاشمة.

لإضافة سؤال الأمان في صفحة تسجيل الدخول إلى WordPress ، قم بتثبيت سؤال الأمان WP توصيل في.

إعدادات أسئلة الأمان الخاصة بـ WP

بمجرد تنشيطه ، انتقل إلى أسئلة الأمن WP > إعدادات البرنامج المساعد لتكوين البرنامج المساعد.

بشكل افتراضي ، يحتوي المكون الإضافي على العديد من الأسئلة الشائعة المضافة. ولكن ، يمكنك إضافة أو إزالة أي أسئلة أمان من القائمة.

في الجزء السفلي ، يمكنك تمكين سؤال الأمان في صفحة تسجيل الدخول ، وتسجيل صفحة نسيت كلمة المرور. بعد تهيئة المكون الإضافي ، لا تنس النقر عليه حفظ الإعداد.

ملحوظة: يمكن للمستخدمين الجدد فقط تعيين سؤال الأمان وإجابته أثناء التسجيل. لذا يحتاج المستخدمون المسجلون إلى تعيين سؤال الأمان وإجابته يدويًا. يمكنك أيضًا تعيين سؤال أمان وإجابة لهما. يمكن القيام بذلك من ملف تعريفي للمستخدم الصفحة.

قم بإضافة أسئلة أمان WP إلى حد كبير

للحصول على تعليمات مفصلة ، راجع دليلنا حول كيفية إضافة أسئلة الأمان إلى صفحة تسجيل الدخول إلى WordPress

عد إلى الأعلى

12. تغيير اسم المستخدم الافتراضي “المسؤول”

بعد تثبيت WordPress ، يمكنك تغيير كلمة مرورك بعدد المرات الذي تريده. ولكن هل يمكنك تغيير اسم المستخدم الخاص بك بمجرد تعيينه؟ لا ، صحيح?

بشكل افتراضي ، لا يسمح WordPress للمستخدمين بتغيير اسم المستخدم. ولكن لماذا يجب تغييره?

إذا كنت تستخدم اسم مستخدم شائعًا جدًا مثل “admin” ، فيمكن للمتسللين تشغيل القوة الغاشمة إرفاق بمساعدة اسم المستخدم الخاص بك.

لكن لا داعي للذعر. هناك عدة طرق لتغيير WordPress بسهولة.

ومع ذلك ، لتسهيل العملية ، سنستخدم مكونًا إضافيًا. أولا ، قم بتحميل وتثبيت مغير اسم المستخدم توصيل في. ثم اذهب الى المستخدمون> ملفك الشخصي والعثور على خيار اسم المستخدم. هناك ستجد خيار “تغيير اسم المستخدم”.

قم بتغيير اسم مستخدم WordPress

انقر فوق غير اسم المستخدم زر وأدخل اسم المستخدم الجديد الخاص بك. بمجرد الانتهاء ، انقر فوق تحديث الملف.

إذا كنت تريد تغيير اسم المستخدم يدويًا (بدون مكون إضافي) ، فاطلع على المقالة 3 طرق مختلفة لتغيير اسم مستخدم WordPress.

عد إلى الأعلى

13. تعيين المستخدمين إلى أدنى دور ممكن

إذا كنت تقوم بتشغيل موقع WordPress متعدد المؤلفين ، فأنت بحاجة إلى توخي الحذر قبل تعيين دور إلى مستخدم.

في كثير من الأحيان يعين مالكو مواقع WordPress دور مستخدم أعلى للمستخدمين الجدد ، وبهذه الطريقة تمنح جميع الامتيازات للمستخدمين ، ونتيجة لذلك ، يمكن لأي مستخدم أن يتمكن من أداء أي مهمة مهما كان ما يريده.

على سبيل المثال ، إذا كنت لا تعرف الدور الذي يمكن أن يؤديه دور محرر المستخدم وقمت بتعيين الدور إلى مستخدم عادي ، فيمكن للمستخدم حذف جميع مشاركاتك وتعديل الروابط وإنشاء مشاركات غير مرغوب فيها وإضافة روابط ضارة إلى مدونتك المشاركات. هذه هي الطريقة التي يمكن للمستخدم من خلالها تدمير موقعك على الويب بسهولة.

بشكل افتراضي ، يأتي WordPress مع 5 أدوار مختلفة للمستخدم.

  • مدير
  • محرر
  • مؤلف
  • مساهم
  • مشترك
  1. مدير: المسؤولون هم أقوى دور للمستخدم في موقع WordPress. يمكنهم إنشاء وتعديل وحذف حساب مستخدم ، ويمكنهم أداء أي مهمة عبر لوحة إدارة WordPress ، والتحكم في جميع أنحاء منطقة المحتوى وكذلك الإشراف على التعليقات. 
  2. محرر: يمكن للمستخدمين الذين لديهم دور المحرر التحكم الكامل في المحتوى. يمكنهم إنشاء وتحرير وحذف أية مشاركات بما في ذلك المشاركات التي تم إنشاؤها من قبل مستخدمين آخرين. يمكنهم أيضًا الإشراف على التعليقات وتعديل الروابط.
  3. مؤلف: يمكن للمؤلفين فقط نشر أو تحرير أو حذف مشاركاتهم الخاصة. يمكنهم تحميل ملفات الوسائط لاستخدامها في مشاركاتهم. يمكنهم عرض التعليقات ولكن لا يمكنهم الموافقة على أو حذف أي تعليقات.
  4. مساهم: يمكن للمستخدمين الذين لديهم دور “المساهم” كتابة مشاركتهم الخاصة غير المنشورة أو تعديلها أو حذفها فقط ، ولكن لا يمكنهم نشر مشاركتهم الخاصة.
  5. المشترك: يمكن للمشتركين فقط تعديل معلومات حساباتهم بما في ذلك كلمة المرور ، ولكن ليس لديهم حق الوصول إلى إعدادات المحتوى أو الموقع. لديهم أدنى القدرات في موقع WordPress.

من خلال فهم أدوار مستخدم WordPress ، يمكنك إدارتها بسهولة دون أي مخاطر.

نوصي أيضًا بتعيين دور افتراضي جديد للمستخدم كمشترك. اذهب للاعدادات> الإعدادات العامة ومن مجموعتها دور افتراضي جديد للمستخدم مشترك وانقر على احفظ التغييرات.

ووردبريس الدور الافتراضي للمستخدم الجديد

لمزيد من التفاصيل ، اقرأ دليل المبتدئين لأدوار وقدرات المستخدم في WordPress

عد إلى الأعلى

14. مراقبة تغييرات الملف وأنشطة المستخدم

طريقة ذكية أخرى لتقوية أمان WordPress هي مراقبة أنشطة المستخدم وتغييرات الملفات. 

إذا كنت تقوم بتشغيل موقع WordPress متعدد المستخدمين ، فيجب عليك تتبع سلوك المستخدم لفهم أفضل لأنشطته في موقع WordPress الخاص بك.

من يدري ، إذا كان المستخدم يقوم ببعض الأعمال المريبة أو يحاول اختراق موقعك الإلكتروني؟ كيف يمكنك أن تعرف ذلك?

الطريقة الوحيدة لتتبع أنشطة المستخدم وتغييرات الملفات هي استخدام مكون WordPress لنشاط المستخدم. باستخدام مكون إضافي لنشاط المستخدم في WordPress ، يمكنك:

  • معرفة من قام بتسجيل الدخول وماذا يفعل في الوقت الحقيقي
  • عند تسجيل دخول المستخدم وتسجيل الخروج
  • كم مرة حاول المستخدم تسجيل الدخول لكنه فشل

إلى جانب ذلك ، إذا أجرى محرر أي تغييرات على مشاركة أو صفحة بدون إذنك ، فيمكنك بسهولة العثور عليها وإعادتها مرة أخرى. الشيء الجيد في المكوّن الإضافي لنشاط المستخدم هو أنه يرسل لك على الفور إشعارًا عبر البريد الإلكتروني إذا حدث خطأ ما.

يعتبر WP Security Audit Log أفضل مكون إضافي لرصد أنشطة المستخدم وتغييرات الملفات في الوقت الحقيقي. فيما يلي لقطة شاشة توضح كيفية عمل المكون الإضافي.

وورد تدوين سجل عارض

اقرأ أيضًا ، أفضل 5 مكونات إضافية لمراقبة نشاط المستخدم في WordPress (مكونات إضافية بديلة)

عد إلى الأعلى

15. تنفيذ SSL و HTTPS

وورد الأمن لا يمكن تحسينه بدون شهادة SSL. طبقة المقابس الآمنة (SSL) هي العمود الفقري لأمان موقع الويب.

طبقة المقابس الآمنة (SSL) هي تقنية أمان قياسية تنشئ روابط مشفرة بين الخادم ومتصفح الويب في اتصال عبر الإنترنت مثل المعاملات عبر الإنترنت. لذا فإن جميع البيانات الحساسة مثل كلمات المرور وتفاصيل بطاقة الائتمان وما إلى ذلك تمر عبر روابط مشفرة.

إذا كنت تدير نشاطًا تجاريًا عبر الإنترنت أو مدونة حيث تقبل الدفع ، فإن شهادة SSL أمر لا بد منه. سيبقي بيانات عميلك آمنة من المتسللين. بالنسبة للمتاجر عبر الإنترنت أو مواقع WooCommerce ، تبلغ تكلفة شهادة SSL حوالي 20 إلى 170 دولارًا.

إذا كنت تدير مدونة WordPress ، فأنت لست بحاجة إلى شهادة SSL مدفوعة. إذا كنت تستخدم استضافة cPanel مثل SiteGround ، WPEngine ، فيمكنك تثبيت شهادة SSL مجانًا بنقرة واحدة فقط.

أولاً ، قم بتسجيل الدخول إلى حساب استضافة cPanel وانتقل إلى الأمان.  (فيما يلي لقطة شاشة من استضافة SiteGround cPanel.)

SG SSL

انتقل إلى مدير SSL / TLS وانقر على تثبيت شهادة SSL. من الصفحة ، حدد نطاقك وانقر فوق الملء التلقائي حسب المجال. العملية تلقائية لذا لا تحتاج إلى تعديل أو تعديل أي شيء.

شهادة تثبيت الموقع SSL

انقر الآن على تثبيت الشهادة زر لإنهاء عملية الإعداد.

بمجرد الانتهاء ، قم بتسجيل الدخول إلى لوحة تحكم المشرف في WordPress لتعديل عنوان URL لموقعك. اذهب إلى الإعدادات> جنرال لواء وإضافة استبدال HTTP بـ HTTPS قبل عنوان URL الخاص بموقعك. إليك لقطة شاشة أدناه.

WP HTTPS

بمجرد التحديث ، انقر فوق حفظ التغييرات.

كيفية إعادة توجيه HTTP إلى HTTPS في WordPress

إذا قمت بتثبيت شهادة SSL بشكل صحيح ، فيمكن الوصول إلى موقعك باستخدام HTTPS.

ولكن إذا قام شخص ما بكتابة اسم موقع الويب الخاص بك فقط (على سبيل المثال domain.com) في شريط عنوان المتصفح ، فقد يعرض الموقع رسالة “الاتصال غير آمن”. وهذا يعني أن موقعك يمكن الوصول إليه باستخدام HTTP.

لإصلاح المشكلة ، تحتاج إلى فرض HTTPS في WordPress ، لذلك سيتم تحميل موقعك فقط باستخدام HTTPS. يمكنك بسهولة فرض HTTPS في WordPress.

قم أولاً بتسجيل الدخول إلى cPanel الخاص بالاستضافة وانتقل إلى المجلد الجذر لموقعك على الويب وابحث عنه .htaccess ملف. قم بتحرير ملف htaccess. وفي النهاية قم بإضافة الكود التالي.

إعادة كتابة المحرك
إيقاف RewriteCond٪ {HTTPS}
RewriteRule ^ (. *) $ https: //٪ {HTTP_HOST}٪ {REQUEST_URI} [L، R = 301]

احفظ الملف وتنتهي. الآن لا يمكن الوصول إلى موقع الويب الخاص بك إلا باستخدام HTTPS.

إذا كان موفر استضافة الويب الخاص بك لا يوفر شهادة SSL مجانية ، فيمكنك تثبيت شهادة SSL يدويًا. إليك دليل حول كيفية تثبيت شهادة SSL مجانية.

عد إلى الأعلى

16. حذف السمات والمكونات الإضافية غير المستخدمة

عندما يتعلق الأمر بتعزيز أمان WordPress ، لا ينبغي لنا تجاهل أي خطوة صغيرة يمكن أن تجعل موقعك عرضة للخطر. 

في معظم الأحيان ، يقوم مالكو مواقع WordPress بتثبيت سمات ومكونات إضافية مختلفة لاختبار أي مظهر يبدو أفضل على موقعهم أو أي مكون إضافي لديه وظائف أكثر. هذا حسن. ولكن الحفاظ على هذه السمات والمكونات الإضافية غير المستخدمة يجعل موقعك عرضة للخطر.

نظرًا لأن الاحتفاظ بالعديد من مظاهر WordPress والمكونات الإضافية يحتاج إلى تحديث منتظم مثل الذي تستخدمه. إذا لم تقم بتحديثها ، فقد أصبحوا عرضة للخطر ويمكن للمتسللين استغلال موقعك بسهولة من خلال السمات والمكونات الإضافية الضعيفة. إلى جانب ذلك ، فإن الاحتفاظ بالعديد من السمات والمكونات الإضافية يجعل موقع WordPress أبطأ.

لذلك يجب عليك دائمًا حذف السمات والمكونات الإضافية غير المستخدمة لتحسين أداء الموقع وأمان WordPress.

لحذف مكون إضافي غير مستخدم ، انتقل إلى الإضافات> الإضافات المثبتة. ثم ابحث عن المكون الإضافي الذي لم تعد بحاجة إليه. أولاً ، قم بإلغاء تنشيط المكون الإضافي وانقر فوق حذف.

حذف البرنامج المساعد وورد

وبالمثل ، لحذف سمة ، انتقل إلى مظهر خارجي> المظاهر وانقر على تفاصيل السمة. ثم في الجزء السفلي من الجانب الأيمن ، انقر فوق حذف.

حذف السمة

عد إلى الأعلى

17. تعطيل تحرير الملف في لوحة تحكم WordPress

بشكل افتراضي ، يتيح WordPress للمستخدمين تحرير السمة وملف المكون الإضافي مباشرة من لوحة معلومات WordPress. هذا خيار مفيد للمستخدمين الذين يحتاجون بشكل متكرر إلى تحرير السمة وملف المكون الإضافي.

وورد محرر موضوع

ومع ذلك ، يمكن أن يكون إبقاء هذه الوظيفة ممكّنة مشكلة أمنية خطيرة. إذا قام المتسللون بالوصول إلى موقع الويب الخاص بك ، فعادة ما يتركون أثرهم عن طريق حقن كود ضار في ملفات الموقع. إذا تم تمكين وظيفة تحرير ملفات WordPress الخاصة بك ، فيمكن للمتسللين بسهولة إدخال التعليمات البرمجية الضارة في ملفك أو ملف البرنامج المساعد الخاص بك والذي لن يكون معروفًا لك.

لتحسين أمان WordPress ، تحتاج إلى تعطيل وظيفة تحرير الملف من لوحة تحكم WordPress الخاصة بك. يعد تعطيل سمة WordPress ومحرر البرنامج المساعد في WordPress عملية سهلة للغاية.

أولاً ، تحتاج إلى تسجيل الدخول إلى حساب استضافة cPanel الخاص بك والانتقال إلى المجلد الجذر لموقع WordPress الخاص بك. من هناك ، ابحث عن wp-config.php. انقر على تعديل وأضف الكود التالي في النهاية.

تعريف (“DISALLOW_FILE_EDIT” ، صحيح) ؛

الآن قم بحفظ الملف وتحديث لوحة تحكم WordPress الخاصة بك. سترى أن خيار محرر السمة والمكون الإضافي قد اختفى. مع هذه الحيلة الصغيرة ، يمكنك بسهولة تحسين أمان WordPress.

اقرأ الدليل التفصيلي حول كيفية تعطيل محرر السمات والمكونات الإضافية في WordPress

عد إلى الأعلى

18. حماية كلمة السر صفحة تسجيل الدخول وورد

طريقة أخرى رائعة لتحسين أمان WordPress هي حماية صفحة تسجيل الدخول إلى WordPress بكلمة مرور.

من خلال حماية كلمة مرور تسجيل الدخول إلى WordPress (/wp-login.php) أو صفحة المسؤول (https://cdn.wpmyweb.com/wp-admin) ، يمكنك منع المتسللين من الوصول إلى صفحة تسجيل الدخول الخاصة بك لأنها تتطلب كلمة مرور للوصول إلى صفحة تسجيل الدخول. المصادقة المطلوبة مربع منبثقبمجرد تمكين هذه الميزة ، سيطالب موقعك جميع المستخدمين بالوصول إلى صفحة تسجيل الدخول باسم مستخدم ونافذة كلمة مرور. باختصار ، يحتاج جميع المستخدمين إلى تسجيل الدخول مرتين باستخدام اسم مستخدم وكلمة مرور مختلفة قبل الوصول إلى لوحة تحكم المشرف في WordPress.

من خلال القيام بذلك ، يمكنك تعزيز أمان WordPress الخاص بك وإضافة طبقة إضافية من الأمان إلى صفحة تسجيل الدخول الخاصة بك.

اقرأ دليلنا المتعمق حول كيفية حماية كلمة مرور صفحة تسجيل الدخول إلى WordPress.

عد إلى الأعلى

19. تعطيل تصفح الدليل في وورد

بشكل افتراضي ، تسمح معظم خوادم الويب مثل Apache و NGINX و LiteSpeed ​​لأي مستخدم بتصفح الدلائل التي تحتوي على ملفات ومجلدات WordPress. يمكنهم أيضًا معرفة الموضوع والمكونات الإضافية التي تستخدمها ومعرفة المزيد عن بنية موقع الويب الخاص بك.

صفحة الفهرس لموقع WordPress

يمكن أن تؤدي هذه المعلومات إلى إضعاف موقع WordPress الخاص بك ومساعدة المخترق عند محاولة اختراق موقعك.

لتحسين أمان WordPress ، نوصيك بتعطيل هذا الخيار. لتعطيل تصفح الدليل في WordPress ، ما عليك سوى إضافة السطر التالي إلى .هتكيس ملف.

خيارات الكل – الفهارس

للحصول على تعليمات مفصلة ، اقرأ دليلنا حول كيفية تعطيل تصفح الدليل في WordPress

عد إلى الأعلى

20. إزالة نسخة وورد الخاص بك

بشكل افتراضي ، يضيف WordPress تلقائيًا العلامات الوصفية في مواقع مختلفة والتي تعرض إصدار WordPress الذي تستخدمه.

إليك الشيء: إذا علم المتسللون أنك تقوم بتشغيل إصدار WordPress قديم ، فيمكنهم استغلال موقعك من خلال نقاط الضعف المعروفة الموجودة في إصدار WordPress الأقدم.

لذا من الأفضل أن تقوم بإزالة إصدار WordPress الخاص بك لتحسين أمان WordPress. هناك العديد من الأماكن التي يضيف فيها WordPress العلامات الوصفية مثل ، في لوحة تحكم WordPress ، في الرأس ، في النمط وجافا سكريبت وفي موجز RSS.

إزالة نسخة ووردبريس من العنوان و RSS

لإزالة النسخة من الرأس و RSS ، أضف السطر التالي في نهاية function.php ملف.

وظيفة remove_wordpress_version () {
إرجاع ”؛
}}
add_filter (‘the_generator’، ‘remove_wordpress_version’)؛

إزالة رقم إصدار WordPress من البرامج النصية و CSS

لإزالة نسخة WordPress من CSS والنصوص البرمجية ، أضف السطر التالي في نهاية ملفك function.php ملف.

// اختر رقم الإصدار من البرامج النصية والأنماط
function remove_version_from_style_js ($ src) {
if (strpos ($ src، ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’، $ src) ؛
إرجاع $ src؛
}}
add_filter (‘style_loader_src’، ‘remove_version_from_style_js’)؛
add_filter (‘script_loader_src’، ‘remove_version_from_style_js’)؛

بمجرد الانتهاء من ذلك ، قم بحفظ ملف function.php.

هذا هو. مع هذه الحيلة البسيطة ، يمكنك بالتأكيد تحسين أمان WordPress الخاص بك. ومع ذلك ، نوصيك دائمًا بتحديث إصدار WordPress بانتظام بالإضافة إلى المظهر والمكونات الإضافية.

للحصول على تعليمات مفصلة ، اقرأ دليلنا حول كيفية إخفاء أو إزالة إصدار WordPress

عد إلى الأعلى

21. تغيير بادئة جدول قاعدة بيانات WordPress

أثناء تثبيت WordPress ، يسألك ما إذا كنت تريد استخدام بادئة قاعدة بيانات مختلفة. عادة ما نتخطى هذه الخطوة ، لذلك يستخدم WordPress تلقائيًا (WP_) كبادئة جدول قاعدة البيانات الافتراضية. ننصحك بتغييرها بشيء قوي وفريد.

يؤدي استخدام البادئة (WP_) الافتراضية إلى جعل قاعدة بيانات WordPress عرضة لهجمات إدخال SQL. يمكن منع مثل هذه الهجمات بتغيير بادئة قاعدة البيانات (WP_) إلى شيء فريد.

بعد تثبيت WordPress ، يمكنك بسهولة تغيير بادئة جدول قاعدة البيانات الافتراضية باستخدام الإضافات أو يدويًا. تسمح لك الملحقات مثل BackupBuddy و Brozzme DB Prefix بتغيير بادئة الجدول بنقرة واحدة فقط.

من أجل البرنامج التعليمي ، أنا أعرض كيفية تغييره باستخدام البرنامج المساعد Brozzme DB Prefix.

ملحوظة: قبل أن تفعل أي شيء مع قاعدة البيانات الخاصة بك ، تأكد من أخذ نسخة احتياطية من موقعك وقاعدة البيانات. في حالة حدوث خطأ ما ، يمكنك استعادة موقعك.

أولا ، قم بتثبيت وتفعيل Brozzme DB بادئة توصيل في. من لوحة تحكم WordPress الخاصة بك ، انتقل إلى أدوات> بادئة DB وأدخل اسمًا فريدًا جديدًا لبادئة قاعدة البيانات.

Brozzme DB بادئة

بمجرد إدخال البادئة الجديدة الخاصة بك ، انقر فوق تغيير بادئة DB.

للعملية اليدوية ، اقرأ عن كيفية تغيير بادئة جدول قاعدة البيانات باستخدام phpMyAdmin

عد إلى الأعلى

22. استخدم فقط الإضافات الموثوقة WordPress

يأتي WordPress مزودًا بأكثر من 48000 مكون إضافي. هذا لا يعني أن جميع المكونات الإضافية مفيدة وآمنة للاستخدام.

نظرًا لوجود العديد من المكونات الإضافية في معرض المكونات الإضافية في WordPress والتي لا يتم تحديثها منذ فترة طويلة وعادة ما تصبح عرضة للخطر. إلى جانب ذلك ، لن تحصل على أي دعم إذا كسر المكون الإضافي موقعك.

قبل استخدام أي مكون إضافي مجاني ، هناك شيئان مهمان تحتاج إلى التحقق منهما,

  • تحقق من وقت آخر تحديث للمكوِّن الإضافي: إذا لم يتم تحديث المكوّن الإضافي بشكل متكرر أو لم يعد مطور البرنامج الإضافي محتفظًا به ، فيجب عليك تجنب المكوّن الإضافي.

نسخة البرنامج المساعد وورد التي عفا عليها الزمن

  • تحقق مما إذا كان المكون الإضافي يحتوي على تقييمات إيجابية قصوى: الشيء التالي الذي تحتاجه للتحقق مما إذا كان المكون الإضافي لديه أقصى تقييمات إيجابية أو سلبية. إذا كان المكون الإضافي يحتوي على تقييمات سلبية قصوى ، فلا يجب استخدامه.

وورد البرنامج المساعد منخفض تصنيف

يمكنك أيضًا التحقق من صفحة مراجعات ودعم المكون الإضافي لمعرفة ما يقوله المستخدمون الآخرون حول المكون الإضافي.

لكن لا تقلق. هناك العديد من المكونات الإضافية المماثلة المتاحة يمكنك العثور عليها من معرض الإضافات في WordPress.

إذا كنت ترغب في استخدام مكون إضافي متميز ، فلا داعي للقلق بشأنه. يتم تحديث المكونات الإضافية المميزة بانتظام وستحصل على دعم 24x من مطور المكونات الإضافية.

عد إلى الأعلى

23. تعطيل الإبلاغ عن خطأ PHP

طريقة أخرى رائعة لتقوية أمان WordPress هي عن طريق تعطيل تقرير خطأ PHP في WordPress. في كثير من الأحيان ، عند تثبيت مكون إضافي أو سمة قديمة ، قد ترى تحذير خطأ PHP.

وورد تحذير خطأ PHPومع ذلك ، يمكن أن يؤدي إلى تعرض موقعك للخطر إذا حصل المخترقون عليه لأنه يظهر الرمز وموقع الملف. لتقليل المخاطر ، يمكنك تعطيل الإبلاغ عن أخطاء PHP في WordPress.

يعد تعطيل تحذير خطأ PHP في WordPress أمرًا سهلاً للغاية. أولا ، قم بتحرير wp-config.php ملف والعثور على السطر الذي يحتوي على هذا الرمز:

تعريف (“WP_DEBUG” ، خطأ) ؛

قد ترى “صحيح” بدلاً من “خطأ”. الآن استبدل السطر بالكود التالي.

ini_set (“display_errors”، “Off”) ؛
ini_set (“error_reporting”، E_ALL) ؛
تعريف (“WP_DEBUG” ، خطأ) ؛
تعريف (“WP_DEBUG_DISPLAY” ، خطأ) ؛

احفظ الملف وتنتهي.

نوصيك أيضًا باستخدام مكونات إضافية حديثة وذات تصنيف جيد لتجنب هذا النوع من المشاكل.

عد إلى الأعلى

24. أضف رؤوس HTTP الآمنة إلى WordPress

طريقة أخرى رائعة لتقوية أمان WordPress هي إضافة رؤوس HTTP الآمنة إلى موقع WordPress الخاص بك.

عندما يصل شخص ما إلى موقع الويب الخاص بك ، يقوم المتصفح بتقديم طلب إلى خادم الويب الخاص بك. ثم يستجيب خادم الويب بالطلبات جنبًا إلى جنب مع رؤوس HTTP. تمر رؤوس HTTP هذه بمعلومات مثل ترميز المحتوى والتحكم في ذاكرة التخزين المؤقت ونوع المحتوى والاتصال وما إلى ذلك.

من خلال إضافة رؤوس استجابة HTTP آمنة ، يمكنك تحسين أمان WordPress الخاص بك ومنع أيضًا التخفيف من الهجمات والثغرات الأمنية.

إليك رؤوس HTTP أدناه:

  • أمان النقل الصارم HTTP (HSTS): يفرض بروتوكول HTTP Strict Transport Security (HSTS) متصفح الويب لاستخدام الاتصالات الآمنة (HTTPS) فقط عند التواصل مع موقع ويب. وهذا يمنع اختراق بروتوكول SSL ، واختطاف ملفات تعريف الارتباط ، وتجريد SSL ، إلخ.
  • خيارات إطار X: تعد خيارات X-Frame-Options نوعًا من رؤوس HTTP التي تحدد ما إذا كان المستعرض مسموحًا به لعرض موقع ويب في إطار أم لا. يمنع ذلك هجمات النقر على النقرات ويضمن عدم تضمين موقعك على الويب في مواقع الويب الأخرى التي تستخدمه .
  • حماية X-XSS: X-XSS-Protection هي ميزة مدمجة في متصفحات الإنترنت و Google Chrome و Firefox و Safari تمنع الصفحات من التحميل إذا تم إدخال نص برمجي ضار من إدخال المستخدم.
  • خيارات نوع المحتوى X: X-Content-Type-Options هو نوع من رؤوس استجابة HTTP ذات القيمة nosniff التي تمنع متصفحات الويب من التعرف على MIME لاستجابة من نوع المحتوى المعلن.
  • سياسة المُحيل: سياسة المُحيل هي رأس استجابة HTTP الذي يمنع تسرب المُحيل عبر النطاقات.

لإضافة رؤوس HTTP الآمنة في WordPress ، ما عليك سوى إضافة سطور التعليمات البرمجية التالية إلى .htaccess ملف.

تعيين رأس Strict-Transport-Security "الحد الأقصى للعمر = 31536000" env = HTTPS
يلحق الرأس دائمًا X-Frame-Options SAMEORIGIN
تعيين رأس X-XSS-Protection "1 ؛ الوضع = كتلة"
تعيين رأس nosniff X-Content-Type-Options
سياسة رأس الصفحة المرجعية: لا يوجد مرجع عند الرجوع إلى إصدار أقدم

التحقق من رؤوس الأمان

اذهب الآن إلى securityheaders.com للتحقق مما إذا كانت الرموز تعمل أم لا. لم نقم بإضافة “سياسة أمان المحتوى” لأنه قد يكسر موقعك. ومع ذلك ، يكفي أن تجعل موقع WordPress الخاص بك آمنًا.

عد إلى الأعلى

استنتاج

هناك العديد من الطرق التي يمكنك من خلالها التصلب وورد الأمن مثل: استخدام استضافة WordPress مُدارة ، استخدام كلمات مرور قوية للحسابات ، مراقبة أنشطة المستخدم ، استخدام إضافة أمان WordPress ، تنفيذ SSL و HTTPS وغيرها الكثير.

أمان هاردنغ ووردبريس ليس علم الصواريخ. يمكنك بسهولة تأمين موقع WordPress الخاص بك عن طريق تطبيق أفضل ممارسات أمان WordPress التي شاركناها في هذه المقالة. من خلال تنفيذها ، لن تقوم فقط بتأمين موقع WordPress الخاص بك ، ولكن أيضًا تمنع المتسللين من الوصول إلى موقعك.

بمجرد الانتهاء ، لن تحتاج إلى القلق بشأن أمان WordPress الخاص بك. علاوة على ذلك ، يمكنك أن تكون أكثر إنتاجية وخالية من الإجهاد.

حان الآن دورك. اقرأ المقال جيدًا وقم بتطبيقه على موقعك. سوف تكون سعيدا لأنك فعلت ذلك. ��

هل فاتنا أي نصائح أمان مهمة في WordPress لذكرها هنا؟ لا تتردد في إعلامنا في قسم التعليقات.

وورد الأمن Infographic

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector