50000 موقع للتصيد الاحتيالي كل أسبوع.
المدونات إذا كنت جادًا بشأن موقع الويب الخاص بك ، فأنت بحاجة إلى الانتباه إلى أفضل ممارسات أمان ووردبريس WordPress. في هذا الدليل ، سنشارك جميع نصائح أمان الووردبريس WordPress الرئيسية لمساعدتك في حماية موقعك على الويب من المتسللين والبرامج الضارة.
على الرغم من أن برنامج ووردبريس WordPress الأساسي آمن للغاية ، ويتم تدقيقه بانتظام من قبل مئات المطورين ، إلا أنه يمكن القيام بالكثير للحفاظ على أمان موقعك.
هناك الكثير الذي يمكنك القيام به لتحسين أمان ووردبريس WordPress الخاص بك (حتى لو لم تكن خبيرًا في التكنولوجيا).
لدينا عدد من الخطوات القابلة للتنفيذ التي يمكنك اتخاذها لحماية موقعك على الويب من الثغرات الأمنية.
ما أهمية أمان موقع الويب؟
يمكن أن يتسبب موقع WordPress الذي تم اختراقه في إلحاق ضرر بالغ بإيرادات أعمالك وسمعتها. يمكن للمتسللين سرقة معلومات المستخدم وكلمات المرور وتثبيت البرامج الضارة ، ويمكنهم أيضًا توزيع البرامج الضارة على المستخدمين.
الأسوأ من ذلك ، قد تجد نفسك تدفع الفدية للقراصنة فقط لاستعادة الوصول إلى موقع الويب الخاص بك.
موقع الالكتروني
في مارس 2016 ، أفادت Google أن أكثر من 50 مليون مستخدم لموقع الويب تم تحذيرهم من موقع ويب يزورونه قد يحتوي على برامج ضارة أو سرقة معلومات.
علاوة على ذلك ، تضع Google قوائم سوداء حول 20000 موقع للبرامج الضارة وحوالي 50.000 موقع للتصيد الاحتيالي كل أسبوع.
إذا كان موقع الويب الخاص بك هو عمل ، فأنت بحاجة إلى اهتمام إضافي لأمان ووردبريس WordPress الخاص بك.
على غرار كيف يتحمل أصحاب الأعمال مسؤولية حماية مبنى متجرهم الفعلي ، بصفتك مالكًا تجاريًا عبر الإنترنت ، تقع على عاتقك مسؤولية حماية موقع الويب الخاص بنشاطك التجاري.
اقرأ هنا : 12 علامة تدل على أن موقعك قد تم اختراقه
الحفاظ على تحديث ووردبريس WordPress
يأتي ووردبريس WordPress أيضًا مع آلاف الإضافات والمظاهر التي يمكنك تثبيتها على موقع الويب الخاص بك. يتم الحفاظ على هذه المكونات الإضافية والمظاهر من قبل مطوري الجهات الخارجية الذين يقومون بإصدار التحديثات بانتظام أيضًا.
تعد تحديثات ووردبريس WordPress هذه حاسمة لأمان واستقرار موقع الووردبريس WordPress الخاص بك. تحتاج إلى التأكد من أن نواة ووردبريس WordPress والمكونات الإضافية والمظهر محدثة.
اقرأ هنا : لماذا يجب عليك دائمًا استخدام أحدث إصدار من WordPress | ووردبريس
كلمات مرور قوية وأذونات مستخدم
انشاء موقع إلكتروني
تستخدم محاولات القرصنة الأكثر شيوعًا في ووردبريس WordPress كلمات مرور مسروقة. يمكنك جعل ذلك صعبًا باستخدام كلمات مرور أقوى فريدة لموقعك على الويب. ليس فقط لمنطقة إدارة ووردبريس WordPress ، ولكن أيضًا لحسابات FTP وقاعدة البيانات وحساب استضافة ووردبريس WordPress وعناوين البريد الإلكتروني المخصصة التي تستخدم اسم مجال موقعك.
لا يحب العديد من المبتدئين استخدام كلمات مرور قوية لأنه يصعب تذكرها. الشيء الجيد هو أنك لست بحاجة إلى تذكر كلمات المرور بعد الآن. يمكنك استخدام مدير كلمة المرور.
طريقة أخرى لتقليل المخاطر هي عدم منح أي شخص حق الوصول إلى حساب مشرف ووردبريس WordPress الخاص بك إلا إذا كان عليك ذلك تمامًا . إذا كان لديك فريق كبير أو مؤلفون زائرون ، فتأكد من فهم أدوار وإمكانيات المستخدم في ووردبريس WordPress قبل إضافة حسابات مستخدمين ومؤلفين جدد إلى موقع WordPress الخاص بك.
اقرأ هنا : 14 نصيحة لحماية لوحة تحكم ووردبريس الخاصة بك من الاختراق
دور استضافة ووردبريس WordPress
تلعب خدمة استضافة ووردبريس الخاصة بك الدور الأكثر أهمية في أمان موقع ووردبريس WordPress الخاص بك. يتخذ موفر استضافة مشترك جيد مثل Bluehost أو Siteground الإجراءات الإضافية لحماية خوادمهم من التهديدات الشائعة.
إليك كيفية عمل شركة استضافة ويب جيدة في الخلفية لحماية مواقع الويب والبيانات الخاصة بك.
- إنهم يراقبون باستمرار شبكتهم بحثًا عن نشاط مريب.
- تمتلك جميع شركات الاستضافة الجيدة أدوات لمنع هجمات DDOS واسعة النطاق
- إنهم يحتفظون ببرامج وأجهزة الخادم الخاصة بهم محدثة لمنع المتسللين من استغلال ثغرة أمنية معروفة في إصدار قديم.
- لديهم استعداد لنشر التعافي من الكوارث وخطط الحوادث التي تسمح لهم بحماية بياناتك في حالة وقوع حادث كبير.
في خطة الاستضافة المشتركة ، يمكنك مشاركة موارد الخادم مع العديد من العملاء الآخرين. هذا يفتح خطر التلوث عبر المواقع حيث يمكن للمتسلل استخدام موقع مجاور لمهاجمة موقع الويب الخاص بك.
يوفر استخدام خدمة استضافة ووردبريس WordPress المُدارة نظامًا أساسيًا أكثر أمانًا لموقعك على الويب. تقدم شركات الاستضافة المدارة في ووردبريس WordPress نسخًا احتياطيًا تلقائيًا وتحديثات WordPress التلقائية وتكوينات أمان أكثر تقدمًا لحماية موقعك على الويب
اقرأ هنا : الحصول على استضافة في هوست جيتور Hostgator بسعر خيالي جداً 0.01$ فقط
أمان ووردبريس WordPress في خطوات سهلة (بدون ترميز)
نحن نعلم أن تحسين أمان ووردبريس WordPress يمكن أن يكون فكرة صعبة للمبتدئين. خاصة إذا لم تكن فنيًا.
سنوضح لك كيف يمكنك تحسين أمان ووردبريس WordPress الخاص بك ببضع نقرات فقط (لا يلزم الترميز).
تثبيت حل النسخ الاحتياطي ووردبريس WordPress
طريقة عمل موقع الكتروني
النسخ الاحتياطية هي دفاعك الأول ضد أي هجوم على موقعك في الووردبريس WordPress. تذكر ، لا يوجد شيء آمن 100٪. إذا كان من الممكن اختراق المواقع الحكومية ، فيمكنك كذلك اختراق مواقعك.
تسمح لك النسخ الاحتياطية باستعادة موقع ووردبريس WordPress الخاص بك بسرعة في حالة حدوث شيء سيئ.
هناك العديد من الإضافات المجانية والمدفوعة من ووردبريس WordPress التي يمكنك استخدامها. أهم شيء تحتاج إلى معرفته عندما يتعلق الأمر بالنسخ الاحتياطية هو أنه يجب عليك حفظ النسخ الاحتياطية كاملة الموقع بانتظام إلى موقع بعيد (وليس حساب الاستضافة).
نوصي بتخزينه على خدمة سحابية مثل Amazon أو Dropbox .
بناءً على عدد المرات التي تقوم فيها بتحديث موقع الويب الخاص بك ، قد يكون الإعداد المثالي إما مرة واحدة في اليوم أو نسخ احتياطية في الوقت الحقيقي.
لحسن الحظ يمكن القيام بذلك بسهولة باستخدام مكونات إضافية مثل "JetPack" VaultPress أو UpdraftPlus . كلاهما موثوق به وسهل الاستخدام (لا حاجة للتشفير).
اقرأ هنا : مقارنة أفضل 7 إضافات للنسخ الاحتياطي في WordPress | ووردبريس
اقرأ هنا : كيفية النسخ الاحتياطي واستعادة موقع ووردبريس الخاص بك مع UpdraftPlus
اقرأ هنا : كيفية استعادة WordPress من النسخ الاحتياطي | ووردبريس
أفضل وورد الأمن المساعد
أنشاء مدونة
بعد النسخ الاحتياطية ، فإن الشيء التالي الذي يتعين علينا القيام به هو إعداد نظام للتدقيق والمراقبة يتتبع كل ما يحدث على موقع الويب الخاص بك.
يشمل هذا مراقبة تكامل الملف ومحاولات تسجيل الدخول الفاشلة وفحص البرامج الضارة وما إلى ذلك.
لحسن الحظ ، يمكن الاعتناء بهذا كله من خلال أفضل مكون إضافي مجاني لأمان WordPress ، Sucuri Scanner .
تحتاج إلى تثبيت وتفعيل المكوّن الإضافي المجاني Sucuri Security .
عند التنشيط ، تحتاج إلى الانتقال إلى قائمة Sucuri في مسؤول ووردبريس WordPress الخاص بك. أول شيء سيُطلب منك القيام به هو إنشاء مفتاح API مجاني. وهذا يتيح تسجيل التدقيق ، والتحقق من التكامل ، وتنبيهات البريد الإلكتروني ، والميزات الهامة الأخرى.
تساعدك هذه الخيارات في تأمين المناطق الرئيسية التي يستخدمها المتسللون غالبًا في هجماتهم. إن خيار التقسية الوحيد الذي يكون ترقية مدفوعة هو جدار حماية تطبيق الويب الذي سنشرحه في الخطوة التالية ، لذا تخطاه الآن.
لقد تناولنا أيضًا الكثير من خيارات "Hardening" لاحقًا في هذه المقالة لأولئك الذين يريدون القيام بذلك دون استخدام مكون إضافي أو تلك التي تتطلب خطوات إضافية مثل "تغيير بادئة قاعدة البيانات" أو "تغيير اسم مستخدم المسؤول".
بعد الجزء hardening ، تكون إعدادات المكونات الإضافية الافتراضية جيدة بما يكفي لمعظم مواقع الويب ولا تحتاج إلى أي تغييرات. الشيء الوحيد الذي نوصي بتخصيصه هو تنبيهات البريد الإلكتروني "Email Alerts ".
يمكن أن تؤدي إعدادات التنبيه الافتراضية إلى حدوث فوضى في البريد الوارد الخاص بك مع رسائل البريد الإلكتروني. نوصي بتلقي التنبيهات للإجراءات الرئيسية مثل التغييرات في المكونات الإضافية ، وتسجيل المستخدم الجديد ، وما إلى ذلك. يمكنك تكوين التنبيهات من خلال الانتقال إلى إعدادات Sucuri »التنبيهات "Alerts".
يعد المكون الإضافي لأمان ووردبريس WordPress قويًا جدًا ، لذلك تصفح جميع علامات التبويب والإعدادات لرؤية كل ما يفعله مثل فحص البرامج الضارة وسجلات التدقيق وتتبع محاولات تسجيل الدخول الفاشلة وما إلى ذلك.
اقرأ هنا : أفضل برامج فحص أمان ووردبريس للكشف عن البرامج الضارة والأختراق
تمكين جدار حماية تطبيق الويب (WAF)
أسهل طريقة لحماية موقعك والثقة بشأن أمان ووردبريس WordPress الخاص بك هي استخدام جدار حماية تطبيق ويب (WAF).
يحظر جدار حماية موقع الويب جميع حركة المرور الضارة قبل أن يصل إلى موقع الويب الخاص بك.
جدار حماية موقع DNS على مستوى DNS - يقوم جدار الحماية هذا بتوجيه حركة مرور موقع الويب الخاص بك عبر خوادم وكيل السحابة الخاصة بهم. هذا يسمح لهم بإرسال حركة مرور حقيقية فقط إلى خادم الويب الخاص بك.
جدار حماية مستوى التطبيق - تفحص هذه المكونات الإضافية لجدار الحماية حركة المرور بمجرد وصولها إلى الخادم الخاص بك ولكن قبل تحميل معظم نصوص ووردبريس WordPress النصية. هذه الطريقة ليست فعالة مثل جدار حماية مستوى DNS في تقليل حمل الخادم.
مكون Sucuri الاضافي أنا أوصي به كأفضل جدار حماية لتطبيق ويب لـ WordPress.
أفضل جزء في جدار الحماية Sucuri هو أنه يأتي أيضًا مع تنظيف البرامج الضارة وضمان إزالة القائمة السوداء. في الأساس إذا تم اختراقك تحت ساعتهم ، فإنهم يضمنون أنهم سيصلحون موقع الويب الخاص بك (بغض النظر عن عدد الصفحات لديك).
هذا ضمان قوي جدًا لأن إصلاح مواقع الويب المخترقة باهظة الثمن. عادة ما يتقاضى خبراء الأمن 250 دولارًا في الساعة. بينما يمكنك الحصول على حزمة الأمان Sucuri بأكملها مقابل 199 دولارًا سنويًا.
Sucuri ليس مزود جدار الحماية مستوى DNS الوحيد هناك. المنافس الشعبي الآخر هو Cloudflare.
اقرأ هنا : مقارنة أفضل 6 ملحقات لجدار حماية ووردبريس
اقرأ هنا : مقارنة مفصلة بين Sucuri و CloudFlare الإيجابيات والسلبيات
انقل موقع ووردبريس WordPress الخاص بك إلى SSL / HTTPS
قالب وورد بريس
SSL (طبقة المقابس الآمنة) هو بروتوكول يقوم بتشفير نقل البيانات بين موقعك على الويب ومتصفح المستخدمين. هذا التشفير يجعل من الصعب على شخص ما أن يتسلل ويسرق المعلومات.
بمجرد تمكين SSL ، سيستخدم موقعك الإلكتروني HTTPS بدلاً من HTTP ، سترى أيضًا علامة قفل بجوار عنوان موقع الويب الخاص بك في المستعرض.
عادةً ما يتم إصدار شهادات SSL من قبل جهات إصدار الشهادات ، وتبدأ أسعارها من 80 دولارًا إلى مئات الدولارات كل عام. نظرًا للتكلفة المضافة ، اختار معظم مالكي مواقع الويب الاستمرار في استخدام البروتوكول غير الآمن.
لإصلاح ذلك ، قررت منظمة غير ربحية تسمى Let's Encrypt تقديم شهادات SSL مجانية لأصحاب مواقع الويب. مشروعهم مدعوم من Google Chrome و Facebook و Mozilla والعديد من الشركات.
الآن ، أصبح استخدام شهادة الامان SSL لجميع مواقع ووردبريس WordPress الخاصة بك أسهل من أي وقت مضى. تقدم العديد من شركات الاستضافة الآن شهادة الأمان SSL مجانية لموقع ووردبريس WordPress الخاص بك .
اقرأ هنا : كيفية نقل WordPress بشكل صحيح من HTTP إلى HTTPS والحصول على شهادة أمان SSL مجاناً | ووردبريس
وورد الأمن لمستخدمي DIY
إذا فعلت كل ما ذكرناه حتى الآن ، فأنت في حالة جيدة جدًا.
ولكن كما هو الحال دائمًا ، هناك المزيد الذي يمكنك القيام به لتقوية أمان ووردبريس WordPress الخاص بك.
قد تتطلب بعض هذه الخطوات معرفة الترميز.
قم بتغيير اسم المستخدم الافتراضي المشرف "admin"
في الماضي ، كان اسم مستخدم مسؤول ووردبريس WordPress الافتراضي هو "admin". نظرًا لأن أسماء المستخدمين تشكل نصف بيانات اعتماد تسجيل الدخول ، فقد سهل ذلك على المتسللين تنفيذ هجمات القوة الغاشمة.
ووردبريس
لحسن الحظ ، قام ووردبريس WordPress منذ ذلك الحين بتغيير هذا الأمر ويتطلب منك الآن تحديد اسم مستخدم مخصص في وقت تثبيت ووردبريس WordPress .
ومع ذلك ، لا يزال بعض مثبتات ووردبريس WordPress بنقرة واحدة ، يضبط اسم المستخدم الافتراضي للمشرف على "admin". إذا لاحظت أن هذا هو الحال ، فمن المحتمل أن يكون من الجيد تبديل استضافة الويب الخاصة بك .
نظرًا لأن ووردبريس WordPress لا يسمح لك بتغيير أسماء المستخدمين بشكل افتراضي ، فهناك ثلاث طرق يمكنك استخدامها لتغيير اسم المستخدم.
- قم بإنشاء اسم مستخدم مسؤول جديد وحذف الاسم القديم.
- استخدم المكوّن الإضافي لـ Username Changer
- تحديث اسم المستخدم من phpMyAdmin
ملاحظة: نتحدث عن اسم المستخدم المسمى “admin” ، وليس دور المسؤول.
كيفية تغيير اسم مستخدم ووردبريس WordPress بشكل صحيح (خطوة بخطوة)
هل سبق لك أن حاولت تغيير اسم مستخدم ووردبريس WordPress الخاص بك فقط لمعرفة أنه لا يمكن تغييره؟
سنعرض لك ثلاث طرق مختلفة لتغيير اسم مستخدم ووردبريس WordPress الخاص بك.
اقرأ هنا : 14 نصيحة لحماية لوحة تحكم ووردبريس الخاصة بك من الاختراق
الطريقة الأولى: إنشاء مستخدم جديد وحذف القديم
إن أسهل طريقة لتغيير اسم مستخدم ووردبريس WordPress الخاص بك هي عن طريق إنشاء مستخدم جديد باسم المستخدم المطلوب وبدور مستخدم المسؤول . ستحتاج إلى استخدام عنوان بريد إلكتروني مختلف عن العنوان الذي يستخدمه الحساب القديم.
تحتاج الآن إلى تسجيل الخروج ثم تسجيل الدخول باستخدام حساب المستخدم الجديد الذي أنشأته للتو. انتقل إلى قسم المستخدمين وانقر على رابط حذف تحت اسم المستخدم القديم
أثناء حذف المستخدم القديم ، سيسألك ووردبريس WordPress عما تريد أن تفعله بمحتواه. تأكد من النقر فوق الخيار "Attribute all content to" ثم تحديد المستخدم الجديد الذي أنشأته للتو. انقر فوق الزر "تأكيد الحذف" لحذف حساب المستخدم القديم.
هذا كل ما قمت بتغيير اسم مستخدم ووردبريس WordPress الخاص بك بنجاح. إذا كنت ترغب في ذلك ، يمكنك تغيير عنوان البريد الإلكتروني للمستخدم الجديد لاستخدام عنوان البريد الإلكتروني القديم المرتبط باسم المستخدم القديم.
الطريقة 2: تغيير اسم المستخدم باستخدام البرنامج المساعد
طريقة أخرى بسيطة لتغيير اسم مستخدم ووردبريس WordPress الخاص بك هي استخدام مكون إضافي. إذا كنت أحد هؤلاء المستخدمين الذين لا يرغبون في تثبيت مكون إضافي لكل شيء صغير ، فدعونا نؤكد لك أنه يمكنك حذف المكون الإضافي بأمان بمجرد تغيير اسم مستخدم ووردبريس WordPress الخاص بك.
أول شيء عليك القيام به هو تثبيت وتفعيل المكوّن الإضافي لـ Username Changer . عند التنشيط ، ما عليك سوى الانتقال إلى صفحة Users »Username Changer .
الطريقة الثالثة: تغيير اسم مستخدم WordPress الخاص بك باستخدام phpMyAdmin
هذه الطريقة معقدة بعض الشيء لأنها تتطلب إجراء تغييرات مباشرة على قاعدة بيانات ووردبريس WordPress الخاصة بك. عادة لا نوصي المستخدمين بإجراء تغييرات مباشرة على قاعدة بيانات ووردبريس WordPress الخاصة بهم. ومع ذلك ، في بعض الحالات قد لا يكون لديك أي خيار آخر. على سبيل المثال ، إذا نسيت اسم مستخدم ووردبريس WordPress الخاص بك وعنوان بريدك الإلكتروني ، فلن تتمكن من الوصول إلى لوحة تحكم المشرف لتغيير اسم المستخدم.
باستخدام هذه الطريقة ، يمكنك العثور على اسم المستخدم الخاص بك وستتمكن أيضًا من تغييره.
أول شيء عليك القيام به هو تسجيل الدخول إلى cPanel الخاص بك. مرر لأسفل إلى قسم قواعد البيانات وانقر على phpMyAdmin.
بعد ذلك ، تحتاج إلى تحديد قاعدة البيانات التي تتم استضافة مدونتك فيها.
سترى جداول قاعدة بيانات ووردبريس WordPress الخاصة بك. بشكل افتراضي ، تستخدم جداول قاعدة بيانات WordPress wp_ كبادئة قبل اسم كل جدول. ربما تكون قد استخدمت بعض البادئات الأخرى.
انقر على الجدول wp_users على الجانب الأيسر. ثم انقر فوق تحرير على اسم المستخدم الذي تريد تحريره.
قم بتغيير قيمة user_login إلى أي شيء تريده. على سبيل المثال ، يمكنك استبدال "admin" بـ "المدير"
اضغط على زر Go ، وبذلك تكون قد انتهيت.
اقرأ هنا : كيفية إعادة تعيين كلمة مرور WordPress من phpMyAdmin | ووردبريس
اقرأ هنا : ماذا تفعل عندما تكون خارج تأمين WordPress | ووردبريس
تعطيل تحرير الملف
wordpress ماهو
يأتي ووردبريس WordPress مزودًا بمحرر تعليمات برمجية مدمج يتيح لك تعديل القالب وملفات الإضافات مباشرة من منطقة إدارة ووردبريس WordPress الخاصة بك.
في الأيدي الخطأ ، يمكن أن تكون هذه الميزة مخاطرة أمنية ولهذا نوصي بإيقاف تشغيلها.
يمكنك القيام بذلك بسهولة عن طريق إضافة التعليمات البرمجية التالية في ملف wp-config.php .
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
بدلاً من ذلك ، يمكنك القيام بذلك بنقرة واحدة باستخدام ميزة Hardening في المكون الإضافي Sucuri المجاني الذي ذكرناه أعلاه.
اقرأ هنا : كيفية تعطيل محرر كود القوالب والاضافات في ووردبريس (آمان ووردبريس)
تعطيل تنفيذ ملف PHP في بعض دلائل ووردبريس WordPress
هناك طريقة أخرى لتقوية أمان ووردبريس WordPress الخاص بك عن طريق تعطيل تنفيذ ملف PHP في الدلائل حيث لا تكون هناك حاجة إليه مثل / wp-content / uploads /.
يمكنك القيام بذلك عن طريق فتح محرر نصوص مثل المفكرة ولصق هذا الرمز:
<Files *.php>
deny from all
</Files>
بعد ذلك ، تحتاج إلى حفظ هذا الملف كملف htaccess وتحميله إلى / wp-content / uploads / مجلدات على موقع الويب الخاص بك باستخدام عميل FTP .
بدلاً من ذلك ، يمكنك القيام بذلك بنقرة واحدة باستخدام ميزة Hardening في المكون الإضافي Sucuri المجاني الذي ذكرناه أعلاه.
اقرأ هنا : كيفية تعطيل تنفيذ PHP في ووردبريس
كيفية تعطيل تنفيذ PHP في بعض دلائل ووردبريس
ومع ذلك ، يمكن إساءة استخدام هذه الإمكانية إذا وقعت في اليد الخاطئة مثل المتسللين الذين يمكنهم استخدامها لتحميل ملفات الوصول الخلفية أو البرامج الضارة إلى موقعك على الويب.
غالبًا ما يتم إخفاء هذه الملفات الضارة على أنها ملفات ووردبريس WordPress أساسية. غالبًا ما تكون مكتوبة بلغة PHP ويمكن تشغيلها في الخلفية للوصول الكامل إلى كل جانب من جوانب موقع الويب الخاص بك.
للتحلص من خطر المتسللين هناك حل سهل لذلك. ببساطة ، ستقوم ببساطة بتعطيل تنفيذ PHP في دلائل معينة حيث لا تحتاج إليها. عند القيام بذلك ، لن يتم تشغيل أي ملفات PHP داخل تلك الدلائل.
تعطيل تنفيذ PHP في بعض دلائل WordPress باستخدام ملف htaccess
تحتوي معظم مواقع ووردبريس WordPress على ملف htaccess في المجلد الجذر. هذا ملف تكوين قوي يستخدم لحماية منطقة المشرف بكلمة مرور ، وتعطيل تصفح الدليل ، وإنشاء بنية URL ملائمة لـ سيو SEO ، والمزيد.
بشكل افتراضي ، ملف .htaccess الموجود في المجلد الجذر لموقع الويب الخاص بك على ووردبريس WordPress ، ولكن يمكنك أيضًا إنشاؤه واستخدامه داخل أدلة WordPress الداخلية.
لحماية موقع الويب الخاص بك من ملفات الوصول المستتر ، تحتاج إلى إنشاء ملف htaccess وتحميله على / wp-include / و / wp-content / uploads / الدلائل الخاصة بموقعك.
ما عليك سوى إنشاء ملف فارغ على جهاز الكمبيوتر الخاص بك باستخدام محرر نص مثل Notepad ،TextEdit . احفظ الملف باسم htaccess. والصق الرمز التالي بداخله.
<Files *.php>
deny from all
</Files>
الآن قم بحفظ الملف على جهاز الكمبيوتر الخاص بك.
المدونات الالكترونية
بعد ذلك ، تحتاج إلى تحميل هذا الملف إلى / wp-include / و / wp-content / uploads / مجلدات على خادم استضافة ووردبريس WordPress الخاص بك .
يمكنك تحميله باستخدام عميل FTP أو عبر تطبيق File Manager في لوحة التحكم cPanel في حساب الاستضافة.
بمجرد إضافة ملف .htaccess مع الرمز أعلاه ، سيتم إيقاف تشغيل أي ملف PHP في هذه الدلائل.
يساعدك خدعة .htaccess هذه على تشديد أمان ووردبريس WordPress الخاص بك ، ولكنه ليس إصلاحًا لموقع ووردبريس WordPress تم اختراقه بالفعل.
يتم إخفاء الأبواب الخلفية بذكاء ويمكن بالفعل إخفاؤها في مرمى البصر.
إذا كنت تريد التحقق من وجود أبواب خلفية محتملة على موقع الويب الخاص بك ، فأنت بحاجة إلى تنشيط Sucuri على موقع الويب الخاص بك.
اقرأ هنا : تعلم كيفية تحسين SEO لزيادة ظهور الموقع في نتائج البحث الاولى
محاولات الحد من تسجيل الدخول
بشكل افتراضي ، يسمح ووردبريس WordPress للمستخدمين بمحاولة تسجيل الدخول قدر ما يريدون. هذا يجعل موقع ووردبريس WordPress الخاص بك عرضة لهجمات المتسللين . يحاول المتسللون اختراق كلمات المرور من خلال محاولة تسجيل الدخول بمجموعات مختلفة.
يمكن إصلاح ذلك بسهولة عن طريق الحد من محاولات تسجيل الدخول الفاشلة التي يمكن للمستخدم القيام بها. إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقًا ، فسيتم الاعتناء بذلك تلقائيًا.
ومع ذلك ، إذا لم يكن لديك إعداد جدار الحماية ، فتابع مع الخطوات أدناه.
أولاً ، تحتاج إلى تثبيت وتفعيل المكون الإضافي LockDown .
عند التنشيط ، انتقل إلى الإعدادات » صفحة تسجيل الدخول LockDown لإعداد المكون الإضافي.
تحتاج أولاً إلى تحديد عدد محاولات تسجيل الدخول التي يمكن إجراؤها. بعد ذلك ، اختر المدة التي لن يتمكن فيها المستخدم من إعادة المحاولة إذا تجاوز المحاولات الفاشلة.
يمكنك أيضًا تحديد فترة التأمين لمجموعات نطاق IP. القيمة الافتراضية هي 60 دقيقة ، يمكنك ضبط ذلك إذا كنت بحاجة.
سيسمح المكون الإضافي للمستخدمين بمواصلة تجربة أسماء مستخدمين مختلفة غير صالحة. انقر على نعم ضمن خيار تأمين أسماء المستخدمين غير الصالحة لإيقاف هذا.
بشكل افتراضي ، يتيح ووردبريس WordPress للمستخدمين معرفة ما إذا كانوا قد أدخلوا اسم مستخدم غير صالح أو كلمة مرور غير صالحة في عمليات تسجيل الدخول الفاشلة. يمكنك إخفاء هذا بالنقر فوق نعم ضمن خيار أخطاء تسجيل الدخول إلى القناع.
لا تنس النقر على زر إعدادات التحديث لتخزين التغييرات.
اقرأ هنا : كيف ولماذا يجب عليك تحديد محاولات تسجيل الدخول الخاطئة
إضافة مصادقة عاملين
تتطلب تقنية المصادقة ذات العاملين قيام المستخدمين بتسجيل الدخول باستخدام طريقة مصادقة من خطوتين. الأول هو اسم المستخدم وكلمة المرور ، والخطوة الثانية تتطلب منك المصادقة باستخدام جهاز أو تطبيق منفصل.
تسمح لك معظم مواقع الويب الأعلى مثل Google و Facebook و Twitter بتمكينها لحساباتك. يمكنك أيضًا إضافة نفس الوظيفة إلى موقع ووردبريس WordPress الخاص بك.
أولاً ، تحتاج إلى تثبيت وتفعيل المكون الإضافي المصادقة الثنائية. عند التنشيط ، تحتاج إلى النقر على رابط المصادقة الثنائية "Two Factor Auth" في الشريط الجانبي لمدير ووردبريس WordPress.
مدونة ووردبريس
بعد ذلك ، تحتاج إلى تثبيت تطبيق المصدق وفتحه على هاتفك. هناك العديد منها متاح مثل Google Authenticator و Authy و LastPass Authenticator.
نوصي باستخدام LastPass Authenticator أو Authy لأن كلاهما يسمح لك بعمل نسخة احتياطية من حساباتك على السحابة. هذا مفيد جدًا في حالة فقد هاتفك أو إعادة تعيينه أو شراء هاتف جديد. سيتم استعادة جميع تسجيلات الدخول إلى حسابك بسهولة.
سنستخدم LastPass Authenticator للبرنامج التعليمي. ومع ذلك ، فإن التعليمات مماثلة لجميع تطبيقات المصادقة. افتح تطبيق المصدق الخاص بك ، ثم انقر فوق الزر إضافة.
سيتم سؤالك عما إذا كنت ترغب في مسح موقع يدويًا أو مسح الرمز الشريطي ضوئيًا. حدد خيار مسح الرمز الشريطي ثم قم بتوجيه كاميرا الهاتف إلى رمز الاستجابة السريعة المعروض في صفحة إعدادات المكون الإضافي.
هذا كل شيء ، سيحفظه تطبيق المصادقة الخاص بك الآن. في المرة القادمة التي تقوم فيها بتسجيل الدخول إلى موقع الويب الخاص بك ، سيُطلب منك رمز المصادقة الثنائي العامل بعد إدخال كلمة المرور الخاصة بك.
ما عليك سوى فتح تطبيق المصدق على هاتفك وإدخال الرمز الذي تراه عليه.
اقرأ هنا :طريقة أضافة التحقق من خطوتين عند تسجيل الدخول الى موقع ووردبريس
كلمة السر حماية مدير ووردبريس وصفحة الدخول
عادة ، يمكن للمتسللين طلب مجلد wp-admin الخاص بك وصفحة تسجيل الدخول دون أي قيود. هذا يسمح لهم بتجربة حيل القرصنة الخاصة بهم أو تنفيذ هجمات DDoS.
يمكنك إضافة حماية إضافية لكلمة المرور على مستوى الخادم ، مما سيحظر بشكل فعال تلك الطلبات.
كيفية حماية كلمة مرور دليل ووردبريس الخاص بك (wp-admin)
تسجيل الدخول إلى cPanel الخاص بك. قم بالتمرير لأسفل حتى ترى علامة التبويب الأمان. انقر على أيقونة "حماية كلمة المرور".
عندما تنقر على ذلك ، ستظهر نافذة منبثقة مبسطة تسأل عن موقع الدليل. فقط انقر على جذر الويب. بمجرد أن تكون هناك ، انتقل إلى المجلد حيث يتم استضافة WordPress الخاص بك. ثم انقر على المجلد / wp-admin /. سترى شاشة مثل هذه:
أنشاء مدونة
ما عليك سوى تحديد المربع لحماية الدليل بكلمة مرور "password protect". ثم قم بإنشاء مستخدم للدليل. هذا هو. الآن عندما تحاول الوصول إلى دليل wp-admin الخاص بك ، يجب أن ترى مربع المصادقة المطلوبة مثل هذا:
تعطيل فهرسة وتصفح الدليل
يمكن للمتسللين استخدام تصفح الدليل لمعرفة ما إذا كان لديك أي ملفات ذات ثغرات أمنية معروفة ، حتى يتمكنوا من الاستفادة من هذه الملفات للوصول.
يمكن أيضًا استخدام تصفح الدليل من قبل أشخاص آخرين للنظر في ملفاتك ، ونسخ الصور ، ومعرفة بنية الدليل ، ومعلومات أخرى. ولهذا يوصى بشدة بإيقاف تشغيل فهرسة الدليل وتصفحه.
تحتاج إلى الاتصال بموقعك على الويب باستخدام مدير الملفات FTP أو cPanel. بعد ذلك ، حدد موقع ملف htaccess في الدليل الجذر لموقع الويب الخاص بك.
بعد ذلك ، تحتاج إلى إضافة السطر التالي في نهاية ملف .htaccess:
Options -Indexes
لا تنس حفظ ملف htaccess وتحميله مرة أخرى إلى موقعك.
بشكل افتراضي عندما يتعذر على خادم الويب العثور على ملف فهرس (أي ملف مثل index.php أو index.html) ، فإنه يعرض تلقائيًا صفحة فهرس تعرض محتويات الدليل. قد يجعل هذا موقعك عرضة لهجمات الاختراق من خلال الكشف عن المعلومات المهمة اللازمة لاستغلال الثغرة الأمنية في مكون ووردبريس WordPress الإضافي أو القالب أو خادمك بشكل عام.
لماذا تحتاج إلى تعطيل تصفح الدليل في WordPress
يمكن للمتسللين استخدام تصفح الدليل لمعرفة ما إذا كان لديك أي ملفات ذات ثغرات أمنية معروفة ، حتى يتمكنوا من الاستفادة من هذه الملفات للوصول.
يمكن أيضًا استخدام تصفح الدليل من قبل أشخاص آخرين للنظر في ملفاتك ، ونسخ الصور ، ومعرفة بنية الدليل ، ومعلومات أخرى. ولهذا يوصى بشدة بإيقاف تشغيل فهرسة الدليل وتصفحه.
اقرأ هنا : كيفية حماية موقعك من هجمات الاختراق Force Attack (خطوة بخطوة)
قم بتعطيل XML-RPC في WordPress
تم تمكين XML-RPC بشكل افتراضي في WordPress 3.5 لأنه يساعد على ربط موقع WordPress الخاص بك بتطبيقات الويب والجوال.
بسبب طبيعتها القوية ، يمكن لـ XML-RPC تضخيم هجمات المتسللين بشكل كبير.
على سبيل المثال ، إذا أراد أحد المتسللين بشكل تقليدي تجربة 500 كلمة مرور مختلفة على موقعك على الويب ، فسيتعين عليه إجراء 500 محاولة تسجيل دخول منفصلة سيتم اكتشافها وحظرها بواسطة المكوّن الإضافي لقفل تسجيل الدخول.
ولكن مع XML-RPC ، يمكن للمتسلل استخدام وظيفة system.multicall لتجربة آلاف كلمات المرور مع 20 أو 50 طلبًا.
هذا هو السبب إذا كنت لا تستخدم XML-RPC ، فإننا نوصي بتعطيله.
كيفية تعطيل XML-RPC في وورد
ما هو XML-RPC؟
هو استدعاء إجراء بعيد يستخدم XML لترميز مكالماته و HTTP كآلية نقل. باختصار ، إنه نظام يسمح لك بالنشر على مدونة ووردبريس WordPress الخاصة بك باستخدام عملاء مدونات الويب الشائعة مثل Windows Live Writer . هناك حاجة أيضًا إذا كنت تستخدم تطبيق WordPress للجوال. هناك حاجة أيضًا إذا كنت تريد إجراء اتصالات بخدمات مثل IFTTT .
إذا كنت تريد الوصول إلى مدونتك ونشرها عن بُعد ، فأنت بحاجة إلى تمكين XML-RPC.
موقع ووردبريس
لم يعد هناك سبب مقنع لتعطيل هذا بشكل افتراضي. حان الوقت لإزالة هذا الخيار تمامًا.
مع تزايد استخدام الهاتف المحمول ، كان هذا التغيير وشيكًا. ومع ذلك ، قد يقول بعض الأشخاص الحذرين في مجال الأمن أنه على الرغم من أن أمان XML-RPC ليس بهذه المشكلة ، إلا أنه لا يزال يوفر سطحًا إضافيًا للهجوم إذا تم العثور على ثغرة. وبالتالي ، فإن إبقائها معطلة سيكون أكثر منطقية.
لإرضاء الجميع ، بينما تمت إزالة خيار واجهة المستخدم وخيار قاعدة البيانات لإيقاف تشغيل XML-RPC ، هناك مرشح يمكنك استخدامه لإيقاف تشغيله إذا لزم الأمر.
كيفية تعطيل XML-RPC في WordPress 3.5
كل ما عليك فعله هو لصق الكود التالي في مكون إضافي خاص بالموقع:
add_filter('xmlrpc_enabled', '__return_false');
بدلاً من ذلك ، يمكنك فقط تثبيت المكون الإضافي المسمى Disable XML-RPC . كل ما عليك فعله هو تفعيله. يفعل نفس الشيء بالضبط مثل الرمز أعلاه.
كيفية تعطيل ووردبريس XML - RPC مع .htaccess
في حين أن الحل المذكور أعلاه كافٍ للكثيرين ، إلا أنه يمكن أن يكون مكثفًا للموارد بالنسبة للمواقع التي تتعرض للهجوم.
في هذه الحالات ، قد ترغب في تعطيل جميع طلبات xmlrpc.php من ملف htaccess قبل تمرير الطلب إلى WordPress.
قم ببساطة بلصق الكود التالي في ملف htaccess الخاص بك:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
نصيحة: تعد طريقة .htaccess هي الطريقة الأفضل لأنها الأقل استهلاكًا للموارد.
إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقًا ، فيمكن عندئذٍ الاعتناء بذلك بواسطة جدار الحماية.
تسجيل خروج المستخدمين تلقائيًا في WordPress
إضافات ووردبريس
يمكن للمستخدمين الذين قاموا بتسجيل الدخول في بعض الأحيان التجول بعيدًا عن الشاشة ، مما يشكل خطرًا على الأمان. يمكن لأي شخص اختطاف جلسته أو تغيير كلمات المرور أو إجراء تغييرات على حسابه.
هذا هو السبب في قيام العديد من المواقع المصرفية والمالية بتسجيل خروج المستخدم غير النشط تلقائيًا. يمكنك تنفيذ وظائف مماثلة على موقع ووردبريس WordPress الخاص بك أيضًا.
ستحتاج إلى تثبيت وتفعيل المكوّن الإضافي Inactive Logout . عند التنشيط ، انتقل إلى الإعدادات » صفحة تسجيل الخروج غير النشط لتكوين إعدادات المكون الإضافي.
ما عليك سوى تحديد المدة الزمنية وإضافة رسالة تسجيل الخروج. لا تنس النقر على زر حفظ التغييرات لتخزين إعداداتك.
أضف أسئلة الأمان إلى شاشة تسجيل الدخول إلى WordPress
إن إضافة سؤال أمان إلى شاشة تسجيل الدخول إلى ووردبريس WordPress يجعل من الصعب على أي شخص الحصول على وصول غير مصرح به.
يمكنك إضافة أسئلة الأمان عن طريق تثبيت البرنامج المساعد WP Security Questions . عند التنشيط ، تحتاج إلى زيارة الإعدادات »صفحة أسئلة الأمان لتكوين إعدادات المكون الإضافي.
كيفية إضافة أسئلة الأمان إلى شاشة تسجيل الدخول إلى WordPress
لماذا تضيف أسئلة الأمان إلى نماذج تسجيل الدخول والتسجيل في WordPress؟
هناك العديد من الطرق لحماية منطقة إدارة WordPress من الوصول غير المصرح به. ومع ذلك ، إذا قمت بتشغيل موقع عضوية متعدد المستخدمين أو WordPress ، فسيصبح من الصعب الاختيار بين الأمان وتجربة المستخدم.
تعمل إضافة سؤال أمان إلى شاشة تسجيل الدخول إلى موقع ووردبريس WordPress الخاص بك مثل كلمة مرور إضافية. يمكن للمستخدمين اختيار سؤال من قائمة الأسئلة العشوائية ثم إضافة إجابة على هذا السؤال.
وهذا يجعل من الصعب على المتسللين الدخول إلى موقع ويب باستخدام كلمة مرور مخترقة أو عنوان بريد إلكتروني.
بعد أضافتك المكون الاضافي WP Security Questions ، تحتاج إلى زيارة الإعدادات »صفحة أسئلة الأمان لتكوين إعدادات المكون الإضافي.
سترى قائمة بأسئلة الأمان التي تم إعدادها بالفعل. يمكنك إضافة أسئلة الأمان الخاصة بك عن طريق النقر على زر إضافة المزيد "Add more" في الأسفل. بدلاً من ذلك ، يمكنك أيضًا تعديل الأسئلة الموجودة أو إزالتها.
في أسفل صفحات الإعدادات ، ستجد خيارات لتمكين أسئلة الأمان على صفحات تسجيل الدخول والتسجيل وفقدان كلمة المرور.
لا تنس النقر على زر حفظ الإعدادات لتخزين التغييرات.
هذا كل شئ. من الآن فصاعدًا ، سيُطلب من جميع المستخدمين على موقعك تحديد سؤال الأمان والإجابة عليه في صفحة تسجيل الدخول.
يمكن للمستخدمين المسجلين في موقع ووردبريس WordPress الخاص بك زيارة صفحة ملفهم الشخصي لتحديد سؤال الأمان وإضافة إجابتهم إليه.
سيظل المستخدمون الذين لم يحددوا سؤال أمان قادرين على تسجيل الدخول باستخدام اسم المستخدم / البريد الإلكتروني وكلمة المرور الخاصة بهم.
إذا قمت بتمكين أسئلة الأمان في صفحة التسجيل ، فسيتمكن المستخدمون الجدد من تحديد سؤال الأمان أثناء التسجيل.
سيطلب تمكين سؤال الأمان في صفحة كلمة المرور المنسية من المستخدمين الإجابة على سؤال الأمان الخاص بهم للحصول على البريد الإلكتروني لإعادة تعيين كلمة المرور.
إذا تم اختراق عنوان البريد الإلكتروني الخاص بالمستخدم ، فسيؤدي ذلك إلى إيقاف وصول شخص ما عن طريق إعادة تعيين كلمة المرور .
مسح ووردبريس بحثًا عن البرامج الضارة ومجموعات الضعف
إذا كان لديك مكونًا إضافيًا لأمان ووردبريس WordPress مثبتًا ، فستتحقق هذه المكونات الإضافية بشكل روتيني من البرامج الضارة وعلامات اختراق الأمان.
ومع ذلك ، إذا لاحظت انخفاضًا مفاجئًا في عدد زيارات موقع الويب أو ترتيب البحث ، فقد ترغب في إجراء فحص يدويًا. يمكنك استخدام المكوّن الإضافي للأمان في WordPress ، أو استخدام أحد هذه الماسحات الضوئية للبرامج الضارة والأمان .
يعد إجراء عمليات المسح عبر الإنترنت أمرًا مباشرًا تمامًا ، فأنت تقوم فقط بإدخال عناوين URL لموقع الويب الخاص بك ، وتقوم برامج الزحف الخاصة بهم بالانتقال عبر موقع الويب الخاص بك للبحث عن البرامج الضارة المعروفة والرموز الضارة.
ضع في اعتبارك الآن أن معظم الماسحات الضوئية للأمان في WordPress يمكنها فقط فحص موقعك على الويب. لا يمكنهم إزالة البرامج الضارة أو تنظيف موقع WordPress تم اختراقه.
اقرأ هنا :أفضل برامج فحص أمان ووردبريس للكشف عن البرامج الضارة والأختراق
هذا ينقلنا إلى القسم التالي ، وهو تنظيف البرامج الضارة ومواقع WordPress المخترقة.
إصلاح موقع وورد المخترق
لا يدرك العديد من مستخدمي ووردبريس WordPress أهمية النسخ الاحتياطية وأمان موقع الويب حتى يتم اختراق موقع الويب الخاص بهم.
قد يكون تنظيف موقع ووردبريس WordPress أمرًا صعبًا للغاية ويستغرق وقتًا طويلاً. ستكون نصيحتنا الأولى هي السماح للمحترف بالاعتناء بها.
يقوم المخترقون بتثبيت الأبواب الخلفية على المواقع المتأثرة ، وإذا لم يتم إصلاح هذه الأبواب الخلفية بشكل صحيح ، فمن المحتمل أن يتم اختراق موقعك الإلكتروني مرة أخرى.
إن السماح لشركة أمنية محترفة مثل Sucuri لإصلاح موقعك الإلكتروني سيضمن أن موقعك آمن للاستخدام مرة أخرى. سيحميك أيضًا من أي هجمات مستقبلية.
اقرأ هنا : دليل المبتدئين لإصلاح موقع ووردبريس المخترق
نأمل أن تساعدك هذه المقالة على تعلم كيفية الحفاظ على آمان موقعك في ووردبريس WordPress من الاختراق.
إذا أعجبك هذا المقال ، فالرجاء أضافة تعليق وتققيم للموضوع .
أذا كان لديك أي أستفسار لاتتردد بمراسلتنا هنا
اقرأ هنا : كيفية تحرير ملف wp-config.php في WordPress | ووردبريس
اقرأ هنا : كيفية ربط تحليلات جوجل Google Analytics في WordPress | ووردبريس
كلمات دلالية :
المدونات,أنشاء مدونة,استضافة المواقع,موقع ووردبريس,قالب وورد بريس,قالب ورد بريس,ووردبريس,موقع ووردبريس,wordpress شرح,wordpress ماهو,قوالب ووردبريس مدفوعة مجانا,انواع المدونات,انشاء موقع wordpress مجاني,wordpress تحميل,مدونات شخصية,المدونات الالكترونية,قوالب ووردبريس عربية مجانية,ووردبريس عربي,ما هي المدونة,استضافة مجانية ووردبريس,انشاء مدونة ووردبريس,ما هو الووردبريس,قالب ووردبريس مجاني,افضل قالب ووردبريس,تصميم قوالب ووردبريس,ما معنى مدونة شخصية,قالب ووردبريس اخباري,المدونات الإلكترونية,مدونة ووردبريس,نور للمعلوماتية
0 التعليقات
