10 نصائح قليلة الفعالية لتأمين مدونة ووردبريس الخاصة بك

إن الحصول على مدونة مخترقة وخسارة لسنوات بعد سنوات من العمل التدويني بين عشية وضحاها هو حقيقة محزنة أن الناس قد مرت بالفعل. في الواقع ، تُظهر الأبحاث أن 37000 موقع ويب يتم اختراقها يوميًا ، ومع تشغيل WordPress لحوالي 25.4٪ من جميع مواقع الويب ، يمكنك التأكد من أن عددًا كبيرًا من مدونات WordPress يتم اختراقها يوميًا.

أمان WordPress هو لعبة كرة مختلفة تمامًا. بمجرد امتلاكك مدونة WordPress ، لم تعد نصائح مثل وجود اسم مستخدم يصعب تخمينه وكلمة مرور صعبة مثل rock لم تعد كافية. ا واحد عربات التي تجرها الدواب سمة ، البرنامج المساعد خاطئ ، أو ملف محمي بشكل غير صحيح يمكن أن يؤدي إلى اختراق مدونتك بين عشية وضحاها.

سواء أكان لديك خبرة في استخدام WordPress ، أو كنت تستخدم النظام الأساسي منذ وجوده ، فإن هذه المقالة لديها 10 طرق عملية وفعالة لتأمين مدونتك على ووردبريس أن أي شخص يمكن أن تنفذ. لن تجد معظم هذه النصائح في مقالات "كيفية تأمين مدونتك" الشائعة ، لكن يمكنها حفظ مدونتك جيدًا في يوم من الأيام!

1. تعطيل محرر ووردبريس موضوع ومكون البرنامج المساعد

يحتوي WordPress على ميزة مفيدة تمنح أصحاب المواقع مزيدًا من المرونة من خلال السماح لهم بتخصيص وتحرير السمات والإضافات الخاصة بهم مباشرةً من لوحة معلومات WordPress ، لكن هذه الميزة تم التراجع عنها في معظم المدونات.

مع هذه الميزة ، خطأ بسيط يمكن أن يحطم موقعك ويؤمن لك الخروج من موقع الويب الخاص بك. يمكن للمتطفلين بسهولة إدخال تعليمات برمجية ضارة في نسختك لمنحهم حق الوصول الخلفي إلى موقعك ، أو حتى السيطرة على موقعك تمامًا ، من خلال التحكم في حساب يتمتع بامتيازات كافية لاستخدام محرر السمات والمكونات الإضافية.

يمكنك حماية نفسك عن طريق تعطيل البرنامج المساعد ومحرر السمات, مما يجعل من المستحيل تعديل السمات والإضافات دون الوصول إلى FTP.

قم بذلك عن طريق إضافة الكود التالي إلى ملف wp-config.php:

define ('DISALLOW_FILE_EDIT' ، صحيح) ؛

2. تمكين المصادقة الثنائية

أصبحت المصادقة ثنائية العوامل إحدى أكثر الطرق الموثوقة لحماية حساباتك على الإنترنت ، وستصر معظم المواقع الموثوق بها على أن مستخدميها يمكنهم تمكينها.

على الرغم من أن WordPress لا يحتوي بالضرورة على مصادقة ثنائية عامل مضمن فيه ، يمكنك تمكين المصادقة ثنائية العامل على مدونتك عن طريق تثبيت المكونات الإضافية التالية:

• مصدق جوجل
• Authy
• المفتاح
• Rublon

3. الحد من عمليات تسجيل الدخول بناءً على عدد المحاولات الفاشلة

هناك العديد من الطرق التي يحاول بها المتسللون الوصول إلى مدونتك ، وأحد الأساليب الأكثر شيوعًا هي الهجوم الوحشي: يحاول المتسلل الجمع بين أسماء المستخدمين وكلمات المرور ، مرارًا وتكرارًا ، حتى يتمكن من الوصول بنجاح إلى مدونتك. مدونتك.

بشكل افتراضي ، WordPress غير محمي ضد هذا الهجوم. من خلال تثبيت المكونات الإضافية التي تحد من عمليات تسجيل الدخول بعد عدد معين من المحاولات الفاشلة من عنوان IP معين ، يمكنك زيادة صعوبة حصول المتسللين على مدونتك.

البرنامج المساعد Jetpack Protect Module يمكنه أيضًا حمايتك من الهجمات الوحشية.

4. بانتظام مسح مدونتك

يمكن استخدام ملفات السمات والإضافات والروابط وعناصر أخرى تبدو غير ضارة للوصول إلى مدونتك. لا تنتظر حتى يتم إصابة موقع الويب الخاص بك تمامًا قبل اتخاذ الإجراءات. بدلاً من ذلك ، قم بتثبيت المكونات الإضافية لمسح الأمان لفحص موقع الويب الخاص بك بانتظام وإعلامك إذا تغيرت ملفاتك.

مثال جيد على البرنامج المساعد لمسح الأمان هو Wordfence. إلى جانب إعطائك خيار المسح اليدوي / التلقائي لمدونة WordPress الخاصة بك ، فإنه يخطرك أيضًا على الفور عند حدوث نشاط مريب في مدونتك.

كما يرسل معلومات حول التعليقات التي يحتمل أن تكون ضارة ، وذلك يقارن الموضوع الخاص بك وملفات البرنامج المساعد مع مستودع ووردبريس ل نعلمك إذا كان قد تم تعديل نسختك من البرنامج المساعد أو السمة ويمكن أن تكون بمثابة مستتر للمتسللين إلى موقعك.

المكونات الإضافية للأمان التي يمكن أن تساعدك في فحص مدونتك بحثًا عن البرامج الضارة والاستغلالات هي:

• سوكوري الأمن الماسح الضوئي
• برنامج Acunetix WP Security
• أمان iThemes (المعروف سابقًا باسم "أمان أفضل من WP")

5. تغيير المضيف الخاص بك

في حين أن هذا يبدو وكأنه نصيحة مبسطة ، فإنه في الواقع لديه الكثير من الوزن. وتبين البحوث أن 41 ٪ من المواقع اختراق وورد كانت اخترق من خلال ثغرة أمنية على منصة الاستضافة الخاصة بهم. هذا أكثر بكثير من المصادر الأخرى ، بما في ذلك وجود كلمة مرور ضعيفة.

يمكن أن يلعب مضيفك دورًا رئيسيًا فيما إذا كنت ستتعرض للاختراق أم لا ؛ تأكد من أنك فقط انتقل إلى مضيفات الويب الموثوقة التي صمدت أمام اختبار الزمن وذلك الامتثال لأفضل الممارسات الصناعية.

6. إخفاء رقم الإصدار الخاص بك في ووردبريس

افتراضيًا ، يعرض WordPress رقم إصدار WordPress الخاص بك ؛ هذا يجعل من السهل على WordPress تتبع عدد مدونات WordPress النشطة في جميع أنحاء العالم. ومع ذلك ، يمكن أن يكون هذا أيضًا مصدرًا كبيرًا للمشكلة ؛ يمكن المتسللين والبوتات مسح الويب بحثًا عن المدونات استخدام رقم إصدار WordPress به ثغرة أمنية معروفة, يجعلك هدفا سهلا.

يمكنك بسهولة حل هذه المشكلة عن طريق إخفاء رقم إصدار WordPress الخاص بك. لإخفاء رقم إصدار WordPress الخاص بك ، ما عليك سوى إضافة التعليمة البرمجية التالية إلى ملف jobs.php الخاص بك:

add_filter ('the_generator'، '__return_null')؛

7. تعطيل تقارير خطأ PHP

عندما لا يعمل البرنامج المساعد أو السمة بشكل جيد على مدونة WordPress الخاصة بك ، يمكن أن تساعد تقارير أخطاء PHP من خلال عرض رسالة تكشف عن سبب الخطأ. ومع ذلك ، في هذه الميزة يكمن عيب: عندما يتم الإبلاغ عن خطأ PHP ، فإنه يتضمن مسار الخادم الكامل للخطأ ، وكشف المعلومات أن المتسللين يمكن استخدامها ضدك.

يمكنك حماية نفسك من قبل تعطيل الإبلاغ عن خطأ PHP. ببساطة أضف الكود التالي إلى ملف wp-config.php:

 error_reporting (0)؛ ini_set ('display_errors' ، 0) ؛

8. العمل على أذونات ملف WordPress الخاص بك

عندما يتعلق الأمر بمنع موقع WordPress من استغلال الأمان ، فمن الضروري القيام بذلك تأكد من أن لديك أذونات الملف الصحيح. هذا يجعل من الصعب على أي متسلل التعامل مع الإضافات أو السمات أو الملفات على الخادم الخاص بك لتولي موقع الويب الخاص بك.

تأكد من أن وورد مجلد يتم تعيين الأذونات إلى 755 أو 750 ؛ ملف يتم تعيين أذونات إلى 640 أو 644 ؛ وأنه تم تعيين إذن wp-config.php إلى 600.

9. ضمان النسخ الاحتياطي العادية

يتم اختراق مواقع الويب الكبيرة التي تضم فريقًا من خبراء الأمن والمستشارين ، وفي حين أن اتباع أفضل الممارسات يمكن أن يجعل موقع الويب الخاص بك أقوى من 99.9٪ من مواقع الويب ، إلا أن الأمور ما زالت قابلة للكسر.

أفضل أمان لديك ضد هجمات اختراق WordPress هو نسخة احتياطية جيدة ؛ تأكد من عمل نسخ احتياطية من موقعك على أساس منتظم - إن أمكن ، يوميًا. وبهذه الطريقة ، إذا تم اختراق موقع الويب الخاص بك لديك ملفاتك في مكانها و يمكن استعادة الأشياء على الفور.

فيما يلي بعض من أفضل ملحقات النسخ الاحتياطي في WordPress:

• BackUpWordPress
• جاهز! دعم
• VaultPress
• BackupBuddy

10. الحد من الوصول إلى صفحة تسجيل الدخول الخاصة بك

عندما يتعلق الأمر بالدفع ، قد تضطر إلى اتخاذ بعض الإجراءات الصارمة. طريقة موثوقة للغاية لحماية مدونتك من محاولات الاختراق منع الوصول بالكامل إلى صفحة wp-admin و wp-login.php.

هذا ينصح فقط إذا كنت استخدام عنوان IP واحد لا يتغير (لا تريد أن تغلق نفسك من مدونتك!). لا يزال بإمكانك استخدام هذا الخيار إذا كنت تستخدم أكثر من عنوان IP واحد ولكن تتبع هذه العناوين.

لتقييد الوصول إلى صفحة تسجيل الدخول الخاصة بك ، أضف الكود التالي إلى ملف htaccess الخاص بك:

  RewriteEngine على RewriteCond٪ REQUEST_URI ^ (. *)؟ wp-login \ .php (. *) $ [OR] RewriteCond٪ REQUEST_URI ^ (. *)؟ wp-admin $ RewriteCond٪ REMOTE_ADDR! ^ عنوان IP 1 $ RewriteCond٪ REMOTE_ADDR! ^ عنوان IP الخاص بك 2 $ RewriteCond٪ REMOTE_ADDR! ^ عنوان IP الخاص بك 3 $ RewriteCond٪ REMOTE_ADDR! ^ عنوان IP الخاص بك 4 $ RewriteCond٪ REMOTE_ADDR! ^ عنوان IP الخاص بك 5 $ RewriteRule ^ (. *) $ - [R = 403، L] 

تأكد من التعديل عنوان IP الخاص بك 1 من خلال ل عنوان IP الخاص بك 5 باستخدام عناوين IP المختلفة التي تريد منحها حق الوصول ؛ يمكنك ببساطة إضافة خط أو إزالته للسماح لمزيد من عناوين IP أو منعها من الوصول إلى موقعك.

استنتاج

بالطبع ، يجب ألا تتجاهل نصائح الأمان الأساسية مثل عدم استخدام اسم مستخدم يمكن التنبؤ به ، أو وجود كلمة مرور قوية ، أو تحديث تثبيت WordPress بانتظام ، وما إلى ذلك. ما سبق هو بعض النصائح الأمنية غير المعروفة والتي يتم تجاهلها في كثير من الأحيان والتي يمكن أن تجعل وورد بلوق فقط أكثر أمنا قليلا.

ملحوظة المحرر: هذا الضيف هو مكتوب ل Hongkiat.com من قبل جون ستيفنز. جون هو وورد وخبير استضافة. هو المؤسس والرئيس التنفيذي لشركة HostingFacts.com, بوابة حيث يستعرض ويقيم مضيفي الويب بناءً على الأداء.