بغض النظر عن حجم موقع الويب الخاص بك ، يمكن أن يكون فقد بيانات موقعك أو عدم القدرة على الوصول إلى موقع الويب الخاص بك تجربة مثيرة للأعصاب. يعد WordPress ، الذي يشغل أكثر من 25٪ من الويب ، أحد أكثر المواقع الإلكترونية استهدافًا للمتسللين.
في مشاركاتنا السابقة ، أظهرنا لك عدد من النصائح والحيل التي غطت بالفعل كل شيء تقريبًا لتأمين موقع ووردبريس الخاص بك. لا يزال ، هناك دائما مجال للتحسين. في هذا المنشور ، سننظر في بعض النصائح الإضافية لمساعدتك في جعل موقع WordPress الخاص بك أكثر صعوبة.
1. Bcrypt كلمة المرور هاش
بدأ WordPress في عام 2003 عندما ظل PHP والويب بشكل عام في أيامهما الأولى. لم يكن فيس بوك موجودًا حتى الآن ، فلم يكن لدى PHP بنية مدمجة في OOP (البرمجة الموجهة للكائنات) ؛ من هنا ، ورثت ووردبريس إرثًا لم يعد مثاليًا اليوم - بما في ذلك كيف يشفر كلمة السر.
وورد حتى يومنا هذا لا يزال يستخدم MD5 تجزئة. في الأساس ، ما يفعله هو تحويل الخاص بك 123456 كلمة المرور إلى شيء من هذا القبيل e10adc3949ba59abbe56e057f20f883e.
ومع ذلك ، لأن أجهزة الكمبيوتر الآن أكثر تطوراً من 10 سنوات مضت المجزأة يمكن الآن عكس كلمة المرور بسهولة إلى شكلها العاري على الفور تقريبًا.
PHP لديه تشفير الأم منذ الإصدار 5.5 وإذا كان WordPress يعمل في PHP5.5 أو أعلى ، فهناك ملحق مفيد يسمى wp-password-bcrypt يسمح لك بتبني هذه الأداة المساعدة الأصلية في PHP.
تثبيت وتفعيل البرنامج المساعد من خلال الملحن أو من خلال الإضافات MU. أعد حفظ كلمة المرور الخاصة بك وأنت جاهز تمامًا.
2. تمكين حماية WordPress.com
Brute-Force هي محاولة اختراق شائعة حيث يحاول المهاجمون تسجيل الدخول إلى موقع الويب الخاص بك عن طريق تخمين العديد من كلمات المرور الممكنة ، وعادةً ما تكون الكلمات الموجودة في القاموس. هذا هو السبب في أنه يجب عليك تعيين كلمة مرور يصعب تخمينها.
اكتسب Automattic ، الأشخاص الذين يقفون وراء WordPress.com ، أحد أشهر مكونات WordPress التي يمكنها مواجهة هجمات القوة الغاشمة. يطلق عليه BruteProtect ، ويتكامل مع Jetpack.
استنادا إلى تجربتنا ، فقد ساعدنا بشكل كبير مكافحة هجمات القوة الغاشمة أكثر من ما يقرب من مليون مرات.
Jetpack Dashboard Widget يبلغ عن عدد الهجمات غير المرغوب فيها التي تمت مواجهتها.
للحصول عليه ، تحتاج إلى تثبيت أحدث إصدار من Jetpack وتوصيل موقع الويب الخاص بك إلى WordPress.com. ثم تمكين “يحمي” وحدة ، والقائمة البيضاء عنوان IP الخاص بك كذلك.
الآن يجب أن تشعر بأمان أكثر قليلاً.
3. إخفاء عنوان URL الخاص بتسجيل الدخول
ووردبريس معروف جدًا بصفحة تسجيل الدخول, الفسفور الابيض بين login.php. وبالتالي يعرف المتسللين الصفحة المحددة لتوجيه هجمات القوة الغاشمة. يمكنك أن تجعل الأمر أكثر صعوبة بالنسبة لهم تمويه عنوان URL الخاص بتسجيل الدخول إلى WordPress.
لحسن الحظ ، هناك بعض الإضافات التي توفر هذه الأداة:
أمن iThemes
WPS إخفاء تسجيل الدخول
4. تعطيل “نسيت كلمة المرور”
ال “نسيت كلمة المرور” الأداة المساعدة في نموذج تسجيل الدخول هي وسيلة للمهاجمين ، الذين عادةً ما يستخدمون حقنة SQL للحصول على بيانات اعتماد تسجيل الدخول الخاصة بك. إذا كان هناك عدد قليل فقط من الأشخاص الذين لديهم حق الوصول إلى منطقة المسؤول ، فقد يكون من الأفضل إيقاف تشغيله.
للقيام بذلك ، قم بإنشاء تحميل ملف جديد - قم بتسمية ذلك ننسى password.php.
أولاً نغيّر عنوان URL الخاص بكلمة المرور المفقودة:
أزل الرابط. لسوء الحظ ، لا يوفر WordPress ربطًا صحيحًا للقيام بذلك بدقة من خلال add_filter وظيفة. لذلك ، نحن نفعل ذلك باستخدام JavaScript بدلاً من ذلك.
الدالة lostpassword_elem ($ page) ؟>
وأخيرا ، نحن إعادة توجيه “كلمة مرور مفقودة” URL إلى شاشة تسجيل الدخول.
يوفر HTTPS موقعك طبقة إضافية من الأمان مع نقل البيانات. قد يمنحك أيضًا زيادة في تصنيفات بحث Google. والآن يمكنك الحصول على شهادة HTTPS صالحة مجانا من خلال المبادرة الجماعية دعونا تشفير.
لمواقع ووردبريس يمكنك بسهولة الحصول على دعونا تشفير شهادة مع الفسفور الابيض تشفير. لذلك ليس هناك سبب يمنعك من نشر HTTPS في موقع الويب الخاص بك اليوم.
تغليف
أود فقط أن أترككم مع التذكير بأنه على الرغم من كل هذه المحاولات ، فإن مواقعنا على الويب يمكن أن يكون لا يزال عرضة للهجمات ، والمتسللين وتعرض للخطر من قبل المتسللين من خلال وسائل تتجاوز فهمنا. حتى الشركات الكبيرة مثل Dropbox و LinkedIn سقطت فريسة للتهديدات الأمنية.
كملاذ أخير, تذكر أن تقوم بعمل نسخة احتياطية لملفات وقاعدة بيانات موقع الويب الخاص بك بانتظام كلما استطعت.
