نصائح أمان WordPress الخاصة بـ Layman: تأمين تسجيل دخول WordPress الخاص بك وممارسات الأمان الأخرى

منذ أن تم تقديمه لأول مرة منذ أكثر من عقدين من الزمن ، نما WordPress (ونما) الآن بأمان ليكون نظام إدارة المحتوى الأكثر شعبية في العالم. اليوم ، يتم تشغيل أكثر من ربع مواقع الويب الموجودة على WordPress.


ولكن منذ زمن سحيق ، كلما كان الشيء الأكثر شيوعًا ، زاد رغبة الناس في الاستفادة منه لوسائل شائنة. ما عليك سوى إلقاء نظرة على Microsoft Windows والعدد الهائل من البرامج الضارة والفيروسات والمآثر الأخرى المصممة لاستهداف نظام التشغيل المحدد هذا فقط.

10 إصدارات WordPress مع معظم نقاط الضعف (المصدر). حددت الأبحاث في عام 2017 74 إصدارًا مختلفًا من WordPress في مليون موقع ويب أليكسا. 11 من هذه الإصدارات غير صالحة – على سبيل المثال الإصدار 6.6.6 (المصدر).

لماذا تعد مدونة WordPress الخاصة بك هدفًا قيمًا?

إذا كنت تتساءل عن سبب رغبة المخترق في التحكم في مدونة WordPress الخاصة بك ، فهناك عدة أسباب منها:

  • استخدامه لإرسال رسائل البريد الإلكتروني العشوائية سرا
  • سرقة بياناتك مثل قائمة بريدية أو معلومات بطاقة الائتمان
  • إضافة موقعك إلى الروبوتات التي يمكنهم استخدامها لاحقًا

لحسن الحظ ، WordPress هي منصة توفر لك العديد من الفرص للدفاع عن نفسك. بعد أن ساعدت في إعداد وإدارة العديد من مواقع الويب والمدونات بنفسي ، أود أن أشارك معك بعض الأشياء الأساسية التي يمكنك القيام بها للمساعدة في تأمين موقع WordPress الخاص بك.

فيما يلي 10 تلميحات أمان قابلة للتنفيذ يمكنك الاستفادة منها.

تأمين صفحة تسجيل الدخول إلى WordPress الخاصة بك

لا يمكن حماية صفحة تسجيل الدخول الخاصة بك باستخدام أي تقنية محددة ، ولكن هناك بالتأكيد خطوات وإضافات أمان مجانية يمكنك اتخاذها لجعل أي هجمات أقل احتمالا للنجاح.

من المؤكد أن صفحة تسجيل الدخول إلى موقعك هي واحدة من أكثر الصفحات عرضة للخطر على موقع الويب الخاص بك ، لذلك دعونا نبدأ في جعل صفحة تسجيل الدخول إلى موقع WordPress الخاص بك أكثر أمانًا قليلاً.

1. اختر اسم مستخدم مسؤول جيد

استخدم أسماء مستخدمين غير عادية. في السابق مع WordPress ، كان عليك البدء باستخدام اسم مستخدم مسؤول افتراضي ، ولكن هذا لم يعد كذلك. ومع ذلك ، يستخدم معظم مشرفي الويب الجدد اسم المستخدم الافتراضي ويحتاجون إلى تغيير اسم المستخدم الخاص بهم. يمكنك استخدام Admin Renamer Extended لتغيير اسم مستخدم المشرف الخاص بك.

إن صفحات تسجيل الدخول الإجبارية هي أحد الأشكال الشائعة لهجمات الويب التي من المحتمل أن يواجهها موقعك على الويب. إذا كان من السهل تخمين كلمة المرور أو اسم المستخدم ، فمن شبه المؤكد أن موقعك على الويب لن يكون هدفًا فحسب ، بل سيكون ضحية في النهاية. من التجربة ، تحاول معظم محاولات اختراق الموقع تسجيل الدخول بثلاثة خيارات رئيسية لأسماء المستخدمين. أولهما دائمًا “مشرف” أو “مشرف” ، بينما يعتمد الثالث عادةً على اسم نطاقك.

على سبيل المثال ، إذا كان موقعك هو crazymonkey33.com ، فقد يحاول المخترق تسجيل الدخول باستخدام “crazymonkey33”.

ليست فكرة جيدة.

2. تأكد من استخدام كلمة مرور قوية

ربما تعتقد الآن أن الأشخاص سيعرفون استخدام كلمات مرور قوية ومعقدة لحماية حساباتهم ، ولكن لا يزال هناك الكثير ممن يعتقدون أن “كلمة المرور” هي كلمة مرور رائعة.

جمعت Splash Data قائمة كلمات المرور المستخدمة بشكل متكرر في 2018. كلمة المرور حسب الترتيب من حيث الاستخدام.

  1. 123456
  2. كلمه السر
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. إشراق
  9. qwerty
  10. أحبك

إذا كنت تستخدم إحدى كلمات المرور هذه وكان موقعك على الويب يتلقى أي زيارات على الإطلاق ، فمن المؤكد أنه سيتم إزالة موقعك على الويب عاجلاً أم آجلاً.

ستتضمن كلمة المرور القوية مزيجًا من:

  • الأحرف الكبيرة والصغيرة
  • تكون أبجدية رقمية (A-Z و a-z)
  • تضمين حرف خاص (! ، @ ، # ، $ ، إلخ)
  • 8 أحرف على الأقل

كلما كانت كلمة المرور عشوائية ، كانت أكثر أمانًا. جرّب منشئ كلمات المرور العشوائي هذا إذا كنت تواجه مشكلة في الخروج بأحد هذه الرموز. https://passwordsgenerator.net/

3. تنفيذ reCaptcha

الجدار ينطلق من مدونة WP الخاصة بك.

تم تصميم reCaptcha لمنع الأدوات الآلية من العمل على الموقع. بالطبع ، نظرًا لتعقيد أدوات القرصنة اليوم ، يمكن تجاوزها بسهولة تامة ، ولكن على الأقل هناك تلك الطبقة الإضافية من الأمان.

هناك عدد من المكونات الإضافية reCaptcha التي يمكنك استخدامها مع التثبيت الخاص بك والتي ستعمل إلى حد كبير خارج الصندوق.

4. استخدم المصادقة الثنائية (2FA)

2FA هي طريقة مصادقة تتطلب التحقق من تسجيل الدخول الخاص بك. على سبيل المثال ، بمجرد تسجيل الدخول باسم المستخدم وكلمة المرور الخاصين بك ، قد يرسل النظام رسالة نصية قصيرة إلى هاتفك المحمول أو يرسل إليك بريدًا إلكترونيًا برمز تحتاج إلى إدخاله للتحقق من هويتك.

توفر طريقة المصادقة هذه حماية جيدة وتستخدمها العديد من البنوك والمؤسسات المالية اليوم. مرة أخرى ، يمكن تلبية هذه الحاجة بسهولة باستخدام مكون إضافي 2FA.

تعرف على كيفية عمل miniOrange (مكون إضافي 2FA) مع تسجيل دخول WordPress في الفيديو التالي.

ت

5. إعادة تسمية عنوان URL لتسجيل الدخول

سيحاول معظم المتسللين تسجيل الدخول من خلال صفحة تسجيل دخول WordPress الافتراضية ، والتي عادة ما تكون مثل

sample.com/wp-admin.

لإضافة طبقة أخرى من الحماية ، قم بتغيير عنوان URL لصفحة تسجيل الدخول بسرعة ودون عناء باستخدام أداة مثل WPS إخفاء تسجيل الدخول.

6. تحديد عدد محاولات تسجيل الدخول

هذه تقنية بسيطة للغاية لوقف هجمات القوة الغاشمة على صفحة تسجيل الدخول الخاصة بك في مساراتها. يعمل هجوم القوة الغاشمة من خلال محاولة الحصول على اسم المستخدم وكلمة المرور مباشرة من خلال تجربة مجموعات متعددة مرارًا وتكرارًا.

إذا تم تتبع عنوان IP المعين الذي يقوم بالهجوم ، فيمكنك حجب محاولات الإجبار المتكررة المتكررة والحفاظ على أمان موقعك. هذا هو السبب أيضًا في حدوث هجمات DDOS العالمية بعناوين IP متعددة ذات أصول مختلفة للهجوم ، لإلقاء خدمات الاستضافة وأمن مواقع الويب على أهبة الاستعداد.

يقدم كل من LockDown و Login Security Solution حلولًا رائعة لحماية صفحات تسجيل الدخول إلى موقع الويب الخاص بك. يتتبعون عناوين IP ويحدون من عدد محاولات تسجيل الدخول لحماية موقعك على الويب.

جدار أمن موقع هاردن

لقد ناقشنا أساليب مختلفة في تأمين صفحة تسجيل الدخول إلى WordPress الخاصة بك – تلك الخطوات المذكورة أعلاه هي الأساسيات التي يمكنك القيام بها. يجب أن تدرك أيضًا أن بعض مضيفي الويب يفرضون بعضًا من ممارسات الأمان هذه على مستخدميهم. هناك عدد من ممارسات الأمان الأخرى التي يمكنك تنفيذها على مواقعك.

7. حماية دليل wp-admin الخاص بك

أضف طبقة أمان إضافية إلى دليل المضيف الخاص بك.

دليل wp-admin هو قلب تثبيت WordPress الخاص بك. كحماية إضافية ، تحمي كلمة المرور هذا الدليل.

للقيام بذلك ، ستحتاج إلى تسجيل الدخول إلى لوحة تحكم حساب الاستضافة. سواء كنت تستخدم cPanel أو Plesk ، فإن الخيار الذي تبحث عنه هو “دلائل حماية كلمة المرور”.

بدلاً من ذلك ، يمكنك حماية دليل بكلمة مرور من خلال تعديل ملفات .htaccess و .htpasswds. يتوفر دليل تفصيلي خطوة بخطوة ومولد رمز مجانًا في Dynamic Drive.

لاحظ أن حماية كلمة مرور مجلد wp-admin الخاص بك ستكسر AJAX العام في WordPress – ستحتاج إلى السماح بالأذونات لإدارة ajax عبر .htaccess لتجنب أي أخطاء في الموقع.

8. استخدم SSL لتشفير البيانات

اتصال HTTP مقابل HTTPS (المصدر: Sucuri)

بالإضافة إلى الموقع نفسه ، ستحتاج أيضًا إلى حماية الاتصال بينك وبين الخادم وهذا هو المكان الذي تأتي فيه طبقة المقابس الآمنة لتشفير اتصالاتك. من خلال وجود اتصال مشفر ، لن يتمكن المتسللون من اعتراض البيانات (مثل كلمة المرور الخاصة بك) عندما تتواصل مع الخادم الخاص بك.

بالإضافة إلى ذلك ، من الممارسات الجيدة أيضًا تنفيذ طبقة المقابس الآمنة الآن نظرًا لأن محركات البحث تعاقب بشكل متزايد المواقع التي تعتبرها “غير آمنة”.

بالنسبة إلى المدونين الأفراد والشركات الصغيرة ، فإن طبقة المقابس الآمنة المجانية والمشتركة – والتي يمكنك عادةً الحصول عليها من مزود الاستضافة الخاص بك أو Let’s Encrypt أو CloudFlare – عادةً ما تكون أكثر من جيدة بما يكفي. بالنسبة إلى الشركات التي تعالج مدفوعات العملاء – من الأفضل أن تشتري شهادة SSL مخصصة من مضيف الويب أو مرجع مصدق (CA).

تعرف على المزيد حول SSL في دليلنا الشامل A-Z لطبقة المقابس الآمنة.

9. الاستفادة من شبكة توزيع المحتوى (CDN)

على الرغم من أن هذا قد لا ينقذ موقعك من الاختراق ، إلا أنه يساعد في التخفيف من الهجمات الضارة ضده. يهدف بعض المتسللين إلى إسقاط مواقع الويب ، مما يجعل الوصول إليها غير متاح للجمهور. ستساعد شبكة CDN في التخفيف من وطأة هجوم رفض الخدمة الموزع على موقعك.

إلى جانب ذلك ، يساعدك أيضًا على تسريع موقعك قليلاً عن طريق تخزين بعض المحتوى مؤقتًا. لاستكشاف هذا الخيار ، انظر إلى CloudFlare كمثال. تقدم CloudFlare خدمات CDN بمستويات تسعير متعددة المستويات ، حتى يمكنك استخدام الميزات الأساسية مجانًا. https://www.cloudflare.com

10. تأكد من تحديث جميع البرامج الخاصة بك

بغض النظر عن مدى جودة أو تكلفة البرامج ، سيكون هناك دائمًا نقاط ضعف جديدة فيها قد تتركها مفتوحة للاستغلال. WordPress ليس استثناءً ويطلق الفريق باستمرار إصدارات أحدث مع الإصلاحات والتحديثات.

غالبًا ما يسعى الهاكرز إلى الاستفادة من الضعف ، ويتطلب الاستغلال المعروف الذي لم يتم إصلاحه ببساطة مشكلة. هذا يساوي ضعف المكونات الإضافية التي غالبًا ما يتم إنشاؤها من قبل شركات أصغر بكثير ذات موارد أقل.

إذا كنت تستخدم مكونات إضافية ، فتأكد من إصدار التحديثات بانتظام ، أو فكر في العثور على مكونات إضافية شائعة ذات وظائف مشابهة يتم تحديثها باستمرار.

بعد قولي هذا ، لا أوصي باستخدام تحديثات WordPress و Plugin التلقائية ، خاصة إذا كنت تقوم بتشغيل موقع مباشر. قد تتسبب بعض التحديثات في حدوث مشكلات ، سواء داخليًا أو من خلال التعارض مع المكونات الإضافية والإعدادات الأخرى.

من الناحية المثالية ، قم بإنشاء بيئة اختبار تعكس موقعك المباشر واختبر التحديثات هناك. بمجرد التأكد من أن كل شيء يعمل بشكل جيد ، يمكنك تطبيق التحديث على الموقع المباشر.

تمنحك لوحات التحكم مثل Plesk خيار إنشاء نسخة من الموقع لهذا الغرض.

11. النسخ الاحتياطي والنسخ الاحتياطي والنسخ الاحتياطي!

بغض النظر عن التدابير الأمنية أو مدى حذرك ، تحدث الحوادث. أنقذ نفسك من حسرة محطمة ومئات الساعات من العمل ببساطة عن طريق التأكد من أن لديك خدمات نسخ احتياطي كافية في المكان.

عادة ما يأتي مضيف الويب الخاص بك مع بعض ميزات النسخ الاحتياطي الأساسية على الأقل ، ولكن إذا كنت بجنون العظمة مثلي ، فتأكد دائمًا من إجراء النسخ الاحتياطية المستقلة الخاصة بك. النسخ الاحتياطي ليس بهذه البساطة مجرد نسخ بعض الملفات ، ولكن ضع في الاعتبار أيضًا المعلومات الموجودة في قاعدة البيانات الخاصة بك.

ابحث عن حل احتياطي تمت تجربته وإثباته. حتى الاستثمار الصغير يستحق التوفير في الدموع في حالة الطوارئ. يمكن لشيء مثل BackupBuddy مساعدتك في حفظ كل شيء بما في ذلك قاعدة البيانات الخاصة بك دفعة واحدة.

12. يحتسب مضيف الويب الخاص بك!

على الرغم من أن شركات استضافة الويب تقدم تقليديًا مساحة لنا لاستضافة مواقعنا ، إلا أن الزمن قد تغير. وقد أدرك مقدمو استضافة الويب ، إدراكًا للحاجة الملحة لزيادة الأمان ، تقديم العديد من الخدمات ذات القيمة المضافة لاستكمال استضافة الويب الخاصة بهم.

خذ على سبيل المثال HostGator ، أحد الأسماء الأكثر شهرة في اللعبة. بصرف النظر عن ميزات Cloudflare الأساسية ، يأتي HostGator (بسعر 10 دولارات + شهريًا) أيضًا مع الحماية من الرسائل غير المرغوب فيها والإزالة التلقائية للبرامج الضارة والنسخ الاحتياطي التلقائي وخصوصية المجال والمزيد.

موفر استضافة WordPress المُدار ، Kinsta ، يقوم ببناء جدران حماية الأجهزة ويراقب بنشاط خوادمهم بحثًا عن هجمات البرامج الضارة وهجمات DDoS من خلال نظام مخصص.

إذا لم يكن هذا شيئًا لم يحدث لك بعد ، فأنا أشجعك بشدة على النظر إلى ميزات الأمان التي يوفرها مضيفك ومقارنتها مع ما هو متاح حاليًا.

للحصول على قائمة شاملة ، يمكنك التحقق من تجميع WHSR لأفضل مضيفي الويب هنا.

ماذا الآن?

قبل أن تبدأ في الجري وتبدأ في البحث على الإنترنت في ذعر بحثًا عن مليون وواحد من الحلول الأمنية – خذ نفسًا عميقًا. كما هو الحال مع كل شيء آخر ، سيساعدك شخص ما على الذعر بالفعل ويبحث عن حل.

حتى إذا قمت بتنفيذ العديد من حلول الأمان التي يمكنك العثور عليها ، فهل أنت متأكد من أنك آمن?

هذا هو المكان الذي يأتي فيه شيء مثل Security Ninja ، مما يساعدك في فحص موقعك بحثًا عن نقاط الضعف.

عرض سريع: كيف يعمل أمان النينجا.

هناك سببان مقنعان لاستخدام شيء مثل Security Ninja ولكن دعني أقول إنها أداة أوصي باستخدامها في مراحل متعددة في رحلتك لتأمين موقعك.

أولاً ، قم بتشغيله على موقع الويب الخاص بك “كما هو” – قبل إجراء أي تغييرات. دع المكوّن الإضافي يحثك ويحث موقعك قبل إعطائك النتائج.

ثم بناءً على هذه النتائج ، اعمل على تأمين موقعك. يقوم Security Ninja بأكثر من 50 اختبارًا للتحقق من دفاعاتك. حتى بعد إجراء التغييرات ، قم بتشغيلها مرة أخرى (وفي كل مرة تحدث فيها تغييرات في الموقع أو تحديثات للمكونات الإضافية) فقط لاختبار موقعك.

إذا كان هذا يبدو وكأنه عمل كبير بالنسبة لك ، فإن Security Ninja يأتي أيضًا مع مجموعة من الوحدات الإضافية (الإصدار المحترف ، موقع واحد 29 دولارًا) والتي يمكن أن تساعدك في إصلاح المشاكل التي تجدها.

تتضمن بعض الميزات الرئيسية الأخرى في هذه الوحدات ما يلي:

  • مسح ملفات WP الأساسية لتحديد الملفات التي بها مشكلات
  • استعادة الملفات المعدلة بنقرة واحدة
  • إصلاح التحديثات التلقائية لكسر WP
  • حظر 600 مليون عنوان IP سيئ تم جمعها من ملايين المواقع التي تمت مهاجمتها
  • قائمة التحديثات التلقائية ، لا حاجة لأي صيانة أو عمل يدوي
  • حماية نموذج تسجيل الدخول من هجمات القوة الغاشمة

افكار اخيرة

في حين أن كل هذا قد يبدو مفرطًا قليلاً بالنسبة لمستخدم WordPress العادي ، فإنني أؤكد لك أن كل ذلك (وأكثر) ضروري. تجاهلًا لإحصاءات القرصنة في جميع أنحاء العالم وغير ذلك لفترة ، دعني أطلعك على بعض المعلومات الشخصية على أحد المواقع الأكثر غموضاً التي أساعد في إدارتها.

بدأت في الأصل كموقع بسيط للسيرة الذاتية ، أنشأت www.timothyshim.com. من الواضح أنه كان شيئًا أقوم بإعداده وغادر معظم الوقت وحده ، ببساطة كنقطة مرجعية. في كل فترة شهرية ، هذا الموقع الذي لا يفعل شيئًا بشكل أساسي ولا يجمع أي بيانات ، يواجه أكثر من 30 هجومًا – مزيج من القوة الغاشمة والمعقدة.

كل ما تحتاجه هو أن ينجح أحدهم وسأقضي يومًا سيئًا حقًا.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map