كيفية حماية موقع WordPress الخاص بك من المتسللين

كيف أحمي موقع WordPress الخاص بي من المتسللين؟ إذا كان هذا سؤالًا تجد نفسك تسأله كثيرًا ، فأنت لست وحدك. بفضل شعبية منصة WordPress ، تكون مواقع WordPress دائمًا أكثر عرضة للهجمات والاختراقات. لحسن الحظ ، هناك طرق مجربة وموثوقة لحماية مواقع WordPress من المتسللين . ولا ، لست بحاجة إلى أن تكون خبيرًا في WordPress لتطبيقها على موقعك.

في هذه المقالة ، نشارك معك 14 خطوة يمكنك اتخاذها لتأمين موقع WordPress الخاص بك ضد المتسللين. هيا بنا نبدأ.

كيف تحمي موقع ووردبريس من المتسللين؟

بغض النظر عن حجم موقع الويب الخاص بك أو مجاله ، لا يوجد موقع ويب آمن من المتسللين الذين يبحثون دائمًا عن طرق لنشر شبكتهم الخبيثة على نطاق أوسع على الإنترنت. سواء كنت تنشر برامج نصية آلية من أجل "الزحف" إلى موقع WordPress الخاص بك واكتشاف أي ثغرات أمنية ، أو استخدامها للوصول إلى حساب WordPress الخاص بك ، فلا يوجد جزء من موقع الويب الخاص بك في مأمن من المتسللين.

تعني حماية WordPress من المتسللين بشكل أساسي حماية كل جزء من موقع الويب الخاص بك من البرامج الضارة وهجمات القوة الغاشمة والتهديدات الأخرى. تقدم إجراءات السلامة الـ 14 التي نحن على وشك مشاركتها أساسًا قويًا حتى تتمكن من القيام بذلك:

1. استخدم مضيف ويب آمن

يعد خادم وبيئة الاستضافة الآمنة عنصرًا مهمًا لحماية موقع WordPress الخاص بك. تأكد من أن شركة الاستضافة الخاصة بك تعطي الأولوية للحفاظ على مواقعها المستضافة آمنة من الاختراق من خلال خدمات مثل النسخ الاحتياطية المنتظمة وحماية جدار الحماية ومسح البرامج الضارة.

إذا كنت مستضافًا حاليًا على مضيف مشترك ، ففكر في الترحيل إلى مضيف سحابي أو مضيف مُدار يوفر ضمانًا أقوى لبيئة آمنة.

2. استخدم كلمات مرور قوية

ربما تكون كلمات المرور القوية هي أسهل إجراء لحماية WordPress من المتسللين وفي وقف هجمات القوة الغاشمة. تجنب تمامًا استخدام كلمات مرور مثل "123456" أو "كلمة المرور" التي يسهل تخمينها. بدلاً من ذلك ، تأكد من أن كل كلمة مرور تتكون من 10 إلى 12 حرفًا على الأقل وتحتوي على مزيج من الحروف الأبجدية والأرقام والأحرف الخاصة.

إذا كان لديك العديد من المستخدمين ، فيمكنك استخدام أدوات إدارة كلمات المرور مثل 1Password أو LastPass لإنشاء كلمات مرور أقوى وتخزينها تلقائيًا لكل مستخدم.

3. تمكين المصادقة الثنائية (2FA)

بينما تكون بيانات اعتماد تسجيل الدخول القوية فعالة دائمًا في إيقاف هجمات القوة الغاشمة ، تتوفر طبقة إضافية من حماية صفحة تسجيل الدخول باستخدام المصادقة الثنائية (أو 2FA). يضمن هذا الإجراء أنه حتى إذا كان بإمكان المستخدمين "الضارين" تخمين بيانات اعتماد تسجيل الدخول الصحيحة ، فإنهم يحتاجون أيضًا إلى إدخال رمز التحقق الصحيح الذي يتم إرساله فقط إلى جهاز المستخدم "الأصلي".

لتنفيذ المصادقة الثنائية (2FA) ، كل ما عليك فعله هو تثبيت وتفعيل مكون إضافي 2FA مثل Google Authenticator.

4. الحد من محاولات تسجيل الدخول

للنجاح في الحصول على دخول إلى الحساب ، تقوم هجمات القوة الغاشمة بمحاولات متكررة لتخمين بيانات اعتماد المستخدم الصحيحة. بشكل افتراضي ، تسمح مواقع WordPress بعدد غير محدود من محاولات تسجيل الدخول. ومع ذلك ، لا ينبغي أن يمنعك ذلك من تقييد عدد محاولات تسجيل الدخول بـ 3 أو 4.

كل ما تحتاجه هو تثبيت أداة CAPTCHA التي تعرض شاشة CAPTCHA بعد عدة محاولات تسجيل دخول فاشلة. هذه الأداة فعالة أيضًا في تحديد ما إذا كان المستخدم "البشري" أو "الروبوت" يحاول الوصول إلى حساب تسجيل الدخول.

5. تغيير اسم المستخدم الافتراضي "admin "

لسهولة الاستخدام ، يقوم WordPress بتعيين مسؤول افتراضي في البداية لكل حساب WordPress جديد. هذا المسؤول مفيد في المرحلة الأولية لإعداد موقع WordPress الخاص بك وإنشاء مستخدمين إضافيين. ومع ذلك ، فإن استخدام اسم المستخدم "admin" له نصيبه من مشاكل الأمان.

لزيادة صعوبة هجمات القوة الغاشمة ، قم بتغيير اسم المستخدم هذا إلى اسم مستخدم فريد يصعب تخمينه. أفضل طريقة هي إنشاء مسؤول جديد (باسم مستخدم أقوى) ثم إزالة المستخدم الافتراضي "المسؤول".

6. حافظ على تحديث المكونات الإضافية والسمات الأساسية الخاصة بك

غالبية الثغرات الأمنية في WordPress ناتجة عن إصدار Core WordPress قديم ، أو مكونات إضافية وسمات مثبتة. يبحث المتسللون باستمرار عن إصدارات البرامج القديمة ، والتي يمكنهم استغلالها لصالحهم. أفضل حماية ضد المتسللين هي الحفاظ على تحديث موقع WordPress الخاص بك إلى أحدث إصدار.

يمكنك تطبيق تحديثات منتظمة من حساب استضافة WordPress - أو تمكين التحديثات التلقائية. هناك فائدة إضافية للحفاظ على تحديث موقعك. تحتوي معظم تحديثات قوالب WordPress والمكونات الإضافية على تحسينات في السرعة والأداء يمكن أن تجعل موقع WordPress الخاص بك أسرع وأكثر سلاسة.

7. بانتظام النسخ الاحتياطي لموقع الويب الخاص بك

على الرغم من أنه ليس إجراءً أمنيًا صارمًا يمكن أن يحمي WordPress من القرصنة ، إلا أن إستراتيجية النسخ الاحتياطي والاستعادة السليمة تسمح لك بتقليل وقت التوقف عن العمل وفقدان الإيرادات. إذا كنت تدير موقعًا للتجارة الإلكترونية ، فإن النسخ الاحتياطي يضمن عدم تعرضك لخطر التوقف أو فقدان سجلات العملاء أو المعاملات.

على الرغم من أنه يمكنك أخذ نسخ احتياطية من موقع الويب يدويًا لملفات موقع الويب الأساسية وقاعدة البيانات ، إلا أن استخدام مكون إضافي للنسخ الاحتياطي في WordPress مثل BlogVault أو BackupBuddy يمكن أن يوفر وقتك نظرًا لأنهما يعملان على أتمتة وجدولة عملية النسخ الاحتياطي بالكامل. اذا أنت

8. أضف شهادة SSL

عندما تضيف شهادة SSL إلى موقعك ، فإنك تقوم بشكل أساسي بترحيل موقع الويب الخاص بك إلى بروتوكول Secure HTTP (أو HTTPS) من بروتوكول HTTP الأقل تفضيلاً. يقوم HTTPS بتشفير جميع البيانات المنقولة بين موقع الويب الخاص بك والمستخدم الخاص بك من أجل سلامتهم وسلامتك.

كيف يمكنك الانتقال إلى HTTPS؟ أضف شهادة SSL ، والتي يمكن الحصول عليها من شركة استضافة الويب الخاصة بك أو باستخدام مكون إضافي لـ SSL مثل Let's Encrypt.

9. تعطيل تحرير الملف

باستخدام محرر ملفات WordPress ، يمكن للقراصنة التحكم في موقع الويب وتنفيذ كود PHP "ضار" على الموقع. يمكن أن يكون هذا تهديدًا أمنيًا عند اختراق حساب المسؤول. أفضل حل هو تعطيل تحرير الملف عن طريق إضافة الكود التالي إلى ملف wp-config.php في نظام WordPress الخاص بك:

 define( 'DISALLOW_FILE_EDIT', true );

10. تقييد الوصول إلى الموقع وأدوار المستخدم

يمكن أن يكون الوصول غير المقيد إلى موقع الويب لجميع المستخدمين خطرًا كبيرًا على WordPress - خاصةً لوحة تحكم المسؤول. الجزء الجيد هو أنه يمكنك الآن تقييد الوصول إلى صفحات الويب المحددة بناءً على أدوار المستخدم. للقيام بذلك ، تحتاج إلى تثبيت المكون الإضافي "تقييد المحتوى الاحترافي" وتهيئة الصفحات التي تريد وصول المستخدم إليها بشكل محدود.

11. تعطيل استعراض الدليل

يستخدم المتسللون ميزة تصفح دليل WordPress للعثور على الملفات التي قد تحتوي على نقاط ضعف. بالإضافة إلى ذلك ، يمكن استخدام هذه الميزة لنسخ ملفات WordPress الخاصة بك أو معرفة المزيد حول بنية المجلد. أفضل حل هو تعطيل تصفح الدليل بحيث لا يسيء المتسللون استخدامه. يمكن القيام بذلك عن طريق إضافة السطر التالي من التعليمات البرمجية في نهاية ملف htaccess الخاص بك في مجلد التثبيت الخاص بك:

خيارات - الفهارس

12. تعطيل تنفيذ PHP.

من جانبهم ، يمكن للمتسللين إدخال كود البرامج الضارة وتنفيذها باستخدام ملفات PHP. يمكنك تحسين أمان موقع WordPress الخاص بك عن طريق تعطيل تنفيذ ملفات PHP الخاصة به. لتعطيل تنفيذ PHP ، افتح ملف .htaccess في مجلد "uploads" لتثبيت WordPress الخاص بك وأضف الكود التالي:

 <Files *.php> deny from all </Files>

13. استخدام البرنامج المساعد لأمن WordPress

بينما تؤدي الخطوات الموضحة حتى الآن دورًا رائعًا في حمايتك من التهديدات المعروفة ، فقد يكون من الصعب مواكبة المتسللين وطرقهم المبتكرة. تتمثل إحدى الطرق الأكثر فعالية لحماية موقع الويب الخاص بك من الهجمات غير المعروفة أو النادرة ، أو حتى أنواع متعددة من البرامج الضارة ، في الاستثمار في مكون إضافي مخصص لبرنامج WordPress من أجل الأمان.

يمكن لمكونات أمان WordPress الإضافية مثل MalCare و Wordfence اكتشاف البرامج الضارة الأقل شهرة ويمكنك جدولة عملية فحص البرامج الضارة بالكامل وأتمتتها. حتى أن MalCare لديها عملية إزالة البرامج الضارة بنقرة واحدة ، لذا لن تضطر إلى الاعتماد على الدعم الفني الخارجي لتنظيف موقعك.

14. تمكين جدار حماية WordPress

إذا كانت هناك طريقة أخرى بسيطة لحماية موقع WordPress من المتسللين ، فهي تجعل من الصعب عليهم الوصول إلى موقعك. تعمل جدران الحماية كخط دفاع أخير ضد طلبات IP "المشبوهة" التي يقدمها المتسللون. إنه بمثابة حارس أمن يسمح أو يمنع الأشخاص من دخول منزلك أو مكتبك.

تقوم جدران الحماية بتتبع عناوين IP "الجيدة" و "السيئة" وتسمح تلقائيًا بالطلبات المقدمة منها أو تمنعها.

تحتوي معظم المكونات الإضافية للأمان مثل MalCare و Sucuri على جدار حماية مدمج لمنع جميع حركات المرور الضارة.

لماذا يجب عليك حماية موقع WordPress الخاص بك من المتسللين؟

إن معرفة كيفية حماية موقع WordPress من المتسللين لم يعد شيئًا يمكنك تأجيله لوقت لاحق. ببساطة لأن الاختراق يؤثر على أكثر من مجرد وجودك على الويب أو تصنيفات تحسين محركات البحث الخاصة بك. يمكن أن يؤدي هجوم ناجح عن طريق البرامج الضارة أو القوة الغاشمة ، حتى لبضع ساعات ، إلى إلحاق أضرار جسيمة بإيراداتك وتقويض سلطة علامتك التجارية.

اعتمادًا على نوع الهجوم ، يمكن أن يتسبب اختراق WordPress في بعض أو كل ما يلي:

• تشويه كامل لصفحة موقع الويب الخاصة بك بإعلانات "منبثقة" ضارة
• إساءة استخدام جهود مُحسّنات محرّكات البحث التي تبذلها قد تؤدي إلى تصنيف موقع الويب الخاص بك على أنه كلمات رئيسية غير مرغوب فيها
• تتم إعادة توجيه الزوار إلى مواقع ويب أخرى غير مرغوب فيها تبيع منتجات مقلدة أو منتجات صيدلانية محظورة
• يتم إرسال رسائل البريد الإلكتروني العشوائية أو "التصيد الاحتيالي" إلى عملائك باستخدام عنوان بريد إلكتروني أصيل للنشاط التجاري
• تؤدي انتهاكات البيانات إلى فقدان سجلات العملاء القيمة وتفاصيل المعاملات المالية وغيرها من البيانات الحساسة

نأمل أن تساعدك هذه المقالة في تقديم النصائح والاستراتيجيات حتى تعرف بالضبط كيفية حماية موقع WordPress من البرامج الضارة والاختراقات.

ما رأيك بالإجراءات الأمنية الـ 14 التي ناقشناها؟ هل هناك أي شيء تضيفه إلى هذه القائمة؟ اسمحوا لنا أن نعرف في التعليقات.