إضافات أمان WordPress - هل تحتاجها؟
نشرت: 2023-03-24
نظرًا لأن Google تقدم أكثر من 22 مليون نتيجة لـ "مكونات أمان WordPress الإضافية" وأكثر من 1000 مكون إضافي للأمان مدرج في صفحة مكونات WordPress الإضافية الرسمية ، فلا يمكن إنكار شعبيتها. لكن السؤال الحقيقي هو -هل تحتاج حقًا إلى واحد على موقعك لتبدأ به؟
بحكم تسميتها وحدها وما يتم الإعلان عنه على أنها قادرة على القيام به لموقعك ، فإن بعض الحلول في هذا الفضاء تضع نفسها كمكونات إضافية ضرورية لضمان عمل WordPress بأمان.من المفترض ، بحيث يمكنك التوقف عن القلق بشأن الأمان تمامًا.
هذا بعيد كل البعد عن الواقع.
في الواقع ، يمكن أن يؤدي استخدام ملحق أمان WordPress ضعيف الإنشاء إلى إبطاء موقعك - إضافة وظائف يجب أن تحدث بشكل واقعي على مستوى الشبكة قبل أن يحتاج الخادم إلى معالجته.
لذلك ، دون مزيد من اللغط ، دعنا نتعمق في الأمر.
هل تحتاج إلى مكون إضافي لأمن WordPress؟
كل موقع ويب هو هدف محتمل للمتسللين الضارين - فبعضهم أهداف أكبر من البعض الآخر. هذا ليس سرا.
تعرضت شركة Fast Company الشهيرة مؤخرًا (في وقت كتابة هذا التقرير)لخرق أنظمتها من قبل شخص ما شرع في إرسال إشعارات هجومية من Apple News.
الأشخاص الذين يحاولون الوصول إلى المواقع ذات النوايا الخبيثة لا يستهدفون بالضرورة الشركات الكبيرة. من المحتمل أن تمثل الشركات الصغيرة والمتوسطة هدفًا أسهل إذا افترضت ذلك ، وربما تتخذ احتياطات أقل نتيجة لذلك.
بالإضافة إلى متاعب التعامل مع الموقف ، وإهدار الوقت ، وفقدان الإيرادات التي كان من الممكن أن يحققها موقعك أثناء عدم إمكانية الوصول إليه ، فإن الشركات ملزمة قانونًا بحماية معلومات العملاء. يأتي هذا الالتزام مع مخاطر اتخاذ إجراء تنظيمي.
وغني عن القول إن لا أحد يريد أن يكون ضحية لاعتداء. ولكن بالنظر إلى أن النظام البيئي العالمي لمواقع WordPress تم تقديره بشكل مستقل بنحو 635.5 مليار دولار أمريكي - فليس من المستغرب أن بيع الوعد بالأمان قد أثبت أنه فرصة تجارية جيدة.
كيف يهاجم المتسللون مواقع WordPress
WordPress مفتوح المصدر ، لذا فإن نقاط الضعف التي يتم اكتشافها في نواة WordPress وأي سمات أو مكونات إضافية تصبح في النهاية معرفة عامة. لسوء الحظ ، يمكن أن يحدث هذا قبل أن يتمكن WordPress من إصدار تصحيح للثغرة الأمنية ، مما يخلق نافذة من الفرص لمن لديهم نوايا سيئة. يدرك الفاعلون السيئون جيدًا هذه الفرصة ، مما يسمح لهم بالبدء تلقائيًا في استهداف المواقع التييمكنأن تشغل السمة أو المكون الإضافي الضعيف - لمعرفة ما هو ممكن.
حتى بدون هذه الثغرات الأمنية ، من الشائع جدًا أن يستخدم كل من الأشخاص والروبوتات هجمات القوة الغاشمة لمحاولة الوصول إلى أحد المواقع. يتضمن ذلك إرسال طلبات تسجيل دخول متعددة بشكل متكرر في محاولة لتحديد حسابات المستخدمين التي تستخدم مجموعات افتراضية أو مشتركة من اسم المستخدم وكلمة المرور.
هناك العديد من الطرق الممكنة التي يمكن من خلالها اختراق موقع WordPress ، وهذا هو سبب أهمية اتباع نهج واسع على مستوى الخادم .تتضمن بعض مخاطر القرصنة المحتملة ما يلي:
هجمات القوة الغاشمة : يتضمن هذا النوع من الهجوم تكرارًا لتركيبات مختلفة لاسم المستخدم وكلمة المرور في محاولة للوصول إلى لوحة إدارة الموقع.
حقن SQL : يتضمن هذا النوع من الهجوم حقن شفرة ضارة في قاعدة بيانات موقع الويب ، والتي يمكن استخدامها بعد ذلك لسرقة المعلومات الحساسة أو تعطيل وظائف الموقع.
البرمجة النصية عبر المواقع (XSS) : يتضمن هذا النوع من الهجوم حقن رمز خبيث في موقع ويب ، والذي يتم تنفيذه بعد ذلك بواسطة متصفح المستخدم.يمكن استخدام هذا لسرقة معلومات حساسة ، مثل بيانات اعتماد تسجيل الدخول ، أو لإعادة توجيه المستخدمين إلى موقع ويب ضار.
حقن الملفات : يتضمن هذا النوع من الهجوم تحميل ملفات ضارة إلى موقع ويب ، مثل الأبواب الخلفية أو البرامج الضارة.يمكن بعد ذلك استخدام هذه الملفات للوصول غير المصرح به إلى الموقع.
البرامج القديمة : إذا لم يتم تحديث موقع الويب بانتظام ، فقد يكون به ثغرات يمكن أن يستغلها المتسللون.
التصيد الاحتيالي : يخدع هذا النوع من الهجوم المستخدمين لتقديم معلومات حساسة مثل بيانات اعتماد تسجيل الدخول وأرقام بطاقات الائتمان والمعلومات الشخصية الأخرى عن طريق إنشاء صفحة تسجيل دخول مزيفة.
لماذا لا تعد المكونات الإضافية للأمان الخيار الذكي
بحكم كيفية عمل المكونات الإضافية ، فإنها تعمل فقط بمجرد وصول الطلب إلى الخادم. هذا يعني أنه من الممكن فقط للمكوِّن الإضافي للأمان أن يتحدى الأشياء على مستوى PHP. على سبيل المثال ، يمكن أن يشمل ذلك تسجيل الدخول مع بعض الآليات لمنع الوصول غير المصرح به بمجرد استلام الخادم للطلب.
والنتيجة هي ، بالطبع ، استهلاك موارد خادم إضافية عند كل طلب يتم إرساله إلى الخادم لأنه يقع بين الطلب وبداية معالجة المخرجات. من الواضح أن هذا ليس مضمونًا: اختبر موقع pluginvulnerabilities.com 31 مكونًا إضافيًا للأمان ضد ثغرة يوم الصفر ، وتمكن 6 منهم فقط من صد الهجوم.
يجب تحميل المكونات الإضافية للأمان في WordPress بالكامل قبل أن تتمكن من بدء معالجة حركة المرور. هذا يعني أن هذه المكونات الإضافية ستستهلك الموارد حتى لو لم يكن موقع الويب الخاص بك يتعرض للهجوم .
كما أنه ليس من غير المألوف أن تحتوي مكونات أمان WordPress نفسها على نقاط ضعف خاصة بها ، ويمكن أيضًا استغلالها من قبل المتسللين.
على سبيل المثال ، أبلغ Wordfence ، وهو مكون إضافي مشهور للأمان مع أكثر من 4 ملايين مستخدم ، عن العديد من الثغرات الأمنية ، مثل Cross Site Scripting و Broken Access Control على مر السنين. تم تصحيح هذه الثغرات الأمنية بسرعة ، لكن هذا لا يغير حقيقة أن الأنظمة تعرضت للانكشاف ، وإن كان ذلك لفترة قصيرة.
هناك أيضًا خطر أن المكونات الإضافية للأمان يمكن أن تخلق إحساسًا زائفًا بالأمان .لقد كان الحال من قبل أن يقوم مسؤول الموقع بتثبيت مكون إضافي للأمان شائع ، معتقدًا أنه سيحمي موقعه من جميع أنواع الهجمات ، ويستمر في إهمال إجراءات الأمان المهمة الأخرى مثل تحديثات البرامج العادية ، وكلمات المرور القوية ، والمصادقة الثنائية والنسخ الاحتياطية.
هناك مشكلة أخرى رأيناها حيث تتسبب المكونات الإضافية للأمان في حدوثمشكلات في التوافق مع السمات الحالية أو المكونات الإضافية الأخرى.في بعض الحالات ، يمكن أن يؤدي هذا التعارض إلى ترك موقعك عرضة للهجوم.
ومن الشائع أيضًا تجربةإيجابيات خاطئة باستخدام المكونات الإضافية للأمان.يمكن للإضافات المفرطة تحديد الإجراءات المشروعة على أنها ضارة ، مما قد يؤدي إلى إنذارات كاذبة وإزعاج المسؤولين والمستخدمين.
خلاصة القول هي أنه عندما يتعلق الأمر بأمان موقع WordPress الخاص بك ،لا يوجد حل مكون إضافي يمكنك استخدامه لتعيينه ونسيانه .الأمن هو وحش عضوي متطور يحتاج إلى يقظة دائمة.
هل هناك أي ملحقات أمان تستحق الاستخدام؟
إذن كيف تحمي موقع WordPress؟
بادئ ذي بدء ، اعمل مع مزود استضافة WordPress الذي يجلب الكفاءة في مجال الأمان والتوسع والأداء - بالطريقة التي نقوم بها في Servebolt. نحن نقوم بالأعباء الثقيلة المتعلقة بالحفاظ على البنية التحتية الأساسية لمواقعك آمنة تمامًا.
علاوة على ذلك ، فأنت تريد أن يتم حظر جميع الطلبات الضارة (وربما الخبيثة) قبل أن تصل إلى الخادم الخاص بك - قبل أن تتاح لهم الفرصة لاستهلاك الموارد حتى تتمكن من تقديم أفضل تجربة ممكنة لزوارالموقع الحقيقيين.
أحد الأمثلة على هذا النوع من الحلول هو Cloudflare. Cloudflare هي شركة تقدم مجموعة متنوعة من خدمات أمان الإنترنت ، بما في ذلك شبكة توصيل المحتوى (CDN) ونظام اسم المجال (DNS) وجدار حماية تطبيق الويب (WAF). تعمل هذه الخدمات معًا لحماية مواقع الويب من عدة أشكال من الهجمات الإلكترونية ، مثل هجمات DDoS وحقن SQL والبرمجة عبر المواقع (XSS). تقدم Cloudflare أيضًا ميزات إضافية مثل تشفير SSL / TLS ، بالإضافة إلى نظام إدارة الروبوت لتعزيز أمان موقع الويب بشكل أكبر.
في Servebolt ، بالإضافة إلى هذا النهج ، نقدم خدمتين استباقيتين مُدارتين ، وهما Accelerated DomainsوServebolt CDN، والتي يمكنها تعزيز أمان موقع الويب الخاص بك.لقد تم بناؤها على رأس عروض Cloudflare للمؤسسات ، ونمنح نطاقين مجانيين لجميع العملاء الذين قاموا بالتسجيل.
نحن نستخدم كلاً من منتجات الأمان المستندة إلى الخادم ، بالإضافة إلى البناء فوق WAF من Cloudflare عندما يتم تنفيذ ذلك من خلالنا. نضيف إجراءات أمان إضافية لتقليل محاولات الاختراق ، وكذلك منع الوصول المباشر إلى الخادم عند استخدام Cloudflare لتقليل محاولات القرصنة باستخدام القوة الغاشمة. تم تكوين هذه الإجراءات لحظر الطلبات التي يُحتمل أن تكون ضارة تلقائيًا ولا تتطلب أي تكوين أو صيانة .
إلى جانب ذلك ، يمكن لبعض المكونات الإضافية تحسين أمان موقعك ، على الرغم من أن هذه لا توفر بأي حال من الأحوال حلاً شاملاً:
- Two-Factor :تم تطوير هذا المكون الإضافي بواسطة فريق WordPress ، وهو يتيحالمصادقة الثنائيةباستخدام كلمات مرور لمرة واحدة تستند إلى الوقت (OTP ، Google Authenticator) ، Universal 2nd Factor (FIDO U2F ، YubiKey) ، البريد الإلكتروني ، والتحقق من النسخة الاحتياطية رموز.
إذا تم تسريب بيانات الاعتماد الخاصة بك على الإنترنت ، فيمكن اختراق خادمك حتى إذا تم حظر معظم حركة المرور الضارة بواسطة جدار حماية.نوصي بشدة باستخدام المصادقة ذات العاملين لردع الجهات الفاعلة السيئة.
البديل الذي نستخدمه في Servebolt هو Cloudflare Access .
- Patchstack &WPScan:يمكن أن يكون ماسح الثغرات الأمنية مثل Patchstack أو WPScan مفيدًا في تتبع نقاط الضعف. WP Scan ، على سبيل المثال ، يتحقق باستمرار من التهديدات التي يتعرض لها خادمك مقابل قاعدة بيانات معروفة تضم أكثر من 37000 نقطة ضعف يحتفظ بها متخصصو أمان WordPress. إذا تم اكتشاف تهديد ، فيمكنه تشغيلإشعار عبر البريد الإلكتروني أو باستخدام خطاف ويب مخصص مع جميع المعلومات والتوصيات اللازمة لحل المشكلة.
نصائح لتقوية موقع WordPress الخاص بك
يؤدي استخدام Accelerated Domains أو Servebolt CDN إلى تأمين موقعك ضد العديد من الهجمات المعروفة. يقومون تلقائيًا بتطبيق حد معدل تسجيل الدخول و XML-RPC للتأمين ضد هجمات القوة الغاشمة الخبيثة على صفحة تسجيل الدخول الخاصة بموقعك. ولكن يمكنك زيادة تعزيز أمنك من خلال تنفيذ ممارسات الأمان الإضافية التالية على موقع الويب الخاص بك.
تقييد الوصول إلى الملف
كل ملف ومجلد على الخادم الخاص بك له حقوق وصول مرتبطة به والتي تحدد من يمكنه قراءة وكتابة وتنفيذ الملف أو الدليل المحدد. على الرغم من أن الحصول على أذونات مفتوحة على الأصول العامة لموقعك قد لا يبدو أمرًا كبيرًا ، إلا أنه بالتأكيد ممارسة سيئة. علاوة على ذلك ، يجب تأمين بعض الملفات الحساسة ، مثل .htaccessوwp-config.php ،بأمان.
نوصي بإغلاق جميع الملفات الحساسة قدر الإمكان وفك هذه الأذونات لفترة وجيزة فقط عندما تحتاج إلى ذلك تمامًا.
بالنسبة إلى.htaccess، يجب عليك تغيير مستوى الأذونات إلى 644 - حيث يمنح ذلك مالك الملف حق الوصول للقراءة والكتابة، بحيث يتمكن جميع المستخدمين الآخرين منقراءةالملف فقط.
يمكنك تقييد هذه الأذونات بشكل أكبر لملفwp-config.phpعن طريق تعيين وضع الإذن إما على400 أو 440، مما يعني أن المالك فقط (أو ، اختياريًا ، الأعضاء الآخرون في المجموعة المحددة أيضًا) يمكنهم قراءة الملف ، أثناء إجراء التعديلات لا يمكن إجراؤها إلا بواسطة المستخدم الجذر.
دعنا نلقي نظرة مفصلة على متطلبات الأذونات لأدلة WordPress معينة:
- دليل WordPress الجذر (/):
يجب أن تكون جميع الملفات ، باستثناءملفات .htaccess، قابلة للكتابة بواسطة حسابك فقط - اضبط وضع الأذونات على 644 لجميع الملفات باستثناء.htaccess.
- منطقة إدارة WordPress (/ wp-admin /):
يجب أن تكون جميع الملفات قابلة للكتابة بواسطة حسابك فقط - اضبط وضع الأذونات على 644 لجميع الملفات.
- منطق تطبيق WordPress (/ wp-include /):
يجب أن تكون جميع الملفات قابلة للكتابة بواسطة حسابك فقط - اضبط وضع الأذونات على 644 لجميع الملفات.
- المحتوى الذي يوفره المستخدم (/ wp-content /):
الغرض من هذا الدليل أن يكون قابلاً للكتابة من قِبلك أنت وعملية خادم الويب - اضبط وضع الأذونات على 664 لجميع الملفات.
ومع ذلك ، في الدليل / wp-content / ، قد تجد:
- ملفات السمات (/ wp-content / theme /):
إذا كنت ترغب في استخدام محرر السمات المدمج ، فيجب أن تكون جميع الملفات قابلة للكتابة بواسطة عملية خادم الويب. إذا لم تكن بحاجة إلى استخدام المحرر ، فلا يمكن كتابة جميع الملفات إلا من خلال حساب المستخدم الخاص بك.
- ملفات الإضافات (/ wp-content / plugins /):
يجب أن تكون جميع الملفات قابلة للكتابة فقط من خلال حساب المستخدم الخاص بك. ومع ذلك ، قد تحتاج بعض المكونات الإضافية التابعة لجهات خارجية إلى الوصول للكتابة. نوصيك بإزالة أذونات الكتابة ومنحها فقط لمكونات إضافية محددة على أساس كل حالة على حدة.
تعطيل تنفيذ ملف PHP في أدلة محددة
يمكنك زيادة تحسين أمان موقع WordPress الخاص بك عن طريق تقييد تنفيذ ملفات PHP في الدلائل حيث لا يكون ذلك ضروريًا.
الموقع الأول الذي يجب تعطيله فيه هو/ wp-content /folder لأن المستخدم قد يقوم بتحميل برنامج PHP نصي ضار ومحاولة تشغيله.
يمكنك تعطيل تنفيذ PHP عن طريق إنشاء ملف باسم.htaccessفي المجلد المطلوب ولصق الكود التالي فيه:
<ملفات * .php> رفض من الجميع </Files>
يُنشئ الكود أعلاه قاعدة تمنع تنفيذ أي ملفات PHP في الدليل المحدد. هذا يعني أنه حتى إذا قام أحد المتطفلين بحقن شفرة PHP ضارة في ملف ، فلا يمكن تنفيذه على الخادم ، مما يمنع حدوث أي ضرر لموقع الويب الخاص بك.
تعطيل فهرسة الدليل والاستعراض
تصفح الدليل هو إحدى ميزات خوادم الويب التي تعرض جميع الملفات والأدلة المتوفرة في دليل معين لموقع ويب. عند التمكين ، يمكن لأي شخص على الإنترنت رؤية جميع المحتويات على أي مسار للموقع. يعد هذا خطرًا أمنيًا كبيرًا لأنه يمكن أن يكشف عن معلومات سرية وتكوين الخادم.
على سبيل المثال ، إذا قام شخص ما بزيارة https://www.example.com/static ، فسيكون قادرًا على رؤية (وتنزيل) جميع الملفات الموجودة في هذا المسار. يوصى بشدة بإيقاف تشغيل هذه الميزة. يمكنك القيام بذلك عن طريق إلحاق السطر التالي بملفhtaccessالخاص بك .
خيارات - الفهارساستخدم Fail2ban لوقف هجمات القوة الغاشمة
Fail2ban هي أداة مساعدة للخوادم التي يمكنها إنشاء قواعد جدار حماية ديناميكيًا لحظر عناوين IP بناءً على شرط محدد مسبقًا. يمكنك استخدامه مع WordPress لحظر مستخدم مؤقتًا إذا فشل في تسجيل الدخول 3 مرات متتالية.
لا تستخدم اسم المستخدم "admin"
بالنسبة إلى المتسلل ، فإن الحساب الذي يتمتع بامتيازات إدارية يعادل جواهر التاج - يمكن لحسابات المسؤول فتح جميع الأبواب على الخادم. مما لا يثير الدهشة ، أن هذا هو الحساب الأول الذي يستهدفه المتسللون. من المستحسن استخدام اسم مختلف لحساب المسؤول هذا لجعل هذه العملية أكثر صعوبة بالنسبة لهم وردع أي هجمات بالقوة الغاشمة.
إذا كنت لا تزال تستخدم اسم المستخدم "admin" ، فيجب عليك إنشاء حساب ثانٍ باسم مختلف ومنحه حق الوصول المسؤول.سجّل الدخول إلى حسابك الثاني - واحذف حساب المسؤول القديم.
تقييد امتيازات مستخدم قاعدة البيانات
يعد أمان قاعدة البيانات ذا أهمية قصوى لأي موقع ويب. عند تثبيت عدة مواقع على الخادم الخاص بك ، قم بإنشاء قواعد بيانات ومستخدمين منفصلين لكل موقع. هذا يجعل الأمر أكثر صعوبة بالنسبة للمتطفلين للوصول إلى النظام الكامل وسرقة المعلومات الشخصية.
يجب عليك أيضًا تكوين امتيازات حساب MySQL بشكل صحيح وتعطيل أي ميزات غير ضرورية ، مثل اتصال TCP البعيد. يمكنك أيضًا تقييد محاولات تسجيل الدخول إذا لم يكن مستخدم قاعدة البيانات في موقع القائمة البيضاء. على سبيل المثال ، يمكنك حظر الوصول إلى اتصالات الجذر إذا لم يتم بدء الاتصال على المضيف المحلي.
بالإضافة إلى ذلك ، يحتاج WordPress فقط أذونات القراءة والكتابة إلى قاعدة بيانات MySQL للوظائف العادية. إذا قمت بمنح SELECT و INSERT و UPDATE و DELETE فقط لمستخدم قاعدة البيانات الخاصة بك ، فسيظل كل شيء يعمل بشكل جيد. ومع ذلك ، في بعض الأحيان قد تتسبب المكونات الإضافية وتحديثات WordPress التابعة لجهات خارجية في حدوث أخطاء عند محاولة تغيير مخطط قاعدة البيانات أو إنشاء جدول جديد. اقرأ ملاحظات الإصدار والوثائق الخاصة بكل مكون إضافي بعناية إذا كنت تستخدم هذا الإجراء الأمني.
قم بتغيير عنوان URL الخاص بـ wp-admin
لجعل الأمر أكثر صعوبة بالنسبة للمتسللين في شن هجمات القوة الغاشمة على موقع WordPress الخاص بك ، فكر في تغيير عنوان URL الافتراضي الخاص بلوحة تحكم المسؤول إلى شيء غامض. للقيام بذلك ، يمكنك استخدام مكون إضافي مثل WPS Hide Login أو Change wp-admin تسجيل الدخول ، والذي يتيح لك تخصيص عنوان URL لتسجيل الدخول بسهولة.
تعطيل تحرير الملف
تتيح ميزة تحرير الملفات في WordPress للمسؤولين تحرير ملفات السمات والمكونات الإضافية من لوحة القيادة مباشرةً. على الرغم من أنه مفيد أثناء إعداد الموقع ، إلا أنه يمكن أن يشكل خطرًا أمنيًا إذا تعرض حساب المسؤول للخطر. يؤدي تعطيل وظيفة تحرير الملفات إلى تخفيف هذه المخاطر.
سيؤدي ذلك أيضًا إلى تقليل عمليات التحرير العرضية وفرض توثيق أفضلللتغييرات ، حيث سيتم تتبع جميع المراجعات الجديدة في التحكم في الإصدار وستحتاج إلى إجراء الاختبار قبل نشرها على الموقع.
لتعطيل تحرير الملف في WordPress ، يمكنك إضافة السطر التالي من التعليمات البرمجية إلى ملف wp-config.php الخاص بموقعك:
تعريف ('DISALLOW_FILE_EDIT' ، صحيح) ؛تغيير بادئة قاعدة البيانات
يستخدم WordPress سلسلة نصية شائعة في جميع أسماء الجداول لتسهيل عملية التعريف. يؤدي تغيير هذه البادئة إلى صعوبة تخمين الجهات الخبيثة لأسماء الجدول عند تنفيذ هجمات حقن SQL وغيرها من أشكال استغلال قواعد البيانات.
على الرغم من أنه قد يبدو تحسنًا طفيفًا وغير مهم ، إلا أن معظم الهجمات على الإنترنت يتم تنفيذها بواسطة روبوتات آلية تهدف فقط إلى الحصول على ثمار منخفضة. من خلال تغيير القيمة الافتراضية ، يمكنك الدفاع ضد معظم الهجمات الآلية .
يتم تخزين بادئة قاعدة البيانات الحالية في ملف wp-config.php في دليل جذر WordPress الخاص بك. تبدو القيمة الافتراضية مثل هذا.
table_prefix $ = 'wp_'؛يمكنك استبدال البادئة "wp_" ببادئة فريدة جديدة من اختيارك. ضع في اعتبارك أنه لا يُسمح لك إلا باستخدام الأحرف والأرقام والشرطات السفلية. على سبيل المثال:
$ table_prefix = 'my_custom_prefix_123_'؛بعد حفظ التغييرات في ملف wp-config.php ، ستحتاج إلى تحديث جداول SQL الحالية يدويًا بالأسماء الجديدة. إذا لم تكن متأكدًا من كيفية القيام بذلك ، فيمكنك استخدام مكون إضافي مثل Brozzme DB Prefix .
تلقائيا تسجيل خروج المستخدمين غير النشطين
يمكن أن يساعد تنفيذ ميزة تسجيل الخروج التلقائي في WordPress في تحسين أمان موقعك عن طريق إنهاء جلسات المستخدمين تلقائيًا بعد فترة محددة من عدم النشاط. يمكن أن تساعد هذه الميزة في منع الوصول غير المصرح به إلى موقعك في حالة نسيان المستخدم تسجيل الخروج أو ترك أجهزته دون مراقبة.
لتنفيذ ميزة تسجيل الخروج التلقائي في WordPress ، يمكنك استخدام مكون إضافي مثل Inactive Logout . سيساعد القيام بذلك على حماية خصوصية المستخدمين من خلال ضمان عدم وصول المعلومات الحساسة إلى الأفراد غير المصرح لهم.
تقرير ما بعد الإجراء - اتخذ إجراء اليوم لحماية موقعك وسمعتك
يتم اختراق 30000 موقع ويب يوميًا ، ومع تشغيل WordPress بنسبة 43٪ من الويب ، فإن ذلك يمثل 12،900 موقع WordPress محتملاً يتم اختراقها بشكل خطير كل يوم.
لسوء الحظ ، فإن النصيحة المتاحة عبر الإنترنت والتي توضح بالتفصيل كيفية الحفاظ على أمان موقع WordPress إما غامضة أو قديمة أو خاطئة تمامًا. إنها هذه النصيحة السيئة ، والاعتماد فقط على المكونات الإضافية لجهات خارجية ، والافتراض أنه بمجرد تعيين الأمان ، يمكنك نسيانه ، ينتج عنه الكثير من هذه الانتهاكات.
على الرغم من أن الأمان لا يتم "إتمامه" مطلقًا ، إلا أنه لا يجب أن يكون مصدر إزعاج ، ومعظم النصائح الواردة في هذه المقالة واضحة إلى حد ما بالنسبة لمعظم الأشخاص. بطبيعة الحال ، فإن امتلاك شركة استضافة ويب قوية تتعامل مع الأمن بجدية كما ينبغي هو خطوة أولى رئيسية لمعظم الناس.
هل لديك أي أسئلة حول الحفاظ على أمان مواقع WordPress الخاصة بك؟لا تتردد في الاتصال بنا وسنكون سعداء لإرشادك حول كيفية مساعدة Servebolt Cloud في تقديم أفضل تجربة ممكنة للزائرين. أو ، إذا كان هذا الدليل قد أجاب بالفعل على جميع أسئلتك وكنت على استعداد لتجربة نهج Servebolt ...
هل أنت مهتم بالاستضافة المدارة الأسرع تجريبياً؟ جرب أسلوبنا في استضافة WordPress :
- قابلية التوسع: في اختبارات عبء عمل المستخدم الحقيقي ، قدم Servebolt متوسط أوقات استجابة 65 مللي ثانية ، وأوقات استجابة أسرع 4.9 مرة من ثاني أفضل.
- أسرع أوقات تحميل عالمية: يضعنا متوسط أوقات تحميل الصفحة البالغة 1.26 ثانية على رأس قائمة نتائج WebPageTest العالمية.
- أسرع سرعة للحوسبة: توفر خوادم Servebolt سرعات قاعدة بيانات لم يسمع بها من قبل ، وتعالج 2.44 مرة استعلامات في الثانية أكثر من المتوسط وتشغيل PHP 2.6 مرة أسرع من ثاني أفضل!
- أمان مثالي ووقت تشغيل: مع وقت تشغيل بنسبة 100٪ على جميع الشاشات وتصنيف A + على تطبيق SSL الخاص بنا ، يمكنك التأكد من أن موقعك متصل بالإنترنت وآمن.