بالنسبة للمبتدئين، يعد أمان WordPress أمرًا بالغ الأهمية. في الواقع، يعد WordPress هدفًا متكررًا للقرصنة. يستهدف المتسللون السمة وملفات WordPress الأساسية والمكونات الإضافية وحتى صفحة تسجيل الدخول. نقدم لك الخطوات التي يجب اتباعها لتقليل مخاطر القرصنة. نوضح لك أيضًا، كيف يمكنك تفادي هذا بسهولة أكبر إذا استمر حدوثه.
يتعرض كل موقع على الويب لهجوم مستمر، سواء كان منتدى phpBB أو موقع WordPress ، لذلك يقوم المتسللون بفحص كل موقع. ليس من غير المألوف أن يقوم المخترق بمسح آلاف الصفحات أو محاولة تسجيل الدخول مئات المرات في اليوم. في الحقيقة، إنها مجرد قرصنة.
يهاجم قراصنة متعددون المواقع في نفس الوقت. عادة لا يكون هناك من يحاول اختراقك. يستخدم المتسللون برامج آلية للزحف إلى الويب. إنهم يريدون اكتشاف نقاط ضعف محددة على موقعك للويب.
يشار إلى هذه البرامج الآلية التي تزحف على الويب باسم “برامج الروبوت”. يُطلق عليها أحيانًا اسم “روبوتات الهاكر” لتمييزها عن “برامج التتبع الكاشطة” (البرامج التي تحاول نسخ المحتوى).
يمنع برنامج جدار الحماية المتسلل. في رأيي ، أفضل طريقة لتقوية أمان WordPress وهو المكون الإضافي Wordfence. يساعد Wordfence من التحقق مما إذا كان سلوك زائر موقع الويب يتطابق مع سلوك الروبوت المسيء. إذا خالف الروبوت قواعد معينة، مثل طلب عدد كبير جدًا من صفحات الويب في فترة زمنية قصيرة، فسيقوم Wordfence تلقائيًا بحظر الروبوت.
تمت برمجة Wordfence أيضًا للسماح لبرامج الروبوت الشرعية مثل Google و Bing للولوج الى الموقع.
هناك ميزات متقدمة تسمح للناشر بمعرفة برامج الروبوت التي تهاجم موقعًا ما ومعرفة من أين يأتي الروبوت. كما لو كان روبوتًا سيئًا من Amazon Web Services أو Bluehost على سبيل المثال.
يمنح Wordfence الناشر خيار حظر الروبوت من خلال عنوان IP الخاص به، أو نطاق عناوين IP بالكامل، أو حتى وكيل مستخدم متصفح مزيف يستخدمه الروبوت.
يحدد وكيل المستخدم المعلومات التي تخبر موقع الويب بالمتصفح (Chrome و Firefox و Vivaldi) ونظام التشغيل الذي يعمل عليه (Windows 10 و Mac OS X). على سبيل المثال، هذه سلسلة وكيل مستخدم لمتصفح Safari 11 على جهاز كمبيوتر يعمل بنظام التشغيل Mac OS X:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15
تستخدم الروبوتات العديد من وكلاء المستخدم المختلفين لخداع مواقع الويب والتسلل. على سبيل المثال، تتظاهر بعض برامج الروبوت بأنها مستعرض على نظام التشغيل Windows XP. العدد الفعلي للمستخدمين الحقيقيين على Win XP يقترب من الصفر، يمكننا إنشاء قاعدة مع Wordfence لحظر جميع وكلاء المستخدمين باستخدام Windows XP كنظام تشغيل وبهذه الطريقة، يمكننا حظر الآلاف من الروبوتات السيئة، بغض النظر عن الدولة التي يأتون منها أو من عنوان IP.
تستجيب الروبوتات السيئة أحيانًا عن طريق التبديل إلى وكيل مستخدم آخر، لذلك من خلال الجمع بين هذه القواعد، يكون لدى الناشر فرصة لحظر مجموعة واسعة من برامج الروبوت السيئة. وذلك مع الإصدار المجاني من Wordfence. يمكن للنسخة المدفوعة حظر بلدان معينة. لذلك إذا لم يكن لديك زوار شرعيون لموقعك من هذه بلدان، فيمكنك حظرهم
علاوة على ذلك، فإن الإصدار المدفوع من Wordfence سيحميك مقدمًا من العديد من السمات والمكونات الإضافية المخترقة قبل إصلاح هذه المكونات الإضافية.
بمجرد أن يدرك باحثو Wordfence وجود استغلال، سيقومون بتحديث الإصدار المتميز من جدار الحماية لتزويد المشتركين بالحماية من تلك الثغرات، وأحيانًا قبل أسابيع من قيام مطور الاستغلال بإصلاح الاستغلال.
يسمى البرنامج المساعد المجاني الآخر الذي يوفر طبقة إضافية من الحماية Sucuri Security.
يساعد Sucuri (المملوك لـ GoDaddy) على تعزيز أمان WordPress لمنع الروبوتات السيئة من الاستفادة من أنواع معينة من الهجمات. بالإضافة إلى ذلك، يحتوي على ميزة فحص البرامج الضارة التي تتحقق من جميع الملفات لمعرفة ما إذا كان قد تم تعديلها.
علاوة على ذلك، سوف ينبهك Sucuri كلما قام شخص ما بتسجيل الدخول إلى موقعك، مما يساعد الناشرين على تحديد ما إذا كان أحد المتطفلين يقوم بتسجيل الدخول. يمكن لـ Sucuri أيضًا تنبيه المحرر إذا تم تغيير الملف، وهو ما يفعله المتسللون.
بالنسبة للنسخة المدفوعة من Sucuri ، فهي تشتمل على جدار حماية لموقع الويب.
من الواضح أن Wordfence قادر على حظر برامج الروبوت التي تملأ أسماء المستخدمين وكلمات المرور بشكل متكرر في صفحة تسجيل الدخول إلى WordPress.
ولكن إذا كنت تريد التركيز على الحد من هذه الاتصالات، فهناك مكون إضافي يسمى Limit Login Attempts Reloaded مما يسمح للناشرين بحظر جميع المتسللين تلقائيًا الذين يدخلون عددًا محددًا من مجموعات الأسماء وكلمات المرور الفاشلة. على سبيل المثال، يمكنك تكوينه لمنع المتسللين بعد ثلاث محاولات لتخمين كلمة المرور.
باختصار ، البرنامج المساعد Limit Login Reloaded يوفر طريقة سريعة لإيقاف برامج الاختراق التي تحاول تخمين كلمة مرور.
نظرًا لأهمية إنشاء نسخة احتياطية يومية من موقع الويب الخاص بك تلقائيًا لتحسين أمان WordPress. في الواقع، يمكن استرداد أي حدث كارثي يدمر الموقع بنسخة احتياطية. في الواقع، هناك العديد من حلول النسخ الاحتياطي، ولكن AZ IT وجدت مفيدة للغاية يسمى UpdraftPlus WordPress Backup Plugin. UpdraftPlus موثوق به من قبل أكثر من مليوني مستخدم، إنه خيار محترم.
بالإضافة إلى ذلك ، يمكن تهيئته لإرسال النسخ الاحتياطية بالبريد الإلكتروني يوميًا أو إرسالها إلى موقع تخزين سحابي مثل Dropbox.
يرجى ملاحظة أنه من المهم تحديث جميع السمات والإضافات بانتظام. لهذا السبب يقدم WordPress طريقة لتحديث جميع المكونات الإضافية تلقائيًا، وهو أمر مفيد للناشرين أو الشركات التي لا تقوم بتسجيل الدخول والتحديث كثيرًا.
من خلال تمكين ميزة التحديث التلقائي، يمكن ضمان حصول الناشر على أحدث البرامج. يعد وجود مكون إضافي قديم أحد الأسباب الرئيسية للقرصنة.
في بعض الأحيان لا يُنصح بتنشيط التحديثات التلقائية. على سبيل المثال، قد يكون المكون الإضافي المحدث غير متوافق مع المكونات الإضافية الأخرى، ولكن هذا نادرًا ما يحدث. لذلك بالنسبة للمواقع التي لا تتغير بشكل متكرر، من المحتمل أن تكون ميزة التحديث التلقائي خيارًا جيدًا.
تحذير أخير حول المكونات الإضافية المتوقفة. قد تستمر بعض المكونات الإضافية في العمل بعد سنوات من توقف مطورها عن العمل. ما يمكن أن يحدث هو أن هذه المكونات الإضافية القديمة قد تحتوي على ثغرات أمنية. ولكن نظرًا للتخلي عنهم ، فلن يتم إصلاحه أبدًا.
هناك مشكلة أخرى تتمثل في أن المتسللين يشترون أحيانًا مكونات إضافية وتحديثات قديمة تحتوي على برامج ضارة وفيروسات.
لذلك، لا تتردد أبدًا في التحقق من جميع مكونات WordPress الإضافية للتأكد من عدم التخلي عنها ويبدو أنه يتم تحديثها كثيرًا.
بالنسبة للعديد من المواقع، يكفي اتخاذ هذه الخطوات الصغيرة لتأمين موقع ويب لمنع القرصنة. ومع ذلك، توفر الإصدارات المجانية من هذه المكونات الإضافية حماية غير عادية وتوفر الإصدارات المتميزة مزيدًا من الحماية.
في الختام، هناك العديد من المكونات الإضافية لنوع أمان WordPress وبعضها يحتوي على ثغرات أمنية بحد ذاتها. يعتبر Wordfence و Sucuri في رأينا أفضل الخيارات لأمان WordPress.
WordFence Security
https://wordpress.org/plugins/wordfence/
Sucuri Security
https://wordpress.org/plugins/sucuri-scanner/
Limit Login Attempts Reloaded
https://wordpress.org/plugins/limit-login-attempts-reloaded/
UpdraftPlus
https://wordpress.org/plugins/updraftplus/
الكلمات المفاتيح: اختراق الووردبريس ، تأمين موقع ووردبريس ، المكونات الإضافية لتأمين موقع wordpress