Arabe AZ IT

أمان WordPress: كيفية حماية موقع الويب من القرصنة

أمان WordPress: كيفية حماية موقع الويب من القرصنة

بالنسبة للمبتدئين، يعد أمان WordPress أمرًا بالغ الأهمية. في الواقع، يعد WordPress هدفًا متكررًا للقرصنة. يستهدف المتسللون السمة وملفات WordPress الأساسية والمكونات الإضافية وحتى صفحة تسجيل الدخول. نقدم لك الخطوات التي يجب اتباعها لتقليل مخاطر القرصنة. نوضح لك أيضًا، كيف يمكنك تفادي هذا بسهولة أكبر إذا استمر حدوثه.

جدول المحتويات

كيف يهاجم المتسللون أمان WordPress

يتعرض كل موقع على الويب لهجوم مستمر، سواء كان منتدى phpBB أو موقع WordPress ، لذلك يقوم المتسللون بفحص كل موقع. ليس من غير المألوف أن يقوم المخترق بمسح آلاف الصفحات أو محاولة تسجيل الدخول مئات المرات في اليوم. في الحقيقة، إنها مجرد قرصنة.

 يهاجم قراصنة متعددون المواقع في نفس الوقت. عادة لا يكون هناك من يحاول اختراقك. يستخدم المتسللون برامج آلية للزحف إلى الويب. إنهم يريدون اكتشاف نقاط ضعف محددة على موقعك للويب.

يشار إلى هذه البرامج الآلية التي تزحف على الويب باسم “برامج الروبوت”. يُطلق عليها أحيانًا اسم “روبوتات الهاكر” لتمييزها عن “برامج التتبع الكاشطة” (البرامج التي تحاول نسخ المحتوى).

قم بحماية موقع WordPress الخاص بك باستخدام جدار حماية

يمنع برنامج جدار الحماية المتسلل. في رأيي ، أفضل طريقة لتقوية أمان WordPress وهو المكون الإضافي Wordfence. يساعد Wordfence من التحقق مما إذا كان سلوك زائر موقع الويب يتطابق مع سلوك الروبوت المسيء. إذا خالف الروبوت قواعد معينة، مثل طلب عدد كبير جدًا من صفحات الويب في فترة زمنية قصيرة، فسيقوم Wordfence تلقائيًا بحظر الروبوت.
تمت برمجة Wordfence أيضًا للسماح لبرامج الروبوت الشرعية مثل Google و Bing للولوج الى الموقع.
هناك ميزات متقدمة تسمح للناشر بمعرفة برامج الروبوت التي تهاجم موقعًا ما ومعرفة من أين يأتي الروبوت. كما لو كان روبوتًا سيئًا من Amazon Web Services أو Bluehost على سبيل المثال.

 يمنح Wordfence الناشر خيار حظر الروبوت من خلال عنوان IP الخاص به، أو نطاق عناوين IP بالكامل، أو حتى وكيل مستخدم متصفح مزيف يستخدمه الروبوت.

حول وكلاء المستخدم (UA)

يحدد وكيل المستخدم المعلومات التي تخبر موقع الويب بالمتصفح (Chrome و Firefox و Vivaldi) ونظام التشغيل الذي يعمل عليه (Windows 10 و Mac OS X). على سبيل المثال، هذه سلسلة وكيل مستخدم لمتصفح Safari 11 على جهاز كمبيوتر يعمل بنظام التشغيل Mac OS X:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15

تستخدم الروبوتات العديد من وكلاء المستخدم المختلفين لخداع مواقع الويب والتسلل. على سبيل المثال، تتظاهر بعض برامج الروبوت بأنها مستعرض على نظام التشغيل Windows XP. العدد الفعلي للمستخدمين الحقيقيين على Win XP يقترب من الصفر، يمكننا إنشاء قاعدة مع Wordfence لحظر جميع وكلاء المستخدمين باستخدام Windows XP كنظام تشغيل وبهذه الطريقة، يمكننا حظر الآلاف من الروبوتات السيئة، بغض النظر عن الدولة التي يأتون منها أو من عنوان IP.

تستجيب الروبوتات السيئة أحيانًا عن طريق التبديل إلى وكيل مستخدم آخر، لذلك من خلال الجمع بين هذه القواعد، يكون لدى الناشر فرصة لحظر مجموعة واسعة من برامج الروبوت السيئة. وذلك مع الإصدار المجاني من Wordfence. يمكن للنسخة المدفوعة حظر بلدان معينة. لذلك إذا لم يكن لديك زوار شرعيون لموقعك من  هذه بلدان، فيمكنك حظرهم

الدفاع ضد استغلال WordPress

علاوة على ذلك، فإن الإصدار المدفوع من Wordfence سيحميك مقدمًا من العديد من السمات والمكونات الإضافية المخترقة قبل إصلاح هذه المكونات الإضافية.

بمجرد أن يدرك باحثو Wordfence وجود استغلال، سيقومون بتحديث الإصدار المتميز من جدار الحماية لتزويد المشتركين بالحماية من تلك الثغرات، وأحيانًا قبل أسابيع من قيام مطور الاستغلال بإصلاح الاستغلال.

تشديد أمن ووردبريس WordPress

يسمى البرنامج المساعد المجاني الآخر الذي يوفر طبقة إضافية من الحماية Sucuri Security.

 يساعد Sucuri (المملوك لـ GoDaddy) على تعزيز أمان WordPress لمنع الروبوتات السيئة من الاستفادة من أنواع معينة من الهجمات. بالإضافة إلى ذلك، يحتوي على ميزة فحص البرامج الضارة التي تتحقق من جميع الملفات لمعرفة ما إذا كان قد تم تعديلها.
علاوة على ذلك، سوف ينبهك Sucuri كلما قام شخص ما بتسجيل الدخول إلى موقعك، مما يساعد الناشرين على تحديد ما إذا كان أحد المتطفلين يقوم بتسجيل الدخول. يمكن لـ Sucuri أيضًا تنبيه المحرر إذا تم تغيير الملف، وهو ما يفعله المتسللون.

فيما يلي ميزات الإصدار المجاني من Sucuri:

  • تدقيق الأنشطة الأمنية
  • مراقبة سلامة الملفات
  • فحص البرامج الضارة عن بعد
  • مراقبة القائمة السوداء
  • تصلب الأمن الفعال
  • إجراءات الأمان بعد الاختراق
  • إخطارات أمنية

بالنسبة للنسخة المدفوعة من Sucuri ، فهي تشتمل على جدار حماية لموقع الويب.

تقييد الاتصالات إلى موقع الويب الخاص بك

من الواضح أن Wordfence قادر على حظر برامج الروبوت التي تملأ أسماء المستخدمين وكلمات المرور بشكل متكرر في صفحة تسجيل الدخول إلى WordPress.
ولكن إذا كنت تريد التركيز على الحد من هذه الاتصالات، فهناك مكون إضافي يسمى Limit Login Attempts Reloaded مما يسمح للناشرين بحظر جميع المتسللين تلقائيًا الذين يدخلون عددًا محددًا من مجموعات الأسماء وكلمات المرور الفاشلة. على سبيل المثال، يمكنك تكوينه لمنع المتسللين بعد ثلاث محاولات لتخمين كلمة المرور.

فيما يلي ميزات أداة حظر تسجيل الدخول

:
  • تحديد عدد المحاولات أثناء الاتصال (لكل عنوان IP). هذا قابل للتخصيص بالكامل.
  • قم بإخطار المستخدم بالمحاولات المتبقية أو وقت التوقف على صفحة تسجيل الدخول.
  • التسجيل الاختياري وإخطار البريد الإلكتروني الاختياري.
  • من الممكن إدراج عناوين IP وأسماء المستخدمين في القائمة البيضاء / السوداء.
  • توافق جدار حماية موقع Sucuri.
  • حماية بوابة XMLRPC.
  • حماية صفحة تسجيل الدخول إلى Woocommerce.
  • توافق متعدد المواقع مع إعدادات MU الإضافية.
  • متوافق مع اللائحة العامة لحماية البيانات. عند تمكين هذه الميزة، يتم إخفاء جميع عناوين IP المسجلة (تشفير md5).
  • دعم أصول IP المخصصة (Cloudflare ، Sucuri ، إلخ.)

باختصار ، البرنامج المساعد Limit Login Reloaded يوفر طريقة سريعة لإيقاف برامج الاختراق التي تحاول تخمين كلمة مرور.

النسخ الاحتياطي لموقع WordPress الخاص بك

نظرًا لأهمية إنشاء نسخة احتياطية يومية من موقع الويب الخاص بك تلقائيًا لتحسين أمان WordPress. في الواقع، يمكن استرداد أي حدث كارثي يدمر الموقع بنسخة احتياطية. في الواقع، هناك العديد من حلول النسخ الاحتياطي، ولكن AZ IT وجدت مفيدة للغاية يسمى UpdraftPlus WordPress Backup Plugin. UpdraftPlus موثوق به من قبل أكثر من مليوني مستخدم، إنه خيار محترم.

بالإضافة إلى ذلك ، يمكن تهيئته لإرسال النسخ الاحتياطية بالبريد الإلكتروني يوميًا أو إرسالها إلى موقع تخزين سحابي مثل Dropbox.

قم بتحديث جميع السمات والإضافات

يرجى ملاحظة أنه من المهم تحديث جميع السمات والإضافات بانتظام. لهذا السبب يقدم WordPress طريقة لتحديث جميع المكونات الإضافية تلقائيًا، وهو أمر مفيد للناشرين أو الشركات التي لا تقوم بتسجيل الدخول والتحديث كثيرًا.
من خلال تمكين ميزة التحديث التلقائي، يمكن ضمان حصول الناشر على أحدث البرامج. يعد وجود مكون إضافي قديم أحد الأسباب الرئيسية للقرصنة.
في بعض الأحيان لا يُنصح بتنشيط التحديثات التلقائية. على سبيل المثال، قد يكون المكون الإضافي المحدث غير متوافق مع المكونات الإضافية الأخرى، ولكن هذا نادرًا ما يحدث. لذلك بالنسبة للمواقع التي لا تتغير بشكل متكرر، من المحتمل أن تكون ميزة التحديث التلقائي خيارًا جيدًا.

احذر من المكونات الإضافية التي تم التخلي عنها والتي تخفض مستوى أمان WordPress

تحذير أخير حول المكونات الإضافية المتوقفة. قد تستمر بعض المكونات الإضافية في العمل بعد سنوات من توقف مطورها عن العمل. ما يمكن أن يحدث هو أن هذه المكونات الإضافية القديمة قد تحتوي على ثغرات أمنية. ولكن نظرًا للتخلي عنهم ، فلن يتم إصلاحه أبدًا.

هناك مشكلة أخرى تتمثل في أن المتسللين يشترون أحيانًا مكونات إضافية وتحديثات قديمة تحتوي على برامج ضارة وفيروسات.

لذلك، لا تتردد أبدًا في التحقق من جميع مكونات WordPress الإضافية للتأكد من عدم التخلي عنها ويبدو أنه يتم تحديثها كثيرًا.

حماية موقع الويب الخاص بك من المتسللين

بالنسبة للعديد من المواقع، يكفي اتخاذ هذه الخطوات الصغيرة لتأمين موقع ويب لمنع القرصنة. ومع ذلك، توفر الإصدارات المجانية من هذه المكونات الإضافية حماية غير عادية وتوفر الإصدارات المتميزة مزيدًا من الحماية.

في الختام، هناك العديد من المكونات الإضافية لنوع أمان WordPress وبعضها يحتوي على ثغرات أمنية بحد ذاتها. يعتبر Wordfence و Sucuri في رأينا أفضل الخيارات لأمان WordPress.

اقتباسات

الكلمات المفاتيح: اختراق الووردبريس ، تأمين موقع ووردبريس ، المكونات الإضافية لتأمين موقع wordpress

مشاركة :

لنبدأ
مشروعك

يقدم فريقنا أفضل خدمات الويب. 
.