دليل تأمين موقع ووردبريس: 12 خطوة لحماية موقعك 2022

يمتلك ووردبريس غالبية حصة السوق لنظام إدارة المحتوى (CMS) ويمتلك أكثر من 400 مليون موقع ويب. لايوجد اي شك أنها تغطي مجموعة كبيرة و متنوعة من مواقع الويب، من المدونات الشخصية إلى مواقع التجارة الإلكترونية الكبيرة.

مع هذا الدور المهم ، فليس من المستغرب أن يجذب WordPress قراصنة الإنترنت.

يبذل مطورو WordPress قصارى جهدهم لتغطية جميع نقاط الضعف من خلال تحديث البرامج الأساسية باستمرار. ومع ذلك ، فإن الأمر متروك لمالكي مواقع الويب لتنفيذ تدابير أمنية من اجل تأمين موقع ووردبريس الخاصة بهم.

سيناقش دليل تأمين موقع ووردبريس هذا 12 طريقة يمكنك تنفيذها بسهولة للحفاظ على موقع الويب الخاص بك آمنًا.

أنواع الثغرات الأمنية في ووردبريس

يحظى WordPress بشعبية كبيرة لدرجة أنه أصبح هدفًا للعديد من الهجمات الإلكترونية والسيبرانية. علاوة على ذلك، سيكون من الصعب تنفيذ التدابير اللازمة في تأمين موقع ووردبريس دون فهم نقاط ضعفها أولاً.

فيما يلي بعض الثغرات الأمنية الأكثر شيوعًا في WordPress والتي تحتاج إلى فهمها قبل تنفيذ أي إجراءات في تأمين موقع ووردبريس.

• حقن SQL – حقن كود ضار موجه إلى قاعدة بيانات WordPress للوصول إلى بيانات ومحتوى الموقع.
• هجوم رفض الخدمة الموزع (DDoS) – هجوم قامت به شبكة من أجهزة الكمبيوتر. يؤدي هذا إلى زيادة عدد الزيارات المزيفة التي تستهلك موارد موقع الويب ، مما يؤدي إلى إرباكه وتجعل الوصول إليه غير ممكن للجمهور.
• هجوم القوة الغاشمة – يحاول كسر تسجيل الدخول من خلال تخمين عدد كبير من أسماء المستخدمين وكلمات المرور.
• البرمجة النصية عبر المواقع (XSS) – إدخال شفرة ضارة في تطبيق ويب. سيرسل هذا الهجوم بعد ذلك البرنامج النصي الخبيث إلى المستخدم النهائي باستخدام تطبيق الويب لسرقة المعلومات الحساسة المخزنة في ملفات تعريف الارتباط أو رموز الجلسة.
• أبواب خلفية – هجوم برمجيات خبيثة يسمح للمهاجم بتجاوز إجراءات تأمين موقع ووردبريس. يمكن أن تؤدي الأبواب الخلفية إلى مواقع حيث يضع المهاجمون رمز إعادة توجيه إلى موقع ضار.
• التصيد – إذا تمكن المهاجم من الوصول إلى موقع الويب الخاص بك ، فيمكنه وضع رابط تصيد احتيالي إلى موقع ويب مزيف يطلب بيانات اعتماد المستخدم والمعلومات الحساسة الأخرى حتى وان كنت تظن انك قمت ب تأمين موقع ووردبريس الخاص بك.
• Hotlinking – يقوم بها موقع ويب آخر يقوم بتضمين المحتوى الخاص بك مباشرة من الخادم الخاص بك دون إذن. لا يعتبر هذا مجرد سرقة ، ولكنه يأخذ مواردك أيضًا.

لمزيد من التفاصيل عن الهجمات السيبرانية و الأمن السيبراني, تم شرحة في مقال مفصل

كيفية تأمين موقع ووردبريس: الخطوات الأساسية

لا توجد ممارسة أمان واحدة لمواقع الويب يمكنها حظر جميع التهديدات بمفردها – عليك تنفيذ طرق متعددة لتحسين وضبط خطوات تأمين موقع ووردبريس. تعتبر نصائح الأمان التالية في WordPress ضرورية ويسهل تنفيذها نسبيًا من لوحة المعلومات الخاصة بك بمساعدة مكونات WordPress الإضافية.

تأمين موقع ووردبريس باستخدام بيانات اعتماد قوية

في حين أن بيانات اعتماد تسجيل الدخول هي خط الدفاع الأول لتأمين موقع ووردبريس ، فإن العديد من مالكي مواقع WordPress لا يستخدمون الممارسات الصحيحة لبيانات الاعتماد الخاصة بهم.

الخطأ الشائع هو استخدام أسماء مستخدمين وكلمات مرور عامة ، مثل المسؤول أو المسؤولين ، والمعلومات الشخصية مثل الاسم الكامل أو تاريخ الميلاد. هذا يعرض الموقع لخطر أكبر لهجمات القوة الغاشمة

أول نصيحة مهمة للحصول على بيانات اعتماد قوية هي عدم استخدام نفس اسم المستخدم وكلمة المرور مرتين على منصات مختلفة. بمعنى آخر ، يجب ألا تكون بيانات اعتماد WordPress الخاصة بك هي نفسها بيانات الاعتماد الخاصة بحسابك على Twitter ، على سبيل المثال.

استخدام نفس بيانات الاعتماد لعمليات تسجيل دخول متعددة يعني أنه بمجرد أن يكتشف المهاجمون اسم المستخدم وكلمة المرور لمنصة واحدة ، يمكنهم الوصول إلى جميع حساباتك ، بما في ذلك موقع WordPress الإلكتروني.

النصيحة الثانية هي استخدام كلمة مرور قوية تجمع بين أحرف مختلفة. تتوفر أدوات إنشاء كلمات المرور المختلفة لمساعدتك في إنشاء كلمات مرور قوية. تذكر أنه يصعب اختراق كلمات المرور الأطول ، لذا نوصي باستخدام 12 حرفًا على الأقل.

يساعدك مديرو كلمات المرور مثل 1Password أو LastPass على تخزين كلمات مرورك القوية. تجنب استخدام مدير كلمات مرور منفذ على متصفح ويب مثل Chrome لأنها تميل إلى أن تكون أقل أمانًا من مديري كلمات المرور المخصصين.

إذا قمت بالفعل بإعداد حساب WordPress الخاص بك وتريد تغيير اسم المستخدم وكلمة المرور ، يمكنك إضافة حساب مسؤول جديد. اتبع هذه الخطوات:

1-قم بتسجيل الدخول إلى لوحة تحكم WordPress الخاصة بك وانتقل إلى أعضاء ->اضافة جديد.

2-أدخل بيانات الاعتماد. حدد المسؤول للدور ، ثم انقر على إضافة مستخدم جديد.

تمكين 2FA (المصادقة الثنائية)

تضيف المصادقة الثنائية أو المصادقة الثنائية طبقة أخرى من طرق تأمين موقع ووردبريس عن طريق مصادقة محاولات تسجيل الدخول باستخدام رمز فريد. يتم إعادة إنشاء الرمز باستمرار ولا يمكن الوصول إليه إلا من جهاز منفصل أو رسالة نصية.

لتمكين 2FA على موقع WordPress على الويب ، ستحتاج إلى مكون WordPress الإضافي وتطبيق مصادقة جهة خارجية على جهازك المحمول ، مثل Google Authenticator.

في حين أن العديد من الإضافات المختصة في تأمين موقع ووردبريس تمكّن 2FA ، فإن أكثرها شيوعًا هو Wordfence. قم بتثبيت هذا المكون الإضافي واتبع هذه الخطوات لتمكين 2FA:

1-انتقل إلى Wordfence -> قائمة أمان تسجيل الدخول في اللوحة اليسرى.

2-افتح علامة تبويب المصادقة الثنائية.

3- امسح رمز QR باستخدام تطبيق المصادقة على جهازك المحمول أو أدخل مفتاح التنشيط.

4- أدخل الرمز الذي تم إنشاؤه في تطبيق مصادقة الجوال.

5- انقر فوق زر تنشيط لإنهاء العملية.

في كل مرة تقوم فيها بتسجيل الدخول إلى حساب WordPress الخاص بك ، يجب عليك إدخال الرمز الذي أنشأه التطبيق على جهازك المحمول.

قم بتحديث إصدار WordPress بإنتظام

يعد التحديث إلى أحدث إصدار من WordPress هو الخطوة الأبسط والأهم لتأمين موقع ووردبريس الخاص بك. يعمل التحديث على برنامج WordPress الأساسي على تصحيح أي ثغرات أمنية لحمايتك من المهاجمين.

تذكر أيضا تحديث السمات والإضافات. بالإضافة إلى تصحيح نقاط الضعف الأمنية ، تعمل تحديثات WordPress والمكونات الإضافية على التأكد من أنها تعمل بشكل جيد مع الإصدار الأخير من WordPress.

ضع في اعتبارك أنه عند تحديث برنامج WordPress الأساسي ، يجب عليك التحقق مما إذا كانت السمات والإضافات المثبتة تدعم بالفعل أحدث إصدار من WordPress. إذا لم يكن الأمر كذلك ، فهناك خطر من أنها لن تعمل بشكل صحيح وتقلل من تأمين موقع ووردبريس.

للتحقق من وجود أي تحديثات متوفرة ، قم بتسجيل الدخول إلى لوحة تحكم WordPress وانتقل إلى لوحة التحكم -> التحديثات. هناك ، ستكون قادرًا على معرفة ما إذا كانت التحديثات الخاصة ببرنامج WordPress الأساسي أو السمات أو المكونات الإضافية متوفرة. إذا كان الأمر كذلك ، فعليك تحديثها على الفور.

قم بالترقية إلى أحدث إصدار من PHP

يعتمد WordPress على PHP كلغة البرمجة النصية الرئيسية ، وبالتالي فإن الحصول على أحدث إصدار منها أمر ضروري للحفاظ على ثبات تأمين موقع ووردبريس و عمل موقع الويب بشكل صحيح والتأكد من أمانه.

كل إصدار رئيسي من PHP يحصل على دعم كامل لمدة عامين بعد إصداره الثابت. خلال هذه الفترة ، يقوم المطورون والمساهمون بإصلاح الأخطاء ونقاط الضعف الأمنية باستخدام إصدارات النقاط العادية. بعد عامين سيحصل كل إصدار على عام آخر من الدعم لمشكلات الأمان الحرجة فقط وهذا ليس كافيا من اجل تأمين موقع ووردبريس.

ومع ذلك ، يرجى ملاحظة أن المطورين سيصلحون المشكلات بناءً على التقارير فقط. هذا يعني أنه كلما قل عدد المستخدمين ، قل عدد التقارير الخاصة بمشكلات الأمان.

في الوقت الحالي ، بلغ الإصدار 7.3 من PHP نهاية عمره الافتراضي ، متوقفًا عن أي دعم إضافي له. بالنسبة إلى PHP 7.4 ، سيتلقى فقط تصحيحات لمشاكل الأمان الحرجة. إذا كنت لا تزال تستخدم PHP 7.3 أو PHP 7.4 ، فقم بترقية إصدار PHP الخاص بك في أقرب وقت ممكن.

PHP 8.0 و PHP 8.1 هما حاليًا الإصدارات الموصى بها لتشغيل الموقع وتعزيز تأمين موقع ووردبريس الخاص بك عليه.

بناءً على مضيف الويب ، يجب أن تكون قادرًا على رؤية إصدار PHP النشط باستخدام لوحة التحكم. إذا كان موقعك يعمل على PHP 7.4 أو أقل ، قم بترقيته إلى PHP 8.0 أو PHP 8.1 على الفور – يجب أن يكون من السهل تكوينه من لوحة التحكم.

على سبيل المثال ، في hPanel ، ما عليك سوى الانتقال إلى Advanced -> PHP Configuration. حدد إصدار PHP الذي تريد استخدامه وانقر فوق “تحديث” لحفظ التغيير.على سبيل المثال ، في hPanel ، ما عليك سوى الانتقال إلى Advanced -> PHP Configuration. حدد إصدار PHP الذي تريد استخدامه وانقر فوق “تحديث” لحفظ التغيير.

احصل على استضافة ووردبريس آمنة

يمنحك مزود الاستضافة مساحة لتخزين بيانات موقع الويب الخاص بك وجعلها متاحة على الإنترنت. لذلك ، يجب أن تختار مضيفًا يوفر بيئة استضافة آمنة.

تعمل العديد من مواقع WordPress على البنية التحتية المشتركة ، مما يعني أن العديد من العملاء يستخدمون نفس الخادم المُدار. يؤدي هذا إلى زيادة مخاطر الأمان وتقليل نسبة تأموقع ووردبريس حيث يمكن أن يؤثر الاختراق في موقع ويب على موقع آخر.

يجب على الشركات المضيفة تنفيذ تدابير وأدوات أمنية لتقليل المخاطر ، مثل المراقبة على مدار الساعة طوال أيام الأسبوع ضد الثغرات الأمنية ، وجدران الحماية ، وحماية DDoS. حتى أن بعض المزودين يعلقون مواقع WordPress التي تم اختراقها لأنها يمكن أن تؤثر على مواقع الويب الأخرى على نفس الخادم.

عند اختيار خطة استضافة ووردبريس، نوصي بالتحقق من الميزات التالية لتعزيز حماية و تأمين موقع ووردبريس:

جدار الحماية  – يجب أن تحظر حماية الخادم أي حركة مرور خبيثة وتمنع هجمات DDoS.

النسخ الاحتياطي التلقائي – يعد النسخ الاحتياطي للموقع هو خطة التخفيف الرئيسية لمنع فقدان البيانات بشكل دائم في حالة الهجمات الإلكترونية. يجب أن تقلل ميزات النسخ الاحتياطي التلقائي من المزود من أي متاعب قد تواجهها بطريقة أخرى.

خدمة مدارة موثوقة  – إذا كنت تستخدم خدمة مُدارة ، فتأكد من أن الموفر يقوم بانتظام بتحديث برامج الخادم والأجهزة لتقليل نقاط الضعف.

الدعم – سيساعدك فريق دعم ممتاز على مدار الساعة طوال أيام الأسبوع في تقديم المساعدة الفنية لحل أي مشكلات أمنية قد تظهر.

يعد Hostinger مثالاً ممتازًا لمزود استضافة WordPress آمن. تشمل خدماتهم نظام مراقبة أمان على مدار الساعة طوال أيام الأسبوع وجدار حماية Cloudflare DNS يمنع هجمات DDoS. سيقوم فريق Hostinger الفني أيضًا بإعلامك وحتى إجراء تحديثات القوة إذا كان لديك مكونات WordPress الإضافية الضعيفة مثبتة على موقعك.

ثبت شهادة SSL لتعزيز تأمين موقع ووردبريس

تضيف طبقة المقابس الآمنة (طبقة المقابس الآمنة) طبقة أمان تفرض بروتوكولًا آمنًا لنقل البيانات بين خادم الويب والزوار. هذا مهم بشكل خاص إذا كان موقعك على الويب يجمع الكثير من البيانات.

بدون شهادات SSL ، فإن تبادل البيانات بين المستخدمين وخادم الويب سيستخدم النص العادي. هذا يجعل من السهل على المهاجمين أو الوسطاء سرقة المعلومات ، خاصة عند استخدام اتصالات شبكة غير آمنة.

في المقابل ، تقوم مواقع الويب التي تحتوي على شهادات SSL بتشفير جميع البيانات التي يتم تبادلها. عندما يرغب المستخدمون في الاتصال بموقع ويب ، سيرسل المتصفح طلبًا ، وسيرسل الخادم الشهادة بالمفتاح العام. يقوم المستعرض بعد ذلك بفحص صلاحية الشهادة وتشفير البيانات باستخدام المفتاح العام. يمكن فقط فك تشفير هذه البيانات باستخدام المفتاح الخاص في الخادم.

تشمل المزايا الأخرى لشهادات SSL تصنيفات تحسين محركات البحث (SEO) باعتبارها عوامل Google في SSL لـ SERPs الخاصة بهم. تساعدك شهادات SSL أيضًا على بناء الثقة والمصداقية ، حيث سيشعر الزوار بالأمان عند تقديم بياناتهم إلى موقع ويب آمن.

ثبّت الإضافات والقوالب الموثوقة

يمكن أن تكون الإضافات والسمات نقطة دخول للمهاجمين للوصول إلى موقع الويب الخاص بك. هذا هو الحال عندما يتم اختراق سمة أو مكون WordPress أو قديم. لمنع حدوث ذلك ، قم فقط بتثبيت الإضافات و القوالب الموثوقة.

عندما يتعلق الأمر بالقوالب و الاضافات المجانية ، تأكد من تثبيت تلك المتوفرة بالفعل فقط في أدلة WordPress الرسمية. تم اختبار هذه السمات والمكونات الإضافية لتتوافق مع معايير الترميز الآمنة. بالإضافة إلى ذلك ، نوصي باختيار السمات والمكونات الإضافية التي يتم تحديثها بشكل متكرر ، حيث من المرجح أن تقوم بشكل متكرر بتصحيح الثغرات الأمنية والمساهمة في تأمين موقع ووردبريس.

تأكد فقط من الاختيار من بين المطورين والأسواق ذوي السمعة الطيبة عند تصفح المكونات الإضافية والسمات المتميزة. تحقق من عدد عمليات التثبيت النشطة واقرأ مراجعات المستخدمين لأنها تشير إلى مصداقيتها ومتانتها. يعد Themeforest مثالًا رائعًا لسوق موثوق به للموضوعات المتميزة.

تجنب تثبيت قوالب ووردبريس الملغاة أو الإضافات. هذه هي القوالب المميزة والمكونات الإضافية التي تم اختراقها والتي قد يكون المهاجمون قد حقنها بشفرات ضارة ثم بيعها بأسعار أقل أو حتى مجانًا. والهدف من ذلك هو جذب الضحايا لتثبيت هذا البرنامج الذي يمكن أن يكون “بابًا خلفيًا” لمواقع WordPress الخاصة بهم.

نصيحة مهمة أخرى هي إزالة السمات أو الإضافات غير المستخدمة. إذا كنت لا تزال مثبتة على موقع WordPress الخاص بك وتركتها قديمة ، فإنها يمكن أن تشكل مخاطر أمنية خطيرة على WordPress.

تأمين صفحة تسجيل الدخول لـ WordPress

يعد إغلاق موقع WordPress الخاص بك طريقة رائعة لتعزيز أمان الموقع من خلال جعل الوصول إلى معلومات تسجيل الدخول أكثر صعوبة. هناك ثلاث طرق للقيام بذلك – تغيير عنوان URL لتسجيل الدخول إلى WordPress ، وإعداد قائمة عناوين IP الآمنة لصفحة تسجيل الدخول إلى WordPress ، والحد من محاولات تسجيل الدخول.

تغيير عنوان URL لتسجيل الدخول إلى ووردبريس

افتراضيًا ، سيكون لصفحة تسجيل الدخول إلى WordPress عنوان URL الخاص بـ yourdomain.com/wp-admin. هذا يسهل على الأشخاص الآخرين الوصول إلى صفحة تسجيل الدخول وإجراء محاولات تسجيل الدخول ، مما يعرض موقعك لخطر الهجمات العنيفة.

يحتوي المكون الإضافي All In One WP Security and Firewall على ميزة لإعادة تسمية عناوين URL الخاصة بتسجيل الدخول. بمجرد تثبيت وتفعيل المكوِّن الإضافي ، اتبع هذه الخطوات

1- انتقل إلى WP Security -> Brute Force.

2- اذهب إلى علامة التبويب إعادة تسمية صفحة تسجيل الدخول.

3- تحقق من تمكين ميزة إعادة تسمية صفحة تسجيل الدخول وأدخل عنوان URL المخصص في حقل عنوان URL لصفحة تسجيل الدخول.

4- انقر فوق Save Settings (حفظ الإعدادات).

أنشئ قائمة بيضاء لعنوان IP

تحمي هذه الطريقة صفحة تسجيل الدخول من الوصول إليها بواسطة عناوين IP غير المصرح بها. أسهل طريقة للقيام بذلك هي استخدام المكون الإضافي All In One WP Security و Firewall أو خدمة جدار حماية تطبيق الويب (WAF) مثل Cloudflare.

اتبع هذه الخطوات لإنشاء قائمة بيضاء بعنوان IP باستخدام المكون الإضافي All In One WP Security and Firewall:

1- اذهب إلى WP Security -> User Login.

2- افتح علامة التبويب Login Lockdown وانتقل لأسفل إلى إعدادات القائمة البيضاء لتسجيل الدخول لتأمين عناوين IP.

3- حدد مربع تمكين القائمة البيضاء لتأمين تسجيل الدخول لعنوان IP وأدخل عنوان IP المسموح به أو نطاقات IP في حقل إدخال عنوان IP المُدرج في القائمة البيضاء.

4- انقر فوق Save Settings (حفظ الإعدادات).

إذا كنت تستخدم جدار الحماية Cloudflare بدلاً من ذلك ، فإنه يحتوي على ميزة Zone Lockdown لتحديد عناوين URL للتأمين وعناوين IP المسموح لها بالوصول إلى عناوين URL هذه. أي طلب من عناوين IP خارج النطاق المسموح به سيتم حظره تلقائيًا

تحديد محاولات تسجيل الدخول

آخر إجراء أمان لإغلاق صفحة تسجيل الدخول هو تقييد محاولات تسجيل الدخول. ليس هناك حد لمحاولات تسجيل الدخول افتراضيًا ، مما يجعل موقعك عرضة لهجمات القوة الغاشمة. على النقيض من ذلك ، قد يحتاج المستخدمون المصرح لهم إلى بضع محاولات فقط لتسجيل الدخول.

فيما يلي كيفية القيام بذلك باستخدام Wordfence:

1- انتقل إلى Wordfence -> جميع الخيارات.

2- انتقل لأسفل إلى حماية القوة الغاشمة.

3- قم بتشغيل خيار تمكين الحماية من القوة الغاشمة وحدد خيارات قفل تسجيل الدخول.

4- انقر فوق حفظ التغييرات في أعلى شريط التنقل.

قم بتثبيت إضافات مختصة في تأمين موقع ووردبريس

من بين جميع المكونات الإضافية التي قمت بتثبيتها بالفعل حتى يعمل موقع الويب الخاص بك على النحو المنشود ، يجب أن تتذكر أيضًا تضمين مكونات الأمان الإضافية.

اختر مكونًا إضافيًا يحتوي على العديد من ميزات الأمان كمان يعمل على زيادة معدل الحماية و تأمين موقع ووردبريس ، مثل المصادقة الثنائية (2FA) ومحدد تسجيل الدخول وحماية جدار الحماية. بهذه الطريقة ، لن تحتاج إلى تثبيت مكونات إضافية متعددة لتغطية نقاط الضعف المختلفة.

تذكر أيضًا أن الإصدار المجاني قد لا يوفر حماية كاملة. نوصي بإيجاد مكونات إضافية ذات سمعة طيبة والاستثمار في الإصدارات المتميزة إذا لزم الأمر.

في حين أن هناك آلاف المكونات الإضافية الرائعة ، فإليك توصياتنا:

• Wordfence Security – المكون الإضافي الرائد لـ تأمين موقع ووردبريس. يوفر جدار حماية لتطبيق الويب ومصادقة ثنائية وحظر عنوان IP لتحسين أمنك.
• Sucuri – يوفر حماية جدار حماية ووردبريس والتحقق من سلامة ملف WordPress. تعد لوحة القيادة والواجهة الخاصة به من بين أسهل استخدامات.
• iThemes Security – مكون إضافي للأمان يوفر تأمين المستخدم وتغيير بادئة قاعدة البيانات.
• All In One WP Security – يوفر مجموعة كبيرة من ميزات الأمان ، بما في ذلك جدار الحماية ، ومنع البريد العشوائي ، وحماية الروابط الساخنة.

البحث عن البرامج الضارة

البرامج الضارة هي عبارة عن برنامج أو سلسلة رموز صغيرة تهدد أمان موقع الويب. هناك أنواع مختلفة من البرامج الضارة التي يمكن أن تضر موقع الويب الخاص بك بطرق مختلفة ، مثل سرقة المعلومات ، وجذب الزائرين إلى موقع ويب مخادع ، وحتى جني الأموال بشكل غير قانوني. النتيجة الأخرى للبرامج الضارة هي جعل موقعك محجوبًا من قبل محركات البحث.

يمكن أن تعيش البرامج الضارة في موقعك دون اكتشافها حتى تتسبب في ضرر في النهاية. يمكن لبعض البرامج الضارة تجنب اكتشاف الأمان عن طريق تعديل نفسها.

هذا هو سبب أهمية فحص موقع الويب الخاص بك بانتظام بحثًا عن البرامج الضارة والتاكد انك قد قمت فعلا بـ تأمين موقع ووردبريس الخاص بك.

العديد من المكونات الإضافية للأمان قادرة على تحقيق ذلك. علاوة على ذلك ، تشتمل المكونات الإضافية مثل Wordfence على تحديث للتوقيعات في الوقت الفعلي لتأمين موقع WordPress الخاص بك من أحدث التهديدات.

بعض المكونات الإضافية تجري أيضًا فحصا لسلامة الملف. في جوهرها ، يقومون بمقارنة ملفات تثبيت WordPress الخاصة بك بالملفات الافتراضية ومعرفة ما إذا كان قد تم إدخال أي شفرة ضارة. في نهاية المطاف ، ستحل هذه المكونات الإضافية محل الملفات المصابة بالملفات الأصلية من مستودع WordPress.

حظر روابط Hotlinking

يشير الارتباط الساخن إلى ممارسة موقع ويب يستخدم محتوى موقع آخر ، مثل صورة ، عن طريق ربط المصدر. على سبيل المثال ، يستخدم موقع الويب “أ” صورة من موقع “ب” بدلاً من تنزيل الصورة وإعادة تحميلها. يستخدم موقع الويب “أ” عنوان URL الخاص بالصورة من موقع الويب “ب” لعرض الصورة.

هذه الممارسة لها عيوب معينة بالنسبة للموقع المصدر. إذا كانت حركة المرور عالية ، فإن هذا يستهلك موارد الموقع الأصلي ، مما يتسبب في إبطاء الموقع أو حتى حدوث تعطل إذا لم يكن المورد كافيًا.

هناك ثلاث طرق لحظر روابط Hotlinking – باستخدام شبكة توصيل المحتوى (CDN) ، أو مكون إضافي لتأمين موقع ووردبريس ، أو عميل FTP.

شبكة توصيل المحتوى (CDN)

الهدف الرئيسي لشبكة CDN هو زيادة سرعة توصيل المحتوى. ومع ذلك ، فإن بعض شبكات CDN لديها أيضًا ميزات إدارة الأصول ، بما في ذلك حماية الارتباط الساخن. قد تختلف خطوات تمكين حماية الارتباط السريع اعتمادًا على CDN. في هذا البرنامج التعليمي الخاص في تأمين موقع ووردبريس ، سنستخدم Cloudflare باعتباره أحد أكثر شبكات CDN شيوعًا. فيما يلي خطوات ذلك:

1. قم بتسجيل الدخول إلى حساب Cloudflare.
2. حدد الموقع لتكوينه.
3. حدد تطبيق Scrape Shield من الشريط الجانبي الأيسر.
4. قم بتشغيل زر التبديل Hotlinking Protection.

البرامج المساعدة في تأمين موقع ووردبريس

تحتوي العديد من ملحقات WordPress على ميزة تعديل ملف htaccess الخاص بك لمنع الارتباط السريع. نوصي باستخدام البرنامج المساعد All In One WP Security and Firewall ، في تأمين موقع ووردبريس وإليك الخطوات:

1- قم بتثبيت البرنامج المساعد وتنشيطه.

2- من الشريط الجانبي ، انتقل إلى WP Security -> Firewall.

3- انتقل إلى علامة التبويب “Prevent Hotlinks” وتحقق من مربع “منع الارتباط الساخن للصور”.

4- انقر فوق Save Settings (حفظ الإعدادات).

FTP Client

إذا اخترت القيام بذلك يدويًا ، فيمكنك استخدام عميل FTP للوصول إلى مجلد تثبيت WordPress وتعديل ملف htaccess. قم بتوصيل عميل FTP وافتح الدليل public_html. بعد ذلك ، ابحث عن ملف htaccess وافتحه باستخدام محرر نصوص.

كل ما عليك القيام به هو إدخال مقتطف الشفرة هذا في الملف: “قراءة الكود من اليسار الى اليمين”

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?bing.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yahoo.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

استبدل yourdomain.com باسم المجال الفعلي الخاص بموقعك واحفظ الملف. الآن ، يجب أن يحظر موقع WordPress الخاص بك الروابط الساخنة على ملفات الوسائط .jpg و .jpeg و .png و .gif.

ملاحظة: لاتقم بهذه الخطوة الا وانت على دراية تامه بخطورة التعديل على ملف htaccess, و يفضل عمل نسخة احتياطية للملف قبل التعديل علية, ابسط خطوة خاطئه قد تفسد جميع خطوات تأمين موقع ووردبريس الخاص بك التي قمت بها.

استخدام اتصال آمن في كل الأوقات

تتمثل إحدى ممارسات الأمان المهمة في تأمين موقع ووردبريس استخدام اتصال إنترنت موثوق وآمن ، خاصةً عند الوصول إلى صفحة المسؤول والمواقع الأخرى التي تتطلب بيانات اعتماد.

هذا لتجنب نقطة اتصال – نقطة وصول WiFi خبيثة يبدو أنها اتصال شرعي ولكن يتحكم فيها المهاجمون لشن هجمات man-in-the-middle. يتيح موقع نقطة الجذب هذا للمهاجمين تسجيل نشاطك على الإنترنت وسرقة المعلومات المهمة باستخدام موقع ويب مخادع.

تجنب استخدام شبكة WiFi العامة عندما تحتاج إلى استخدام الإنترنت للقيام بأنشطة مهمة مثل الوصول إلى لوحة إدارة WordPress. حتى شبكات المدارس أو المكتبات أو المقاهي التي تبدو شرعية يمكن اختراقها واستغلالها بواسطة المهاجمين.

إذا كان عليك استخدام شبكة عامة ، فننصحك باستخدام VPN. سيضيف هذا حماية في شكل تشفير إلى الاتصال. لذلك ، يجب أن تكون بياناتك وأنشطتك عبر الإنترنت آمنة.

نصيحة أخرى هي استخدام بروتوكول نقل الملفات الآمن بدلاً من عميل بروتوكول نقل الملفات العادي. عند القيام بذلك ، ستستخدم بروتوكول SSH لنقل الملفات لتشفير البيانات التي تنقلها من جهاز الكمبيوتر الخاص بك إلى خادم الويب ، مما يجعل من الصعب على المهاجمين سرقة واعتراض بياناتك بعد اجراءات تأمين موقع ووردبريس التي قمت بها.

الخلاصة

تعتبر إجراءات الحماية في تأمين موقع ووردبريس ضرورية لحماية موقع الشخص من الهجمات الإلكترونية المختلفة. بينما يقوم المطورون بتحديث البرنامج إلى ما لا نهاية لإصلاح العديد من الثغرات الأمنية ، فإن الأمر متروك لك لمواصلة تحديث موقعك بطبقات متعددة من الأمان و تأمين موقع ووردبريس.

تذكر أن الهجمات الإلكترونية تتطور باستمرار وقد يتم اكتشاف المزيد من نقاط الضعف بمرور الوقت. ابق على اطلاع دائم بأي معلومات ذات صلة وعزز موقع WordPress الخاص بك بإجراءات أمنية مقترحة إذا لزم الأمر.

على سبيل المثال ، قد يتم اكتشاف ثغرة أمنية معينة في مكون إضافي مثبت على موقعك. في هذه الحالة ، يتعين عليك التصرف والقيام بتأمين موقع ووردبريس الخاص بك قبل أن يستغل المهاجمون ذلك ويخترقون موقعك بسرعة.

أخيرًا ، يعد تأمين موقع ووردبريس مهمة مستمرة. مع نمو موقعك ، أعد تقييم إجراءات الأمان الخاصة بك وفكر في الاستثمار في حلول أكثر قوة مثل المكونات الإضافية المتميزة أو الاستعانة بخدمة أمان احترافية من WordPress.