كيفية جعل موقع WordPress آمنًا

نشرت: 2020-10-27

يعد إطلاق موقع WordPress الخاص بك في هذه الأيام أمرًا سهلاً للغاية. لسوء الحظ ، لن يستغرق المتسللون وقتًا طويلاً لبدء استهداف موقعك.

أفضل طريقة لجعل موقع WordPress آمنًا هي فهم كل نقطة ضعف ناتجة عن تشغيل موقع WordPress. ثم قم بتثبيت الأمان المناسب لمنع المتسللين في كل نقطة من هذه النقاط.

جدول المحتويات

    ستتعلم في هذه المقالة كيفية تأمين نطاقك بشكل أفضل وتسجيل الدخول إلى WordPress والأدوات والإضافات المتاحة لتأمين موقع WordPress الخاص بك.

    إنشاء مجال خاص

    من السهل جدًا هذه الأيام العثور على مجال متاح وشرائه بسعر رخيص جدًا. لا يقوم معظم الأشخاص مطلقًا بشراء أي وظائف إضافية للمجال لمجالاتهم. ومع ذلك ، هناك وظيفة إضافية يجب أن تفكر فيها دائمًا وهي حماية الخصوصية.

    هناك ثلاثة مستويات أساسية من حماية الخصوصية مع GoDaddy ، ولكنها تطابق أيضًا عروض معظم موفري النطاقات.

    • أساسي : إخفاء اسمك ومعلومات الاتصال من دليل WHOIS. هذا متاح فقط إذا سمحت لك حكومتك بإخفاء معلومات الاتصال بالمجال.
    • كامل : استبدل معلوماتك الخاصة بعنوان بريد إلكتروني بديل ومعلومات اتصال لإخفاء هويتك الفعلية.
    • Ultimate : أمان إضافي يحظر فحص المجال الضار ، ويتضمن مراقبة أمان موقع الويب لموقعك الفعلي.

    عادةً ما تتطلب ترقية المجال الخاص بك إلى أحد مستويات الأمان هذه اختيار الترقية من قائمة منسدلة في صفحة قائمة النطاق الخاصة بك.

    تعتبر حماية النطاق الأساسية رخيصة إلى حد ما (عادة حوالي 9.99 دولارًا في السنة) ، والمستويات الأعلى من الأمان ليست باهظة الثمن.

    هذه طريقة ممتازة لمنع مرسلي البريد العشوائي من حذف معلومات الاتصال الخاصة بك من قاعدة بيانات WHOIS ، أو غيرهم ممن لديهم نوايا خبيثة ويريدون الوصول إلى معلومات الاتصال الخاصة بك.

    إخفاء ملفات wp-config.php و. htaccess

    عند تثبيت WordPress لأول مرة ، ستحتاج إلى تضمين المعرف الإداري وكلمة المرور لقاعدة بيانات WordPress SQL في ملف wp-config.php.

    يتم تشفير هذه البيانات بعد التثبيت ، ولكنك تريد أيضًا منع المتسللين من تحرير هذا الملف وكسر موقع الويب الخاص بك. للقيام بذلك ، ابحث عن ملف .htaccess وقم بتحريره في المجلد الجذر لموقعك وأضف الكود التالي في أسفل الملف.

     # حماية ملف wpconfig.php
     <ملفات wp-config.php>
     أمر يسمح ، يرفض
     رفض من الجميع
     </files>

    لمنع التغييرات على .htaccess نفسه ، أضف ما يلي إلى أسفل الملف أيضًا.

     # حماية ملف htaccess
     <ملفات .htaccess>
     أمر يسمح ، يرفض
     رفض من الجميع
     </Files>

    احفظ الملف واخرج من محرر الملف.

    يمكنك أيضًا التفكير في النقر بزر الماوس الأيمن فوق كل ملف وتغيير الأذونات لإزالة حق الوصول للكتابة بالكامل للجميع.

    أثناء القيام بذلك على ملف wp-config.php لا ينبغي أن يسبب أي مشاكل ، فإن القيام بذلك على htaccess قد يسبب مشاكل. خاصة إذا كنت تقوم بتشغيل أي مكونات إضافية للأمان في WordPress والتي قد تحتاج إلى تعديل ملف htaccess نيابة عنك.

    إذا تلقيت أي أخطاء من WordPress ، فيمكنك دائمًا تحديث الأذونات للسماح بالوصول للكتابة على ملف htaccess مرة أخرى.

    قم بتغيير عنوان URL الخاص بتسجيل الدخول إلى WordPress

    نظرًا لأن صفحة تسجيل الدخول الافتراضية لكل موقع WordPress هي yourdomain / wp-admin.php ، سيستخدم المتسللون عنوان URL هذا لمحاولة اختراق موقعك.

    سيفعلون ذلك من خلال ما يُعرف بهجمات "القوة الغاشمة" حيث يرسلون أشكالًا مختلفة من أسماء المستخدمين وكلمات المرور النموذجية التي يستخدمها العديد من الأشخاص بشكل شائع. يأمل المتسللون أن يحالفهم الحظ ويحصلوا على التركيبة الصحيحة.

    يمكنك إيقاف هذه الهجمات تمامًا عن طريق تغيير عنوان URL لتسجيل الدخول إلى WordPress إلى شيء غير قياسي.

    هناك الكثير من مكونات WordPress الإضافية لمساعدتك على القيام بذلك. أحد أكثرها شيوعًا هو WPS Hide Login.

    يضيف هذا المكون الإضافي قسمًا إلى علامة التبويب " عام " ضمن " الإعدادات " في WordPress.

    هناك ، يمكنك كتابة أي عنوان URL لتسجيل الدخول تريده وتحديد حفظ التغييرات لتنشيطه. في المرة القادمة التي تريد فيها تسجيل الدخول إلى موقع WordPress الخاص بك ، استخدم عنوان URL الجديد هذا.

    إذا حاول أي شخص الوصول إلى عنوان URL القديم لـ wp-admin ، فسيتم إعادة توجيهه إلى صفحة 404 الخاصة بموقعك.

    ملاحظة : إذا كنت تستخدم مكونًا إضافيًا لذاكرة التخزين المؤقت ، فتأكد من إضافة عنوان URL الجديد لتسجيل الدخول إلى قائمة المواقع التي لا يتم تخزينها مؤقتًا. ثم تأكد من مسح ذاكرة التخزين المؤقت قبل تسجيل الدخول مرة أخرى إلى موقع WordPress الخاص بك.

    قم بتثبيت البرنامج الإضافي لأمان WordPress

    هناك الكثير من المكونات الإضافية للأمان في WordPress للاختيار من بينها. من بينها جميعًا ، يعد Wordfence هو الأكثر تنزيلًا ، وذلك لسبب وجيه.

    يتضمن الإصدار المجاني من Wordfence محرك فحص قويًا يبحث عن التهديدات الخفية ، والشفرات الضارة في المكونات الإضافية أو على موقعك ، وتهديدات حقن MySQL ، والمزيد. كما يتضمن جدار حماية لمنع التهديدات النشطة مثل هجمات DDOS.

    سيسمح لك أيضًا بإيقاف هجمات القوة الغاشمة عن طريق الحد من محاولات تسجيل الدخول وحظر المستخدمين الذين يقومون بالعديد من محاولات تسجيل الدخول غير الصحيحة.

    هناك عدد غير قليل من الإعدادات المتاحة في الإصدار المجاني. أكثر من كافٍ لحماية المواقع الصغيرة إلى المتوسطة من معظم الهجمات.

    هناك أيضًا صفحة لوحة معلومات مفيدة يمكنك مراجعتها لمراقبة التهديدات والهجمات الأخيرة التي تم حظرها.

    استخدم WordPress Password Generator و 2FA

    آخر شيء تريده هو أن يخمن المتسللون كلمة مرورك بسهولة. لسوء الحظ ، يستخدم الكثير من الأشخاص كلمات مرور بسيطة جدًا يسهل تخمينها. تتضمن بعض الأمثلة استخدام اسم موقع الويب أو اسم المستخدم كجزء من كلمة المرور ، أو عدم استخدام أي أحرف خاصة.

    إذا قمت بالترقية إلى أحدث إصدار من WordPress ، فلديك حق الوصول إلى أدوات أمان كلمة مرور قوية لتأمين موقع WordPress الخاص بك.

    تتمثل الخطوة الأولى لتحسين أمان كلمة المرور في الانتقال إلى كل مستخدم لموقعك ، والتمرير لأسفل إلى قسم إدارة الحساب ، وتحديد زر إنشاء كلمة المرور .

    سيؤدي ذلك إلى إنشاء كلمة مرور طويلة وآمنة جدًا تتضمن أحرفًا وأرقامًا وأحرفًا خاصة. احفظ كلمة المرور هذه في مكان آمن ، ويفضل أن يكون ذلك في مستند على محرك أقراص خارجي يمكنك فصله من جهاز الكمبيوتر الخاص بك أثناء اتصالك بالإنترنت.

    حدد تسجيل الخروج في كل مكان آخر للتأكد من إغلاق جميع الجلسات النشطة.

    أخيرًا ، إذا قمت بتثبيت مكون أمان Wordfence الإضافي ، فسترى زر تنشيط 2FA . حدد هذا لتمكين المصادقة ذات العاملين لعمليات تسجيل دخول المستخدم.

    إذا كنت لا تستخدم Wordfence ، فستحتاج إلى تثبيت أي من مكونات 2FA الشائعة.

    • Google Authenticator
    • توثيق ذو عاملين
    • مصادقة الروبلون ذات العاملين
    • مصادقة ثنائية العامل

    اعتبارات أمنية مهمة أخرى

    هناك بعض الأشياء الأخرى التي يمكنك القيام بها لتأمين موقع WordPress الخاص بك بشكل كامل.

    يجب تحديث كل من إضافات WordPress وإصدار WordPress نفسه في جميع الأوقات. يحاول المتسللون غالبًا استغلال الثغرات الأمنية في الإصدارات القديمة من التعليمات البرمجية على موقعك. إذا لم تقم بتحديث كلاهما ، فأنت بذلك تترك موقعك في خطر.

    1. حدد الإضافات والإضافات المثبتة بانتظام في لوحة إدارة WordPress. راجع جميع المكونات الإضافية لمعرفة الحالة التي تشير إلى توفر إصدار جديد.

    عندما ترى واحدة قديمة ، حدد التحديث الآن . يمكنك أيضًا التفكير في تحديد تمكين التحديثات التلقائية للمكونات الإضافية الخاصة بك.

    ومع ذلك ، يحذر بعض الأشخاص من القيام بذلك نظرًا لأن تحديثات المكون الإضافي قد تؤدي أحيانًا إلى تعطيل موقعك أو المظهر. لذلك من الجيد دائمًا اختبار تحديثات المكون الإضافي على موقع اختبار WordPress محلي قبل تمكينها على موقعك المباشر.

    2. عند تسجيل الدخول إلى لوحة معلومات WordPress الخاصة بك ، سترى إشعارًا بأن WordPress قديم إذا كنت تستخدم إصدارًا أقدم.

    مرة أخرى ، قم بعمل نسخة احتياطية من الموقع وتحميله إلى موقع اختبار محلي على جهاز الكمبيوتر الخاص بك لاختبار أن تحديث WordPress لا يكسر موقعك قبل تحديثه على موقع الويب المباشر الخاص بك.

    3. استفد من ميزات الأمان المجانية لمضيف الويب. يقدم معظم مضيفي الويب مجموعة متنوعة من خدمات الأمان المجانية للمواقع التي تستضيفها هناك. يفعلون ذلك لأنه لا يحمي موقعك فحسب ، بل يحافظ على أمان الخادم بأكمله. هذا مهم بشكل خاص عندما تكون على حساب استضافة مشترك حيث يكون لدى العملاء الآخرين مواقع على نفس الخادم.

    غالبًا ما يتضمن ذلك تثبيتات أمان SSL مجانية لموقعك ، ونسخ احتياطية مجانية ، والقدرة على حظر عناوين IP الضارة ، وحتى أداة فحص مجانية للموقع تقوم بفحص موقعك بانتظام بحثًا عن أي رمز ضار أو نقاط ضعف.

    لا يعد تشغيل موقع ويب أبدًا بسيطًا مثل تثبيت WordPress ومجرد نشر المحتوى. من المهم أن تجعل موقع WordPress الخاص بك آمنًا قدر الإمكان. يمكن أن تساعدك جميع النصائح المذكورة أعلاه على القيام بذلك دون بذل الكثير من الجهد.