22 نصيحة لمنع اختراق مدونة WordPress الخاصة بك

كيفية تجنب اختراق موقع WordPress الخاص بك

سواء أكنت تستخدم إجراءات الأمان داخل موقعك على الويب أو مدونتك أم لا في الوقت الحالي أم لا ، فإن الحقيقة هي ...

يأخذ المدونون المعقولون أمان موقع الويب على محمل الجد ويفعلون كل ما في وسعهم لمنع اختراق مدونة WordPress الخاصة بهم.

الأمن على الإنترنت هو قضية حقيقية للغاية.

ينسى الكثير من الناس تحديث المكونات الإضافية ولا يستخدمون أحدث إصدار من WordPress. قد يعني عدم القيام بذلك كارثة إذا لم تتخذ خطوات لمنع اختراق مدونتك.

يمكن أن يؤدي فقد محتوى مدونتك أو موقع الويب الخاص بك إلى تدمير نشاط تجاري أو سمعة أو مجرد التواجد عبر الإنترنت الذي كنت تحاول توسيع نطاقه ؛ تخيل امتلاك مدونة بها مئات المنشورات والتعليقات وحتى الروابط التابعة فقط لتجد أنها قد تعرضت للتدمير في اليوم التالي تمامًا! ليس شعور جميل. ومع ذلك ، هناك طرق لجعل أمان موقع الويب الخاص بك أقوى من الأفضل.

يمكنك إضافة مكونات إضافية وتحديث إطار عمل مدونتك ، بشكل أساسي ، هناك العديد من الطرق للاستمرار في تأمين مدونتك أو موقع الويب الخاص بك. لذا ، لمساعدتك ، لقد كتبت هذه المقالة القصيرة ولكنها غنية بالمعلومات. آمل أن يساعد البعض منكم.

تم تجميع هذا المنشور بنفسي بالطبع ، ولكن أيضًا صديقي العبقري في التدوين ، يوليوس الذي يدير And Break! تحقق من مدونته للحصول على نصائحي العظيمة.

كيفية حماية موقع WordPress الخاص بك من الاختراق

النسخ الاحتياطي لمدونتك

قبل إجراء أي تغييرات على مدونتك ، تأكد من الاحتفاظ بنسخة احتياطية من مدونتك. تكمن المشكلة في معظم المكونات الإضافية المجانية في أنها لا تنسخ جميع بياناتك احتياطيًا. على سبيل المثال ، إذا تم حذف مدونة WordPress الخاصة بك وقمت باستعادة النسخة الاحتياطية من مكون إضافي مجاني ، فستظل تفقد الكثير من بياناتك مثل الصور ، حيث لا يتم نسخها احتياطيًا باستخدام هذه المكونات الإضافية. لهذا السبب أوصي باستخدام Backup Buddy الذي يدعم مدونة WordPress الكاملة ويتيح لك استعادتها بسهولة في وقت لاحق.

إذا كانت لديك مخاوف بشأن إمكانية اختراق مدونتك ، فتأكد من إلقاء نظرة على Backup Buddy.

استخدم كلمات مرور قوية

تعد كلمات المرور القوية ضرورية للمستخدمين ذوي الامتيازات العالية مثل المسؤولين. بدونهم ، ستكون مدونتك عرضة لهجمات القوة الغاشمة. في الأساس ، هذه هي الهجمات التي يحاول فيها المهاجم تخمين كلمة المرور من خلال المرور بالعديد من كلمات المرور - مجموعات المستخدمين. إذا كنت تستخدم كلمات مرور آمنة ، فإن فرص نجاح هجمات القوة الغاشمة تصبح منخفضة للغاية.

فيما يلي بعض النصائح حول ما يجب أن تتضمنه كلمات المرور الآمنة:

• استخدم على الأقل رقمان أو رقمان يستخدمان الأحرف الكبيرة والصغيرة
• استخدم أحرفًا خاصة مثل! @ #…

يجب أيضًا ألا تستخدم كلمات مرور مثل تاريخ ميلادك أو هواياتك. هذا النوع من كلمات المرور غير آمن للغاية لأن المتسللين يمكنهم العثور على المعلومات الشخصية بسهولة.

خطوة أخرى مهمة يجب عليك اتخاذها وهي أن يكون لديك الكثير من كلمات المرور المختلفة. من الجيد أن يكون لديك كلمة مرور واحدة فقط والوصول إلى كل شيء من خلالها ولكن تخيل ماذا يحدث إذا كان شخص ما يعرف كلمة المرور هذه. يمكنه الوصول إلى جميع حساباتك بشكل أساسي.

لهذا السبب استخدم الكثير من كلمات المرور المختلفة.

مواكبة التصحيحات والتحديثات

هذه خطوة حيوية أخرى في تأمين مدونتك. يتم إنشاء التصحيحات والتحديثات لإصلاح الثغرات الأمنية ولإضافة وظائف البرنامج. لا يوجد سبب لعدم تثبيتها.

بشكل أساسي ، يجب عليك أيضًا أن تبقي نفسك على اطلاع دائم بالتغييرات في WordPress ونقاط الضعف بشكل عام. لذلك أنصحك باتباع هاتين الخلاصتين:

• تطوير ووردبريس
• BlogSecurity.net

الأول هو موجز تطوير WordPress حيث يتم نشر الإصدارات الجديدة وآخر التحديثات لـ WordPress. الآخر هو التغذية من BlogSecurity.net. غالبًا ما ينشر هؤلاء الأشخاص نقاط الضعف الموجودة في مكونات WordPress الإضافية أو في WordPress نفسه.

استخدم SSH بدلاً من FTP

FTP بشكل عام ليس آمنًا كما يعتقد الناس. عادةً ما تكون بيانات اعتماد FTP الخاصة بك غير مشفرة ويسهل التقاطها.

يعد SSH أحد البدائل الآمنة جدًا لـ FTP. يستخدم SSH خوارزمية مباشرة لتشفير جميع البيانات المرسلة من خلاله ، بما في ذلك الملفات. اقرأ هذه القصة وقد تغير رأيك بشأن استخدام FTP للتحميل!

استخدم ثيمات WordPress المدعومة

يعتقد معظم الناس أن سمات WordPress نفسها لا تشكل خطرًا أمنيًا ولكن البعض يفعل ذلك. يمكن أن تشكل السمات خطرًا أمنيًا لأنه لا يعرف كل مطور ويب كيفية كتابة تعليمات برمجية آمنة.

لهذا السبب ، من الجيد التمسك بموضوع يتم دعمه وتحديثه من وقت لآخر. تتوفر قوالب WordPress المدعومة بشكل عام مقابل بعض المال ، ولكن من الأفضل أن تكون آمنًا بدلاً من آسف. تسمى هذه السمات المدفوعة السمات المميزة. يتم تقديم هذه السمات من خلال مواقع الويب مثل Woo Themes أو Thesis.

ميزة أخرى للقوالب الاحترافية هي أنه عندما تواجه مشكلة ، يكون لديك مكان يمكنك اللجوء إليه.

فحص الإضافات بحثًا عن الفيروسات بعد التنزيل

اليوم يمكنك بسهولة تنزيل المكونات الإضافية وتثبيتها في غضون ثوانٍ على مدونتك. ولكن عليك توخي الحذر بشأن نوع الامتدادات التي تقوم بتنزيلها. يمكن أن تحتوي المكونات الإضافية على تعليمات برمجية ضارة. لهذا السبب ، من المنطقي البحث عن البرامج الضارة مباشرة بعد تنزيلها.

تحتاج بشكل خاص إلى القيام بذلك باستخدام المكونات الإضافية التي قمت بتنزيلها في بعض الأماكن غير دليل البرنامج المساعد WordPress.

لهذه المهمة ، من الأفضل استخدام برامج مكافحة الفيروسات. تقوم أنظمة التشغيل الأحدث بالتحقق تلقائيًا من الفيروسات بعد تنزيل الملفات. إذا كنت تستخدم نظام تشغيل قديمًا ، فإنني أوصي بمسح دليل التنزيل الخاص بك ربما مرة واحدة في الأسبوع أو بعد تنزيل ملفات جديدة مباشرة.

تغيير بادئة جدول قاعدة البيانات

لجعل قاعدة البيانات الخاصة بك أكثر أمانًا ، يجب عليك تغيير بادئة جدول قاعدة البيانات. البادئة الافتراضية هي wp_ ويجب تغييرها إلى شيء مختلف ، شيء أكثر تعقيدًا ويصعب تخمينه مثل 5rt30k_ .

هذا هو المكان الذي يكون فيه WP Security Scan مفيدًا لأنه سيفعل ذلك نيابة عنك. يجب عليك تثبيت المكون الإضافي WP Security على أي حال لأنه سيُظهر لك مخاطر أمنية محتملة على مدونتك.

تقييد الوصول إلى دليل محتوى Wp

Wp-content هو دليل Wordpress مهم. يجب أن يكون المستخدمون قادرين فقط على الوصول إلى أنواع ملفات معينة داخل هذا الدليل. تتضمن أنواع الملفات هذه الصور ( .jpeg و .gif و .png ) و Javascript ( .js ) و CSS ( .css ) و XML ( .xml ).

لذلك ، من المنطقي حظر الوصول إلى جميع أنواع البيانات الأخرى. سيسمح الكود أدناه بالوصول إلى ملفات الصور و Javascript و CSS و XML ولكنه لن يسمح بالوصول إلى أي بيانات أخرى. يجب وضع الكود أدناه في ملف .htaccess داخل مجلد wp-content .

أمر رفض ، اسمح
رفض من الجميع
<الملفات ~ “. (xml | css | jpe؟ g | png | gif | js) $”>
سماح من الجميع
</Files>

هذا كل ما عليك القيام به.

تأمين ملف wp-config.php

يعد Wp-config.php ملفًا مهمًا للغاية لأنه يحتوي على جميع معلومات الوصول والمفاتيح الحيوية لتأمين مدونتك. يمكننا تأمين الملف عن طريق إضافة هذه الأسطر إلى ملف .htaccess في دليل جذر WordPress (حيث يكون ملف wp-config ):

# حماية ملف wp-config.php
<ملفات wp-config.php>
أمر رفض ، اسمح
رفض من الجميع
</files>

يمنع هذا الرمز وصول الجميع إلى ملف wp-config.php .

لا دليل تصفح

تغيير حيوي آخر يتعلق بأمان WordPress هو منع الأشخاص من تصفح بنية دليل موقع الويب الخاص بك. إذا كنت تريد أن ترى كيف يبدو هذا ، فما عليك سوى إدخال "index of" في Google وسيقوم Google بإدراج جميع مواقع الويب التي تسمح بتصفح الأدلة.

لإيقاف هذا السلوك ، كل ما عليك فعله هو إضافة سطر التعليمات البرمجية من الأسفل إلى ملف htaccess الخاص بك في الدليل الجذر لـ WordPress.

خيارات جميع الفهارس

سيوقف هذا السلوك مرة واحدة وإلى الأبد.

منع محركات البحث من فهرسة قسم المسؤول

تقوم برامج زحف محركات البحث بفهرسة كل محتوى تقريبًا طالما طُلب منهم عدم القيام بذلك. يمكن أن يكون قسم المسؤول الذي تتم فهرسته في محركات البحث تهديدًا أمنيًا كبيرًا.

لذلك من الجيد إبقاء برامج الزحف بعيدة عن جميع أدلة WordPress. أسهل طريقة للقيام بذلك هي إنشاء ملف robots.txt في الدليل الجذر الخاص بك. ثم ضع الكود التالي في الملف:

عدم السماح: / wp- *

تأمين دليل البرنامج المساعد الخاص بك

يمكن أن تخبر المكونات الإضافية التي تستخدمها مستخدمًا ضارًا كثيرًا عن موقع الويب الخاص بك ، لذلك من الحكمة إخفاؤها.

يمكنك بسهولة إخفاء المكونات الإضافية. بادئ ذي بدء ، افتح محرر نصوص وأنشئ ملفًا فارغًا باسم index.html . ثم قم بتحميل هذا الملف إلى دليل wp-content / plugins / .

احذف حساب المسؤول الافتراضي

بحذف حساب المسؤول الضار ، لا يتعرف المستخدمون على اسم المستخدم الخاص بك بهذه السهولة. نظرًا لأن كل تثبيت لـ WordPress يأتي مع حساب مسؤول ، فسيكون لدى المتسللين وقت أسهل في اختراق حسابك لأنهم يعرفون بالفعل اسم المستخدم.

لا يمكنك حذف حساب المسؤول الخاص بك على الفور إذا لم يكن لديك حساب مسؤول جديد ، لذا اتبع الخطوات التالية:

1. قم بإنشاء حساب مسؤول جديد (باسم مستخدم يصعب تخمينه)
2. تسجيل خروج
3. قم بتسجيل الدخول باستخدام حساب المسؤول الجديد وكلمة المرور
4. احذف الحساب القديم

تغيير حقوق الوصول الافتراضية للمستخدمين

تعد حقوق الوصول الافتراضية آمنة جدًا ، ولكن إذا كنت تريد أن تكون في الجانب الآمن ولديك المزيد من التحكم في الحقوق التي يمتلكها كل مستخدم في مدونتك ، فهذا ضروري.

من السهل جدًا إعداده. كل ما عليك القيام به هو:

1. قم بتنزيل البرنامج الإضافي Role Manager
2. قم بتحميله على مدونة WordPress الخاصة بك
3. قم بتنشيطه

ثم انتقل إلى قسم المستخدمين في مدونتك. هناك يمكنك إعداد المكون الإضافي Role Manager ليلائم احتياجاتك.

حذف حسابات المستخدمين غير النشطة

حسابات المستخدمين غير النشطة مزعجة وتشكل أيضًا مخاطرة أمنية. يختار بعض الأشخاص كلمات مرور ضعيفة عند الاشتراك في مدونتك. إذا كان الحساب غير نشط ولكنه لا يزال موجودًا على مدونتك ، فيمكن للمستخدمين الضارين استخدام هذا الحساب للوصول إلى مدونتك.

لذلك ، فإن أفضل ما يمكنك فعله هو حذف حسابات المستخدمين غير النشطة في WordPress (على الرغم من أنك بحاجة إلى التأكد من أنها لا تكسر أي شيء). للقيام بذلك ، انتقل إلى لوحة معلومات WordPress الخاصة بك وانقر فوق المستخدمون . ينقلك هذا إلى الصفحة التي سيتم إدراج كل مستخدم فيها.

ثم انطلق وقم بحذف العناصر التي تعرف أنها غير نشطة.

أضف مفاتيح مصادقة WordPress إلى ملف wp-config.php

تعد إضافة مفاتيح WordPress إجراء أمان مهمًا آخر. يجب أن تكون هذه المفاتيح عشوائية وتعمل كأملاح لملفات تعريف ارتباط WordPress وبالتالي ضمان تشفير أفضل لبيانات المستخدم.

استخدم Wordpress Key Generator لإنشاء هذه المفاتيح واستبدل الأسطر التالية في ملف wp-config.php بالأسطر التي تم إنشاؤها:

حدد ("AUTH_KEY" ، "ضع عبارتك الفريدة هنا") ؛
حدد ('SECURE_AUTH_KEY' ، 'ضع عبارتك الفريدة هنا') ؛
حدد ('LOGGED_IN_KEY' ، 'ضع عبارتك الفريدة هنا') ؛
حدد ("NONCE_KEY" ، "ضع عبارتك الفريدة هنا") ؛

هذا في الواقع كل ما عليك القيام به.

منع اختراق مدونة WordPress - قم بتثبيت جدار حماية WordPress

يوجد مكون إضافي يسمى WordPress Firewall 2 والذي يحمي مدونتك بالفعل من المتسللين الضارين. ما يفعله هو تنبيهك عندما يحاول شخص ما اختراق مدونتك. كما أنه سيمنع بالطبع محاولة المخترق.

تكمن مشكلة هذا البرنامج المساعد في أنه يؤدي وظيفته بشكل جيد للغاية. هذا يعني أنه عادةً ما يمنعك أيضًا من إجراء أي تغييرات على مدونتك. إذا قمت بتحرير ملف قالب WordPress الخاص بك ، ثم انقر فوق حفظ ، فسوف يقوم المكون الإضافي لجدار الحماية بحظره. حدث هذا أيضًا لي عند استخدام المكون الإضافي Smush.it يدويًا.

هذا أمر مزعج للغاية ولكنه يوضح لك على الأقل أن المكون الإضافي يعمل بالفعل. الشيء الوحيد الذي يمكنك فعله إذا كنت ترغب في تعديل ملفات مثل هذه هو تعطيل المكون الإضافي وإعادة تمكينه لاحقًا.

قم بإسقاط سلسلة إصدار Wordpress

<meta content = ”Wordpress 2.5 ″ />

تعتبر سلسلة الإصدار التي يضيفها WordPress تلقائيًا إلى المظهر الخاص بك مهمة لأنها توفر معلومات ضارة للمستخدم حول ما إذا كانت المدونة قد تم تصحيحها أم لا. إذا كانت نسخة قديمة ، سيبدأ المهاجم فورًا في البحث عن ثغرات أمنية تم الإعلان عنها حول إصدار WordPress المحدد هذا.

عادةً ما يضيف WordPress سلسلة الإصدار هذه تلقائيًا إلى قالبك. سيخبر سطر الكود أدناه WordPress بعدم إضافة سلسلة الإصدار إلى رأسك. كل ما عليك فعله هو إضافة الكود إلى ملف jobs.php الخاص بك.

<؟ php remove_action ('wp_head'، 'wp_generator') ؛ ؟>

ألقِ نظرة الآن على الكود المصدري لموقعك على الويب. إذا كانت العلامة الوصفية للمولد لا تزال موجودة ، فعليك التحقق مما إذا كان header.php يحتوي على مثل هذا السطر:

<meta name = ”generator” content = ”WordPress <؟ php bloginfo ('version') ؛ ؟> ”/>

إذا كان الأمر كذلك ، فتابع وحذفه.

منع اختراق مدونة WordPress - استخدم HTTPS دائمًا عند تسجيل الدخول إلى لوحة التحكم

HTTPS هو الإصدار الآمن من HTTP. عند استخدام HTTPS ، لا ترسل بياناتك ، أي كلمات المرور وأسماء المستخدمين ، بنص واضح ، بل يتم تشفيرها بدلاً من ذلك. هذا يجعل من الصعب على الأشخاص اعتراض كلمة المرور واسم المستخدم وفك تشفيرهما بشكل صحيح.

إذا كنت تريد استخدام HTTPS عند تسجيل الدخول إلى لوحة معلومات WordPress الخاصة بك ، فيمكنك استخدام أحد الرموز أدناه وإضافتها إلى wp-config.php .

تعريف ('FORCE_SSL_LOGIN' ، صحيح) ؛

يجبر الكود أعلاه WordPress على استخدام SSL عند تسجيل الدخول إلى لوحة الإدارة الخاصة بك ولكن فقط عند تسجيل الدخول. ولا يفرض استخدام SSL أثناء استخدام لوحة القيادة.

بدلاً من القيام بذلك يدويًا ، يمكنك أيضًا إضافة مكون إضافي مثل WordPress HTTPS (SSL)

لمنع اختراق مدونة WordPress - منع محاولات الوصول إلى دليل wp-admin

يعد مجلد wp-admin أحد أهم الأدلة في مدونتك. يمكنك الوصول إلى لوحة القيادة الخاصة بك من خلالها. يعد منع الأشخاص الآخرين من الوصول إلى هذا الدليل خطوة أساسية في تأمين مدونتك.

يمكنك القيام بذلك عن طريق إنشاء ملف .htaccess في دليل wp-admin . أضف الكود أدناه إليه ولكن قم بتغيير عناوين IP إلى عناوينك الخاصة. إذا كنت لا تعرف عنوان IP الخاص بك ، فما عليك سوى زيارة WhatIsMyIP.

AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName "التحكم في الوصول"
AuthType أساسي
أمر رفض ، السماح
رفض من الجميع
# إدراج عنوان IP للمنزل في القائمة البيضاء
السماح من 64.233.169.99
# عنوان IP للعمل في القائمة البيضاء
السماح من 69.147.114.210
السماح من 199.239.136.200

ليس من المنطقي استخدام هذا الرمز إذا كان لديك الكثير من الأشخاص يكتبون على مدونتك ، خاصةً إذا كانوا يتغيرون باستمرار. تكمن المشكلة في أنك تحتاج دائمًا إلى إضافة / حذف عناوين IP ، بناءً على من يحتاج إلى الوصول إلى مدونتك في الوقت الحالي.

عيب آخر هو عندما يقوم مزود الإنترنت الخاص بك بتعيين عنوان IP ديناميكي لك ، مما يعني أن عنوان IP الخاص بك يتغير باستمرار. إذا كان الأمر كذلك ، فلا تقم بإضافة الكود إلى ملف htaccess .

لمنع اختراق مدونة WordPress - تقييد عدد محاولات تسجيل الدخول الفاشلة في WordPress

يمنع تقييد عدد المحاولات الفاشلة المستخدمين من استخدام تقنيات القوة الغاشمة على حساب WordPress الخاص بك. هجوم القوة الغاشمة هو محاولة لمعرفة كلمة مرور المستخدم من خلال تجربة كل كلمة مرور ممكنة.

كإجراء مضاد ، هناك مكونات إضافية تحظر تلقائيًا مستخدمًا لمدة ساعة إذا حصل على كلمة المرور بشكل خاطئ ثلاث مرات متتالية. يعد تسجيل الدخول Lockdown أحد مكونات WordPress الإضافية.

إخفاء أخطاء تسجيل الدخول إلى لوحة المعلومات

هل سبق لك أن لاحظت أنه عند محاولة تسجيل الدخول باستخدام اسم مستخدم موجود وكلمة مرور خاطئة ، تظهر لك رسالة تقول خطأ: كلمة مرور غير صحيحة . إذا قمت بتسجيل الدخول باستخدام اسم مستخدم غير موجود وبعض كلمة المرور ، فستظهر رسالة مختلفة تبلغ عن الخطأ: اسم مستخدم غير صالح .

يساعد هذا المستخدمين الضارين في معرفة نوع أسماء المستخدمين الموجودة.

لذلك أنصحك بإضافة السطر التالي إلى ملف function.php الخاص بك:

add_filter ('login_errors'، create_function ('$ a'، “return null؛”))؛

في كل مرة يحدث فيها خطأ الآن سيظهر سطر فارغ. حاول.

مقال موصى به: 10 طرق لتحسين أمان المدونة