10 نصائح أمنية للتنفيذ ووردبرس] للالرجل العادي

المادة التي كتبها:
  • وورد
  • تحديث: يونيو 06 و 2018

منذ أن تم طرحه لأول مرة منذ أكثر من عقدين من الزمان ، نمت ووردت (ونمت) الآن بأمان باعتبارها نظام إدارة المحتوى الأكثر شعبية في العالم. اليوم، أكثر من ربع يتم تشغيل مواقع الويب الموجودة على WordPress.

لكن منذ زمن بعيد ، كلما كان الأمر أكثر شعبية ، كلما زاد عدد الأشخاص الذين يرغبون في الاستفادة منه من أجل وسائل شريرة. مجرد إلقاء نظرة على مايكروسوفت ويندوز و عدد هائل من البرامج الضارة والفيروسات والمآثر الأخرى مصممة لاستهداف نظام التشغيل المحدد هذا فقط.

إصدارات وورد 10 مع معظم نقاط الضعفمصدر). حددت الأبحاث في 2017 إصدارات 74 المختلفة من WordPress في مواقع Alexa Top 1 مليون. 11 لهذه الإصدارات غير صالحة - على سبيل المثال الإصدار 6.6.6 (مصدر).

لماذا تعد مدونة WordPress الخاصة بك هدفا قيما؟

إذا كنت تتساءل عن سبب رغبة المخترق في التحكم في مدونة WordPress الخاصة بك ، فهناك عدة أسباب منها:

  • باستخدامه لإرسال رسائل البريد الإلكتروني غير المرغوب فيها سراً
  • سرقة البيانات الخاصة بك مثل قائمة بريدية أو معلومات بطاقة الائتمان
  • إضافة موقعك إلى الروبوتات التي يمكن استخدامها في وقت لاحق

لحسن الحظ ، يعد وورد بريس منصة توفر لك العديد من الفرص للدفاع عن نفسك. بعد أن ساعدت في إعداد وإدارة العديد من المواقع والمدونات بنفسي ، أود أن أطلعكم على بعض الأشياء الأساسية التي يمكنك القيام بها للمساعدة في تأمين موقع WordPress الخاص بك.

في ما يلي نصائح أمان قابلة للتنفيذ من 10 يمكنك الاستفادة منها.

نصيحة # 1. اختر اسم مستخدم مشرف جيد

من التجربة ، تحاول معظم محاولات اختراق الموقع تسجيل الدخول باستخدام ثلاثة خيارات رئيسية لأسماء المستخدمين. أولهما يكونان دومًا "مشرف" أو "مسؤول" ، بينما يستند الثالث عادةً إلى اسم نطاقك.

على سبيل المثال ، إذا كان موقعك هو crazymonkey33.com ، فقد يحاول الهاكر تسجيل الدخول باستخدام "crazymonkey33".

ليست فكرة جيدة.

تلميح #2. تأكد من استخدام كلمة مرور قوية

الآن قد تعتقد أن الناس سيعرفون كيف يستخدمون كلمات مرور قوية ومعقدة لحماية حساباتهم ، لكن لا يزال هناك الكثير ممن يعتقدون أن كلمة المرور هي كلمة عظيمة.

ستشتمل كلمة المرور القوية على مزيج من:

  • الأحرف العليا والسفلى بالأحرف الكبيرة
  • كن أبجديًا (AZ و az)
  • تضمين حرف خاص (! ، @ ، # ، $ ، وما إلى ذلك)
  • على الأقل أحرف 8 في الطول

كلما كانت كلمة المرور أكثر عشوائية ، كلما كانت أكثر أمانًا. جرب هذا المولّد العشوائي لكلمة المرور إذا كنت تواجه مشكلة في التوصل إلى واحدة. https://passwordsgenerator.net/

نصيحة # 3. تنفيذ reCaptcha

البس الجدار من بلوق WP الخاص بك.

تم تصميم reCaptcha لإيقاف الأدوات الآلية من العمل على الموقع. بطبيعة الحال ، نظرا لتعقيد أدوات القرصنة اليوم ، يمكن تجاوز هذه بسهولة ، ولكن على الأقل هناك طبقة إضافية من الأمن.

هناك عدد من الإضافات reCaptcha يمكنك استخدامها مع التثبيت الخاص بك والتي ستعمل إلى حد كبير خارج منطقة الجزاء.

نصيحة # 4. استخدام المصادقة الثنائية (2FA)

2FA هي طريقة مصادقة تتطلب التحقق من تسجيل الدخول الخاص بك. على سبيل المثال ، بمجرد تسجيل الدخول باستخدام اسم المستخدم وكلمة المرور ، قد يرسل النظام رسالة نصية قصيرة إلى هاتفك المحمول أو يرسل إليك بالبريد الإلكتروني مع رمز تحتاج إلى إدخاله للتحقق من هويتك.

توفر طريقة التوثيق هذه حماية جيدة وتستخدمها العديد من البنوك والمؤسسات المالية اليوم. مرة أخرى ، يمكن تلبية هذه الحاجة بسهولة مع 2FA المساعد.

شاهد كيف تعمل miniOrange (a 2FA plugin) مع تسجيل الدخول إلى WordPress في الفيديو التالي.

T

نصيحة # 5. إعادة تسمية عنوان URL الخاص بتسجيل الدخول الخاص بك

سيحاول معظم المتسللين تسجيل الدخول من خلال صفحة تسجيل الدخول إلى Wordpress الافتراضية ، والتي عادة ما تكون مثل sample.com/wp-admin.

لإضافة طبقة أخرى من الحماية ، قم بتغيير عنوان URL لصفحة تسجيل الدخول بسرعة وبدون عناء باستخدام أداة مثل WPS إخفاء تسجيل الدخول.

نصيحة #6. قم بحماية دليل wp-admin الخاص بك

أضف طبقة أمان إضافية إلى دليل المضيف.

يعد دليل wp-admin هو قلب عملية تثبيت WordPress الخاصة بك. كحماية إضافية ، تحمي كلمة المرور هذا الدليل.

للقيام بذلك ، ستحتاج إلى تسجيل الدخول إلى لوحة تحكم حساب الاستضافة. سواء كنت تستخدم وحة التحكم or سيرفرات، الخيار الذي تبحث عنه هو "حماية كلمة السر دلائل'.

تلميح #7. استخدم SSL لتشفير البيانات

اتصال HTTP مقابل HTTPS (المصدر: Sucuri)

بالإضافة إلى الموقع نفسه ، ستحتاج أيضًا إلى حماية الاتصال بينك وبين الخادم وهذا هو المكان الذي تدخل فيه SSL لتشفير اتصالاتك. من خلال وجود اتصال مشفر ، لن يتمكن المتسللون من اعتراض البيانات (مثل كلمة المرور) عند الاتصال بخادمك.

علاوة على ذلك ، من الممارسات الجيدة أيضًا تطبيق SSL الآن نظرًا لأن محركات البحث تعاقب بشكل متزايد على المواقع التي تعتبرها "غير آمنة".

تعرف على المزيد حول SSL في موقعنا الشامل من الألف إلى الياء دليل على SSL.

نصيحة # 8. تأكد من تحديث جميع برامجك

بغض النظر عن مدى كفاءة البرامج أو تكلفتها ، ستكون هناك دائمًا نقاط ضعف جديدة موجودة فيها قد تتركها مفتوحة للاستغلال. WordPress ليس استثناءً ، ويقوم الفريق بإصدار إصدارات أحدث باستمرار مع الإصلاحات والتحديثات.

يسعى المتسللون دائمًا إلى الاستفادة من الضعف والاستغلال المعروف الذي لا يتم إصلاحه هو ببساطة طلب المتاعب. يذهب هذا المبلغ ضعفًا بالنسبة إلى المكونات الإضافية التي يتم إنشاؤها غالبًا بواسطة شركات أصغر بكثير ذات موارد أقل.

إذا كنت تستخدم المكونات الإضافية ، فتأكد من أن التحديثات يتم إصدارها بانتظام ، أو ضع في الاعتبار العثور على وظيفة مشابهة يتم تحديثها.

بعد قولي هذا ، أنا لا أوصي باستخدامه تحديثات WordPress و Plugin التلقائيةخاصة إذا كنت تدير موقعًا حيًا. قد تتسبب بعض التحديثات في حدوث مشكلات ، سواءً داخليًا أو من خلال التعارض مع المكونات الإضافية والإعدادات الأخرى.

من الناحية المثالية ، قم بإنشاء بيئة اختبار تعكس موقعك المباشر واختبر التحديثات هناك. بمجرد التأكد من أن كل شيء يعمل بشكل جيد ، يمكنك تطبيق التحديث على الموقع المباشر.

توفر لك لوحات التحكم مثل Plesk خيار إنشاء موقع مستنسخ لهذا الغرض.

نصيحة # 9. الاستفادة من شبكة توزيع المحتوى (CDN)

على الرغم من أن هذا قد لا يحمي موقعك من الاختراق ، إلا أنه يساعد في التخفيف من الهجمات الضارة ضده. يهدف بعض الهاكرز إلى إسقاط مواقع الويب ، مما يجعلها غير متاحة للجمهور. ستساعد شبكة CDN في تخفيف ضربة هجوم "رفض الخدمة الموزعة" على موقعك.

بالإضافة إلى ذلك ، يساعدك أيضًا على زيادة سرعة موقعك عن طريق تخزين بعض المحتوى مؤقتًا. لاستكشاف هذا الخيار ، انظر نحو CloudFlare كمثال. تقدم CloudFlare خدمات CDN بمستويات تسعير متعددة المستويات ، حتى يمكنك استخدام الميزات الأساسية مجانًا. https://www.cloudflare.com

نصيحة # 10. النسخ الاحتياطي والنسخ الاحتياطي والنسخ الاحتياطي!

بغض النظر عن التدابير الأمنية أو مدى حذرك ، تحدث الحوادث. احفظ نفسك من حطام ساحق ومئات الساعات من العمل ببساطة عن طريق التأكد من وجود خدمات نسخ احتياطية كافية في المكان.

عادةً ما يأتي مضيف الويب الخاص بك مع بعض الميزات الأساسية للنسخ الاحتياطي على الأقل ، ولكن إذا كنت مثلك جنونًا جنونيًا ، فتأكد دائمًا من إجراء نسخ احتياطية مستقلة. النسخ الاحتياطي ليس بسيطًا مثل مجرد نسخ بعض الملفات ، ولكن أيضًا مراعاة المعلومات الموجودة في قاعدة البيانات الخاصة بك.

ابحث عن حل النسخ الاحتياطي الذي تمت تجربته وإثباته. حتى استثمار صغير يستحق ذلك لإنقاذ على الدموع في حالة الطوارئ. شيء مثل BackupBuddy يمكن أن تساعدك على حفظ كل شيء بما في ذلك قاعدة البيانات الخاصة بك دفعة واحدة.

نصيحة منحة: حساب المضيف الخاص بك على الشبكة!

على الرغم من أن شركات استضافة الويب عرضت تقليديا مساحة لنا لاستضافة مواقعنا الإلكترونية ، إلا أن الوقت قد تغير. وقد زاد مقدمو خدمات استضافة المواقع ، الذين يدركون الحاجة الملحة إلى زيادة الأمن ، مع تقديم العديد من الخدمات ذات القيمة المضافة لاستكمال استضافتهم على الويب.

خذ هذا المثال المواقع HostGator، واحدة من أسماء أكثر رسوخا في اللعبة. بالإضافة إلى ميزات Cloudflare الأساسية ، فإن HostGator (بسعر $ 10 + / mo) يأتي أيضًا مع الحماية من البريد المزعج ، وإزالة البرامج الضارة تلقائيًا ، والنسخ الاحتياطي التلقائي ، وخصوصية النطاق والمزيد.

موفر استضافة WordPress مُدار ، Kinsta، وبناء جدران الحماية للأجهزة ومراقبة الخوادم الخاصة بهم بنشاط عن هجمات البرمجيات الخبيثة و DDoS مع نظام مصمم خصيصا.

إذا كان هذا شيئًا لم يحدث لك حتى الآن ، فأنا أشجعك بشدة على الاطلاع على ميزات الأمان التي يوفرها المضيف ومقارنتها بما هو متاح حاليًا.

للحصول على قائمة شاملة يمكنك التحقق من تجميع WHSR لمضيفي الويب هنا.

ماذا الآن؟

قبل أن تشتغل في البرية وتبدأ في البحث عن الإنترنت في حالة ذعر تبحث عن مليون حل أمني واحد - خذ نفسًا عميقًا. كما هو الحال مع أي شيء آخر ، سوف يساعدك شخص ما على الشعور بالذعر بالفعل وتبحث عن حل.

حتى لو قمت بتنفيذ العديد من الحلول الأمنية التي يمكنك العثور عليها ، فهل أنت كذلك بالتأكيد انت آمن؟

هنا حيث شيء من هذا القبيل النينجا الأمن تدخل ، مما يساعدك على فحص موقعك بحثًا عن نقاط الضعف.

العرض التوضيحي السريع: كيف يعمل Security Ninja.

هناك سببان مقنعان لاستخدام شيء ما مثل Security Ninja ولكن دعني أقول إنه أداة أوصي باستخدامها في مراحل متعددة في رحلتك لتأمين موقعك.

أولاً ، قم بتشغيله على موقع الويب الخاص بك "كما هي" - قبل إجراء أية تغييرات. اسمح للمكوّن الإضافي بكز موقعك واستعراضه قبل منحك النتائج.

ثم استنادًا إلى تلك النتائج ، اعمل على تأمين موقعك. Security Ninja يقوم بأكثر من اختبارات 50 للتحقق من دفاعاتك. حتى بعد إجراء التغييرات ، قم بتشغيلها مرة أخرى (وفي كل مرة يتم فيها إجراء تغييرات في الموقع أو تحديثات المكون الإضافي) ، فقط لاختبار موقعك.

إذا كان هذا يبدو وكأنه عمل كثير بالنسبة لك ، فإن Security Ninja يأتي أيضًا مع مجموعة من الوحدات الإضافية (النسخة الموالية ، موقع واحد $ 29) يمكنها مساعدتك في حل المشكلات التي تعثر عليها.

بعض الميزات الرئيسية الأخرى في هذه الوحدات تشمل:

  • مسح ملفات WP الأساسية لتحديد الملفات الإشكالية
  • استعادة الملفات المعدلة بنقرة واحدة
  • إصلاح التحديثات التلقائية للفورة المعطلة
  • حظر 600 مليون IP سيئة تم جمعها من ملايين المواقع التي تعرضت للهجوم
  • قائمة التحديثات التلقائية ، لا حاجة لأية صيانة أو عمل يدوي
  • حماية نموذج تسجيل الدخول من هجمات القوة الغاشمة

خاطرة النهائي

على الرغم من أن كل هذا قد يبدو مفرطًا قليلاً بالنسبة إلى مستخدم WordPress العادي ، إلا أنني أؤكد لك أن كل ذلك (والمزيد) ضروري. تجاهل إحصاءات القرصنة في جميع أنحاء العالم وما إلى ذلك لفترة من الوقت ، دعوني أشارككم بعض المعلومات الشخصية عن أحد أكثر المواقع الغامضة التي أساعد في إدارتها.

بدأت أصلا كموقع سيرة بسيطة ، أنا خلقت www.timothyshim.com. من الواضح ، أنه مجرد شيء أقوم بإعداده وأغادر في معظم الأحيان بمفرده ، ببساطة كنقطة مرجعية. على كل فترة شهر ، وهذا الموقع الذي لا يفعل شيئا ولا يجمع أي بيانات، يواجه أكثر من هجمات 30 - مزيج من القوة الغاشمة والمعقدة.

كل ما تحتاجه هو أن ينجح أحدهم وأن أكون هل حقا يوم سيء.

عن تيموثي شيم

تيموثي شيم هو كاتب ومحرر ومهوس تكنولوجيا. بدأ مسيرته المهنية في مجال تكنولوجيا المعلومات ، حيث وجد طريقه سريعًا في الطباعة ، وعمل منذ ذلك الحين مع عناوين وسائل الإعلام الدولية والإقليمية والمحلية بما في ذلك ComputerWorld و PC.com و Business Today و The Asian Banker. تكمن خبرته في مجال التكنولوجيا من وجهة نظر المستهلك وقطاع الأعمال.