نصائح الأمن ووردبرس] للشخص العادي: تأمين تسجيل الدخول الخاص بك وورد ممارسات الأمن الأخرى

المادة التي كتبها:
  • وورد
  • تم التحديث: Jul 15 ، 2020

منذ أن تم طرحه لأول مرة منذ أكثر من عقدين من الزمان ، نمت ووردت (ونمت) الآن بأمان باعتبارها نظام إدارة المحتوى الأكثر شعبية في العالم. اليوم، أكثر من ربع يتم تشغيل مواقع الويب الموجودة على WordPress.

لكن منذ زمن بعيد ، كلما كان الأمر أكثر شعبية ، كلما زاد عدد الأشخاص الذين يرغبون في الاستفادة منه من أجل وسائل شريرة. مجرد إلقاء نظرة على مايكروسوفت ويندوز و عدد هائل من البرامج الضارة والفيروسات والمآثر الأخرى مصممة لاستهداف نظام التشغيل المحدد هذا فقط.

إصدارات وورد 10 مع معظم نقاط الضعفمصدر). حددت الأبحاث في 2017 إصدارات 74 المختلفة من WordPress في مواقع Alexa Top 1 مليون. 11 لهذه الإصدارات غير صالحة - على سبيل المثال الإصدار 6.6.6 (مصدر).

لماذا تعد مدونة WordPress الخاصة بك هدفا قيما؟

إذا كنت تتساءل عن سبب رغبة المخترق في التحكم في مدونة WordPress الخاصة بك ، فهناك عدة أسباب منها:

  • باستخدامه لإرسال رسائل البريد الإلكتروني غير المرغوب فيها سراً
  • سرقة البيانات الخاصة بك مثل قائمة بريدية أو معلومات بطاقة الائتمان
  • إضافة موقعك إلى الروبوتات التي يمكن استخدامها في وقت لاحق

لحسن الحظ ، يعد وورد بريس منصة توفر لك العديد من الفرص للدفاع عن نفسك. بعد أن ساعدت في إعداد وإدارة العديد من المواقع والمدونات بنفسي ، أود أن أطلعكم على بعض الأشياء الأساسية التي يمكنك القيام بها للمساعدة في تأمين موقع WordPress الخاص بك.

في ما يلي نصائح أمان قابلة للتنفيذ من 10 يمكنك الاستفادة منها.

تأمين صفحة تسجيل دخول وورد

لا يمكن تحقيق حماية صفحة تسجيل الدخول الخاصة بك عن طريق أي تقنية محددة ، ولكن هناك بالتأكيد خطوات و ملحقات الأمن الحرة يمكنك القيام به لجعل أي هجمات أقل احتمالا للنجاح.

من المؤكد أن صفحة تسجيل الدخول إلى موقعك هي إحدى الصفحات الأكثر ضعفًا على موقع الويب الخاص بك ، لذلك دعونا نبدأ في جعل صفحة تسجيل الدخول إلى موقع WordPress الخاص بك أكثر أمانًا بقليل.

1. اختيار اسم مستخدم مسؤول جيد

استخدم أسماء مستخدمين غير عادية. في السابق باستخدام WordPress ، كان عليك البدء باستخدام اسم مستخدم افتراضي للمشرف ، لكن هذا لم يعد كذلك. ومع ذلك ، يستخدم معظم مشرفي الويب الجدد اسم المستخدم الافتراضي ويحتاجون إلى تغيير اسم المستخدم الخاص بهم. يمكنك استخدام Admin Renamer Extended لتغيير اسم المستخدم الخاص بالمشرف.

فرض صفحات تسجيل الدخول الغاشمة هو أحد أشكال هجمات الويب الشائعة التي من المحتمل أن يواجهها موقع الويب الخاص بك. إذا كان لديك وسيلة سهلة لتخمين كلمة المرور أو اسم المستخدم ، فمن المؤكد أن موقع الويب الخاص بك لن يكون مجرد هدف بل ضحية في النهاية. من التجربة ، تحاول معظم محاولات اختراق الموقع تسجيل الدخول بثلاثة خيارات رئيسية لأسماء المستخدمين. الأولان هما "المسؤول" أو "المسؤول" دائمًا ، بينما يعتمد الثالث عادةً على اسم المجال الخاص بك.

على سبيل المثال ، إذا كان موقعك هو crazymonkey33.com ، فقد يحاول الهاكر تسجيل الدخول باستخدام "crazymonkey33".

ليست فكرة جيدة.

2. تأكد من استخدام كلمة مرور قوية

الآن قد تعتقد أن الناس سيعرفون كيف يستخدمون كلمات مرور قوية ومعقدة لحماية حساباتهم ، لكن لا يزال هناك الكثير ممن يعتقدون أن كلمة المرور هي كلمة عظيمة.

سبلاش البيانات جمعت قائمة كثيرا ما تستخدم كلمات السر في عام 2018. كلمة المرور حسب الترتيب من حيث الاستخدام.

  1. 123456
  2. كلمه السر
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. أشعة الشمس
  9. مفاتيح QWERTY
  10. لوف يو

إذا كنت تستخدم إحدى كلمات المرور هذه ويتلقى موقع الويب الخاص بك أي حركة على الإطلاق ، فمن المؤكد تقريبًا أن تتم إزالة موقعك الإلكتروني عاجلاً أم آجلاً.

ستشتمل كلمة المرور القوية على مزيج من:

  • الأحرف العليا والسفلى بالأحرف الكبيرة
  • كن أبجديًا (AZ و az)
  • تضمين حرف خاص (! ، @ ، # ، $ ، وما إلى ذلك)
  • على الأقل أحرف 8 في الطول

كلما كانت كلمة المرور أكثر عشوائية ، كلما كانت أكثر أمانًا. جرب هذا المولّد العشوائي لكلمة المرور إذا كنت تواجه مشكلة في التوصل إلى واحدة. https://passwordsgenerator.net/

3. تنفيذ reCaptcha

البس الجدار من بلوق WP الخاص بك.

تم تصميم reCaptcha لإيقاف الأدوات الآلية من العمل على الموقع. بطبيعة الحال ، نظرا لتعقيد أدوات القرصنة اليوم ، يمكن تجاوز هذه بسهولة ، ولكن على الأقل هناك طبقة إضافية من الأمن.

هناك عدد من الإضافات reCaptcha يمكنك استخدامها مع التثبيت الخاص بك والتي ستعمل إلى حد كبير خارج منطقة الجزاء.

4. استخدام المصادقة الثنائية (2FA)

2FA هي طريقة مصادقة تتطلب التحقق من تسجيل الدخول الخاص بك. على سبيل المثال ، بمجرد تسجيل الدخول باستخدام اسم المستخدم وكلمة المرور ، قد يرسل النظام رسالة نصية قصيرة إلى هاتفك المحمول أو يرسل إليك بالبريد الإلكتروني مع رمز تحتاج إلى إدخاله للتحقق من هويتك.

توفر طريقة التوثيق هذه حماية جيدة وتستخدمها العديد من البنوك والمؤسسات المالية اليوم. مرة أخرى ، يمكن تلبية هذه الحاجة بسهولة مع 2FA المساعد.

شاهد كيف تعمل miniOrange (a 2FA plugin) مع تسجيل الدخول إلى WordPress في الفيديو التالي.

T

5. إعادة تسمية عنوان URL الخاص بتسجيل الدخول

سيحاول معظم المتسللين تسجيل الدخول من خلال صفحة تسجيل الدخول إلى وورد الافتراضية ، والتي عادة ما تكون مثل ذلك

sample.com/wp-admin.

لإضافة طبقة أخرى من الحماية ، قم بتغيير عنوان URL لصفحة تسجيل الدخول بسرعة وبدون عناء باستخدام أداة مثل WPS إخفاء تسجيل الدخول.

6. الحد من عدد محاولات تسجيل الدخول

هذه هي تقنية بسيطة بشكل لا يصدق لوقف هجمات القوة الغاشمة على صفحة تسجيل الدخول الخاصة بك الحق في مساراتها. هجوم القوة الغاشمة يعمل عن طريق محاولة الحصول على اسم المستخدم وكلمة المرور الخاصة بك عن طريق محاولة مجموعات متعددة مرارا وتكرارا.

إذا تم تتبع عنوان IP المعيّن الذي يرتكب الهجوم ، فيمكنك حظر محاولات فرض الغاشمة المتكررة والحفاظ على أمان موقعك. هذا هو السبب أيضا في هجمات DDOS العالمية تحدث مع عناوين IP متعددة مع أصول مختلفة للهجوم ، لرمي خدمات الاستضافة وأمن المواقع الإلكترونية على حين غرة.

الدخول تأمين و الحل تسجيل الدخول الأمن كلاهما يوفران حلولًا رائعة لحماية صفحات تسجيل الدخول إلى موقع الويب الخاص بك. يقومون بتتبع عناوين IP والحد من عدد محاولات تسجيل الدخول لحماية موقع الويب الخاص بك.

هاردن موقع الأمن الجدار

لقد ناقشنا العديد من الأساليب في تأمين صفحة تسجيل دخول WordPress الخاصة بك - تلك الخطوات المذكورة أعلاه هي الأساسيات التي يمكنك القيام بها. يجب أن تدرك أيضًا أن بعض مضيفي الويب يفوضون بعض ممارسات الأمان هذه على مستخدميهم. هناك عدد من ممارسات الأمان الأخرى التي يمكنك تنفيذها على مواقعك.

7. قم بحماية دليل wp-admin الخاص بك

أضف طبقة أمان إضافية إلى دليل المضيف.

يعد دليل wp-admin هو قلب عملية تثبيت WordPress الخاصة بك. كحماية إضافية ، تحمي كلمة المرور هذا الدليل.

للقيام بذلك ، ستحتاج إلى تسجيل الدخول إلى لوحة تحكم حساب الاستضافة. سواء كنت تستخدم وحة التحكم or سيرفرات، الخيار الذي تبحث عنه هو "حماية كلمة السر دلائل'.

بدلاً من ذلك ، يمكنك حماية دليل بكلمة مرور من خلال تعديل ملفات .htaccess و .htpasswds. التفاصيل دليل خطوة بخطوة ومولد رمز متاحة مجانا في محرك ديناميكي.

لاحظ أن حماية كلمة مرور مجلد wp-admin الخاص بك سوف كسر اجاكس العام لورد - ستحتاج إلى السماح لأذونات admin ajax عبر .htaccess لتجنب أي أخطاء في الموقع.

8. استخدم SSL لتشفير البيانات

اتصال HTTP مقابل HTTPS (المصدر: Sucuri)

بالإضافة إلى الموقع نفسه ، ستحتاج أيضًا إلى حماية الاتصال بينك وبين الخادم وهذا هو المكان الذي تدخل فيه SSL لتشفير اتصالاتك. من خلال وجود اتصال مشفر ، لن يتمكن المتسللون من اعتراض البيانات (مثل كلمة المرور) عند الاتصال بخادمك.

علاوة على ذلك ، من الممارسات الجيدة أيضًا تطبيق SSL الآن نظرًا لأن محركات البحث تعاقب بشكل متزايد على المواقع التي تعتبرها "غير آمنة".

للمدونين الأفراد والشركات الصغيرة ، طبقة مآخذ توصيل آمنة (SSL) مجانية ومشتركة - والتي يمكنك الحصول عليها عادة من مزود الاستضافة ، دعونا تشفير، أو كلودفلاري - عادة ما يكون أكثر من جيد بما فيه الكفاية. بالنسبة للشركات التي تعالج مدفوعات العملاء - من الأفضل لك ذلك شراء شهادة SSL مخصصة من مضيف الويب الخاص بك أو مرجع مصدق (CA).

تعرف على المزيد حول SSL في موقعنا الشامل من الألف إلى الياء دليل على SSL.

9. الاستفادة من شبكة توزيع المحتوى (CDN)

في حين أن هذا قد لا ينقذ موقعك من الاختراق ، إلا أنه يساعد في التخفيف من الهجمات الخبيثة ضده. يهدف بعض المتسللين إلى إسقاط المواقع الإلكترونية ، مما يجعل الوصول إليها غير متاح للجمهور. سوف CDN تساعد على تخفيف ضربة من وزعت الحرمان من الخدمة الهجوم على موقعك.

إلى جانب ذلك ، يساعدك أيضًا على تسريع موقعك قليلاً عن طريق تخزين بعض المحتوى مؤقتًا. لاستكشاف هذا الخيار ، انظر إلى Cloudflare كمثال. كلودفلاري تقدم خدمات CDN بمستويات تسعير متعددة المستويات ، حتى يمكنك استخدام الميزات الأساسية مجانًا.

معرفة المزيد عن كيف يعمل Cloudflare ومزايا استخدام الخدمة.

10. تأكد من تحديث جميع برامجك

بغض النظر عن مدى كفاءة البرامج أو تكلفتها ، ستكون هناك دائمًا نقاط ضعف جديدة موجودة فيها قد تتركها مفتوحة للاستغلال. WordPress ليس استثناءً ، ويقوم الفريق بإصدار إصدارات أحدث باستمرار مع الإصلاحات والتحديثات.

يسعى المتسللون دائمًا إلى الاستفادة من الضعف والاستغلال المعروف الذي لا يتم إصلاحه هو ببساطة طلب المتاعب. يذهب هذا المبلغ ضعفًا بالنسبة إلى المكونات الإضافية التي يتم إنشاؤها غالبًا بواسطة شركات أصغر بكثير ذات موارد أقل.

إذا كنت تستخدم المكونات الإضافية ، فتأكد من إصدار التحديثات بانتظام ، أو تفكر في العثور عليها الإضافات الشائعة مع وظائف مماثلة يتم تحديثها.

بعد قولي هذا ، أنا لا أوصي باستخدامه تحديثات WordPress و Plugin التلقائيةخاصة إذا كنت تدير موقعًا حيًا. قد تتسبب بعض التحديثات في حدوث مشكلات ، سواءً داخليًا أو من خلال التعارض مع المكونات الإضافية والإعدادات الأخرى.

من الناحية المثالية ، قم بإنشاء بيئة اختبار تعكس موقعك المباشر واختبر التحديثات هناك. بمجرد التأكد من أن كل شيء يعمل بشكل جيد ، يمكنك تطبيق التحديث على الموقع المباشر.

توفر لك لوحات التحكم مثل Plesk خيار إنشاء موقع مستنسخ لهذا الغرض.

11. النسخ الاحتياطي والنسخ الاحتياطي والنسخ الاحتياطي!

بغض النظر عن التدابير الأمنية أو مدى حذرك ، تحدث الحوادث. احفظ نفسك من حطام ساحق ومئات الساعات من العمل ببساطة عن طريق التأكد من وجود خدمات نسخ احتياطية كافية في المكان.

عادةً ما يأتي مضيف الويب الخاص بك مع بعض الميزات الأساسية للنسخ الاحتياطي على الأقل ، ولكن إذا كنت مثلك جنونًا جنونيًا ، فتأكد دائمًا من إجراء نسخ احتياطية مستقلة. النسخ الاحتياطي ليس بسيطًا مثل مجرد نسخ بعض الملفات ، ولكن أيضًا مراعاة المعلومات الموجودة في قاعدة البيانات الخاصة بك.

ابحث عن حل النسخ الاحتياطي الذي تمت تجربته وإثباته. حتى استثمار صغير يستحق ذلك لإنقاذ على الدموع في حالة الطوارئ. شيء مثل BackupBuddy يمكن أن تساعدك على حفظ كل شيء بما في ذلك قاعدة البيانات الخاصة بك دفعة واحدة.

12. مضيف الويب الخاص بك التهم!

على الرغم من أن شركات استضافة الويب عرضت تقليديا مساحة لنا لاستضافة مواقعنا الإلكترونية ، إلا أن الوقت قد تغير. وقد زاد مقدمو خدمات استضافة المواقع ، الذين يدركون الحاجة الملحة إلى زيادة الأمن ، مع تقديم العديد من الخدمات ذات القيمة المضافة لاستكمال استضافتهم على الويب.

خذ هذا المثال المواقع HostGator، واحدة من أسماء أكثر رسوخا في اللعبة. بالإضافة إلى ميزات Cloudflare الأساسية ، فإن HostGator (بسعر $ 10 + / mo) يأتي أيضًا مع الحماية من البريد المزعج ، وإزالة البرامج الضارة تلقائيًا ، والنسخ الاحتياطي التلقائي ، وخصوصية النطاق والمزيد.

موفر استضافة WordPress مُدار ، Kinsta، وبناء جدران الحماية للأجهزة ومراقبة الخوادم الخاصة بهم بنشاط عن هجمات البرمجيات الخبيثة و DDoS مع نظام مصمم خصيصا.

إذا كان هذا شيئًا لم يحدث لك حتى الآن ، فأنا أشجعك بشدة على الاطلاع على ميزات الأمان التي يوفرها المضيف ومقارنتها بما هو متاح حاليًا.

للحصول على قائمة شاملة يمكنك التحقق من تجميع WHSR لأفضل المضيفين على شبكة الإنترنت هنا.

ماذا الآن؟

قبل أن تشتغل في البرية وتبدأ في البحث عن الإنترنت في حالة ذعر تبحث عن مليون حل أمني واحد - خذ نفسًا عميقًا. كما هو الحال مع أي شيء آخر ، سوف يساعدك شخص ما على الشعور بالذعر بالفعل وتبحث عن حل.

حتى لو قمت بتنفيذ العديد من الحلول الأمنية التي يمكنك العثور عليها ، فهل أنت كذلك بالتأكيد انت آمن؟

هنا حيث شيء من هذا القبيل النينجا الأمن تدخل ، مما يساعدك على فحص موقعك بحثًا عن نقاط الضعف.

العرض التوضيحي السريع: كيف يعمل Security Ninja.

هناك سببان مقنعان لاستخدام شيء ما مثل Security Ninja ولكن دعني أقول إنه أداة أوصي باستخدامها في مراحل متعددة في رحلتك لتأمين موقعك.

أولاً ، قم بتشغيله على موقع الويب الخاص بك "كما هي" - قبل إجراء أية تغييرات. اسمح للمكوّن الإضافي بكز موقعك واستعراضه قبل منحك النتائج.

ثم استنادًا إلى تلك النتائج ، اعمل على تأمين موقعك. Security Ninja يقوم بأكثر من اختبارات 50 للتحقق من دفاعاتك. حتى بعد إجراء التغييرات ، قم بتشغيلها مرة أخرى (وفي كل مرة يتم فيها إجراء تغييرات في الموقع أو تحديثات المكون الإضافي) ، فقط لاختبار موقعك.

إذا كان هذا يبدو وكأنه عمل كثير بالنسبة لك ، فإن Security Ninja يأتي أيضًا مع مجموعة من الوحدات الإضافية (النسخة الموالية ، موقع واحد $ 29) يمكنها مساعدتك في حل المشكلات التي تعثر عليها.

بعض الميزات الرئيسية الأخرى في هذه الوحدات تشمل:

  • مسح ملفات WP الأساسية لتحديد الملفات الإشكالية
  • استعادة الملفات المعدلة بنقرة واحدة
  • إصلاح التحديثات التلقائية للفورة المعطلة
  • حظر 600 مليون IP سيئة تم جمعها من ملايين المواقع التي تعرضت للهجوم
  • قائمة التحديثات التلقائية ، لا حاجة لأية صيانة أو عمل يدوي
  • حماية نموذج تسجيل الدخول من هجمات القوة الغاشمة

خاطرة النهائي

على الرغم من أن كل هذا قد يبدو مفرطًا قليلاً بالنسبة إلى مستخدم WordPress العادي ، إلا أنني أؤكد لك أن كل ذلك (والمزيد) ضروري. تجاهل إحصاءات القرصنة في جميع أنحاء العالم وما إلى ذلك لفترة من الوقت ، دعوني أشارككم بعض المعلومات الشخصية عن أحد أكثر المواقع الغامضة التي أساعد في إدارتها.

بدأت أصلا كموقع سيرة بسيطة ، أنا خلقت www.timothyshim.com. من الواضح ، أنه مجرد شيء أقوم بإعداده وأغادر في معظم الأحيان بمفرده ، ببساطة كنقطة مرجعية. على كل فترة شهر ، وهذا الموقع الذي لا يفعل شيئا ولا يجمع أي بيانات، يواجه أكثر من هجمات 30 - مزيج من القوة الغاشمة والمعقدة.

كل ما تحتاجه هو أن ينجح أحدهم وأن أكون هل حقا يوم سيء.

عن تيموثي شيم

تيموثي شيم هو كاتب ومحرر ومهوس تكنولوجيا. بدأ مسيرته المهنية في مجال تكنولوجيا المعلومات ، حيث وجد طريقه سريعًا في الطباعة ، وعمل منذ ذلك الحين مع عناوين وسائل الإعلام الدولية والإقليمية والمحلية بما في ذلك ComputerWorld و PC.com و Business Today و The Asian Banker. تكمن خبرته في مجال التكنولوجيا من وجهة نظر المستهلك وقطاع الأعمال.