لقد ولت تلك الأيام عندما كانت أفضل مواقع الويب هي تلك المواقع التي لديها فقط أكبر التصميمات وتبدو أكثر جاذبية للعيون. يتغير السرد وبدأ الناس الآن في اعتبار الأمان أحد أهم العوامل عند إنشاء موقع ويب.

إن الاستيقاظ على موقع ويب تم الوصول إليه للتو من قبل قراصنة سيئ السمعة ليس تجربة ممتعة لأي شخص وبالتأكيد ليس مشهدًا يريد أي شخص رؤيته. يصبح الأمر أسوأ إذا كان موقع للتجارة الإلكترونية قد تعرض للهجوم ، لأنه يمكنك أن تفقد عملائك ، وتغلق عملياتك لفترة من الوقت ، وقد تخسر مبلغًا كبيرًا من المال في هذه العملية – وهذا من شأنه أن يصل إلى حد غير مستحق انتصار للمتسللين! لن يرغب أي صاحب موقع معقول ومسؤول في حدوث ذلك.

هذا موضوع خطير جدًا لأي شخص يملك موقعًا على الويب ، لأنه إذا فشلت في القيام بالشيء الصحيح فيما يتعلق بأمان موقع الويب ، فلن تتحمل إلا مسؤولية حدوث أي كارثة في النهاية الضربات.

ما مدى أمان WordPress؟

إن معرفة ما إذا كانت ووردبريس عبارة عن منصة آمنة لبناء مواقع الويب ، يعد مكانًا رائعًا لبدء حملتنا منه. لدى الناس بطريقة ما انطباع بأن WordPress ليس منصة مضمونة لبناء مواقع الويب. السبب وراء انتشار هذا الانطباع بسيط للغاية – الكثير منهم لم يتبنوا أفضل الممارسات عندما يتعلق الأمر بـ أمان موقع الويب ؛ لا يزال البعض الآخر حريصًا على استخدام برامج وورد القديمة وغير المستخدمة تقريبًا ؛ لا يزال الزوجان الآخران يبدوان أن الإضافات الفارغة وغير الفعالة هي الأدوات الوحيدة المتاحة لتجهيز مواقع الويب الخاصة بهما ؛ ليس لدى مجموعة أخرى من الأشخاص أدنى معرفة بما يتعلق بأمان الويب ، بالإضافة إلى حقيقة أن أنظمتها تتم إدارتها بشكل سيء. شائعة ، دعنا نواجه الأمر ، كل هذه أسباب موثوقة وقوية لتدمير أي مواقع ويب موجودة.

للحصول على إجابة مباشرة عن السؤال أعلاه ، يعد WordPress منصة آمنة لإنشاء مواقع الويب.

هناك مجموعة أخرى من الأشخاص نحتاج إلى القلق بشأنهم ، وهؤلاء هم الأشخاص الذين يشككون في استخدام وورد لأي شيء لأنهم يشعرون أنه ليس فعالًا بنسبة 100٪ من حيث الأمان. لا يوجد أي موقع لبناء منصة مضمونة 100 ٪! في الواقع ، إذا كنت ملتزمًا بالبحث عن برنامج لبناء موقع آمن بنسبة 100٪ ، فيمكنك تشبيهك بشخص كرس حياته بأكملها فقط لمطاردته بعد الظلال!

ومع ذلك ، يمكن القول بأن WordPress لديه ميزات أمان رائعة بالإضافة إلى عناصر تحكم يمكن أن تساعدك على تقليل وتقليل مخاطر الوقوع فريسة لأولئك الذين يعيشون في العالم المظلم للإنترنت .

يتم تشغيل أكثر من 34٪ من موقع الويب العالمي بواسطة وورد ، وهذا سبب وجيه يجعل المتسللين يستهدفونه. هذا هو السبب في أنك لا تستطيع تحمل أي ثغرات أمنية متوفرة لأنه إذا قمت بذلك ، فستفعل ذلك على حسابك الخاص.

يحتوي WordPress على بعض الثغرات الأمنية التي تسببت في معظم انتهاكات الأمان التي يجب أن تكون قد سمعت عنها في الماضي وكما هو الحال في اليوم ، خاصة عند وصولهم من أولئك الذين لا يزالون غافلين حول التدابير التي يمكن اتخاذها للحد من هذا الخطر. تتضمن بعض هذه الثغرات الأمنية استخدام الأبواب الخلفية ، وعمليات إعادة التوجيه الخبيثة ، و pharma hackers ، و DOS (رفض الخدمة) ، والبرمجة النصية عبر المواقع ، واستخدام القوة الغاشمة لتسجيل الدخول. تلك كانت بعض الثغرات الأمنية التي دبرها المتسللون في الماضي الذي يعيث فسادا على بعض خوادم وورد. ومع ذلك ، فإن الشيء الجيد الذي يجب أن تعرفه هو أن هناك العديد من الإجراءات الأمنية التي يمكنك اتخاذها للحفاظ على سلامتك من هذه الهجمات.

يقوم المطورون بتجديد الآلاف من المكونات الإضافية والسمات لدعم العديد من مستخدمي وورد بأهدافهم المختلفة ، وقد خلقت بعض هذه الأدوات عن غير قصد مساحة لبعض الثغرات الأمنية وانتهاكات الأمان في النهاية. ولكن هذا ليس شيئًا يجب أن تقلق بشأنه ، نظرًا لوجود فريق وورد مكرس خصص وقتهم للتأكد من أن هذه الهفوات الأمنية يتم التعامل معها بشكل صحيح وتصحيحها في أقصر وقت ممكن. يتم الدفع لبعض هؤلاء المحترفين لإنجاز مثل هذه المهام ، بحيث يمكنك أن تتخيل تقريبًا مدى استعدادهم للذهاب للبقاء في صدارة كل موقف أمني.

وفقًا لاستطلاع أجرته مجموعة بحثية معروفة بمراجعة أمان الموقع ، يتعرض أكثر من 100،000 موقع للهجوم من قبل اللصوص الرقميين يوميًا. على هذا النحو ، هناك zillion وأحد الأشياء التي يمكنك القيام بها في إنشاء أمان موقع WordPress يمكنه تجنب أي من هذه الهجمات ومنع الخسائر المالية غير الضرورية كما قد يكون الأمر. هذه بعض الخطوات التي يمكنك اتخاذها:

شركة استضافة WordPress المضمونة أفضل

لا تخطئ أبدًا في التفكير في أن تأمين موقع الويب الخاص بك على WordPress أمر متروك لك وحدك. تتحمل شركة الاستضافة مسؤولياتها الخاصة ، وإذا لم تكن على مستوى الوفاء بها ، يمكن اختراق موقعك بغض النظر عن ما تفعله. ثق فقط بعملك لشركات استضافة الويب التي أثبتت جدواها في هذه الصناعة. كما قلنا ، في اللحظة التي يتم فيها اختراق ميزات الأمان الخاصة بهم ، لا يمكنك فعل سوى القليل جدًا ؛ ثق بي ، فأنت لا تريد أن تجد نفسك في هذا الموقف!

تستخدم أفضل شركات الاستضافة استخدام تصلب الخادم كوسيلة لضمان بيئة آمنة لمواقع WordPress. يستخدم العديد من الطبقات التي تشمل الأجهزة والبرامج للتأكد من أن إعداد تكنولوجيا المعلومات لديهم جيد بما يكفي لمقاومة أي تهديدات أمنية ، بغض النظر عن مدى تعقيدهم.

ويضمنون أيضًا تحديث خوادمهم بشكل صحيح مع أحدث نظام تشغيل مقترنًا بإجراء اختبارات وعمليات مسح شاملة يتم إجراؤها بانتظام للتعامل مع أي برامج ضارة وإمكانات محتملة.

محاولة تشغيل خدمة استضافة دون وجود جدران الحماية والأنظمة اللازمة للكشف عن أي اقتحام محتمل هي مجرد كارثة تنتظر حدوثها. هذه الأشياء يجب أن تكون في مكانها قبل التقدم إلى أي تثبيت وورد. تضمن هذه الشركات أيضًا أنها لا تؤثر على أداء موقع الويب الخاص بك عن طريق تثبيت أدوات الأمان التي لا تدعم النظام الأساسي تمامًا.

استخدم بيانات اعتماد تسجيل الدخول الذكية

يمكنك جعل موقع الويب الخاص بك على WordPress بعيد المنال للمتسللين بمجرد الانغماس في استخدام كلمات المرور وأسماء المستخدمين الرائعة. بعض مدراء الموقع لأي سبب من الأسباب لا يزالون يفضلون استخدام كلمات مرور ذات مظهر غبي لتسجيل الدخول إلى مواقعهم ، وعندما يحدث ذلك ، يمكنك تقريبًا تخمين النتيجة. وفقًا لاستطلاع أجرته إحدى مجلات التكنولوجيا قبل بضع سنوات ، فإن أكثر كلمات المرور شيوعًا التي يستخدمها مسؤولو الموقع هي 1234567 ، تليها مجموعة من كلمات المرور الأخرى التي يمكن تخمينها بسهولة. هذا هو مدى سوءها.

تتساءل لماذا تستخدم المواقع المتقدمة بقوة استخدام قوة كلمة المرور لقياس مدى تعقيد كلمات المرور الخاصة بك. إذا كنت تأمل أن يكون لديك موقع ووردبريس محمي للغاية ، فستحتاج إلى البدء باعتماد كلمات مرور رائعة لا يمكن تخمينها على الفور من قراصنة محتملين!

لحسن الحظ ، هناك مجموعة كبيرة من الأدوات عبر الإنترنت يمكنك أن تساعدها في اختيار كلمات المرور الخاصة بك. تخلص من عدد قليل من عمليات البحث في Google وأنا متأكد من أنك سوف تصادف الإجابات المناسبة.

يأتي تثبيت WordPress باسم مستخدم افتراضي يعرف باسم المسؤول ، ولا تحاول أبدًا استخدام هذا الحساب. تعرف على اسم المستخدم الفريد الخاص بك للمشرف ، وقم بتعيين دور المسؤول. ثم احذف اسم مستخدم المشرف الافتراضي عند الانتهاء من إنشاء حساب المسؤول المخصص لديك. هناك طريقة أخرى لتحقيق ذلك وهي الانتقال إلى phyMyAdmin وتنفيذ الأمر أدناه. بالطبع ، بعد عمل نسخ احتياطية من طاولاتك.

UPPATE wp_users SET user_login = ‘customadminuser’ WHERE user_login = ‘admin’؛

لا يوجد شيء مثل أحدث إصدار من PHP

يعتمد WordPress كما نعرفه إلى حد كبير على PHP لإنجاز الأشياء. على هذا النحو ، فإنه من الصعب عدم التفكير في أن خادم مضيفك يجب أن يشغل أحدث إصدار من PHP لموقع الويب الخاص بك للبقاء آمنًا.

تحصل كل نسخة من إصدارات PHP التي يتم إصدارها فقط على الدعم المطلوب للعامين المقبلين. بعد تلك الفترة ، سوف يستخدمه المستخدمون على مسؤوليتهم الخاصة. ولسوء الحظ ، لا يزال العديد من المستخدمين بقدر 56٪ يستخدمون الإصدار 5.6 أو إصدارًا أقل من PHP لمساعي الويب الخاصة بهم.

هذا غير كافٍ وغير مناسب إلى حد كبير ، وسيؤدي فقط إلى مزيد من المشكلات لأصحاب مواقع الويب. لست مضطرًا لأن تكون في هذه الفئة إذا كنت لا ترغب في الحصول على وجع القلب الذي يدير موقع الويب الخاص بك وورد.

إلى جانب التضحية بالبيانات الحساسة للمتطفلين على طبق من الذهب ، فإن تشغيل إصدار قديم من PHP يمكن أن يؤثر جيدًا على أداء موقع وورد الخاص بك ، وهذا العامل ليس ما يريده أي شخص للمزاح مع هذه الأيام.

تعرف على إصدار PHP الذي تستخدمه حاليًا بواسطة مضيف WordPress الخاص بك. يمكنك القيام بذلك عن طريق عدة طرق. طريقة واحدة للقيام بذلك هي عن طريق تشغيل موقع الويب الخاص بك على pingdom. وإذا حدث أن تكون أقل من الإصدار الحالي والآمن المقبول من PHP ، فيمكنك استخدام لوحة التحكم CPanel لتبديل نسختك.

قم بإغلاق مسؤول WordPress

إن تأمين قسم المشرف على WordPress الخاص بك هو طريقة جيدة لتأمين موقع الويب الخاص بك. هذا سيجعل من المستحيل تقريبًا على المتسللين تحديد موقع أي مواقع خلفية على موقع الويب الخاص بك لأن هذا هو المكان الذي يرغب بعضهم في البدء به. الآن ، يمكنك القيام بذلك بطريقتين. أولاً ، يمكنك إحباط المهاجمين عن طريق تعديل عنوان URL الخاص بتسجيل الدخول إلى WordPress.

عنوان URL الافتراضي لمشرف WordPress موجود بهذا التنسيق domain_name.com/wp-admin. إذا استطعت تغيير هذا ، فستعمل نفسك بعالم كامل من الخير لأن الجميع هناك (بما في ذلك الجيد والسيئ) يعرفون أنه عنوان URL الافتراضي ، وقد يقررون تجربة حظهم.

لتعديل عنوان URL هذا بنجاح ، يوجد زوجان من المكونات الإضافية المجانية التي يمكنك استخدامها مثل تسجيل الدخول إخفاء WPS.

الطريقة الثانية هي الحد من عدد مرات محاولة شخص ما تسجيل الدخول. وقد أثبتت هذه الطريقة أنها فعالة بشكل استثنائي في إبقاء المتسللين في الخليج. استكشف الأدوات الموجودة هناك حيث يمكنها مساعدتك في تحديد فترات القفل وعدد مرات تسجيل الدخول وقوائم IP وقوائم بيضاء.

كل شيء تستخدمه يجب أن يكون الإصدار الأحدث

تمشيا مع ما ذكرناه من قبل ، يجد الكثير من مستخدمي WordPress أنفسهم متشابكين مع القطع القديمة لبناء مواقعهم على الويب. بالكاد يدرك هؤلاء المستخدمون أنه مجرد خدعة بسيطة إنشاء موقع ويب وورد آمن هو التأكد من أن كل شيء تستخدمه لهذا المشروع يجب أن يكون أحدث الإصدارات. كل شيء بدءًا من برنامج WordPress إلى اختيارك من السمات إلى الإضافات التي تستخدمها ، يجب أن يكون أحدث نسخة موجودة. تأتي هذه الإصدارات المحدثة عادةً مع أمان محسّن بالإضافة إلى العديد من إصلاحات الأخطاء.

قم بطرد نفسك اليوم من عربة الشركات التي تشعر أنها لا تحتاج إلى تحديث أي شيء تستخدمه. هذه هي استراتيجية العمل التي لن تؤدي إلا إلى الهلاك في وقت لاحق. من المحتمل أن تصطدم بالأخطاء أو حتى ينتهي بك الأمر إلى موقع معطل لمجرد أنك تستخدم إصدارًا قديمًا من مكون إضافي لتنفيذ موقع وورد الخاص بك.

إحصائيات أخرى مثيرة للاهتمام لمالكي المواقع الإلكترونية هي أن أكثر من 50٪ من نقاط الضعف في وورد التي يستغلها المتسللون هي نتيجة للإضافات القديمة. وفر لنفسك وجع القلب من خلال استكشاف أيٍّ من أفضل مكون أمان وورد لموقع الويب متاح. أيضًا ، يوصي الخبراء غالبًا بعدم اختيار أي مكون إضافي على الويب والبدء في استخدامه. إذا كان بإمكانك الوصول إلى المكونات الإضافية الموثوق بها ، فسيكون ذلك أفضل كثيرًا. وبالتالي ، قم بتطوير عادة الحصول على الإضافات الخاصة بك من مستودع المطورين أو استخدام أدوات المسح الضوئي عبر الإنترنت لتشغيل فحص ما تقوم بتنزيله قبل تطبيقه للاستخدام الخاص بك.

تحديث WordPress Core

تقدم معظم شركات الاستضافة حلولًا بنقرة واحدة لتحديث نشرة وورد الأساسية الخاصة بك. هذا خيار أسهل كثيرًا لأنه سيتولى عملية التحديث تلقائيًا.

لإنجاز ذلك ، انتقل إلى لوحة معلومات WordPress وانقر على “تحديث الآن”.

يمكنك تحقيق هذا الهدف بنفس القدر عن طريق إجراء تنزيل يدوي لأحدث إصدار من وورد. الشيء الوحيد في هذه الطريقة هو أنه سيكون عليك توخي الحذر الشديد حتى لا ينتهي الأمر بالكتابة فوق الدلائل الخاطئة. وبالتالي ، ننصحك بمراجعة مطور قبل المضي قدما في هذا الخيار.

لاحظ هذه الخطوات عند الترقية إلى أحدث إصدار :

  • حذف الدلائل القديمة wp-include وكذلك أدلة wp-admin.
  • حمّل الدلائل الأخيرة على wp- وكذلك أدلة wp-admin.
  • قم بتحميل الملفات بشكل منفصل عن الدليل الجديد إلى مجلد محتوى wp. تأكد من أنك لا تحذف أي مجلدات أو ملفات داخل محتوى wp الخاص بك ، إلا إذا كنت تنوي الكتابة فوقه. </لى>
  • قم بتحميل كل ملف جديد من دليل الجذر الخاص بالإصدار الجديد إلى الدليل الجذر لووردبريس الخاص بك. </لى>

تحديث مكون WordPress

يمكنك أيضًا تحديث المكون الإضافي لـ WordPress تلقائيًا أو يدويًا. تشبه عملية التحديث التلقائي الطريقة التي تتم بها أعلاه.

للقيام بذلك ، انتقل إلى لوحة معلومات WordPress وانقر على “تحديثات” ، حدد المكوّن الإضافي الذي تريد تحديثه وانقر فوق “تحديث المكونات الإضافية”. الأمر بهذه البساطة!

للحصول على تحديث يدوي ، احصل على المكوّن الإضافي من مستودع المطور أو انتقل إلى مستودع WordPress وقم بتنزيله وقم بتحميله عبر بروتوكول FTP حتى تتم الكتابة فوق المكوّن الإضافي الذي سبق هذا الدليل: / wp-content / plugins.

HTTPS أفضل للاتصالات المشفرة

يتمثل أحد المعتقدات المضللة الرئيسية بين مالكي الموقع في حقيقة أن الكثيرين يفترضون أن طبقة المقابس الآمنة مناسبة فقط للأشخاص الذين يديرون مواقع الويب التي تتعامل مع المعاملات المالية باستخدام بطاقات الائتمان وأشياء من هذا القبيل. HTTPS ، وهو بروتوكول Hyper Text Transfer Protocol Secure ، هو مجرد إجراء يضمن اتصال تطبيق الويب أو مستعرض الويب الخاص بك بموقع ويب بشكل آمن.

لذا إذا كنت ترغب في البقاء آمنًا في مجتمع الإنترنت ، فعليك التأكد من أنك تستخدم HTTPS دائمًا لجميع اتصالاتك المشفرة. وللحصول على معلوماتك ، هناك العديد من الأسباب الواضحة لتوصية HTTPS للجميع ، حتى عندما لا تقوم بتشغيل موقع للتجارة الإلكترونية. بعض هذه الأسباب تشمل: تشفير محتويات الويب ؛ يعزز فرصك مع محركات البحث ؛ يضمن لزوار الموقع إمكانية الوثوق بهم ؛ لن يتم تمييز الموقع على أنه غير آمن ؛ زيادة أداء موقعك بدرجة معقولة.

اعتماد مصادقة ثنائية المرحلة

في بعض الأحيان ، لا يمكنك الاعتماد على التحقق من كلمة المرور وحدها لحماية مواقع WordPress الخاصة بك. في الواقع ، لا يمكنك التأكد من قوة كلمة المرور الخاصة بك. يمكن لأولئك المتسللين التعثر بكلمة المرور الخاصة بك وأنت لا تريد أن تخبر بقية القصة!

أصبحت المصادقة على مرحلتين أولوية هذه الأيام لأنها تستخدم طريقة أخرى بالإضافة إلى كلمة مرورك قبل الموافقة على تسجيل الدخول. في العديد من المناسبات ، قد تكون الطريقة الإضافية التي تحدثت عنها هي مكالمة هاتفية أو رسالة نصية بسيطة أو OTP (كلمة مرور لمرة واحدة).

غالبًا ما تنجح هجمات القوة الغاشمة مع مواقع الويب التي تستخدم عمليات المصادقة على مرحلتين. وبالتالي ، تعد المصادقة على مرحلتين واحدة من ووردبرس] b> ميزات أمان موقع الويب التي لا تريدها أن تأخذ أمرا مفروغا منه!

يجب إخفاء نسخة ووردبريس

هناك طريقة موثوق بها للحفاظ على أمان موقع وورد الخاص بك من الوصول غير المصرح به من خلال جعل نسخة وورد الخاصة بك غير معروفة لأولئك الذين يهتمون بمعرفتهم. لا شيء يمكن أن يجعل المتسلل أكثر سعادة من معرفة أنك تستخدم وورد قديم. لمزيد من المعلومات لديهم حول تكوين موقع الويب الخاص بك وورد ، كلما زادت فرصهم في مهاجمة مثل هذا الموقع.

عادة ، يتم كتابة إصدار موقع WordPress الخاص بك دائمًا في رأس شفرة مصدر موقع الويب الخاص بك. ومع ذلك ، إذا كنت تنفذ أحدث إصدار من وورد ، فلن تحتاج إلى ذلك كإجراء أمني إضافي.

بعد قول ذلك ، إذا كنت تستخدم إصدارًا قديمًا من وورد ، فيمكنك إزالة الإصدار ، عن طريق إدخال التعليمة البرمجية التالية في ملف jobs.php الخاص بك:

الوظيفة wp_version_remove_version () {

return ”؛

}

add_filter (‘the_generator’، ‘wp_version_remove_version’)؛

أو على نحو مفضل ، يمكنك تبني حل بنقرة واحدة لإنجاز المهمة. حلا قابلا للتطبيق هو Perfmatters.

edit wordpress code

تحسين wp-config.php

الميزة الرئيسية أثناء تنظيم أي تثبيت لبرنامج وورد هي wp-config.php. أنه يحتوي على بعض المعلومات القيمة للغاية حول التثبيت الخاص بك مثل تسجيل الدخول إلى قاعدة البيانات الخاصة بك ، وتشفير الأمان وغيرها من المعلومات ذات الصلة. يمكنك تعزيز الطريقة التي يظهر بها هذا الملف من خلال القيام ببعض الأشياء التي سيتم تسليط الضوء عليها أدناه:

  • تأكد من تحديث مفاتيح أمان WordPress – هذه المفاتيح ليست سوى مجموعة من معلومات الأمان ذات الصلة بتعزيز التشفير المعلومات الواردة في ملف تعريف الارتباط للمستخدم. شهد ظهور وورد 2.7 مقدمة من AUTH_KEY و LOGGED_IN_KEY و SECURE_AUTH_KEY و NONCE_KEY. عند التثبيت الناجح ، يتم إنشاء هذه المفاتيح عادةً تلقائيًا لك. ومع ذلك ، إذا بدا أنك ترث الموقع من شخص آخر ، فقد يكون ذلك سببًا وجيهًا للحاجة إلى مجموعة جديدة من مفاتيح وورد. </لى>
  • تغيير موقع ملف wp-config.php – من المحتمل أن تكون في مشكلة عند استخدامك مجلد HTML العام الافتراضي لتخزين ملف wp-config.php. يمكن تجنب ذلك عن طريق نقل مثل هذا الملف الحساس إلى دليل لا يمكن الوصول إليه على شبكة الاتصالات العالمية. لتغيير موقع ملف wp-config.php ، انسخ كل محتوياته والصقه في ملف جديد. عند الانتهاء ، ارجع إلى ملف wp-config.php وقم بنشر هذا الرمز:

& lt؛؟ php

include (‘/ home / your_unique_name / wp-config.php’)؛ يرجى ملاحظة أن مسار الدليل الخاص بك يعتمد على مسار مضيف الويب الخاص بك وكذلك الإعداد.

  • تغيير الأذونات – عادةً ما يتم تعيين الملفات الموجودة داخل الدليل الجذر لموقع ووردبريس على 644. وهذا يعني ببساطة أن الملف ستكون قابلة للقراءة وكذلك قابلة للكتابة بواسطة مالك الملف وقابلة للقراءة بواسطة مالك المجموعة وأي شخص آخر. كما هو منصوص عليه في وثائق وورد ، يجب أن يكون إذن ملف wp-config.php هو 4wp-config.php. يجب أن يكون إذن الملف 400 أو 440 ، لأن ذلك سيمنع المستخدمين الآخرين داخل الخادم من الوصول إليه. استخدم عميل FTP الخاص بك لإجراء التغييرات. </لى>

لست بحاجة إلى XML-RPC

أظهرت السجلات أن XML-RPC أصبحت شائعة لدى قراصنة لتنفيذ تدابير القوة الغاشمة على مواقع وورد. كما ذكر خبير الويب ، فإن أحد أوجه القصور في XML-RPC هو أنه يتيح للمستخدمين إجراء مكالمات متعددة بناءً على طلب واحد عبر طريقة system.multicall الخاصة به. هذا أمر جيد لا يمكن إنكاره عند استخدامه للأسباب الصحيحة. المشكلة الوحيدة هي أنه يمكن استخدامها من قبل الزملاء الخطأ لمساعدة مسارهم الشرير والأناني.

ولهذا السبب لا تحتاج بالتأكيد إلى XML-RPC؛ يبدو كأنه مسؤولية أمنية أكثر من كونه أحد أصول الحماية. ومع ذلك ، فمن غير المرجح أن يتم تشغيل موقع WordPress الخاص بك مع تمكين هذه الميزة في الوقت الحالي. ولكن حتى تكون متأكدًا تمامًا من ذلك ، يمكنك محاولة استخدام أي من الأدوات المتاحة عبر الإنترنت للتحقق من حالتها. وإذا حدث أن تم تمكينه ، فالرجاء القيام بعمل جيد لتعطيله قبل الانتقال مباشرة إلى موقع وورد الخاص بك.

اعتماد المكونات الإضافية للأمان لـ WordPress

إذا كنت تفكر في أن الإضافات الأمنية لبرنامج WordPress لمجرد التسلية ، فأعتقد أنك يمكن أن تسامح. لا تزال الإضافات الأمنية لـ WordPress جزءًا حيويًا من الحفاظ على أمان موقع WordPress.

بدءًا من إنشاء كلمات مرور قوية كلما قام المستخدمون بإنشاء ملفات التعريف الخاصة بهم ، وحتى مسح البرامج الضارة ، وتتبع تغييرات نظام أسماء النطاقات ، فإن استخدامات مكونات الإضافات الأمنية هذه متعددة ومهمة للغاية أن تقوض. بعض المكونات الإضافية البارزة في عالم أمان WordPress تشمل WordFence Security و SecuPress و iThemes Security و WP fail2ban. هذه أفضل مكون أمان لمواقع WordPress على الويب تأكد من قيامهم من وقت لآخر بفحص موقعك والتأكد من أن الملفات الأساسية لم يتم اختراقها في أي مكان بعيد.

استخدم أحدث رؤوس أمان HTTP

طريقة ملائمة لتحسين ميزات أمان موقع الويب من موقع الويب الخاص بك وورد هو عن طريق الاستفادة من رؤوس الأمن. عادةً ما يكون التكوين على مستوى خادم الويب ، حيث يقوم بتوجيه المستعرض حول ما يجب القيام به عندما يتعامل مع المحتويات الموجودة على موقع الويب الخاص بك. هناك الكثير من رؤوس HTTP موجودة من أجل متعة استخدامك ؛ ومع ذلك ، ستقوم هذه المقالة بسرد بعض من أهمها هنا: دبابيس المفاتيح العامة ، حماية X-XSS ، حماية النقل الصارمة ، سياسة أمان المحتوى ، خيارات الإطار X ، المحتوى X -نوع.

إذا كنت غير متأكد من نوع رؤوس أمان HTTP ، فيمكنك إجراء فحص عن طريق فتح أدوات مطور برامج Chrome ، والنظر عن كثب في الرأس الموجود في الرد الأول.

مرة أخرى ، إذا لم تكن مرتاحًا للتعامل مع هذا بنفسك ، يمكنك استشارة خدمات مطور البرامج.

فحص الملف بالإضافة إلى أذونات الخادم

أثناء التثبيت بالإضافة إلى خادم الويب ، من المهم للغاية أن تعرف شيئًا أو اثنين عن أذونات الملف. إذا لم يكن لديك أذونات صارمة بما يكفي لمنع النزعات الإجرامية ، فقد تتخلص كثيرًا دون أن تدرك ذلك.

يجب أن تعرف كيفية تعيين أذونات الملف والدليل المناسبة للمستخدمين المناسبين. إذا لم تكن على دراية ، فإن أذونات القراءة مناسبة للمستخدمين الذين تم مسحهم لقراءة الملفات ، أذونات الكتابة هي لأولئك المستخدمين الذين لديهم الحق في تغيير المواد الموجودة في الملف المذكور ، في حين أن إذن التنفيذ يكون مخصصًا تمامًا لأولئك المستخدمين المسموح لهم لتشغيل البرامج النصية.

بالنسبة إلى الأدلة ، يمكن تعيين إذن القراءة لشخص لديه الحق في الوصول إلى محتويات الدليل المذكور وعرضه ؛ أذونات الكتابة مناسبة للمستخدمين الذين يمكنهم إضافة أو حذف الملفات من الدليل المحدد ؛ تنفيذ إذن له الحق في الوصول إلى الدليل المحدد وتشغيل الأوامر وكذلك وظائف عليها.

حاول عدم خلطها عن طريق تعيين إذن مستخدم آخر خاطئ. كدليل أكثر مباشرة ، يمكنك استخدام هذه النقاط البارزة أدناه لتعيين أذونات على موقع وورد الخاص بك:

  • الملفات أفضل حالًا باستخدام أذونات 640 أو 644. الملف الوحيد الذي يجب إعفاؤه من ذلك هو ملف wp-config.php ، والذي يجب أن يكون 400 أو 440 ، بحيث لا يمكن للمستخدمين الآخرين غير المصرح لهم والذين صادف وجودهم على نفس الخادم الوصول إليه. / لى>
  • الأدلة أفضل حالًا باستخدام 750 أو 755 الأذونات.
  • الامتناع عن تعيين أي أدلة لديها أذونات 777 ، بما في ذلك الدلائل للتحميل. </لى>

تأكد دائمًا من النسخ الاحتياطية

خطبة النسخ الاحتياطية هي كلمة لا تنتهي أبدًا ، ولكن من المثير للقلق أن المستخدمين لا يفعلون ما يكفي لعمل نسخة احتياطية من موادهم. من الصحيح تمامًا أنه يمكنك محاربة المهاجمين من خلال نشر بعض الإجراءات الأمنية الأكثر تقدمًا التي تحت تصرفك.

ومع ذلك ، لا بد أن يحدث أي شيء في عالم أجهزة الكمبيوتر. وبالتالي فإن الطريقة الوحيدة التي يمكنك التأكد من محتوياتك بها هي ضمان مشاركتك في أنشطة النسخ الاحتياطي من وقت لآخر. لحسن الحظ ، تقدم العديد من شركات الاستضافة الآن خدمات النسخ الاحتياطي بتنسيقات مختلفة. البعض سهل للغاية ، كل ما عليك القيام به هو ببساطة النقر فوق زر وسيتم نسخ نسخة احتياطية من موقع وورد الخاص بك.

ومع ذلك ، إذا كنت ترعى شركة استضافة تفتقر إلى هذه الميزات ، فأنت لست وحدك. هناك العديد من المكونات الإضافية لأتمتة النسخ الاحتياطي الخاص بك وجعله في نهاية المطاف عملية مريحة. تتيح لك المكونات الإضافية الحصول على نسخة من النسخة الاحتياطية من خلال FTP أو دمجها مع وحدة تخزين خارجية مثل Google Drive أو Dropbox أو Amazon S3. بعض هذه المكونات تشمل WP Time Capsule ، و UpdraftPlus ، و backWPup ، و Duplicator ، إلخ.

ملاحظة: معظم خبراء الويب والتوصية بالحلول القائمة على تزايدي كطريقة للذهاب هنا. تتطلب هذه المكونات الإضافية موارد أقل ولا تمنع الأداء.

بدلاً من ذلك ، يمكنك مواجهة تحديات النسخ الاحتياطي من خلال الاشتراك في خدمات النسخ الاحتياطي. تساعدك هذه الخدمات على تخزين المحتوى الخاص بك على السحابة لرمز مميز على أساس شهري. وهي تشمل CodeGuard و VaultPress و blogVault.

حماية DDOS

إذا كنت تعتقد أن اختراق موقعك يمكن أن يكون تجربة مضحكة ، فانتظر حتى تواجه “DoS” أو هجوم رفض الخدمة. هذا الهجوم يستفيد من استخدام نظام مختلف في مهاجمة موقع ويب واحد. دافعهم؟ في كثير من الأحيان ، يكون تركيز مثل هذه الهجمات هو إسقاط موقعك لفترة قصيرة من الزمن.

هناك خدمات يمكن أن تساعدك على محاربة هذا النوع من الهجوم على موقع وورد الخاص بك. إحدى هذه الخدمات هي Cloudfare . يمكن الاعتماد على ما يقدمونه ضد هجمات DDOS لأي شخص يريد حقًا إبعاد مصاصي الدماء عن مواقعهم. إنه يعمل بطرق غامضة ، أحدها حماية عنوان IP الخاص بك باستخدام وكيل ، بحيث لا يعرف المتسللون بالضبط كيفية الحصول عليك.

استضافة آمنة

يمكن أن تكون شركة الاستضافة الآمنة طريقة جيدة لتجنب كل هذه المشكلات. إذا كنت تفتقر إلى الخبرة أو الدراية الفنية لتنفيذ جميع الخيارات الموصى بها أعلاه ، فستكون شركة الاستضافة الخاصة بك سعيدة بتقديم يد المساعدة لك ، حيث أن هذه طريقة واحدة لمساعدة عملائها على تحقيق أهداف أعمالهم. حتى تتمكن من توفير الطاقة عن طريق ربط واحد اليوم!

<ب> موجز

لا تحتاج إلى تشغيل موقع وورد الخاص بك دون اعتماد التدابير الأمنية اللازمة لأن هذه هي الطريقة التي يفعل بها الجميع. ومع كل ما تعلمته في هذا المنشور ، ستكون مذنباً في تبرير عذرك من هجوم قراصنة ناجح على عدم معرفة ما يجب عليك فعله. لماذا لا تتخذ هذه الخطوة الجريئة على أمان موقع الويب الخاص بك عن طريق إنشاء قائمة مرجعية لأمان موقع الويب الخاص بـ WordPress واستخدامها التي تضمن أن جميع ميزات الأمان في مكانها قبل أن تفعل أي شيء. أطرف جزء هو أن بعض هذه التدابير الأمنية لا تكلف الكثير من الناس يخشون. يمكنك نشر أفضل ما ميزات أمان موقع الويب دون الحاجة إلى إحراق حفرة في جيبك. جميع التدابير المذكورة أعلاه كلها غير مكلفة عند مقارنتها بالتكلفة التي ستتحملها عندما يُسمح لموقعك على وورد أن يعاني بعض الوقت الضائع بسبب الانتهاكات الأمنية التي دبرها المتسللون. لذلك ، حافظ على أمانك اليوم من خلال عدم إهمال جميع النصائح التي تم التخلص منها في سياق هذا المنشور لأن هذه هي الطريقة الأكثر تأكيدًا لضمان عدم مقاطعة عملك.