Saritel Abbaszade
المؤلف
ووردبريس هو نظام إدارة المحتوى الذي يدعم أكثر من 30% من جميع المواقع الإلكترونية. ومع ذلك، مع زيادة شعبيته، لاحظ القراصنة وبدأوا في مهاجمة صفحات ووردبريس مباشرة. فكيف يمكن جعل موقع ووردبريس آمنًا؟
لماذا تحتاج إلى أمان ووردبريس؟
هناك العديد من الأسباب التي تجعلك بحاجة إلى الحفاظ على أمان موقع ووردبريس الخاص بك. أولاً، ووردبريس هو نظام إدارة محتوى (CMS) يدعم ملايين المواقع الإلكترونية حول العالم. وهذا يعني أنه إذا تمكن أحد القراصنة من العثور على طريقة لاستغلال ثغرة أمنية في ووردبريس، فيمكنه التأثير على ملايين المواقع الإلكترونية.
ثانيًا، نظرًا لأن ووردبريس شائع جدًا، فإنه يعد هدفًا رئيسيًا للقراصنة. يعرف القراصنة أنه إذا تمكنوا من العثور على طريقة لاستغلال موقع ووردبريس، فيمكنهم الوصول إلى عدد كبير من المواقع الإلكترونية.
ثالثًا، إذا تم اختراق موقع ووردبريس الخاص بك، فقد يتضرر سمعتك وتكلفك المال. إذا تمكن القراصنة من الوصول إلى موقعك وتشويهه أو إضافة شفرة خبيثة، فقد ينعكس ذلك بشكل سيء على عملك وقد تخسر العملاء. وإذا تم استخدام موقعك لتوزيع البرمجيات الخبيثة أو عمليات الاحتيال، فقد تكون مسؤولاً عن الأضرار.
ما مدى أمان ووردبريس؟
بينما لا يوجد موقع آمن بنسبة 100%، فإن ووردبريس يعد منصة آمنة إلى حد ما. يعمل فريق ووردبريس الأساسي بجد لمعالجة الثغرات الأمنية عند اكتشافها. وبما أن ووردبريس مفتوح المصدر، يمكن للمجتمع المساعدة في تحديد وإصلاح المشكلات الأمنية.
تم إيقاف أكثر من 86 مليار طلب هجوم على كلمات المرور بواسطة جدار الحماية ووردفنس حتى الآن في النصف الأول من عام 2021. تم تحليل الإحصائيات والأنماط، وتظهر النتائج أن عدد الهجمات على كلمات مرور المستخدمين سيستمر في الارتفاع. أوقف ووردفنس 8,227,887,615 محاولة اختراق باستخدام القوة الغاشمة في يناير 2021. وقد تضاعف هذا الرقم، حيث تم إيقاف حوالي 18,552,519,601 محاولة قوة غاشمة في شهر يونيو 2021 وحده.
المصدر: ووردفنس
المخاوف المتعلقة بأمان ووردبريس
ما هي العواقب المحتملة لشخص يقرر تجاهل كل هذه الأرقام ولا يبذل أي جهد لحماية موقع ووردبريس الخاص به؟ كما يتضح، هناك قدر كبير. الأشكال الأكثر شيوعًا للهجمات الإلكترونية التي تُنفذ ضد مواقع ووردبريس هي:
محاولات تسجيل الدخول بالقوة الغاشمة
هذا أحد أشكال الهجوم الأكثر بساطة. تسجيل الدخول بالقوة الغاشمة هو عندما يستخدم المهاجم برنامجًا آليًا لإدخال عدد كبير من مجموعات اسم المستخدم وكلمة المرور في وقت قصير في محاولة لتخمين بيانات الاعتماد الصحيحة. يمكن استخدام تقنية القرصنة المعروفة بالقوة الغاشمة للوصول إلى أي بيانات محمية بكلمة مرور، وليس فقط تسجيلات الدخول.
البرمجة النصية التي تمتد عبر مواقع متعددة (XSS)
يُقال إن المهاجم استخدم XSS عندما "يحقن" شفرة خبيثة في الخلفية للموقع المستهدف لسرقة المعلومات وإحداث الفوضى في تشغيل الموقع. قد يتم إضافة هذه الشفرة في الخلفية من خلال تقنيات أكثر تعقيدًا، أو يمكن تقديمها ببساطة كاستجابة في نموذج يُعرض للمستخدم.
الحقن في قواعد البيانات
يُعرف هذا النوع من الهجوم أيضًا بحقن SQL، ويحدث عندما يرسل الخصم سلسلة من الشفرة الخبيثة إلى موقع إلكتروني من خلال إدخال المستخدم، مثل نموذج الاتصال. بعد ذلك، سيحفظ الموقع الشفرة في قاعدة بياناته الداخلية. يتم تنفيذ قطعة الشفرة الخبيثة على الموقع، تمامًا مثل هجوم XSS، لاسترداد أو تعريض المعلومات الحساسة المخزنة في قاعدة البيانات للخطر.
الأبواب الخلفية
الباب الخلفي هو ملف يحتوي على شفرة تتيح للمهاجم الوصول إلى موقعك في أي وقت من خلال السماح له بتجاوز شاشة تسجيل الدخول العادية لووردبريس. من الشائع أن يقوم المهاجمون بإخفاء الأبواب الخلفية بين ملفات مصدر ووردبريس الأخرى، مما يجعل من الصعب على المستخدمين ذوي المهارات الأقل العثور عليها. حتى بعد تعطيل الباب الخلفي، يمكن للمهاجمين الاستمرار في تجاوز تسجيل الدخول الخاص بك عن طريق كتابة نسخ منه واستخدامها.
حتى مع أن ووردبريس يقيد تنسيقات الملفات التي يمكن للمستخدمين تحميلها في محاولة لتقليل خطر الأبواب الخلفية، إلا أن هذه لا تزال مشكلة كبيرة يجب أخذها في الاعتبار.
الهجمات باستخدام بروتوكول رفض الخدمة (DoS)
نتيجة لهذه الهجمات، لا يتمكن المستخدمون المصرح لهم من الوصول إلى مواقعهم الخاصة. الطريقة الأكثر شيوعًا لتنفيذ هجوم رفض الخدمة هي إسقاط الخادم المستهدف عن طريق إغراقه بحركة مرور زائدة. تتفاقم العواقب في حالة هجوم رفض الخدمة الموزع، المعروف أيضًا بهجوم DDoS، وهو هجوم DoS يتم تنفيذه بواسطة عدة أجهزة في نفس الوقت.
التصيد الاحتيالي
التصيد الاحتيالي هو عمل مهاجم يتصل بهدف بينما يتظاهر بأنه شركة أو خدمة حقيقية ويطلب معلومات حساسة. في معظم الحالات، سيتم إقناع هدف محاولة التصيد الاحتيالي بتسليم معلومات شخصية، أو تنزيل برامج ضارة، أو زيارة موقع إلكتروني خبيث. في حالة حصول الخصم على الوصول إلى حساب ووردبريس الخاص بك، قد يقوم حتى بتنسيق هجمات تصيد احتيالي على عملائك بينما يتظاهر بأنه أنت.
الربط الساخن
عندما يعرض موقع إلكتروني آخر محتوى مضمن (غالبًا صورة) مستضاف على موقعك الإلكتروني دون إذنك، تُعرف هذه الممارسة باسم "الربط الساخن"، مما يعطي الانطباع بأن الموقع الآخر يمتلك المحتوى. على الرغم من أنه يشبه السرقة أكثر من كونه هجومًا كاملًا، إلا أن الربط الساخن عادة ما يكون غير قانوني ويسبب مشاكل خطيرة للضحية. يجب على الضحية الدفع في كل مرة يتم فيها استرجاع المحتوى من خادمهم وعرضه على موقع إلكتروني آخر، مما يؤدي إلى تكبد الضحية تكاليف عالية.
كيف تجعل موقع ووردبريس الخاص بك آمنًا؟
في هذا الدليل، سنستعرض نصائحنا للحفاظ على أمان موقع ووردبريس الخاص بك.
اختر شركة استضافة نطاق جيدة
اختيار خدمة استضافة تقدم عدة طبقات من الحماية هو الطريقة الأكثر أمانًا للحفاظ على أمان موقعك. قد يبدو من المغري اختيار مزود استضافة منخفض التكلفة؛ بعد كل شيء، توفير المال على استضافة الموقع يساعدك على استثماره في مكان آخر في عملك. ومع ذلك، لا ينبغي اتخاذ هذا المسار. يمكن أن يؤدي، وغالبًا ما يؤدي، إلى كوابيس في المستقبل. يمكن حذف معلوماتك، وقد يبدأ عنوان URL الخاص بك في إعادة التوجيه إلى موقع آخر.
عندما تدفع قليلاً أكثر لمزود استضافة رائد، تحصل على مستويات إضافية من التشفير تُطبق تلقائيًا على موقعك.
ميزة أخرى لوجود خدمة استضافة ووردبريس جيدة هي أنك يمكن أن تسرع بشكل كبير من نطاق ووردبريس.
حاول عدم استخدام القوالب المقرصنة
قوالب ووردبريس المميزة تبدو أكثر صقلًا ولديها فرص تخصيص أكثر من القوالب المجانية. ومع ذلك، يمكن القول أنك تحصل على ما تدفع مقابله. تم تصميم القوالب المميزة بواسطة مطورين ذوي خبرة وتم اختبارها لاجتياز العديد من اختبارات ووردبريس مباشرة من الصندوق. تخصيص القالب غير منظم، وستحصل على دعم كامل إذا حدث خطأ ما في موقعك. والأهم من ذلك، ستحصل على تحديثات القالب اليومية.
ومع ذلك، هناك بعض المواقع التي تبيع القوالب المقرصنة أو المكسورة. القالب المقرصن أو المكسور هو قالب مميز تم اختراقه وجعله متاحًا بوسائل غير قانونية. لذلك، فهي خطيرة جدًا على الموقع.
قم بتثبيت إضافة أمان لووردبريس
اختبار حماية موقعك بانتظام ضد البرمجيات الخبيثة يستغرق وقتًا طويلاً. لأنك تحافظ على معرفتك بمعايير الترميز محدثة، قد لا تدرك حتى أنك تنظر إلى برمجيات خبيثة مكتوبة في المستند. لحسن الحظ، أدرك معظم الناس أن الجميع ليسوا مطورين وطوروا إضافات حماية ووردبريس للمساعدة. تقوم إضافة الحماية برعاية أمان موقعك، وتفحص البرمجيات الخبيثة، وتراقبها على مدار الساعة لمعرفة ما يحدث.
أنشئ كلمة مرور آمنة
كلمات المرور هي جانب حيوي من أمان الموقع وغالبًا ما يتم تجاهلها. إذا كنت تستخدم كلمة مرور بسيطة مثل "123456, abc123, password," يمكنك تحديثها على الفور. هذه الكلمة مرور سهلة التذكر، لكنها أيضًا سهلة التخمين. يمكن لمستخدم متقدم كسر كلمة مرورك بسرعة والوصول إلى حسابك دون صعوبة.
من المهم استخدام كلمة مرور معقدة، أو الأفضل من ذلك، واحدة تم إنشاؤها تلقائيًا باستخدام مزيج من الأرقام، وتنوعات الحروف غير المفهومة، والأحرف الخاصة مثل النسبة المئوية أو.
حاول تعطيل تحرير الملفات
هناك ميزة تحرير الشفرة في لوحة تحكم ووردبريس الخاصة بك تساعدك في تحرير القالب والإضافات عند إعداد منصتك. ستجد ميزة تحرير الشفرة في المظهر>المحرر. يمكنك أيضًا استخدام محرر الإضافات.
نوصي بإلغاء تثبيت هذه الوظيفة حتى يصبح موقعك على الإنترنت. يمكن للقراصنة إدخال شفرة خبيثة خفية في القالب والإضافات إذا حصلوا على الوصول إلى لوحة تحكم ووردبريس الخاصة بك. الشفرة دائمًا ما تكون هادئة لدرجة أنك لن تعرف أن هناك خطأ حتى فوات الأوان. قم بلصق الشفرة في ملف wp-config.php الخاص بك لإلغاء القدرة على تحرير الإضافات وملفات القالب.
قم بإعداد شهادة SSL
SSL، أو طبقة المقابس الآمنة، تُستخدم أيضًا على نطاق واسع من قبل جميع المواقع الإلكترونية. في البداية، كانت SSL تُستخدم لجعل الموقع آمنًا للمعاملات الخاصة، مثل معالجة الدفع. اليوم، ومع ذلك، أدركت جوجل أهميتها وتعطي المواقع التي تدعم SSL ترتيبًا أعلى في نتائج البحث الخاصة بها.
SSL ضروري لأي موقع يتعامل مع بيانات حساسة، مثل كلمات المرور أو أرقام بطاقات الائتمان. يتم تسليم البيانات بين متصفح الويب الخاص بالمستخدم وخادم الويب الخاص بك بنص عادي إذا لم يكن لديك ترخيص SSL. سيتمكن القراصنة من فك تشفير هذا. استخدام شهادة SSL يقوم بتشفير المعلومات السرية قبل إرسالها بين المتصفح والموقع، مما يجعلها أكثر صعوبة في القراءة وأمان موقعك.
قم بتغيير عنوان URL لصفحة تسجيل الدخول إلى ووردبريس
عنوان تسجيل الدخول إلى ووردبريس هو “yoursite.com/wp-admin” بشكل افتراضي. إذا تركته كما هو، فإنك تتجنب أن تكون ضحية لهجوم القوة الغاشمة الذي يستهدف كسر مجموعة اسم المستخدم/كلمة المرور الخاصة بك. يمكنك تلقي عدد كبير من التسجيلات العشوائية إذا سمحت للمستخدمين بالتسجيل للحصول على حسابات اشتراك. قم بتعديل عنوان URL لاسم المستخدم أو أضف استعلام أمان إلى علامة التبويب التسجيل وتسجيل الدخول لتجنب ذلك.
أضف إضافة مصادقة ثنائية إلى موقع ووردبريس الخاص بك لتأمين صفحة تسجيل الدخول الخاصة بك. للحصول على الوصول إلى موقعك، ستحتاج إلى أمان إضافي عند محاولة تسجيل الدخول.
يمكنك أيضًا رؤية عناوين IP التي تحتوي على معظم محاولات تسجيل الدخول الفاشلة وحظرها.
حدد عدد محاولات تسجيل الدخول
يسمح ووردبريس للأشخاص بمحاولة تسجيل الدخول بقدر ما يريدون بشكل افتراضي. على الرغم من أن هذا يمكن أن يساعد في تذكر أي الحروف كبيرة، إلا أنه يعرضك أيضًا لهجمات القوة الغاشمة.
يمكن للمستخدمين المحاولة عدد محدود من المرات قبل أن يتم حظرهم مؤقتًا عن طريق تحديد عدد محاولات تسجيل الدخول. يتم حظر المخترق حتى يتمكن من إكمال هجومه، مما يحد من فرص هجوم القوة الغاشمة.
إخفاء الدلائل wp-config.php و .htaccess
بينما يعد إخفاء ملفات .htaccess وwp-config.php الخاصة بموقعك لمنع القراصنة من الوصول إليها عملية متقدمة لتحسين أمان موقعك، إلا أنه فكرة جيدة إذا كنت قلقًا بشأن أمانك.
ننصح بشدة المطورين ذوي الخبرة بتبني هذا الخيار، حيث من الضروري أخذ نسخة احتياطية من موقعك أولاً والمضي بحذر. أي خطأ يمكن أن يجعل موقعك غير متاح.
يجب تحديث إصدار ووردبريس الخاص بك
من الجيد الحفاظ على تحديث ووردبريس الخاص بك للحفاظ على أمان موقعك. يقوم المطورون بإجراء بعض التحسينات في كل إصدار، ويتم تحديث ميزات الأمان بشكل دوري. من خلال الحفاظ على تحديث تطبيقاتك، يمكنك منع نفسك من أن تصبح ضحية للثغرات والمشاكل الأمنية التي تم التعرف عليها مسبقًا والتي يمكن للقراصنة استخدامها للوصول إلى موقعك.
من المهم أيضًا الحفاظ على تحديث الإضافات والقوالب لنفس الأسباب. يقوم ووردبريس بتثبيت التحديثات الصغيرة تلقائيًا عن طريق الصدفة. ومع ذلك، يجب إجراء التغييرات الكبيرة مباشرة من لوحة تحكم ووردبريس.
استخدم الإضافات الآمنة
استخدام الإضافات الآمنة مهم جدًا لأمان موقع ووردبريس الخاص بك. هناك الكثير من الإضافات لووردبريس. ليست جميعها آمنة لموقعك. قبل تثبيتها، يجب أن تعرف ما إذا كانت آمنة أم لا. ربما لديك عمل تجاري، وتريد تثبيت إضافة نشر تلقائي لمنشورات وسائل التواصل الاجتماعي الخاصة بك. أثناء البحث عن الإضافة المناسبة لك، حاول معرفة أمان الإضافة.
على سبيل المثال، FS Poster هو واحد من أفضل إضافات النشر التلقائي لوسائل التواصل الاجتماعي. هذه الإضافة آمنة لموقع ووردبريس الخاص بك. يحتوي FS Poster على الكثير من الميزات لك. جرب النسخة التجريبية وشاهد هذه الميزات.
استخدم عنوان بريدك الإلكتروني لتسجيل الدخول
لتسجيل الدخول إلى ووردبريس، يجب عليك أولاً كتابة اسم المستخدم الخاص بك. استخدام معرف البريد الإلكتروني بدلاً من اسم المستخدم هو نهج أكثر أمانًا. الأسباب واضحة. أسماء المستخدمين سهلة التخمين، لكن عناوين البريد الإلكتروني ليست كذلك. علاوة على ذلك، يتم منح كل حساب مستخدم في ووردبريس عنوان بريد إلكتروني فريد، والذي يعمل كمعرف صالح لتسجيل الدخول.
تسمح لك العديد من إضافات حماية ووردبريس بإنشاء صفحات تسجيل دخول تمكن جميع المستخدمين من تسجيل الدخول باستخدام عناوين بريدهم الإلكتروني.
لا تستخدم اسم المستخدم “admin”
يجب ألا تستخدم "admin" كاسم مستخدم لحساب المسؤول الأساسي الخاص بك عند تثبيت ووردبريس. يمكن للقراصنة بسهولة استنتاج مثل هذا الاسم المستخدم السهل التخمين. يحتاجون فقط إلى معرفة السر، ويتم اختراق الموقع بالكامل.
قم بعمل نسخ احتياطية يومية لحساب ووردبريس الخاص بك للحفاظ على أمانه
هناك دائمًا مجال للتحسين، بغض النظر عن مدى أمان موقع ووردبريس الخاص بك. ولكن، بغض النظر عما يحدث، فإن الاحتفاظ بنسخة احتياطية خارج الموقع في مكان ما هو على الأرجح أفضل ترياق. يمكنك استعادة موقع ووردبريس الخاص بك إلى حالة عمل في أي وقت إذا كان لديك نسخة احتياطية. هناك بعض الإضافات التي يمكن أن تساعدك في ذلك.
حافظ على تحديث البرامج والإضافات الخاصة بك
واحدة من أهم الأشياء التي يمكنك القيام بها للحفاظ على أمان موقع ووردبريس الخاص بك هي التأكد من أن البرامج والإضافات الخاصة بك دائمًا محدثة. يصدر ووردبريس تحديثات أمان بانتظام، ومن الضروري تثبيت هذه التحديثات بمجرد توفرها.
يمكنك تكوين ووردبريس لتثبيت التحديثات تلقائيًا أو تحديث البرامج يدويًا عن طريق تسجيل الدخول إلى لوحة تحكم ووردبريس والانتقال إلى قسم التحديثات.
بالإضافة إلى تحديث ووردبريس نفسه، يجب عليك أيضًا التأكد من أن جميع الإضافات والقوالب الخاصة بك محدثة. يقوم معظم مطوري الإضافات والقوالب بإصدار تحديثات كلما تم اكتشاف ثغرة أمنية جديدة.
إذا كنت غير متأكد مما إذا كانت إضافة أو قالب محدث، يمكنك معرفة ذلك عن طريق التحقق من الصفحة الرئيسية للإضافة أو مستودع الإضافات في WordPress.org.
احمِ بيانات تسجيل الدخول الخاصة بك، ولا تشاركها مع أي شخص آخر
خطوة أخرى مهمة للحفاظ على أمان موقع ووردبريس الخاص بك هي حماية بيانات تسجيل الدخول الخاصة بك والتأكد من عدم مشاركتها مع أي شخص آخر. اسم المستخدم وكلمة المرور هما مفتاحا موقعك، لذا من الضروري الحفاظ على أمانهما.
أفكار نهائية
قد تتساءل "كيف تجعل موقع ووردبريس آمنًا" وتبحث عن إجابات. إذًا أنت في المكان المناسب. استقرار الموقع مهم جدًا. يمكن للقراصنة استهداف موقعك بسرعة إذا لم تحافظ على تحديث حماية ووردبريس الخاص بك. لقد قمنا بإدراج بعض النصائح لجعل موقع ووردبريس الخاص بك آمنًا. إذا اتبعت هذه النصائح، يمكنك الحفاظ على أمان موقعك.
