recent
أخبار ساخنة

6 خطوات سهلة لكيفية تأمين موقعك على ووردبريس WordPress

6 خطوات سهلة لكيفية تأمين موقعك على WordPress

6 خطوات سهلة لكيفية تأمين موقعك على ووردبريس WordPress 

إذا كنت تتطلع إلى إنشاء موقع ويب مرن هذه الأيام ، فهناك فرصة جيدة لاستخدام نظام إدارة المحتوى (CMS). ووردبريس ، إلى حد بعيد ، هو الأكثر شعبية.

في آخر إحصاء ، قام WordPress بتشغيل حوالي 40 ٪ من جميع مواقع الويب على الإنترنت. هذا يعني أنك إذا كنت مبرمج ويب ، فمن المحتمل أن تصادف ووردبريس في مرحلة ما أثناء عملك.

ولكن نظرًا لاستخدام WordPress على نطاق واسع ، يجب على أي مبرمج يعمل معه أن يهتم بشدة لتقويته ضد الهجمات الخارجية.

 وتستمر تلك الهجمات في التكاثر.

 في حادثة واحدة العام الماضي وحده ، تعرض ما يقرب من مليون موقع للهجوم في شهر واحد.

تكمن المشكلة في عدم إنشاء موقعين على WordPress بالطريقة نفسها ، مما يعني أن هناك عددًا لا حصر له من نقاط الضعف المحتملة التي يجب الانتباه إليها.

 وعندما تضيف مكونات إضافية لجهات خارجية إلى المزيج ، يصبح من المستحيل إنشاء دفاع مثالي عن موقع الويب.

ولكن هناك بعض الأشياء التي يمكنك القيام بها والتي من شأنها تقوية موقع ووردبريس ضد الهجمات التي ستوقف جميع التهديدات باستثناء التهديدات الأكثر تعقيدًا.

 فيما يلي ست خطوات أمنية يجب اتخاذها في كل موقع WordPress تعمل به.

الخطوة الأولى: تحديث WordPress إلى أحدث إصدار

نظرًا لأن WordPress هو جزء من البرنامج ، فمن الأهمية بمكان أن يتم تحديثه لتصحيح نقاط الضعف كما يتم تحديدها. لكن عددًا صادمًا من المطورين ومالكي المواقع يتجاهلون القيام بذلك.

تشير البيانات الحديثة إلى أن ما يصل إلى 70٪ من عمليات تثبيت WordPress المعروفة لا تزال تستخدم إصدارات بها نقاط ضعف معروفة.

على الرغم من أنك تعتقد أن هذه المعلومات ستطلق أجراس الإنذار في جميع أنحاء الإنترنت ، إلا أن المشكلة لا تزال قائمة.

 يرجع بعض ذلك إلى عدم استعداد الشركات للدفع مقابل المساعدة المهنية لإكمال العمل. وبعضها لأن بعض المواقع تعتمد على المكونات الإضافية القديمة التي لا تعمل مع إصدارات WordPress الأحدث.

لكن أي مطور يعمل على مثل هذا الموقع يطلب مشكلة. لذلك ، من الأفضل الإصرار على تحديث الموقع كلما واجهت تثبيت WordPress قديمًا.

إذا كنت تأخذ الوقت الكافي لمشاركة بعض إحصاءات التهديد مع مالك الموقع ، فسترى الضوء في النهاية. فقط تأكد من عمل نسخة احتياطية كاملة للموقع قبل إجراء أي تغييرات.

إذا حدث خطأ ما وتعطلت الصفحات أو فشلت المكونات الإضافية ، فستخلق مشكلة أكبر مما تحلها. وفقًا لـ WSI Digital Web ، هذه مشكلة يواجهها العديد من المطورين ، وتسبب ضررًا حقيقيًا. لقد قالوا ،

"لقد اضطررنا إلى التنظيف بعد ترقيات WordPress الفاشلة التي أدت إلى تعطيل الصفحات بسبب تعطل الموقع. وعندما يحدث ذلك ، يمكن أن تسقط هذه الصفحات من فهارس البحث بسرعة كبيرة ، لذا فإن التراجع عن التغييرات على عجل أمر ضروري."

الخطوة الثانية: إزالة الإضافات غير المستخدمة وتحديث الباقي

تمامًا مثل تثبيت WordPress الأساسي ، تعاني المكونات الإضافية أيضًا من نقاط ضعف يقوم المطورون بتصحيحها من وقت لآخر.

 ويعتمد ووردبريس بشكل غير عادي على المكونات الإضافية لتوفير جميع أنواع الوظائف.

على سبيل المثال ، عندما عملت مؤخرًا على موقع الويب الخاص بشركة سباكة محلية ، فوجئت برؤية المكونات الإضافية المستخدمة ، نظرًا للبساطة النسبية للموقع.

لكن أفضل طريقة لتقليل سطح الهجوم المحتمل هي العمل أولاً على إزالة أي مكونات إضافية زائدة عن الحاجة أو غير مستخدمة في الموقع قبل أن تكلف نفسك عناء البحث عن التحديثات المتاحة.

 سيؤدي ذلك إلى تبسيط مهام الصيانة المستمرة وتقليل احتمالية وجود نقاط ضعف.

بمجرد الانتهاء من ذلك ، يجب عليك التحقق من المكونات الإضافية المتبقية لمعرفة حالة التحديث الخاصة بها.

بعد تطبيق التحديثات المتاحة ، لا تفترض أن كل شيء على ما يرام.

 تحقق لمعرفة ما إذا كان أي من المكونات الإضافية المتبقية لم يكن لديه تحديثات في بعض الوقت ، وحاول معرفة السبب.

إذا وجدت أن مطور المكون الإضافي قد اختفى أو أوقف مكونًا إضافيًا ، فابحث عن بديل تمت صيانته بنشاط. كلما طالت مدة بقاء المكون الإضافي دون أي نشاط تطوير ، زادت احتمالات تحوله إلى مشكلة أمنية.

الخطوة الثالثة: تقليل أذونات المستخدم وتسجيلات الدخول الآمنة

حتى إذا كان موقع WordPress الذي تعمل عليه لا يحتوي على ثغرات أمنية معروفة ، فهذا لا يعني أنه آمن.

 هذا لأن هجمات بيانات الاعتماد باستخدام القوة الغاشمة هي الطريقة الأكثر شيوعًا التي يحصل بها المتسللون على وصول غير مصرح به إلى مواقع WordPress الإلكترونية.

 وأفضل طريقة لمنع الضرر الناجم عن ذلك هي مراجعة سياسات أذونات المستخدم وكلمة المرور.

أولاً ، حاول تضييق نطاق عدد الحسابات التي لها حق الوصول على مستوى المسؤول.

 ليس من غير المألوف أن تقوم الشركات الصغيرة بتعيين كل شخص تقريبًا كمسؤول ، ولكن هذا يمثل مخاطرة هائلة.

لذا ، قم بمراجعة كل حساب وتعيين أدنى مستوى إذن ممكن من مجموعات الوصول المضمنة:

المشرفون المتميزون - المستخدمون المتميزون في ووردبريس. حاول قصر هذه على اثنين كحد أقصى.

المسؤولون - هذا هو أعلى إذن عام للمستخدم. مرة أخرى ، حاول تقليلها إلى الحد الأدنى.

محرر - للمستخدمين الذين يحتاجون إلى التحكم في جميع المقالات المنشورة وإجراء تغييرات عليها.

المؤلف - مستخدم يمكنه فقط نشر الأشياء وتغييرها باسمه.

المساهم - يمكنه إضافة مقالات باسمه دون نشرها.

المشترك - لا يمكن إجراء تغييرات على الموقع باستثناء ملف تعريف المستخدم الخاص بهم.

إذا واجهت أي مستخدمين لم يعودوا بحاجة إلى الوصول ، فقم بإزالتهم.

 وبعد ذلك ، استخدم المكون الإضافي Google Authenticator أو نظام مصادقة ثنائي آخر لتأمين الحسابات المتبقية.

الخطوة الرابعة: تعطيل تنفيذ PHP في المجلدات غير الموثوق بها

حتى الآن ، تدور جميع الخطوات السابقة حول منع الهجمات الشائعة منخفضة المستوى.

ولكن هناك بعض التهديدات الأكثر تعقيدًا لمواقع WordPress التي يجب أن تقلق بشأنها أيضًا. ويشارك الكثير منهم المهاجمين في إيجاد طرق لتنفيذ التعليمات البرمجية على موقع دون الوصول إلى الحساب على الإطلاق.

هذا أمر شائع في ووردبريس بسبب الطريقة التي يدير بها أذونات المجلد الافتراضية.

على سبيل المثال ، إذا قمت بتثبيت مكون إضافي يدير الوسائط التي يتم تحميلها بواسطة المستخدم مثل الصور ومقاطع الفيديو ، فسيحتاج إلى مجلد تحميل قابل للكتابة على العالم الخارجي.

 إذا تمكن المهاجم من الوصول إلى هذا المجلد ، فقد يحاول تحميل برنامج نصي ضار واستخدامه لتغيير الموقع بأكمله أو الاستيلاء عليه.

والخبر السار هو أنه يمكنك الحماية من ذلك باستخدام ملف تحكم وصول بسيط في المجلدات الضرورية.

ما عليك القيام به هو إنشاء ملف جديد في كل مجلد قابل للكتابة يسمى htaccess. إنه ملف نصي يخبر خادم الويب بما يجب السماح به أو عدم السماح به في دليل معين. في ذلك ، تشمل ما يلي:

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase

RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L] </IfModule>

# END WordPress

<FilesMatch "\.(php|php\.)$">

Order Allow,Deny

Deny from all

</FilesMatch>

سيسمح ملف htaccess هذا للمستخدمين بتحميل أنواع الملفات التي تريدها ، ولكنه سيمنع أي شخص من تحميل أي كود قابل للتنفيذ في الدليل القابل للكتابة.

يمكنك القيام بذلك في أي مجلدات تواجه المستخدم وتريد حمايتها.

 لكن احذر من الإفراط في استخدام هذه القيود. تتضمن معظم WordPress تنفيذ PHP ، ويمكنك تعطيل موقعك بالكامل إذا وضعت أحدها في المكان الخطأ.

الخطوة الخامسة: تعطيل عرض أخطاء PHP

يعد الحصول على حق الوصول للكتابة والتنفيذ إلى الدلائل إحدى الطرق التي قد يحاول بها المهاجم تشغيل تعليمات برمجية ضارة على موقع ويب WordPress.

 قد يبحثون أيضًا عن أجزاء من الموقع تقوم بتشغيل PHP (وهي موجودة في كل مكان لم تقم بإغلاقه) ويجدون نقاط الضعف هناك. لكن يمكنك جعل عملهم أكثر صعوبة.

للقيام بذلك ، يجب عليك إيقاف تشغيل عرض أخطاء PHP حتى لا يتمكنوا من رؤية أي نتائج عندما يحاولون كسر صفحات الموقع عن قصد.

 إذا أعطاهم الموقع تلميحات حول ما يصلح وما لا يصلح ، فقد يوفر خارطة طريق لإيجاد طريقة لاستغلال صفحات الموقع الموجودة.

الخبر السار هو أنه من السهل تعطيل الإبلاغ عن أخطاء PHP في WordPress. كل ما عليك فعله هو تحرير ملف wp-config.php الخاص بالموقع ، والذي يوجد في الدليل الجذر ويحتوي على معلومات التكوين الأساسية للموقع.

فقط أضف السطر التالي إلى الملف:

define( 'WP_DEBUG', false);

سيؤدي هذا إلى تعطيل تصحيح أخطاء PHP على مستوى الموقع. فقط قم بتدوين ملاحظة عند إجراء هذا التغيير في حالة تعرض الموقع لمشاكل في المستقبل ويتطلب جهود تصحيح أخطاء مصرح بها.

الخطوة السادسة - تعطيل تحرير الموضوع والملحق

حتى بعد قيامك بكل ما سبق ، لا يمكنك أن تكون متأكدًا من أن لا أحد سيجد طريقه إلى موقع WordPress بنية الإضرار. لذا ، يجب عليك إلقاء مجموعة أخيرة من حواجز الطرق في الطريق.

لن يمنع هذا أي مهاجم جاد من إحداث فوضى ، لكنه قد يمنح مشغلي الموقع وقتًا كافيًا لملاحظة وجود خطأ ما واتخاذ الإجراءات اللازمة لتصحيحه.

ما يجب عليك فعله هو تعطيل سمة ووردبريس المضمنة وإمكانية تحرير المكون الإضافي لجعل الأمر أكثر صعوبة على شخص تمكن من الوصول إلى الواجهة الإدارية من تغيير الترميز الأساسي للموقع.

مرة أخرى ، يمكنك القيام بذلك عن طريق تغيير ملف wp-config.php الخاص بالموقع الموجود في الدليل الجذر الخاص به. أضف السطر التالي :

define( 'DISALLOW_FILE_EDIT', true );

قبل أن ترى الكلمات 'That's all, stop editing! Happy publishing'

سيؤدي هذا إلى إخفاء محرري السمة والمكونات الإضافية من الواجهة الإدارية ويمنع أي وسيلة سهلة لتغيير ملفات الموقع.

 للتراجع عن هذا التغيير ، سيحتاج المهاجم إلى وصول FTP أو وصول على مستوى الملف إلى مضيف الويب ، مما سيؤدي على الأقل إلى إبطائها قليلاً.

وكملاحظة أخيرة ، على الرغم من أنك قد ترى نصيحة في مكان آخر ترشدك إلى استخدام مكون إضافي لمقتطف الشفرة لإجراء هذه التغييرات ، فلا تفعل ذلك.

 إذا قمت بذلك ، يمكن للمهاجم استخدام نفس المكون الإضافي للتراجع عن تغييراتك ، مما يلغي قيمة الأمان لإجراء التغييرات في المقام الأول.

لا تزال الحماية غير الكاملة تستحق المحاولة

خلاصة القول هنا هي أن WordPress سيكون دائمًا ضحية لنجاحه. هناك الكثير من المواقع التي تعتمد عليها مما يجعلها هدفًا كبيرًا وجذابًا للمهاجمين.

وعلى الرغم من أن هذه الإجراءات الستة لن توقف كل نوع محتمل من التهديدات ، إلا أنها ستقوم بعمل لائق في الدفاع ضد معظم هجمات الحدائق المتنوعة.

يمكنك (ويجب) أيضًا محاولة حماية قواعد بيانات موقعك عن طريق تغيير بادئة الجدول الافتراضية إلى شيء غامض. ولكن نظرًا لأن هذا خارج نطاق موقع ويب موجود ، فقد حذفته كإجراء أمني هنا.

إذا كنت ترغب في تصويرها ، فهناك طريقة ممتازة موجودة هنا. بخلاف ذلك ، كن راضيًا عن قيامك بدورك للمساعدة في الحفاظ على أحد مواقع WordPress التي لا تعد ولا تحصى قيد التشغيل في جميع أنحاء العالم بشكل أكثر أمانًا.



google-playkhamsatmostaqltradent