الرئيسية / سيو / دليل أمان WordPress النهائي – خطوة بخطوة (2019)

دليل أمان WordPress النهائي – خطوة بخطوة (2019)

أمان WordPress هو موضوع ذو أهمية كبيرة لكل مالك موقع. جوجل القائمة السوداء حوالي 10،000+ المواقع كل يوم للبرامج الضارة وحوالي 50000 للتصيد كل أسبوع.

إذا كنت جادًا في موقع الويب الخاص بك ، فعليك الانتباه إلى أفضل ممارسات أمان WordPress. في هذا الدليل ، سنقوم بمشاركة كل النصائح الأمنية الخاصة بـ WordPress لمساعدتك في حماية موقع الويب الخاص بك ضد المتسللين والبرامج الضارة.

Complete WordPress security guide

على الرغم من أن برنامج WordPress الأساسي آمن للغاية ، ويتم مراجعته بانتظام من قِبل مئات المطورين ، هناك الكثير الذي يمكن القيام به للحفاظ على أمان موقعك.

في WPBeginner ، نعتقد أن الأمن لا يتعلق فقط بالقضاء على المخاطر. انها أيضا عن الحد من المخاطر. بصفتك مالك موقع ويب ، هناك الكثير الذي يمكنك القيام به لتحسين أمان WordPress الخاص بك (حتى إذا لم تكن خبيرًا في التكنولوجيا).

لدينا عدد من الخطوات العملية التي يمكنك اتخاذها لحماية موقع الويب الخاص بك من ثغرات أمنية.

لتسهيل الأمر ، أنشأنا جدول محتويات لمساعدتك في التنقل بسهولة من خلال دليل الأمان النهائي الخاص بـ WordPress.

جدول المحتويات

أساسيات وورد الأمن

  • لماذا أمان WordPress مهم؟
  • حفظ وورد تحديث
  • كلمات المرور وأذونات المستخدم
  • دور استضافة المواقع

أمان WordPress في خطوات سهلة (بدون تشفير)

  • قم بتثبيت حل WordPress Backup
  • أفضل البرنامج المساعد الأمن وورد
  • تمكين جدار حماية تطبيق الويب (WAF)
  • انقل موقع WordPress إلى SSL / HTTPS

وورد الأمن لمستخدمي DIY

  • تغيير اسم المستخدم الافتراضي “المسؤول”
  • تعطيل تحرير الملف
  • تعطيل تنفيذ ملف PHP
  • الحد من محاولات تسجيل الدخول
  • إضافة مصادقة عاملين
  • تغيير قاعدة بيانات ووردبريس بادئة
  • حماية كلمة المرور WP- المسؤول وتسجيل الدخول
  • تعطيل دليل الفهرسة والتصفح
  • تعطيل XML-RPC في وورد
  • تسجيل الخروج تلقائيا الخمول المستخدمين
  • إضافة أسئلة الأمان لتسجيل الدخول إلى وورد
  • مسح وورد لبرامج ضارة وهشاشة
  • إصلاح اختراق موقع وورد

جاهز؟ هيا بنا نبدأ.

لماذا أمان الموقع مهم؟

يمكن أن يتسبب موقع WordPress الذي تم اختراقه في إلحاق أضرار جسيمة بإيرادات أعمالك وسمعتها. يمكن للمتسللين سرقة معلومات المستخدم وكلمات المرور وتثبيت البرامج الضارة ، ويمكنهم حتى توزيع البرامج الضارة للمستخدمين.

والأسوأ من ذلك ، أنك قد تجد نفسك تدفع فدية مقابل المتسللين لمجرد استعادة الوصول إلى موقع الويب الخاص بك.

Why WordPress security is important

في مارس 2016 ، أبلغت Google أنه تم تحذير أكثر من 50 مليون مستخدم لموقع ويب من أنهم قد يقومون بزيارة موقع يحتوي على برامج ضارة أو سرقة معلومات.

علاوة على ذلك ، تضع Google في القائمة السوداء حوالي 20000 موقع للبرامج الضارة وحوالي 50000 موقع للتصيد الاحتيالي كل أسبوع.

إذا كان موقع الويب الخاص بك شركة تجارية ، فأنت بحاجة إلى إيلاء اهتمام إضافي لأمان WordPress الخاص بك.

على غرار ما يتحمله أصحاب الأعمال من حماية مبنى متاجرهم المادية ، بصفتك مالك أعمال على الإنترنت ، تقع على عاتقك مسؤولية حماية موقع الويب الخاص بشركتك.

[العودة إلى الأعلى ↑]

حفظ وورد تحديث

Keeping WordPress updated

WordPress هو برنامج مفتوح المصدر يتم صيانته وتحديثه بانتظام. افتراضيًا ، يقوم WordPress تلقائيًا بتثبيت التحديثات الثانوية. بالنسبة للإصدارات الرئيسية ، تحتاج إلى بدء التحديث يدويًا.

يأتي WordPress أيضًا مع الآلاف من المكونات الإضافية والسمات التي يمكنك تثبيتها على موقع الويب الخاص بك. يتم الحفاظ على هذه المكونات الإضافية والسمات من قبل مطوري الطرف الثالث الذين يصدرون تحديثات بانتظام.

تعد تحديثات WordPress هذه ضرورية لأمن واستقرار موقع WordPress الخاص بك. تحتاج إلى التأكد من أن جوهر WordPress ، والإضافات ، والسمة محدثة.

[العودة إلى الأعلى ↑]

كلمات مرور قوية وأذونات المستخدم

Manage strong passwords

تستخدم محاولات القرصنة الأكثر شيوعًا في WordPress كلمات المرور المسروقة. يمكنك أن تجعل الأمر صعبًا باستخدام كلمات مرور أقوى وفريدة لموقع الويب الخاص بك. ليس فقط لمنطقة مسؤول WordPress ، ولكن أيضًا لحسابات FTP وقاعدة البيانات وحساب استضافة WordPress وعناوين بريدك الإلكتروني المخصصة التي تستخدم اسم مجال موقعك.

العديد من المبتدئين لا يحبون استخدام كلمات مرور قوية لأنه من الصعب تذكرها. الشيء الجيد هو أنك لست بحاجة إلى تذكر كلمات المرور بعد الآن. يمكنك استخدام مدير كلمات المرور. راجع دليلنا حول كيفية إدارة كلمات مرور WordPress.

هناك طريقة أخرى لتقليل المخاطر وهي عدم منح أي شخص حق الوصول إلى حساب مسؤول WordPress إلا إذا كان عليك ذلك مطلقًا. إذا كان لديك فريق كبير من المؤلفين أو الضيوف ، فتأكد من فهم أدوار المستخدم وقدراته في WordPress قبل إضافة حسابات مستخدمين ومؤلفين جدد إلى موقع WordPress الخاص بك.

[العودة إلى الأعلى ↑]

دور استضافة وورد

تلعب خدمة استضافة WordPress الخاصة بك الدور الأكثر أهمية في أمان موقع WordPress الخاص بك. يتخذ موفر الاستضافة المشترك الجيد مثل Bluehost أو Siteground التدابير الإضافية لحماية خوادمهم من التهديدات الشائعة.

إليك كيفية عمل شركة استضافة ويب جيدة في الخلفية لحماية مواقع الويب والبيانات الخاصة بك.

  • يراقبون شبكتهم باستمرار بحثًا عن نشاط مشبوه.
  • جميع شركات الاستضافة الجيدة لديها أدوات قائمة لمنع هجمات DDOS على نطاق واسع
  • يحافظون على تحديث برامج الخادم والأجهزة الخاصة بهم لمنع المتسللين من استغلال ثغرة أمنية معروفة في إصدار قديم.
  • لديهم استعداد لنشر خطط التعافي من الكوارث والحوادث التي تسمح لهم بحماية بياناتك في حالة وقوع حادث كبير.

في خطة استضافة مشتركة ، يمكنك مشاركة موارد الخادم مع العديد من العملاء الآخرين. هذا يفتح خطر حدوث تلوث في المواقع حيث يمكن للمتسلل استخدام موقع مجاور لمهاجمة موقع الويب الخاص بك.

يوفر استخدام خدمة استضافة WordPress مُدارة نظامًا أكثر أمانًا لموقع الويب الخاص بك. تقدم شركات استضافة WordPress المدارة نسخًا احتياطيًا تلقائيًا وتحديثات WordPress تلقائية وتكوينات أمان أكثر تقدمًا لحماية موقع الويب الخاص بك

نوصي باستخدام WPEngine كموفر خدمة استضافة WordPress المدار المفضل. كما أنها الأكثر شعبية في هذه الصناعة. (انظر قسيمة WPEngine الخاصة بنا).

[العودة إلى الأعلى ↑]

أمان WordPress في خطوات سهلة (بدون تشفير)

نحن نعلم أن تحسين أمان WordPress يمكن أن يكون فكرة مرعبة للمبتدئين. خاصة إذا كنت غير فني. خمن ما – لست وحدك.

لقد ساعدنا الآلاف من مستخدمي WordPress في تشديد أمان WordPress الخاص بهم.

سنعرض لك كيف يمكنك تحسين أمان WordPress الخاص بك ببضع نقرات (لا يلزم الترميز).

إذا استطعت الإشارة والنقر ، فيمكنك القيام بذلك!

قم بتثبيت حل WordPress Backup

Install a WordPress backup solution

النسخ الاحتياطية هي دفاعك الأول ضد أي هجوم من WordPress. تذكر ، ليس هناك ما هو 100 ٪ آمنة. إذا كان من الممكن اختراق مواقع الويب الحكومية ، فيمكنك كذلك اختراق مواقع الويب الخاصة بك.

تتيح لك النسخ الاحتياطية استعادة موقع WordPress الخاص بك بسرعة في حالة حدوث شيء سيء.

هناك العديد من إضافات WordPress المجانية والمدفوعة والتي يمكنك استخدامها. أهم شيء تحتاج إلى معرفته عندما يتعلق الأمر بالنسخ الاحتياطية هو أنه يجب عليك حفظ النسخ الاحتياطية للموقع بالكامل بانتظام في موقع بعيد (وليس حساب الاستضافة الخاص بك).

نوصي بتخزينها على خدمة سحابية مثل Amazon أو Dropbox أو السحب الخاصة مثل Stash.

استنادًا إلى عدد مرات تحديث موقع الويب الخاص بك ، قد يكون الإعداد المثالي إما مرة واحدة يوميًا أو نسخ احتياطية في الوقت الفعلي.

لحسن الحظ ، يمكن القيام بذلك بسهولة باستخدام مكونات إضافية مثل VaultPress أو UpdraftPlus. كلاهما موثوق والأهم من السهل الاستخدام (لا حاجة إلى الترميز).

[العودة إلى الأعلى ↑]

أفضل البرنامج المساعد الأمن وورد

بعد النسخ الاحتياطي ، فإن الشيء التالي الذي يتعين علينا القيام به هو إعداد نظام تدقيق ومراقبة يتتبع كل ما يحدث على موقع الويب الخاص بك.

يتضمن ذلك مراقبة سلامة الملفات ، محاولات تسجيل الدخول الفاشلة ، مسح البرامج الضارة ، إلخ.

لحسن الحظ ، يمكن العناية بهذا من خلال أفضل مكون أمان مجاني في WordPress وهو Sucuri Scanner.

تحتاج إلى تثبيت وتفعيل البرنامج المساعد المجاني Sucuri Security. لمزيد من التفاصيل ، يرجى الاطلاع على دليل خطوة بخطوة حول كيفية تثبيت البرنامج المساعد WordPress.

عند التنشيط ، تحتاج إلى الانتقال إلى قائمة Sucuri في مشرف WordPress الخاص بك. أول شيء سيُطلب منك القيام به هو إنشاء مفتاح API مجاني. وهذا يتيح تسجيل التدقيق ، والتحقق من النزاهة ، وتنبيهات البريد الإلكتروني ، وغيرها من الميزات الهامة.

Generate Sucuri API Key

الشيء التالي ، ما عليك القيام به هو النقر فوق علامة التبويب “تصلب” من قائمة الإعدادات. انتقل إلى كل خيار وانقر على زر “تطبيق تصلب”.

Sucuri security hardening

تساعدك هذه الخيارات على إغلاق المناطق الرئيسية التي يستخدمها المتسللون غالبًا في هجماتهم. الخيار الوحيد المتصلب وهو الترقية المدفوعة هو جدار حماية تطبيق الويب الذي سنشرحه في الخطوة التالية ، لذلك تخطيه الآن.

لقد غطينا أيضًا الكثير من خيارات “التقيد” هذه لاحقًا في هذه المقالة لأولئك الذين يرغبون في القيام بذلك دون استخدام مكون إضافي أو تلك التي تتطلب خطوات إضافية مثل “تغيير بادئة قاعدة البيانات” أو “تغيير اسم مستخدم المسؤول”.

بعد الجزء المتصلب ، تكون إعدادات المكوّن الإضافي الافتراضية جيدة بما يكفي لمعظم مواقع الويب ولا تحتاج إلى أي تغييرات. الشيء الوحيد الذي نوصي بتخصيصه هو “تنبيهات البريد الإلكتروني”.

يمكن أن تؤدي إعدادات التنبيه الافتراضية إلى فوضى البريد الوارد مع رسائل البريد الإلكتروني. نوصي بتلقي تنبيهات للإجراءات الرئيسية مثل التغييرات في المكونات الإضافية وتسجيل المستخدم الجديد ، وما إلى ذلك. يمكنك تكوين التنبيهات من خلال الانتقال إلى إعدادات Sucuri »التنبيهات.

Set up security email alerts

هذا البرنامج المساعد لأمان WordPress قوي للغاية ، لذا استعرض كل علامات التبويب والإعدادات لمعرفة كل ما يفعله مثل مسح البرامج الضارة وسجلات التدقيق وتتبع محاولة تسجيل الدخول الفاشلة ، إلخ.

تمكين جدار حماية تطبيق الويب (WAF)

إن أسهل طريقة لحماية موقعك وتثق في أمان WordPress الخاص بك هي باستخدام جدار حماية تطبيق ويب (WAF).

يقوم جدار حماية موقع الويب بحظر جميع الزيارات الخبيثة قبل أن يصل إلى موقع الويب الخاص بك.

DNS Level Website Firewall – يقوم جدار الحماية هذا بتوجيه حركة مرور موقعك عبر خوادم البروكسي السحابية. هذا يتيح لهم إرسال حركة مرور أصلية فقط إلى خادم الويب الخاص بك.

جدار حماية مستوى التطبيق – تفحص مكونات جدار الحماية هذه حركة المرور بمجرد وصولها إلى الخادم الخاص بك ولكن قبل تحميل معظم البرامج النصية لبرنامج WordPress. هذه الطريقة ليست فعالة مثل جدار الحماية على مستوى DNS في الحد من تحميل الخادم.

لمعرفة المزيد ، راجع قائمتنا لأفضل ملحقات جدار الحماية WordPress.

Sucuri WAF

نحن نوصي باستخدام Sucuri كأفضل جدار حماية لتطبيق الويب لـ WordPress. يمكنك أن تقرأ عن كيف ساعدنا Sucuri في منع 450،000 من هجمات WordPress في شهر واحد.

Attacks blocked by Sucuri

أفضل جزء في جدار الحماية Sucuri هو أنه يأتي أيضًا مع ضمان تنظيف البرامج الضارة وإزالة القائمة السوداء. بشكل أساسي إذا تم اختراقك تحت مراقبتهم ، فإنهم يضمنون أنهم سيصلحون موقع الويب الخاص بك (بغض النظر عن عدد الصفحات التي لديك).

هذا ضمان قوي جدًا لأن إصلاح مواقع الويب المخترقة باهظ الثمن. خبراء الأمن عادة تهمة 250 دولار في الساعة. بينما يمكنك الحصول على حزمة الأمان Sucuri بالكامل مقابل 199 دولارًا في السنة.

قم بتحسين أمان WordPress الخاص بك باستخدام جدار الحماية Sucuri »

Sucuri ليس هو المزود الوحيد لجدار الحماية على مستوى DNS. المنافس الشهير الآخر هو Cloudflare. شاهد مقارنتنا لسوكوري و Cloudflare (إيجابيات وسلبيات).

[العودة إلى الأعلى ↑]

انقل موقع ووردبريس الخاص بك إلى SSL / HTTPS

SSL (طبقة مآخذ التوصيل الآمنة) عبارة عن بروتوكول يقوم بتشفير نقل البيانات بين موقع الويب الخاص بك ومتصفح المستخدمين. هذا التشفير يجعل من الصعب على أي شخص أن يستنشق ويسرق المعلومات.

How SSL works

بمجرد تمكين طبقة المقابس الآمنة (SSL) ، سيستخدم موقع الويب الخاص بك HTTPS بدلاً من HTTP ، وسترى أيضًا علامة قفل بجانب عنوان موقع الويب الخاص بك في المستعرض.

يتم إصدار شهادات طبقة المقابس الآمنة عادةً من قبل هيئات الشهادات ، وتبدأ أسعارها من 80 دولارًا إلى مئات الدولارات كل عام. نظرًا لتكلفة إضافية ، اختار معظم مالكي مواقع الويب الاستمرار في استخدام البروتوكول غير الآمن.

لحل هذه المشكلة ، قررت منظمة غير ربحية تسمى Let’s Encrypt تقديم شهادات SSL مجانية لمالكي المواقع الإلكترونية. يدعم مشروعهم Google Chrome و Facebook و Mozilla والعديد من الشركات.

الآن ، أصبح من الأسهل من أي وقت مضى البدء في استخدام طبقة المقابس الآمنة (SSL) لجميع مواقع WordPress. تقدم العديد من شركات الاستضافة الآن شهادة SSL مجانية لموقع الويب الخاص بك على WordPress.

إذا كانت شركة الاستضافة الخاصة بك لا تقدم واحدة ، فيمكنك شراء واحدة من Domain.com. لديهم أفضل والأكثر موثوقية صفقة SSL في السوق. إنه يأتي مع ضمان أمان بقيمة 10،000 دولار وختم أمان TrustLogo.

وورد الأمن لمستخدمي DIY

إذا كنت تفعل كل ما ذكرناه حتى الآن ، فأنت في حالة جيدة جدًا.

ولكن كما هو الحال دائمًا ، هناك ما يمكنك فعله لتشديد أمان WordPress الخاص بك.

بعض هذه الخطوات قد تتطلب معرفة الترميز.

تغيير اسم المستخدم الافتراضي “المسؤول”

في الأيام الخوالي ، كان اسم مستخدم مشرف WordPress الافتراضي هو “المسؤول”. نظرًا لأن أسماء المستخدمين تشكل نصف بيانات اعتماد تسجيل الدخول ، فقد سهل ذلك على المتسللين القيام بهجمات بالقوة الغاشمة.

لحسن الحظ ، قام WordPress منذ ذلك الحين بتغيير هذا ويتطلب منك الآن تحديد اسم مستخدم مخصص في وقت تثبيت WordPress.

ومع ذلك ، لا يزال بعض مثبتات WordPress بنقرة واحدة ، ما زال يعين اسم مستخدم المسؤول الافتراضي إلى “المسؤول”. إذا لاحظت أن الأمر كذلك ، فمن المحتمل أن تقوم بتغيير استضافة موقعك على الويب.

نظرًا لأن WordPress لا يسمح لك بتغيير أسماء المستخدمين افتراضيًا ، فهناك ثلاث طرق يمكنك استخدامها لتغيير اسم المستخدم.

  1. قم بإنشاء اسم مستخدم جديد للمشرف وحذف الاسم القديم.
  2. استخدام البرنامج المساعد Changer اسم المستخدم
  3. تحديث اسم المستخدم من phpMyAdmin

لقد قمنا بتغطية كل هذه العناصر الثلاثة في دليلنا المفصل حول كيفية تغيير اسم مستخدم WordPress الخاص بك بشكل صحيح (خطوة بخطوة).

ملاحظة: نحن نتحدث عن اسم المستخدم المسمى “المسؤول” ، وليس عن دور المسؤول.

[العودة إلى الأعلى ↑]

تعطيل تحرير الملف

يأتي WordPress مع محرر كود مدمج يسمح لك بتحرير ملفات السمات والمكونات الخاصة بك مباشرة من منطقة مسؤول WordPress. في الأيدي الخطأ ، قد تكون هذه الميزة مخاطرة أمنية ولهذا نوصي بإيقافها.

Disable file editing in WordPress

يمكنك القيام بذلك بسهولة عن طريق إضافة الكود التالي في ملف wp-config.php.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

بدلاً من ذلك ، يمكنك القيام بذلك بنقرة واحدة باستخدام ميزة Hardening في ملحق Sucuri المجاني الذي ذكرناه أعلاه.

[العودة إلى الأعلى ↑]

تعطيل تنفيذ ملف PHP في بعض دلائل WordPress

هناك طريقة أخرى لتشديد أمان WordPress الخاص بك عن طريق تعطيل تنفيذ ملفات PHP في الدلائل حيث لا تكون هناك حاجة إليها مثل / wp-content / uploads /.

يمكنك القيام بذلك عن طريق فتح محرر نصوص مثل المفكرة ولصق هذا الرمز:

<Files *.php>
deny from all
</Files>

بعد ذلك ، تحتاج إلى حفظ هذا الملف كـ .htaccess وتحميله إلى / wp-content / uploads / folder على موقع الويب الخاص بك باستخدام عميل FTP.

للحصول على شرح أكثر تفصيلاً ، راجع دليلنا حول كيفية تعطيل تنفيذ PHP في بعض أدلة WordPress

بدلاً من ذلك ، يمكنك القيام بذلك بنقرة واحدة باستخدام ميزة Hardening في ملحق Sucuri المجاني الذي ذكرناه أعلاه.

[العودة إلى الأعلى ↑]

الحد من محاولات تسجيل الدخول

بشكل افتراضي ، يسمح WordPress للمستخدمين بمحاولة تسجيل الدخول قدر ما يريدون. هذا يترك موقع WordPress الخاص بك عرضة لهجمات القوة الغاشمة. يحاول المتسللون كسر كلمات المرور من خلال محاولة تسجيل الدخول بمجموعات مختلفة.

يمكن إصلاح ذلك بسهولة عن طريق الحد من محاولات تسجيل الدخول الفاشلة التي يمكن للمستخدم إجراؤها. إذا كنت تستخدم جدار حماية تطبيق الويب المذكور سابقًا ، فسيتم الاهتمام بهذا تلقائيًا.

ومع ذلك ، إذا لم يكن لديك إعداد جدار الحماية ، فاتبع الخطوات التالية.

أولاً ، تحتاج إلى تثبيت وتفعيل المكون الإضافي لتسجيل الدخول LockDown. لمزيد من التفاصيل ، راجع دليلنا خطوة بخطوة حول كيفية تثبيت البرنامج المساعد WordPress.

عند التنشيط ، تفضل بزيارة الإعدادات »تسجيل الدخول LockDown الصفحة لإعداد البرنامج المساعد.

Login Lockdown options

للحصول على إرشادات مفصلة ، ألق نظرة على دليلنا حول كيفية وسبب تقييد محاولات تسجيل الدخول في WordPress.

[العودة إلى الأعلى ↑]

إضافة مصادقة عاملين

تتطلب تقنية المصادقة ثنائية العوامل قيام المستخدمين بتسجيل الدخول باستخدام طريقة مصادقة من خطوتين. أول واحد هو اسم المستخدم وكلمة المرور ، والخطوة الثانية تتطلب منك المصادقة باستخدام جهاز أو تطبيق منفصل.

تسمح لك معظم مواقع الويب على الإنترنت مثل Google و Facebook و Twitter بتمكينها لحساباتك. يمكنك أيضًا إضافة الوظيفة نفسها إلى موقع WordPress الخاص بك.

أولاً ، تحتاج إلى تثبيت وتفعيل المكون الإضافي Two Factor Authentication. عند التنشيط ، تحتاج إلى النقر فوق الرابط “عامل إثنان للتأليف” في الشريط الجانبي لمشرف WordPress.

Two Factor Authenticator settings

بعد ذلك ، تحتاج إلى تثبيت وفتح تطبيق Authenticator على هاتفك. يتوفر العديد منها مثل Google Authenticator و Authy و LastPass Authenticator.

نوصي باستخدام LastPass Authenticator أو Authy لأنهما يسمحان لك بعمل نسخة احتياطية لحساباتك على السحابة. هذا مفيد للغاية في حالة فقد هاتفك أو إعادة تعيينه أو شراء هاتف جديد. سيتم استعادة جميع عمليات تسجيل الدخول إلى حسابك بسهولة.

سوف نستخدم مصادقة LastPass للدورة التعليمية. ومع ذلك ، تتشابه الإرشادات مع جميع تطبيقات المصادقة. افتح تطبيق الموثق ، ثم انقر فوق الزر “إضافة”.

Add website

سيتم سؤالك عما إذا كنت ترغب في مسح موقع يدويًا أو مسح الرمز الشريطي. حدد خيار رمز شريط المسح الضوئي ثم قم بتوجيه كاميرا هاتفك على رمز الاستجابة السريعة الموضح في صفحة إعدادات المكون الإضافي.

هذا كل شيء ، سيقوم تطبيق المصادقة بحفظه الآن. في المرة القادمة التي تسجّل فيها الدخول إلى موقع الويب الخاص بك ، سيُطلب منك رمز المصادقة المكون من عاملين بعد إدخال كلمة المرور الخاصة بك.

Enter your two-factor auth code

ببساطة افتح تطبيق أداة المصادقة على هاتفك وأدخل الرمز الذي تراه عليه.

[العودة إلى الأعلى ↑]

تغيير قاعدة بيانات ووردبريس بادئة

افتراضيًا ، يستخدم WordPress wp_ كبادئة لجميع الجداول في قاعدة بيانات WordPress. إذا كان موقع WordPress الخاص بك يستخدم بادئة قاعدة البيانات الافتراضية ، فإنه يسهل على المتسللين تخمين اسم الجدول الخاص بك. هذا هو السبب في أننا نوصي بتغييره.

يمكنك تغيير بادئة قاعدة البيانات الخاصة بك باتباع البرنامج التعليمي خطوة بخطوة حول كيفية تغيير بادئة قاعدة بيانات WordPress لتحسين الأمان.

ملاحظة: يمكن أن يؤدي ذلك إلى كسر موقعك إذا لم يتم بشكل صحيح. تابع فقط ، إذا كنت تشعر بالراحة مع مهارات الترميز الخاصة بك.

[العودة إلى الأعلى ↑]

حماية كلمة المرور وورد المسؤول صفحة تسجيل الدخول

Password protect WordPress admin area

عادة ، يمكن للمتسللين طلب مجلد wp-admin الخاص بك وصفحة تسجيل الدخول دون أي قيود. هذا يسمح لهم بتجربة حيل القرصنة الخاصة بهم أو تشغيل هجمات DDoS.

يمكنك إضافة حماية إضافية لكلمة المرور على مستوى الخادم ، مما يؤدي إلى حظر هذه الطلبات بشكل فعال.

اتبع إرشاداتنا خطوة بخطوة حول كيفية حماية كلمة مرور دليل مسؤول WordPress الخاص بك (wp-admin).

[العودة إلى الأعلى ↑]

تعطيل دليل الفهرسة والتصفح

Disable directory browsing

يمكن للمتسللين استخدام تصفح الدليل لمعرفة ما إذا كان لديك أي ملفات بها ثغرات أمنية معروفة ، حتى يتمكنوا من الاستفادة من هذه الملفات للوصول إليها.

يمكن أيضًا استخدام تصفح الدليل من قبل أشخاص آخرين للنظر في ملفاتك ، ونسخ الصور ، ومعرفة بنية الدليل ، وغيرها من المعلومات. لهذا السبب يوصى بشدة بإيقاف تشغيل فهرسة الدليل وتصفحه.

تحتاج إلى الاتصال بموقع الويب الخاص بك باستخدام مدير الملفات FTP أو cPanel. بعد ذلك ، حدد موقع ملف htaccess في دليل جذر موقع الويب الخاص بك. إذا لم تتمكن من رؤيته هناك ، فراجع دليلنا حول سبب عدم إمكانية رؤية ملف htaccess في WordPress.

بعد ذلك ، تحتاج إلى إضافة السطر التالي في نهاية ملف htaccess:

Options -Indexes

لا تنس حفظ الملف htaccess وتحميله مرة أخرى إلى موقعك. لمعرفة المزيد حول هذا الموضوع ، راجع مقالتنا حول كيفية تعطيل تصفح الدليل في WordPress.

[العودة إلى الأعلى ↑]

تعطيل XML-RPC في وورد

تم تمكين XML-RPC بشكل افتراضي في WordPress 3.5 لأنه يساعد على ربط موقع WordPress الخاص بك بتطبيقات الويب والهاتف المحمول.

بسبب طبيعته القوية ، يمكن لـ XML-RPC تضخيم هجمات القوة الغاشمة بشكل كبير.

على سبيل المثال ، تقليديًا إذا أراد أحد المتطفلين تجربة 500 كلمة مرور مختلفة على موقع الويب الخاص بك ، فسيتعين عليهم إجراء 500 محاولة منفصلة لتسجيل الدخول سيتم اكتشافها وحظرها بواسطة البرنامج المساعد لقفل تسجيل الدخول.

ولكن مع XML-RPC ، يمكن للمتسلل استخدام دالة system.multicall لتجربة آلاف كلمة المرور مع طلب 20 أو 50 طلبًا.

لهذا السبب إذا كنت لا تستخدم XML-RPC ، فإننا نوصي بتعطيله.

هناك 3 طرق لتعطيل XML-RPC في WordPress ، وقمنا بتغطيتها جميعًا في برنامجنا التعليمي خطوة بخطوة حول كيفية تعطيل XML-RPC في WordPress.

نصيحة: طريقة htaccess هي الأفضل لأنها الأقل كثافة في استخدام الموارد.

إذا كنت تستخدم جدار الحماية الخاص بتطبيق الويب المذكور سابقًا ، فيمكنك مراعاة ذلك بواسطة جدار الحماية.

[العودة إلى الأعلى ↑]

تسجيل الخروج تلقائيا المستخدمين الخمول في وورد

قد يتجول المستخدمون المسجلون في بعض الأحيان بعيدًا عن الشاشة ، مما يشكل خطراً على الأمان. يمكن لشخص ما اختطاف جلسته أو تغيير كلمات المرور أو إجراء تغييرات على حسابه.

هذا هو السبب في قيام العديد من المواقع المصرفية والمالية بتسجيل خروج مستخدم غير نشط تلقائيًا. يمكنك تنفيذ وظائف مماثلة على موقع WordPress الخاص بك.

ستحتاج إلى تثبيت وتفعيل البرنامج المساعد Inactive Logout. عند التنشيط ، تفضل بزيارة الإعدادات » صفحة تسجيل الخروج غير النشطة لتكوين إعدادات المكونات الإضافية.

Logout idle users

ما عليك سوى تعيين المدة الزمنية وإضافة رسالة تسجيل خروج. لا تنس النقر على زر حفظ التغييرات لتخزين إعداداتك.

[العودة إلى الأعلى ↑]

أضف أسئلة الأمان إلى شاشة تسجيل الدخول إلى WordPress

Add security question on login screen

تؤدي إضافة سؤال أمان إلى شاشة تسجيل الدخول إلى WordPress إلى صعوبة الوصول غير المصرح به لشخص ما.

يمكنك إضافة أسئلة أمان عن طريق تثبيت المكون الإضافي WP Security. عند التنشيط ، تحتاج إلى زيارة صفحة “إعدادات” أسئلة الأمان لتكوين إعدادات البرنامج المساعد.

للحصول على مزيد من الإرشادات التفصيلية ، راجع البرنامج التعليمي الخاص بنا حول كيفية إضافة أسئلة الأمان إلى شاشة تسجيل الدخول إلى WordPress.

[العودة إلى الأعلى ↑]

مسح وورد لبرامج ضارة وهشاشة

Malware scanning

إذا كان لديك ملحق أمان WordPress مثبت ، فسوف تبحث هذه الإضافات بشكل روتيني عن البرامج الضارة وعلامات خروقات الأمان.

ومع ذلك ، إذا رأيت انخفاضًا مفاجئًا في تصنيفات حركة المرور أو البحث في موقع الويب ، فقد تحتاج إلى إجراء مسح ضوئي يدويًا. يمكنك استخدام البرنامج المساعد الخاص ببرنامج WordPress للأمان ، أو استخدام أحد برامج الماسح الضوئي والبرامج الضارة.

تشغيل عمليات المسح عبر الإنترنت هذه بشكل مستقيم للأمام ، فأنت تقوم فقط بإدخال عناوين URL الخاصة بموقعك على الويب وتتبع برامج الزحف الخاصة بها موقع الويب الخاص بك للبحث عن البرامج الضارة الخبيثة والرموز الخبيثة المعروفة.

ضع في اعتبارك الآن أن معظم ماسحات ضوئية WordPress يمكنها فقط مسح موقع الويب الخاص بك. لا يمكنهم إزالة البرامج الضارة أو تنظيف موقع WordPress تم اختراقه.

يقودنا هذا إلى القسم التالي ، حيث نقوم بتنظيف البرامج الضارة ومواقع WordPress التي تم اختراقها.

[العودة إلى الأعلى ↑]

إصلاح اختراق موقع وورد

لا يدرك العديد من مستخدمي WordPress أهمية النسخ الاحتياطية وأمن موقع الويب حتى يتم اختراق موقع الويب الخاص بهم.

قد يكون تنظيف موقع WordPress صعباً للغاية ويستغرق وقتًا طويلاً. ستكون نصيحتنا الأولى هي السماح للمهني بالعناية بها.

يقوم المتسللون بتثبيت المواقع الخلفية على المواقع المتأثرة ، وإذا لم يتم إصلاح هذه المواقع الخلفية بشكل صحيح ، فمن المحتمل أن يتم اختراق موقعك الإلكتروني مرة أخرى.

إن السماح لشركة أمنية محترفة مثل Sucuri بإصلاح موقع الويب الخاص بك سيضمن أن موقعك آمن للاستخدام مرة أخرى. سوف يحميك أيضًا من أي هجمات مستقبلية.

بالنسبة للمستخدمين المغامرين والمستخدمين في مجال DIY ، قمنا بتجميع دليل خطوة بخطوة حول إصلاح موقع WordPress تم اختراقه.

[العودة إلى الأعلى ↑]

هذا كل شيء ، نأمل أن يساعدك هذا المقال في معرفة أفضل ممارسات أمان WordPress وكذلك اكتشاف أفضل مكونات أمان WordPress لموقع الويب الخاص بك.

إذا أعجبك هذا المقال ، فيرجى الاشتراك في دروس الفيديو الخاصة بقناة YouTube لـ WordPress. يمكنك أن تجدنا أيضًا على Twitter و Facebook.

عن midobahr

شاهد أيضاً

لماذا لا يمكنك العثور على ملف htaccess على موقع WordPress الخاص بك

لماذا لا يمكنك العثور على ملف htaccess على موقع WordPress الخاص بك

هل تواجه مشكلة في العثور على ملف htaccess في WordPress؟ غالبًا ما نطلب من المبتدئين …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *