إذا كان لديك موقع WordPress ، فالأخبار هي أن موقعك يتعرض للهجوم من قبل المتسللين طوال الوقت.
إنهم يبحثون باستمرار عن نقاط ضعف تسمح لهم بالدخول ، سواء كانت مكونًا إضافيًا قديمًا أو سمة جديدة لكلمة مرور سهلة التمييز. بمجرد دخولهم ، يمكنهم بوضوح wreakhavoc.
فقط لإثبات ما أتحدث عنه ، إليك ما تقوله لوحة تحكم WordPress الآن.
هذا هو السبب في أن يكون برنامج WordPress الخاص بك مقاومًا للرصاص تمامًا. فيما يلي أفضل الطرق للقيام بذلك بناءً على محادثاتي الاستشارية مع الشركات.
الحصول على أفضل اسم مستخدم وكلمة مرور ممكن
إذا رأيتها مرة واحدة ، فقد رأيتها ألف مرة. يقوم الأشخاص بإعداد مواقع ويب WordPress باستخدام اسم المستخدم وكلمة المرور اللذين تم تعيينهما على "admin" ، ثم يتساءلون عن سبب اختراقهما.
صفحة تسجيل الدخول الخاصة بك هي في الأساس الباب الأمامي لموقع الويب الخاص بك. لذلك من المنطقي جعل الأمر صعبًا بالنسبة للمتطفل للدخول. لن تترك باب منزلك مفتوحًا ، أليس كذلك؟
In_content_1 الكل: [300x250] / dfp: [640x360]->سيقوم الكثير من مضيفي الويب تلقائيًا بإعداد برنامج WordPress لك ، وعندما يفعلون ذلك ، يجب عليك تحديد اسم مستخدم مفضل من "المسؤول". إذا كنت تستخدم كلمة "admin" ، فأنت تجعل من عمل المتطفل أمرًا سهلاً للغاية بالنسبة لهم.
احصل على اسم مستخدم تخمين مستحيل من قبل شخص آخر. لا تستخدم اسم مستخدم تستخدمه في مكان آخر على الإنترنت. لا يتعين على شخص ما سوى Google للعثور على أسماء المستخدمين هذه.
أما بالنسبة لكلمة المرور ، فافعل ذلك بنفسك ميزة هائلةواحصل على مدير كلمات المرور. الإصدار المجاني المفتوح المصدر الذي أوصي به بشدة هو KeyPass كلمات. ثم اجعل كلمة المرور الخاصة بـ WordPress 30 حرفًا كحد أدنى مع إلقاء أحرف خاصة في المزيج. نعم هذا صحيح. 30 حرفًا.
تثبيت البرنامج المساعد AnAnti-Brute-Force
تعزيز استعارة هذا الباب ، كما أنه من المنطقي إضافة بعض أقفال الأمان. بالنسبة إلى WordPress ، في رأيي ، لديك أربعة خيارات - مصدق جوجل أو Authy أو تسجيل الدخول تأمين أو اختبار reCAPTCHA.
لتوضيح الأمر ، يقوم Google Authenticatorand Authy بنفس الشيء. يمكنك الحصول على رمز على هاتفك الذكي وإدخاله في صفحة تسجيل الدخول. بدونها ، يتم رفض دخولك.
تسجيل الدخول Lockdown هو مكون إضافي يحدد عدد محاولات تسجيل الدخول الخاطئة قبل حظر عنوان IP للشخص لفترة زمنية محددة تحددها. يمكنك تثبيت هذا بجانب برنامج Authenticator للحصول على أمان فائق المخادع.
reCAPTCHA ليس المفضل لدي أفضل من لا شيء. كما أنها ليست مضمونة حيث تم كسرها قبل ذلك. ولكن كما قلت ، أفضل من لا شيء. يفرض reCAPTCHA المستخدم على كتابة سلسلة من الكلمات أو النقر على صور معينة.
التأكد من تحديث AllThemes & Plugins
والخطوة التالية هي التأكد من تحديث جميع السمات والإضافات بشكل منتظم أساس. مرة أخرى ، يمكن للمتسللين استخدام أي نقاط ضعف - معروفة وغير معروفة - للاستغلال بعيدًا في أحد المواقع.
يجب أن تراقب صفحة "التحديثات" حيث يتم سرد جميع الترقيات المتاحة. يجب أن يتم ذلك على أساس يومي. يمكنك العثور على صفحة "التحديثات" كعلامة تبويب فرعية ضمن Dashboardtab.
تعطيل أي مواضيع وملحقات إضافية غير مطلوبة
تمامًا كما يجب عليك تحديث جميع السمات والإضافات الإضافية ، لذلك يجب عليك أيضًا تعطيل أي شيء لا تريده لست بحاجة إلى ذلك.
لا يوجد سبب للإبقاء على المواضيع غير المستخدمة والإضافات النشطة ، وهذا يؤدي فقط إلى زيادة خطر قابلية التعرّض للإصابة باكتشاف ما يكفي للسماح لمهاجم بوقوعها. لذا ، قم بحذف السمات التي لا تستخدمها. يمكن دائمًا إعادة تثبيتها لاحقًا.
أما بالنسبة للمكونات الإضافية ، فقم إما بحذفها بالكامل أو على الأقل إلغاء تنشيطها.
عدم السماح لأي شخص بإجراء حسابات مستخدمين
إذا كان موقع WordPress يتم استخدامه بواسطة شركة أو فريق من نوع ما ، فمن الواضح أن حسابات المستخدمين ستكون ضرورية. ولكن إذا كنت مستخدمًا واحدًا للموقع ، فلا تسمح لأي شخص باستخدام حسابات المستخدمين. خاصة الأشخاص الذين لا تعرفهم.
يمكنك منع الأشخاص من القيام بذلك بالانتقال إلى الإعدادات ->عام. انتقل لأسفل إلى "العضوية" وقم بإلغاء تحديد "يمكن لأي شخص التسجيل".
الرجوع إلى إصدار أقدم للمستخدمين المعتمدين
إذا كنت بحاجة إلى منح حسابات المستخدمين للأشخاص ، فتأكد من حصولهم على دور الوصول المناسب.
على سبيل المثال ، يجب أن يكون الشخص الذي يملك الموقع هو المسؤول. ولكن إذا كان هناك شخص ما يقوم بالتدوين نيابة عنك ، فيجب فقط إدراجه كمؤلف. لا تعطِ شخصًا امتيازات مرتفعة إذا لم يكن بحاجة إليها.
ما عليك سوى الانتقال إلى المستخدمون>جميع المستخدمينواختر الشخص الذي تريد تغييره من أجله. ثم اختر من مربع القائمة المنسدلة.
إيقاف جميع دلائل AccessTo باستخدام فهرس. ملف HTMLML
قد لا تعرف هذا ولكن إذا قمت بعمل دليل جديد على موقع الويب الخاص بك ، إضافة ملفات إليه ، وليس إضافة ملف index.htmlفيه ، يمكن رؤية جميع محتويات هذا الدليل علنًا.
لمنع حدوث ذلك ، يتم إنشاء ملف نصي فارغ واتصل به index.html.ثم قم بتحميله إلى الدليل الجديد. أي محاولات لعرض الدليل سترجع الشخص مرة أخرى إلى صفحة الفهرس الفارغة.
الحصول على شهادة SSLCertificate
واحدة من أفضل الأشياء التي يمكنك من خلالها تحسين موقع الويب الخاص بك هي الحصول على شهادة SSL. تمنح Google الآن مواقع SSL ذات الأولوية العليا في نتائج البحث وبالطبع تقوم أيضًا بتأمين موقعك.
تقوم طبقة المقابس الآمنة (SSL) بكل بساطة بتأمين الاتصال بين متصفح المستخدم وخادم الويب حيث توجد مواقع الويب. لذلك ، يصعب على المتسللين اقتحام البيانات وسرقة البيانات.
هناك طريقتان للحصول على شهادة SSL. يمكنك شراء واحدة ولكن يمكنك أيضًا الحصول على واحدة مجانًا من دعونا تشفير. تقدم العديد من مضيفات الويب الآن Let's Encrypt كخدمة تلقائية مجانية.
نسخ موقع الويب الخاص بك احتياطيًا كل يوم
أخيرًا ، إذا كان الأسوأ سيئًا للغاية ، وتم الاختراق ، فأنت بحاجة إلى طريقة للحصول على موقعك النسخ الاحتياطي andrunning في أسرع وقت ممكن. لهذا السبب تحتاج إلى نسخة احتياطية يومية لجميع ملفات التثبيت.
الحل الأسهل حتى الآن لهذا هو Jetpack ل ، الذي يديره نفس الأشخاص الذين أنشأوا WordPress. بسعر 3.50 دولارًا فقط شهريًا لموقع واحد ، وهو بالتأكيد الأكثر فعالية من حيث التكلفة.
الاستنتاج
هناك العديد من الطرق الأخرى لإغلاق موقعك ولكن كثير منهم تنطوي على ترميز معقدة أو تثبيت pluginswith خيارات معقدة. إذا كنت بدأت للتو في هذا الموضوع ، فمن الأفضل تغطية الأساسيات أولاً ، وهو ما حاولت تغطيته حتى يومنا هذا.