يعد إطلاق موقع WordPress الخاص بك في هذه الأيام أمرًا سهلاً للغاية. لسوء الحظ ، لن يستغرق المخترقون وقتًا طويلاً لبدء استهداف موقعك.
أفضل طريقة لجعل موقع WordPress آمنًا هي فهم كل نقطة ضعف ناتجة عن تشغيل موقع WordPress. ثم قم بتثبيت الأمان المناسب لمنع المتسللين في كل نقطة من هذه النقاط.
في هذه المقالة سوف تتعلم كيفية تأمين نطاقك بشكل أفضل وتسجيل الدخول إلى WordPress والأدوات والمكونات الإضافية المتاحة لتأمين موقع WordPress الخاص بك .
إنشاء مجال خاص
من السهل جدًا هذه الأيام ابحث عن مجال متاح وشرائه بسعر رخيص جدًا. لا يقوم معظم الأشخاص أبدًا بشراء أي وظائف إضافية للمجال لمجالاتهم. ومع ذلك ، هناك وظيفة إضافية يجب أن تفكر فيها دائمًا وهي حماية الخصوصية.
هناك ثلاثة مستويات أساسية لحماية الخصوصية مع GoDaddy ، ولكنها تتطابق أيضًا مع عروض معظم موفري النطاقات.
عادةً ، ترقية نطاقك إلى يتطلب أحد مستويات الأمان هذه فقط اختيار الترقية من قائمة منسدلة في صفحة قائمة النطاق.
حماية النطاق الأساسية رخيصة إلى حد ما (عادةً حوالي 9.99 دولارًا في السنة) ، ومستويات أعلى من الأمان إنها أكثر تكلفة بكثير.
هذه طريقة ممتازة لمنع مرسلي البريد العشوائي من حذف معلومات الاتصال الخاصة بك من قاعدة بيانات WHOIS ، أو غيرهم ممن لديهم نوايا ضارة والذين يرغبون في الوصول إلى معلومات الاتصال الخاصة بك.
إخفاء wp- config.php و .htaccess Files
عندما تقوم أولاً بـ تثبيت WordPress ، ستحتاج إلى تضمين المعرف الإداري وكلمة المرور لقاعدة بيانات WordPress SQL في ملف wp-config.php .
يتم تشفير هذه البيانات بعد التثبيت ، ولكنك تريد أيضًا منع المتسللين من تحرير هذا الملف وكسر موقع الويب الخاص بك. للقيام بذلك ، ابحث عن ملف .htaccess وقم بتحريره في المجلد الجذر لموقعك وأضف الشفرة التالية في أسفل الملف.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
لمنع التغييرات في. htaccess نفسه ، أضف ما يلي إلى أسفل الملف أيضًا.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
احفظ الملف واخرج من محرر الملف.
يمكنك أيضًا النقر بزر الماوس الأيمن على كل ملف وتغيير الأذونات لإزالة حق الوصول للكتابة للجميع تمامًا.
أثناء القيام بذلك على ملف wp-config.php ، يجب ألا يسبب أي مشاكل ، فإن القيام بذلك على htaccess. قد يتسبب في حدوث مشكلات. خاصة إذا كنت تقوم بتشغيل أي مكونات إضافية للأمان في WordPress والتي قد تحتاج إلى تعديل ملف .htaccess نيابةً عنك.
إذا تلقيت أي أخطاء من WordPress ، فيمكنك دائمًا تحديث الأذونات للسماح بالوصول للكتابة على. htaccess مرة أخرى.
تغيير عنوان URL لتسجيل الدخول إلى WordPress
نظرًا لأن صفحة تسجيل الدخول الافتراضية لكل موقع WordPress هي yourdomain / wp-admin.php ، سيستخدم المتسللون عنوان URL هذا لمحاولة الاختراق في موقعك.
سيفعلون ذلك من خلال ما يُعرف بهجمات "القوة الغاشمة" حيث يرسلون أشكالًا مختلفة من أسماء المستخدمين وكلمات المرور النموذجية التي يستخدمها العديد من الأشخاص بشكل شائع. يأمل المتسللون أن يحالفهم الحظ ويحصلوا على المجموعة المناسبة.
يمكنك إيقاف هذه الهجمات تمامًا عن طريق تغيير عنوان URL لتسجيل الدخول إلى WordPress إلى شيء غير قياسي.
هناك الكثير من مكونات WordPress الإضافية لمساعدتك في القيام بذلك. أحد أكثرها شيوعًا هو WPS إخفاء تسجيل الدخول.
يضيف هذا المكون الإضافي قسمًا إلى علامة التبويب عامضمن الإعداداتفي WordPress.
هناك ، يمكنك كتابة أي عنوان URL لتسجيل الدخول تريده وتحديد حفظ التغييراتلتنشيطه. في المرة القادمة التي تريد فيها تسجيل الدخول إلى موقع WordPress الخاص بك ، استخدم عنوان URL الجديد هذا.
إذا حاول أي شخص الوصول إلى عنوان URL القديم لـ wp-admin ، فسيتم إعادة توجيهه إلى صفحة 404 الخاصة بموقعك.
ملاحظة: إذا كنت تستخدم مكونًا إضافيًا لذاكرة التخزين المؤقت ، فتأكد من إضافة عنوان URL الجديد لتسجيل الدخول إلى قائمة المواقع التي ليستفي ذاكرة التخزين المؤقت. ثم تأكد من مسح ذاكرة التخزين المؤقت قبل تسجيل الدخول مرة أخرى إلى موقع WordPress الخاص بك مرة أخرى.
تثبيت المكون الإضافي لأمان WordPress
هناك الكثير من إضافات أمان WordPress اختر من. من بينها جميعًا ، وردفنس هو الأكثر تنزيلًا ، لسبب وجيه.
يتضمن الإصدار المجاني من Wordfence محرك فحص قويًا يبحث عن التهديدات الخلفية ، تعليمات برمجية ضارة في ملحقاتك أو على موقعك ، تهديدات حقن MySQL ، والمزيد. يتضمن أيضًا جدار حماية لمنع التهديدات النشطة مثل هجمات DDOS.
سيسمح لك أيضًا بإيقاف هجمات القوة الغاشمة عن طريق الحد من محاولات تسجيل الدخول وحظر المستخدمين الذين يقومون بالعديد من محاولات تسجيل الدخول غير الصحيحة.
هناك عدد قليل من الإعدادات المتاحة في الإصدار المجاني. أكثر من كافٍ لحماية مواقع الويب الصغيرة إلى المتوسطة من معظم الهجمات.
هناك أيضًا صفحة لوحة معلومات مفيدة يمكنك مراجعتها لمراقبة التهديدات والهجمات الأخيرة التي تم حظرها.
استخدم WordPress Password Generator and 2FA
آخر شيء تريده هو أن يخمن المتسللون كلمة مرورك بسهولة. لسوء الحظ ، يستخدم الكثير من الأشخاص كلمات مرور بسيطة جدًا يسهل تخمينها. تتضمن بعض الأمثلة استخدام اسم موقع الويب أو اسم المستخدم كجزء من كلمة المرور ، أو عدم استخدام أي أحرف خاصة.
إذا قمت بالترقية إلى أحدث إصدار من WordPress ، فلديك حق الوصول إلى أدوات أمان كلمة مرور قوية لتأمين موقع WordPress الخاص بك.
تتمثل الخطوة الأولى لتحسين أمان كلمة المرور في الانتقال إلى كل مستخدم لموقعك ، والتمرير لأسفل إلى قسم إدارة الحساب ، وتحديد الزر إنشاء كلمة المرور.
سيؤدي هذا إلى إنشاء كلمة مرور طويلة وآمنة للغاية تتضمن أحرفًا وأرقامًا وأحرفًا خاصة. احفظ كلمة المرور هذه في مكان آمن ، ويفضل أن تكون في مستند على محرك أقراص خارجي بحيث يمكنك قطع اتصاله بجهاز الكمبيوتر أثناء اتصالك بالإنترنت.
حدد تسجيل الخروج في كل مكان آخرللتأكد من كل شيء الجلسات النشطة مغلقة.
أخيرًا ، إذا قمت بتثبيت مكون أمان Wordfence الإضافي ، فسترى الزر تنشيط 2FA. حدد هذا لتمكين المصادقة الثنائية لعمليات تسجيل دخول المستخدم.
إذا كنت لا تستخدم Wordfence ، فستحتاج إلى تثبيت أي من مكونات 2FA الإضافية الشائعة.
اعتبارات أمنية مهمة أخرى
هناك بعض الأشياء الأخرى التي يمكنك القيام بها لتأمين موقع WordPress الخاص بك بالكامل.
كلاهما يجب تحديث إضافات ووردبريس وإصدار WordPress نفسه في جميع الأوقات. يحاول المتسللون غالبًا استغلال الثغرات في الإصدارات القديمة من التعليمات البرمجية على موقعك. إذا لم تقم بتحديث كلا الأمرين ، فأنت بذلك تترك موقعك في خطر.
1. حدد المكونات الإضافيةو المكونات الإضافية المثبتةبانتظام في لوحة إدارة WordPress. راجع جميع المكونات الإضافية لمعرفة الحالة التي تشير إلى توفر إصدار جديد.
عندما ترى واحدة قديمة ، حدد تحديث الآن. يمكنك أيضًا التفكير في تحديد تمكين التحديثات التلقائية للمكونات الإضافية الخاصة بك.
ومع ذلك ، يحذر بعض الأشخاص من القيام بذلك لأن تحديثات المكونات الإضافية قد تؤدي أحيانًا إلى تعطيل موقعك أو مظهرك. لذلك من الأفضل دائمًا اختبار تحديثات المكونات الإضافية على موقع اختبار WordPress المحلي قبل تمكينها على موقعك المباشر.
2. عند تسجيل الدخول إلى لوحة معلومات WordPress الخاصة بك ، سترى إشعارًا بأن WordPress قديم إذا كنت تستخدم إصدارًا أقدم.
مرة أخرى ، احتفظ بنسخة احتياطية من الموقع وقم بتحميله في موقع اختبار محلي على جهاز الكمبيوتر الخاص بك لاختبار أن تحديث WordPress لا يكسر موقعك قبل تحديثه على موقع الويب المباشر الخاص بك.
3. استفد من ميزات الأمان المجانية لمضيف الويب. يقدم معظم مضيفي الويب مجموعة متنوعة من خدمات الأمان المجانية للمواقع التي تستضيفها هناك. يفعلون ذلك لأنه لا يحمي موقعك فحسب ، بل يحافظ على أمان الخادم بأكمله. هذا مهم بشكل خاص عندما تكون في حساب استضافة مشترك حيث يكون لدى العملاء الآخرين مواقع ويب على نفس الخادم.
غالبًا ما تتضمن أمان SSL مجاني تثبيتًا لموقعك ، و نسخ احتياطي مجاني ، والقدرة على حظر عناوين IP الضارة ، وحتى أداة فحص مجانية للمواقع تعمل بانتظام افحص موقعك بحثًا عن أي رموز ضارة أو ثغرات أمنية.
إن تشغيل موقع ويب ليس أبدًا بسيطًا مثل تثبيت WordPress ومجرد نشر المحتوى. من المهم أن تجعل موقع WordPress الخاص بك آمنًا قدر الإمكان. يمكن أن تساعدك جميع النصائح المذكورة أعلاه على القيام بذلك دون بذل الكثير من الجهد.