أمان وورد بريس – 19 خطوة لإغلاق موقعك

عندما يتعلق الأمر بأمان وورد بريس ، فهناك الكثير من الأشياء التي يمكنك القيام بها لإغلاق موقعك لمنع المتسللين ونقاط الضعف من التأثير على موقع التجارة الإلكترونية أو مدونتك. آخر شيء تريد حدوثه هو أن تستيقظ ذات صباح لاكتشاف موقعك في حالة من الفوضى. لذلك سنقوم اليوم بمشاركة الكثير من النصائح والاستراتيجيات والتقنيات التي يمكنك استخدامها لتحسين أمان وورد بريس لديك والبقاء محميًا.

إذا كنت أحد عملاء Kinsta ، فلا داعي للقلق بشأن الكثير منها ، حيث  نقدم إصلاحات اختراق مجانية! ولكن حتى مع هذا الضمان ، يجب عليك دائمًا اتباع أفضل ممارسات الأمان.

هل موقع وورد بريس الخاص بك آمن؟ تحقق من هذه الطرق الـ 19 لإغلاقه وإبقاء المتسللين في مأزق. 🔒

انقر للتغريد

هل وورد بريس آمن؟

السؤال الأول الذي ربما تتساءل عنه ، هل وورد بريس آمن ؟ بالنسبة للجزء الأكبر ، نعم. ومع ذلك ، عادةً ما يحصل وورد بريس على سمعة سيئة لكونه عرضة للثغرات الأمنية ولأنه بطبيعته ليس نظامًا أساسيًا آمنًا لاستخدامه في الأعمال التجارية. في كثير من الأحيان ، يرجع ذلك إلى حقيقة أن المستخدمين يواصلون اتباع أسوأ ممارسات الأمان التي أثبتت كفاءتها في الصناعة.

إن استخدام برنامج وورد بريس القديم ، والمكونات الإضافية الملغاة ، وسوء إدارة النظام ، وإدارة بيانات الاعتماد ، والافتقار إلى المعرفة اللازمة بالويب والأمان بين مستخدمي وورد بريس غير التقنيين ، يجعل المتسللين في صدارة لعبة الجرائم الإلكترونية الخاصة بهم. حتى قادة الصناعة لا يستخدمون دائمًا أفضل الممارسات. تم اختراق رويترز  لأنهم كانوا يستخدمون نسخة قديمة من وورد بريس.

في الأساس ، لا يتعلق الأمن بأنظمة آمنة تمامًا. قد يكون مثل هذا الشيء غير عملي ، أو من المستحيل العثور عليه و / أو صيانته. ما هو الأمن هو الحد من المخاطر ، وليس القضاء على المخاطر. يتعلق الأمر باستخدام جميع عناصر التحكم المناسبة المتاحة لك ، في حدود المعقول ، والتي تسمح لك بتحسين وضعك العام وتقليل احتمالات جعل نفسك هدفًا ، وبالتالي التعرض للاختراق. – مخطوطة أمن ووردبريس

الآن ، هذا لا يعني عدم وجود نقاط ضعف. وفقًا لدراسة أجريت في الربع الثالث من عام 2017 من قبل Sucuri ، وهي شركة أمنية متعددة المنصات ، يواصل وورد بريس قيادة المواقع المصابة التي عملوا عليها (بنسبة 83٪).  هذا ارتفاع من 74٪ في عام 2016.

ثغرات أمنية في ووردبريس

ثغرات أمنية في ووردبريس

يعمل وورد بريس على تشغيل أكثر من 40.0٪ من جميع مواقع الويب على الإنترنت ، ومع وجود مئات الآلاف من مجموعات السمات والمكونات الإضافية ، فليس من المستغرب وجود نقاط ضعف ويتم اكتشافها باستمرار. ومع ذلك ، هناك أيضًا مجتمع رائع حول منصة وورد بريس ، لضمان تصحيح هذه الأشياء في أسرع وقت ممكن. اعتبارًا من عام 2021 ، يتكون فريق أمان وورد بريس من حوالي 50 خبيرًا (من 25 في عام 2017) بما في ذلك المطورين الرئيسيين والباحثين الأمنيين – حوالي نصفهم من موظفي Automattic وعدد من العاملين في مجال أمان الويب.

ثغرات وورد بريس

تحقق من بعض الأنواع المختلفة من الثغرات الأمنية في وورد بريس أدناه.

أبواب خلفية

المأجورون فارما

محاولات تسجيل الدخول باستخدام القوة الغاشمة

عمليات إعادة التوجيه الخبيثة

البرمجة النصية عبر المواقع (XSS)

الحرمان من الخدمة

أبواب خلفية

توفر الثغرة الخلفية المسماة بشكل مناسب للمتسللين ممرات مخفية تتجاوز تشفير الأمان للوصول إلى مواقع وورد بريس عبر طرق غير طبيعية – wp-Admin و SFTP و FTP وما إلى ذلك. بمجرد استغلالها ، تمكن الأبواب الخلفية المتسللين من إحداث فوضى في خوادم الاستضافة مع تلوث عبر المواقع الهجمات – اختراق مواقع متعددة مستضافة على نفس الخادم. في الربع الثالث من عام 2017 ، أفاد Sucuri أن الأبواب الخلفية لا تزال واحدة من العديد من إجراءات ما بعد الاختراق التي يتخذها المهاجمون ، حيث أن 71٪  من المواقع المصابة لديها شكل من أشكال الحقن الخلفي.

توزيع عائلة البرامج الضارة

توزيع عائلة البرامج الضارة

غالبًا ما يتم تشفير Backdoors لتظهر كملفات نظام وورد بريس شرعية ، وتشق طريقها إلى قواعد بيانات وورد بريس من خلال استغلال نقاط الضعف والأخطاء في الإصدارات القديمة من النظام الأساسي. و الفشل الذريع TimThumb  كان مثالا للضعف مستتر استغلال النصوص المشبوهة والبرمجيات المساس عفا عليها الزمن الملايين من المواقع.

لحسن الحظ ، الوقاية والعلاج من هذا الضعف بسيط إلى حد ما. يمكنك فحص موقع وورد بريس الخاص بك باستخدام أدوات مثل  SiteCheck  التي يمكنها بسهولة اكتشاف الأبواب الخلفية الشائعة. المصادقة ذات العاملين ، وحظر عناوين IP ، وتقييد وصول المسؤول ومنع التنفيذ غير المصرح به لملفات PHP ، تعتني بسهولة بالتهديدات الخلفية الشائعة ، والتي سنناقشها أكثر أدناه. لدى كانتون بيكر  أيضًا منشورًا رائعًا حول تنظيف فوضى الباب الخلفي في منشآت وورد بريس الخاصة بك.

المأجورون فارما

يتم استخدام استغلال Pharma Hack لإدخال رمز شرير في إصدارات قديمة من مواقع الويب والمكونات الإضافية لـ وورد بريس ، مما يتسبب في عرض محركات البحث لإعلانات المنتجات الصيدلانية عند البحث عن موقع ويب تم اختراقه. تعد الثغرة الأمنية بمثابة تهديد للبريد العشوائي أكثر من البرامج الضارة التقليدية ، ولكنها تعطي محركات البحث سببًا كافيًا لحظر الموقع على اتهامات بتوزيع البريد العشوائي.

تتضمن الأجزاء المتحركة من Pharma Hack أبواب خلفية في المكونات الإضافية وقواعد البيانات ، والتي يمكن تنظيفها باتباع الإرشادات الواردة في مدونة Sucuri هذه . ومع ذلك ، فإن عمليات الاستغلال غالبًا ما تكون متغيرات شريرة من الحقن الخبيثة المشفرة المخبأة في قواعد البيانات وتتطلب عملية تنظيف شاملة لإصلاح الثغرة الأمنية. ومع ذلك ، يمكنك بسهولة منع Pharma Hacks باستخدام موفري استضافة وورد بريس الموصى بهم مع خوادم محدثة وتحديث تثبيتات وورد بريس والسمات والمكونات الإضافية بانتظام. يقدم المضيفون مثل Kinsta أيضًا إصلاحات اختراق مجانية.

محاولات تسجيل الدخول باستخدام القوة الغاشمة

تستخدم محاولات تسجيل الدخول باستخدام القوة الغاشمة نصوصًا برمجية آلية لاستغلال كلمات المرور الضعيفة والوصول إلى موقعك. تعد المصادقة المكونة من خطوتين ، والحد من محاولات تسجيل الدخول ، ومراقبة عمليات تسجيل الدخول غير المصرح بها ، وحظر عناوين IP واستخدام كلمات مرور قوية من أسهل الطرق وأكثرها فعالية لمنع هجمات القوة الغاشمة. لكن لسوء الحظ ، يفشل عدد من مالكي مواقع وورد بريس في أداء هذه الممارسات الأمنية ، في حين أن المتسللين قادرون بسهولة على اختراق ما يصل إلى 30000 موقع ويب في يوم واحد باستخدام هجمات القوة الغاشمة.

عمليات إعادة التوجيه الخبيثة

تؤدي عمليات إعادة التوجيه الضارة إلى إنشاء أبواب خلفية في عمليات تثبيت وورد بريس باستخدام FTP و SFTP و wp-admin وبروتوكولات أخرى وتضخ رموز إعادة التوجيه في موقع الويب. غالبًا ما يتم وضع عمليات إعادة التوجيه في ملف .htaccess وملفات وورد بريس الأساسية الأخرى في نماذج مشفرة ، مما يؤدي إلى توجيه حركة مرور الويب إلى المواقع الضارة. سنتعرف على بعض الطرق التي يمكنك من خلالها منع حدوث ذلك في خطوات أمان وورد بريس أدناه.

البرمجة النصية عبر المواقع (XSS)

البرمجة النصية عبر المواقع (XSS) هي عندما يتم حقن برنامج نصي ضار في موقع ويب أو تطبيق موثوق به. يستخدم المهاجم هذا لإرسال تعليمات برمجية ضارة ، عادةً نصوص برمجية من جانب المستعرض ، إلى المستخدم النهائي دون علمه بذلك. يكون الغرض عادةً هو الحصول على ملف تعريف الارتباط أو بيانات الجلسة أو ربما إعادة كتابة HTML على الصفحة.

وفقًا لـ WordFence ، تعد الثغرات الأمنية في البرمجة النصية عبر الموقع هي الثغرة الأكثر شيوعًا الموجودة في مكونات وورد بريس الإضافية بهامش كبير.

الحرمان من الخدمة

ولعل أخطرها جميعًا ، أن ثغرة رفض الخدمة (DoS) تستغل الأخطاء والأخطاء في الشفرة لتطغى على ذاكرة أنظمة تشغيل مواقع الويب. قام المتسللون باختراق ملايين المواقع الإلكترونية وجمعوا  ملايين الدولارات من خلال استغلال الإصدارات القديمة والعربة التي تجرها الدواب من برنامج وورد بريس بهجمات DoS. على الرغم من أن مجرمي الإنترنت ذوي الدوافع المالية أقل عرضة لاستهداف الشركات الصغيرة ، إلا أنهم يميلون إلى اختراق مواقع الويب الضعيفة القديمة في إنشاء سلاسل الروبوتات لمهاجمة الشركات الكبيرة.

حتى أحدث إصدارات برنامج وورد بريس لا يمكنها الدفاع بشكل شامل ضد هجمات DoS رفيعة المستوى ، ولكنها على الأقل ستساعدك على تجنب الوقوع في تبادل لإطلاق النار بين المؤسسات المالية ومجرمي الإنترنت المحترفين. ولا تنسى يوم 21 أكتوبر 2016. كان هذا هو اليوم الذي انقطع فيه الإنترنت بسبب هجوم DNS DDoS. اقرأ المزيد حول سبب أهمية استخدام مزود DNS متميز لزيادة أمان وورد بريس الخاص بك.

دليل أمان وورد بريس 2021

وفقًا لإحصائيات الإنترنت الحية ، يتم اختراق أكثر من 100000 موقع ويب يوميًا. 😮 لهذا السبب من المهم للغاية أن تأخذ بعض الوقت وتصفح التوصيات التالية أدناه حول كيفية تعزيز أمان وورد بريس الخاص بك بشكل أفضل.

مواقع وورد بريس يتم اختراقها كل يوم

مواقع وورد بريس يتم اختراقها كل يوم

سوف نتأكد من تحديث هذا المنشور بالمعلومات ذات الصلة حيث تتغير الأشياء مع منصة وورد بريس وظهور نقاط ضعف جديدة.

استضافة ووردبريس آمنة

استخدم أحدث إصدار من PHP

أسماء مستخدمين وكلمات مرور ذكية

أحدث الإصدارات

قفل إدارة وورد بريس

توثيق ذو عاملين

HTTPS – شهادة SSL

تصلب ملف wp-config.php

تعطيل XML-RPC

إخفاء نسخة ووردبريس

رؤوس أمان HTTP

إضافات أمان وورد بريس

أمان قاعدة البيانات

اتصالات آمنة

أذونات الملفات والخادم

تعطيل التحرير في لوحة المعلومات

منع Hotlinking

خذ دائمًا نسخ وورد بريس الاحتياطية

حماية DDoS

1. استثمر في استضافة ووردبريس آمنة

عندما يتعلق الأمر بأمان وورد بريس ، هناك أكثر بكثير من مجرد إغلاق موقعك ، على الرغم من أننا سنقدم لك أفضل التوصيات حول كيفية القيام بذلك أدناه. هناك أيضًا أمان على مستوى خادم الويب يكون مضيف وورد بريس مسؤولاً عنه. نحن نأخذ الأمن على محمل الجد هنا في Kinsta ونتعامل مع الكثير من هذه المشكلات لعملائنا.

من المهم جدًا أن تختار مضيفًا يمكنك الوثوق به في عملك . أو إذا كنت تستضيف وورد بريس على VPS الخاص بك ، فأنت بحاجة إلى المعرفة التقنية للقيام بهذه الأشياء بنفسك. ولكي أكون صادقًا ، فإن محاولة أن تكون مسؤول نظام لتوفير 20 دولارًا شهريًا هي فكرة سيئة.

استضافة ووردبريس آمنة

استضافة ووردبريس آمنة

يعد تقوية الخادم هو المفتاح للحفاظ على بيئة وورد بريس آمنة تمامًا. يتطلب الأمر طبقات متعددة من إجراءات الأمان على مستوى الأجهزة والبرامج لضمان أن البنية التحتية لتكنولوجيا المعلومات التي تستضيف مواقع وورد بريس قادرة على الدفاع ضد التهديدات المعقدة ، المادية والافتراضية على حد سواء.

لهذا السبب ، يجب تحديث الخوادم التي تستضيف وورد بريس بأحدث نظام تشغيل وبرامج (أمان) بالإضافة إلى اختبارها وفحصها بدقة بحثًا عن نقاط الضعف والبرامج الضارة. وخير مثال على ذلك هو عندما اضطر Kinsta إلى تصحيح NGINX لثغرات  أمنية OpenSSL التي تم اكتشافها.

يجب أن تكون جدران الحماية على مستوى الخادم وأنظمة الكشف عن التطفل في مكانها قبل تثبيت وورد بريس على الخادم للحفاظ على حمايته جيدًا حتى أثناء تثبيت وورد بريس ومراحل إنشاء موقع الويب. ومع ذلك ، يجب أن يكون كل برنامج مثبت على الجهاز مخصصًا لحماية محتوى وورد بريس متوافقًا مع أحدث أنظمة إدارة قواعد البيانات للحفاظ على الأداء الأمثل. يجب أيضًا تكوين الخادم لاستخدام بروتوكولات تشفير الشبكات الآمنة ونقل الملفات (مثل SFTP بدلاً من FTP ) لإخفاء المحتوى الحساس بعيدًا عن المتطفلين الضارين.

هنا في Kinsta ، نستخدم أسرع خوادم Google Cloud Platform وشبكة الطبقة المتميزة لجميع عملاء وورد بريس لدينا لضمان تجربة استضافة وورد بريس سريعة وآمنة . ميزة كبيرة لهذا هو أنه مبني على نموذج أمان تم بناؤه على مدار 15 عامًا ، وهو يؤمن حاليًا منتجات وخدمات مثل Gmail والبحث وما إلى ذلك. توظف Google حاليًا أكثر من 500 متخصص في مجال الأمان بدوام كامل . جميع المواقع على Kinsta محمية أيضًا من خلال تكامل Cloudflare المجاني ، والذي يتضمن جدار حماية آمنًا على مستوى المؤسسة بالإضافة إلى حماية DDoS مجانية.

يستخدم Kinsta أيضًا حاويات Linux (LXC) و LXD لتنسيقها ، بالإضافة إلى Google Cloud Platform الذي يمكننا من عزل كل حساب تمامًا ، ولكن كل موقع وورد بريس منفصل . تم دمج الأمان في هندستنا منذ البداية وهي طريقة أكثر أمانًا من تلك التي يقدمها المنافسون الآخرون.

بنية استضافة Kinsta.

بنية استضافة Kinsta.

2. استخدم أحدث إصدار من PHP

PHP هي العمود الفقري لموقع وورد بريس الخاص بك ، لذا فإن استخدام أحدث إصدار على خادمك مهم جدًا. عادةً ما يتم دعم كل إصدار رئيسي من PHP بشكل كامل لمدة عامين بعد صدوره. خلال ذلك الوقت ، يتم إصلاح الأخطاء ومشكلات الأمان وتصحيحها بشكل منتظم. اعتبارًا من الآن ، لم يعد أي شخص يعمل على الإصدار PHP 7.1 أو إصدار أقل لديه دعم أمني ويتعرض لثغرات أمنية غير مصححة.

إصدارات PHP المدعومة

إصدارات PHP المدعومة

وتخيل ماذا؟ وفقًا  لصفحة إحصائيات وورد بريس الرسمية  ، حتى كتابة هذا المقال ، لا يزال أكثر من  57٪ من مستخدمي وورد بريس يستخدمون  PHP 5.6 أو أقل . إذا قمت بدمج هذا مع PHP 7.0 ، فإن 77.5٪ من المستخدمين يستخدمون حاليًا إصدارات PHP التي لم تعد مدعومة. هذا مخيف!

77.5٪ من مستخدمي وورد بريس يستخدمون حاليًا إصدارات PHP التي لم تعد مدعومة! 😮

انقر للتغريد

أحيانًا يستغرق الأمر وقتًا طويلاً من الشركات والمطورين للاختبار والتأكد من التوافق مع التعليمات البرمجية الخاصة بهم ، لكن ليس لديهم عذر لتشغيل شيء بدون دعم أمني. ناهيك عن التأثير الضخم على الأداء الذي يعمل على الإصدارات القديمة.

إحصائيات إصدار ووردبريس PHP

إحصائيات إصدار ووردبريس PHP

ألا تعرف أي إصدار من PHP تستخدمه حاليًا؟ عادةً ما يقوم معظم المضيفين بتضمين ذلك في طلب رأس على موقعك. طريقة سريعة للتحقق هي تشغيل موقعك من خلال Pingdom . انقر فوق الطلب الأول وابحث عن X-Powered-Byمعلمة. سيعرض هذا عادةً إصدار PHP الذي يستخدمه خادم الويب حاليًا. ومع ذلك ، سيقوم بعض المضيفين بإزالة هذا العنوان لأسباب أمنية. يزيل Kinsta هذا الرأس افتراضيًا للحفاظ على أمان موقعك.

تحقق من إصدار PHP في Pingdom

تحقق من إصدار PHP في Pingdom

هنا في Kinsta نوصي فقط باستخدام الإصدارات المستقرة والمدعومة من PHP ، بما في ذلك 7.2 و 7.3 و 7.4. تم التخلص التدريجي من PHP 5.6 و 7.0 و 7.1. يمكنك حتى التبديل بين إصدارات PHP بنقرة زر واحدة من لوحة معلومات MyKinsta.

التغيير إلى PHP 7.4.

التغيير إلى PHP 7.4.

إذا كنت تستخدم مضيف وورد بريس يستخدم cPanel ، فيمكنك عادةً التبديل بين إصدارات PHP بالنقر فوق “PHP Select” ضمن فئة البرنامج.

نسخة cpanel php

إصدار cPanel PHP

3. استخدم أسماء مستخدمين وكلمات مرور ذكية

من المثير للدهشة أن إحدى أفضل الطرق لتعزيز أمان وورد بريس الخاص بك هي ببساطة استخدام أسماء مستخدمين وكلمات مرور ذكية . يبدو من السهل جدا أليس كذلك؟ حسنًا ، تحقق من قائمة SplashData لعام 2019 السنوية لأكثر كلمات المرور شيوعًا المسروقة على مدار العام (مرتبة حسب الشعبية).

123456

كلمه السر

123456789

12345678

12345

111111

1234567

إشراق

qwerty

انا احبك

هذا صحيح! كلمة المرور الأكثر شيوعًا هي “123456” ، تليها “كلمة المرور” المذهلة. هذا هو أحد الأسباب التي تجعلنا هنا في Kinsta عند تثبيتات وورد بريس الجديدة نقوم بالفعل بفرض كلمة مرور معقدة لاستخدامها في تسجيل الدخول إلى wp-admin (كما هو موضح أدناه في عملية التثبيت بنقرة واحدة). هذا ليس اختياريا.

فرض كلمة مرور ووردبريس آمنة

فرض كلمة مرور ووردبريس آمنة

تستخدم wp_hash_password وظيفة وورد بريس الأساسية إطار عمل تجزئة كلمة مرور phpass وثمانية ممرات للتجزئة القائمة على MD5.

يبدأ بعض أفضل الأمان من الأساسيات. لدى Google بعض التوصيات الرائعة حول كيفية اختيار كلمة مرور قوية . أو يمكنك استخدام أداة عبر الإنترنت مثل Strong Password Generator . يمكنك معرفة المزيد حول كيفية تغيير كلمة مرور وورد بريس الخاصة بك هنا .

من المهم أيضًا استخدام كلمات مرور مختلفة لكل موقع ويب. أفضل طريقة لتخزينها محليًا في قاعدة بيانات مشفرة على جهاز الكمبيوتر الخاص بك. أداة مجانية جيدة لهذا هي KeePass . إذا كنت لا ترغب في السير في هذا الطريق ، فهناك أيضًا مديرو كلمات مرور عبر الإنترنت مثل 1Password أو  LastPass . على الرغم من استضافة بياناتك بشكل آمن في السحابة ، إلا أنها أكثر أمانًا بشكل عام نظرًا لأنك لا تستخدم نفس كلمة المرور عبر مواقع متعددة. كما أنه يمنعك من استخدام الملاحظات اللاصقة. 😉

وبقدر ما يصل تثبيت وورد بريس الخاص بك ، يجب ألا تستخدم اسم المستخدم الافتراضي “admin”. أنشئ اسم مستخدم وورد بريس فريدًا لحساب المسؤول واحذف المستخدم “admin” إذا كان موجودًا. يمكنك القيام بذلك عن طريق إضافة مستخدم جديد ضمن “المستخدمون” في لوحة القيادة وتعيين ملف تعريف “المسؤول” (كما هو موضح أدناه).

دور مسؤول وورد بريس

دور مسؤول وورد بريس

بمجرد تعيين دور المسؤول للحساب الجديد ، يمكنك العودة وحذف مستخدم “المسؤول” الأصلي. تأكد من أنه عند النقر فوق حذف ، فإنك تختار الخيار “إحالة كل المحتوى إلى” وحدد ملف تعريف المسؤول الجديد الخاص بك. سيؤدي هذا إلى تعيين الشخص كمؤلف لتلك المشاركات.

حذف المسؤول ينسب كل المحتوى إلى

أنسب كل المحتوى إلى المسؤول

يمكنك أيضًا إعادة تسمية اسم مستخدم المسؤول الحالي يدويًا في phpMyAdmin باستخدام الأمر التالي. تأكد من عمل نسخة احتياطية من قاعدة البيانات قبل تحرير الجداول.

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

4. استخدم دائمًا أحدث إصدار من وورد بريس والمكونات الإضافية والسمات

هناك طريقة أخرى مهمة جدًا لتعزيز أمان وورد بريس الخاص بك وهي تحديثه دائمًا. يتضمن ذلك نواة وورد بريس والمكونات الإضافية والقوالب (سواء من مستودع وورد بريس أو الإصدار المميز). يتم تحديثها لسبب ما ، وفي كثير من الأحيان تتضمن هذه التحسينات الأمنية وإصلاحات الأخطاء. نوصيك بقراءة دليلنا التفصيلي حول كيفية عمل التحديثات التلقائية لـ وورد بريس .

حافظ على وورد بريس محدثًا

حافظ على وورد بريس محدثًا

لسوء الحظ ، هناك الملايين من الشركات التي تعمل بإصدارات قديمة من برامج وورد بريس والمكونات الإضافية ، وما زالت تعتقد أنها تسير على الطريق الصحيح لنجاح الأعمال. ويذكرون أسبابًا لعدم التحديث مثل “موقعهم سيتعطل” أو “ستختفي التعديلات الأساسية” أو “لن يعمل المكون الإضافي X” أو “لا يحتاجون إلى الوظيفة الجديدة”.

في الواقع ، تتعطل مواقع الويب في الغالب بسبب الأخطاء في إصدارات وورد بريس القديمة. لا ينصح فريق وورد بريس والمطورين الخبراء بالتعديلات الأساسية مطلقًا الذين يفهمون المخاطر التي تنطوي عليها. وتتضمن تحديثات وورد بريس في الغالب تصحيحات أمان ضرورية إلى جانب الوظائف الإضافية المطلوبة لتشغيل أحدث المكونات الإضافية.

هل تعلم أنه تم الإبلاغ عن أن  ثغرات البرنامج المساعد تمثل 55.9٪ من نقاط الدخول المعروفة للمتسللين؟ هذا ما وجده WordFence في دراسة حيث أجروا مقابلات مع أكثر من 1،000 من مالكي مواقع وورد بريس الذين كانوا ضحايا للهجمات. من خلال تحديث المكونات الإضافية ، يمكنك التأكد بشكل أفضل من أنك لست واحدًا من هؤلاء الضحايا.

المكونات الإضافية لمواقع ووردبريس المخترقة

مواقع وورد بريس التي تم اختراقها

يوصى أيضًا بتثبيت المكونات الإضافية الموثوقة فقط. يمكن أن تكون الفئات “المميزة” و “الشائعة” في مستودع وورد بريس مكانًا جيدًا للبدء. أو قم بتنزيله مباشرة من موقع المطور. نحن لا نشجع بشدة أي استخدام لإضافات وورد بريس والسمات الفارغة .

أولاً ، لا تعرف أبدًا ما قد تحتويه الشفرة المعدلة. يمكن أن ينتهي الأمر بسهولة في تعرض موقعك للاختراق. كما أن عدم الدفع مقابل مكونات وورد بريس الإضافية لا يساعد المجتمع ككل على النمو. نحن بحاجة إلى دعم المطورين.

إليك كيفية حذف سمة وورد بريس بشكل صحيح .

يمكنك استخدام أداة عبر الإنترنت مثل  VirusTotal  لفحص مكون إضافي أو ملفات السمات لمعرفة ما إذا كان يكتشف أي نوع من البرامج الضارة.

فايروس توتال

فايروس توتال

كيفية تحديث ووردبريس كور

هناك طريقتان سهلتان لتحديث تثبيت وورد بريس الخاص بك. إذا كنت أحد عملاء Kinsta ، فقد قمنا بتوفير نسخ احتياطية تلقائية مع خيار استعادة بنقرة واحدة. بهذه الطريقة يمكنك اختبار الإصدارات الجديدة من وورد بريس والمكونات الإضافية دون الحاجة إلى القلق بشأن كسر أي شيء. أو يمكنك أيضًا الاختبار أولاً في بيئتنا المرحلية .

لتحديث نواة وورد بريس ، يمكنك النقر فوق “التحديثات” في لوحة معلومات وورد بريس الخاصة بك والنقر فوق الزر “تحديث الآن”.

تحديث نواة ووردبريس

تحديث نواة ووردبريس

يمكنك أيضًا تحديث وورد بريس يدويًا عن طريق تنزيل أحدث إصدار  وتحميله عبر SFTP.

الأهمية! قد تؤدي الكتابة فوق المجلدات الخاطئة إلى تعطيل موقعك إذا لم يتم ذلك بشكل صحيح. إذا لم تكن مرتاحًا لفعل ذلك ، فيرجى مراجعة مطور البرامج أولاً.

اتبع الخطوات أدناه  لتحديث التثبيت الحالي الخاص بك:

حذف القديم wp-includesو wp-adminالدلائل.

تحميل الجديد wp-includesو wp-adminالدلائل.

قم بتحميل الملفات الفردية من wp-contentالمجلد الجديد إلى wp-contentمجلدك الحالي ، واستبدال الملفات الموجودة. لا تحذف wp-contentمجلدك الحالي . لا تحذف أي ملفات أو مجلدات في دليلك الحالي wp-content(باستثناء تلك التي تم استبدالها بملفات جديدة).

قم بتحميل جميع الملفات السائبة الجديدة من الدليل الجذر للإصدار الجديد إلى دليل جذر وورد بريس الحالي الخاص بك.

كيفية تحديث ملحقات وورد بريس

يعد تحديث مكونات وورد بريس الإضافية عملية مشابهة جدًا لتحديث نواة وورد بريس. انقر فوق “التحديثات” في لوحة معلومات وورد بريس الخاصة بك ، وحدد المكونات الإضافية التي تريد تحديثها ، وانقر فوق “تحديث المكونات الإضافية”.

قم بتحديث إضافات وورد بريس

قم بتحديث إضافات وورد بريس

وبالمثل ، يمكنك أيضًا تحديث مكون إضافي يدويًا. ما عليك سوى الحصول على أحدث إصدار من مطور البرنامج المساعد أو مستودع وورد بريس وتحميله عبر FTP ، والكتابة فوق المكون الإضافي الموجود داخل  /wp-content/pluginsالدليل.

من المهم أيضًا ملاحظة أن المطورين لا يحافظون دائمًا على تحديث المكونات الإضافية. أجرى الفريق في WP Loop تحليلًا صغيرًا رائعًا لعدد مكونات وورد بريس الإضافية في المستودع التي لم يتم تحديثها مع نواة وورد بريس الحالية. وفقًا لأبحاثهم ، لم يتم تحديث ما يقرب من 50٪ من المكونات الإضافية في المستودع منذ أكثر من عامين .

هذا لا يعني أن المكون الإضافي لن يعمل مع الإصدار الحالي من وورد بريس ، ولكن يوصى باختيار المكونات الإضافية التي يتم تحديثها بنشاط. من المرجح أن تحتوي المكونات الإضافية القديمة على ثغرات أمنية.

لم يتم تحديث إضافات ووردبريس

img src: WP Loop

استخدم أفضل حكم عندما يتعلق الأمر بالمكونات الإضافية. انظر إلى تاريخ “آخر تحديث” وعدد التصنيفات التي يمتلكها البرنامج المساعد. كما هو موضح في المثال أدناه ، هذا الإصدار قديم وله مراجعات سيئة ، لذا من المرجح أن نوصي بالابتعاد عنه. يحتوي وورد بريس أيضًا على تحذير في الجزء العلوي من معظم المكونات الإضافية التي لم يتم تحديثها منذ فترة.

البرنامج المساعد القديم وورد بريس مع تصنيفات سيئة

البرنامج المساعد القديم وورد بريس مع تصنيفات سيئة

هناك أيضًا الكثير من الموارد لمساعدتك في البقاء على اطلاع بآخر تحديثات الأمان والثغرات الأمنية في وورد بريس. انظر بعض منهم أدناه:

مدونو WP Security : مورد مجمع رائع يضم أكثر من 20 موجزًا ​​أمنيًا.

قاعدة بيانات WPScan للثغرات الأمنية : كتالوجات تزيد عن 10،000 ثغرة في وورد بريس Core و Plugin و Theme.

ThreatPress : قاعدة بيانات محدثة يوميًا لمكونات وورد بريس الإضافية والسمات ونقاط الضعف الأساسية في وورد بريس.

أرشيف أمان وورد بريس الرسمي

أرشيف أمان وورد بريس

أرشيف أمان وورد بريس

5. تأمين إدارة وورد بريس الخاص بك

في بعض الأحيان ، تكون الإستراتيجية الشائعة لأمان وورد بريس عن طريق الغموض فعالة بشكل مناسب لمتوسط ​​الأعمال التجارية عبر الإنترنت وموقع وورد بريس. إذا جعلت من الصعب على المتسللين العثور على أبواب خلفية معينة ، فمن غير المرجح أن تتعرض للهجوم. يعد إغلاق منطقة إدارة وورد بريس وتسجيل الدخول طريقة جيدة لتعزيز أمنك. طريقتان رائعتان للقيام بذلك هما أولاً عن طريق تغيير عنوان URL الافتراضي لتسجيل الدخول إلى wp-admin وكذلك الحد من محاولات تسجيل الدخول.

يمكن أن يكون الأمان من خلال الغموض طريقة سهلة وفعالة لتعزيز أمان وورد بريس الخاص بك. 🔒

انقر للتغريد

كيفية تغيير عنوان URL الخاص بتسجيل الدخول إلى وورد بريس

بشكل افتراضي ، يكون عنوان URL لتسجيل الدخول لموقع وورد بريس الخاص بك هو domain.com / wp-admin . واحدة من المشاكل مع هذا هو أن جميع الروبوتات والمتسللين والبرامج النصية هناك يعرفون هذا أيضًا. من خلال تغيير عنوان URL ، يمكنك أن تجعل نفسك أقل هدفًا وتحمي نفسك بشكل أفضل من هجمات القوة الغاشمة. هذا ليس حلاً لإصلاح كل شيء ، إنه مجرد خدعة صغيرة يمكن أن تساعد بالتأكيد في حمايتك.

ل تغيير وورد الخاص بك لتسجيل الدخول URL نوصي باستخدام مجانا WPS إخفاء تسجيل الدخول  المساعد أو قسط Perfmatters المساعد. يحتوي كلا المكونين الإضافيين على حقل إدخال بسيط. فقط تذكر أن تختار شيئًا فريدًا لن يكون موجودًا بالفعل في قائمة قد يحاول الروبوت أو البرنامج النصي مسحها.

إخفاء عنوان URL لتسجيل الدخول إلى وورد بريس باستخدام Perfmatters

إخفاء عنوان URL لتسجيل الدخول إلى وورد بريس باستخدام Perfmatters

كيفية الحد من محاولات تسجيل الدخول

على الرغم من أن الحل أعلاه لتغيير عنوان URL لتسجيل الدخول للمسؤول يمكن أن يساعد في تقليل غالبية محاولات تسجيل الدخول السيئة ، إلا أن وضع حد في مكانه يمكن أن يكون فعالًا للغاية أيضًا. يعد المكون الإضافي المجاني Cerber Limit Login Attempts طريقة رائعة لإعداد فترات الإغلاق ومحاولات تسجيل الدخول وقوائم IP البيضاء والقوائم السوداء بسهولة.

الحد من محاولات تسجيل الدخول وورد

الحد من محاولات تسجيل الدخول في وورد بريس

إذا كنت تبحث عن حل أمان وورد بريس أكثر بساطة ، فإن البديل الرائع الآخر هو المكون الإضافي المجاني لتسجيل الدخول . تسجيل الدخول يسجل LockDown عنوان IP والطابع الزمني لكل محاولة تسجيل دخول فاشلة. إذا تم اكتشاف أكثر من عدد معين من المحاولات خلال فترة زمنية قصيرة من نفس نطاق IP ، فسيتم تعطيل وظيفة تسجيل الدخول لجميع الطلبات من هذا النطاق. وهو متوافق تمامًا مع المكون الإضافي WPS Hide لتسجيل الدخول الذي ذكرناه أعلاه.

تأمين تسجيل الدخول وورد

تأمين وورد

كيفية إضافة مصادقة HTTP أساسية (حماية htpasswd)

هناك طريقة أخرى لإغلاق المسؤول وهي إضافة مصادقة HTTP. يتطلب هذا اسم مستخدم وكلمة مرور قبل التمكن من الوصول إلى صفحة تسجيل الدخول إلى وورد بريس. ملاحظة: لا ينبغي استخدام هذا بشكل عام في مواقع التجارة الإلكترونية أو مواقع العضوية. لكنها يمكن أن تكون طريقة فعالة للغاية لمنع الروبوتات من الوصول إلى موقعك.

موجه المصادقة

موجه المصادقة

اباتشي

إذا كنت تستخدم مضيف cPanel ، فيمكنك تمكين الدلائل المحمية بكلمة مرور من لوحة التحكم الخاصة بهم. لإعداده يدويًا ، ستحتاج أولاً إلى إنشاء  .htpasswdملف. يمكنك استخدام أداة التوليد سهلة الاستخدام هذه . ثم قم بتحميل الملف إلى دليل ضمن مجلد wp-admin ، مثل:

home/user/.htpasswds/public_html/wp-admin/htpasswd/

ثم قم بإنشاء .htaccessملف بالشفرة التالية وقم بتحميله إلى /wp-admin/دليلك. تأكد من تحديث مسار الدليل واسم المستخدم.

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername

التحذير الوحيد للقيام بذلك بهذه الطريقة هو أنه سيؤدي إلى كسر AJAX (admin-ajax) في الواجهة الأمامية لموقعك. هذا مطلوب من قبل بعض المكونات الإضافية لجهات خارجية. لذلك سوف تحتاج أيضًا إلى إضافة الكود التالي إلى ملف htaccess أعلاه.

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Nginx

إذا كنت تقوم بتشغيل Nginx ، فيمكنك أيضًا تقييد الوصول باستخدام مصادقة HTTP الأساسية. تحقق من هذا البرنامج التعليمي .

إذا كنت تستضيف موقع وورد بريس الخاص بك على Kinsta ، فيمكنك استخدام أداة الحماية بكلمة مرور سهلة  (htpasswd) في لوحة معلومات MyKinsta. يمكنك العثور عليها ضمن قسم “الأدوات” على موقعك. ما عليك سوى النقر فوق “تمكين” ، واختيار اسم مستخدم وكلمة مرور ، وأنت على ما يرام!

تفعيل حماية .htpasswd

تفعيل حماية .htpasswd

بعد تمكينه ، سيطلب موقع وورد بريس الخاص بك مصادقة للوصول إليه. يمكنك تغيير بيانات الاعتماد في أي وقت أو تعطيلها عندما لم تعد بحاجة إليها.

تأمين مسار URL

إذا كنت تستخدم جدار حماية لتطبيق الويب (WAF) مثل Cloudflare أو Sucuri ، فلديهم أيضًا طرق لإغلاق مسار URL. بشكل أساسي ، يمكنك إعداد قاعدة بحيث يكون عنوان IP الخاص بك فقط هو القادر على الوصول إلى عنوان URL الخاص بتسجيل دخول مسؤول وورد بريس. مرة أخرى ، لا ينبغي استخدام هذا بشكل عام في مواقع التجارة الإلكترونية أو مواقع العضوية لأنها تعتمد أيضًا على الوصول إلى النهاية الخلفية لموقعك.

يحتوي Cloudflare على ميزة تأمين عنوان URL في حسابات Pro والحسابات الأعلى. يمكنك إعداد قاعدة لأي عنوان URL أو مسار.

لدى Sucuri ميزة مسار URL للقائمة السوداء . يمكنك بعد ذلك إدراج عنوان IP الخاص بك في القائمة البيضاء.

6. استفد من المصادقة الثنائية

وبالطبع ، لا يمكننا أن ننسى المصادقة ذات العاملين! بغض النظر عن مدى أمان كلمة المرور الخاصة بك ، فهناك دائمًا خطر أن يكتشفها شخص ما. تتضمن المصادقة ذات العاملين عملية من خطوتين لا تحتاج فيها فقط إلى كلمة المرور لتسجيل الدخول ولكن تحتاج إلى طريقة ثانية. إنها بشكل عام رسالة نصية (SMS) أو مكالمة هاتفية أو كلمة مرور لمرة واحدة قائمة على الوقت (TOTP). في معظم الحالات ، يكون هذا فعالًا بنسبة 100٪ في منع هجمات القوة الغاشمة على موقع وورد بريس الخاص بك. لماذا ا؟ لأنه يكاد يكون من المستحيل أن يحصل المهاجم على كلمة مرورك وهاتفك المحمول.

هناك حقًا جزءان عندما يتعلق الأمر بالمصادقة ذات العاملين. الأول هو حسابك و / أو لوحة القيادة التي لديك مع مزود استضافة الويب الخاص بك. إذا تمكن شخص ما من الوصول إلى هذا ، فيمكنه تغيير كلمات المرور الخاصة بك ، وحذف مواقع الويب الخاصة بك ، وتغيير سجلات DNS ، وجميع أنواع الأشياء الفظيعة. نحن هنا في Kinsta في شراكة مع Authy  ولدينا مصادقة ثنائية متاحة للوحة معلومات MyKinsta الخاصة بك.

الجزء الثاني من المصادقة الثنائية يتعلق بتثبيت وورد بريس الفعلي . لهذا هناك بعض المكونات الإضافية التي نوصي بها:

مصادقة ثنائية العامل

Google Authenticator

توثيق ذو عاملين

العديد من هذه التطبيقات لها تطبيقات المصادقة الخاصة بها والتي يمكنك تثبيتها على هاتفك:

تطبيق Android Duo Mobile

تطبيق iPhone Duo للهاتف المحمول

تطبيق Google Authenticator من Android

تطبيق Google Google Authenticator

بعد تثبيت وتكوين أحد المكونات الإضافية المذكورة أعلاه ، سيكون لديك عادةً حقل إضافي في صفحة تسجيل الدخول إلى وورد بريس لإدخال رمز الأمان الخاص بك. أو ، باستخدام المكون الإضافي Duo ، تقوم أولاً بتسجيل الدخول باستخدام بيانات الاعتماد الخاصة بك ثم يُطلب منك اختيار طريقة مصادقة ، مثل Duo Push أو Call أو رمز المرور.

يمكن دمج هذه الطريقة بسهولة مع تغيير عنوان URL الافتراضي لتسجيل الدخول ، والذي قمنا بمراجعته سابقًا. لذلك ليس فقط عنوان URL الخاص بتسجيل الدخول إلى وورد بريس شيئًا تعرفه أنت فقط ، ولكنه يتطلب الآن مصادقة إضافية للدخول. 💪

صفحة المصادقة الثنائية لـ وورد بريس

صفحة المصادقة الثنائية لـ وورد بريس

لذا تأكد من الاستفادة من المصادقة الثنائية ، فقد تكون طريقة سهلة لتعزيز أمان وورد بريس الخاص بك.

تريد أن تعرف كيف زدنا من حركة المرور لدينا أكثر من 1000 ٪؟

انضم إلى أكثر من 20000 آخرين ممن يتلقون رسائلنا الإخبارية الأسبوعية مع نصائح من الداخل حول وورد بريس!

إشترك الآن

7. استخدم HTTPS للاتصالات المشفرة – شهادة SSL

واحدة من أكثر الطرق التي يتم التغاضي عنها لتعزيز أمان وورد بريس الخاص بك هي تثبيت شهادة SSL وتشغيل موقعك عبر HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) هي آلية تسمح لمتصفحك أو تطبيق الويب الخاص بك بالاتصال بأمان بموقع ويب. هناك اعتقاد خاطئ كبير أنه إذا كنت لا تقبل بطاقات الائتمان ، فأنت لست بحاجة إلى SSL.

حسنًا ، دعنا نوضح بعض الأسباب التي تجعل HTTPS مهمًا بخلاف التجارة الإلكترونية فقط. يقدم العديد من المضيفين ، بما في ذلك Kinsta ، شهادات SSL مجانية مع Let’s Encrypt .

اتصالات HTTPS المشفرة

اتصالات HTTPS المشفرة

1. الأمن

بالطبع ، أكبر سبب لـ HTTPS هو الأمان الإضافي ، ونعم ، هذا يتعلق بشدة بمواقع التجارة الإلكترونية. ومع ذلك ، ما مدى أهمية معلومات تسجيل الدخول الخاصة بك؟ بالنسبة لأولئك منكم الذين يشغلون مواقع وورد بريس متعددة المؤلفين ، إذا كنت تعمل عبر HTTP ، في كل مرة يقوم فيها شخص بتسجيل الدخول ، يتم تمرير هذه المعلومات إلى الخادم بنص عادي. يعد HTTPS أمرًا حيويًا للغاية في الحفاظ على اتصال آمن بين موقع الويب والمتصفح. بهذه الطريقة يمكنك بشكل أفضل منع المتسللين و / أو الوسيط من الوصول إلى موقع الويب الخاص بك.

لذا ، سواء كان لديك مدونة أو موقع إخباري أو وكالة وما إلى ذلك ، يمكنهم جميعًا الاستفادة من HTTPS لأن هذا يضمن عدم مرور أي شيء في نص عادي.

2. تحسين محركات البحث

قالت Google رسميًا أن HTTPS هو عامل تصنيف . على الرغم من أنه مجرد عامل ترتيب صغير ، فمن المحتمل أن يستفيد معظمكم من أي ميزة يمكنك الحصول عليها في SERPs للتغلب على منافسيك.

3. الثقة والمصداقية

وفقًا لمسح أجرته GlobalSign ، يبحث 28.9٪ من الزوار عن شريط العنوان الأخضر في متصفحهم. و 77٪ منهم قلقون بشأن اعتراض بياناتهم أو إساءة استخدامها عبر الإنترنت. من خلال رؤية هذا القفل الأخضر ، سيتمتع العملاء على الفور براحة البال مع العلم أن بياناتهم أكثر أمانًا.

4. بيانات الإحالة

لا يدرك الكثير من الناس أن بيانات إحالة HTTPS إلى HTTP محظورة في Google Analytics. إذن ماذا يحدث للبيانات؟ حسنًا ، تم تجميع معظمها مع قسم “حركة المرور المباشرة”. إذا كان شخص ما ينتقل من HTTP إلى HTTPS ، فلا يزال المرجع يتم تمريره.

5. تحذيرات Chrome

اعتبارًا من  24 تموز (يوليو) 2018 ، بدأت إصدارات Chrome 68 والإصدارات الأحدث في وضع علامة “غير آمنة” على جميع المواقع التي لا تستخدم بروتوكول HTTPS. بغض النظر عما إذا كانوا يجمعون البيانات أم لا. هذا هو سبب أهمية HTTPS أكثر من أي وقت مضى!

هذا مهم بشكل خاص إذا كان موقع الويب الخاص بك يحصل على غالبية زياراته من Chrome. يمكنك البحث في Google Analytics ضمن قسم الجمهور في المتصفح ونظام التشغيل حتى ترى النسبة المئوية لحركة المرور التي يحصل عليها موقع وورد بريس الخاص بك من Google Chrome. تجعل Google الأمر أكثر وضوحًا للزائرين أن موقع وورد بريس الخاص بك قد لا يعمل على اتصال آمن.

Chrome ليس موقعًا آمنًا

Chrome ليس موقعًا آمنًا

6. الأداء

بسبب بروتوكول يسمى HTTP / 2 ، في كثير من الأحيان ، يمكن لأولئك الذين يشغلون مواقع محسّنة بشكل صحيح عبر HTTPS رؤية تحسينات في السرعة. يتطلب HTTP / 2 HTTPS بسبب دعم المتصفح. يرجع التحسن في الأداء إلى مجموعة متنوعة من الأسباب مثل قدرة HTTP / 2 على دعم تعدد إرسال وتوازي وضغط HPACK مع تشفير Huffman وامتداد ALPN ودفع الخادم.

ومع  TLS 1.3 ، أصبحت اتصالات HTTPS أسرع. يدعم Kinsta TLS 1.3 على جميع خوادمنا و Kinsta CDN الخاص بنا.

إعادة التفكير في HTTPS الآن؟ تحقق من دليل الترحيل المتعمق لـ وورد بريس HTTPS لتعلم المزيد من خلال مقارنة TLS مقابل SSL .

لفرض اتصال آمن ومشفّر بينك وبين الخادم عند تسجيل الدخول إلى موقعك وإدارته ، أضف السطر التالي إلى ملفك wp-config.php:

تعريف ('FORCE_SSL_ADMIN' ، صحيح) ؛

(القراءة المقترحة: إذا كنت تستخدم إصدارات TLS القديمة ، فقد ترغب في إصلاح إعلامات ERR_SSL_OBSOLETE_VERSION في Chrome).

8. صلّب ملف wp-config.php الخاص بك

يشبه ملف wp-config.php الخاص بك قلب وروح تثبيت وورد بريس الخاص بك. إنه إلى حد بعيد أهم ملف على موقعك عندما يتعلق الأمر بأمان وورد بريس. يحتوي على معلومات تسجيل الدخول إلى قاعدة البيانات الخاصة بك ومفاتيح الأمان التي تتعامل مع تشفير المعلومات في ملفات تعريف الارتباط. فيما يلي بعض الأشياء التي يمكنك القيام بها لحماية هذا الملف المهم بشكل أفضل.

1. انقل ملف wp-config.php

بشكل افتراضي ، يوجد ملف wp-config.php في الدليل الجذر لتثبيت وورد بريس ( /publicمجلد HTML الخاص بك  ). ولكن يمكنك نقل هذا إلى دليل يمكن الوصول إليه بخلاف www. كتب آرون آدامز شرحًا رائعًا عن سبب  فائدة ذلك.

لنقل ملفك ، ما عليك wp-config.phpسوى نسخ كل شيء منه إلى ملف مختلف. بعد ذلك ، wp-config.phpيمكنك وضع المقتطف التالي في ملفك لتضمين ملفك الآخر ببساطة. ملاحظة: قد يختلف مسار الدليل بناءً على مضيف الويب والإعداد. عادة على الرغم من أنه مجرد دليل واحد أعلاه.

<؟ php
include ('/ home / yourname / wp-config.php') ؛

ملاحظة: لن يعمل هذا مع عملاء Kinsta وسيؤدي إلى تعطيل الوظائف على نظامنا الأساسي. هذا لأن قيود open_basedir الخاصة بنا لا تسمح بتنفيذ PHP أعلى ~/publicالدليل لأسباب أمنية. الخبر السار هو أننا نتعامل مع هذا من أجلك! نفعل نفس الشيء بشكل فعال عن طريق منع الوصول إلى wp-login.phpداخل ~/publicالدليل. يتضمن تكوين Nginx الافتراضي الخاص بنا قاعدة ستعيد 403 لأي محاولة وصول إلى wp-config.php.

2. قم بتحديث مفاتيح أمان وورد بريس

مفاتيح أمان وورد بريس هي مجموعة من المتغيرات العشوائية التي تعمل على تحسين تشفير المعلومات المخزنة في ملفات تعريف الارتباط الخاصة بالمستخدم. منذ وورد 2.7 كانت هناك 4 مفاتيح مختلفة: AUTH_KEY، SECURE_AUTH_KEY،  LOGGED_IN_KEY، و  NONCE_KEY.

عند تثبيت وورد بريس يتم إنشاء هذه بشكل عشوائي من أجلك. ومع ذلك ، إذا كنت قد أجريت عمليات ترحيل متعددة (تحقق من قائمتنا المنسقة لأفضل المكونات الإضافية لترحيل وورد بريس ) أو اشتريت موقعًا من شخص آخر ، فقد يكون من الجيد إنشاء مفاتيح وورد بريس جديدة.

يحتوي وورد بريس بالفعل على أداة مجانية يمكنك استخدامها لإنشاء مفاتيح عشوائية . يمكنك تحديث مفاتيحك الحالية المخزنة في ملف wp-config.php .

مفاتيح أمان وورد بريس

مفاتيح أمان وورد بريس

اقرأ المزيد عن مفاتيح أمان وورد بريس .

3. تغيير الأذونات

عادةً ما يتم تعيين الملفات الموجودة في الدليل الجذر لموقع وورد بريس على 644 ، مما يعني أن الملفات يمكن قراءتها وكتابتها بواسطة مالك الملف ويمكن قراءتها من قِبل المستخدمين في مالك المجموعة لهذا الملف ويمكن لأي شخص آخر قراءتها. وفقًا لوثائق وورد بريس ، wp-config.phpيجب تعيين الأذونات على الملف على 440 أو 400 لمنع المستخدمين الآخرين على الخادم من قراءته. يمكنك بسهولة تغيير هذا مع عميل FTP الخاص بك .

أذونات wp-config.php

أذونات wp-config.php

في بعض أنظمة الاستضافة ، قد تحتاج الأذونات إلى أن تكون مختلفة لأن المستخدم الذي يقوم بتشغيل خادم الويب ليس لديه إذن لكتابة الملفات. إذا لم تكن متأكدًا من ذلك ، فتحقق من مزود الاستضافة.

9. قم بتعطيل XML-RPC

في السنوات الماضية ، أصبح XML-RPC  هدفًا كبيرًا بشكل متزايد لهجمات القوة الغاشمة. كما ذكر Sucuri ، تتمثل إحدى الميزات المخفية لـ XML-RPC في أنه يمكنك استخدام طريقة system.multicall لتنفيذ طرق متعددة داخل طلب واحد. هذا مفيد للغاية لأنه يسمح للتطبيق بتمرير أوامر متعددة داخل طلب HTTP واحد. ولكن ما يحدث أيضًا هو أنه يُستخدم للنوايا الخبيثة.

هناك عدد قليل من مكونات وورد بريس الإضافية مثل Jetpack التي تعتمد على XML-RPC ، لكن غالبية الناس لن يحتاجوا إلى هذا ويمكن أن يكون من المفيد ببساطة تعطيل الوصول إليه. ألست متأكدًا مما إذا كان XML-RPC يعمل حاليًا على موقع الويب الخاص بك؟ كتب Danilo Ercoli ، من فريق Automattic ، أداة صغيرة تسمى  XML-RPC Validator . يمكنك تشغيل موقع وورد بريس الخاص بك من خلال ذلك لمعرفة ما إذا كان قد تم تمكين XML-RPC. إذا لم يكن الأمر كذلك ، فسترى رسالة فشل كما هو موضح في الصورة أدناه على مدونة Kinsta.

تحقق من ووردبريس xml-rpc

مدقق وورد بريس XML-RPC

لتعطيل هذا تمامًا ، يمكنك تثبيت  البرنامج الإضافي Disable XML-RPC المجاني . أو يمكنك تعطيله باستخدام المكون الإضافي perfmatters الإضافي ، والذي يحتوي أيضًا على تحسينات في أداء الويب.

إذا كنت عميلاً هنا في Kinsta ، فهذا ليس ضروريًا لأنه عند اكتشاف هجوم من خلال XML-RPC ، تتم إضافة مقتطف صغير من التعليمات البرمجية إلى ملف تكوين NGINX لإيقافهم في مساراتهم – مما ينتج عنه خطأ 403.

هل تعاني من مشاكل التوقف و وورد بريس؟ Kinsta هو حل الاستضافة المصمم لتوفير الوقت! تحقق من ميزاتنا

location ~* ^/xmlrpc.php$ {
return 403;
}

10. إخفاء إصدار وورد بريس الخاص بك

إن إخفاء إصدار وورد بريس الخاص بك يلامس مرة أخرى موضوع أمان وورد بريس عن طريق الغموض . كلما قل عدد الأشخاص الذين يعرفون عن تكوين موقع وورد بريس الخاص بك ، كان ذلك أفضل. إذا رأوا أنك تقوم بتشغيل تثبيت وورد بريس قديم ، فقد تكون هذه علامة ترحيب للمتطفلين. بشكل افتراضي ، يظهر إصدار وورد بريس في رأس شفرة المصدر لموقعك. مرة أخرى ، نوصي ببساطة بالتأكد من تحديث تثبيت وورد بريس الخاص بك دائمًا حتى لا تقلق بشأن ذلك.

كود إصدار ووردبرس

نسخة ووردبريس في شفرة المصدر

يمكنك استخدام الكود التالي لإزالة هذا. ما عليك سوى إضافته إلى functions.phpملف قالب وورد بريس الخاص بك .

الأهمية! قد يؤدي تحرير شفرة المصدر لموضوع وورد بريس إلى كسر موقعك إذا لم يتم بشكل صحيح. إذا لم تكن مرتاحًا لفعل ذلك ، فيرجى مراجعة مطور البرامج أولاً.

الدالة wp_version_remove_version () {
إرجاع ''؛
}
add_filter ('the_generator'، 'wp_version_remove_version') ؛

يمكنك أيضًا استخدام مكون إضافي مميز مثل  perfmatters  (تم تطويره بواسطة أحد أعضاء الفريق في Kinsta) ، والذي يسمح لك بإخفاء إصدار وورد بريس بنقرة واحدة ، إلى جانب تحسينات أخرى لموقع وورد بريس الخاص بك.

إخفاء نسخة ووردبريس مع Perfmatters

إخفاء نسخة ووردبريس مع Perfmatters

يوجد مكان آخر يظهر فيه إصدار وورد بريس في readme.htmlالملف الافتراضي (كما هو موضح أدناه) المضمّن في كل إصدار من إصدارات وورد بريس. إنه موجود في جذر التثبيت الخاص بك ، domain.com/readme.html. يمكنك حذف هذا الملف بأمان عبر FTP.

الملف التمهيدي لنسخة ووردبريس

نسخة ووردبريس في الملف التمهيدي

إذا كنت تقوم بتشغيل وورد بريس 5.0 أو أعلى ، فلن يكون هذا قابلاً للتطبيق لأن رقم الإصدار لم يعد مدرجًا في الملف.

11. إضافة أحدث رؤوس أمان HTTP

هناك خطوة أخرى يمكنك اتخاذها لتعزيز أمان وورد بريس وهي الاستفادة من رؤوس أمان HTTP. يتم تكوينها عادةً على مستوى خادم الويب وتخبر المتصفح بكيفية التصرف عند التعامل مع محتوى موقعك. هناك الكثير من رؤوس أمان HTTP المختلفة ، ولكن فيما يلي عادةً أهمها.

سياسة أمان المحتوى

حماية X-XSS

أمن النقل الصارم

X- خيارات الإطار

العامة-دبابيس المفاتيح

X- نوع المحتوى

يحتوي KeyCDN على منشور رائع ومتعمق إذا كنت ترغب في قراءة المزيد حول رؤوس أمان HTTP .

يمكنك التحقق من الرؤوس التي يتم تشغيلها حاليًا على موقع وورد بريس الخاص بك عن طريق تشغيل Chrome devtools والنظر إلى رأس الاستجابة الأولية لموقعك. يوجد أدناه مثال على kinsta.com. يمكنك أن ترى أننا نستخدم strict-transport-security، x-content-type، x-frame-optionsوالعناوين.

رؤوس أمان HTTP

رؤوس أمان HTTP

يمكنك أيضًا فحص موقع وورد بريس الخاص بك باستخدام أداة securityheaders.io المجانية بواسطة Scott Helme. سيُظهر لك هذا رؤوس أمان HTTP الموجودة حاليًا على موقعك. إذا لم تكن متأكدًا من كيفية تنفيذها ، فيمكنك دائمًا أن تسأل مضيفك عما إذا كان بإمكانه المساعدة.

فحص رؤوس أمان http

فحص رؤوس أمان HTTP

ملاحظة: من المهم أيضًا أن تتذكر أنه عند تنفيذ رؤوس أمان HTTP ، قد يؤثر ذلك على نطاقات وورد بريس الفرعية الخاصة بك . على سبيل المثال ، إذا قمت بإضافة عنوان سياسة أمان المحتوى وقيدت الوصول بواسطة المجالات ، فإنك تحتاج إلى إضافة المجالات الفرعية الخاصة بك أيضًا.

12. استخدم ملحقات أمان وورد بريس

وبالطبع ، علينا أن نذكر بعض الإضافات الأمنية في وورد بريس. هناك الكثير من المطورين والشركات الرائعين الذين يقدمون حلولًا رائعة للمساعدة في حماية موقع وورد بريس الخاص بك بشكل أفضل. وهنا اثنين منهم.

الأمن Sucuri

أمان iThemes

أمان WordFence

الفسفور الابيض fail2ban

SecuPress

يحتوي Kinsta على جدران حماية للأجهزة ، وأمن نشط وسلبي ، وفحوصات لوقت التشغيل في كل دقيقة وعشرات من الميزات المتقدمة الأخرى لمنع المهاجمين من الوصول إلى بياناتك. إذا تعرض موقعك للاختراق ، على الرغم من بذلنا قصارى جهدنا ، فسنصلحه مجانًا .

فيما يلي بعض الميزات والاستخدامات النموذجية للمكونات الإضافية أعلاه:

قم بإنشاء كلمات مرور قوية وفرضها عند إنشاء ملفات تعريف المستخدمين

فرض انتهاء صلاحية كلمات المرور وإعادة تعيينها على أساس منتظم

تسجيل عمل المستخدم

تحديثات سهلة لمفاتيح أمان وورد بريس

فحص البرامج الضارة

توثيق ذو عاملين

reCAPTCHAs

جدران الحماية الأمنية لـ وورد بريس

القائمة البيضاء لعناوين IP

القائمة السوداء لعناوين IP

تغييرات الملف

مراقبة تغييرات DNS

منع الشبكات الخبيثة

عرض معلومات WHOIS على الزوار

ميزة مهمة للغاية أن العديد من المكونات الإضافية للأمان تتضمن أداة المجموع الاختباري. ما يعنيه هذا هو أنهم يفحصون تثبيت وورد بريس الخاص بك ويبحثون عن التعديلات على الملفات الأساسية كما هو منصوص عليه في وورد بريس.org (عبر API). قد تشير أي تغييرات أو تعديلات على هذه الملفات إلى حدوث اختراق. يمكنك أيضًا استخدام WP-CLI لتشغيل المجموع الاختباري الخاص بك .

تأكد من قراءة دليلنا الشامل حول مراقبة سلامة الملفات .

مكون إضافي رائع آخر يستحق الذكر المشرف هو المكون الإضافي WP Security Audit Log.  هذا رائع لأولئك منكم الذين يعملون على وورد بريس متعدد المواقع أو ببساطة مواقع متعددة المؤلفين. يساعد في ضمان إنتاجية المستخدم ويتيح للمسؤولين رؤية كل ما يتم تغييره ؛ مثل عمليات تسجيل الدخول ، وتغييرات كلمة المرور ، وتغييرات السمات ، وتغييرات عنصر واجهة المستخدم ، وإبداعات المنشورات الجديدة ، وتحديثات وورد بريس ، وما إلى ذلك.

إنه حل سجل نشاط وورد بريس كامل . حتى كتابة هذا المقال ، يحتوي المكون الإضافي WP Security Audit Log على أكثر من 80.000+ تثبيت نشط مع 4.7 من تصنيف 5 نجوم. إنه اختيار ممتاز إذا كنت تبحث عن حل أمان متوافق مع وورد بريس متعدد المواقع .

سجل تدقيق أمن ووردبريس

عارض سجل تدقيق الأمان

كما أن لديها وظائف إضافية مميزة إضافية مثل إشعارات البريد الإلكتروني وإدارة جلسات المستخدم والبحث والتقارير. تحقق من هذه الإضافات الأمنية الإضافية في وورد بريس والتي يمكن أن تساعد في عزل الأشرار.

13. تقوية أمن قاعدة البيانات

هناك طريقتان لتحسين الأمان في قاعدة بيانات وورد بريس الخاصة بك . الأول هو استخدام اسم قاعدة بيانات ذكي . إذا تم تسمية موقعك باسم حيل الكرة الطائرة ، فسيتم على الأرجح تسمية قاعدة بيانات وورد بريس الخاصة بك افتراضيًا wp_volleyballtricks. من خلال تغيير اسم قاعدة البيانات الخاصة بك إلى اسم أكثر غموضًا ، فإنه يساعد في حماية موقعك عن طريق زيادة صعوبة تحديد المتسللين والوصول إلى تفاصيل قاعدة البيانات الخاصة بك.

التوصية الثانية هي استخدام بادئة جدول قاعدة بيانات مختلفة. بشكل افتراضي ، يستخدم وورد بريس ملفات wp_. 39xw_يمكن أن يكون تغيير هذا إلى شيء مثل أكثر أمانًا. عند تثبيت وورد بريس ، فإنه يطلب بادئة جدول (كما هو موضح أدناه). هناك أيضًا طرق لتغيير بادئة جدول وورد بريس في عمليات التثبيت الحالية. إذا كنت أحد عملاء Kinsta ، فلا داعي لذلك. لدينا موقع وقاعدة بيانات مقفلة!

بادئة جدول وورد

بادئة جدول وورد بريس – img src: jatinarora

14. استخدم دائمًا اتصالات آمنة

لا يمكننا التأكيد بما فيه الكفاية على مدى أهمية استخدام اتصالات آمنة! تأكد من أن وورد بريس الخاص بك يستضيفه مع اتخاذ الاحتياطات مثل تقديم SFTP أو SSH. SFTP أو بروتوكول نقل الملفات الآمن (المعروف أيضًا باسم بروتوكول نقل الملفات SSH) ، هو بروتوكول شبكة يستخدم لنقل الملفات. إنها طريقة أكثر أمانًا مقابل FTP القياسي.

نحن ندعم اتصالات SFTP في Kinsta فقط لضمان بقاء بياناتك آمنة ومشفرة. عادةً ما يستخدم معظم مضيفي وورد بريس المنفذ 22 لـ SFTP. لقد اتخذنا هذه خطوة إلى الأمام هنا في Kinsta وكل موقع يحتوي على منفذ عشوائي يمكن العثور عليه في لوحة معلومات MyKinsta الخاصة بك.

تفاصيل SFTP في MyKinsta.

تفاصيل SFTP في MyKinsta.

من المهم أيضًا التأكد من إعداد جهاز التوجيه المنزلي الخاص بك بشكل صحيح. إذا قام شخص ما باختراق شبكتك المنزلية ، فيمكنه الوصول إلى جميع أنواع المعلومات ، بما في ذلك مكان تخزين معلوماتك المهمة حول موقع (مواقع) وورد بريس الخاصة بك. فيما يلي بعض النصائح البسيطة:

لا تقم بتمكين الإدارة عن بعد (VPN). لا يستخدم المستخدمون العاديون هذه الميزة مطلقًا ، ومن خلال إبعادها ، يمكنك تجنب تعريض شبكتك للعالم الخارجي.

تستخدم أجهزة التوجيه بشكل افتراضي عناوين IP في النطاق مثل 192.168.1.1. استخدم نطاقًا مختلفًا ، مثل 10.9.8.7.

قم بتمكين أعلى مستوى من التشفير على شبكة Wifi الخاصة بك.

قائمة IP البيضاء لشبكة Wifi الخاصة بك بحيث لا يتمكن من الوصول إليها إلا الأشخاص الذين لديهم كلمة مرور وعناوين IP معينة.

حافظ على تحديث البرامج الثابتة على جهاز التوجيه الخاص بك.

وكن حذرًا دائمًا عند تسجيل الدخول إلى موقع وورد بريس الخاص بك في الأماكن العامة. تذكر أن ستاربكس ليست شبكة آمنة! اتخذ الاحتياطات مثل التحقق من SSID للشبكة قبل النقر فوق الاتصال. يمكنك أيضًا استخدام خدمة VPN من جهة خارجية مثل ExpressVPN لتشفير حركة المرور على الإنترنت وإخفاء عنوان IP الخاص بك من المتسللين.

15. تحقق من أذونات الملفات والخادم

تعتبر أذونات الملفات على كل من التثبيت وخادم الويب ضرورية لتعزيز أمان وورد بريس الخاص بك. إذا كانت الأذونات فضفاضة للغاية ، فيمكن لأي شخص بسهولة الوصول إلى موقعك وإحداث الفوضى. من ناحية أخرى ، إذا كانت أذوناتك صارمة للغاية ، فقد يؤدي ذلك إلى تعطيل الوظائف على موقعك. لذلك من المهم أن يكون لديك الأذونات الصحيحة التي تم تعيينها في جميع المجالات.

أذونات الملف

يتم تعيين أذونات القراءة  إذا كان لدى المستخدم حقوق قراءة الملف.

يتم تعيين أذونات الكتابة إذا كان للمستخدم حقوق كتابة الملف أو تعديله.

يتم تعيين أذونات التنفيذ إذا كان لدى المستخدم حقوق تشغيل الملف و / أو تنفيذه كبرنامج نصي.

أذونات الدليل

 يتم تعيين أذونات القراءة إذا كان للمستخدم الحق في الوصول إلى محتويات المجلد / الدليل المحدد.

يتم تعيين أذونات الكتابة إذا كان للمستخدم الحق في إضافة أو حذف الملفات الموجودة داخل المجلد / الدليل.

يتم تعيين أذونات التنفيذ إذا كان لدى المستخدم حقوق الوصول إلى الدليل الفعلي وأداء الوظائف والأوامر ، بما في ذلك القدرة على حذف البيانات داخل المجلد / الدليل.

يمكنك استخدام مكون إضافي مجاني مثل iThemes Security لفحص الأذونات على موقع وورد بريس الخاص بك.

أذونات ملف وورد

فحص أذونات ملف وورد بريس

فيما يلي بعض التوصيات النموذجية للأذونات عندما يتعلق الأمر بأذونات الملفات والمجلدات في وورد بريس. راجع مقالة وورد بريس Codex حول تغيير أذونات الملفات للحصول على شرح أكثر تفصيلاً.

يجب أن تكون جميع الملفات 644 أو 640. استثناء: يجب أن يكون wp-config.php 440 أو 400 لمنع المستخدمين الآخرين على الخادم من قراءته.

يجب أن تكون كافة الأدلة 755 أو 750.

يجب عدم إعطاء أدلة على الإطلاق 777 ، حتى تحميل الدلائل.

16. تعطيل تحرير الملف في لوحة معلومات وورد بريس

تحتوي الكثير من مواقع وورد بريس على العديد من المستخدمين والمسؤولين ، مما يجعل أمان وورد بريس أكثر تعقيدًا. من الممارسات السيئة للغاية منح المؤلفين أو المساهمين حق الوصول الإداري ، ولكن لسوء الحظ ، يحدث ذلك طوال الوقت. من المهم منح المستخدمين الأدوار والأذونات الصحيحة حتى لا يكسروا أي شيء. لهذا السبب ، قد يكون من المفيد ببساطة تعطيل “محرر المظهر” في وورد بريس.

ربما كان معظمكم هناك في وقت أو آخر. تذهب لتعديل شيء ما بسرعة في محرر المظهر وفجأة تُترك مع شاشة بيضاء للموت . من الأفضل تحرير الملف محليًا وتحميله عبر FTP. وبالطبع ، في أفضل الممارسات ، يجب أن تختبر أشياء مثل هذه على موقع تطوير أولاً.

محرر مظهر وورد بريس

محرر مظهر وورد بريس

أيضًا ، إذا تم اختراق موقع وورد بريس الخاص بك ، فإن أول شيء قد يفعلونه هو محاولة تحرير ملف أو سمة PHP عبر محرر المظهر. هذه طريقة سريعة لهم لتنفيذ تعليمات برمجية ضارة على موقعك. إذا لم يتمكنوا من الوصول إلى هذا من لوحة القيادة ، في البداية ، يمكن أن يساعد في منع الهجمات. ضع الكود التالي في ملفك wp-config.phpلإزالة إمكانيات “edit_themes” و “edit_plugins” و “edit_files” لجميع المستخدمين.

تعريف ('DISALLOW_FILE_EDIT' ، صحيح) ؛

17. منع Hotlinking

مفهوم الربط الساخن بسيط للغاية. يمكنك العثور على صورة على الإنترنت في مكان ما واستخدام عنوان URL للصورة مباشرة على موقعك. سيتم عرض هذه الصورة على موقع الويب الخاص بك ولكن سيتم تقديمها من الموقع الأصلي. هذه في الواقع سرقة لأنها تستخدم النطاق الترددي للموقع ذي الارتباط الساخن. قد لا تبدو هذه مشكلة كبيرة ، ولكنها قد تولد الكثير من التكاليف الإضافية.

الشوفان مثال رائع. هافينغتون بوست ربطت رسما كاريكاتوريا له يتألف من صور متعددة وحقق فاتورة ضخمة بقيمة 1000 دولار +.

الارتباط الساخن

فاتورة Hotlinking

منع Hotlinking في Apache

لمنع الارتباط السريع في Apache ، قم ببساطة بإضافة الكود التالي إلى ملفك .htaccess.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

يحدد الصف الثاني المرجع المسموح به – الموقع المسموح له بالارتباط بالصورة مباشرة ، يجب أن يكون هذا هو موقع الويب الفعلي الخاص بك. إذا كنت تريد السماح بمواقع متعددة ، يمكنك تكرار هذا الصف واستبدال المرجع. إذا كنت ترغب في إنشاء بعض القواعد الأكثر تعقيدًا ، فقم بإلقاء نظرة على منشئ حماية htaccess hotlink .

منع Hotlinking في NGINX

لمنع الارتباط السريع في NGINX ، قم ببساطة بإضافة الكود التالي إلى ملف التكوين الخاص بك.

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

منع Hotlinking على CDN

إذا كنت تقدم صورك من CDN ، فقد يكون الإعداد مختلفًا قليلاً. فيما يلي بعض الموارد مع موفري CDN المشهورين.

حماية Hotlink مع KeyCDN

حماية Hotlink مع Cloudflare

حماية Hotlink مع MaxCDN

18. خذ دائما النسخ الاحتياطية

النسخ الاحتياطية هي الشيء الوحيد الذي يعرف الجميع أنهم بحاجة إليه ولكن لا يأخذونه دائمًا. معظم التوصيات المذكورة أعلاه هي إجراءات أمنية يمكنك اتخاذها لحماية نفسك بشكل أفضل. ولكن بغض النظر عن مدى أمان موقعك ، فلن يكون آمنًا بنسبة 100٪. لذلك تريد نسخًا احتياطيًا في حالة حدوث الأسوأ.

يوفر معظم موفري خدمات استضافة وورد بريس المدارة الآن نسخًا احتياطية. لدى Kinsta خمسة أنواع مختلفة من النسخ الاحتياطية ، بما في ذلك  النسخ الاحتياطية الآلية بحيث يمكنك الراحة في الليل. يمكنك حتى بنقرة واحدة استعادة موقعك.

النسخ الاحتياطية في MyKinsta.

النسخ الاحتياطية في MyKinsta.

إذا لم يكن لدى مضيفك نسخ احتياطية ، فهناك بعض خدمات وورد بريس الشائعة والمكونات الإضافية التي يمكنك استخدامها لأتمتة العملية.

خدمات النسخ الاحتياطي ووردبريس

عادةً ما يكون لخدمات النسخ الاحتياطي لموقع وورد بريس رسوم شهرية منخفضة وتقوم بتخزين النسخ الاحتياطية لك في السحابة.

VaultPress  (من فريق Automattic ، أصبح الآن جزءًا من Jetpack)

CodeGuard

BlogVault

وورد بريس Backup Plugins

تتيح لك المكونات الإضافية للنسخ الاحتياطي في وورد بريس الحصول على النسخ الاحتياطية عبر FTP أو التكامل مع مصدر تخزين خارجي مثل Amazon S3 أو Google Cloud Storage أو Google Drive أو Dropbox. نوصي بشدة باستخدام حل تدريجي بحيث يستخدم موارد أقل.

الناسخ

WP Time Capsule

BackupBuddy

أوبدرافت بلس

BackUpوورد بريس

النسخ الاحتياطي

WP BackItUp

ملاحظة: لا نسمح بإضافات النسخ الاحتياطي غير المتزايدة على خوادم Kinsta بسبب مشكلات في الأداء. ولكن هذا لأننا نتعامل مع كل هذا من أجلك على مستوى الخادم حتى لا يبطئ موقع وورد بريس الخاص بك.

19. حماية DDoS

DDoS هو نوع من هجمات DOS حيث يتم استخدام أنظمة متعددة لاستهداف نظام واحد يتسبب في هجوم رفض الخدمة (DoS). هجمات DDoS ليست شيئًا جديدًا – وفقًا لبريتانيكا ، تعود الحالة الموثقة الأولى إلى أوائل عام 2000. على عكس شخص ما يخترق موقعك ، لا تضر هذه الأنواع من الهجمات عادةً بموقعك ، ولكنها ستؤدي ببساطة إلى تعطيل موقعك لبضع ساعات أو أيام .

ما يمكنك القيام به لحماية نفسك؟ تتمثل إحدى أفضل التوصيات في استخدام خدمة أمان خارجية حسنة السمعة مثل Cloudflare  أو Sucuri . إذا كنت تدير شركة ، فمن المنطقي أن تستثمر في خططها المتميزة. إذا كنت مستضافًا على Kinsta ، فلا داعي للقلق بشأن إعداد حماية DDoS بنفسك. تتضمن جميع خططنا تكاملاً مجانيًا مع Cloudflare مع حماية DDoS مدمجة.

حماية DDoS من Cloudflare و Sucuri

حماية DDoS من Cloudflare و Sucuri

يمكن استخدام حماية DDoS المتقدمة للتخفيف من هجمات DDoS بجميع الأشكال والأحجام بما في ذلك تلك التي تستهدف بروتوكولات UDP و ICMP ، بالإضافة إلى SYN / ACK وتضخيم DNS وهجمات الطبقة 7. تشمل المزايا الأخرى وضعك خلف وكيل مما يساعد على إخفاء عنوان IP الأصلي الخاص بك ، على الرغم من أنه ليس مضادًا للرصاص.

تأكد من مراجعة دراسة الحالة الخاصة بنا حول كيفية إيقاف هجوم DDoS . كان لدينا عميل لديه موقع تجارة إلكترونية صغير يقوم بتشغيل Easy Digital Downloads والذي حصل على أكثر من 5 ملايين طلب على صفحة واحدة في غضون 7 أيام . ينتج الموقع عادةً ما بين 30-40 ميجابايت يوميًا في النطاق الترددي ومئات الزوار يوميًا. ولكن فجأة ، ذهب الموقع على الفور إلى ما بين 15-19 غيغابايت من البيانات المنقولة يوميًا! هذه  زيادة بنسبة 4650٪ . ولم يظهر Google Analytics أي حركة مرور إضافية. إذن هذا ليس جيدًا.

نطاق ترددي مرتفع من هجوم DDoS

نطاق ترددي مرتفع من هجوم DDoS

قام العميل بتنفيذ جدار حماية تطبيق الويب الخاص بـ Sucuri على موقعه وجميع النطاق الترددي والطلبات التي تم إسقاطها على الفور على الموقع (كما هو موضح أدناه) ولم تكن هناك مشكلة واحدة منذ ذلك الحين. لذلك بالتأكيد استثمار جيد وموفر للوقت إذا كنت تواجه مشكلات مثل هذه.

تمت إضافة جدار حماية تطبيق الويب Sucuri

تمت إضافة جدار حماية تطبيق الويب Sucuri

ملخص

كما ترى ، هناك العديد من الطرق التي يمكنك من خلالها تعزيز أمان وورد بريس الخاص بك. يعد استخدام كلمات مرور ذكية ، والحفاظ على التحديثات الأساسية والإضافات ، واختيار مضيف وورد بريس مُدار آمنًا ، عددًا قليلاً فقط من الأشياء التي ستحافظ على موقع وورد بريس الخاص بك يعمل بأمان. بالنسبة للكثيرين منكم ، يعتبر موقع وورد بريس الخاص بك هو عملك ودخلك ، لذلك من المهم أن تأخذ بعض الوقت وتنفذ بعضًا من أفضل الممارسات الأمنية المذكورة أعلاه ، عاجلاً وليس آجلاً.

هل لديك أي نصائح أمان مهمة في وورد بريس فاتناها؟ إذا كان الأمر كذلك ، فلا تتردد في إخبارنا أدناه في التعليقات.

وفر الوقت والتكاليف وحقق أقصى قدر من أداء الموقع من خلال:

مساعدة فورية من خبراء استضافة وورد بريس ، 24/7.

تكامل Cloudflare Enterprise.

يصل الجمهور العالمي إلى 28 مركز بيانات حول العالم.

التحسين من خلال مراقبة أداء التطبيقات المضمنة لدينا.

كل ذلك وأكثر من ذلك بكثير ، في خطة واحدة بدون عقود طويلة الأجل ، وعمليات الترحيل المدعومة ، وضمان استرداد الأموال لمدة 30 يومًا. تحقق من خططنا أو تحدث إلى قسم المبيعات للعثور على الخطة المناسبة لك.