يمكن أن يكون العمل مع أنظمة إدارة المحتوى الشائعة طريقة رائعة لإدارة موقع الويب الخاص بك وتعديله وصيانته. ولكن مع الشعبية الكبيرة تأتي مسؤولية كبيرة لتأمين تثبيت WordPress الخاص بك من المتسللين الذين يهدفون إلى استغلال الأنظمة الشائعة مثل WordPress. دعونا نكتشف كيف يمكننا تأمين خادمنا وحماية أنفسنا من المهاجمين.
لماذا أحتاج إلى تأمين WordPress؟
شعبية WordPress تجعلها هدفًا للمتسللين.مع وجود ملايين المستخدمين في جميع أنحاء العالم ، يحصل المهاجمون على أقصى فائدة من خلال استغلال هذه الأدوات المستخدمة على نطاق واسع. قد يسمح استغلال واحد للمتسلل باختراق مئات أو آلاف مواقع الويب ، مما قد يعني أن موقع الويب الخاص بك هو واحد من العديد من المواقع المتأثرة.
الطرق الأساسية التي يتم من خلالها اختراق WordPress أو اختراقها هي من كلمات مرور سهلة التخمين ، والتنازل عن السمات والمكونات الإضافية وتثبيت WordPress القديم. يمكن أن يؤدي الاحتفاظ بكلمات مرور وأسماء مستخدمين قوية وموضوعات وإضافات وعمليات تثبيت أساسية محدثة بأحدث التصحيحات إلى قطع شوط طويل في حماية الخادم الخاص بك من المهاجمين.
دعونا نلقي نظرة على كيفية تحديث هذه العناصر والتأكد من تحديث تثبيت WordPress الخاص بنا.
إنشاء اسم مستخدم وكلمة مرور آمنين
بينما لا يمكنك تغيير اسم المستخدم الذي تم تعيينه أثناء تثبيت WordPress ، يمكننا إنشاء مستخدم إداري بديل ليس لديه اسم مستخدم يسهل تخمينه مثل "user" أو "admin" ، والذي ربما لم يتم اعتباره أثناء التثبيت.ثم يمكننا إنشاء كلمة مرور آمنة لحساب المسؤول الأصلي ، لذلك لن يتم تخمينها.
تسمح أسماء المستخدمين سهلة التخمين للمهاجمين بتخمين مجموعة أسماء المستخدمين وكلمات المرور الشائعة للوصول إلى تثبيت WordPress الخاص بك. من خلال امتلاك اسم مستخدم فريد وغامض ، حتى إذا كانت كلمة المرور الخاصة بك شيئًا بسيطًا مثل "كلمة المرور" ، فسيظل على المهاجمين تخمين اسم المستخدم المعقد الخاص بك للوصول.
باسم مستخدم مثل “mywebsite123987 @$ @!” ، سيجد المتسللون صعوبة في اختراق خادمك بهذه الطريقة.
لإنشاء مستخدم جديد ، افتح لوحة التحكم الخاصة بك وانتقل إلى المستخدمين.
حدد إضافة جديد في شريط التنقل العلوي لإنشاء مستخدم جديد.
تأكد من تقديم اسم مستخدم وكلمة مرور مميزين ويصعب تخمينهما ، مع أكثر من 12 حرفًا بما في ذلك الأحرف والأرقام والرموز.
عيّن لهذا المستخدم دور المسؤول ، ثم حدد إضافة مستخدم جديد.
الآن ، يمكننا العودة إلى صفحة المستخدمين وتحديد حساب المسؤول الأصلي المسمى المستخدم.
قم بإنشاء كلمة مرور جديدة لمستخدمنا الأصلي سيكون من المستحيل تخمينها. الآن بعد أن أصبح لدينا حساب المسؤول البديل الخاص بنا ، يمكن أن يمتلك حسابنا الأصلي المسمى المستخدم كلمة مرور معقدة للغاية ، لذلك لا يتم فرضها من قبل المهاجمين على أن تكون اسم مستخدم شائعًا.
تغيير عنوان URL الخاص بتسجيل الدخول إلى WP-Admin
هناك طريقة رائعة أخرى لتأمين صفحات تسجيل الدخول الخاصة بك وهي تغيير عنوان URL الافتراضي لتسجيل الدخول الخاص بـ wp-admin إلى شيء فريد. بهذه الطريقة ، لا يمكن للمهاجمين محاولة تسجيل الدخول تلقائيًا إلى موقع الويب الخاص بك عبر عنوان URL الافتراضي example.com/wp-admin/ وسيتعين عليهم تخمين صفحة تسجيل الدخول (المسماة بشكل آمن) لمهاجمة موقع الويب الخاص بك.
في حين أن هذه ليست ميزة مدعومة في WordPress ، يمكننا تحقيق ذلك بإحدى طريقتين. استخدام مكون إضافي أو تعديل الملفات يدويًا لإجراء التغييرات.
بالنسبة لهذه المقالة ، سنقوم بتعديل ملفاتنا يدويًا وسنبذل قصارى جهدنا للابتعاد عن المكونات الإضافية غير الضرورية.
من المهم ملاحظة أن هذه التعديلات لن تنتقل إلى تحديثات WordPress وقد تسبب بعض المشكلات في المستقبل. لضمان التحديثات السلسة ، يوصى بالاحتفاظ بنسخة احتياطية من جميع الملفات المعدلة واستعادتها قبل التحديث. ثم يمكنك ببساطة إجراء نفس التغييرات مرة أخرى لاستعادة عنوان URL الآمن لتسجيل الدخول إلى WordPress.
للبدء ، ستحتاج إلى محرر نصوص جيد مثل Notepad ++ يحتوي على وظيفة قوية للبحث والاستبدال. بمجرد حصولنا على هذا ، دعنا نعثر على ملف wp-login.php الخاص بنا في دليل جذر WordPress الخاص بنا.
أول الأشياء أولاً ، قم بعمل نسخة احتياطية من هذا الملف في حالة احتياجنا للعودة إلى عنوان URL الأصلي لتسجيل الدخول في وقت ما. بمجرد الانتهاء من ذلك ، افتح wp-login.php في Notepad ++ حتى نتمكن من إصدار وحدة البحث والاستبدال التي نحتاجها لتأمين صفحة تسجيل الدخول الخاصة بنا.
للوصول إلى وحدة البحث والاستبدال ، انتقل إلى "بحث" في القائمة العلوية وابحث عن "استبدال".
بمجرد فتح الوحدة ، في حقل Find What: أدخل wp-login وفي استبدال بـ: أدخل عنوان URL المطلوب لتسجيل الدخول. في هذه الحالة ، اخترت custom_login لتكون صفحة تسجيل الدخول المعينة حديثًا.
حدد "استبدال الكل" لاستبدال كافة تكرارات wp-login.
احفظ ملفك وانتقل مرة أخرى إلى دليل الصفحة الرئيسية لـ WordPress. حان الوقت لإعادة تسمية ملف wp-login.php الخاص بنا إلى custom_login.php
الآن ، لاختبار نجاح التغيير ، قم بالوصول إلى دليل wp-admin على موقع الويب الخاص بك. في حالتي ، هو موجود على http:// localhost / wordpress / wp-admin /. عند تحميل عنوان URL هذا ، يجب أن تجد أنه يعطي خطأ أو تحذير "لم يتم العثور على الصفحة". هذا يعني أن عنوان URL الخاص بتسجيل الدخول قد تغير ولا يمكن للمخترقين العثور عليه باستخدام عنوان URL الافتراضي لتسجيل الدخول!
دعونا نفتح صفحة تسجيل الدخول الصحيحة الآن ، في حالتي الموجودة على
مبروك! لقد قمت بتغيير عنوان URL الافتراضي لتسجيل الدخول إلى عنوان URL فريد أكثر أمانًا يصعب على المخترقين تخمينه. سيؤدي هذا إلى منع صفحة تسجيل الدخول الخاصة بك من التعرض للضرر من قبل البرامج التي تبحث تحديدًا عن عنوان URL الخاص بـ wp-login.php. خطوة واحدة أقرب إلى الأمن!
حافظ على الإضافات والسمات ووردبريس الأساسي محدثًا
الطريقة الوحيدة الأكثر فعالية لحماية تثبيت WordPress الخاص بك هي الحفاظ على السمات والإضافات وتثبيت WordPress الأساسي محدثًا.
المكونات الإضافية والسمات غالبًا ما يستهدفها المتسللون لأنهم يميلون إلى تطويرها من قبل مطوري الطرف الثالث بموارد محدودة إلى حد ما ، على عكس منظمة WordPress التي ستكون الأولوية للأمان واختبار الأخطاء لأي مكونات إضافية وموضوعات رسمية.
يتم إنشاء السمات والإضافات ولكن المطور قرر كتابتها ، ولا يتم اختبارها بدقة في كثير من الأحيان ضد عمليات الاستغلال. يمكن أن يتسبب هذا في مشاكل للمستخدمين بمجرد أن يجد المهاجم خطأ في ملفات السمات التي ربما لم يتم تحديثها لجميع المستخدمين. يمكن أن يحدث هذا بعد سنوات أيضًا.
تعمل المكونات الإضافية بنفس الطريقة ولكن قد يتم استخدامها على نطاق واسع من قبل مستخدمي WordPress ، مما يجعل المكونات الإضافية هدفًا مثاليًا للمتسللين. كانت هناك العديد من الحالات التي يتم فيها استغلال المكونات الإضافية التي تم تثبيتها بواسطة ملايين المستخدمين ، ويمكن اختراق جميع مواقع الويب التي تحتوي على المكون الإضافي المتأثر إذا لم يتم تحديثها.
لإدارة تحديثات WordPress ، انتقل إلى لوحة القيادة وابحث عن الصفحة الرئيسية.
ستساعدك هذه الصفحة في إدارة التحديثات الأساسية وتحديثات السمات وحتى تحديثات المكونات الإضافية في مكان مركزي واحد. سيتم إخطارك بأي ملحقات قديمة وسيتم منحك خيار تحديثها هنا. ستحتاج فقط إلى الوصول إلى FTP الذي يحتوي على حقوق تعديل السمة أو البرنامج المساعد أو تثبيت WordPress.
بينما يوفر WordPress غالبًا تحذيرات على صفحة لوحة المعلومات الرئيسية للملفات القديمة ، تحقق من صفحة تحديثات WordPress هذه كثيرًا وتأكد من تحديث ملفاتك. يعد تصحيح الملفات القديمة أحد أكثر الطرق فعالية لمنع عمليات الاستيلاء البسيطة من المهاجمين.
تقليل استخدام المكونات الإضافية والسمات المثبتة
يمكن أن يكون بالتأكيد تحديًا في الحفاظ على تحديث السمات والإضافات بأحدث التصحيحات ، خاصةً إذا كنت تستخدم العشرات أو أكثر من السمات والإضافات. واحدة من أسهل الطرق لتقليل هذه المخاطر هي الحد من كمية المكونات الإضافية والسمات التي تستخدمها.
هذا يعطي نواقل هجوم أقل بشكل كبير للمتسللين لكل مكون إضافي أو سمة غير مثبتة وقد يكون لها مآثر محتملة. بالإضافة إلى ذلك ، فإن إلغاء تثبيت المكونات الإضافية والسمات المعطلة سيمنع حتى الأدوات غير المستخدمة من أن يتم استغلالها في المستقبل من قبل أخطاء خطيرة.
بمجرد أن تقرر عدم استخدام مكون إضافي ، انطلق وقم بإزالته بالكامل من موقع الويب الخاص بك. حتى المكونات الإضافية القديمة المعطلة وُجد أنها تحتوي على أخطاء خطيرة تم اختراقها من قبل المتسللين على نطاق واسع.
بينما يبدو أن هناك مكونًا إضافيًا لكل شيء ، حتى بعض الأشياء التي فعلناها اليوم ، فإن تقليل استخدامك للمكونات الإضافية وتثبيتات السمات سيساعد بالتأكيد في حماية موقع الويب الخاص بك من الأخطاء التي يمكن استغلالها بسهولة والتي قد يجدها المتسللون حتى بعد سنوات خط. إذا كان ذلك ممكنًا ، فقم بتثبيت السمة الافتراضية والموضوع الذي تستخدمه فقط ، وأقل عدد ممكن من المكونات الإضافية لتشغيل موقعك.
تذكر أنه كلما زاد عدد المستخدمين الذين لديهم مكون إضافي أو سمة مثبتة ، كلما كان الهدف أكثر جاذبية للمتسللين للعثور على ثغرة.
عمليات النسخ الاحتياطي للعلاج وراحة البال
الخطوة الأخيرة في حماية الحلول الوسط التي لا رجعة فيها هي الاحتفاظ بنسخ احتياطية آمنة. إذا كان هناك إعلان عن خطأ موجود في مكون إضافي أو WordPress ، فقد تتمكن من العودة إلى تثبيت أكثر أمانًا أو ببساطة إزالة الملفات المتأثرة من موقع الويب المباشر.
إذا كان الاستغلال خطيرًا بدرجة كافية ، فقد ترغب في الحصول على تثبيت جديد لـ WordPress واستيراد مشاركاتك إلى التثبيت الجديد والآمن.
في حين أن هناك مليون طريقة لإجراء نسخ احتياطي لبياناتك ، سنعرض لك أبسط أشكال النسخ الاحتياطي لملفات WordPress باستخدام أداة التصدير المدمجة.
هذه الأداة موجودة في Tools > Export في لوحة معلومات WordPress.
من هنا ، يمكنك تصدير المنشورات أو الصفحات أو ملفات الوسائط أو كل المحتوى يدويًا.
لن يقوم هذا بعمل نسخة احتياطية من القالب أو المكونات الإضافية بأي حال ، ولن يقوم بعمل نسخة احتياطية من أي ملفات معدلة مثل صفحة custom_login.php الخاصة بنا. ومع ذلك ، في حالة وقوع كارثة ، سيكون لديك نسخ احتياطية آمنة لجميع منشوراتك وصفحاتك ليتم استيرادها بسهولة إلى تثبيت جديد.
تشمل الطرق البديلة لعمل نسخة احتياطية من ملفاتك تصدير قاعدة بيانات SQL ككل. ولكن بمجرد اختراقها ، من الصعب تحديد الملفات والبيانات التي تتعرض لخطر وجود باب خلفي طويل الأجل. إذا تم اختراق تثبيت WordPress الخاص بك ، فمن الأفضل البدء من جديد بتثبيت جديد بأقل قدر ممكن من الملفات المتبقية.
الأمن: مهمة لا تنتهي أبدًا
بينما لا يلامس هذا الدليل سوى سطح الأمان ، فهذه بعض من أكثر الطرق فعالية لمنع الاختراق التام لـ WordPress. هذه هي ناقلات الهجوم الأكثر استخدامًا من قبل المتسللين ، وسيؤمن تأمين هذه الأنظمة موقعك من الهجمات الأكثر شيوعًا والآلية التي يتم تشغيلها ضد تثبيتات WordPress في جميع أنحاء العالم.
اسم مستخدم وكلمة مرور قويان لا يمكن تخمينهما بسهولة ، وصفحة تسجيل دخول مخصصة ، ومكونات إضافية وسمات وتركيبات أساسية محدثة ستقطع شوطًا طويلاً في تأمين الخادم الخاص بك. قم بدمج ذلك مع النسخ الاحتياطية القوية وتقليل أدوات الطرف الثالث ، وسيكون لدى المتسللين متجهات أقل بكثير لاستغلالها ضد تثبيت WordPress الخاص بك.
سيؤدي الجمع بين ممارسات WordPress القوية وممارسات أمان الخادم القوية مثل التشفير والجدران النارية واكتشاف الأنشطة الضارة إلى الحفاظ على موقع الويب الخاص بك آمنًا ومكانًا آمنًا على الويب!
