كيفية حماية موقع WordPress من المتسللين


WordPress هدف متكرر للقرصنة. يستهدف المتسللون القالب وملفات WordPress الأساسية والمكونات الإضافية وحتى صفحة تسجيل الدخول. فيما يلي الخطوات التي يجب اتخاذها لتقليل احتمالية تعرضه للاختراق ولتتمكن من التعافي بسهولة أكبر إذا استمر حدوثه.

كيف يهاجم قراصنة WordPress

يتعرض كل موقع على الويب لهجوم مستمر ، سواء كان منتدى phpBB أو موقع WordPress ، يتم التحقيق في كل موقع بواسطة المتسللين. ليس من غير المعتاد أن يقوم المتسلل بمسح آلاف الصفحات أو محاولة تسجيل الدخول مئات المرات في اليوم.

وهذا مجرد مخترق. تتعرض المواقع للهجوم من قبل قراصنة متعددين في نفس الوقت.

عادة ، ليس الشخص الذي يحاول اختراقها. يستخدم المتسللون برامج آلية للزحف إلى الويب بحثًا عن نقاط ضعف معينة على موقع الويب.

تسمى هذه البرامج الآلية التي تزحف على الويب برامج الروبوت. أطلق عليها اسم روبوتات المتسللين لتمييزها عن برامج الروبوت الكاشطة (البرامج التي تحاول نسخ المحتوى).

ميلادي

أكمل القراءة أدناه

حماية موقع WordPress الخاص بك بجدار حماية

جدار الحماية هو برنامج يمنع المتسلل. في رأيي ، أفضل جدار حماية لـ WordPress هو مكون إضافي يسمى Wordfence.

ما يفعله Wordfence هو التحقق مما إذا كان سلوك زائر موقع الويب يطابق سلوك الروبوت المسيء. إذا خالف الروبوت قواعد معينة ، مثل طلب عدد كبير جدًا من صفحات الويب في وقت قصير ، فسيقوم Wordfence تلقائيًا بحظره.

تمت برمجة Wordfence أيضًا للسماح للروبوتات الشرعية مثل Google و Bing على الموقع.

هناك ميزات متقدمة تسمح للناشر بمعرفة أي الروبوتات تهاجم موقعًا ومعرفة من أين يأتي الروبوت ، مثل ما إذا كان روبوتًا سيئًا يأتي من Amazon Web Services أو Bluehost على سبيل المثال ، ثم يمنحك القدرة على حظره الروبوت من خلال عنوان IP الخاص به ، أو النطاق الكامل لعناوين IP أو حتى بواسطة وكيل المستخدم المزيف الذي يستخدمه الروبوت.

تتظاهر بعض برامج الروبوت كشخص في نظام التشغيل Windows XP. لذلك يمكنك حظر جميع الزوار باستخدام وكيل مستخدم يعرض نظام التشغيل Windows XP وإيقاف هذه الروبوتات تلقائيًا.

ميلادي

أكمل القراءة أدناه

باستخدام قاعدة ينشئها المحرر باستخدام Wordfence ، يمكنه حظر آلاف المتسللين. يعد Wordfence أداة قوية في حد ذاته ، ولكن بعض الميزات المتقدمة تسمح له بحظر المزيد من المتسللين. وذلك مع الإصدار المجاني من Wordfence.

يمكن للنسخة المدفوعة حظر بلدان بأكملها. لذلك إذا لم يكن لديك زوار شرعيون للموقع من بلدان معينة ، فيمكنك حظر جميع الزوار القادمين من تلك البلدان.

أيضًا ، ستحميك النسخة المدفوعة من Wordfence مسبقًا من العديد من القوالب والمكونات الإضافية المخترقة قبل إصلاح هذه المكونات الإضافية.

بمجرد أن يدرك باحثو Wordfence وجود استغلال ، سيقومون بتحديث المستخدمين المدفوعين لحمايتهم من تلك الثغرات ، عادةً قبل وقت طويل من تصحيحات القالب المخترقة أو مطور المكونات الإضافية.

تعزيز أمن الموقع

هناك إضافة مجانية أخرى توفر طبقة إضافية من الحماية تسمى Sucuri Security. يساعد Sucuri (المملوك لـ GoDaddy) في تعزيز أمان WordPress لمنع الروبوتات الضارة من الاستفادة من أنواع معينة من الهجمات. يحتوي أيضًا على ميزة فحص البرامج الضارة التي تتحقق من جميع الملفات لمعرفة ما إذا كان قد تم العبث بها.

سينبهك Sucuri في كل مرة يسجل فيها شخص ما الدخول إلى موقعك ، مما يساعد الناشرين على تحديد ما إذا كان أحد المتطفلين يسجل الدخول. يمكن لـ Sucuri أيضًا تنبيه المحرر إذا تم تغيير الملف ، وهو أمر يفعله المتسللون.

هذه هي ميزات الإصدار المجاني من Juices:

  • “مراجعة الأنشطة الأمنية
  • مراقبة سلامة الملفات
  • فحص البرامج الضارة عن بعد
  • مراقبة القائمة السوداء
  • تعزيز الأمن الفعال
  • إجراءات الأمن بعد الاختراق
  • إشعارات الأمان “

تتضمن النسخة المدفوعة من Sucuri جدار حماية لموقع الويب.

تقييد تسجيلات الدخول إلى موقعك

يمكن لـ WordFence حظر برامج الروبوت التي تملأ أسماء المستخدمين وكلمات المرور بشكل متكرر على صفحة تسجيل الدخول إلى WordPress.

ولكن إذا كنت تريد التركيز على الحد من عمليات تسجيل الدخول هذه ، فهناك مكون إضافي يسمى Limit Reloaded Login Attempts الذي يسمح للناشرين بحظر جميع المتسللين تلقائيًا الذين يدخلون عددًا محددًا من مجموعات الأسماء وكلمات المرور الفاشلة. على سبيل المثال ، يمكنك ضبطه لمنع المتسللين بعد ثلاث محاولات لتخمين كلمة المرور.

هذه هي خصائص مانع تسجيل الدخول:

ميلادي

أكمل القراءة أدناه

  • “حدد عدد المحاولات عند تسجيل الدخول (لكل عنوان IP). هذا قابل للتخصيص بالكامل.
  • لإعلام المستخدم بإعادة المحاولة المتبقية أو تعليق الوقت على صفحة تسجيل الدخول.
  • تسجيل اختياري وإشعار اختياري بالبريد الإلكتروني.
  • من الممكن إدراج أسماء IP وأسماء المستخدمين في القائمة البيضاء / السوداء.
  • دعم جدار حماية موقع العصائر.
  • حماية بوابة XMLRPC.
  • حماية صفحة تسجيل الدخول إلى Woocommerce.
  • دعم متعدد المواقع مع تكوينات MU إضافية.
  • الامتثال للقانون العام لحماية البيانات (GDPR). مع تمكين هذه الميزة ، يتم إخفاء جميع عناوين IP المسجلة (تجزئة md5).
  • دعم مصادر IP المخصصة (Cloudflare ، Juices ، إلخ.) “

يوفر المكون الإضافي Limit Login Reloaded طريقة سريعة لإغلاق روبوتات القراصنة التي تحاول تخمين كلمة مرور.

قم بعمل نسخة احتياطية من موقع WordPress الخاص بك

من المهم إنشاء نسخة احتياطية يومية لموقعك تلقائيًا. يمكن استعادة أي حدث كارثي يؤدي إلى انهيار الموقع بنسخة احتياطية.

هناك العديد من حلول النسخ الاحتياطي ، ولكن الحل الذي أجده مفيدًا للغاية يسمى UpdraftPlus WordPress Backup Plugin. موثوق به من قبل أكثر من مليوني مستخدم ، يعد UpdraftPlus خيارًا مدروسًا جيدًا.

يمكن تهيئته لإرسال نسخ احتياطية عبر البريد الإلكتروني كل يوم أو إرسالها إلى موقع تخزين سحابي مثل Dropbox.

بمجرد أن أزلت عن طريق الخطأ جميع ملفات تصميم القوالب من أحد المواقع ، قمت بإزالة مظهر الموقع تمامًا. لكنني تمكنت من استعادة الموقع تمامًا كما كان قبل استخدام نسخة احتياطية من UpdraftPlus. كان من السهل القيام بذلك وكنت ممتنًا جدًا.

ميلادي

أكمل القراءة أدناه

قم بتحديث جميع القوالب والإضافات

من المهم دائمًا تحديث جميع القوالب والإضافات. يوفر WordPress طريقة لتحديث جميع المكونات الإضافية تلقائيًا ، وهو أمر مناسب للناشرين أو الشركات الذين لا يسجلون الدخول ويقومون بالتحديث بشكل متكرر.

من خلال تمكين ميزة التحديث التلقائي ، يمكن للناشر التأكد من امتلاكه لأحدث البرامج. يعد وجود مكون إضافي قديم أحد الأسباب الرئيسية للقرصنة.

لقطة شاشة لميزة التحديث التلقائي لـ WordPress

توجد أسباب لعدم تمكين ميزة التحديث التلقائي ، ولكن نادرًا ما تحدث السلبيات. على سبيل المثال ، قد يكون المكون الإضافي المحدث غير متوافق مع المكونات الإضافية الأخرى.

ميلادي

أكمل القراءة أدناه

ولكن بالنسبة للمواقع التي لا تتغير بشكل متكرر ، فمن الأفضل تمكين ميزة التحديث التلقائي.

احذر من المكونات الإضافية المهجورة

تحذير أخير حول المكونات الإضافية المهجورة. يمكن أن تستمر بعض الوظائف الإضافية في العمل لسنوات بعد أن تخلى عنها المطور. ما يمكن أن يحدث هو أن هذه المكونات الإضافية القديمة قد تحتوي على ثغرة أمنية. ولكن نظرًا للتخلي عنهم ، فلن يتم إصلاحه أبدًا.

مشكلة أخرى هي أن المتسللين يشترون أحيانًا المكونات الإضافية القديمة ويحدثونها بالبرامج الضارة والفيروسات.

تحقق من جميع مكونات WordPress الإضافية الخاصة بك للتأكد من عدم التخلي عنها ويبدو أنها يتم تحديثها كثيرًا.

حماية موقع WordPress الخاص بك من المتسللين

بالنسبة للعديد من المواقع ، فإن اتباع هذه الخطوات الصغيرة ببساطة لتأمين موقع ويب يكفي لمنع اختراق المواقع. توفر الإصدارات المجانية من هذه الوظائف الإضافية قدرًا غير عادي من الحماية وتوفر الإصدارات المتميزة مزيدًا من الحماية.

هناك العديد من المكونات الإضافية لنوع الأمان وبعضها يحتوي على نقاط ضعف. يعد Wordfence و Sucuri ، في رأيي ، أفضل الخيارات لأمان WordPress.

ميلادي

أكمل القراءة أدناه

يقتبس

أمان WordFence
https://wordpress.org/plugins/wordfence/

عصائر السلامة
https://wordpress.org/plugins/sucuri-scanner/

الحد من إعادة تحميل محاولات تسجيل الدخول
https://wordpress.org/plugins/limit-login-attempts-reloaded/

أوبدرافت بلس
https://wordpress.org/plugins/updraftplus/



Related Posts

اترك رد