قد يكون هناك الكثير من أنظمة إدارة المحتوى ، ولكن لا يمكن لأي منها أن يحمل شمعة إلى WordPress. مع أكثر من 51.6 مليون موقع اعتبارًا من مارس 2020 (ويزداد كل يوم) يمنحك فكرة عن مدى تفوق هذا النظام وحبه. أمان WordPress ونصائح قابلة للتنفيذ لمنع اختراق WordPress على الرغم من ذلك - لا يزال لدى CMS طريقة للذهاب عندما يتعلق الأمر بالأمان.
ومع ذلك ، نريد مساعدتك في تأمين موقع الويب الخاص بك من البداية - الوقاية أفضل من العلاج ، لذا تأكد من تنفيذ هذه النصائح ، في هذا ، أحد دروس WordPress العديدة - TODAY.
ومع ذلك ، فإن هذه الملايين من المواقع تواجه أيضًا هجمات خطيرة من أطفال البرامج النصية الذين ليس لديهم علاقة أفضل بوقتهم ولكنهم ينشرون البؤس على نطاق واسع ، وآخرون لأسباب أكثر شناعة وخبيثة ، الجهات المظلمة على الويب: المتسللون.
من الشائع جدًا أن تستيقظ في صباح أحد الأيام لتجد موقع الويب الخاص بك الذي كان يومًا جميلًا يشمّع شعريًا مليئًا بالروابط والنصوص حول حبوب تكبير الأعشاب ، أو غيرها من الأدوية المخادعة أو سبب آخر في الشرق الأوسط.
ربما يكون الصراخ غير المترابط هو الإجراء الأول الذي ستتخذه عندما يستضيف موقعك إعلانات بصفحات كاملة وروابط وعمليات إعادة توجيه إلى جوانب أكثر ظلمًا لشركات "الأدوية".
إذا كان هذا السيناريو يرعبك ، فمن المبرر أن تشعر بهذه الطريقة.
يتم اختراق 90,000 ألف موقع كل يوم
المصدر: HostingFacts
يريد الجميع منع اختراق ووردبريس. لأن استعادة موقع ويب واستعادته قد يستغرق بعض الوقت والجهد الجاد.
لذا ، عزز موقع الويب الخاص بك باستخدام أفضل ممارسات أمان WordPress هذه ، لمنع هذا المصير الرهيب من الحدوث لك! ونعم ، سوف يستغرق الأمر بعض الوقت والجهد المستمر لتجنب هجمات القرصنة.
لا تحب أن تتسخ يديك بالكود؟ يحاول iThemes security ودعه يقوم بالعمل القذر. انقر فوق هذا الرابط للحصول على خصم 25% حتى يونيو 2024.
إذا كنت لا ترغب في المرور بالكثير من العبث في الملفات ، وتمكين المكونات الإضافية المختلفة ، والكثير من الأشياء الأخرى التي لا تفهمها حقًا - فلدينا أيضًا الطريق السهل لك. iThemes Security هو أفضل مكون إضافي لأمن WP لتأمين وحماية موقع الويب الخاص بك.
لست مهتمًا بمكونات WP الإضافية حتى الآن؟ واصل القراءة!
سنعمل على بعض أعمال التعليمات البرمجية ، ولكن أولاً ، دعنا نعتني بأساسيات مشكلات أمان موقع الويب. بدءا من:
17 خطوات أمان ووردبريس
1. يبدأ منع اختراق ووردبريس بمحطة العمل الخاصة بك
هذا هو الأول والأكثر سهولة في التغاضي عنه: جهاز الكمبيوتر الخاص بك.
يجب أن تحافظ دائمًا على نظامك خاليًا من البرامج الضارة والفيروسات ، خاصةً إذا كنت تستخدمه للوصول إلى الإنترنت (وهو أنت بالطبع). تعد حماية محطة العمل أكثر أهمية عند إجراء معاملات ولديك موقع ويب بسبب ذلك كل ما يتطلبه الأمر هو برنامج keylogger للتخلص من أكثر المواقع صلابة.
سيقرأ برنامج keylogger جميع أسماء المستخدمين وكلمات المرور الخاصة بك ويرسلها إلى المتسللين - وهو ما سيؤدي بالطبع إلى إنشاء مجموعة كاملة من المشكلات والمشكلات لموقع الويب الخاص بك.
ابق آمنًا و قم بانتظام بتحديث نظام التشغيل والبرامج والمتصفحات على جهاز الكمبيوتر الخاص بك. استخدم خدمة جيدة لمكافحة الفيروسات. ابقَ بعيدًا عن أي ثغرة أمنية على نظامك وقم بإزالتها قبل أن يصبح ألمًا كبيرًا. إذا بدأ جهاز الكمبيوتر الخاص بك في التصرف بشكل غريب ، وظهر إعلانات وأشياء أخرى مخادعة ، فقد ترغب في التحقق من ذلك قبل الوصول إلى موقع الويب الخاص بك
2. قم بتثبيت جميع تحديثات WordPress
في كل مرة يتم فيها إصدار نسخة جديدة من WordPress ، فإنها تفعل ذلك وسط ضجة كبيرة وفي خضم موجة من الإثارة.
معظمنا متحمس ، لأنه ميزات جديدة! المتسللون متحمسون لأنهم سيذهبون على الفور للتحقق من ملاحظات إصدار الأمان والصيانة. لسوء الحظ ، كل WordPress يأتي التحديث جنبًا إلى جنب مع الكشف عن عدد من الثغرات الأمنية في WordPress في الإصدارات القديمة.
مع كل تحديث جديد لـ WordPress ، نحصل على ميزات وترقيات إضافية ، إلى جانب صفحة تسرد العيوب الأمنية في الإصدار السابق وإصلاحاتها.
هذه الصفحة هي عمليا ورقة غش للمتسللين في كل مكان. إذا فشلت في التحديث في الوقت المناسب ، فسيتم استغلال هذه العيوب للاستيلاء على المواقع على الإصدارات القديمة (ويمكن أن يكون موقعك من بين هذه المواقع إذا لم تقم بالتحديث).
وإذا تعرض موقعك للاختراق ، لسوء الحظ ، سيكون الوقت قد فات للعثور على أعذار لعدم التحديث إلى أحدث إصدار.
لذلك لا تمنح المتسللين فرصة للتلصص. قم بتثبيت أحدث إصدار من WordPress بمجرد إصداره.
إذا كنت تخشى أن يؤدي ذلك إلى تعطل موقع الويب الخاص بك ، فتأكد من أن لديك نسخة احتياطية صالحة للعمل قبل التحديث. ستحل النسخة المحدثة أي مشكلات أمنية كانت موجودة في الإصدار السابق - وتقطع شوطًا طويلاً جدًا لمنع اختراق WordPress.
هل تريد أن يتم تحديث موقع الويب الخاص بك تلقائيًا؟ تحقق من InMotion VPS لاستضافتك - لديهم ميزات ممتازة خاصة بـ WordPress حتى تتمكن من تحديث موقعك تلقائيًا بمجرد خروجهم. نحن على InMotion VPS ، ونحبها!
3. تأكد من أن خادم الاستضافة الخاص بك آمن
هل تعلم أنه بحلول عام 2019 ، ما يقرب من 54٪ من مواقع الويب لا تزال تستخدم PHP 5.x - نسخة من PHP انتهت صلاحيتها وبالتالي لا تتلقى أي تحديثات أمنية. هذا يعني أن أي مواقع تعمل على PHP 5.4 معرضة للاختراق من خلال نقاط ضعف برنامج الخادم. (المصدر تقرير موقع Sucuri Hacked 2019)
حتى الإصدار 7.1 من PHP انتهى عمره اعتبارًا من 1 ديسمبر 2019. لم تعد الإصدارات القديمة من مثل هذه البرامج مدعومة ولديها نقاط ضعف لم يتم تصحيحها!
هذه الإصدارات القديمة من البرامج عرضة للاختراق.
إذا كنت على علم بأن موقع الويب الخاص بك يستضيف PHP 5 أو ربما PHP حتى 7.1 ، اطلب من مضيفك التحقق مما إذا كان يمكن نقل موقعك إلى إصدار أحدث من PHP.
ليس هذا فقط ، ولكن تتم استضافة غالبية مواقع الويب / المدونات على خوادم مشتركة. في الأساس ، إذا أصيب موقع واحد على خادم مشترك ، كل موقع آخر في خطر، تحيةless عن مدى أمان الموقع / المدونة بخلاف ذلك.
سوف تتعرض للاختراق دون أي خطأ من جانبك.
تمرين الفكر: هل سبق لك أن دخلت مطبخ الحساء؟ هل يمكنك أن تتخيل واحدة وتتخيل ماذا يحدث هناك؟ إذا كنت من هؤلاء المحظوظين بما يكفي للهروب من هذه المهزلة ، فسأعطيك ذواقًا (يقصد التورية). فكر في كل ما حدث منذ ظهور المطبخ ، من الانسكابات والانكسارات والتسريبات والبقع. في خادم مطبخ الحساء ، هذه الأشياء لا تختفي أبدًا. يصبحون جزءًا من المطبخ.
الآن تخيل نفس الشيء يحدث لموقعك. خادم استضافة من شركة تتخطى الصيانة ولا تقوم بالتحديث إلى أحدث إصدارات البرامج قد تحول بالفعل إلى مطبخ للفقراء.
علاوة على ذلك ، إذا كنت تستضيف أنت أو مشرف موقعك عدة مواقع ويب معًا ، فإن الملفات والبيانات والمواقع غير المستخدمة والمزيد تتراكم حتى تصبح تهديدًا للمواقع الحالية.
لذا اختر ملفًا موثوقًا به و تأمين مضيف.
تقلل VPS والاستضافة المُدارة من فرص حدوث انتهاكات وهي ممتازة لمواقع التجارة الإلكترونية. إذا كانت الاستضافة المشتركة كافية بالنسبة لك ، فتحقق من أمانها قبل الاشتراك للحصول على مساحة عليها.
تأكد من التحقق من أنهم يحتفظون بخوادمهم يتم صيانتها بانتظام وكذلك التحديث إلى أحدث إصدارات البرامج. هذه خطوة أخرى يجب أن تكون في قائمة أولوياتك إذا كنت تريد منع اختراق WordPress.
4. استخدم عمليات النقل الآمنة لمنع اعتراض كلمات المرور والبيانات
عبر اتصال غير آمن ، يمكن اعتراض البيانات ويمكن اختراقك قبل أن تتمكن من قول "غير مشفر".
هذا هو السبب في أنك يجب أن تركز على اتصالات الشبكة الآمنة والتشفير: من جانب الخادم ومن جانب العميل وجميع الجوانب. ابحث عن مضيف يسمح بتشفير SFTP / SSH لحماية بياناتك ومعلوماتك من الاعتراضات الضارة.
يجب أن يحتوي موقعك أيضًا على ملف تم تثبيت شهادة آمنة وقم بالإعداد بحيث يتم إرسال بيانات الاعتماد الخاصة بك بشكل آمن عند تسجيل الدخول.
5. منع القرصنة من خلال كلمات المرور المعقدة
نصيحة أساسية: أنشئ كلمة مرور قوية ولا تعيد استخدام كلمات المرور مطلقًا
تتحدث خطوتنا التالية حول كيفية حماية WordPress من المتسللين عن موضوع مبتذل كثيرًا: كلمات المرور.
يعتقد عدد مذهل من الناس أن كلمات المرور الطويلة والمعقدة مبالغ فيها ويفضلون شيئًا أقصر وأسهل في التذكر ؛ حقيقة يعرفها المتسللون ويستغلونها.
لا توجد طريقة أخرى لوضع هذا: كلمة مرور قوية جيدة تتكون من أحرف وأرقام وأي أحرف صالحة أخرى سوف تقطع شوطًا طويلاً في حماية مدونتك.
يمكن أن يعمل هجوم القوة الغاشمة على كلمة مرور قصيرة باستخدام كلمة بسيطة (على سبيل المثال كلمة رئيسية في القاموس أو كلمة مرور مشتركة سهلة) ، نعم. ولكن كلما زاد عدد الأحرف الموجودة في كلمة مرورك ، كلما طالت مدة كسرها.
يستغرق اختراق كلمات المرور الطويلة المعقدة وقتًا أطول بشكل كبير.
ما تحاول القيام به هو كسر الأنماط المعروفة لجعل القرصنة صعبة ، إن لم تكن مستحيلة.
أي تفاصيل شخصية أو كلمات مرور تستند إليها (مثل أعياد الميلاد أو أسماء الأشخاص) ، سيكون من السهل اختراقها. لا تستخدم كلمات مفردة (فيما يتعلقless الطول) ، أو كلمات المرور للأحرف فقط أو للأرقام فقط.
قم بإنشاء كلمة مرور يسهل تذكرها ولكن يصعب تخمينها لمنع اختراق WordPress - إذا كانت مدونتك تتعلق بالأمان ، فاجعلها شيئًا مثل pressmyWORDSand5ecurit! $
6. حافظ على قواعد البيانات الخاصة بك آمنة ومعزولة
تعرف قاعدة البيانات الخاصة بك كل ما حدث على موقعك. إنه مصدر حقيقي للمعلومات وهذا يجعله لا يقاوم المتسللين.
يمكن تشغيل الأكواد الآلية لحقن SQL لاختراق قاعدة بيانات موقع الويب الخاص بك بسهولة نسبية. إذا كنت تقوم بتشغيل مواقع / مدونات متعددة من خادم واحد (وقاعدة بيانات) ، فإن جميع مواقعك معرضة للخطر.
كما يقول مصدر الشفرة ، من الأفضل استخدام قواعد البيانات الفردية لكل مدونة / موقع ومنحها ليتم إدارتها بواسطة مستخدمين منفصلين. بعبارات بسيطة ، يجب أن يكون لكل موقع ويب تستضيف قاعدة بياناته الخاصة ومستخدم قاعدة البيانات الخاص به.
يجب أن يكون لمستخدم قاعدة البيانات هذا فقط حق الوصول إلى قاعدة البيانات.
بامكانك ايضا إبطال جميع امتيازات قاعدة البيانات باستثناء قراءة البيانات و كتابة البيانات من المستخدمين الذين سيعملون فقط على نشر / تحميل البيانات وتثبيت المكونات الإضافية.
لا ينصح ، رغم ذلك ، بسبب تغيير المخطط الامتيازات المطلوبة في التحديثات الرئيسية.
يجب عليك أيضًا إعادة تسمية قاعدة البيانات الخاصة بك (عن طريق تغيير بادئتها) لتضليل المتسللين الذين يستهدفون هجماتهم عليها. على الرغم من أن هذا لا يمنع اختراق WordPress بحد ذاته ، إلا أنه يتأكد من أنه إذا تم اختراق أي قواعد بيانات ، فلن يتمكن المتسللون من الانتقال إلى تثبيت WordPress التالي.
7. إخفاء تسجيل الدخول إلى موقع الويب الخاص بك واسم المسؤول
التالي حول كيفية تأمين WordPress من المتسللين يتعلق بمسؤول WordPress.
ترك الإعدادات الافتراضية لـ WordPress كما هي عمليًا يسأل عن المتاعب.
من السهل جدًا العثور على اسم مسؤول موقعك إذا لم تخفيه بشكل نشط.
كل ما يحتاجه الهاكر هو أن يضيف ؟ المؤلف = 1 بعد عنوان URL الخاص بك ومن المرجح أن يكون الشخص / العضو الذي يظهر هو المسؤول. تخيل مدى سهولة استخدام المتسللين للقوة الغاشمة بمجرد العثور على اسم مستخدم المسؤول.
كيف يمكنك منع القرصنة إذا تركت الكثير من المعلومات المتاحة ، وجعل الاستغلال أسهل؟
حل لردع الاختراقات في WordPress: قم بإخفاء جميع أسماء المستخدمين التي تحتوي على هذا الرمز في ملف function.php:
add_action ('template_redirect'، 'bwp_template_redirect') ؛
الوظيفة bwp_template_redirect ()
{
إذا (is_author ())
{
wp_redirect (home_url ()) ؛ خروج؛
}
}
من السهل أيضًا الوصول إلى صفحة تسجيل الدخول الخاصة بك ، وليس من أجلك فقط. إذا قمت ببساطة بإضافة wp-admin أو wp-login.php بعد عنوان URL لصفحتك الرئيسية ، فاملأ اسم المستخدم الذي تعلمناه من؟ author = 1 ، كل ما تبقى هو القليل من الإجبار الغاشم أو التخمين حتى يتم كسر كلمة المرور.
استخدم تقنية "الأمان من خلال التعتيم" وقم بتغيير عنوان URL لصفحة تسجيل الدخول الخاصة بك لجعل مهمة المتسللين أكثر صعوبة.
المكونات الإضافية للأمان مثل iThemes Security لديك إعداد إخفاء تسجيل الدخول الذي سيزيل سهولة الوصول إلى تسجيل الدخول إلى WordPress.
مرة أخرى ، سيؤدي القيام بهذه الخطوة البسيطة إلى قطع شوط طويل جدًا في منع اختراق WordPress.
ألست متأكدًا مما إذا كان بإمكانك التعامل مع كل هذا؟
بحاجة لبعض المساعدة؟ القي نظرة على iThemes Security Pro - مكون إضافي واحد وموقع الويب الخاص بك آمن. مضمون. انقر فوق الروابط أدناه لزيارة الموقع.
8. منع القرصنة من خلال المكونات الإضافية والحيل الأمنية لـ WordPress لحماية wp-admin
يعد wp-admin الجزء الأكثر أهمية في تثبيت WordPress الخاص بك - الجزء الأكثر "قوة".
لسوء الحظ ، فإن صفحة تسجيل الدخول ودليل المسؤول متاحان للجميع: بما في ذلك أولئك الذين لديهم نوايا ضارة. لحمايته وإيقاف هجمات القرصنة ، ستحتاج إلى العمل بجهد أكبر.
iThemes Security
كلمة مرور قوية ، حساب مسؤول مختلف (باسم مستخدم مختلف عن 'مشرف')، واستخدام iThemes Security البرنامج المساعد لإعادة تسمية روابط تسجيل الدخول الخاصة بك سيساعد بالتأكيد على منع القرصنة.
إتمام عملية الشراء iThemes Security
Malcare
يمكنك أيضًا تقوية الحراسة حول المسؤول باستخدام المكونات الإضافية لأمان موقع الويب مثل Malcare.
هذه الخدمة المصنفة من فئة 5 نجوم هي خدمة اكتشفناها مؤخرًا إلى حد ما.
تم تطوير Malcare بواسطة الفريق الذي خلفه Blogvault ، الذي استخدمناه بالفعل ووجدناه رائعًا.
يقدم أحدث عروضهم خدمة أمان وإدارة مواقع الويب كاملة. إنه يوفر للموظفين مثل فحص الملفات بحثًا عن التغييرات الأساسية (لاكتشاف الاختراقات) ، والتنظيف في حالات الطوارئ ، وجدار حماية مدمج لإيقاف حركة المرور الضارة ، وتحديث السمات والمكونات الإضافية مباشرة من لوحة القيادة والنسخ الاحتياطية بنقرة واحدة.
أفضل ما في هذا هو أنه يمكنك إدارة جميع مواقعك من لوحة تحكم واحدة ، دون الحاجة إلى تسجيل الدخول إلى كل موقع على حدة.
Limit Login Attempts إعادة تحميل
مع القليل من التعليمات البرمجية المقترنة بمحاولات تسجيل دخول غير محدودة ، فإن أي مخترق سوف يقوم في النهاية بالاختراق.
يمكنك تقييد عدد محاولات تسجيل الدخول التي يُسمح لأي مستخدم واحد بتنفيذها في صفحة تسجيل دخول المسؤول باستخدام Limit Login Attempts إعادة تحميل البرنامج المساعد. سيحد من عدد محاولات تسجيل الدخول لكل عنوان IP ، بما في ذلك عنوانك (مع ملفات تعريف ارتباط المصادقة).
Really Simple SSL
استخدم قوة SSL الخاص لتأمين تسجيل دخول المسؤول والمنطقة والمنشورات والمزيد. باستخدام Really Simple SSL المساعد يتيح التشفير في جلسات تسجيل الدخول الخاصة بك ، مما يعني أنه من الصعب اعتراض كلمة المرور.
ستحتاج إلى الحصول على شهادة SSL وتثبيتها على خادم الاستضافة الخاص بك. تقدم InMotion شهادات SSL مجانًا على خطط الاستضافة الخاصة بهم - لذلك إذا لم تكن قد حان الوقت للتحول إلى InMotion للحصول على SSL أيضًا.
بمجرد أن تؤكد مع مزود الاستضافة أن لديك SSL مشترك ، يمكنك تنشيط المكون الإضافي.
إذا كنت تفضل عدم استخدام مكون إضافي ولكنك تريد فرض SSL عند تسجيل الدخول فقط ، فأضف هذا الرمز إلى ملف wp-config.php:
تعريف ('FORCE_SSL_ADMIN' ، صحيح) ؛
برنامج Acunetix Secure WordPress
هذه المساعد هو حل أمان رائع بشكل عام ، ولكن بعض الميزات الرئيسية تجعله أفضل.
بادئ ذي بدء ، يقوم بإجراء فحص أمان موقع الويب. كما أنه يولي اهتمامًا وثيقًا للتدابير الوقائية ، لذا فأنت في الواقع تمنع حدوث قرصنة WordPress في المقام الأول. لحماية منطقة المسؤول ، ستزيل معلومات الخطأ من صفحة تسجيل الدخول.
قد لا يبدو هذا كثيرًا ، لكن رسالة الخطأ تساعد المتسللين في الواقع على معرفة ما إذا كانوا قد فهموا أي شيء بشكل صحيح. إزالة الرسالة (تلميح) يسلب هذه الميزة.
إذا كنت ترغب في تجنب القرصنة ، فاحصل على بعض هذه المكونات الإضافية على الأقل.
أهم تلميح: تتضمن بقية المقالة نصائح متقدمة حول أمان موقع الويب
تتطلب بقية النصائح إصلاح تثبيت WordPress الخاص بك ، والذي يجلب معه بعض المخاطر. إذا كنت تفضل عدم العبث بالتثبيت ، فقد ترغب في ذلك توظيف مطور WordPress لمساعدتك.
9. كيفية تأمين WP من خلال wp-include
دعنا نصحح هذا الأمر: WP-يشمل المجلد هو جزء أساسي من WordPress. يجب أن تتركها وحدها ، حتى من قبلك. ولا ينبغي بأي حال تركها في متناول المتسللين المحتملين.
لمنع أي أشخاص / روبوتات ضارة من إرسال نصوص غير مرغوب فيها مباشرة إلى قلب موقع الويب الخاص بك لمنع هجمات القرصنة.
أضف هذا من قبل # ابدأ وورد في ملف htaccess الخاص بك:
# حظر ملفات التضمين فقط.
ريوريتينجين تشغيل
RewriteBase /
إعادة كتابة القاعدة ^ wp-admin / include / - [F، L]
أعد كتابة القاعدة! ^ wp-include / - [S = 3]
RewriteRule ^ wp-include / [^ /] + \. php $ - [F، L]
أعد كتابة القاعدة ^ wp-include / js / tinymce / langs /.+ \. php - [F، L]
إعادة كتابة القاعدة ^ wp-include / theme-plans / - [F، L]
# BEGIN وورد
لاحظ أنه سيتعين عليك القيام بذلك حذف قاعدة إعادة الكتابة الثالثة إذا كنت تريد أن يعمل الرمز على مواقع متعددة.
10. حماية ملف wp-config لتحسين أمان موقع الويب
هذه واحدة من القضايا المثيرة للجدل بعض الشيء. لا يتفق الجميع مع هذا.
سواء قمت بالفعل بنقل ملف wp-config.php خارج المجلد الجذر أم لا ، فليس هناك من ينكر أن القليل من التغيير والتبديل في التعليمات البرمجية في هذا الملف يمكن أن يساعد في تقوية موقع الويب الخاص بك ويجعل من الصعب تنفيذ عمليات اختراق WordPress.
ألست متأكدًا مما إذا كان بإمكانك التعامل مع كل هذه الأشياء التقنية؟ هناك واحد المكون الإضافي للأمان للحكم عليهم جميعًا.
- تبدأ تعطيل تحرير ملفات PHP من لوحة القيادة، حيث سيركز المهاجم بعد الاختراق عبر نقطة وصول. أضف هذا إلى ملف wp-config.php
تعريف ('DISALLOW_FILE_EDIT' ، صحيح) ؛
- يتم وضع $ table_prefix قبل كل جداول قاعدة البيانات الخاصة بك. يمكنك منع الهجمات القائمة على حقن SQL عن طريق تغيير قيمتها من القيمة الافتراضية wp_. كن حذرًا إذا قمت بذلك ، فستحتاج إلى إعادة تسمية أي جدول موجود بالبادئة الجديدة التي قمت بتعيينها.
table_prefix $ = 'r235_' ؛
- انقل دليل محتوى wp من موقعه الافتراضي مع هذا
تعريف ('WP_CONTENT_DIR'، $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content') ؛
حدد ('WP_CONTENT_URL'، 'https: // example / blog / wp-content') ؛
تعريف ('WP_PLUGIN_DIR'، $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content / plugins') ؛
تعريف ('WP_PLUGIN_URL'، 'https: // example / blog / wp-content / plugins') ؛
الآن إذا لم تكن المطور، ليس لديك استخدام كبير لسجلات الأخطاء. يمكنك منع الوصول إليهم باستخدام هذا:
تقرير الخطأ = 4339
display_errors = إيقاف
display_startup_errors = متوقفة
log_errors = تشغيل
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = تشغيل
ignore_repeated_source = إيقاف التشغيل
html_errors = إيقاف
11. النسخ الاحتياطي لموقع الويب الخاص بك (فقط في حالة)
هذه هي شبكة الأمان. يعد النسخ الاحتياطي أحد الأشياء الأولى التي ستحتاجها لاستعادة موقعك إذا تعرضت للاختراق.
قم بعمل نسخة احتياطية من موقعك على الأقل كلما قمت بإجراء الصيانة أو تحديثه. ليس هناك أي عذر للتراخي في هذا القسم ، ليس عندما تكون هناك بعض خدمات النسخ الاحتياطي والمكونات الإضافية الممتازة التي ستقوم بتشغيل النسخ الاحتياطية التلقائية نيابة عنك. تتضمن بعض اقتراحات المكونات الإضافية ما يلي:
- VaultPress,
- أوبدرافت بلس ،
- WP-DB- النسخ الاحتياطي,
- BackupBuddy ،
- وما إلى ذلك.
اقتراحات للقراءة: Native vs plugin - نسخة احتياطية من WordPress باستخدام طرق مختلفة
قم بإنشاء جدول واترك المكون الإضافي يقوم بالباقي.
تأتي بعض هذه المكونات الإضافية مع خيارات استعادة سهلة. تحقق للتأكد من أن المكون الإضافي يقوم بعمل نسخة احتياطية من الموقع بالكامل ، بما في ذلك جميع قواعد البيانات والأدلة. على الرغم من أن هذا لا يمنع اختراق WordPress ، إلا أنه يمنحك راحة البال لاستعادة موقعك إذا حدث ما لا يمكن تصوره.
12. استخدم المصادر الموثوقة للتنزيل فقط
إذا كنت تعمل بميزانية محدودة (وحتى إذا لم تكن كذلك) ، فقد يغريك خيار الحصول على جميع ميزات ووظائف المكونات الإضافية / السمات المميزة مجانًا: الإضافات المقرصنة أو المتصدعة.
لا يمكنك التفوق على المتسلل إذا كنت تقوم بتنزيل أشياء مميزة من مصادر سيئة السمعة أو غير مصرح بها - سيعودون لعضّك. إنها سيئة السمعة لأنها ستملأ الإضافات / السمات الشرعية "المتميزة" ببرامج ضارة وتتيح لك القيام بالباقي.
ستحتوي المكونات الإضافية أو السمات المتصدعة على أبواب خلفية مخفية ، مما يسمح لهم بالتحكم في موقعك كما يحلو لهم. سيكون استخدام مثل هذا التنزيل هو كل ما يحتاجون إليه لتحويل مظهر علامتك التجارية عبر الإنترنت إلى ملصق عملاق لحبوب التوسيع - أو الأسوأ من ذلك ، البرامج الضارة.
سيتم إدراج موقعك بسرعة في القائمة السوداء ، حتى من محركات البحث والمتصفحات إذا كان يحتوي على برامج ضارة.
هذا تكتيك معروف وشائع جدًا للمتسللين.
تمتلئ السمات والإضافات المقرصنة بالأبواب الخلفية والبرامج الضارة. هذه واحدة من أسهل مشكلات أمان WordPress التي يجب حلها حقًا. من الأفضل البحث عن قالب موثوق به من مصدر موثوق ، مثل الذي قمنا بمراجعته هنا: موضوع أفادا
أشياء مقرصنة أو ملغاة أو متصدعة؟ لا تهتم.
أنت جيد مع دلائل السمات والمكونات الإضافية الرسمية ، لذا حاول الالتزام بها. يمكنك أيضًا الوثوق بمصادر مثل ElegantThemes، Theme Forest ، Code Canyon ، إلخ.
13. تأمين موقع الويب الخاص بك من خلال الظهور وكأنه محترف
المبتدئ أسهل في الاختراق.
على الأقل ، هذا ما يعتقده معظم المتسللين (ليس بشكل غير صحيح).
غيّر جميع الإعدادات الافتراضية: المنشورات والتعليقات وأسماء المستخدمين وأسماء الدلائل وما إلى ذلك.
يكون الأمر أسهل عندما تقوم بالإعداد.
إذا كان WordPress الخاص بك قيد التشغيل بالفعل ، فانتقل إلى الإعدادات> متفرقات (في عناصر تحكم المسؤول) لتغيير أسماء الدلائل. ستكون هذه خطوة أخرى في قيادتك لإيقاف مشكلات أمان WordPress وجعل اختراق موقعك أكثر صعوبة.
لإخفاء إصدار WordPress الذي تستخدمه ، تذكر أن تفعل ذلك حذف /wp-admin/install.php و wp-admin / Upgrade.php. خذها خطوة إلى الأمام وقم بإزالتها meta generator tag ("") من wp-content / your_theme_name / header.php. يجب عليك أيضا إزالة تفاصيل الإصدار من موجز RSS.
للقيام بذلك ، افتح ملف wp-include / general-template.php. ستجد هذا حول السطر 1860:
دالة the_generator ($ args) {
echo application_filters ('the_generator'، get_ the_generator ($ args)، $ args). "\ن"؛
}
أضف تجزئة من قبل 'صدى صوت' الأمر ويتم فرزك.
دالة the_generator ($ args) {
#echo apply_filters ('the_generator'، get_ the_generator ($ args)، $ type). "\ن"؛
}
14. يتطلب أمان WordPress الجيد أذونات ملف جيدة
القاعدة العامة هي 755 للأدلة و 644 للملفات.
على الرغم من أن هذا قد يختلف اعتمادًا على الخادم ونوع الملف المعني - في معظم الحالات ، يجب أن تعمل جيدًا مع هذه الأذونات.
سيكون من الأفضل أن تطلب من مضيفك التحقق ، أو إذا كان لديك وصول مباشر ، يمكنك القيام بذلك بنفسك.
للأدلة:
find / path / to / your / wordpress / install / -type d -exec chmod 755 {} \؛
للملفات:
find / path / to / your / wordpress / install / -type f -exec chmod 644 {} \؛
15. أمان الموقع: لا تقم أبدًا بتعيين أذونات الملف إلى 777
إذا كنت جادًا بشأن الرغبة في إيقاف متسللي WordPress - لا تقم أبدًا بتعيين إذن الملف / الدليل على 777 unless تريد منح سيطرة كاملة عليه للجميع ، بما في ذلك المتسللين.
هناك اتجاه خطير للغاية بين المبتدئين لتعيين أذونات الملف إلى 777 "لأنه سهل" أو "لأننا سنصلحها لاحقًا" أو "لأنني سأغيرها لاحقًا".
هذا هو خطير للغاية - 777 يعني أن أي شخص على الإنترنت يمكنه تغيير محتويات هذا الملف.
مع تعيين هذه الأذونات ، يكون موقع الويب الخاص بك منزلًا مفتوحًا. بمجرد وصولهم إلى ملف واحد ، كن مطمئنًا أنه من السهل جدًا الانتقال إلى ملفات أخرى أو تثبيت الأبواب الخلفية والأشياء السيئة الأخرى على موقعك.
• يحتوي مجلد ووردبريس على دليل كامل لأذونات الملفات: كيفية تغييرها والأذونات الموصى بها لبعض الملفات.
تحتاج إلى تحقيق التوازن بين تأمين موقع الويب الخاص بك والوظائف ، لذا ابدأ منخفضًا وزد الأذونات تدريجيًا حتى تحصل عليها بشكل صحيح. ستساعد أذونات الملفات الصحيحة بالتأكيد في تجنب اختراق مواقع الويب. مرة أخرى ، هذه واحدة من أسهل مشكلات أمان WordPress التي يجب منعها ، ما عليك سوى أن تكون على دراية بها.
16. اسمح بالوصول إلى WP admin وقم بتسجيل الدخول إلى IP الخاص بك فقط من خلال تصفية IP
طريقة بسيطة للغاية وأنيقة لتقييد الوصول إلى صفحة تسجيل الدخول ومنطقة الإدارة هي من خلال تصفية IP.
كل ما عليك فعله هو إضافة هذا الرمز إلى htaccess. يأتي هذا الاقتراح مع الشكر لـ Sucuri ، الذي يقدم خدمة أمان WordPress ممتازة
اطلب رفض ، اسمح
رفض من الجميع
سماح من [أضف عنوان (عناوين) IP الخاص بك هنا]
الآن هذا يعمل فقط مع عناوين IP الثابتة ، ولكن يمكنك فعل الشيء نفسه لعناوين IP الديناميكية مع هذا:
اطلب رفض ، اسمح
رفض من الجميع
سماح من [أضف اسم المجال الخاص بك هنا]
لتقييد الوصول إلى دليل wp-admin، أضف هذا إلى هتكس:
اطلب رفض ، اسمح
رفض من الجميع
سماح من [أضف عنوان (عناوين) IP الخاص بك هنا]
حسب اسم المجال:
اطلب رفض ، اسمح
رفض من الجميع
سماح من [أضف اسم المجال الخاص بك هنا]
المصدر blog.Sucuri.net
17. ملحقات الأمان لمنع اختراق ووردبريس
على الرغم من أننا لا نميل إلى الدعوة إلى استخدام العديد من المكونات الإضافية ، عندما يتعلق الأمر بـ ووردبريس الأمن الإضافات، فهناك بعض الأشياء التي قد ترغب حقًا في تثبيتها لزيادة مرونة موقعك.
- iThemes Security برو - اسمع ، العديد من الإجراءات المذكورة أعلاه فنية بعض الشيء ولا شك في ذلك. لقد حصلنا على ذلك. إذا لم تكن ميالًا تقنيًا ، فلدينا الحل المناسب لك. iThemes Security هو أفضل مكون إضافي للأمان في WordPress لتأمين موقع الويب الخاص بك وحمايته.
-
تثبيت المكون الإضافي WP Security Audit Log - هذا هو البرنامج المساعد الأكثر شمولاً لسجل نشاط WordPress. يحتفظ المكون الإضافي بسجل لكل ما يحدث على موقع WordPress الخاص بك في سجل تدقيق (ويعرف أيضًا باسم سجل نشاط WordPress) حتى تتمكن من إبعاد المتسللين. هذا لأنه يمكنك تحديد محاولات هجومهم قبل أن يقوموا بالفعل باختراق موقع WordPress الخاص بك ، وبالتالي يكون لديك الوقت لإحباط أفعالهم الضارة.
أداة مصادقة Google و مصادقة ثنائية العامل خيارات رائعة لإضافة طبقة حماية إضافية على صفحة تسجيل الدخول الخاصة بك. سيتم إرسال رمز التفويض إلى بريدك الإلكتروني / هاتفك المحمول ، والذي بدونه لن يتمكن المستخدم / المتسلل من تسجيل الدخول.
هل هناك أي شيء أفضل من حفلة شواء لطيفة؟ سيحظر هذا المكون الإضافي سلاسل URI التي تحتوي على Eval (الأساس 64 وسلاسل الطلبات الطويلة المشبوهة.
تحقق من المظهر الخاص بك بحثًا عن البرامج الضارة والأبواب الخلفية المخفية باستخدام هذا المكون الإضافي قبل أن يستغل شخص ما نقاط الضعف هذه في موقع / مدونة آمنة بخلاف ذلك.
- ملحقات مكافحة الفيروسات
هذا واحد هو عدم التفكير. قم بإجراء عمليات مسح متكررة للموقع والقضاء عليها قبل أن تترسخ. الإضافات / الخدمات مثل Sucuri, Wordfence، إلخ. إن Acunetix Secure WordPress المذكور سابقًا هو خيار جيد آخر. استغلال الماسح سيتحقق من موقعك من الداخل للخارج بحثًا عن تعليمات برمجية ضارة أيضًا.
إذا كنت مهتمًا ، فقد كتبنا مقارنة رائعة حول Sucuri مقابل Wordfence الذي يقارن هذين الصبيان الكبار وجهاً لوجه.
قائمة المراجعة الأساسية لأمان موقع الويب الكامل - إصدار YouTube
بفضل Webucator ، مزود تدريب ووردبريس، لقد تم إنشاء قائمة التحقق هذه كفيديو.
يتناول الجزء التالي من هذه المقالة إصلاح اختراق أمان WordPress بمجرد حدوثه.
اخترق موقع الويب؟ 7 خطوات لاستعادة موقع الويب الخاص بك بالكامل
تصدر Sucuri تقرير اتجاه اختراق موقع الويب لكل ربع سنة. في بهم أحدث تقرير، لقد كشفوا أن إصدارات WordPress المختلفة تدعم 94٪ من المواقع التي تم اختراقها في عام 2019
لا تزال مواقع WordPress التي تم اختراقها تمثل مشكلة حقيقية. نظرًا لكونه النظام الأساسي الأكثر شيوعًا لإنشاء مواقع الويب ، فإن إمكانية التعرض للاختراق أعلى بشكل ملحوظ بالنسبة لمواقع WordPress.
هذا ليس مفاجئًا لأن WordPress هو إلى حد بعيد أكبر منصة لإنشاء مواقع ويب جديدة. طالما ظل WordPress شائعًا ، فسيظل المتسللون يجدون أنه من المربح البحث عن نقاط الضعف في مواقع WordPress. إنها لعبة أرقام حقًا.
ولا يهم ما هي الإجراءات الوقائية التي تتخذها ؛ من المستحيل ضمان الأمان المثالي لأي موقع ويب. ما يمكنك القيام به هو جعل الاختراق أكثر صعوبة حتى لا يزعج من يبحثون عن فاكهة معلقة ، أو لن يتمكنوا من اختراقها.
في هذا البرنامج التعليمي ، سنقدم لك 7 خطوات يجب عليك اتخاذها لإصلاح موقع تم اختراق WordPress.
قبل أن نبدأ الإجراء ، دعنا نتعرف على أسباب المشكلة في المقام الأول. بشكل عام ، هناك نوعان من نقاط الضعف:
- نقاط الضعف المشتركة و
- الثغرات الأمنية.
دعونا نلقي نظرة فاحصة على كل نوع. يمكن استغلال كلا النوعين من قبل المتسللين.
قبل أن تبدأ - استعادة موقع ويب تم الاستيلاء عليه ليس شيئًا يمكن أن يقوم به أشخاص بدون معرفة كافية. من المستحسن للغاية طلب المساعدة من وورد مطورين من ذوي المهارات العالية قبل محاولة القيام بذلك إذا لم تكن مرتاحًا للتلاعب.
نقاط الضعف الشائعة التي تؤدي إلى اختراق مواقع WordPress
يمكن أن تأتي الثغرات الأمنية الشائعة إما من جهازك المحلي أو من مزود الاستضافة. ربما يكون معظمنا على دراية بهذه الأنواع من المشاكل.
يمكن أن تحدث هذه المشاكل إذا تم اختراق جهاز الكمبيوتر الخاص بك أو الشبكة المحلية. عندما يتمكن المتسللون من الوصول إلى جهاز الكمبيوتر الخاص بك أو الشبكة ، يمكنهم بسهولة استهداف موقع ويب تملكه - مما يؤدي إلى اختراق موقع WordPress أو اختراقه.
يمكنك تجنب هذه المواقف باستخدام أدوات فحص موثوقة لمكافحة الفيروسات والبرامج الضارة. تحتاج إلى تطبيق الحس السليم عند استخدام الإنترنت. Comodo والبرامج الضارةbytes لديك بعض النصائح المفيدة للحفاظ على جهاز الكمبيوتر الخاص بك في مأمن من المتسللين. معظم هذه الأشياء منطقية تمامًا إذا فكرت بها ، مثل الحفاظ على تحديث البرامج لكل من سطح المكتب والأجهزة الطرفية العاملة مثل جهاز توجيه الإنترنت الخاص بك.
يمكن أن ينشأ النوع الثاني من الثغرات الأمنية من مزود الاستضافة الخاص بك ، خاصة إذا كنت تستخدم حزمة استضافة مشتركة. كما تعلم ، تشارك حزمة الاستضافة المشتركة الخادم بين العديد من المستخدمين.
إذا لم يتبع أي من هؤلاء المستخدمين أفضل الممارسات ، فسيكون الخادم بأكمله تحت تهديد خطير. بالطبع ، في سيناريو الاستضافة المشتركة ، من المستبعد جدًا أن يستخدم جميع المستخدمين ممارسات أمان جيدة ، لذا فإن حزم الاستضافة المشتركة ، بحكم تعريفها ، محفوفة بالمخاطر.
في بعض الحالات ، يتم اختراق موقع واحد في حزمة الاستضافة المشتركة ، ويسمح للمتسلل بالانتقال بشكل جانبي أو الانتقال إلى مواقع أخرى على نفس الخادم. في هذه الحالة ، تحتاج إلى استشارة مزود الاستضافة الخاص بك ، وسوف يتخذون الخطوات اللازمة.
هذا يعني أنه حتى إذا تم تحديث موقعك وحمايته بالكامل ، فقد ينتهي بك الأمر مع موقع تم اختراق WordPress عليه.
بالمناسبة ، إذا كنت تبحث عن مزود استضافة آمن للغاية ، فيجب أن تفكر بجدية في قراءة استعراض استضافة InMotion - نشعر بأننا محميون للغاية في هذه الخدمة.
الآن بعد أن حددنا نقاط الضعف الشائعة ، دعنا نلقي نظرة على جوانب الأمان.
اختراق من خلال نقاط الضعف
هناك عدة أنواع من نقاط الضعف الأمنية في WordPress. سنتحدث عن أكثرها شيوعًا:
مجموعات اسم المستخدم / كلمة المرور ضعيفة
لا ينبغي علينا إخبارك بأهمية استخدام كلمة مرور آمنة. منذ الإصدار 3.0 ، ركز WordPress نفسه بشكل أكبر على إجبار المستخدمين على استخدام كلمة مرور قوية ، على سبيل المثال ، هناك ميزة مضمنة لاكتشاف قوة كلمة المرور في لوحة تحكم المسؤول.
القاعدة الأساسية هي أنه لا يجب عليك استخدام أي اسم مستخدم يمكن التنبؤ به (مثل admin) ، وأن تستخدم دائمًا كلمات مرور قوية. سيؤدي ذلك إلى زيادة صعوبة وصول المتسللين إلى موقعك.
الموضوع / البرنامج المساعد البق ونقاط الضعف
في حين أنه من أفضل الممارسات استخدام السمات والإضافات المألوفة ، يمكن أن تحتوي المنتجات الشائعة أحيانًا على ملف عيب أمني خفي جدا. إذا حدث ذلك ، فمن المحتمل أن تسمع عن ذلك في مدونات أخبار تكنولوجيا المعلومات الشائعة والمصادر الأخرى لمعلومات أمان WordPress.
ومع ذلك ، من المحتمل أن تكون أكثر أمانًا إذا تأكدت من أنك تستخدم السمات أو المكونات الإضافية الموثوقة فقط - لأنك ستتمكن من التحديث بسرعة إلى إصدار مصحح. تحقق من المراجعات والتقييمات وعدد التنزيلات وما إلى ذلك لتحليل الموثوقية.
و أبدا استخدام السمات أو المكونات الإضافية المقرصنة أو الملغاة. من المعروف أن معظمها يحتوي على تعليمات برمجية ضارة ، مما يؤدي إلى إنشاء باب خلفي في موقعك. هذه حرفياً طريقة للتحكم الكامل عن بُعد في موقعك.
في الواقع ، إذا كنت تستخدم سمة أو مكونًا إضافيًا متصدعًا أو مقرصنًا أو ملغى ، فسيتم اختراق موقع الويب الخاص بك بالفعل. ستستخدم موقعًا سيبدأ فجأة في القيام بأشياء غريبة مثل عرض الروابط المخادعة أو توزيع البرامج الضارة أو حتى أن تكون جزءًا من هجمات DDoS.
ما تعتقد أنه مجاني سيكلفك أكثر بكثير مما تتوقع.
عدم تحديث نواة WP أو السمات أو المكونات الإضافية
يعد استخدام إصدار قديم من نواة WordPress أو السمات أو المكونات الإضافية سببًا رئيسيًا آخر للانتهاكات التي ستؤدي إلى اختراق مواقع الويب. تتضمن معظم التحديثات رمزًا يعمل على إصلاح أمان وأداء موقع الويب الخاص بك. لذلك ، من الضروري أن تقوم بتحديث موقع الويب الخاص بك والسمات والمكونات الإضافية بمجرد توفرها. تأكد من عمل نسخة احتياطية كاملة للموقع قبل التحديث.
ماذا تفعل عندما يتم اختراق ووردبريس الخاص بك؟
حتى لو كنت قد اتخذت خطوات للتخفيف من المخاطر ، فربما تكون قد وقعت ضحية لاختراق WordPress.
لا داعي للذعر واتبع الخطوات الموضحة أدناه.
1. تحديد نوع الاختراق
يعتمد حل استعادة موقعك على نوع اختراق WordPress. هذا يعني أن الخطوة الأولى هي تحديد النوع.
إليك الأسئلة التي يجب أن تطرحها للقيام بذلك:
- هل يمكنك الوصول إلى قسم الإدارة؟
- هل يتم إعادة توجيه موقعك إلى موقع آخر؟
- هل هناك أي رابط (روابط) غير معروف على موقعك؟
- هل جوجل تحذر الزوار من موقعك؟
- هل أبلغك مزود الاستضافة بأن موقعك يبدو مريبًا؟
- هل يعرض موقعك إعلانات غير معروفة في الرأس أو التذييل أو في أقسام أخرى؟
- هل هناك أي نوافذ منبثقة غير مرغوب فيها معروضة؟
- هل هناك ارتفاع غير متوقع في استخدام النطاق الترددي؟
راجع الأسئلة واحدًا تلو الآخر وحاول العثور على إجابات لكل منهم. سيساعدك هذا في العثور على أفضل مسار من الخيارات لاستعادة السيطرة على موقع WordPress الذي تم اختراقه.
2. حاول الاستعادة من النسخة الاحتياطية
إذا اتبعت أفضل الممارسات ، فيجب أن يكون لديك نسخ احتياطية يومية أو أسبوعية أو شهرية لموقعك. يعتمد تكرار النسخ الاحتياطي على عدد المرات التي تنشر فيها أو تُجري تغييرات على موقع الويب الخاص بك.
عندما تقوم بعمل نسخ احتياطية بشكل منتظم ، فإن استعادة موقع WordPress الذي تم اختراقه يكون سهلاً مثل استعادة أحدث نسخة احتياطية. إذا قمت بإعداد جدول نسخ احتياطي تلقائي ، فتعرف على آخر نسخة احتياطية قبل اختراق موقعك واستعد هذا الإصدار.
ستحتاج بعد ذلك إلى التأكد من تحديث أي مكونات إضافية أو سمات أو أي شيء لم يتم تحديثه.
ماذا لو لم تأخذ نسخًا احتياطية من موقعك؟ هل هذا يعني أنك فقدت موقعك إلى الأبد؟
بالحقيقة لا.
هناك خيارات أخرى أيضا. تحتفظ معظم خدمات الاستضافة المشهورة بنسخ احتياطية منتظمة لمواقع عملائها. اسأل مزود الاستضافة إذا كان يحتفظ بنسخة احتياطية. إذا كان لديهم ، فيمكنك أن تطلب منهم استعادة موقعك من آخر نسخة احتياطية مستقرة.
إذا لم يكن هناك نسخة احتياطية ، فسيتعين عليك اتباع إجراء لتنظيف موقع WordPress الذي تم اختراقه والذي نعرضه أدناه.
3. اطلب المساعدة من مزود الاستضافة
أكثر من 40٪ من مواقع الويب التي تم اختراقها لديها بعض الثغرات الأمنية على منصة الاستضافة. لذلك ، عندما تتعرض لاختراق WordPress الخاص بك ، فإن مطالبة مزود الاستضافة بمساعدتك في استعادة موقعك قد يكون فكرة جيدة.
يجب أن تكون أي شركة استضافة ويب موثوقة على استعداد لمساعدتك في هذه الحالات. يوظفون محترفين يتعاملون مع هذه المواقف كل يوم. إنهم على دراية ببيئة الاستضافة ولديهم إمكانية الوصول إلى أدوات فحص مواقع الويب المتقدمة.
لذلك ، سيكونون قادرين على مساعدتك في استعادة أكثر هجمات القرصنة شيوعًا على مواقع الويب. إذا نشأ الاختراق من الخادم ، فستتمكن شركة الاستضافة الخاصة بك من مساعدتك في استعادة الموقع.
4. المسح بحثًا عن البرامج الضارة
في كثير من الحالات ، يتمكن المتسللون من الوصول إلى موقع الويب الخاص بك باستخدام الأبواب الخلفية. تقوم الأبواب الخلفية بإنشاء نقاط دخول غير مصرح بها إلى موقع الويب الخاص بك. عند استخدام الأبواب الخلفية ، يمكن للمتسللين الوصول إلى موقع الويب الخاص بك دون الحاجة إلى أي معلومات تسجيل دخول والبقاء غير مكتشفين تقريبًا.
فيما يلي بعض المواقع الشائعة للأبواب الخلفية التي تحتاج إلى التحقق مما إذا كان موقع الويب الخاص بك قد تم اختراقه -
- الثيمات: يفضل معظم المتسللين وضع الباب الخلفي في أحد مظاهرك غير النشطة. من خلال القيام بذلك ، سيظل بإمكانهم الوصول إلى موقع الويب الخاص بك حتى إذا قمت بتحديثه بانتظام. هذا هو السبب في أنه من الضروري حذف جميع السمات غير النشطة الخاصة بك.
- الإضافات: يعد مجلد المكونات الإضافية مكانًا آخر محتملًا لإخفاء الشفرة الضارة. وهناك عدة أسباب لذلك. بادئ ذي بدء ، لا يفكر معظم الناس أبدًا في فحص ملفات المكون الإضافي. كما أنهم يفضلون عدم تحديث المكونات الإضافية طالما أنها تعمل. علاوة على ذلك ، هناك بعض المكونات الإضافية سيئة الترميز التي يمكن استغلالها للوصول غير المصرح به إلى أي موقع WP.
- مجلد التحميلات: في معظم السيناريوهات ، لا تحتاج أبدًا إلى القلق بشأن التحقق من مجلد التحميلات نظرًا لأن هذا المجلد يحتوي فقط على الملفات التي قمت بتحميلها. ومع ذلك ، يفضل بعض المتسللين هذا المجلد لأنه يمكنهم بسهولة إخفاء الملف الضار بين مئات أو آلاف الملفات المنتشرة في مجلدات مختلفة. نظرًا لأن المجلد قابل للكتابة ، فإنه يخدم أيضًا الغرض منها.
- يتضمن مجلد: هذا مجلد آخر غالبًا ما يتجاهله معظم المستخدمين. نتيجة لذلك ، وضع المتسللون الباب الخلفي في هذا المجلد والحصول على وصول كامل إلى موقعك.
- ملف wp-config.php: من الشائع جدًا العثور على تعليمات برمجية ضارة مخبأة في هذا الملف. ومع ذلك ، نظرًا لأن الملف معروف جدًا ، يتجنب المتسللون المتطورون استخدام هذا الملف.
لا تحب أن تتسخ يديك بالنصوص الخبيثة؟ يحاول iThemes security ودعه يقوم بالعمل القذر.
الطريقة الوحيدة للتخلص من الباب الخلفي هي إزالة الشفرة الخبيثة من الموقع. هناك العديد من المكونات الإضافية التي تسمح لك بفحص موقع الويب الخاص بك بحثًا عن تعليمات برمجية ضارة.
من بينها ، تعد المكونات الإضافية المتميزة التالية اختيارات رائعة: iThemes Security, Sucuri الأمن, WPMUDev المدافع هي خيارات رائعة.
تعد الخيارات التالية أيضًا خيارات جيدة ، ولكن كن على دراية بأن كلاهما لم يتم تحديثهما لأكثر من 3 سنوات اعتبارًا من تحديث هذه المقالة. هذا يعني أنها قد لا تكون موثوقة كما كانت في السابق: استغلال الماسحو مدقق أصالة الموضوع.
يمكنك استخدام هذه المكونات الإضافية المجانية لاكتشاف أي تغيير غير مرغوب فيه في السمات والمكونات الإضافية والملفات الأساسية لموقع الويب الخاص بك. ومع ذلك ، إذا كنت جادًا في إصلاح موقعك ، فإننا نوصي بشدة باختيار أحد المنتجات المتميزة.
ستكون أكثر حداثة وأكثر موثوقية بشكل عام من أي من المنتجات المجانية.
إذا عثرت المكونات الإضافية على أي ملف مريب ، فخذ نسخة احتياطية كاملة واحذف الملف أو شاهد مسار الإجراء الذي يقترحه المكون الإضافي. أيضًا ، إذا كنت تأخذ نسخة احتياطية ، فتأكد من ملاحظة أنك تحتفظ بنسخة احتياطية من موقع تم الاستيلاء عليه.
وإذا تم اختراق سمة أو مكون إضافي ، فقم بإزالته من موقعك. قم بتنزيل أحدث نسخة وتحميلها على موقع الويب الخاص بك.
في حالة اكتشاف التغيير في أي من الملفات الأساسية ، يجب عليك تنزيل تثبيت جديد من WordPress وإجراء تحديث يدوي (أي الكتابة فوق جميع الملفات بالملفات الجديدة).
بدلاً من ذلك ، قم بتنزيل نسخة حديثة من إصدار WordPress الذي تستخدمه حاليًا واستبدل الملفات المخترقة فقط.
5. تحقق من مستخدمي WordPress
من المحتمل أن يكون لديك عدة مستخدمين على موقع الويب الخاص بك. كما تعلم بالفعل ، لديهم قدرات مختلفة بناءً على دور المستخدم الخاص بهم.
في بعض الأحيان ، ينشئ قراصنة WordPress مستخدمًا جديدًا لديه الأذونات اللازمة حتى يتمكنوا من تسجيل الدخول إلى موقعك حتى إذا فقدوا الباب الخلفي.
أو قد يستخدمون بالفعل اسم مستخدم به كلمة مرور ضعيفة لاختراق موقع الويب الخاص بك.
لمنع حدوث ذلك ، انتقل إلى الإعدادات> المستخدمون من لوحة القيادة. مراجعة جميع المستخدمين وأدوارهم. أيضًا ، قم بإعادة تعيين جميع كلمات المرور لجميع المستخدمين.
الأهم من ذلك ، تأكد من عدم تعيين دور المسؤول لحساب غير مصرح به. في حالة الحسابات المشكوك في تحصيلها ، احذفها على الفور. إذا كانوا مستخدمين صالحين ، فيمكنك دائمًا إعادة إنشاء الحسابات لاحقًا.
فيما يلي بعض أفضل الممارسات التي يجب اتباعها:
- لا تستخدم اسم المستخدم "admin" على موقعك مطلقًا. إذا كان لديك اسم المستخدم هذا بالفعل ، فقم بتغييره في أقرب وقت ممكن. أيضًا ، تجنب استخدام أي اسم مستخدم شائع يمكن للقراصنة تخمينه.
- استخدم المصادقة الثنائية لمنع الوصول غير المصرح به إلى موقع الويب الخاص بك.
- دمج CAPTCHA أو reCaptcha في نماذج تسجيل الدخول الخاصة بك ، قم بدمج CAPTCHA أو reCaptcha في نماذج تسجيل الدخول الخاصة بك. هذه طريقة فعالة لمنع برامج الروبوت أو البرامج النصية الآلية من الوصول إلى موقع الويب الخاص بك.
6. تغيير المفاتيح السرية
المفاتيح السرية هي ميزة أمان مفيدة في WordPress.
تحتوي هذه المفاتيح على نص تم إنشاؤه عشوائيًا يساعد في تشفير المعلومات المحفوظة في ملفات تعريف الارتباط. يجب عليك استخدام الإجراء أدناه للتحقق مما إذا كانت لديك على موقعك. إذا لم يكن لديك ، يمكنك إنشاؤها.
حتى لو كان لديك بالفعل ، إذا تم اختراق موقعك ، فقد حان الوقت الآن لتغييرها.
بادئ ذي بدء ، قم بإنشاء مجموعة من المفاتيح السرية باستخدام الرابط التالي. سينشئ منشئ الأكواد العشوائية مجموعة جديدة من الرموز الفريدة في كل مرة تقوم فيها بتحديث الصفحة.
الآن ، انتقل إلى موقع الويب الخاص بك وافتح ملف الفسفور الابيض بين config.php ل ملف. اتجه نحو السطر 49 وسترى شيئًا مشابهًا لما يلي. قد يختلف رقم السطر في ملفك ، ولكن عليك معرفة القسم التالي:
انسخ والصق القيمة من القيم التي أنشأتها للتو في الرابط أعلاه. حفظ الملف. سيؤدي هذا إلى إعادة تعيين أي ملفات تعريف ارتباط وأي مستخدمين قاموا بتسجيل الدخول ، لذلك إذا قمت بتسجيل الدخول إلى المسؤول ، فسيُطلب منك تسجيل الدخول مرة أخرى.
7. تغيير كل كلمات السر الخاصة بك
هذه خطوة شائعة ولكنها مهمة في استعادة موقع WordPress الذي تم اختراقه - إعادة تعيين جميع كلمات المرور الخاصة بك. تتضمن كلمات المرور الشائعة WP admin و cPanel و MySQL و FTP وما إلى ذلك.
أعد تعيين كل كلمات المرور هذه مع كلمات مرور أي خدمة تابعة لجهة خارجية تستخدمها على موقع الويب.
إليك كيفية تغيير كلمات المرور:
- لتغيير كلمة المرور ، انتقل إلى المستخدمون> ملف التعريف الخاص بك من لوحة القيادة. ستجد حقل كلمة المرور الجديدة في قسم "إدارة الحساب".
- لتغيير كلمات مرور cPanel و MySQL و FTP ، قم بتسجيل الدخول إلى لوحة التحكم الخاصة بحساب الاستضافة الخاص بك واتبع الخيارات المتاحة. إذا كنت مرتبكًا ، فاتصل بدعم الاستضافة للحصول على المساعدة.
عند إعادة تعيين كلمات المرور أو تغييرها ، تأكد من أنك تستخدم الآن كلمة مرور قوية. يجب عليك أيضًا إجبار المستخدمين الحاليين على إجراء إعادة تعيين كلمة المرور لحساباتهم أيضًا.
يمكنك استخدام البرنامج المساعد إعادة تعيين كلمة المرور في حالات الطوارئ لفرض إعادة تعيين كلمة المرور لجميع المستخدمين.
الخطوات المستقبلية لتجنب التعرض للاختراق
بينما ستساعدك الخطوات المذكورة أعلاه في استعادة موقع الويب الخاص بك ، يجب أن تعتبر ذلك علامة تحذير. فيما يلي بعض الخطوات المهمة التي يجب عليك اتخاذها للتأكد من أن موقعك يظل محميًا في المستقبل من أي محاولات اختراق أخرى لـ WordPress:
قم بإنشاء جدول نسخ احتياطي
كما تدرك الآن ، فإن وجود نسخ احتياطية منتظمة من موقع الويب الخاص بك أمر بالغ الأهمية. يمكن أن توفر لك النسخ الاحتياطية إذا تم اختراق موقعك. تعد النسخ الاحتياطية المتعددة أفضل ، لأنها تسمح لك بالعودة في الوقت المناسب إلى لقطة للموقع قبل حدوث الاختراق.
لحسن الحظ ، ليس عليك القيام بذلك يدويًا. هناك الكثير من المكونات الإضافية المجانية والمميزة لمساعدتك في الاحتفاظ بنسخ احتياطية منتظمة لموقعك. يعد UpdraftPlus مكونًا إضافيًا للنسخ الاحتياطي ، بينما يعد BackupBuddy و Jetpack بعض حلول النسخ الاحتياطي المتميزة الموصى بها للغاية.
تحديث كل شيء
نعتقد أنه لا يتعين علينا التأكيد على أهمية تحديث موقعك باستمرار. يجب عليك تحديث نواة WordPress والسمات النشطة والإضافات وأي شيء آخر توجد إمكانية للتحديث. في الوقت نفسه ، تأكد من حذف السمات والمكونات الإضافية غير المستخدمة أيضًا.
قم بإعداد مكون إضافي للأمان
إذا كنت ترغب في تعزيز أمان موقع الويب الخاص بك ، فيجب عليك استخدام مكون إضافي مقوي مثل iThemes Security، أمان Wordfence أو المدافع. تساعدك هذه المكونات الإضافية على إنشاء جدار حماية بحيث يمكنك منع حركة المرور الضارة وحظر المهاجمين والتعامل مع التهديدات الأخرى. قد تفكر أيضًا في تثبيت ملف جدار حماية كامل لتطبيق الويب مثل جدار الحماية Sucuri.
النظر في الاستضافة المدارة
عندما تختار استضافة مُدارة ، فسوف يتعاملون مع الأمان ، والصيانة ، والأداء ، ومشكلات أخرى لموقعك على الويب. هذا يعني أنك لن تقلق بشأن كل هذه الخطوات. يشمل بعض موفري الاستضافة المدارة الموثوق بهم InMotion ، WPEngineو و Kinsta.
Limit Login Attempts
بشكل افتراضي ، يسمح WordPress لأي شخص بتجربة كلمات مرور غير محدودة لأي حساب. هذا يؤدي إلى هجمات القوة الغاشمة ونقاط الضعف المحتملة في الموقع. لحسن الحظ ، هناك بعض الإضافات المجانية مثل الدخول تأمين و أمان Loginizer لمساعدتك في الحد من محاولات تسجيل الدخول.
تعطيل تنفيذ PHP
في معظم الحالات ، يقوم المتسللون بإنشاء أبواب خلفية عن طريق إنشاء ملفات PHP تشبه الملفات الأساسية. يمكنك منع هذه التهديدات عن طريق تعطيل تنفيذ PHP في الدلائل ذات الصلة ، مثل عمليات التحميل والمجلد المتضمن. هنا أ خطوة بخطوة تعليمي للقيام بذلك.
إضافة كلمة مرور إضافية للمسؤول
هناك خدعة أخرى مفيدة للحفاظ على أمان موقعك وهي استخدام كلمة مرور إضافية للوصول إلى قسم المسؤول. من السهل جدًا القيام بذلك في cPanel. يتبع هذا البرنامج التعليمي لإضافة كلمة المرور في مسؤول WP الخاص بك.
هل تفضل الفيديو؟ شاهد هذا الفيديو من Sucuri
إذا كان لديك بعض الوقت لتصفح الفيديو التالي الذي يمكن أن يساعد في تحديد مواقع WordPress التي تم اختراقها وكيفية إصلاحها. لقد ذكرنا Sucuri عدة مرات في هذه المقالة ، هذا الفيديو من Sucuri هو عرض كامل للمواقع التي تم الاستيلاء عليها.
الكلمات الأخيرة: كيفية إصلاح موقع الويب الخاص بك المخترق
أن تكون ضحية لموقع تم اختراق WordPress هو تجربة مروعة ، خاصة إذا كانت هذه هي المرة الأولى. ومع ذلك ، بعد أن قرأت هذه المقالة ، يجب أن تكون لديك فكرة واضحة عن الخطوات اللازمة لاستعادة موقع الويب الذي تم اختراقه.
لا تتردد في وضع إشارة مرجعية على هذه المقالة ومشاركتها حتى يتمكن الآخرون من معرفة الخطوات أيضًا.
الحد الأدنى
إذا كنت مرتبكًا ، فما عليك سوى البحث عن حل استضافة مُدار ودع شخصًا آخر يتولى الأمر نيابة عنك.
هذه ليست سوى البداية. مع استمرار تطور الويب ، سيستمر كذلك المتسللون ومحاولاتهم للتسلل إلى موقعك وإخراجه. ابق متقدمًا بخطوة واحدة من خلال تعلم المزيد عن نظام إدارة المحتوى الودي لديك ومواكبة التحديثات وإبقائك على قمة أمان WordPress - وهذا بالتأكيد سيضمن لك منع اختراق مواقع الويب.
ابق آمنًا.
بحاجة الى مساعدة لتنظيف موقع الويب الخاص بك؟ جرب هذه العربات ذات الأسعار المعقولة الأعلى تصنيفًا على Fiverr!
اضغط هنا للعثور على خبراء في وورد الأمن.
اضغط هنا لخلق موقع WordPress الكامل.
من فضلك قم اترك أ مفيد علق بأفكارك ، ثم شارك هذا على مجموعة (مجموعات) Facebook الخاصة بك الذين قد يجدون هذا مفيدًا ودعونا نحصد الفوائد معًا. شكرا لك على المشاركة ولطفك!
تنويه: قد تحتوي هذه الصفحة على روابط لمواقع خارجية للمنتجات التي نحبها ونوصي بها بكل إخلاص. إذا قمت بشراء منتجات نقترحها ، فقد نربح رسوم إحالة. لا تؤثر هذه الرسوم على توصياتنا ولا نقبل مدفوعات للمراجعات الإيجابية.
و أكثر من ذلك بكثير ...