أفضل ممارسات أمان WordPress - قائمة TODO - كيفية تأمين مدونة WordPress الخاصة بك؟

نشرت: 2015-05-25

تعامل مع أمان WordPress على محمل الجد

يعد WordPress أحد أكثر المنصات شيوعًا للمدونات والمواقع الإلكترونية المستضافة ذاتيًا. بينما يعد WordPress آمنًا تمامًا خارج الصندوق ، سيكون هناك دائمًا أفراد يرغبون في إثارة المشاكل من خلال إيجاد طريقة لاختراق الحسابات أو المواقع لإحداث ضرر أو حقن روابط مخفية غير مرغوب فيها. لهذا السبب من المهم التأكد من أن تثبيت WordPress الخاص بك آمن قدر الإمكان. نصائح أمان ووردبريس.

TechCrunch ، أكبر مدونة في العالم ، تعرضت للاختراق مرتين في إطار زمني قصير يبلغ ثماني ساعات (في عام 2012). وفقًا للمبرمج الرئيسي في WordPress ، Mark Jaquith ، كان الاختراق على الأرجح بسبب مكون WordPress الإضافي غير الآمن والذي سمح للمتسلل باستخدام طريقة حقن php لاختراق أزمة التكنولوجيا. لم يكن القرصنة من جانب الخادم. آمل أن تساعدك هذه المعلومات التفصيلية في حماية مدونة WordPress الخاصة بك.

هل لديك استفسار أدناه عن الأسئلة أدناه؟

  • استعراض الإضافات الأمنية ووردبريس
  • نقاط الضعف الأمنية في ووردبريس
  • أفضل ممارسات أمان WordPress
  • قضايا أمنية ووردبريس
  • نصائح أمنية ووردبريس
  • أفضل مكون إضافي لأمن ووردبريس
  • فحص أمان ووردبريس
  • فحص أمان WordPress

اذا انت في المكان الصحيح. مراجعات البرنامج المساعد للأمان من Crunchify.

فيما يلي بعض النصائح للحفاظ على موقع الويب أو المدونة الخاصة بك على WordPress أكثر أمانًا وأقل عرضة للهجمات الضارة. تساعدنا هذه الخطوات في تأمين مدونتنا عن طريق إبعاد الأشرار.

1) قم بالترقية إلى أحدث إصدار من WordPress

لا يوجد نظام برمجي محصن ضد الأخطاء ونقاط الضعف. سيتم اكتشاف ثغرات أمنية وسيبذل الأشرار قصارى جهدهم لاستغلالها. يعد الحفاظ على تحديث برامجك طريقة جيدة لدرء الهجمات ، لأن بائعي البرامج الموثوق بهم سيصلحون منتجاتهم بمجرد اكتشاف ثغرات أمنية.

لحسن الحظ ، يعد تحديث موقع WordPress الخاص بك أحد أسهل الأشياء التي يمكنك القيام بها. بالنسبة للإصدارات القليلة الماضية ، قام WordPress بتضمين القدرة على تثبيت التحديثات التلقائية. ليس ذلك فحسب ، بل يتم إخطار المواقع في كل مرة تتوفر فيها ترقية جديدة.

إذا كنت لا تقوم بتشغيل أحدث إصدار من WordPress ، فقم بالترقية الآن. إن ترك موقعك على إصدار قديم يشبه إبقاء بابك مفتوحًا عندما تغادر لقضاء عطلة.

تحديث ووردبريس

2) ضع ملف index.php فارغ

إذا كنت تعتقد أن مجرد إعداد أذونات الدليل هو أكثر من كافٍ ، فسأقول إن الأمر ليس بهذه البساطة! أود أن أقترح أن يقوم المرء بإسقاط ملف html أو php فارغ ( ensure that the name should be index.php ) في مجلد wp-content/themes/ & wp-content/plugins/ . بهذه الطريقة عندما يحاول شخص ما رؤية محتوى هذا المجلد ، سيتم تقديمه بصفحة فارغة ولا شيء آخر. أليست هذه حركة ذكية؟

محتوى الملف:

index.php
1
2
3
<?php
// Silence is golden.
?>

ضع ملف index.php فارغًا في كل مجلد

3) استخدم المفاتيح السرية في ملف تكوين WP

في WordPress ، wp-config.php هو الملف الذي يخزن معلومات قاعدة البيانات التي يحتاجها WordPress لربط دائرته ، إذا جاز التعبير. يحتوي هذا الملف على الاسم والعنوان وكلمة المرور لقاعدة بيانات MySQL التي تخزن جميع معلومات المستخدم ومنشورات المدونة والمحتويات الأخرى المهمة.

باستخدام مفتاح سري ، يمكنك أن تزيد من صعوبة وصول شخص ما إلى حسابك.

انتقل إلى https://api.wordpress.org/secret-key/1.1/ copy the results into this section of your wp-config.php إذا لم تكن قد قمت بالفعل بإعداد مفتاح سري.

4) احتفظ بملف htaccess الخاص بك قيد الفحص

باستخدام ملف .htaccess ، يمكنك تعيين حدود الوصول إلى أدلة معينة. يمكنك ربط هذه الحدود بعنوان IP محدد ، مما يعني أن الأشخاص من هذا الموقع فقط يمكنهم الوصول إلى معلوماتك.

يُنصح دائمًا أنه أثناء اختيار مضيف الويب الخاص بك ، يجب أن تؤكد منهم ما هو إصدار MySQL و Apache و PHP الذي يستخدمونه ".

عينة:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) استخدم كلمات مرور قوية لحساب WordPress

بالإضافة إلى إضافة مفتاح سري إلى wp-config.php ، فكر أيضًا في تغيير كلمة مرور المستخدم الخاصة بك إلى كلمة مرور قوية وفريدة من نوعها. سيخبرك WordPress بقوة كلمة مرورك ، لكن نصيحة جيدة هي تجنب العبارات الشائعة ، واستخدام الأحرف الكبيرة والصغيرة ، وتضمين الأرقام. من الجيد أيضًا تغيير كلمة مرورك بانتظام - قل مرة كل شهرين.

6) تحديث بيئة الخادم والمكونات الإضافية

يعد تحديث المكونات الإضافية والسمات بمجرد إصدارها من مسؤوليتك. أود أن أقترح تحديث البرنامج المساعد الخاص بك بانتظام. ألق نظرة على مقال CSRF الذي قمت بنشره منذ بعض الوقت.

فيما يتعلق ببيئة الخادم ، فهي ليست في يديك ، ولكن في أيدي مضيف الويب. يُنصح دائمًا أنه أثناء اختيار مضيف الويب الخاص بك ، يجب أن تؤكد منهم ما هو إصدار MySQL و Apache و PHP الذي يستخدمونه. قم بمطابقتها مع أحدث إصدار مذكور على مواقع الويب الخاصة بهم ، وإذا كانت قديمة ، فيجب أن تطلب منهم تحديثها (من غير المحتمل جدًا) أو تغيير مضيف الويب في أسرع وقت ممكن.

7) لا تستخدم أبدًا "admin" كاسم مستخدم لك

بعد تثبيت WordPress ، يجب عليك تغيير اسم مستخدم المسؤول.

8) تغيير WP prefix لجداول قاعدة البيانات

سيوفر لك من اختراق حقن SQL.

9) لا تقم بتثبيت WordPress في الدليل الجذر

قم بتثبيته في مجلد ما باسم غريب ليس من السهل معرفته. شيء من هذا القبيل 442testXYZ . سيؤدي ذلك إلى حفظ تثبيت WordPress الخاص بك من الروبوتات وكذلك المتسللين.

10) حظر الروبوتات السيئة

أنت لا تعرف أبدًا متى يتم الزحف إلى موقعك بواسطة برامج روبوت سيئة. الحل بسيط. حاول وضع ما يلي في ملف .htaccess الخاص بك لمنع برامج التتبع السيئة.

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

ملخص

نتفق جميعًا على أن امتلاك مدونة WordPress آمنة يجب أن تكون أولوياتنا الأولى عند الاحتفاظ بمدونة ناجحة. WordPress هو برنامج نشر رائع و Automattic (الشركة التي تقف وراء WordPress) تحاول دائمًا جاهدة تأمينه حتى تكون ملايين المدونات في مأمن من تهديدات القراصنة.

هناك العديد من الطرق التي يمكننا من خلالها تحسين أمان WordPress. هذه التغييرات صغيرة ويمكن تنفيذ العديد من هذه التوصيات في غضون دقائق. يمكنك أن تشعر بالراحة مع معرفة أن موقع WordPress الخاص بك أكثر أمانًا من المتسللين والمتسللين.