من أمان WordPress الأساسي ، والموضوع والمكونات الإضافية ، إلى أفضل ممارسات اسم المستخدم وكلمة المرور والنسخ الاحتياطية لقاعدة البيانات.
تشمل الموضوعات الأخرى التي يجب مراعاتها ما يلي:
- إجراءات أمان ذات طبقات مثل استخدام ملف .htaccess لتمكين الميزات أو تعطيلها
- تحديد أذونات الملف
- قائمة سوداء وقائمة IPs بيضاء
- تعطيل تحرير الملف
- باستخدام HTTPS
أمن ووردبريس
إذا كنت تدير موقعًا تجاريًا كبيرًا وتم اختراقه ، فقد تخسر عملاء مهمين وبالطبع المال. من المرجح أن يقوم مضيفو الويب بتعليق الحسابات التي تم اختراقها مما يجعل موقعك في وضع عدم الاتصال. لا تريد أن تضيع وقتك في تصحيح موقع ما بعد الاختراق أو دفع الاستضافة عندما يكون موقعك معطلاً.
لماذا يعد WordPress ناجحًا جدًا؟
يعد WordPress أكثر أنظمة إدارة المحتوى شيوعًا في العالم ويعمل الآن بنسبة 20٪ من جميع مواقع الويب. يرجع نجاحه إلى واجهته البديهية وحقيقة أنه مجاني ومفتوح المصدر. توفر ميزاته خيارات لا حصر لها لتوسيع الوظائف من خلال إضافة المكونات الإضافية والقدرة على تخصيص موقعك باستخدام السمات والأدوات. مع وجود الآلاف من السمات والإضافات المدفوعة والمجانية المتاحة على الويب ، فإن خيار إنشاء موقع وظيفي وفريد لك لا حدود له تقريبًا.
لماذا يتعرض ووردبريس للهجوم؟
هذه الميزات نفسها هي أكثر الطرق شيوعًا التي نعرض بها مواقعنا للهجوم. نظرًا لأن WordPress مفتوح المصدر ، يمكن لأي شخص بسهولة استكشاف الكود الأساسي أو البحث من خلال أي من السمات والمكونات الإضافية الأكثر شيوعًا للاختراق. هذه عناصر من WordPress خارجة عن سيطرتك.
مضيفك و WordPress الاختراقات
ما لم تدفع أموالًا كبيرة للحصول على خادم خاص بك لاستضافة الويب ، فلا يمكنك أيضًا التحكم في بيئة الاستضافة التي يعمل بها موقع الويب الخاص بك.
هجوم القوة الغاشمة
هجوم القوة الغاشمة هو أيضًا شيء خارج عن إرادتك. بينما لا يمكنك دائمًا إيقافهم ، يمكنك اتخاذ تدابير للحد من الضرر وتجعل من الصعب على شخص ما اختراق موقعك بنجاح. حتى عمالقة التكنولوجيا مثل Microsoft و Apple و Amazon تعرضوا لانتهاك أمانهم. لا يوجد موقع آمن تمامًا أو WordPress أو غيره. ما يجب عليك فعله هو التعرف على مكان الضعف وإنشاء طبقات دفاع إضافية لحماية المحتوى الخاص بك في حالة اختراق موقعك. استخدم أكبر عدد ممكن من الحلول الشائعة للمساعدة في إدارة ضعف موقعك من خلال الخطأ البشري.
يمكن أن يستمر هجوم القوة الغاشمة شهورًا ويشمل آلاف الخوادم في جميع أنحاء العالم. جميع مزودي الاستضافة الذين يقدمون WordPress هم أهداف محتملة يستخدم المتسللون الخوادم وأجهزة الكمبيوتر المخترقة لاختراق لوحات مسؤولي مواقع الويب من خلال استغلال المضيفين باستخدام “admin” كاسم حساب ، وكلمات المرور الضعيفة التي يتم حلها من خلال أساليب هجوم القوة الغاشمة.
4 نقاط ضعف
1. استضافة الخروقات الأمنية
2. من أصل بيانات ووردبريس الأساسية
3. الإضافات والمواضيع غير الآمنة
4. هجمات القوة الغاشمة
تعد إدارة موقعك المدعوم من WordPress جيدًا أداة الأمان الأكثر قيمة المتاحة لك.
- سرعة
- والخيارات
- خدمات
- الأمان
- حلول النسخ الاحتياطي
- مراقبة
- نوع الخادم
- نقطة السعر
اختيار WordPress لتشغيل موقعك يعني أن WordPress هو أساس كل شيء على موقعك. حقيقة أنه مجاني ومفتوح المصدر يحمل العديد من الفوائد. ولكن مع كل تحديث ، تتاح ثغرات الإصدار السابق للجمهور ، مما يجعل الإصدارات السابقة أكثر عرضة للاختراق. من خلال توظيف الأمان من خلال تكتيكات الغموض ، يمكنك إزالة أو إخفاء رقم إصدار تثبيت WordPress الخاص بك من العرض. يمكنك حتى اختيار حل أكثر بساطة مع المكونات الإضافية لإخفاء رقم الإصدار. قد يمنع هذا الروبوت من الارتباط بموقعك ، لكن هذا لا يصحح الثغرات الموجودة في الإصدارات القديمة من WordPress. سيؤدي تحديث تثبيت WordPress الخاص بك فقط مع توفر إصدارات أحدث إلى إزالة الثغرات المنشورة.
يعد تحديث WordPress أمرًا بسيطًا (منذ إصدار الإصدار 3.7 بتحديثات تلقائية)
في الإصدارات السابقة من WordPress ، سيتم عرض شعار إصدار جديد في لوحة القيادة كلما كان هناك تحديث متاح. الآن سيتم تحديث تثبيتات WordPress تلقائيًا إلى الإصدارات الثانوية الجديدة دون الحاجة إلى رفع إصبعك. عادةً ما تكون الإصدارات الثانوية لتحديثات الأمان. ومع ذلك ، ستظل بحاجة إلى التحديث إلى الإصدارات الرئيسية الجديدة.
لتحديث ووردبريس
- اهم الاشياء اولا! قم بعمل نسخة احتياطية من WordPress الخاص بك.
- لوحة القيادة
- التحديثات
أكبر تهديد لموقعك
تتضمن أسرع طريقة لاختراق موقعك إضافة سمات أو مكونات إضافية سيئة أو مشفرة ضارًا أو قديمة أو مكونات إضافية من مطورين أو مواقع غير موثوق بها. نظرًا لطبيعة WordPress مفتوحة المصدر ، يتم توزيع العديد من السمات أو المكونات الإضافية بموجب تراخيص GPL أو GPN (الترخيص العام العام). لذلك من السهل أن يتم تشعب وإعادة توزيع السمات والإضافات على قوالب WordPress المجانية ومواقع المكونات الإضافية مع إضافة تعليمات برمجية مخفية أو ضارة. يمكن أن يكون هذا الرمز بسيطًا مثل الكشف عن فيروس أو خطير مثل تعريض زوارك لسرقة الهوية.
قبل تنزيل سمة أو مكون إضافي مجاني:
- ابحث عن المؤلف وقم بالتنزيل فقط من موقع المؤلفين أو مستودع WordPress
- اطلب المشورة على WordPress.org/support
- إذا كنت ستستخدم مجانًا موثوق به المكونات الإضافية أو السمات ، تحقق من قائمة توافق رقم الإصدار وتحقق من أن المكون الإضافي أو السمة لا تزال مدعومة ومحدثة. العديد من السمات أو المكونات الإضافية بطيئة في تلقي التحديثات أو يتم التخلي عنها ببساطة.
- إذا لم تستخدمه ، تفقده. إذا كنت لا تستخدم سمة أو مكونًا إضافيًا ، فاحذفه.
- استخدم السمات والمكونات الإضافية المدعومة (ليست مجانية).
تُظهر التجربة أنه يمكن الدفاع عن جميع هجمات WordPress تقريبًا والدفاع عنها ببساطة باستخدام مكونات إضافية وسمات آمنة ومحدثة وموثوق بها.