كيفية حماية WordPress من التطفل: قائمة التحقق التي يجب قراءتها

الإعلانات

حولت Botnets في جميع أنحاء العالم انتباهها من إرسال رسائل البريد الإلكتروني العشوائية إلى الاختراق المنهجي في عمليات تثبيت WordPress ؛ إنه عمل مربح نظرًا لأن WordPress يشغل 40٪ من جميع المدونات. وبالأخذ في الاعتبار أنه حتى سقطنا ضحية لذلك ، فقد حان الوقت لنشر مشاركة شاملة حول كيفية حماية تثبيت WordPress الذي تتم استضافته ذاتيًا بالضبط.

ملاحظة: تنطبق هذه النصيحة فقط تثبيت WordPress المستضاف ذاتيًا. إذا كنت تستخدم WordPress.com ، فأنت لا تحتاج عمومًا إلى الاهتمام بالأمان ، لأنهم يتعاملون مع كل شيء من أجلك.ما الفرق بين WordPress.com و WordPress.org؟ ما الفرق بين تشغيل مدونتك على Wordpress.com و Wordpress.org؟مع تشغيل Wordpress الآن 1 في كل 6 مواقع ويب ، يجب أن يفعلوا شيئًا صحيحًا. لكل من المطورين ذوي الخبرة والمبتدئين ، لدى Wordpress ما تقدمه لك. ولكن بمجرد أن تبدأ ... اقرأ أكثر

قم بتثبيت أداة المصادقة المكونة من خطوتين في Google

إذا قمت بالفعل بتمكين المصادقة من خطوتين لحساب Gmail الخاص بك أو الخدمات الأخرى ، فيمكنك استخدام نفس تطبيق المصادقة مع هذا البرنامج المساعد لووردبريس.

لحسن الحظ ، يمكنك تقييد المصادقة المكونة من خطوتين لاستخدامها فقط في حسابات المستوى الأعلى بحيث لا تحتاج إلى إزعاج جميع المستخدمين.

تأمين تسجيل الدخول

البرنامج المساعد القديم ، ولكن لا يزال يعمل على النحو المنشود ؛ تأمين تسجيل الدخول يتحقق من عنوان IP لمحاولات تسجيل الدخول ويحظر نطاق IP لمدة ساعة إذا فشل 3 مرات خلال 5 دقائق. بسيطة وفعالة.

أخذ نسخ احتياطية منتظمة

لن يقوم المتسللون بتغيير ملف واحد فقط ، بل سيضعون لوحة التحكم الخاصة بهم مخفية في مكان آخر أبواب خلفية مخفية - حتى إذا قمت بإصلاح الاختراق الأصلي ، فإنهم يعودون ويقومون بكل شيء مرة أخرى. خذ نسخًا احتياطيًا يوميًا أو أسبوعيًا حتى تتمكن من الاستعادة بسهولة إلى نقطة لم يكن فيها أي أثر للهاكر - وتأكد من تصحيح كل ما فعلوه للوصول. أنا شخصياً استثمرت للتو في 150 دولاراً النسخ الاحتياطي الأصدقاء ترخيص مطور البرامج - إنه أسهل حل شمولي وجدته حتى الآن.

منع فهرسة المجلدات

تحقق من جذر تثبيت WordPress الخاص بك لملف htaccess. (لاحظ الفترة في البداية - قد تحتاج إلى إظهار الملفات غير المرئية لعرض ذلك) ، وتأكد من أنه يحتوي على السطر التالي. إذا لم يكن كذلك ، قم بإضافته - ولكن قم بعمل نسخة احتياطية أولاً لأن هذا الملف مهم للغاية.

خيارات الكل - الفهارس

ابق على اطلاع

لا ترتكب نفس الخطأ كما فعلنا: قم دائمًا بترقية WordPress بمجرد توفر التحديث. في بعض الأحيان تحتوي التحديثات على إصلاحات أخطاء بسيطة وليست إصلاحات أمنية ، ولكن اعتاد على هذه العادة ولن تواجهك مشكلة. إذا كان لديك أكثر من تثبيت WordPress واحد ولا يمكنك تتبعهم جميعًا ، فاطلع على ذلك ManageWp.com، لوحة تحكم متميزة لجميع مدوناتك تتضمن فحصًا أمنيًا.

ليس فقط ملفات WordPress الأساسية ، ولكن الإضافات أيضًا: واحدة من أكبر عمليات اختراق WordPress في الماضي تضمنت ثغرة في برنامج نصي مصغر شائع يسمى timthumb.php، ولا تزال هناك موضوعات تستخدم الإصدار القديم. على الرغم من أنه تم تحديث المكونات الإضافية بسرعة ، إلا أن الحفاظ على المظاهر محدثة أصعب بالطبع - لن يخبر WordPress بذلك لك إذا كان موضوعك ضعيفًا ، ولهذا ستحصل على نوع من البرنامج المساعد لمسح الأمان - قم بالتمرير لأسفل ال الإضافات الأمنية القسم أدناه للحصول على بعض الاقتراحات.

لا تقم أبدًا بتنزيل مواضيع عشوائية

ما لم تكن تعرف ما تفعله باستخدام كود PHP ، فمن السهل جدًا الوقوع في فخ تنزيل موضوع عشوائي جميل من في مكان ما ، فقط لتجد أنه يحتوي على بعض التعليمات البرمجية السيئة هناك - الروابط الخلفية الأكثر شيوعًا التي لا يمكنك إزالتها ، ولكن الأسوأ يمكن أن يكون وجدت. التزم بمصممي السمات المتميزين والمشاهير (مثل مجلة تحطيم أو WPShower)، أو للحصول على نسق مجانية فقط استخدم دليل نسق WordPress.

حذف الإضافات والسمات غير المستخدمة

كلما كان الرمز الأقل قابلية للتنفيذ على الخادم الخاص بك ، كان ذلك أفضل - قم بإزالة فرصة وجود رمز قديم وهش من خلال حذف السمات والمكونات الإضافية التي لم تعد تستخدمها. سيؤدي تعطيلها إلى إيقاف تحميل وظائفها ببساطة باستخدام WordPress ، ولكن قد يظل الشفرة نفسها قابلة للتنفيذ بواسطة مخترق.

إزالة تعريف Tell-tale في رأسك

بشكل افتراضي ، بث WordPress نسخته للعالم في رمز ملف الرأس - طريقة سهلة للمتسللين لتحديد عمليات التثبيت القديمة. أضف الأسطر التالية إلى مظهرك وظائف. php لإزالة إصدار WordPress ومعلومات Windows Live Writer وخط يساعد العملاء البعيدين في العثور على ملف XML-RPC.

remove_action ('wp_head'، 'wp_generator')؛ remove_action ('wp_head'، 'wlwmanifest_link')؛ remove_action ('wp_head'، 'rsd_link')؛

إزالة حساب "المسؤول"

معظم هجمات القوة الغاشمة على WordPress تنطوي على محاولة تكرار مشرف الحساب - الافتراضي لجميع عمليات تثبيت WordPress - وقاموس كلمات المرور الشائعة. إذا قمت بتسجيل الدخول باستخدام المسؤول أو كان لديك حساب المسؤول المدرج في جدول المستخدم الخاص بك ، فأنت عرضة لذلك.

طريقتان لإصلاحها: إما استخدامها الفسفور الابيض تحسين البرنامج المساعد - مكون إضافي رائع يتيح لك ، من بين أمور أخرى ، تعطيل المراجعات اللاحقة وإجراء تحسين قاعدة البيانات - لإعادة تسمية حساب المشرف. أو ببساطة قم بإنشاء حساب آخر بامتيازات المسؤول ، وقم بتسجيل الدخول باسم المستخدم الجديد ، ثم احذف حساب "المسؤول" وقم بتعيين جميع المشاركات للمستخدم الجديد.

كلمات مرور آمنة

حتى إذا قمت بتعطيل حساب المسؤول ، فقد يكون من الممكن تحديد اسم المستخدم لحساب المشرف الخاص بك - عند هذه النقطة تكون عرضة لهجوم القوة الغاشمة مرة أخرى. فرض سياسة كلمة مرور قوية تتكون من 16 حرفًا عشوائيًا أو أكثر تتكون من أحرف كبيرة وصغيرة وعلامات ترقيم وأرقام.

أو فقط استخدم reallyLentSentenceThatsEasyToRememberMethod.

تعطيل تحرير الملف داخل وورد

بالنسبة لأولئك الذين لا يرغبون في تسجيل الدخول عبر FTP ، يشتمل WordPress على محرر سهل في لوحة تحكم المشرف لملفات PHP الخاصة بالموضوع والمكونات الإضافية - ولكن هذا يجعل التثبيت ضعيفًا إذا تمكن شخص ما من الوصول إليه. في الواقع ، هذه هي الطريقة التي تمكن بها شخص ما من حقن إعادة توجيه البرامج الضارة في رأسنا. أضف السطر التالي إلى أسفل wp-config.php (في المجلد الجذر) لتعطيل جميع ميزات تحرير الملف - والاستخدام SFTP ما هو SSH وكيف يختلف عن FTP [شرح التكنولوجيا] اقرأ أكثر لتسجيل الدخول إلى الخادم الخاص بك بدلاً من ذلك.

تعريف ("DISALLOW_FILE_EDIT" ، صحيح) ؛

إخفاء أخطاء تسجيل الدخول

يمكن تحديد كلمة مرور غير صحيحة أو اسم مستخدم خاطئ من خلال الأخطاء المعطاة عند تسجيل الدخول ، والتي يمكن استخدامها لتحديد الحسابات للإجبار. من الواضح أن هذا ليس جيدًا ، لذا أقتل الأخطاء بهذه الإضافة إلى مظهرك وظائف. php ملف

الدالة no_errors_please () {return 'Nope'؛ } add_filter ('login_errors'، 'no_errors_please')؛

تنشيط Cloudflare

بالإضافة إلى تسريع موقعك ، يقوم CloudFlare بتخفيف العديد من شبكات الروبوت والماسحات الضوئية المعروفة من الوصول إلى مدونتك في المقام الأول. اقرأ كل شيء عن CloudFlare حماية وتسريع موقع الويب الخاص بك مجانًا مع CloudFlareCloudFlare هي بداية مثيرة للاهتمام من منشئي Project Honey Pot التي تدعي الحماية موقع الويب الخاص بك من مرسلي الرسائل غير المرغوب فيها وبرامج الروبوت وحوش الويب الشريرة الأخرى - بالإضافة إلى تسريع موقعك قليلا... اقرأ أكثر هنا. التثبيت بنقرة واحدة إذا كنت مستضافًا في MediaTemple، وإلا ستحتاج إلى الوصول إلى لوحة تحكم النطاق لتغيير خوادم الأسماء.

الإضافات الأمنية

• أفضل الأمن الفسفور الابيض ينفذ لك العديد من هذه الإصلاحات وهو الحل المجاني الأكثر شمولاً.
• WordFence هي حزمة متميزة تقوم بمسح ملفاتك بنشاط بحثًا عن روابط البرامج الضارة وعمليات إعادة التوجيه ونقاط الضعف المعروفة وما إلى ذلك - وإصلاحها. يبدأ السعر من 18 دولارًا سنويًا لموقع واحد.
• حل أمان تسجيل الدخول كلاهما يحد من محاولات تسجيل الدخول ويفرض كلمات مرور آمنة.
• أمان مضاد للرصاص هو مكون إضافي شامل ولكنه معقد يتعامل مع بعض الجوانب الأكثر تقنية مثل حقن XSS ومشكلات .htaccess. يتوفر أيضًا إصدار Pro pro من المكون الإضافي والذي يعمل على أتمتة معظم العملية.

أعتقد أنك ستوافق على أن هذه قائمة شاملة من الخطوات لتقوية WordPress ، لكنني لا أقترح عليك تنفيذ الكل منهم. إذا اضطررت للقيام بكل ذلك في كل موقع قمت بإعداده ، فما زلت أقوم بإعداده الآن. يؤدي تشغيل أي نوع من النظام إلى وجود خطر ، والأمر متروك لك في النهاية للعثور على التوازن بين مستوى الأمان الذي تريده والجهد الذي تريده في تأمينه - لا شيء سيصل إلى 100٪ آمن. الفاكهة المعلقة المنخفضة هنا:

• إبقاء WordPress محدثًا
• تعطيل حساب المشرف
• إضافة مصادقة من خطوتين
• تثبيت المكوّن الإضافي للأمان

سيؤدي القيام بذلك بمفردك إلى وضعك فوق 99٪ من جميع المدونات الأخرى الموجودة ، وهو ما يكفي لجعل المتسللين المحتملين ينتقلون إلى أهداف أسهل.

هل تعتقد أنني فاتني أي شيء؟ قل لي في التعليقات.