الإعلانات

وورد الأمن المساعدبدون شك ، بالنسبة إلى مدونة ذاتية الاستضافة ، يعد WordPress أفضل مدونة CMS يمكنك الحصول عليها. ومع ذلك ، كونه برنامجًا شائعًا ومفتوح المصدر ، فهذا يعني أيضًا أن المتسللين لديهم حق الوصول الكامل إلى الشفرة التي يمكنهم التدقيق فيها للعثور على أي مآثر يمكنهم استخدامها لاختراق أي برنامج يدعم WordPress موقع.

على الجانب الجيد ، أحد أفضل الأشياء حول WordPress هو نظام الإضافات الذي يسمح لأي شخص بذلك تثبيت أي مكونات إضافية أو إنشاء الإضافات الخاصة بك لتوسيع وظائفه ، بما في ذلك التحسين الأمان.

هنا ، أدرجت بعض المكونات الإضافية لأمان WordPress (وبعض الحيل) التي يمكنك استخدامها لتأمين مدونة WordPress.

جميع الإضافات والحيل المذكورة أدناه مخصصة لـ WP 2.7 والإصدارات الأحدث. إذا كنت لا تزال تستخدم إصدارًا قديمًا من WordPress ، فقد حان الوقت لترقية مدونتك.

حماية تسجيل الدخول الخاص بك

يستخدم هذا البرنامج المساعد شاب بروتوكول لتشفير كلمة المرور الخاصة بك. يتم تمليح كلمة المرور أولاً برقم عشوائي (nonce) تم إنشاؤه بواسطة الجلسة ، متبوعًا بخوارزمية تحويل md5. يتم بعد ذلك إرسال هذه النتيجة إلى الخادم حيث يتم فكها ومصادقتها. هذا مكون إضافي بدون تكوين ، مما يعني أنه يمكنك استخدامه فورًا بعد تنشيطه.

instagram viewer

2. تسجيل الدخول التسلل

يُخفي تسجيل الدخول المتسلل صفحة تسجيل الدخول عن طريق السماح لك بتحديد صفحة تسجيل دخول مخصصة بدلاً من wp-login.php الافتراضي في حالة تسرب كلمة المرور الخاصة بك ، سيجد المخترق أيضًا صعوبة في العثور على عنوان URL الصحيح لتسجيل الدخول. الاستخدام الجيد لهذا هو منع أي روبوتات ضارة من الوصول إلى ملف wp-login.php ومحاولة الاختراق.

تأمين تسجيل الدخول مفيد في منع هجوم القوة الغاشمة. ما يفعله LockDown هو تسجيل عنوان IP والطابع الزمني لكل محاولة تسجيل دخول فاشلة. إذا تم اكتشاف أكثر من عدد معين من المحاولات خلال فترة زمنية قصيرة من نفس نطاق IP ، فسيؤدي ذلك إلى إغلاق وظيفة تسجيل الدخول ومنع أي شخص من نطاق IP هذا من تسجيل الدخول.

يضيف هذا المكون الإضافي مصادقة HTTP إضافية لتوفير طبقة ثانية من الدفاع لمدونتك. يمكنك إعداد الحماية بكلمة المرور لمدونتك باستخدام مصادقة HTTP الأساسية ، أو يمكنك اختيار استخدام مصادقة تلخيص HTTP الأكثر أمانًا.

لاحظ أن هذا البرنامج المساعد قد / لا يعمل اعتمادًا على قدرة الخادم الخاص بك. إذا كان موقعك لا يجتاز اختبارات تكوين AskApache (يتم تشغيل الاختبارات بواسطة المكون الإضافي للكشف عنها قدرات الخادم الخاص بك) ، اتصل بمضيف الويب الخاص بك ومعرفة ما إذا كان يمكنهم إجراء تغييرات على الخادم جانب.

يوفر هذا البرنامج المساعد بيئة تسجيل دخول "شبه آمنة" من خلال تشفير كلمة المرور الخاصة بك مع تشفير RSA

حماية قاعدة البيانات الخاصة بك

ربما بالنسبة للبعض منكم ، فإن النسخ الاحتياطي لقاعدة بيانات قد يعني عملًا فنيًا مزعجًا. مع WP-DB-Backup ، ما عليك سوى تكوينه مرة واحدة وتشغيله تلقائيًا على فترات منتظمة.

ما يفعله هذا المكون الإضافي هو أتمتة النسخ الاحتياطي لقاعدة البيانات الخاصة بك وإرسالها إلى صندوق البريد الإلكتروني الخاص بك. بخلاف الجدول الافتراضي الذي تم إنشاؤه بواسطة WordPress ، يمكنك أيضًا نسخ جداول مخصصة تم إنشاؤها بواسطة المكونات الإضافية. في حالة تعطل حسابك ، يمكنك بسهولة استيراد قاعدة البيانات واستعادتها باستخدام النسخة الاحتياطية.

Wp-DBManager يشبه phpmyadmin داخل لوحة التحكم الخاصة بك. يمكنك بسهولة إدارة قاعدة البيانات الخاصة بك مباشرة داخل لوحة التحكم الخاصة بك. هناك ميزات مفيدة مثل تحسين / إصلاح / نسخ احتياطي / استعادة قاعدة البيانات الخاصة بك وإذا كنت تقنيًا بما فيه الكفاية ، يمكنك حتى تشغيل استعلام SQL الخاص بك من صفحة الخيار.

على الجانب السيئ ، إذا تمكن أي متسلل من تسجيل الدخول إلى موقعك ، فسيكون هذا المكون الإضافي بوابة لهم لإنشاء فوضى في قاعدة البيانات الخاصة بك.

كيفية تأمين مدونة وورد

8. تغيير بادئة جدول قاعدة البيانات

البادئة الافتراضية التي يستخدمها WordPress هي "wp". يمكنك بسهولة تغيير البادئة إلى مصطلحات أخرى يصعب تخمينها باستخدام WP-Security-Scan. مزيد من التفاصيل حول هذا البرنامج المساعد أدناه.

9. حماية ملف wp-config.php الخاص بك

يحتوي ملف wp-config.php على جميع بيانات اعتماد تسجيل الدخول إلى قاعدة البيانات الخاصة بك ويجب أن يكون مخفيًا عن العرض العام في جميع الظروف. في ملف htaccess ، ضع هذا السطر:


يسمح النظام ، ينكر. رفض من الجميع.

لمنع أي شخص من عرض ملف wp-config.php.

حماية صفحة المسؤول الخاصة بك

يفرض هذا المكون الإضافي SSL على جميع الصفحات حيث يمكن إدخال كلمات المرور بحيث يتم تشفير جميع المعلومات المرسلة.

شيء واحد على الرغم من ذلك ، يجب أن تمتلك شهادة SSL قبل أن تتمكن من القيام بذلك. إذا كنت لا ترغب في صرف الأموال الإضافية لشراء شهادة SSL خاصة ، فيمكنك أن تسأل مضيف الويب الخاص بك عن SSL المشتركة. توفر معظم مضيفي الويب SSL مشتركًا لجميع عملائهم ومن السهل تكوينه.

11. قم بتغيير اسم مستخدم تسجيل الدخول

استخدام "admin" كاسم مستخدم لتسجيل الدخول هو آخر شيء تريد القيام به. عند تثبيت WordPress لأول مرة ، يجب عليك على الفور إنشاء حساب مسؤول آخر باسم المستخدم وكلمة المرور الخاصين بك وحذف حساب "المسؤول".

منع الآخرين من عرض هيكل ملفك الداخلي

12. إخفاء نسخة الفسفور الأبيض

في معظم المواضيع وورد تحت

القسم ، هناك دائمًا سطر من التعليمات البرمجية يوضح إصدار WordPress الذي تستخدمه. التخلي عن رقم إصدار WordPress الخاص بك يعني إخبار المخترق بما يستغل لاستخدامه لاختراق موقعك.
اختبار أمان وورد

منذ WP2.6.5 ، جعلت WordPress من الصعب إزالة إصدار wp لأنه يدمج تلك المعلومات داخل wp_header بطاقة شعار. البرنامج المساعد الذي يمكنك استخدامه لإزالة تلك المعلومات WP-Security-Scan.

13. إخفاء محتوى WP

مجلد محتوى WP هو المكان الذي قمت فيه بتخزين جميع المكونات الإضافية وملفات السمات. هذا هو المكان الذي تريد منع الآخرين من النظر إليه. يمكنك إما تحميل فارغة index.html ملف إلى مجلد wp-content ، أو أنشئ ملف htaccess. في مجلد wp-content وأضف هذا السطر:

خيارات الكل - الفهارس
14. منع مجلد wp من الفهرسة بواسطة محركات البحث
بينما تريد أن تقوم محركات البحث بفهرسة مدونتك وجلب الكثير من حركة المرور ، فإن آخر شيء تريد رؤيته هو السماح لمحركات البحث بالكشف عن بنية ملفك الداخلي للجمهور. ما يمكنك فعله هو منع فهرسة كل مجلد wp من محرك البحث عن طريق إضافة الإدخالات التالية إلى robot.txt:
Disallow: / wp- * 
اعمال صيانة
لقد ذكرت هذا البرنامج المساعد عدة مرات ، لذلك حان الوقت لشرح ما يفعله. يتحقق WP-Security-Scan من WordPress الخاص بك بحثًا عن الثغرات الأمنية ويقترح / يوفر إجراءات تصحيحية. تتضمن الإجراءات التصحيحية تغيير بادئة قاعدة البيانات الخاصة بك ، وإخفاء رقم إصدار WordPress من الرأس ويسمح لك باختبار قوة كلمة المرور الخاصة بك.
من حين لآخر ، من الجيد تشغيل الماسح الضوئي الأمني ​​المدمج والتحقق من مدونتك بحثًا عن أي ثغرات أمنية.
16. قم بتغيير كلمة المرور بانتظام
لا يجب عليك تغيير كلمة مرورك بانتظام فحسب ، بل يجب عليك أيضًا التأكد من أنها كلمة مرور قوية. إذا واجهت صعوبة في إنشاء واحدة ، فابحث عن طريقة يمكنك القيام بها إنشاء كلمات مرور قوية يمكنك تذكرها بسهولة كيفية إنشاء كلمات مرور قوية يمكنك تذكرها بسهولة اقرأ أكثر .
17. قم بتحديث WordPress وجميع المكونات الإضافية إلى أحدث إصدار
وغني عن القول أن الترقية إلى أحدث إصدار من WordPress والمكونات الإضافية هي أفضل طريقة لحماية نفسك.
حماية اتصالك
18. SFTP
من الشائع القيام بنقل الملفات إلى حسابك على الإنترنت. ومع ذلك ، بدلاً من استخدام FTP غير الآمن ، يجب عليك استخدامه SFTP (بروتوكول نقل الملفات الآمن). سيؤدي هذا إلى إنشاء اتصال SSH وإرسال جميع ملفاتك مشفرة إلى الخادم. إذا كنت بحاجة إلى المساعدة في إنشاء اتصال SFTP ، فإليك يرشد.
يجب أن تكون المعلومات المذكورة أعلاه كافية لإنشاء مدونة WordPress آمنة. إذا لم تكن قد نفذت أيًا من هذه الإجراءات ، فإنني أحثك ​​على القيام بذلك الآن.
ما الطرق الأخرى التي تستخدمها لتأمين مدونة WordPress الخاصة بك؟

داميان أوه هو مهووس شامل في مجال التكنولوجيا يحب تعديل القرصنة واختراق أنظمة التشغيل المختلفة لجعل الحياة أسهل. تحقق من مدونته في MakeTechEasier.com حيث يشارك جميع النصائح والحيل والبرامج التعليمية.