أهم 10 مشكلات أمنية في WordPress وكيفية إصلاحها

لاحظ أن السمات والإضافات غير المستخدمة أو غير النشطة تشكل تهديدًا خطيرًا على موقع WordPress الإلكتروني. وبالتالي ، من الأهمية بمكان حذف جميع المكونات الإضافية والسمات غير المستخدمة على الفور للتأكد من عدم بقاء أي بيانات في قاعدة بيانات WordPress. فيما يلي دليل مناسب حول كيفية إلغاء تثبيت مكونات WordPress الإضافية بشكل صحيح.

كإجراء وقائي عام ، قم دائمًا بتنزيل أحدث إصدار من السمات والمكونات الإضافية من مورد موثوق للتأكد من أن المكون الإضافي أو السمة لا تفتح ثغرة أمنية جديدة في موقعك.

غير الأساسيات

الآن لديك فهم لأساسيات أمان WordPress ، فقد حان الوقت للتحقق من النصائح المتقدمة التالية لتعزيز أمان مواقع الويب الخاصة بك.

نصيحة رقم 8: منع حقن SQL والقرصنة URL

عمليات حقن SQL هي هجمات يقوم فيها المهاجمون بتضمين أوامر SQL في مناطق مختلفة من مواقع الويب (على وجه الخصوص مربع التعليق ومناطق النص). يمكن لهذه الأوامر أن تعرض قاعدة بيانات SQL للخطر وقد تكشف عن معلومات حساسة مخزنة في قاعدة البيانات.

يعد تعديل عنوان URL عن طريق إضافة عبارات PHP تهديدًا محتملاً آخر لأمن WordPress حيث يمكن للمهاجمين شن هجمات على قاعدة البيانات ومكونات موقع الويب الأخرى.

تتم استضافة معظم مواقع WordPress على خادم Apache يحتوي على خدعة ذكية لمواجهة هذه الهجمات. تحتوي جميع خوادم Apache على ملف .htaccess يحدد قواعد الوصول إلى موقع الويب.

لتقليل حوادث حقن SQL واختراق عنوان URL ، أضف الكود التالي إلى ملف .htaccess لوضع مجموعة قوية من القواعد.

 <IfModule mod_rewrite.c>
أعد كتابة المحرك
إعادة كتابة القاعدة /
RewriteCond٪ {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC]
إعادة كتابة القاعدة ^ (. *) $ - [F، L]
أعد كتابة٪ {QUERY_STRING} \. \. \ / [NC، OR]
إعادة كتابة٪ {QUERY_STRING} boot \ .ini [NC، OR]
إعادة كتابة علامة٪ {QUERY_STRING} \ = [NC، OR]
إعادة كتابة٪ {QUERY_STRING} ftp \: [NC، OR]
إعادة كتابة٪ {QUERY_STRING} http \: [NC، OR]
إعادة كتابة٪ {QUERY_STRING} https \: [NC، OR]
أعد كتابة٪ {QUERY_STRING} (\ <|٪ 3C). * script. * (\> |٪ 3E) [NC، OR]
إعادة كتابة٪ {QUERY_STRING} mosConfig_ [a-zA-Z _] {1،21} (= |٪ 3D) [NC، OR]
أعد كتابة٪ {QUERY_STRING} base64_encode. * \ (. * \) [NC، OR]
أعد كتابة٪ {QUERY_STRING} ^. * (\ [| \] | \ (| \) | <|> | e | "|؛ | \؟ | \ * | = $). * [NC، OR]
أعد كتابة٪ {QUERY_STRING} ^. * (& # x22؛ | & # x27؛ | & # x3C؛ | & # x3E؛ | & # x5C؛ | & # x7B؛ | & # x7C؛). * [NC، OR ]
أعد كتابة٪ {QUERY_STRING} ^. * (٪ 24 & x). * [NC، OR]
أعد الكتابة٪ {QUERY_STRING} ^. * (٪ 0 |٪ A |٪ B |٪ C |٪ D |٪ E |٪ F | 127 \ .0). * [NC، OR]
RewriteCond٪ {QUERY_STRING} ^. * (globals | encode | localhost | loopback). * [NC، OR]
إعادة كتابة٪ {QUERY_STRING} ^. * (طلب | حدد | إدراج | اتحاد | إعلان). * [NC]
RewriteCond٪ {HTTP_COOKIE}! ^. * WordPress_logged_in _. * $
إعادة كتابة القاعدة ^ (. *) $ - [F، L]
</IfModule>

كما ترى ، فإن الكود "يطهر" البيانات التي تدخل في حقول الإدخال. بالإضافة إلى ذلك ، يتم التعامل مع كل هذه المدخلات كسلسلة بدلاً من عبارة استعلام SQL.

نصيحة رقم 9: رفض الوصول إلى الملفات الحساسة في WordPress

يحتوي تثبيت WordPress على العديد من الملفات الحساسة ، مثل ملفات wp-config.php و install.php و readme.html . يجب أن تبقى هذه الملفات مخفية عن أي وصول خارجي.

مرة أخرى ، يعد .htaccess أفضل صديق لك. يمكنك إضافة الأسطر التالية إلى الملف لمنع تشويه الملفات المهمة. يمنع مقتطف الشفرة التالي أيضًا الوصول إلى قوائم دليل المستخدم وإخفاء ملفات الخادم و WordPress الحساسة من الوصول غير المصرح به.

 خيارات جميع الفهارس

<ملفات .htaccess>
الأمر يسمح ، يرفض
رفض من الجميع
</files>

<ملفات readme.html>
الأمر يسمح ، يرفض
رفض من الجميع
</files>

<files License.txt>
الأمر يسمح ، يرفض
رفض من الجميع
</files>

<ملفات install.php>
الأمر يسمح ، يرفض
رفض من الجميع
</files>

<ملفات wp-config.php>
الأمر يسمح ، يرفض
رفض من الجميع
</files>

<ملفات error_log>
الأمر يسمح ، يرفض
رفض من الجميع
</files>

<ملفات fantastico_fileslist.txt>
الأمر يسمح ، يرفض
رفض من الجميع
</files>

<ملفات fantversion.php>
الأمر يسمح ، يرفض
رفض من الجميع
</files>

إذا كنت ترغب في التعمق أكثر في استخدام ملف .htaccess لتحسين WordPress الخاص بك ، فإليك وصفًا مفصلاً لملف WordPress .htaccess.

نصيحة # 10: تغيير البادئة الافتراضية لقاعدة البيانات

إخفاء إصدار WordPress : بشكل افتراضي ، يضيف WordPress تلقائيًا رقم الإصدار الحالي إلى قسم رأس السمات. نصيحة أمنية رائعة هي عدم عرض إصدار WordPress علنًا ، وذلك ببساطة بسبب حقيقة أن المهاجمين يمكنهم شن هجمات ضد جميع نقاط الضعف المعروفة للإصدار المذكور في العنوان.

يجب تضمين السطر البسيط التالي من التعليمات البرمجية في ملف function.php الخاص بقالبك لإخفاء إصدارات WordPress.

 remove_action ('wp_head'، 'wp_generator') ؛

تغيير بادئة WordPress الافتراضية لقاعدة البيانات : تحتوي جميع الجداول في قاعدة بيانات WordPress على أسماء تبدأ بالبادئة على الرغم من أن هذه الميزة تبدو رائعة ، إلا أن قراصنة WordPress يبسطون الأمور إلى حد كبير عن طريق إزالة بعض التخمينات.

يمكن للمستخدم تقييد هذه القدرة على التنبؤ عن طريق تغيير بادئة WordPress الافتراضية لجداول قاعدة بيانات المستخدم أثناء تثبيت WordPress. يمكن القيام بذلك أيضًا لمواقع الويب النشطة بالفعل من خلال معالجة قواعد بيانات المستخدم في عدة أماكن. أوصي باستخدام أحد أفضل المكونات الإضافية للأمان في WordPress والتي تنفذ مجموعة من الدفاعات لموقع WordPress على الويب.

تساعد Cloudways في تأمين مواقع WordPress

بعد هذا الدليل التفصيلي لتأمين مواقع WordPress ، تجدر الإشارة إلى أنه لا يمكن تأمين WordPress بمعزل عن غيرها. يجب على مستخدمي WordPress أيضًا اختيار بيئة استضافة آمنة توفر بيئة آمنة لموقع الويب.

إليك كيفية توفير Cloudways بيئة استضافة WordPress آمنة.

• البنية التحتية السحابية من الدرجة الأولى : دخلت Cloudways في شراكة مع مزودي البنية التحتية السحابية من الدرجة الأولى الذين يعتبرون الأمن مصدر قلقهم الأول. تضمن استضافة موقع WordPress على السحابة مستوى عالٍ من الأمان.
• جدران الحماية : تأتي جميع الخوادم التي يتم إطلاقها عبر Cloudways بجدار حماية مثبت مسبقًا يعمل كخط دفاع أول لموقع الويب.
• مراقبة الخادم : تساعد مراقبة الخادم في تحديد الزيادات غير المتوقعة في حركة المرور التي يمكن أن تؤدي إلى تعطيل موقع الويب.
• حماية الروبوت: تهدف حماية الروبوت إلى تحديد وحظر حركة المرور الضارة ، والحماية من الهجمات مثل هجمات القاموس ، وكشط الويب ، وهجمات القوة الغاشمة. كما أنه يساعد في تقليل استخدام موارد الخادم لتطبيقات WordPress. تستهدف هذه الهجمات الوصول غير المصرح به إلى موقع الويب الخاص بك أو إرباكه ، لكن حماية الروبوت تراقب جميع هذه الأنشطة وتحظرها بشكل استباقي عند اكتشافها.
• وصول SSH و SFTP : لا يزال العديد من مقدمي الاستضافة يستخدمون FTP للوصول إلى الملفات. ومع ذلك ، مع Cloudways SFTP (بروتوكول نقل الملفات الآمن) يكون اتصالك مشفرًا وآمنًا. إذا كانت هناك فرق متعددة تعمل على مشروع مستضاف على خادم ، فيمكن تعيينها للوصول إلى تطبيق معين بدلاً من الخادم بأكمله.
• نظام التشغيل والتطبيقات المحدثة : يراقب الخبراء في Cloudways أحدث الإصدارات ويضمنون توافرها بعد اختبارات الاستقرار والتوافق.
• بيانات الاعتماد المُنشأة عشوائيًا : تحتوي جميع التطبيقات التي يتم تشغيلها عبر Cloudways على بيانات اعتماد افتراضية يتم إنشاؤها عشوائيًا يصعب تخمينها.
• النسخ الاحتياطي : في حالة وقوع كارثة ، فإن النسخ الاحتياطي للموقع هو أفضل رهان لاستعادة أسرع بعد الكوارث. يمكنك ضبط تردد النسخ الاحتياطي على أقل من ساعة.
• شهادة SSL مجانية : توفر Cloudways تثبيت شهادة SSL بنقرة واحدة مع ميزة التجديد التلقائي.
• بيئة التدريج المجانية: تقدم Cloudways بيئة انطلاق مجانية لـ WordPress للتأكد من استمرار عمل كل شيء على النحو المنشود.
• دعم الدردشة الحية على مدار الساعة طوال أيام الأسبوع : هل ما زلت قلقًا بشأن أمان الخادم وأدائه؟ يتوفر دعم Cloudways دائمًا على مدار الساعة.
• الدعم عبر الهاتف: هذا هو ملحق الدعم المتميز إذا كنت بحاجة إلى أي مساعدة ، يمكنك أيضًا الاتصال وكبير المهندسين لدينا مع الرد المباشر في أي وقت.

اطرح الأسئلة بشكل متكرر

س: كيف أصلح أن WordPress غير آمن؟

ج: اتبع هذا الدليل واطلع على جميع النقاط التي ذكرتها ، وآمل أن يساعدك كثيرًا.

س: هل يجب أن أستخدم شهادة SSL لتأمين موقع WordPress الخاص بي؟

ج: نعم ، يجب أن تقدم معظم شركات الاستضافة شهادة SSL مجانية بنقرة واحدة.

س: هل لدى WordPress مشكلات أمنية؟

ج: يعد WordPress أكثر أنظمة إدارة المحتوى تفضيلاً (CMS) المستخدمة اليوم. بمساعدة العديد من السمات والمكونات الإضافية ، يمكن للمرء بسهولة تخصيص موقع الويب الخاص به وفقًا لذوقه وتفضيلاته. ومع ذلك ، يعد أمان WordPress أحد المشكلات الرئيسية التي تهم الكثيرين.

الحد الأدنى

تضمن نصائح الأمان في WordPress وجود موقع ويب فعال وآمن. ومع ذلك ، ينسى الكثير من الناس أن الدفاع عن موقع WordPress هو عملية مستمرة تتطلب اهتمامًا مستمرًا في مواجهة الأدوات والحيل الجديدة الناشئة في الفضاء الإلكتروني.

أقترح بشدة أن يحتفظ مستخدمو WordPress بسجل لما حدث على WordPress باستخدام مكون إضافي لتدقيق الأمان واستخدام مكون أمان WordPress الإضافي المفضل الذي يقوي بيئة WordPress ضد التهديدات الأمنية.

لا تتردد في الإضافة إذا كنت تعتقد أن شيئًا قد فاتني. سأضيفه إلى القائمة في أسرع وقت ممكن. إذا كان لديك أي أسئلة ، يرجى نشرها في التعليقات أدناه.