WordPress: 10 ممارسات جيدة من حيث الأمان للمواقع

Linux Post Install

10 دقيقة

WordPress: 10 ممارسات جيدة في الأمور الأمنية

WordPress: 10 ممارسات جيدة في الأمور الأمنية

يُعرف WordPress (WP) باسم الأكثر شعبية CMSمن بين أشياء كثيرة ، تم تصميمها مع التركيز على إمكانية الوصول والأداء وسهولة الاستخدام ، كونها قيد التطوير المستمر (الإصدار الحالي 5.2)، لديك مجتمع ضخم من المستخدمين في العديد من اللغات ولديها قدرة تخصيص هائلة من خلال استخدام السمات والمكونات الإضافية الخاصة أو الخارجية.

أيضا لكونها آمنة جداولكن من أجل ذلك ، كما هو الحال في أي تطبيق أو نظام ، يجب اتباع الممارسات الجيدة لتحقيق تنفيذ آمن على المدى الطويل. ونريد في هذا المنشور تقديم بعض التوصيات الأساسية في هذا الصدد.

مقدمة

WP هو أشهر CMS لبناء مواقع الويب، هو أيضًا هدف متكرر لهجمات الكمبيوتر ، لذلك بصرف النظر عن التحديث المستمر ، تتطلب إجراءات صيانة وتحديث وأمن بشكل متكرر إلى وبالتالي تجنب نقاط الضعف بسبب نقاط الضعف في الوظائف الإضافية ، وكلمات المرور الضعيفة ، والبرامج القديمة ، من بين العديد من الأسباب الأخرى ، أي ، تحقيق تقلل بشكل كبير من ضعفك تجاه أي هجوم مقصود أو غير متوقع.

بالإضافة إلى ذلك ، يسمح لك WP مثل أي أنظمة أخرى لإدارة المحتوى (CMS) بإنشاء موقع ويب بسرعة وكفاءة ثم وضعه على الإنترنت. إن قدرتها العالية على العمل والنمو ، من خلال وحدات وموضوعات تكميلية ، تجعل من السهل أكثر من أي وقت مضى تحقيق هذه المهمة ولكن دون الحاجة إلى سنوات طويلة من التعلم التي عادة ما تكون مطلوبة لهذا الغرض.

ومع ذلك، تأثير جانبي لا شيء ممتع يمكن أن ينشأ من هذا ، قد يكون بعض مديري الأداة المذكورة ، عادة تجاوز ، التدابير اللازمة للتأكد من أن موقع الويب الذي تم إنشاؤه أو صيانته آمن. لهذا السبب ، من المهم أن تضع في اعتبارك بعض التدابير العامة والمحددة (الممارسات الجيدة) ، حول WP أو أي CMS وموقع ويب آخر للحفاظ على سلامته.

الممارسات الجيدة

1.- تعزيز أمنك بشكل عام

من المؤكد أن WP يتجاوز بسهولة 30٪ من قاعدة المواقع النشطة على الإنترنت اليوم، مما يجعله هدفًا مفضلاً للغزاة و / أو المهاجمين (المتسللين / المتطفلين) ذوي النوايا الحسنة أو السيئة. لذلك ، ستتم محاولة ثغرة أمنية معروفة وتم استغلالها بنجاح بالفعل على موقع WP مماثل على مواقع WP مماثلة.

ووردبريس: أول ممارسة جيدة

لذلك ، إذا كنت تدير و / أو تستخدم موقعًا واحدًا (مواقع) أو أكثر مع WP ، فتأكد من أنك أكثر حرصًا وشمولية وإدراكًا لأمنها عبر الإنترنت. ضع في اعتبارك أن معظم انتهاكات الأمان التي تم تحليلها والإبلاغ عنها على مواقع الويب باستخدام WP ليس لها علاقة كبيرة أو لا علاقة لها بجوهر التطبيق نفسه ، ولكن لها علاقة كبيرة بكل ما يتعلق بتنفيذه وتكوينه وصيانته العامة ، نفذت بشكل غير صحيح من قبل المطورين أو الإداريين.

ووردبريس: الممارسة الثانية الجيدة

2.- تعرف على نقاط الضعف الخاصة بك

يحتوي WordPress على حوالي 4.000 نقطة ضعف أمنية معروفة ، موزعة على النحو التالي: WP Core (37٪) ، المكونات الإضافية (52٪) والسمات (11٪)، وفقًا لتقرير حديث من موقع WPScans ، والذي يسمى الآن WPSec (منذ 01-05-2019). تحقق من الثغرات الأمنية التي تواجه موقع الويب الخاص بك وابحث عن حل لحل هذه المشكلات. تجنب تشغيل الإصدارات غير الآمنة من WP Core أو المكونات الإضافية والسمات الخاصة بها.

ركز على موضوعات الأمان التالية على WP أو موقع الويب الخاص بك ، أي على الأنواع المختلفة من هجمات من:

  • القوة الغاشمة: تعزيز الأمن على صفحة تسجيل الدخول الخاصة بك.
  • تضمين الملف: تعزيز أمان ملف تكوين wp-config.php.
  • حقن SQL: تعزيز أمان قاعدة بيانات MySQL المرتبطة بـ WP.
  • عبر موقع البرمجة: تعزيز أمان ملحقات WP المستخدمة.
  • الإصابة بالبرامج الضارة: تعزيز الأمان العام لموقع الويب الخاص بك لمنع الوصول غير المصرح به ، وإدخال البرامج الضارة وما يتبع ذلك من جمع البيانات السرية بواسطة هذه الرموز الخبيثة. عادةً ما تكون البرامج الضارة أو الهجمات الأكثر شيوعًا من النوع: Backdoor و SEO Spam و HackTool و Mailer و Defacement و Phishing. ابحث عن حماية موقعك من كل نوع من أنواع البرامج الضارة أو الهجمات.

تذكر أنه بمجرد اختراق أي موقع ويب ، يمكن أن يتأثر ترتيب تحسين محركات البحث. لأن محركات البحث تميل إلى تسجيل مواقع الويب المخترقة بسرعة بحيث ترسل المتصفحات إشارات تحذير للزوار أو تمنع تمامًا القدرة على التنقل في تلك المواقع.

ووردبريس: ثالث ممارسة جيدة

3.- تعرف على البنية التحتية لمزود الاستضافة الخاص بك

إذا كان موقع الويب الخاص بك يستخدم استضافة خارجية ، أي يتم التعاقد معها خارج بنيتك التحتية ، لا تبخل على التكاليف لضمان جودة الخدمة من مزود الاستضافة الخاص بك. قبل كل شيء ، إذا كان يستضيف موقعه بموجب مخطط "الاستضافة المشتركة".

كما يمكن أن تجعل "الاستضافة المشتركة" ذات الجودة الرديئة موقعك أكثر عرضة للخطر عندما يتم اختراق أحد مواقع الويب العديدة المخزنة على نفس الخادم. بمعنى أنه إذا تم اختراق موقع ويب على خادم باستخدام "استضافة مشتركة" ، يمكن للمهاجمين أيضًا الوصول إلى مواقع الويب الأخرى وبياناتها.

ووردبريس: الممارسة الرابعة الجيدة

4.- تعرف على البريدالمواصفات الفنية للويب من مزود الاستضافة الخاص بك

عندما يتعلق الأمر بتقييم مزود الاستضافة ، فإن بنيته التحتية ليست كل شيء. تعد مواصفات الويب الفنية التي يستخدمها موفر الاستضافة لتحقيق أمان أفضل للمواقع المستضافة مهمة أيضًا. تأكد من أنه يتبع إرشادات الأمان التالية الموصى بها لاستضافة موقع الويب الخاص بك:

  • سهولة تركيب شهادات SSL
  • الإدارة النشطة لإصدارات برامج خادم الويب.
  • حماية جدار الحماية
  • سجل الوصول إلى الموقع
  • عمليات تدقيق الأمن الروتينية
  • كشف النشاط الضار
  • دعم SFTP (ليس فقط FTP) ، و TLS 1.2 و 1.3 ، و PHP 5.6 ، كحد أدنى ، على الرغم من أنه يوصى باستخدام 7.0 وما بعده.

كل هذا ضروري ، على الأقل ، لزيادة أمان موقع الويب الخاص بك مع WP أو بدونه باعتباره CMS مستخدمًا.

WordPress - السمات والإضافات: الإضافات

5.- احذر من الموضوعات والمكملات المستخدمة

المكونات الإضافية والسمات المثبتة لها أهمية كبيرة على مستوى الأمان. تهدف إلى استخدام السمات والإضافات المعتمدة من WP أو Community فقط ، أو المستودعات التجارية المعروفة ، أو مباشرة من المطورين ذوي السمعة الطيبة. نظرًا لأن العديد منهم (غير معتمد) يمكن أن يحتوي على تعليمات برمجية ضارة.

لا يهم مقدار حماية موقعك على الويب من WP إذا قمت بتثبيت البرامج الضارة. قم ببحثك قبل تنزيل وتثبيت أي سمات وإضافات ، أو موقع المطور أو المروج لها ، واحصل على حجوزاتك مع تلك المجانية أو المخفضة.

ووردبريس: الممارسة الرابعة الجيدة

6.- حاول تحديث نظام إدارة المحتوى بشكل متكرر

تعد التحديثات على نظام الويب الخاص بك مهمة جدًا لأمنك. سواء WP الخاص بك CMS أم لا ، يمكن أن تقودك الإصدارات القديمة من Core أو Theme أو المكونات الإضافية إلى إيواء نقاط ضعف معروفة على موقع الويب الخاص بك. في حالة WP ، وهو مفتوح المصدر ، هناك فريق مخصص خصيصًا لهذه المشكلة ضمن جوهر التطبيق.

يتم تصحيح كل ثغرة أمنية تم اكتشافها في WP وإزالتها على الفور من أجل حل كل مشكلة أمنية جديدة تم اكتشافها في WP. بسبب هذا التحديث يعد WP وجميع السمات والإضافات الخاصة به إلى أحدث إصدار مكونًا حيويًا لاستراتيجية أمان ناجحة.

ووردبريس: الممارسة الرابعة الجيدة

7.- وجدت كلمة مرور مناسبة

تعد جودة أو قوة كلمات المرور الخاصة بنا على مواقع الويب مهمة جدًا. يعد تسجيل الدخول إلى مواقعنا الإلكترونية هدفًا رئيسيًا لاستغلال الثغرات الأمنية ، لأنه يوفر سهولة الوصول إلى صفحة إدارة موقع الويب الخاص بك.

هجمات القوة الغاشمة هي الطريقة الأكثر شيوعًا لاستغلال تسجيل الدخول الخاص بك، واكتشاف مجموعات اسم المستخدم وكلمة المرور للوصول إلى موقع الويب. في الحالة المحددة لـ WP ، بشكل افتراضي لا يحد من عدد محاولات تسجيل الدخول الفاشلة التي يمكن أن يقوم بها شخص ما ، وبالتالي ، فإن أكثر ما يوصى به هو استخدام كلمة مرور معقدة لتسجيل دخول مسؤول WP.

عند اختيار كلمة مرور ، يجب مراعاة هذه المتطلبات الأساسية الثلاثة بناءً على تنسيق CLU (معقد ، طويل ، فريد):

  • مركب: يجب أن تكون كلمات المرور عشوائية قدر الإمكان وأقل ارتباطًا بمسؤول الويب أو موقع الويب.
  • طويل: يجب أن يكون طول كلمات المرور 12 حرفًا أو أكثر. ومحصنة بقيود أو قيود على عدد محاولات الاتصال الفاشلة.
  • فريد: لا تعيد استخدام كلمات المرور. يجب أن تكون كل كلمة مرور فريدة في الوقت المناسب. هذه القاعدة البسيطة تحد بشكل كبير من تأثير أي كلمة مرور تم اختراقها.

توصية: استخدم مدير كلمات المرور مثل "LastPass" (عبر الإنترنت) و "KeePass 2" (غير متصل) لإنشاء وتخزين جميع كلمات المرور الخاصة بك بتنسيق مشفر.

ووردبريس: الممارسة السابعة الجيدة

8.- قم دائمًا بإعداد خطة مكافحة الكوارث الخاصة بك

إذا كنت تستخدم WP ، فتذكر أنه لا يحتوي على نظام نسخ احتياطي مدمج. قم بتضمين واحدة كأولوية ، لذلك لديك دائمًا نسخة احتياطية محدثة من موقع الويب الخاص بك. تعتبر النسخ الاحتياطية مهمة ويجب تنفيذها كاستراتيجية أمنية عامة.

لا تنس أنه لا يجب عليك ذلك فقط قم بعمل نسخة احتياطية من مواقع الويب وقواعد البيانات المستخدمةولكن كل الإعدادات من الخادم بأكمله من خلال المهام الآلية باستخدام أنظمة نصية أو صور مستنسخة ، لتسهيل عمليات الاستعادة وإعادة التثبيت اللازمة في أقصر وقت ممكن.

ووردبريس: 8 الممارسة الجيدة

9.- زيادة الأمان باستخدام 2FA

قم بتقوية تسجيل دخول مسؤول WP أو موقع الويب الخاص بك باستخدام آلية المصادقة الثنائية (2FA)، وهي إحدى أفضل الطرق لتأمين موقع الويب الخاص بك اليوم. تضيف المصادقة ذات العاملين طبقة إضافية من الحماية لتسجيل الدخول إلى موقع الويب الخاص بك ، من خلال المطالبة بأن استخدام كلمة المرور الخاصة بك يتطلب رمزًا إضافيًا حساسًا للوقت من جهاز آخر ، مثل هاتفك الذكي ، لتسجيل الدخول بنجاح. .

في حالة WP لا يقدم هذه الوظيفة افتراضيًا قم بتضمين نفس الشيء باستخدام البرنامج المساعدمثل iThemes Security لإضافة نفسه.

ووردبريس: 9 الممارسة الجيدة

10.- استخدم أي ملحقات أمنية ضرورية

تستخدم معظم أنظمة إدارة المحتوى مثل WP المكونات الإضافية لزيادة إمكانات الأمان لأنفسهم. في الحالة المحددة لـ WP ، يوصى باستخدام مكون إضافي للأمان يسمى iThemes Security. لإضافة المزيد من الحماية إلى موقع الويب الخاص بك. يحظر هذا المكون الإضافي WP ، ويصلح الثغرات المعروفة ، ويوقف الهجمات الآلية ، ويقوي بيانات اعتماد المستخدم.

يحتوي على نسخة مجانية (iThemes Security) ونسخة مدفوعة (iThemes Security Pro) الذي يوفر بوضوح المزيد من ميزات الأمان مثل 2FA وعمليات الفحص المجدولة للبرامج الضارة وتسجيل المستخدم ، من بين أشياء أخرى

اختتام

سواء أكان ذلك عبر WP أو CMS آخر ، يمكنك تجنب معظم مشاكل أمان موقع الويب ببساطة عن طريق اتباع ممارسات الأمان الأفضل أو الجيدة. يستحق موقع الويب الخاص بك ويجب أن يكون لديه التدابير الأمنية اللازمة لضمان أو تقليل حرمته في هذه الأوقات المضطربة للغاية بسبب نشاط المتسللين والمخترقين.

وأخيرا وكإضافة ، نوصيك بقراءة هذا المقال الآخر على مدونتنا حول الموضوع لتعزيز أمان موقع الويب الخاص بك ، يسمى: أذونات Linux لمسؤولي النظام والمطورين.


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.