تقنية

كيفية تحسين أمان مدونات WordPress الخاصة بك

كيفية تحسين أمان مدونات WordPress الخاصة بك


يعد WordPress نظام إدارة المحتوى الأكثر شيوعًا ذاتيًا (CMS) على الإنترنت ، وبالتالي ، مثل Microsoft Windows ، وهو أيضًا الهدف الأكثر شعبية للهجمات. البرنامج مفتوح المصدر ، ويتم استضافته على Github ، ويبحث المتسللون دائمًا عن الأخطاء ونقاط الضعف التي يمكن استغلالها للوصول إلى مواقع WordPress الأخرى.

أقل ما يمكنك القيام به للحفاظ على آمنة تثبيت WordPress الخاص بك هو التأكد من تشغيله دائمًا أحدث إصدار من برنامج WordPress.org وأيضًا تحديث المواضيع والإضافات المختلفة. فيما يلي بعض الأشياء التي يمكنك القيام بها لتحسين أمان مدونات WordPress الخاصة بك:

#1. تسجيل الدخول بحساب WordPress الخاص بك

عند تثبيت مدونة WordPress ، يطلق على المستخدم الأول “المسؤول” افتراضيًا. يجب عليك إنشاء مستخدم مختلف لإدارة مدونة WordPress الخاصة بك وإما إزالة المستخدم “المسؤول” أو تغيير الدور من “المسؤول” إلى “المشترك”.

يمكنك إما إنشاء اسم مستخدم عشوائيًا تمامًا (يصعب تخمينه) أو بديل أفضل هو أنك تمكّن تسجيل الدخول المفرد باستخدام jetpack واستخدام حساب WordPress.com الخاص بك لتسجيل الدخول إلى مدونة WordPress المستضافة ذاتيًا.

#2. لا تعلن عن إصدار WordPress الخاص بك للعالم

تنشر مواقع WordPress دائمًا رقم الإصدار ، مما يسهل على الأشخاص تحديد ما إذا كنت تقوم بتشغيل إصدار قديم من WordPress.

من السهل[إزالةإصدارWordPressمنالصفحةولكنتحتاجإلىإجراءتغييرآخرحذف[removetheWordPressversionfromthepagebutyouneedtomakeonemorechangeDeletethereadme.html ملف من دليل تثبيت WordPress الخاص بك لأنه يعلن أيضًا عن إصدار WordPress الخاص بك إلى العالم.

#3. لا تدع الآخرين “يكتبون” إلى دليل WordPress الخاص بك

قم بتسجيل الدخول إلى WordPress Linux Shell وتنفيذ الأمر التالي للحصول على قائمة بجميع الدلائل “المفتوحة” حيث يمكن لأي مستخدم آخر كتابة الملفات.

find . -type d -perm -o=w

قد ترغب أيضًا في تنفيذ الأوامر التالية في قذيفة لتعيين الأذونات المناسبة لجميع ملفات ومجلدات WordPress الخاصة بك.

find /your/wordpress/folder/ -type d -exec chmod 755 {} \\;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \\;

بالنسبة للدلائل ، تعني 755 (RWXR-XR-X) أن المالك فقط هو الذي يحصل على إذن الكتابة بينما قام الآخرون بقراءة الأذونات وتنفيذها. بالنسبة للملفات ، تعني 644 (RW-R-R-) أن مالكي الملفات قد قرأوا وكتابة أذونات بينما يمكن للآخرين قراءة الملفات فقط.

#4. أعد تسمية بادئة جداول WordPress الخاصة بك

إذا قمت بتثبيت WordPress باستخدام الخيارات الافتراضية ، فإن جداول WordPress الخاصة بك لها أسماء مثل wp_posts أو wp_users. وبالتالي ، من الجيد تغيير بادئة الجداول (WP*) إلى بعض القيمة العشوائية. يتيح لك البرنامج المساعد PRECIN DB DB إعادة تسمية بادئة الجدول إلى أي سلسلة أخرى بنقرة.

#5. منع المستخدمين من تصفح دلائل WordPress الخاصة بك

هذا مهم. افتح ملف .htaccess في دليل جذر WordPress الخاص بك وأضف السطر التالي في الأعلى.

الخيارات -المؤشرات

سيمنع العالم الخارجي من رؤية قائمة بالملفات المتوفرة في الدلائل الخاصة بك في حالة عدم وجود ملفات افتراضية.

#6. قم بتحديث مفاتيح أمان WordPress

اذهب هنا لإنشاء ستة مفاتيح أمان لمدونة WordPress الخاصة بك. افتح ملف wp-config.php داخل دليل WordPress وقم بالكتابة على المفاتيح الافتراضية مع المفاتيح الجديدة.

تجعل هذه الأملاح العشوائية كلمات مرور WordPress المخزنة أكثر أمانًا والميزة الأخرى هي أنه إذا تم تسجيل شخص ما إلى WordPress دون علمك ، فسيتم تسجيلها فورًا حيث ستصبح ملفات تعريف الارتباط الخاصة بهم غير صالحة الآن.

#7. احتفظ بسجل من أخطاء WordPress PHP و DATABASE

يمكن أن توفر سجلات الأخطاء في بعض الأحيان تلميحات قوية حول نوع استعلامات قاعدة البيانات غير الصالحة وطلبات الملفات التي تضغط على تثبيت WordPress الخاص بك. أفضل مراقبة سجل الأخطاء لأنه يرسل بشكل دوري سجلات الأخطاء عن طريق البريد الإلكتروني ويعرضها أيضًا كعامل عنصر واجهة مستخدم داخل لوحة معلومات WordPress الخاصة بك.

لتمكين تسجيل الخطأ في WordPress ، أضف الكود التالي إلى ملف wp-config.php وتذكر لاستبدال/path/to/error.log بالمسار الفعلي لملف السجل الخاص بك. يجب وضع ملف error.log في مجلد لا يمكن الوصول إليه من المتصفح (مرجع).

define('WP_DEBUG', true);
if (WP_DEBUG) {
define('WP_DEBUG_DISPLAY', false);
@ini_set('log_errors', 'On');
@ini_set('display_errors', 'Off');
@ini_set('error_log', '/path/to/error.log');
}

#9. كلمة المرور حماية لوحة معلومات المشرف

من الجيد دائمًا أن تحمي كلمة المرور مجلد WP-Admin الخاص بـ WordPress لأن أيا من الملفات في هذا المجال مخصصة للأشخاص الذين يزورون موقع الويب الخاص بـ WordPress العام. بمجرد الحماية ، سيتعين على المستخدمين المعتمدين إدخال كلمة مرور لتسجيل الدخول إلى لوحة معلومات مسؤول WordPress الخاصة بهم.

10. تتبع نشاط تسجيل الدخول على خادم WordPress الخاص بك

يمكنك استخدام أمر “Last -I” في Linux للحصول على قائمة بجميع المستخدمين الذين قاموا بتسجيل الدخول إلى خادم WordPress الخاص بك مع عناوين IP الخاصة بهم. إذا وجدت عنوان IP غير معروف في هذه القائمة ، فقد حان الوقت بالتأكيد لتغيير كلمة المرور الخاصة بك.

أيضًا ، سيعرض الأمر التالي نشاط تسجيل الدخول للمستخدم لفترة أطول من الوقت الذي تم تجميعه بواسطة عناوين IP (استبدل اسم المستخدم باسم مستخدم Shell الخاص بك).

last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c

راقب WordPress الخاص بك مع الإضافات

يحتوي مستودع WordPress.org على عدد غير قليل من الإضافات الجيدة المتعلقة بالأمان والتي ستراقب بشكل مستمر موقع WordPress الخاص بك من أجل التدخلات وغيرها من النشاط المشبوه. فيما يلي تلك الأساسية التي أوصي بها.

  1. استغلال الماسح الضوئي – سيقوم بسرعة بمسح ملفات WordPress وملفات المدونة وسرد تلك التي قد تحتوي على رمز ضار. قد يتم إخفاء روابط البريد العشوائي في منشورات مدونة WordPress الخاصة بك باستخدام CSS أو IFRAMES وسيقوم المكون الإضافي باكتشافها أيضًا.
  2. Wordfence Security – هذا هو البرنامج المساعد الأمني ​​قوي للغاية يجب أن يكون لديك. سيقارن ملفات WordPress الأساسية مع الملفات الأصلية في المستودع بحيث يتم اكتشاف أي تعديلات على الفور. أيضًا ، سيقوم المكون الإضافي بإغلاق المستخدمين بعد عدد محاولات تسجيل الدخول غير الناجحة.
  3. WP Notifier – إذا لم تقم بتسجيل الدخول إلى لوحة معلومات مسؤول WordPress في كثير من الأحيان ، فإن هذا المكون الإضافي يناسبك. سوف يرسل لك تنبيهات البريد الإلكتروني كلما كانت التحديثات الجديدة متاحة للسمات المثبتة والمكونات الإضافية و WordPress الأساسية.
  4. VIP Scanner – سيقوم المكون الإضافي “الرسمي” للأمان بمسح موضوعات WordPress الخاصة بك لأي مشاكل. سيكتشف أيضًا أي رمز إعلان قد يكون قد تم حقنه في قوالب WordPress الخاصة بك.
  5. Sucuri Security – يراقب WordPress الخاص بك عن أي تغييرات على الملفات الأساسية ، ويرسل إشعارات البريد الإلكتروني عند تحديث أي ملف أو منشور ويحافظ أيضًا على سجل لنشاط تسجيل الدخول إلى المستخدم بما في ذلك تسجيلات تسجيل الدخول الفاشلة.

نصيحة: يمكنك أيضًا استخدام أمر Linux التالي للحصول على قائمة بجميع الملفات التي تم تعديلها في الأيام الثلاثة الماضية. قم بتغيير MTIME إلى MMIN لرؤية الملفات المعدلة “N” قبل دقائق.

find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"

تأمين صفحة تسجيل الدخول إلى WordPress الخاص بك

يمكن الوصول إلى صفحة تسجيل دخول WordPress الخاصة بك إلى العالم ، ولكن إذا كنت ترغب في منع المستخدمين غير المصرحين من تسجيل الدخول إلى WordPress ، فلديك ثلاثة خيارات.

  1. حماية كلمة المرور مع .htaccess – وهذا يتضمن حماية مجلد WP -Admin الخاص بـ WordPress الخاص بك مع اسم المستخدم وكلمة المرور بالإضافة إلى بيانات اعتماد WordPress العادية.
  2. Google Authenticator – يضيف هذا المكون الإضافي الممتاز التحقق من خطوتين إلى مدونة WordPress الخاصة بك على غرار حساب Google الخاص بك. سيتعين عليك إدخال كلمة المرور وأيضًا الرمز المعتمد على الوقت الذي تم إنشاؤه على هاتفك المحمول.
  3. تسجيل الدخول إلى Password -Pwork -Adword – استخدم البرنامج المساعد CLEF لتسجيل الدخول إلى موقع WordPress الخاص بك عن طريق مسح رمز الاستجابة السريعة ويمكنك إنهاء الجلسة عن بُعد بهاتفك المحمول نفسه.

انظر أيضًا: مكونات WordPress يجب أن تكون



Source link

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى