كيفية تحسين أمان مدونة WordPress الخاصة بك

نشرت: 2022-02-26

يعد WordPress أكثر أنظمة إدارة المحتوى المستضافة ذاتيًا (CMS) شيوعًا على الإنترنت ، وبالتالي ، مثل Microsoft Windows ، فهو أيضًا الهدف الأكثر شيوعًا للهجمات. البرنامج مفتوح المصدر ، ومستضاف على Github ، ويبحث المتسللون دائمًا عن الأخطاء ونقاط الضعف التي يمكن استغلالها للوصول إلى مواقع WordPress الأخرى.

ووردبريس أقل ما يمكنك فعله للحفاظ على تثبيت WordPress الخاص بك آمنًا هو التأكد من أنه يعمل دائمًا على تشغيل أحدث إصدار من برنامج WordPress.org وأيضًا يتم تحديث السمات والإضافات المختلفة. فيما يلي بعض الأشياء الأخرى التي يمكنك القيام بها لتحسين أمان مدونات WordPress الخاصة بك:

# 1. تسجيل الدخول بحساب WordPress الخاص بك

عند تثبيت مدونة WordPress ، يُطلق على المستخدم الأول اسم "admin" افتراضيًا. يجب عليك إنشاء مستخدم مختلف لإدارة مدونة WordPress الخاصة بك وإما إزالة المستخدم "admin" أو تغيير الدور من "المسؤول" إلى "المشترك".

يمكنك إما إنشاء اسم مستخدم عشوائي تمامًا (يصعب تخمينه) أو يكون البديل الأفضل هو تمكين تسجيل الدخول الفردي باستخدام Jetpack واستخدام حساب WordPress.com الخاص بك لتسجيل الدخول إلى مدونة WordPress المستضافة ذاتيًا.

# 2. لا تعلن عن إصدار WordPress الخاص بك للعالم

تنشر مواقع WordPress دائمًا رقم الإصدار ، مما يسهل على الأشخاص تحديد ما إذا كنت تقوم بتشغيل إصدار قديم غير مصحح من WordPress.

من السهل إزالة إصدار WordPress من الصفحة ولكنك تحتاج إلى إجراء تغيير آخر. احذف ملف readme.html من دليل تثبيت WordPress الخاص بك لأنه يعلن أيضًا عن إصدار WordPress الخاص بك للعالم.

# 3. لا تدع الآخرين "يكتب" إلى دليل WordPress الخاص بك

قم بتسجيل الدخول إلى قشرة WordPress Linux الخاصة بك وقم بتنفيذ الأمر التالي للحصول على قائمة بجميع الأدلة "المفتوحة" حيث يمكن لأي مستخدم آخر كتابة الملفات.

تجد . -النوع د- الحيوانات المنوية -o = ث

قد ترغب أيضًا في تنفيذ الأمرين التاليين في shell الخاص بك لتعيين الأذونات الصحيحة لجميع ملفات ومجلدات WordPress (المرجع).

find / your / wordpress / folder / -type d -exec chmod 755 {} \؛ find / your / wordpress / folder / -type f -exec chmod 644 {} \؛

بالنسبة إلى الدلائل ، يعني 755 (rwxr-xr-x) أن المالك فقط لديه إذن الكتابة بينما قام الآخرون بقراءة الأذونات وتنفيذها. بالنسبة للملفات ، يعني 644 (rw-r— r—) أن مالكي الملفات لديهم أذونات قراءة وكتابة بينما لا يمكن للآخرين قراءة الملفات إلا.

# 4. أعد تسمية بادئة جداول WordPress الخاصة بك

إذا قمت بتثبيت WordPress باستخدام الخيارات الافتراضية ، فإن جداول WordPress الخاصة بك لها أسماء مثل منشورات wp أو wp_users. لذلك من الجيد تغيير بادئة الجداول (wp ) إلى قيمة عشوائية. يتيح لك المكون الإضافي Change DB Prefix إعادة تسمية بادئة الجدول إلى أي سلسلة أخرى بنقرة واحدة.

# 5. منع المستخدمين من تصفح دلائل WordPress الخاصة بك

هذا مهم. افتح ملف .htaccess في دليل جذر WordPress الخاص بك وأضف السطر التالي في الأعلى.

خيارات - الفهارس

سيمنع العالم الخارجي من رؤية قائمة بالملفات المتاحة في الدلائل الخاصة بك في حالة عدم وجود ملفات index.html أو index.php الافتراضية من تلك الدلائل.

# 6. قم بتحديث مفاتيح أمان WordPress

انتقل هنا لإنشاء ستة مفاتيح أمان لمدونة WordPress الخاصة بك. افتح ملف wp-config.php داخل دليل WordPress واستبدل المفاتيح الافتراضية بالمفاتيح الجديدة.

تجعل هذه الأملاح العشوائية كلمات مرور WordPress المخزنة أكثر أمانًا والميزة الأخرى هي أنه إذا قام شخص ما بتسجيل الدخول إلى WordPress دون علمك ، فسيتم تسجيل خروجهم على الفور حيث ستصبح ملفات تعريف الارتباط الخاصة بهم غير صالحة الآن.

# 7. احتفظ بسجل لأخطاء WordPress PHP وقاعدة البيانات

يمكن أن تقدم سجلات الأخطاء أحيانًا تلميحات قوية حول نوع استعلامات قاعدة البيانات غير الصالحة وطلبات الملفات التي تصل إلى تثبيت WordPress الخاص بك. أنا أفضل مراقب سجل الأخطاء لأنه يرسل بشكل دوري سجلات الأخطاء عبر البريد الإلكتروني ويعرضها أيضًا كعنصر واجهة مستخدم داخل لوحة معلومات WordPress الخاصة بك.

لتمكين تسجيل الأخطاء في WordPress ، أضف الكود التالي إلى ملف wp-config.php وتذكر استبدال /path/to/error.log بالمسار الفعلي لملف السجل الخاص بك. يجب وضع ملف error.log في مجلد لا يمكن الوصول إليه من المتصفح (مرجع).

تعريف ('WP_DEBUG' ، صحيح) ؛ إذا (WP_DEBUG) {عرّف ('WP_DEBUG_DISPLAY' ، خطأ) ؛ ini_set ('log_errors'، 'On') ؛ ini_set ('display_errors'، 'Off') ؛ ini_set ('error_log'، '/path/to/error.log') ؛ }

# 9. حماية كلمة المرور لوحة تحكم المسؤول

من المستحسن دائمًا حماية مجلد wp-admin الخاص بـ WordPress الخاص بك بكلمة مرور حيث لا يوجد أي ملف في هذه المنطقة مخصص للأشخاص الذين يزورون موقع WordPress العام الخاص بك. بمجرد الحماية ، سيتعين على المستخدمين المصرح لهم إدخال كلمتين من كلمات المرور لتسجيل الدخول إلى لوحة تحكم WordPress Admin الخاصة بهم.

10. تتبع نشاط تسجيل الدخول على خادم WordPress الخاص بك

يمكنك استخدام الأمر "last -i" في Linux للحصول على قائمة بجميع المستخدمين الذين قاموا بتسجيل الدخول إلى خادم WordPress الخاص بك مع عناوين IP الخاصة بهم. إذا وجدت عنوان IP غير معروف في هذه القائمة ، فقد حان الوقت بالتأكيد لتغيير كلمة المرور الخاصة بك.

أيضًا ، سيعرض الأمر التالي نشاط تسجيل دخول المستخدم لفترة زمنية أطول مجمعة حسب عناوين IP (استبدل اسم المستخدم باسم مستخدم shell الخاص بك).

last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $ 3}' | فرز | uniq -c

راقب WordPress الخاص بك باستخدام الإضافات

يحتوي مستودع WordPress.org على عدد قليل جدًا من المكونات الإضافية ذات الصلة بالأمان والتي ستراقب موقع WordPress الخاص بك باستمرار بحثًا عن عمليات التطفل والأنشطة المشبوهة الأخرى. فيما يلي الأشياء الأساسية التي أوصي بها.

  1. برنامج Exploit Scanner - سيفحص بسرعة جميع ملفات WordPress ومنشورات المدونات الخاصة بك وسرد تلك التي قد تحتوي على تعليمات برمجية ضارة. قد يتم إخفاء روابط البريد العشوائي في منشورات مدونة WordPress الخاصة بك باستخدام CSS أو IFRAMES وسوف يكتشفها المكون الإضافي أيضًا.
  2. WordFence Security - يعد هذا مكونًا إضافيًا قويًا للغاية للأمان يجب أن يكون لديك. سيقارن ملفات WordPress الأساسية الخاصة بك بالملفات الأصلية في المستودع بحيث يتم اكتشاف أي تعديلات على الفور. أيضًا ، سيقوم المكون الإضافي بحظر المستخدمين بعد عدد 'n' من محاولات تسجيل الدخول غير الناجحة.
  3. WP Notifier - إذا لم تقم بتسجيل الدخول إلى لوحة معلومات WordPress Admin الخاصة بك في كثير من الأحيان ، فهذا البرنامج المساعد يناسبك. سيرسل لك تنبيهات بالبريد الإلكتروني متى توفرت تحديثات جديدة للموضوعات المثبتة والإضافات و WordPress الأساسي.
  4. VIP Scanner - سيقوم المكون الإضافي الأمني ​​"الرسمي" بفحص سمات WordPress الخاصة بك بحثًا عن أي مشاكل. سيكتشف أيضًا أي رمز إعلان قد يكون تم إدخاله في قوالب WordPress الخاصة بك.
  5. Sucuri Security - يراقب WordPress الخاص بك بحثًا عن أي تغييرات في الملفات الأساسية ، ويرسل إشعارات عبر البريد الإلكتروني عند تحديث أي ملف أو منشور ، كما يحتفظ بسجل لنشاط تسجيل دخول المستخدم بما في ذلك عمليات تسجيل الدخول الفاشلة.

نصيحة: يمكنك أيضًا استخدام أمر Linux التالي للحصول على قائمة بجميع الملفات التي تم تعديلها في آخر 3 أيام. قم بتغيير mtime إلى mmin لمشاهدة الملفات التي تم تعديلها منذ دقيقة "n".

تجد . -النوع f -mtime -3 | grep -v “/ Maildir /” | grep -v “/ logs /”

قم بتأمين صفحة تسجيل الدخول إلى WordPress الخاصة بك

يمكن الوصول إلى صفحة تسجيل الدخول إلى WordPress الخاصة بك من جميع أنحاء العالم ، ولكن إذا كنت ترغب في منع المستخدمين غير المصرح لهم من تسجيل الدخول إلى WordPress ، فلديك ثلاثة خيارات.

  1. حماية كلمة المرور باستخدام .htaccess - يتضمن ذلك حماية مجلد wp-admin في WordPress الخاص بك باستخدام اسم مستخدم وكلمة مرور بالإضافة إلى بيانات اعتماد WordPress العادية.
  2. Google Authenticator - يضيف هذا المكون الإضافي الممتاز التحقق من خطوتين إلى مدونة WordPress الخاصة بك على غرار حساب Google الخاص بك. سيتعين عليك إدخال كلمة المرور وأيضًا الرمز المعتمد على الوقت الذي تم إنشاؤه على هاتفك المحمول.
  3. تسجيل الدخول بدون كلمة مرور - استخدم المكون الإضافي Clef لتسجيل الدخول إلى موقع WordPress الخاص بك عن طريق مسح رمز الاستجابة السريعة ويمكنك إنهاء الجلسة عن بُعد باستخدام هاتفك المحمول نفسه.

انظر أيضًا: إضافات WordPress التي يجب توفرها