6 نصائح لحل مشكلات أمان WordPress

مرحبًا بك في أكثر أنظمة إدارة المحتوى شيوعًا على وجه الأرض

يعد WordPress أحد أكبر الأهداف الفردية للهجمات الإلكترونية. هذا لأن WordPress هو نظام إدارة المحتوى الأكثر شيوعًا في العالم حتى الآن: فهو يشغل 43.1٪ من جميع مواقع الويب ويفتخر بحصة سوقية لـ CMS تبلغ 63.6٪ وفقًا لـ W3Techs. للمقارنة ، المركز الثاني هو Shopify ، التي تشغل 3.8٪ من مواقع الويب ولديها حصة سوقية لـ CMS تبلغ 5.6٪.

منصة التجارة الإلكترونية المجانية الخاصة بها ، WooCommerce ، هي أيضًا لاعب كبير في حد ذاتها - كونها أكثر حلول التجارة الإلكترونية مفتوحة المصدر شيوعًا في العالم.

يثير هذا سؤالًا واضحًا: ما الذي يجب عليك فعله عندما يتعلق الأمر بتأمين WordPress على موقعك ومنع أو إصلاح ثغرات WordPress؟ من أفضل ممارسات الأمن السيبراني الخاصة بنا في Coalition Technologies ، إليك أفضل 6 نصائح لحل مشكلات أمان WordPress.

لماذا تختار WordPress؟

يعد WordPress مرنًا وقويًا للغاية ، ولأنه مفتوح المصدر ، فهو أيضًا فعال من حيث التكلفة وشائع. نظرًا لأن WordPress هو أكبر منصة على الويب ، فهناك الكثير من خبراء الأمن السيبراني المتاحين للمساعدة في أمان موقع WordPress على الويب مقابل جزء بسيط من تكلفة النظام الأساسي المخصص.

1. حماية بيانات اعتماد تسجيل الدخول الخاصة بك

إن أقوى خطوة يمكنك اتخاذها في حل مشكلات أمان WordPress هي عدم مواجهة هذه المشكلات في المقام الأول - وحماية بيانات اعتماد تسجيل الدخول الخاصة بك يمكن أن تقلل من انتهاكات البيانات بأكثر من النصف.

وفقًا لـ Verizon في تقرير تحقيقات خرق البيانات لعام 2021 ، فإن 61٪ من خروقات البيانات تضمنت استخدام بيانات اعتماد تسجيل الدخول بطريقة ما. يحدث هذا بشكل شائع بسبب:

• سرقة كلمة المرور
• هجمات القوة الغاشمة
• إساءة استخدام أوراق الاعتماد داخليًا

الحماية من سرقة كلمة المرور

يحب المتسللون البحث عن الثغرات المنخفضة ، ويبدأ إصلاح نقاط الضعف في WordPress بإزالة كل تلك الفاكهة المتدلية قبل أن يتمكن المتسللون من الوصول إليها.

• قم بتحديث جميع كلمات المرور بانتظام. 90 يومًا (مرة واحدة كل ربع سنة) هو افتراضي جيد.

• استخدم كلمات مرور فريدة ، ولا تعيد استخدامها أبدًا. تقول PurpleSec إن 25٪ من الموظفين يستخدمون نفس كلمة المرور لكل شيء ، مما قد يسبب مشكلة لأي شخص.

• قم بتخزين كلمات المرور بشكل صحيح. يتعامل WordPress مع كل شيء بشكل آمن في نهايته ، ولكن إذا كان موظفوك يكتبون كلمات المرور الخاصة بهم في الملاحظات اللاصقة أو مستندات Google ، فيمكنهم التسريب.

• ضع في اعتبارك جعل كلمات المرور تنتهي صلاحيتها. يؤدي ذلك إلى إجبار الأشخاص على تحديث كلمات المرور الخاصة بهم ، ولكنه قد يؤدي أيضًا إلى جعل بعض الموظفين يتخبطون في تخزين كلمات المرور الخاصة بهم. يعني حل مشكلات أمان WordPress على المدى الطويل التخفيف من هذه الثغرة الأمنية باستخدام سياسات كلمة المرور الخاصة بك.

تقوية ضد هجمات القوة الغاشمة

يمكن للقراصنة أيضًا استخدام هجمات القوة الغاشمة لسرقة بيانات الاعتماد. هذا يعني تخمين كلمات المرور بشكل عشوائي ، ملايين المرات ، حتى إيجاد تبديل يعمل.

• حدد عدد محاولات تسجيل الدخول المسموح بها. سيدير ​​مكون أمان WordPress جيد هذا الأمر نيابةً عنك أثناء إصلاح ثغرات WordPress أيضًا عند اكتشافها.

• استخدم كلمات مرور فريدة. كما كان من قبل ، يعني حل مشكلات أمان WordPress استخدام كلمات مرور فريدة ، واستخدامها مرة واحدة فقط.

• استخدم كلمات مرور قوية. يجب أن تتكون كلمات المرور من 8 أحرف على الأقل ، ومن الأفضل أن تشتمل على أرقام وحروف وأحرف خاصة. هنا بعض النصائح. يمكنك أيضًا استخدام كلمات مرور يسهل تذكرها ، مما يساعد على تقليل مشكلات الذاكرة. يؤيد المركز الوطني للأمن السيبراني التابع لحكومة المملكة المتحدة فكرة الكلمات العشوائية الثلاث - على الرغم من أن أربع أو خمس كلمات أفضل.

• حظر بلدان أو عناوين IP معينة تولد الكثير من محاولات تسجيل الدخول الفاشلة. على وجه الخصوص ، قم بحظر هذه المصادر من الوصول إلى الحسابات الحساسة التي لها حق الوصول إلى لوحات الإدارة باستخدام جدران الحماية.

استخدم سياسات حماية كلمة المرور لأفضل الممارسات

في Coalition Technologies ، نعمل بلا كلل للحفاظ على بيانات اعتماد عملائنا آمنة. على مر السنين ، قمنا ببناء سجل حافل فخور بسياسات حماية كلمة المرور لأفضل الممارسات. وبالمثل ، يتطلب حل مشكلات أمان WordPress وجود سياسات جيدة لحماية كلمة المرور خاصة بك. فيما يلي بعض الإرشادات لإصلاح ثغرات WordPress على مستوى الموارد البشرية:

• تقييد الوصول إلى تسجيل الدخول على أساس ما هو مطلوب. امنح الموظفين الحد الأدنى من الأذونات التي يحتاجون إليها فقط ، وامنحهم فقط الوصول إلى علامات التبويب والأنظمة التي يحتاجون إليها. حدد حسابات "المسؤول" ذات الوصول الشامل إلى أقل عدد ممكن من الأشخاص.

• نشر تدريب فعال للموظفين. في بعض الأحيان ، يكون سوء استخدام كلمات المرور من قبل الموظفين الساخطين خبيثًا (في هذه الحالة يمكنك الحد من الضرر عن طريق تقييد الوصول كما هو مذكور أعلاه). ولكن في كثير من الأحيان يكون سوء الاستخدام هذا غير مقصود ، ويمكن منع حل مشكلات أمان WordPress مع تسريب كلمة المرور من خلال التدريب الجيد. تأكد من أن عملية الإعداد الخاصة بك تتضمن وحدة حول أمان كلمة المرور ، وفكر في نشر وحدات تجديد معلومات دورية كل 12 - 24 شهرًا.

2. قم بتثبيت ملحق أمان WordPress جيد واتبع أفضل الممارسات

يعد جوهر WordPress آمنًا للغاية ، حيث تعمل مواهب الأمن السيبراني ذات المستوى العالمي على الحفاظ على ملايين مواقع الويب آمنة. لكن WordPress يسمح أيضًا باستخدام المكونات الإضافية. تعمل هذه المكونات الإضافية على توسيع وظائف WordPress بشكل كبير ، ولكنها تقدم أيضًا ثغرات أمنية محتملة جديدة.

ومع ذلك ، هناك صناعة كاملة مبنية على تأمين مكونات WordPress الإضافية ، وهذه المنتجات هي نفسها مكونات WordPress الإضافية. تُعرف باسم "المكونات الإضافية للأمان" ، وهي أدوات مساعدة ضرورية لحل مشكلات أمان WordPress وإصلاح ثغرات WordPress في الوقت الفعلي. يجب أن تكون محطتك الأولى بعد تثبيت برنامج WordPress الأساسي أو تحديثه هي اختيار مكون إضافي لأمان WordPress جيد وتهيئته بشكل صحيح.

توصيات البرنامج الإضافي للأمان

هناك العديد من الإضافات الأمنية الجيدة في WordPress. يعتمد عملاؤنا على بنية WordPress لتحقيق إيرادات بملايين الدولارات. أمن الموقع أمر بالغ الأهمية.

عندما نتشارك مع عملائنا لتقديم خدمات تصميم الويب الشاملة في WordPress ، فإننا نوصي بشكل خاص بهذين المكونين الإضافيين لحل مشكلات أمان WordPress:

• أمان Wordfence - جدار الحماية وفحص البرامج الضارة وأمان تسجيل الدخول
• Defender Security - ماسح البرامج الضارة وأمان تسجيل الدخول وجدار الحماية

نستخدم بشكل روتيني مكونات الأمان الإضافية هذه لعملائنا عند إدارة مواقع WordPress الخاصة بهم.

تأكد من الإعداد الصحيح للأمان الإضافي

يوصي خبراء البحث عن الكلمات الرئيسية في Semrush بهذه الخطوات الحاسمة لحل مشكلات أمان WordPress بشكل استباقي:

• حدد عدد محاولات تسجيل الدخول المسموح بها. لقد غطينا هذا بالفعل ، لكن من الجدير التكرار كطريقة ممتازة لإصلاح نقاط الضعف في WordPress بشكل استباقي.

• إخفاء صفحة تسجيل الدخول الخاصة بك من العرض العام. يجب ألا يتمكن زوار موقعك من الوصول إلى صفحة تسجيل الدخول الخاصة بك من خلال التنقل في الموقع أو عن طريق تخمين عنوان URL. يجب أن يكون عنوان URL لصفحة تسجيل الدخول غامضًا وغير مرتبط بصفحات أخرى.

• قم بإزالة الخلفية ، والمسؤول ، وصفحات سلة التسوق من فهرسة محرك البحث. من الواضح أن هذه الصفحات أكثر عرضة للقرصنة ، لذلك في هذه الحالة ، يعني حل مشكلات أمان WordPress إبقاء هذه الصفحات خارج نتائج البحث.

• قم بعمل نسخة احتياطية من موقع الويب الخاص بك على أساس منتظم. يمكنك القيام بذلك إما يدويًا أو تلقائيًا ، ولكن يمكنك القيام بذلك بانتظام. يجب اعتبار أي شيء لم يتم نسخه احتياطيًا ضائعًا - لأن هذا هو ما سيحدث في شيء مثل هجوم برامج الفدية. يجب وضع النسخ الاحتياطية على خادم مختلف ، واستخدام بيانات اعتماد وصول مختلفة. عندما يكون ذلك ممكنًا ، من الذكاء أيضًا الاحتفاظ بنسخ احتياطية محلية "باردة". هذا مهم بشكل خاص للشركات الصغيرة.

3. تدقيق السمات والإضافات بعناية قبل التثبيت

عندما يتعلق الأمر بملحقات WordPress الأخرى (إلى جانب المكونات الإضافية للأمان) و WordPress Themes ، فمن الأهمية بمكان أن تفهم أنك تتعامل مع مجموعة واسعة جدًا من المنتجات والجودة. أي استراتيجية جيدة لإصلاح ثغرات WordPress تعني بذل الكثير من العناية الواجبة في تدقيق هذه التطبيقات.

العديد من المكونات الإضافية والسمات قوية جدًا وتوفر وظائف أساسية وخيارات تخطيط يحتاجها موقع الويب الخاص بك للازدهار. المكونات الإضافية والسمات الأخرى سيئة التصميم وعرضة لمآثر الأمان من قبل المتسللين. والقليل منها عبارة عن برامج ضارة صريحة.

WordPress يقظ في حل مشكلات أمان WordPress مع المكونات الإضافية والسمات عن طريق حظر البرامج الضارة والبريد العشوائي ، ولكن في بعض الأحيان يمر عدد قليل من هذه البيوض السيئة. فيما يلي بعض أفضل الممارسات لتدقيق المكونات الإضافية والسمات التي تهمك:

• عادةً ما يكون عدد التنزيل الكبير أكثر أمانًا. يتم اكتشاف البرامج الضارة في وقت مبكر ، ولا تحظى السمات والإضافات السيئة بشعبية أبدًا ، لذلك من المرجح أن تزيد عدد التنزيلات التي تعمل فقط من العناصر التي تعمل.

• تعد الأعداد الكبيرة من تعليقات المستخدمين الإيجابية مقياسًا موثوقًا به. إذا أعطى الكثير من الأشخاص مكونًا إضافيًا أو سمة تصنيفًا ممتازًا أو شبه مثالي بالنجوم ، فهذه علامة جيدة. لكن تأكد من قراءة عدد قليل من المراجعات المعتدلة والسلبية أيضًا ، لمعرفة أنواع الشكاوى التي يواجهها الأشخاص.

• ابحث في الويب عن الشركات والمؤسسات الإخبارية التي تتحدث عن تجربتها في استخدام هذه المكونات الإضافية. عندما يتعلق الأمر بحل مشكلات أمان WordPress وإصلاح ثغرات WordPress لنشاطك التجاري ، فقد لا تتمتع تقييمات المستخدمين بالعمق أو المصداقية التي تبحث عنها. لذا اتصل بالإنترنت وابحث عن الأسماء التي تثق بها. انظر ماذا يقولون عن هذه التطبيقات.

من أين يجب أن تحصل على الإضافات؟

عندما تكون في شك ، اختر مكونات WordPress الإضافية من مصادر حسنة السمعة:

• يعد مستودع ملحقات WordPress الرسمي هو أفضل رهان لك ، وإذا حصلت على مكونات إضافية من مصدر واحد فقط ، فاحصل عليها هنا.

• تعد أسواق الطرف الثالث ذات السمعة الطيبة للمكونات الإضافية ، مثل CodeCanyon ، مصدرًا جيدًا آخر للمكونات الإضافية. تركز الأسواق ذات السمعة الطيبة كثيرًا على حل مشكلات أمان WordPress لأن سمعتها تعتمد على ذلك.

• تعد مواقع مطور الإضافات WP مثل WPMU DEV مصدرًا آخر عالي الجودة للمكونات الإضافية. تتجمع هذه المجتمعات من مطوري مكونات WordPress الإضافية لزيادة وضوح منتجاتهم وموثوقيتها.

تحتوي المكونات الإضافية الجيدة على فرق تطوير جيدة ، وعادة ما يتم تصحيح نقاط الضعف في هذه المكونات الإضافية بسرعة من قبل المطورين المستقلين أو الوكالات التي قامت ببنائها. وعندما لا تكون كذلك ، فعادة ما يكون هناك العديد من الإضافات البديلة المختلفة التي تقدم نفس الوظيفة بشكل آمن.

4. تحديث كل شيء وإعادة التدقيق

إن ترك برنامجك يتخلف عن الركب أمر سهل نظرًا للوقت الذي يستغرقه التحديث (والوقت المستغرق لإصلاح الأشياء التي تعطلها التحديثات) ، ولكن هذا أمر مروع لأن العديد من هذه التحديثات تحتوي على تصحيحات لإصلاح نقاط الضعف في WordPress أو نقاط الضعف في مكونات WordPress الإضافية أو الموضوعات. لهذا السبب توصي منظمات مثل Search Engine Journal بأن تحافظ على تحديث المكونات الإضافية والسمات الخاصة بك.

لا يوجد طلاء للسكر: هذه واحدة من أكثر النصائح التي تستغرق وقتًا طويلاً لحل مشكلات أمان WordPress. لكن عليك أن تخصص الوقت ، وإلا فإنك تفتح الباب للمهاجمين عبر الإنترنت.

يتضمن ذلك برنامج WordPress الأساسي ، وإصدار PHP الذي يتم تشغيله ، وجميع السمات والإضافات. يحتاج كل شيء إلى التحديث عند توفر تحديثات جديدة - وعندما تقوم بتحديثه ، يجب مراجعة جميع المكونات الإضافية والوظائف المتأثرة مرة أخرى للتأكد من أن كل شيء يعمل بشكل صحيح.

تخصيص القوى العاملة الجارية

يجب أن تكون مواكبة تحديثات WordPress الأساسية وتحديثات المكونات الإضافية جزءًا من الوصف الوظيفي لشخص ما. إذا لم يكن حل مشكلات أمان WordPress من خلال التحديث الوقائي على رادار شخص ما ، فهذا هو النوع الذي يميل إلى النسيان.

لا يؤدي تحديث البرامج وإصلاح الثغرات الأمنية في WordPress إلى تحقيق مبيعات مباشرة ولكنه يعمل على منع التكاليف الكارثية المحتملة ، ويجب وضع الميزانية وفقًا لذلك. تأكد من إعداد شركتك لتحقيق النجاح من خلال التأكد من أن مسؤول النظام أو فريق تكنولوجيا المعلومات لديك لديه النطاق الترددي للبقاء على اطلاع على التحديثات.

في Coalition Technologies ، نبقى على اطلاع على التحديثات كجزء من استراتيجيتنا للنجاح في إعداد العملاء لتحقيق نمو مستدام طويل الأجل.

كن حذرًا بشأن التحديثات

شيء واحد يجب معرفته حول حل مشكلات أمان WordPress من خلال تثبيت التحديثات بجدية فور إصدارها: يراجع WordPress جميع المكونات الإضافية التي تم إرسالها إلى مستودعه الرسمي ، من أجل تصفية البريد العشوائي ، واكتشاف الأخطاء الخطيرة الشائعة ، والتأكد من أن المكونات الإضافية تتوافق مع WordPress القواعد الارشادية.

ومع ذلك ، بمجرد الموافقة على المكون الإضافي وإدراجه ، لا يمتلك WordPress القدرة على تدقيق جميع المكونات الإضافية للجهات الخارجية مرة أخرى في كل مرة يتم فيها تحديث المكون الإضافي. يمكن أن تتغير قاعدة التعليمات البرمجية للمكوِّن الإضافي بشكل ملحوظ بعد تلك المراجعة الأولية ، وغالبًا ما تتغير ، ولن يعرف WordPress ذلك.

يحدث هذا عادةً لأسباب مشروعة - على سبيل المثال ، ترقيات UX ، وإصلاح الثغرات الأمنية والأخطاء في WordPress ، وإضافة ميزات جديدة. لكن يمكن للمتسللين التلاعب بالنظام عن طريق طرح إصدار أولي من البرنامج المساعد الخاص بهم والذي يتجاوز مستوى الحشد ، ثم إضافة برامج ضارة مع التحديثات اللاحقة. يمكن أن يحدث ذلك أيضًا عندما يتم التخلي عن مكون إضافي موجود أو بيعه ، ويتولى طرف ثالث ضار مكانه ويضيف برامج ضارة. هذا يعني أن بعض أعمال حل مشكلات أمان WordPress تقع على عاتقك.

قم دائمًا بمراجعة ملاحظات التحديث عند تحديث مكون إضافي ، ولا تتسرع في أن تكون مستخدمًا مبكرًا بدون تحقق خارجي: انظر ما يقوله الآخرون أولاً.

استفد من خدمات البحث عن الثغرات الأمنية

يمكنك أيضًا الاستفادة من خدمات مثل WPScan Vulnerability Database ، والتي يمكن أن تساعدك في حل مشكلات أمان WordPress من خلال إعطائك إشعارًا مبكرًا بمخاطر الأمان المكتشفة حديثًا.

إذا كنت تشارك مع شركة Coalition Technologies لإدارة موقع WordPress الخاص بك ، فإننا نقوم بكل من سمات WordPress الخاصة بنا وفحص المكونات الإضافية ، ونتحمل مسؤولية إصلاح ثغرات WordPress التي يتعرض لها موقعك - ​​مما يمنحك راحة البال وتفريغ مهمة تستغرق وقتًا طويلاً .

5. تحديد هجمات التصيد

يعد التصيد الاحتيالي أحد المصادر الرئيسية لثغرة الأمن السيبراني ، وعلى الرغم من أن هذه ظاهرة على مستوى الإنترنت ، إلا أنه لا يزال يتعين مناقشتها في سياق حالات استخدام WP وحل مشكلات أمان WordPress. غالبًا ما ينتحل المخادعون من WordPress نفسه أو ينتحلون رسائل البريد الإلكتروني للعملاء. لدى شركة الأمن السيبراني Varonis كتاب تمهيدي جيد حول كيفية عمل التصيد الاحتيالي.

قد يكون أي شيء به ارتباطات تشعبية لا تتحكم فيه بمثابة هجوم تصيد - مواقع ويب ومستندات رقمية وما إلى ذلك - ولكن بشكل خاص البريد الإلكتروني.

احذر من البريد الإلكتروني الوارد

تبدأ جميع هجمات التصيد تقريبًا في البريد الإلكتروني. (ما يقرب من 90٪ وفقًا لموقع CyberTalk.org). وهذا يعني أن الشركات بحاجة إلى تعليم الموظفين أفضل ممارسات الدفاع عن النفس عبر البريد الإلكتروني. لا يتعلق الأمر بإصلاح نقاط الضعف في WordPress بقدر ما يمنع سلوك فريقك من أن يصبح ناقلًا لهجمات الأمن السيبراني.

تأكد من أن لديك سجلات DMARC و SPF مناسبة تم إعدادها لنظام DNS الخاص بك ، مما سيمنع الأشخاص من استخدام نطاقك في رسائل البريد الإلكتروني لأنهم إما سينتهي بهم الأمر في البريد غير الهام أو لن يتم إرسالهم أبدًا ، اعتمادًا على مجموعة سياسة DMARC .

الحماية من الروابط المزيفة

يستخدم المحتالون روابط مزيفة ، والتي تتخفى أحيانًا لتبدو وكأنها مواقع شائعة مثل Google. تتمثل إحدى طرق حل مشكلات أمان WordPress عن طريق الحماية ضد التصيد الاحتيالي في تغيير رؤوس الأمان لخيارات X-Frame الخاصة بموقعك والتي لن تسمح باستخدام موقع الويب الخاص بك في iframe بواسطة مواقع الويب الخارجية.

استخدم عناوين URL الحقيقية

أخيرًا ، لا تستخدم أدوات تقصير الروابط ، والتي لا تكشف للمستخدم عن موقع الويب الوجهة النهائي.

6. تأمين شبكتك

نصيحة مهمة أخرى لحل مشكلات أمان WordPress هي تأمين شبكتك. في عصر الوباء هذا من العمل عن بُعد وأماكن العمل العالمية المتزايدة ، تقوم الشركات بشكل روتيني بنقل المعلومات الهامة عبر الإنترنت ، مما يخلق العديد من الفرص لنقاط الضعف الأمنية.

يعد WordPress نظامًا أساسيًا مرنًا للغاية ، مما يعني أنه يمكنك تصحيح الأساليب القابلة للاستغلال الشائعة باستخدام مقتطفات التعليمات البرمجية البسيطة الموجودة على الإنترنت ، مثل تعطيل XMLRPC والمطالبة بالمصادقة للوصول إلى WP-JSON. غالبًا ما يكون إصلاح الثغرات الأمنية في WordPress بسيطًا مثل تثبيت المكونات الإضافية المناسبة واستخدامها.

بالإضافة إلى ذلك ، تتوفر خيارات المصادقة متعددة العوامل باستخدام مكونات WordPress الإضافية.

مارس الجاهزية القوية والوقاية

صممت جدران حماية تطبيقات الويب مثل Cloudflare والعديد من الآخرين بشكل خاص WAF لحماية تطبيقات WordPress من أنواع وأنماط الهجوم الشائعة المختلفة. يقدم العديد من مزودي الاستضافة خدمة نسخ احتياطي يومية مجانًا ، مثل WP Engine.

شريك مع شركة Coalition Technologies لتصميم وتطوير WordPress

في Coalition ، نقدم خدمات تصميم وتطوير WordPress كاملة ، إما بشكل مستقل أو بالاشتراك مع خدمات تحسين محركات البحث والتسويق الرقمي الحائزة على جوائز. يتم تضمين كل ما ناقشناه اليوم حول حل مشكلات أمان WordPress وإصلاح ثغرات WordPress في خدماتنا عندما تكون شريكًا معنا.

راجع الأسئلة الشائعة حول خدمات WordPress الخاصة بنا. يسعدنا العمل معك! اتصل بنا لمناقشة احتياجات موقع الويب الخاص بك.