أفضل 12 نصيحة وتقنية لتأمين منطقة إدارة WordPress
نشرت: 2023-05-01في هذه المدونة ، سنناقش أفضل التقنيات لتأمين منطقة الإدارة لمواقع WordPress الخاصة بك بشكل فعال.
غالبًا ما يعتقد الناس أن موقع الويب الخاص بهم صغير جدًا بحيث لا يهتم المتسللون به. لكن هذا سيكون خطأً فادحًا. قد يكون أي موقع ويب عرضة للتهديدات السيبرانية مثل البريد العشوائي والبرامج الضارة والهجمات الغاشمة وحقن SQL وما إلى ذلك. علاوة على ذلك ، قد يستخدم المتسللون موقع الويب الخاص بك لنشر البرامج الضارة إلى مواقع الويب الأخرى.
من الواضح أنك لن ترغب في الاستيقاظ يومًا ما واكتشاف أن موقع الويب الخاص بك قد تم اختراقه وأن جميع بياناتك الحساسة يتم تسريبها. لذلك ، سيكون من الأفضل تعزيز منطقة المسؤول في موقع WordPress الخاص بك ببعض الأدوات الموثوقة.
- أفضل النصائح والتقنيات لتأمين منطقة الإدارة لمواقع WordPress الخاصة بك
- 1. تحديث إصدار WordPress
- 2. ملحقات الأمان
- 3. قم بتغيير اسم المستخدم وكلمة المرور الخاص بالمسؤول
- 4. قم بإنشاء عنوان URL مخصص لتسجيل الدخول
- 5. الحد من محاولات تسجيل الدخول
- 6. تأمين صفحة تسجيل الدخول ومنطقة الإدارة بشهادة SSL
- 7. تأمين دليل wp-admin بكلمة مرور
- 8. قم بتضمين رمز التحقق في صفحة تسجيل الدخول
- 9. قم بإزالة رسالة الخطأ من صفحة تسجيل الدخول
- 10. السماح لعناوين IP محددة بتسجيل الدخول
- 11. إضافة طبقة إضافية عن طريق المصادقة الثنائية
- 12. كلمة المرور لمرة واحدة (OTP)
- أخيراً!
أفضل النصائح والتقنيات لتأمين منطقة الإدارة لمواقع WordPress الخاصة بك
تعتبر نصائح الأمان هذه مهمة جدًا لحماية مواقع الويب من نقاط الضعف مثل:
- هجوم رفض الخدمة الموزع (DDoS): يعمل DDoS على شل حركة موقع الويب الخاص بك عن طريق إغراقه بالاتصالات الزائدة عن الحاجة ، مما يؤدي إلى تعطله.
- حقن SQL (SQLi): يقوم بتنفيذ استعلامات SQL الضارة بالقوة على النظام لمعالجة البيانات.
- تضمين الملف المحلي (LFI): يفرض LFI الموقع على معالجة الملفات الضارة الموضوعة على خادم الويب.
- تزوير الطلب عبر المواقع (CSRF): قد يجبر مستخدمي الويب على تنفيذ إجراءات غير مرغوب فيها في تطبيق ويب يمكن الاعتماد عليه.
- تجاوز المصادقة: يمنح هذا التهديد الأمني المتسللين الوصول إلى الموارد الحساسة لموقعك على الويب دون التحقق من المصداقية.
- البرمجة النصية عبر المواقع (XSS): يقوم XSS بحقن تعليمات برمجية ضارة لنقل البرامج الضارة عبر موقع الويب الخاص بك.
للتأكد من أن موقع الويب الخاص بك ليس عرضة للتهديدات الأمنية هذه ، تأكد من تنفيذ النصائح والتقنيات المذكورة أدناه:
موصى به لك: 10 أسباب لماذا يحتاج موقع WordPress الخاص بك إلى الصيانة.
1. تحديث إصدار WordPress
هناك طريقة بسيطة لتعزيز أمان موقع الويب الخاص بك عن طريق تحديث WordPress وجميع المكونات الإضافية للأمان المثبتة إلى أحدث إصداراتها. WordPress مفتوح المصدر ، لذا يعمل المساهمون بلا كلل لتحسين الميزات والأمان مع كل إصدار جديد. لهذا السبب يجب عليك تحديث نظام إدارة المحتوى إلى أحدث إصدار لتحسين أمان موقع الويب.
2. ملحقات الأمان
أحد أفضل الأشياء في WordPress هو أنه يمكنك العثور على مكون إضافي لكل ميزة ووظائف موقع الويب الممكنة تقريبًا. ومع ذلك ، لن يكون كل مكون إضافي للأمان مناسبًا لحماية صفحة تسجيل الدخول. لذلك ، فإن أفضل طريقة لتعزيز أمان منطقة إدارة موقع الويب الخاص بك ستكون من خلال مكونات WordPress الإضافية مثل Sucuri و MalCare و Wordfence وما إلى ذلك.
تساعد هذه المكونات الإضافية في منع حركة المرور الضارة دون أي تأثير على أداء موقع الويب.
3. قم بتغيير اسم المستخدم وكلمة المرور الخاص بالمسؤول
إحدى الطرق الأولى لتأمين موقع الويب هي تغيير اسم المستخدم وكلمة المرور الافتراضيين. لكل تثبيت WordPress ، يكون اسم مستخدم تسجيل الدخول الأول افتراضيًا هو Admin. هذا النوع من اسم المستخدم هو مجرد طعم للمتسللين ؛ سيكون عليهم فقط توقع كلمة المرور بعد ذلك.
لذلك ، يجب عليك تغيير اسم المستخدم وكلمة المرور إلى شيء أكثر تخصيصًا. أولاً ، افتح لوحة تحكم WordPress. حدد المستخدمين وانقر على "كل المستخدمين".
حتى تغيير اسم المستخدم من "admin" إلى "mynameisadmin" قد يساعد في حماية موقع الويب الخاص بك من المتسللين. عندما يتعلق الأمر بكلمات المرور ، هناك شاشة صغيرة توضح مدى قوتها. لذلك ، جرب كلمات مرور مختلفة مع مجموعات من الأحرف الكبيرة والصغيرة والرموز والأرقام حتى تشعر بالرضا عن واحدة. تأكد دائمًا من أن كلمة المرور قوية قدر الإمكان لحماية موقع الويب من المتسللين. حتى أن الخبراء يقترحون استخدام الرموز والأرقام بدلاً من الأحرف في كلمات المرور لجعلها أكثر غموضًا. على سبيل المثال ، إذا كنت تريد أن تكون كلمة مرورك "California" ، فانتقل إلى شيء مثل "[email protected] [email protected]" بدلاً من ذلك. هذا سيجعل من الصعب التخمين.
في كثير من الأحيان ، عندما يحاول الأشخاص تسجيل الدخول في مكان ما لا ينبغي عليهم القيام به ، فإنهم يركزون فقط على كلمة المرور ويحتفظون باسم المستخدم كما هو خلال المحاولات المختلفة. لذا ، فإن تغيير كل من اسم المستخدم وكلمة المرور سيكون فكرة ممتازة.
4. قم بإنشاء عنوان URL مخصص لتسجيل الدخول
يمكنك الوصول إلى صفحة تسجيل الدخول إلى أي موقع ويب WordPress عن طريق كتابة /wp-login.php بعد عنوان URL الخاص به. على سبيل المثال ، إذا كان عنوان URL لموقع WordPress الخاص بك هو www.mywebsitename.com ، فيمكنك الوصول إلى صفحة تسجيل الدخول الخاصة به من خلال www.mywebsitename.com/wp-login.php.
يجعل الوصول السهل إلى صفحة تسجيل الدخول موقع الويب الخاص بك أكثر عرضة للتهديدات الإلكترونية. لذلك ، قم بتغيير رابط عنوان URL لتسجيل الدخول إلى شيء أكثر تخصيصًا من خلال المكونات الإضافية مثل WPS Hide Login. يغير هذا المكون الإضافي عنوان URL لصفحة نموذج تسجيل الدخول إلى أي شيء تريده ويجعل الوصول إلى دليل wp-admin وصفحة wp-login.php. لذلك ، من الأفضل وضع إشارة مرجعية على هذه الصفحات حيث قد تفقدها.
بعد تثبيت WPS Hide Login ، انتقل إلى الإعدادات وحدد WPS Hide Login على لوحة معلومات WordPress الخاصة بك. بعد ذلك ، أدخل عنوان URL جديدًا في حقل عنوان URL لتسجيل الدخول واحفظ التغييرات. بعد ذلك ، سيتم الوصول إلى صفحات المسؤول في موقع الويب الخاص بك فقط من خلال هذه الصفحات.
لذلك الآن ، حتى إذا كان لدى شخص ما اسم المستخدم وكلمة المرور الخاصين بك دون علمك ، فلن يتمكن من الوصول إلى صفحة تسجيل الدخول الخاصة بك ، وهو ما يعد مصدر ارتياح كبير. لهذا السبب يتم دائمًا تضمين عناوين URL المخصصة لتسجيل الدخول في تطوير WordPress المخصص.
5. الحد من محاولات تسجيل الدخول
هل تعلم أنه على الرغم من أن المتسللين قد لا يعرفون كلمة مرور موقع الويب الخاص بك ، فلا يزال بإمكانهم اختراق موقع الويب الخاص بك؟ من خلال البرامج النصية الآلية ، يمكنهم تجربة الآلاف من كلمات المرور المحتملة في وقت قصير للعثور على الكلمة الصحيحة والنجاح في النهاية. لمنع حدوث ذلك ، يمكنك تقييد محاولات تسجيل الدخول على موقع الويب الخاص بك.
لهذا الغرض ، يحتوي WordPress على بعض المكونات الإضافية مثل Wordfence Security و Login Lockdown في المكتبة الرسمية التي قد تكون مفيدة. بعد تثبيت أي من هذه المكونات الإضافية ، يمكنك تحديد الإعدادات الخاصة بعدد محاولات تسجيل الدخول المسموح بها والمدة التي سيتم خلالها قفل الشخص بعد تجاوز حد تسجيل الدخول.
على سبيل المثال ، يمكنك تعيين حد لعدد المحاولات على أنها 3 ووقت القفل 24 ساعة. لذلك ، إذا كان لدى شخص ما أكثر من 3 محاولات فاشلة ، فسيتم حظر عنوان IP الخاص به لمدة 24 ساعة القادمة ، وبعد ذلك يمكنهم المحاولة مرة أخرى.
6. تأمين صفحة تسجيل الدخول ومنطقة الإدارة بشهادة SSL
في بعض الأحيان ، قد تضطر إلى تسجيل الدخول إلى موقع الويب الخاص بك على شبكة عامة ، مما يجعله عرضة للمتسللين في حالة هجوم تعسفي. على الشبكة العامة ، يمكن للمتسللين الوصول إلى طلبات HTTP الخاصة بك ورؤية بيانات اعتماد تسجيل الدخول الخاصة بك كما هو الحال في اليوم.
لمنع هذه الهجمات التعسفية ، يمكنك استخدام تسجيل الدخول إلى SSL ، والذي يمكنك من خلاله الوصول إلى موقع الويب الخاص بك عبر HTTPS. عادة ، يمكنك الحصول على شهادة تسجيل دخول SSL من مزود الاستضافة. ولكن إذا لم يكن الأمر كذلك ، فسيتعين عليك شراء واحدة وإعدادها على خادم موقع الويب الخاص بك.
إذا كان لديك بالفعل شهادة SSL على موقع الويب الخاص بك للتشغيل على HTTPS ، فافتح ملف wp-config.php وقم بتحريره على هذا النحو:
// Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);
باستخدام FORCE_SSL_LOGIN ، سيتم فتح صفحة تسجيل الدخول الخاصة بك فقط على HTTPS ، وسيتم الحفاظ على الاتصال الآمن في جميع أنحاء منطقة المسؤول في موقع الويب الخاص بك. لهذا السبب عندما تقوم بتعيين مطوري WordPress ، فإن أحد إعدادات الأمان الأولى التي يعتنون بها هو استخدام شهادة SSL لصفحة تسجيل الدخول ومنطقة الإدارة.
قد ترغب في: هل ترغب في إنشاء موقع WordPress؟ اتبع هذه الخطوات الـ 13 السهلة.
7. تأمين دليل wp-admin بكلمة مرور
تشبه حماية دليل "wp-admin" بكلمة مرور إضافة طبقة ثانية من الأمان على موقع الويب الخاص بك ومنطقة إدارة WordPress الخاصة به. واحدة من أفضل الطرق للتعامل معها ستكون من خلال إعدادات "خصوصية الدليل" لاستضافتك. إذا كنت تستخدم مضيف ويب cPanel لحماية دليل wp-admin بكلمة مرور ، فيمكنك أيضًا استخدام حماية كلمة مرور cPanel في الدليل.
8. قم بتضمين رمز التحقق في صفحة تسجيل الدخول
يمكن أن تساعد الكابتشا في منطقة الإدارة في منع الهجمات الإلكترونية العنيفة التي تحركها البرامج النصية الآلية. يمكنك إضافة كلمة التحقق إلى صفحة تسجيل الدخول الخاصة بك من خلال مكونات WordPress الإضافية مثل Google reCAPTCHA و reCaptcha بواسطة BestWebSoft و WPForms وما إلى ذلك.
هذه التقنية فعالة جدًا في إيقاف محاولات القرصنة من خلال البرامج النصية الآلية.
9. قم بإزالة رسالة الخطأ من صفحة تسجيل الدخول
بما في ذلك اختبار captcha ، هناك ثلاثة أشياء يريد المتسللون الحصول عليها بشكل صحيح لتسجيل الدخول إلى موقع الويب الخاص بك. عادةً ، عندما يحاولون تسجيل الدخول ويفشلون ، تظهر رسالة خطأ تفيد بأن بيانات اعتماد واحدة أو أكثر غير صحيحة.
لذلك ، افترض أن المتسللين أدخلوا اسم المستخدم وكلمة المرور و captcha ، وأن إحدى بيانات الاعتماد خاطئة ؛ سيرون رسالة خطأ "اسم المستخدم غير صحيح" أو "كلمة المرور غير صحيحة". في هذه الحالة ، سيعرفون أن إحدى أوراق الاعتماد صحيحة ، وأنهم يحتاجون فقط للعمل على الآخر.
ولكن إذا قمت بإزالة رسالة الخطأ ، فسيتم تضليلهم بشأن ما إذا كانوا قد أدخلوا أحدهما بشكل خاطئ أو كلاهما. بعد ذلك ، سيبدأون في العمل على كليهما مرة أخرى. الآن ، إذا قمت بتحديد عدد محاولات تسجيل الدخول بالإضافة إلى هذه الإستراتيجية ، فستوفر لك المزيد من الوقت ضد المتسللين.
لذا ، قم بإزالة رسالة الخطأ من صفحة تسجيل الدخول.
10. السماح لعناوين IP محددة بتسجيل الدخول
يمكنك تقييد الوصول إلى عناوين IP ثابتة محددة لتأمين موقع الويب. إذا كنت تعرف عنوان IP الخاص بك ، فامنحه حق الوصول من خلال ملف htaccess من مجلد wp-admin.
ما عليك سوى فتح مجلد wp-admin وتحرير ملف باسم .htaccess وإضافة هذا الرمز:
order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all
كل ما عليك فعله هو استبدال 99.99.99.99 بعنوان IP الخاص بك أو الذي تريد منحه حق الوصول إليه.
الآن ، إذا حاول شخص ما ليس لديه وصول تسجيل الدخول ، فسوف يرى هذه الرسالة.
11. إضافة طبقة إضافية عن طريق المصادقة الثنائية
هناك طريقة أخرى يمكنك من خلالها تعزيز أمان موقع الويب الخاص بك وهي استخدام مكون WordPress الإضافي لإضافة طبقة أخرى بمصادقة ثنائية. كل ما عليك فعله هو تثبيت وإعداد مكون إضافي مثل WP 2FA ، وسيكون موقع الويب الخاص بك آمنًا ضد التهديدات الإلكترونية مثل البرامج النصية الآلية وهجمات القوة الغاشمة.
12. كلمة المرور لمرة واحدة (OTP)
كما يوحي الاسم ، تتيح لك كلمات المرور لمرة واحدة تسجيل الدخول إلى موقع الويب من خلال كلمة مرور جيدة لمرة واحدة فقط. تتلقى كلمات المرور هذه في بريدك أو رقم هاتفك المحمول. نظرًا لأنه يتم إرسال كلمة المرور لمرة واحدة عبر البريد ورقم الهاتف المحمول وهي جيدة لجلسة واحدة فقط ، فلا داعي للقلق بشأن سرقة كلمة المرور الرئيسية الخاصة بك أثناء تسجيل الدخول من أماكن مثل مقاهي الإنترنت. وغني عن القول ، قد تساعد بعض مكونات WordPress الإضافية في إضافة وظيفة OTP إلى صفحة تسجيل الدخول الخاصة بك.
ستساعد هذه التقنيات في تأمين منطقة إدارة موقع WordPress الخاص بك من التهديدات الإلكترونية مثل هجمات القوة الغاشمة ، والبريد العشوائي ، والروبوتات السيئة ، وحقن SQL ، والأهم من ذلك ، البرامج النصية الآلية (لإنشاء كلمات المرور).
قد يعجبك أيضًا: ما هو المخطط؟ كيفية إضافة Schema Markup إلى موقع WordPress الخاص بك؟
أخيراً!
عندما تصمم موقع ويب WordPress جديدًا ، فإن فكرة تعرضه للاختراق بعيدة كل البعد. لكنها لا تزال احتمالية. لذلك ، تحتاج إلى جعل الأمان جزءًا مميزًا من تطوير WordPress المخصص لحماية منطقة الإدارة وتأمينها حتى لا يتمكن المتسللون من الوصول إلى المعلومات الحساسة لموقعك على الويب.
لهذا السبب قمنا بإدراج هذه النصائح والتقنيات مثل تحديثات WordPress ، والمكونات الإضافية للأمان ، و OTP ، وكلمات المرور المشفرة ، والمصادقة الثنائية ، و captchas ، وما إلى ذلك ، للتأكد من أن موقع الويب الخاص بك آمن من المتسللين. تأكد من مناقشة هذه التقنيات عند توظيف مطوري WordPress لإنشاء موقع ويب جديد أو تحديث موقعك القديم.
المؤلف: Palak Shah
هذا المقال بقلم Palak Shah. Palak كاتبة محتوى عالي الجودة في WPWeb Infotech وهي تحب الكتابة عن WordPress والتكنولوجيا والشركات الصغيرة. إنها لاعبة جماعية رائعة وتعمل بشكل وثيق مع الفريق لتحقيق نتائج رائعة. تشاهد Netflix وتقرأ الكتب الواقعية والمساعدة الذاتية والسير الذاتية لشخصيات عظيمة.