5 نصائح لحماية موقع WordPress الخاص بك من المتسللين

01.06.2020
Լավագույն հոստինգ '5 نصائح لحماية موقع WordPress الخاص بك من المتسللين
0 21 мин.

كيفية حماية موقع وورد الخاص بك ضد المتسللين


هناك العديد من النصائح والحيل لحماية موقع WordPress الخاص بك من المتسللين ، ولكن أهم خمس نصائح مهمة ومستخدمة هي تلك التالية:

تغيير كل شيء من التقصير

عادة ما يهاجم المتسللون موقع الويب معتقدين أن الخيارات الافتراضية قيد التشغيل ، لذلك تحتاج إلى تغيير كل شيء مثل

  • يجب أن يكون اسم المستخدم الافتراضي وهو المسؤول والاسم الأفضل لقبًا خاصًا وشخصيًا.
  • يجب أن يكون مجلد التثبيت الموجود عادةً في الجذر مجلدًا عشوائيًا ، ويمكنك استخدام رمز php صغير يجعل الوصول إلى موقع الويب الخاص بك كالمعتاد حتى لو لم يكن مجلد التثبيت هو المجلد المعتاد. يمكنك تعديل كود php من index.php من الجذر الخاص بك حيث تضع فهرس WordPress ، لكنك تغير مجلد التثبيت من السطر الذي يبدأ بـ:

يتطلب (اسم التسجيل (__FILE__). ‘/ wp-blog-header.php “) ؛

إلى

يتطلب (اسم المستخدم (__FILE__). ‘/ random_folder_name / wp-blog-header.php’) ؛

  • مفاتيح WordPress من ملف التكوين wp-config.php المستخدم لتحسين تشفير بيانات المستخدم مثل:

تعريف (“AUTH_KEY” ، “ضع العبارة الفريدة هنا”) ؛
تعريف (“SECURE_AUTH_KEY” ، “ضع العبارة الفريدة هنا”) ؛
تعريف (“LOGGED_IN_KEY” ، “ضع العبارة الفريدة هنا”) ؛
تعريف (“NONCE_KEY” ، “ضع العبارة الفريدة هنا”) ؛

  • بادئة الجدول من البادئة الافتراضية المسماة _wp عند إنشاء قاعدة بيانات WordPress.
  • تحتاج إلى إزالة نموذج التعبئة التلقائية حتى لا تكتمل النماذج تلقائيًا وعلى الفور ببيانات خاصة.
  • قم بتعطيل النقر بزر الماوس الأيمن حتى لا يتمكن المتسللون من رؤية شفرة المصدر الخاصة بك بسهولة كبيرة ولا يمكنهم البحث بعد المعلومات الخاصة مثل اسم القالب وإصدار WordPress والمكونات الإضافية.
  • منع عناكب محرك البحث من فهرسة أقسام الإدارة مثل wp-admin و wp-include و wp-content / plugins / و wp-content / cache / و wp-content / السمات ومنع الوصول إلى الخلاصات و trackback وصفحات الفئات باستخدام برامج الروبوت وضع ملف .txt في الدليل الجذر الخاص بك كما في المثال أدناه:

#
وكيل المستخدم: *
Disallow: / cgi-bin
Disallow: / wp-admin
Disallow: / wp-include
Disallow: / wp-content / plugins /
Disallow: / wp-content / cache /
Disallow: / wp-content / theme /
Disallow: * / trackback /
Disallow: * / تغذية /
Disallow: / * / feed / rss / $
Disallow: / الفئة / *

  • قم بتعديل وحماية ملف htaccess من أجل منع اختراق WordPress عن طريق تعديله باستخدام رمز لطيف في ملف htaccess الجذر الخاص بك مثل:

# حماية خارقة قوية

يسمح النظام ، ينكر
رفض من الجميع
إرضاء الجميع

  • قم بتأمين wp-config.php باستخدام رمز إضافي مكتوب في .htaccess:

# حماية wp-config.php

رفض الأمر ، والسماح
رفض من الجميع

  • تقييد الوصول إلى دليل محتوى wp بإضافة كود htaccess الإضافي:

رفض الأمر ، والسماح
رفض من الجميع

السماح من الجميع

  • قم بتعطيل تصفح الدليل باستخدام رمز مكتوب بلغة htaccess.

خيارات الكل – الفهارس

  • منع حقن البرنامج النصي برمز htaccess آخر:

# حماية من حقن sql
خيارات + FollowSymLinks
إعادة كتابة المحرك
RewriteCond٪ {QUERY_STRING} (\<|٪ 3C). * البرنامج النصي. * (\>|٪ 3E) [NC ، أو]
RewriteCond٪ {QUERY_STRING} GLOBALS (= | \ \ | \٪ [0-9A-Z] {0،2}) [OR]
RewriteCond٪ {QUERY_STRING} _REQUEST (= | \ [| \٪ [0-9A-Z] {0،2})
RewriteRule ^ (. *) $ index.php [F، L]

تحديث كل شيء

هناك طريقة أخرى لحماية موقع WordPress الخاص بك وهي استخدام المكوّن الإضافي WP Updates Notifier الذي يخطرك بالتحديثات الجديدة ومن ثم يمكنك البحث في كل مكون إضافي أو سمة أو حتى WordPress الأساسية لمعرفة ما إذا كان التحديث آمنًا.

في هذه الحالة ، كل شيء على ما يرام ، يجب عليك التحديث في أسرع وقت ممكن في الإصدار الأخير ، وإلا قد يكون موقعك على الويب قديمًا ويمكن أن تظهر مآثر. إذا لم تكن آمنة ، فمن الأفضل ألا تقوم بالتحديث ويجب عليك إلغاء تنشيط وحذف المكون الإضافي أو الموضوع واستخدام مكان جديد وأفضل..

استخدام تقنيات أمنية محسنة

إذا كنت تستخدم تقنيات أمان محسنة مثل شهادة SSL المشفرة التي تحول دون نقل المعلومات الشخصية مثل رقم بطاقة الائتمان إلى مخترق أو شركة استضافة ويب جيدة توفر لك عنوان IP مخصصًا ، ولكن أيضًا حماية ضد هجمات DDoS و Spam كن أكثر أمانا.

استخدام برنامج أمان محسّن

يمكنك أيضًا تثبيت ملحقات أمان مختلفة مثل WP Security Scan ، والذي يعمل مثل فحص مكافحة الفيروسات بعد نقاط الضعف وإبلاغك إذا وجد رمزًا سيئًا. هذا المكون الإضافي جيد جدًا لثغرات XSS والاقتحام وحظر وتسجيل محاولات تسجيل الدخول غير الصحيحة ، ولكن يمكنك استخدام مضاد فيروسات عادي مثل BitDefender Antivirus أو ESET Nod32 Antivirus لفحص الملفات التي تقوم بتحميلها على FTP أو من خلال مكتبة وسائط WordPress.

بالإضافة إلى ذلك ، يمكنك تثبيت جدار حماية تطبيق ويب (WAF) عبارة عن خدمة توصيل وتشغيل تستند إلى السحابة تعمل كبوابة لجميع حركة المرور الواردة أو تطبيقات الأمان الأخرى مثل Acunetlx WP Security التي تخفي هوية موقع الويب الخاص بك CMS.

عمل نسخة احتياطية من موقعك بانتظام

تحتاج أيضًا إلى إجراء نسخ احتياطي بانتظام كل يوم ، أو على الأقل كل أسبوع يدويًا أو إذا أمكن ، تلقائيًا باستخدام وورد البرنامج المساعد أو برنامج مثل R1-Soft الذي توفره لك شركة الاستضافة.

أنت حقًا بحاجة إلى النسخ الاحتياطي لرسائل البريد الإلكتروني وملفات بروتوكول نقل الملفات ، ولكن أيضًا لقاعدة البيانات ، خاصة وأن WordPress يستخدم قاعدة البيانات للوظائف والمحتوى وجوانب التصميم.

للتأكد ، يمكنك تحميل كل نسخة احتياطية بصندوق الإسقاط, OneDrive أو MediaFire حسب المساحة المتوفرة لديك.

في النهاية ، حتى إذا اتخذت جميع الاحتياطات اللازمة ، يمكنك بسهولة اختراقها أو خداعها إذا لم تهتم واتبعت بعض القواعد المنطقية مثل:

  • لا تقم أبدًا بتسجيل الدخول إلى لوحة تحكم WordPress الخاصة بك أو أي لوحات تحكم أخرى ذات صلة بموقع الويب الخاص بك من كمبيوتر أجنبي أو عمل / مدرسة لأنه ربما نسيت أنك قمت بتسجيل الدخول ويمكن لشخص ما الوصول إلى موقعك لاحقًا.
  • لا تعطي أبداً cPanel أو FTP أو قاعدة البيانات أو WordPress أو بيانات اعتماد الاستضافة لأنه أحيانًا عن طريق الخطأ أو لا ، يمكن للأشخاص فعل أشياء سيئة.
  • استخدم دائمًا رابط موقع الويب الخاص بك لتسجيل الدخول إليه ولا تستخدم موقع ويب آخر حتى لو كانت متشابهة ، يمكنك خداعك بسهولة ومن ثم يمكن تخزين بيانات الاعتماد على خادم خاص أو إرسالها عبر البريد الإلكتروني إلى شخص.
  • استخدم دائمًا أدوارًا محددة جيدًا وأذونات المستخدم إذا كنت بحاجة إلى إضافة مستخدمين إلى موقع الويب الخاص بك لأسباب معينة.
  • استخدم دائمًا عنوان بريد إلكتروني خاص واسم مستخدم وكلمات مرور لتسجيل الدخول إلى موقع الويب الخاص بك وليس الشائعة.
  • إذا أعطيت شخصًا مثل مصمم الويب أو مبرمج الويب بروتوكول FTP الخاص بك أو بيانات اعتماد أخرى ، فأنت بحاجة إلى تغييرها بعد انتهاء المهمة ويجب عليك التحقق لمعرفة ما إذا كان لا يستخدم أي برنامج نصوص برمجية إكسبلويت مثل البرنامج الذي يمنحه المشرف امتيازات على موقع WordPress الخاص بك بنقرة واحدة فقط بالماوس.

هل موقعك محمي؟ ما هي الإجراءات التي تتخذها لتأمين موقع WordPress الخاص بك وحمايته من المتسللين؟ اسمحوا لي أن نعرف في التعليقات!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector