دليل أمان WordPress النهائي-خطوة بخطوة!

يعد موضوع أمان WordPress موضوع ذا أهمية لكل أصحاب المواقع،تضع Google في القائمة السوداء ما يزيد عن 10000 موقع ويب يوميًا بحثًا عن البرامج الضارة وحوالي 50000 موقع للتصيد الاحتيالي كل أسبوع.

إذا كنت جادًا بشأن موقع الويب الخاص بك ، فأنت بحاجة إلى إعطاء الاهتمام إلى أفضل طرق أمان WordPress.

في هذا الدليل ، سنشارك جميع نصائح الأمن في WordPress لمساعدتك على حماية موقع الويب الخاص بك من مخترقي ـمن الموقع والبرامج الضارة(malware)

على الرغم من أن برنامج WordPress الأساسي آمن للغاية ، ويتم تدقيقه بانتظام من قبل مئات المطورين ، إلا أن هناك الكثير يمكنك القيام به للحفاظ على أمان موقعك.

نعتقد أن الأمن لا يقتصر فقط على التخلص من الخطر. إنه يتعلق أيضًا بالحد من الخطر. بصفتك مالكًا لموقع الويب ، هناك الكثيرمن الأمور يمكنك القيام بها لتحسين أمان WordPress الخاص بك (حتى لو لم تكن خبيرًا في التكنولوجيا).

لدينا عدد من الخطوات القابلة للتنفيذ التي يمكنك اتخاذها لحماية موقع الويب الخاص بك من الثغرات الأمنية.

لتسهيل الأمر ، قمنا بإنشاء قائمة المحتويات لمساعدتك على التنقل بسهولة عبر دليل أمان WordPress النهائي الخاص بنا.

مستعد؟ هيا بنا نبدأ.

لماذا أمان الموقع مهم؟

يمكن أن يتسبب موقع WordPress الذي تم اختراقه في إلحاق ضرر كبير بإيرادات عملك وسمعتك. يمكن لمخترقين أمن الشبكات سرقة معلومات المستخدم وكلمات المرور وتثبيت البرامج الضارة ، ويمكنهم حتى توزيع البرامج الضارة على المستخدمين.

الأسوأ ، قد تجد نفسك تدفع رسوم لمخترقي أمن الشبكات فقط لاستعادة الوصول إلى موقع الويب الخاص بك!

في آذار (مارس) 2016 ، أفادت Google أنه تم تحذير أكثر من 50 مليون مستخدم لموقع الويب من أن موقع الويب الذي يزورونه قد يحتوي على برامج ضارة أو يسرق معلومات.

إضافة لذلك ، تضع Google في القائمة السوداء حوالي 20000 موقع للبرامج الضارة وحوالي 50000 موقع للتصيد الاحتيالي كل أسبوع.

إذا كان موقع الويب الخاص بك عبارة عن شركة ، فأنت بحاجة إلى إبداء اهتمام إضافي لأمن WordPress الخاص بك.

بشكل مماثل لمسؤولية مالكي الأنشطة التجارية عن حماية مبنى متجرهم الفعلي ، بصفتك مالكًا للنشاط التجاري عبر الإنترنت ، تقع على عاتقك مسؤولية حماية موقع الويب الخاص بنشاطك التجاري.

تحديث ووردبريس باستمرار:

WordPress هو نظام مفتوح المصدر يتم صيانته وتحديثه بانتظام. بشكل افتراضي ، يقوم WordPress تلقائيًا بتثبيت التحديثات الخفيفة. بالنسبة للإصدارات الرئيسية ، تحتاج إلى بدء التحديث يدويًا.

يأتي WordPress أيضًا مع آلاف الملحقات والواجهات التي يمكنك تثبيتها على موقع الويب الخاص بك. يتم الحفاظ على هذه الملحقات والواجهات بواسطة مطوري الجهات الخارجية الذين يقومون بإصدار تحديثات بانتظام أيضًا.

تعد تحديثات WordPress هذه ضرورية لأمن واستقرار موقع WordPress الخاص بك. تحتاج إلى التأكد من تحديث WordPress والإضافات والقوالب الخاصة بك.

كلمات مرور قوية وأذونات المستخدم:

أكثر محاولات اختراق WordPress  شيوعا هي استخدام كلمات مرور مسروقة .لذلك يمكن أن تجعل هذا صعبا باستخدام كلمات مرور أقوى وتكون مميزة لموقعك . ليس فقط لإدارة وقاعدة FTP ولكن أيضا لحسابات وعناوين WordPress وحساب استضافة بريدك الإلكتروني التي تستخدم اسمك .

لايحب العديد من المبتدئين استخدام كلمات مرور قوية لانها من الصعب تذكرها .فالشيئ الجيد هو أنك لست بحاجة إلى تذكر كلمات المرور بعد الآن.

(راجع دليل WordPress حول كيفية إدارة كلمات المرور .)

هناك طريقة أخرى لتقليل الخطر وهي عدم منح أي شخص حق الوصول إلى حساب مسؤول WordPress الخاص بك مالم تضطر إلى ذلك .إذا كان لديك فريق كبير أو مؤلفين فتأكد من معرفتك لأدوار المستخدمين وقدراتهم قبل إضافة حسابات مستخدمين ومؤلفين جدد إلى موقع WordPress الخاص بك.

دور استضافة WordPress:

تلعب خدمة استضافة WordPress الخاصة بك الدور الأكثر أهمية في أمان موقع الخاص بك . يتخذ موفر الاستضافة تدابير إضافية siteground او  bluehost لحماية الخوادم من التهديدات الشائعة .

هنا نعرض لك كيفية عمل شركة استضافة ويب جيدة في الخلفية لحماية موقع الويب والبيانات الخاصة بك .

 إنهم يراقبون شبكتهم باستمرار بحثًا عن أي نشاط مشبوه.

تمتلك جميع شركات الاستضافة الجيدة أدوات لمنع هجمات DDOS واسعة النطاق و يحافظون على تحديث برامج الخادم وإصدارات php والأجهزة الخاصة بهم لمنع مخترقي أمن الموقع من استغلال ثغرة أمنية معروفة في إصدار قديم.

لديهم استعداد لنشر خطط تسمح لهم بحماية بياناتك في حالة وقوع حادث كبير. في خطة الاستضافة المشتركة ، تقوم بمشاركة موارد الخادم مع العديد من العملاء الآخرين.

هذا يعرضك لخطر اختراق الموقع حيث يمكن لمخترق أمن الموقع استخدام موقع مجاور مهاجمة موقع الويب الخاص بك.

يوفر استخدام خدمة استضافة WordPress مُدارة نظامًا أساسيًا أكثر أمانًا لموقع الويب الخاص بك.

تقدم شركات استضافة WordPress المُدارة نسخًا احتياطية تلقائية وتحديثات WordPress تلقائية وتكوينات أمان أكثر تقدمًا لحماية موقع الويب الخاص بك نوصي باستخدام WPEngine باعتباره موفر استضافة WordPress المُدار المفضل لدينا..

أمان WordPress في خطوات سهلة (بدون تشفير):

 نحن نعلم أن تحسين أمان WordPress يمكن أن يكون فكرة مرعبة للمبتدئين خاصة إذا لم تكن خبيرًا في المجال التقني. لقد ساعدنا الآلاف من مستخدمي WordPress في تعزيز أمان WordPress الخاص بهم. سنوضح لك كيف يمكنك تحسين أمان WordPress الخاص بك ببضع نقرات فقط (لا يلزم الترميز). إذا كنت تستطيع التأشير والنقر ، يمكنك القيام بذلك!

-قم بتثبيت برنامج wordpress backup solution

النسخ الاحتياطية هي دفاعك الأول ضد أي هجوم على WordPress تذكر أنه لا يوجد شيء آمن بنسبة 100٪. إذا كان من الممكن اختراق مواقع الويب الحكومية ، فيمكن اختراق مواقعك أيضًا.

تسمح لك النسخ الاحتياطية باستعادة موقع WordPress الخاص بك بسرعة في حالة حدوث شيء سيء.

 هناك العديد من الإضافات المجانية والمدفوعة للنسخ الاحتياطي في WordPress والتي يمكنك استخدامها. أهم شيء تحتاج إلى معرفته عندما يتعلق الأمر بالنسخ الاحتياطية هو أنه يجب عليك حفظ النسخ الاحتياطية الكاملة للموقع بانتظام في موقع بعيد (وليس حساب الاستضافة الخاص بك).

نوصي بتخزينه على خدمة مثل Amazon أو Dropbox أو مثل Stash. بناءً على عدد المرات التي تقوم فيها بتحديث موقع الويب الخاص بك ، قد يكون الإعداد المثالي إما مرة واحدة يوميًا أو نسخًا احتياطيًا في الوقت الفعلي.

لحسن الحظ ، يمكن القيام بذلك بسهولة باستخدام مكونات إضافية مثل UpdraftPlus أو BlogVault. كلاهما موثوق به والأهم من ذلك أنه سهل الاستخدام (لا حاجة إلى الترميز).

أفضل ملحق لأمن WordPress بعد النسخ الاحتياطية :

إن الشيء التالي الذي يتعين علينا القيام به هو إعداد نظام للتدقيق والمراقبة يتتبع كل ما يحدث على موقع الويب الخاص بك. يتضمن ذلك مراقبة سلامة الملفات ومحاولات تسجيل الدخول الفاشلة ومسح البرامج الضارة وما إلى ذلك. لحسن الحظ ، يمكن الاعتناء بكل هذا من خلال أفضل ملحق للأمان في WordPress ، وهو Sucuri Scanner. تحتاج إلى تثبيت وتفعيل البرنامج المساعد المجاني Sucuri Security

. لمزيد من التفاصيل ، يرجى الاطلاع على دليلنا خطوة بخطوة حول كيفية تثبيت مكون WordPress الإضافي.

 عند التنشيط ، يجب أن تذهب إلى قائمة Sucuri في مسؤول WordPress الخاص بك. أول شيء سيُطلب منك القيام به هو إنشاء مفتاح API مجاني. يتيح ذلك تسجيل التدقيق والتحقق من الأمن وتنبيهات البريد الإلكتروني وميزات مهمة أخرى.

-الشيء التالي ، ما عليك فعله هو النقر فوق علامة التبويب “hardening” من قائمة الإعدادات. ا

نتقل من خلال كل خيار وانقر على زر “apply hardening”.

تساعدك هذه الخيارات في تأمين المجالات الرئيسية التي يستخدمها مخترقين أمن الموقع غالبًا في هجماتهم. الخيار الوحيد الذي يعد ترقية مدفوعة الآجر هو جدار حماية تطبيق الويب الذي سنشرحه في الخطوة التالية ، لذا تخطاه في الوقت الحالي.

لقد قمنا أيضًا بتغطية الكثير من خيارات “hardening ” لاحقًا في هذه المقالة لأولئك الذين يريدون القيام بذلك دون استخدام ملحق أو تلك التي تتطلب خطوات إضافية مثل “تغيير بادئة قاعدة البياناتdatabase prefix change ” أو “تغيير اسم لمستخدم المسؤولchanging the admin username “.

بعد هذا  الجزء  ، تكون إعدادات الملحق الافتراضية جيدة بما يكفي لمعظم مواقع الويب ولا تحتاج إلى أي تغييرات.

 الشيء الوحيد الذي نوصي بتخصيصه هو “تنبيهات البريد الإلكتروني”. يمكن لإعدادات التنبيه الافتراضية أن تُزحِم صندوق الوارد الخاص بك برسائل البريد الإلكتروني.

لذلك نوصي بتلقي تنبيهات للإجراءات الأساسية مثل التغييرات في الملحق ، وتسجيل مستخدم جديد ، وما إلى ذلك. يمكنك تكوين التنبيهات بالانتقال إلى إعدادات Sucuri »التنبيهات.

يعد الملحق لwordpress  قوي للغاية لذا تصفح جميع علامات التبويب والإعدادات لمعرفة ماتفعله البرامج الضارة (malware) .تتبع محاولات تسجيل الدخول الفاشلة وماإلى ذلك.

-تمكين جدار حماية تطبيق الويب WAF

أسهل طريقة  لحماية موقعك وأن تكن واثق بشأن أمان WordPress الخاص بك هي استخدام جدار حماية تطبيق ويب WAF

يقوم جدار حماية موقع الويب بحظر كل حركة العملاء المشتبهة والضارة  قبل أن تصل إلى موقع الويب الخاص بك.

جدار حماية موقع الويب DNS Level website firewall –

يقوم جدار الحماية هذا بتوجيه حركة العملاء إلى موقع الويب الخاص بك من خلال cloud proxy server الخاصة بهم. هذا يسمح لهم فقط بإرسال حركة العملاء الحقيقية إلى خادم الويب الخاص بك>

. جدار حماية مستوى التطبيق  application level firewall- تقوم هذه الملحقات لجدار الحماية بفحص حركة دخول العملاء  بمجرد وصولها إلى الخادم الخاص بك ولكن قبل تحميل معظم نصوص WordPress النصية. يجب أن تعلم أن هذه  الطريقة ليست فعالة مثل جدار الحماية على مستوى DNS في تقليل تحميل الخادم DNS.

نحن نستخدم  SUCURIونوصي به كأفضل جدار حماية لتطبيق WordPress .

أفضل جزء حول  sucuri`s firewall أنه يأتي مع ضمان لإزالة البرامج الضارة(malware )وضمان لإزالة القائمة السوداء.

في الأساس إذا تم اختراق نظام الأمن لموقعك فإنهم يضمنون  أنهم سيصلحون موقع الويب الخاص بك (بغض النظر عن عدد الصفحات التي لديك)

يعتبر ضمان قوي جدا لأنه عادة يعتبر إصلاح المواقع المخترقة مكلف .عادة مايتقاضى خبراء الأمن 250 ألف دولار بالساعة بينما يمكنك الحصول على sucuri security stack مقابل 199 دولار سنويا!

Sucuri ليس مزود جدار الحماية الوحيد الموجود هناك. المنافس الشهير الآخر هو cloudfare

-انقل موقع WordPress الخاص بك إلى SSL/HTTPS:

SSL)SECURE SOCKETS LAYER) هو بروتوكول يقوم بتشفير نقل البيانات بين موقعك على الويب ومتصفح المستخدمين .يجعل هذا التشفير سرقة المعلومات أمرا صعبا  على أي شخص .

بمجرد تفعيلك لSSL، سوف يقوم موقعك باستخدام HTTPSبدلا من HTTP ،وسترى أيضا علامة قفل بجوار عنوان موقع ويب الخاص بك في المتصفح .

عادة مايتم إصدار شهادات SSL  من قبل جهات إصدار الشهادات ، وتبدأ أسعارها من 80 دولارإلى مئات الدولارات كل عام .

نظرا للتكلفة المضافة اختار معظم أصحاب مواقع ويب الاستمرار في استخدام بروتوكول غير آمن .

لإصلاح ذلك ، قررت منظمات غير ربحية تسمى LET”S ENCRYPT تقديم شهادات مجانية لأصحاب موقع الويب.مشروعهم مدعوم من قبل  GOOGLE CHROME , FACEBOOK,MOZILLA والعديد من الشركات الآخرى .

الآن،أصبح بدء استخدام SSL لجميع مواقع WordPress الخاصة بك أسهل من أي وقت مضى. تقدم العديد من شركات الاستضافة الآن شهادة SSL مجانية لموقع الويب الخاص بك على WordPress.

إذا كانت شركة الاستضافة الخاصة بك لا تقدم واحدة ، فيمكنك شراء واحدة من Domain.com  لديهم أفضل صفقة SSL وأكثرها موثوقية في السوق. يأتي مع ضمان أمان بقيمة 10000 دولار وختم أمان TrustLogo.

أمان wordpress لمستخدمي DIY

إذا فعلت كل ما ذكرناه حتى الآن ، فأنت في حالة جيدة جدًا. ولكن كما هو الحال دائمًا ، هناك المزيد الذي يمكنك القيام به لتعزيز أمان WordPress الخاص بك.

قد تتطلب بعض هذه الخطوات معرفة الترميز.

قم بتغيير اسم المستخدم الافتراضي “admin”

في الماضي ، كان اسم المستخدم الافتراضي لمشرف WordPress هو “admin”. نظرًا لأن أسماء المستخدمين تشكل نصف بيانات اعتماد تسجيل الدخول ، فقد سهّل ذلك على مخترقي أمن المواقع الهجوم والاختراق .

 لحسن الحظ ، قام WordPress بتغيير هذا منذ ذلك الحين ويطلب منك الآن تحديد اسم المستخدم المخصص في وقت تثبيت WordPress 

بكل الأحوال ، لا تزال بعض أدوات تثبيت WordPress بنقرة واحدة تعين اسم المستخدم الافتراضي للمسؤول “admin”

 إذا لاحظت ذلك ، فمن الأفضل تبديل استضافة الويب الخاصة بك . نظرًا لأن WordPress لا يسمح لك بتغيير أسماء المستخدمين افتراضيًا ، فهناك ثلاث طرق يمكنك استخدامها لتغيير اسم المستخدم.

1-انشئ اسم مستخدم مسؤول جديدًا واحذف الاسم القديم.

2-استخدم الملحق Username Changer

3- تحديث اسم المستخدم من phpMyAdmin

 ملاحظة: نحن نتحدث عن اسم المستخدم المسمى “admin” ، وليس دور المسؤول.

تعطيل تحرير الملفDISABLE FILE EDITING

 يأتي WordPress مزودًا بمحرر كود مضمن يسمح لك بتعديل ملفات الواجهة والملحقات مباشرة من منطقة إدارة WordPress الخاصة بك. في الأيدي الخطأ ،

يمكن أن تشكل هذه الميزة خطرًا أمنيًا ولهذا نوصي بإيقاف تشغيلها.

يمكن بسهولة فعل ذلك عن طريق إضافة الكود الخاص بك في wp-config.php .

بدلا من ذلك ، يمكنك القيام بذلك بنقرة واحدة في البرنامج hardening باستخدام ميزة الذي ذكرناه أعلى sucuriالمساعد المجاني .

تعطيل تنفيذ ملف PHP في أدلة wordpress معينة

هناك طريقة أخرى لتعزيز أمان wordpress عن طريق تعطيل ملف تنفيذ php الخاص بك في الدلائل حيث لاتكون هناك حاجة إليه مثل /uploads/wp-content

يمكنك القيام بذلك عن طريق فتح محرر نصوص مثل notepad ولصق هذا الرمز :

<Files *.php>deny from all</Files>

بعد ذلك تحتاج إلى حفظ هذا الملف باسم hataccess وتحميله إلى /upload/wp-content

على موقع الويب الخاص بك باستخدام FTP>

الحد من محاولات تسجيل الدخول :

بشكل افتراضي ،يتيح WordPress للمستخدمين محاولة تسجيل دخول بقدر مايريدون.

هذا يترك موقع wordpress الخاص بك معرض لهجمات من مخترقي امن الموقع .

حيث يحاول مخترقون أمن الموقع  كسر كلمات المرور من خلال محاولة تسجيل الدخول بمجموعات مختلفة ز

يمكنك إصلاح ذلك بسهولة عن طريق الحد من محاولات تسجيل الدخول الفاشلة التي يمكن للمستخدمين القيام بها .إذا كنت تستخدم جدار حماية تطبيق ويب المذكور سابقا ، فسيتم الاهتمام بذلك تلقائيا.

ومع ذلك إذا لم يكن لديك إعدادات جدار الحماية ،فتابع الخطوات أدناه,.

 أولاً ، تحتاج إلى تثبيت وتفعيل المكون الإضافي Login LockDown . لمزيد من التفاصيل ، راجع دليلنا خطوة بخطوة حول كيفية تثبيت ملحق WordPress

، قم بزيارة الإعدادات » صفحة تأمين تسجيل الدخول لإعداد الملحق.

المصادقة الثنائية

تتطلب تقنية المصادقة الثنائية أن يقوم المستخدمون بتسجيل الدخول باستخدام طريقة مصادقة من خطوتين. 

الأول هو اسم المستخدم وكلمة المرور ، والخطوة الثانية تتطلب منك المصادقة باستخدام جهاز أو تطبيق منفصل.

تسمح لك معظم المواقع الإلكترونية الكبرى مثل Google و Facebook و Twitter بتمكينها لحساباتك. 

يمكنك أيضًا إضافة نفس الوظيفة إلى موقع WordPress الخاص بك

. أولاً ، تحتاج إلى تثبيت وتفعيل المكون الإضافي Two Factor Authentication . عند التنشيط ، تحتاج إلى النقر فوق رابط “Two Factor Autentication ” في الشريط الجانبي لمسؤول WordPress.

بعد ذلك ، تحتاج إلى تثبيت وفتح تطبيق المصادقة على هاتفك.

 يتوفر العديد منها مثل Google Authenticator و Authy و LastPass Authenticator. نوصي باستخدام LastPass Authenticator أو Authy لأن كلاهما يسمح لك بعمل نسخة احتياطية من حساباتك على الcloud. 

هذا مفيد جدًا في حالة فقد هاتفك أو إعادة ضبطه أو شراء هاتف جديد.

 سيتم استعادة جميع عمليات تسجيل الدخول إلى حسابك بسهولة

. سنستخدم LastPass Authenticator في البرنامج التعليمي. ومع ذلك ، فإن التعليمات متشابهة لجميع تطبيقات المصادقة. افتح تطبيق المصادقة الخاص بك ، ثم انقر فوق الزر “إضافة”.

سيتم سؤالك عما إذا كنت ترغب في مسح الموقع يدويًا أو مسح الرمز الشريطي ضوئيًا. 

حدد خيار مسح الرمز الشريطي ثم وجه كاميرا هاتفك إلى QRcode الظاهر في صفحة إعدادات الملحق.

 هذا كل شيء ، سيتم حفظه من قبل  تطبيق المصادقة الآن. 

في المرة التالية التي تقوم فيها بتسجيل الدخول إلى موقع الويب الخاص بك ، سيُطلب منك رمز المصادقة الثنائي بعد إدخال كلمة المرور الخاصة بك.

ما عليك سوى فتح تطبيق المصادقة على هاتفك وإدخال الرمز الذي تراه عليه.

تغيير بادئة قاعدة بيانات WordPress

بشكل افتراضي ، يستخدم WordPress wp_ كبادئة لجميع الجداول في قاعدة بيانات WordPress الخاصة بك . إذا كان موقع WordPress الخاص بك يستخدم بادئة قاعدة البيانات الافتراضية ، فإن ذلك  يسهل على مخترقي أمن المعلومات تخمين اسم الجدول الخاص بك. هذا هو السبب في أننا نوصي بتغييره.

كلمة مرور حماية مدير WordPress وصفحة تسجيل الدخول

(صورة)

 عادة ، يمكن لمخترقي أمن الموقع  طلب مجلد wp-admin وصفحة تسجيل الدخول دون أي قيود. هذا يسمح لهم بتجربة حيل القرصنة أو تشغيل هجمات DDoS. يمكنك إضافة حماية إضافية بكلمة مرور على مستوى جانب الخادم ، مما يؤدي إلى حظر هذه الطلبات بشكل فعال

. اتبع إرشاداتنا خطوة بخطوة حول كيفية حماية دليل مسؤول WordPress (wp-admin) بكلمة مرور .

تعطيل فهرسة الدليل والاستعراض

 يمكن لمخترقي أمن الموقع استخدام تصفح الدليل لمعرفة ما إذا كان لديك أي ملفات بها نقاط ضعف معروفة ، حتى يتمكنوا من الاستفادة من هذه الملفات للوصول إليها. يمكن أيضًا استخدام تصفح الدليل بواسطة أشخاص آخرين للبحث في ملفاتك ونسخ الصور ومعرفة هيكل الدليل الخاص بك ومعلومات أخرى. 

هذا هو السبب في أنه يوصى بشدة بإيقاف تشغيل فهرسة الدليل والتصفح.

باستخدام مدير ملفات FTP أو cPanel. بعد ذلك ، حدد موقع ملف .htaccess في الجذر لموقع الويب الخاص بك. إذا لم تتمكن من رؤيته هناك ، فراجع دليلنا حول سبب عدم رؤيتك لملف .htaccess

في WordPress  ،بعد ذلك تحتاج إلى إضافة السطر التالي في نهاية ملف .htaccess: Options -Indexes  لا تنس حفظ وتحميل ملف htaccess مرة أخرى إلى موقعك

تعطيل XML-RPC في WordPress

تم تمكين XML-RPC افتراضيًا في WordPress 3.5 لأنه يساعد على ربط موقع WordPress الخاص بك بتطبيقات الويب والجوال.

بسبب طبيعتها القوية ، يمكن لـ XML-RPC تضخيم بشكل كبير هجوم عن طريق التخمين

على سبيل المثال ، إذا أراد أحد المتطفلين عادةً تجربة 500 كلمة مرور مختلفة على موقع الويب الخاص بك ، فسيتعين عليهم إجراء 500 محاولة منفصلة لتسجيل الدخول والتي سيتم اكتشافها وحظرها بواسطة الملحق  لإغلاق تسجيل الدخول. ولكن مع XML-RPC ، يمكن للمتسلل استخدام وظيفة system.multicall لتجربة الآلاف من كلمات المرور مع 20 أو 50 طلبًا. لهذا السبب إذا كنت تستخدم XML-RPC ، فنحن نوصيك بتعطيله.

تسجيل خروج Idle Users تلقائيًا في WordPress

يمكن للمستخدمين الذين قاموا بتسجيل الدخول في بعض الأحيان الابتعاد عن الشاشة ، وهذا يشكل مخاطرة أمنية.

 يمكن لأي شخص الاستيلاء على جلسته أو تغيير كلمات المرور أو إجراء تغييرات على حسابه

. هذا هو السبب في أن العديد من المواقع المصرفية والمالية تسجل خروج المستخدم غير النشط تلقائيًا. يمكنك تنفيذ وظائف مماثلة على موقع WordPress الخاص بك أيضًا.

سوف تحتاج إلى تثبيت وتفعيل الملحق Inactive Logout عند التنشيط ،

قم بزيارة الإعدادات »صفحة تسجيل الخروج غير النشطة لتكوين إعدادات الملحق

ما عليك سوى تعيين المدة الزمنية وإضافة رسالة تسجيل الخروج. لا تنس النقر على زر حفظ التغييرات لتخزين إعداداتك.

أضف أسئلة الأمان إلى شاشة تسجيل الدخول إلى WordPress 

تؤدي إضافة سؤال أمان إلى شاشة تسجيل الدخول إلى WordPress إلى زيادة صعوبة حصول شخص ما على وصول غير مصرح به. يمكنك إضافة أسئلة الأمان عن طريق تثبيت الملحق

 Security Questions  . WPعند التنشيط ، تحتاج إلى زيارة الإعدادات »صفحة أسئلة الأمان لتكوين إعدادات الملحق .

فحص WordPress بحثا عن البرامج الضارة ونقاط الضعف

إذا كان لديك ملحق للأمان في WordPress مثبتًا ، فستتحقق هذه الملحقات بشكل روتيني من البرامج الضارة وعلامات الخروقات الأمنية.

ومع ذلك ، إذا رأيت انخفاضًا مفاجئًا في حركة العملاء  لموقع الويب أو تصنيفات البحث ، فقد ترغب في إجراء فحص يدويًا. 

يمكنك استخدام الملحق للأمان في WordPress ، أو استخدام أحد هذه البرامج الضارة وأجهزة فحص الأمان .

 يعد إجراء عمليات الفحص عبر الإنترنت هذه أمرًا مباشرًا تمامًا ، فأنت تقوم فقط بإدخال عناوين URL لموقع الويب الخاص بك وتنتقل برامج التسلل الخاصة بهم إلى موقع الويب الخاص بك للبحث عن البرامج الضارة والتشفيرات الضارة المعروفة.

ضع في اعتبارك الآن أن معظم ماسحات الأمان في WordPress يمكنها فقط فحص موقع الويب الخاص بك. 

لا يمكنهم إزالة البرامج الضارة أو تنظيف موقع WordPress الذي  تم الاستيلاء عليه.

نأمل أن تساعدك هذه المقالة في تعلم أفضل ممارسات أمان WordPress بالإضافة إلى اكتشاف أفضل الملحقات  لأمان WordPress لموقعك على الويب.