تتمثل الخطوة الأولى في اختراق موقع WordPress في جمع المعلومات لاختراق الموقع.

في هذه المقالة ، نحاول توفير طرق للتعامل مع قرصنة WordPress.

نسخة ووردبريس الأساسية:

يعرض ملف readme.html في المجلد الرئيسي لموقعك معلومات حول إصدار WordPress ، لذلك من الأفضل حذف هذا الملف أو تقييد الوصول إليه.

تأكد دائمًا من تحديث جوهر WordPress.

فهرسة الدليل:

يتيح تمكين هذه الميزة للزائر عرض محتوى مجلدات موقعك ، وهذه الميزة ، إذا تم تمكينها ، توفر الكثير من المعلومات للمتسللين ، مثل قائمة بجميع المكونات الإضافية والقوالب والملفات مثل css. المسارات الحيوية في ووردبريس:

لذلك ، يجب أن نلاحظ أن هذه الميزة معطلة في جميع مسارات موقع WordPress الخاص بنا من خلال ملف htaccess.

 

قيود تحميل ملفات php:

عادةً ما يقوم المتسللون بتخزين الملفات الضارة والأبواب الخلفية في مسارات نادراً ما يتحقق منها المسؤولون. يجب تقييد إمكانية تحميل ملفات php في مسارات معينة في WordPress من خلال ملف htaccess. يمكنك استخدام الكود التالي.

المسارات الحرجة للحد من تحميل ملفات php

تأكد من قراءة:   تهديد أمان CryptoPHP وكيفية التعامل معه

لتقييد تنسيقات الملفات الأخرى بمسارات مثل wp-content ، أضف العبارة التالية إلى الأمر أعلاه.

 

إصدار المكونات الإضافية المثبتة:

هناك العديد من الأدوات التي يمكنها اكتشاف معلومات البرنامج المساعد عن طريق فحص مصدر كود HTML أو حتى رؤوس HTTP.

مثال على هذه الأدوات هو كما يلي:

WPScan –

نيكتو –

لذلك قد لا يكون إخفاء المعلومات دائمًا أمرًا سهلاً!

تقييد فهرسة ملفات الإدارة من خلال محركات البحث:

لا تحتاج محركات البحث إلى التحقق من جميع المعلومات الإدارية المهمة. ما عليك سوى التحقق من الصفحة الرئيسية والصفحات الداخلية كافية ، لذا لمنع الزحف من دخول مسارات إدارة الموقع ، يجب علينا إنشاء ملف robot.txt في المجلد الرئيسي للموقع ووضع القيم التالية فيه.

 

تحديث ملحقات WordPress:

يجب تحديث المكونات الإضافية باستمرار ، كما ذكرنا سابقًا ، هناك العديد من المكونات الإضافية للأمان للتحقق من حالة المكونات الإضافية لأمان المكونات الإضافية والحاجة إلى التحديثات.

سيكون تحديث المكونات الإضافية ضروريًا ومستمرًا ، وهناك مكونات إضافية للتحديث التلقائي لجميع مكونات WordPress الإضافية ، ولكن من الأفضل تجنب تثبيت العديد من المكونات الإضافية غير الضرورية قدر الإمكان ، لذلك نستنتج أن التحديث كدليل سيكون أكثر أمانًا.

تأكد من قراءة:   شركة وهمية تتجسس على ملايين المستخدمين باستخدام البرنامج المساعد للمتصفح وتطبيق الجوال

البرنامج المساعد للتحديث التلقائي لـ WordPress.

يمكنك أيضًا إضافة رمز بسيط إلى ملف jobs.php الخاص بنموذجك أو المكون الإضافي الخاص بك لتمكين التحديثات التلقائية دون الحاجة إلى المكونات الإضافية.

 

الوصول إلى الملفات المهمة:

اجعل الملفات المهمة على موقعك أكثر أمانًا. قصر الوصول إلى ملفات WordPress المهمة على وضع القراءة فقط. (اضبط قسط هذه الملفات على 444)

بعض الملفات المهمة:

يوصى بنقل ملف wp-config.php من مجلد public_html.

من الأفضل تعطيل القدرة على تحرير الملفات من خلال لوحة إدارة WordPress. للقيام بذلك ، أضف السطر التالي إلى ملف wp-config.php.

يمكنك حتى تقييد المزيد من الملفات في مسارات مختلفة من خلال htaccess.

اكتشف اسماء المستخدمين وعددهم:

بإضافة العبارة التالية إلى نهاية عنوان الموقع ، سيتم التعرف على أسماء المستخدمين النشطين على الموقع بسهولة.

بتغيير الرقم 1 إلى أرقام أعلى ، سيتم تحديد جميع أسماء المستخدمين لأعضاء الموقع.

يسهل الحصول على أسماء المستخدمين الحصول على هجمات القوة الغاشمة وكلمات المرور.

تأكد من قراءة:   ما هي المعلومات التي يوفرها SNDS؟

طريقة إخفاء اسم المستخدم هي أيضًا بسيطة جدًا ، ما عليك سوى تسجيل الدخول إلى phpmyadmin في موقع WordPress الخاص بك وتغيير  الاسم الذي تم إدخاله في عمود user_nicename أمام المستخدم المطلوب في الجدول المتعلق بـ  wp_users .

 

wordpress-website-security1.jpg

بشكل افتراضي ، يكون user_login و user_nicename هو نفسه ، ولكن يجب عليك تغيير user_nicename إلى اسم مختلف لمزيد من الأمان.

أمان صفحة مسؤول WordPress:

للدخول إلى صفحة تسجيل الدخول ، تأكد من استخدام رمز Captcha. هناك العديد من المكونات الإضافية لـ captcha.

يمكنك أيضًا استخدام ميزة الحماية بكلمة مرور في مجلد wp-admin لتسجيل الدخول المكون من خطوتين.

تأكد من تسجيل الخروج من هذه الصفحة في نهاية العمل في لوحة الإدارة ولا تغلق نافذة المتصفح دون مغادرة لوحة إدارة المستخدم!

يمكنك استخدام المكون الإضافي التالي لتسجيل الخروج تلقائيًا بعد المستخدمين العاطلين.

 

تغيير قاعدة بيانات بادئة الجدول:

بادئة WordPress الافتراضية للجداول هي wp_. تجعل هذه البادئة من السهل جدًا هجمات حقن Sql. لذلك نقترح استخدام بادئة أصعب مثل mudse248_.

الأمن الشخصي:

تأكد من الاتصال بموقعك من خلال نظام غير مصاب بالفيروسات أو أحصنة طروادة. للتأكد ، تأكد من استخدام أحدث إصدارات برامج مكافحة الفيروسات الصالحة في نظام المستخدم الخاص بك. لا تقم أبدًا بتسجيل الدخول إلى موقعك من أنظمة غير موثوقة. بعد الانتهاء من العمل على صفحة مدير WordPress ، تأكد من تسجيل الخروج. تجنب تخزين لوحة التحكم وكلمات مرور المسؤول وبروتوكول نقل الملفات على المتصفحات والتطبيقات.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *