اختبار أمان موقع الويب: كيفية حماية موقع WordPress الخاص بك من الرصاص
إن الحفاظ على موقع الويب الخاص بك “آمنًا” يعني حمايته من البرامج الضارة والمهاجمين وخروقات البيانات وعشرات المشكلات الأمنية المحتملة الأخرى.
يجعل اختبار أمان موقع الويب هذا ممكنًا من خلال مساعدتك في العثور على أي ثغرات أمنية في WordPress قبل أن تتحول إلى مشكلات كاملة.
يعد WordPress نظامًا آمنًا لإدارة المحتوى (CMS) خارج الصندوق. ومع ذلك، هناك دائمًا المزيد الذي يمكنك القيام به فيما يتعلق بتحسين أمان موقع الويب.
يعد اختبار المشكلات الأمنية أسلوبًا استباقيًا سيساعدك على منع فترات التوقف عن العمل والإصلاحات المكلفة. علاوة على ذلك، فإن الحفاظ على أمان موقع الويب الخاص بك يمكن أن يساعد في الحفاظ على ثقة مستخدميه.
في هذه المقالة، سنناقش الخطوات الأساسية في اختبار أمان موقع الويب. النصيحة هنا موجهة نحو مواقع WordPress.
ومع ذلك، يمكن أن تنطبق معظم هذه الأساليب أيضًا على أنواع أخرى من مواقع الويب. دعنا نذهب اليها!
1. قم بمسح موقع الويب الخاص بك بحثًا عن نقاط الضعف
نعني بـ “نقاط الضعف” نقاط الضعف المحتملة في أمان موقعك. يمكن أن تكون الثغرة الأمنية أي شيء بدءًا من مكون إضافي قديم إلى استخدام إصدار قديم من PHP، أو الفشل في حظر عناوين IP المشبوهة، والمزيد.
أسهل طريقة للبحث عن الثغرات الأمنية في WordPress هي استخدام مكون إضافي للأمان. توفر معظم المكونات الإضافية الأمنية الشائعة في WordPress عمليات فحص الثغرات الأمنية تلقائيًا أو عند الطلب:
لتغطية قواعدك، نوصي باستخدام مكون إضافي للأمان يمكّنك أيضًا من مراقبة تغييرات الملفات. تخبرك هذه الأنواع من أدوات الفحص ما إذا كانت هناك أية تغييرات تم إجراؤها على ملفات WordPress الأساسية الخاصة بك.
عادةً، يقومون أيضًا بتسجيل معلومات حول وقت حدوث التغييرات حتى تتمكن من تتبع المشكلة الأمنية حتى مصدرها.
👉 إذا كنت بحاجة إلى مساعدة في اختيار المكون الإضافي للأمان المناسب لاحتياجاتك، فقد قمنا بتجميع قائمة بأفضل الخيارات هنا.
إذا كنت لا ترغب في استخدام مكون إضافي للأمان في WordPress، فإن البديل الآخر هو الاستفادة من قاعدة بيانات الثغرات الأمنية مثل WPScan .
يمكنك فحص موقع الويب الخاص بك مقابل قاعدة بيانات WPScan باستخدام WP-CLI (إذا كان لديك حق الوصول إليها).
نوصي بأتمتة هذه العملية بحيث تتم يوميًا أو أسبوعيًا على الأقل. وبهذه الطريقة، ستكون دائمًا على اطلاع بأي نقاط ضعف محتملة على موقع الويب الخاص بك وستكون قادرًا على التدخل وإصلاحها عند ظهورها.
2. التحقق من أدوار المستخدم وأذوناته
إذا كنت تدير موقع ويب حيث يمكن لعدة أشخاص الوصول إلى لوحة المعلومات ومستويات مختلفة من الأذونات، فمن المفيد مراجعة تلك الأذونات بشكل دوري.
من الناحية الأمنية، لا ينبغي لأي مستخدم أن يحصل على أذونات أكثر من الحد الأدنى الذي يحتاجه لتنفيذ عمله أو المشاركة في الموقع.
لوضع ذلك في منظوره الصحيح، دعونا نتحدث عن أدوار المستخدم المسؤول. في WordPress (وفي معظم الأنظمة)، يمتلك المسؤول الأذونات اللازمة لتغيير أي جزء من تكوين النظام.
هذا يعني أنه يمكنك تثبيت المكونات الإضافية، وتحرير السمات، وحذف المحتوى، وتغيير إعدادات الموقع، والعديد من الأشياء الأخرى التي لا تريد أن يتمكن المستخدمون العاديون من القيام بها.
مع نمو الموقع، من الطبيعي أن تكون هناك مشكلات بسبب حصول بعض المستخدمين على أذونات أكثر من اللازم.
تخيل أنك قمت بطرد أحد أعضاء فريقك واحتفظ بإمكانية الوصول إلى حساباته. إذا كانوا محررين، فيمكنهم حذف المحتوى أو إعادة كتابته، وهو ما يمثل رقابة أمنية كبيرة.
لتجنب هذا النوع من المواقف، نوصي بمراجعة أدوار المستخدم وأذوناته كل بضعة أشهر (اعتمادًا على عدد المستخدمين لديك).
تأكد من عدم وجود أي شخص لديه أذونات لا ينبغي له الوصول إليها وقم بتغيير أدوار المستخدم أو حذف الحسابات حسب الحاجة.
3. معرفة ما إذا كانت هناك تحديثات متوفرة
إن الحفاظ على تحديث WordPress وجميع مكوناته هو أهم شيء يمكنك القيام به فيما يتعلق بأمان موقع الويب.
إذا كان ذلك ممكنًا، فيجب عليك التحقق من لوحة التحكم يوميًا بحثًا عن التحديثات المتوفرة للمكونات الإضافية والموضوع والتحديثات الأساسية. أسهل طريقة للقيام بذلك هي الانتقال إلى صفحة التحديثات في لوحة التحكم:
تتضمن هذه الصفحة جميع التحديثات المتاحة، بما في ذلك المكونات الإضافية والموضوعات والخيارات الأساسية. وبدلاً من ذلك، يمكنك تمكين التحديثات التلقائية لـ WordPress الأساسية والمكونات الإضافية المحددة.
يمكن أن يوفر لك أسلوب التحديث التلقائي الوقت. ومع ذلك، نوصي باختبار تحديثات WordPress الرئيسية على موقع مرحلي.
قد تتسبب هذه التحديثات في بعض الأحيان في حدوث مشكلات في التوافق مع المكونات الإضافية والقوالب، لذلك من الآمن اختبارها في بيئة مضمنة.
يجب أن تستغرق مراقبة موقعك للحصول على التحديثات يدويًا بضع دقائق فقط كل يوم. يعد هذا أمرًا أساسيًا للحفاظ على أمان موقع الويب الخاص بك نظرًا لأن البرامج القديمة من المرجح أن تحتوي على ثغرات أمنية.
4. تحقق من سجلات نشاط WordPress
بشكل افتراضي، لا يقدم WordPress سجلات الأنشطة. نعني بـ “سجل النشاط” سجلاً لكل ما يحدث على موقع الويب الخاص بك.
يتضمن ذلك محاولات تسجيل الدخول، والتغييرات في تكوين الموقع، وتحديثات المكونات الإضافية، والعديد من أنواع الأحداث الأخرى.
يعد الوصول إلى سجل الأنشطة أمرًا أساسيًا لاختبار أمان موقع الويب لأنه يمكّنك من تحديد أي أحداث قد تؤدي إلى حدوث مشكلات.
على سبيل المثال، إذا رأيت في سجلات الأمان أن شخصًا ما يحاول تسجيل الدخول إلى حسابك بشكل متكرر، فستعرف أن هناك هجومًا عنيفًا يحدث.
هناك الكثير من المكونات الإضافية لسجل نشاط WordPress للاختيار من بينها. نوصي بمراجعة تقريرنا عن أهم المكونات الإضافية لسجل الأنشطة واختبارها لمعرفة أي منها يغطي أنواع الأحداث التي تريد مراقبتها.
بمجرد حصولك على حق الوصول إلى سجلات الأمان، ستحتاج إلى تكوين المكون الإضافي لإعلامك في حالة وقوع أحداث معينة. سيوفر عليك ذلك قضاء بعض الوقت في التدقيق في السجلات يدويًا كل يوم.
وبدلاً من ذلك، لن تتلقى إشعارات إلا عند حدوث شيء خطير.
5. اختبر لمعرفة ما إذا كان نظام النسخ الاحتياطي لديك يعمل
النسخ الاحتياطية ضرورية لأمن أي موقع على شبكة الإنترنت. نوصي بتكوين النسخ الاحتياطية التلقائية لـ WordPress حتى لا تقلق بشأن إنشاء نسخ من موقعك يدويًا.
إن توفر نسخ احتياطية حديثة في أي وقت يعني أنه يمكنك بسهولة استعادة موقع الويب الخاص بك في حالة وجود مشكلة أمنية.
يعمل هذا فقط إذا كان نظام النسخ الاحتياطي الخاص بك يعمل بكامل طاقته. اعتمادًا على المكوّن الإضافي أو أداة النسخ الاحتياطي التي تستخدمها، قد يؤدي ذلك إلى إنشاء نسخ لا تعمل من موقعك.
قد لا تتمكن أيضًا من تخزين النسخ الاحتياطية إذا نفدت المساحة على الخادم الخاص بك أو نظام التخزين التابع لجهة خارجية (وهو ما نوصي باستخدامه):
عند إجراء اختبار أمان موقع الويب، نوصي باستخدام موقع مرحلي للتحقق من عمل النسخ الاحتياطية لديك. اختر واحدة أو أكثر من النسخ الاحتياطية الحديثة واستخدم وظيفة الاستعادة في البرنامج الإضافي أو أداة الطرف الثالث التي قمت بإعدادها وتحقق من أنها تعمل.
من المفترض ألا تعرض عملية الاستعادة أي أخطاء ويجب أن يعمل موقع الويب الخاص بك بشكل طبيعي بعد الانتهاء منها. قد لا تكون البيانات الحديثة متاحة اعتمادًا على عمر النسخة الاحتياطية، ولكن المهم هو أن تعمل في المقام الأول.
شاهد ايضا:
