5 أشياء يجب أن تخبرها لعملائك عن أمان WordPress

يمثل إنشاء موقع WordPress وتأمينه تحديًا دائمًا. يهتم المطورون كثيرًا بكتابة تعليمات برمجية قوية وتنفيذ ميزات مثل المكونات الإضافية للأمان للتخفيف من الهجمات التي لا مفر منها.

ومع ذلك ، فنحن لم نخرج من الغابة. لإعادة صياغة المثل القديم: موقع الويب آمن فقط مثل أضعف رابط له. بخلاف عمليات الاستغلال المحتملة بسبب الكود ، فإن الرابط الأضعف يميل إلى أن يكون مستخدمًا غير مطلع. شخص يتخذ قرارًا سيئًا ، دون أي خطأ من جانبه ، مما يترك موقعه على الويب عرضة للخطر.

لاستخدام مبتذلة أخرى: أفضل دفاع هو الهجوم الجيد. في هذه الحالة ، فهذا يعني أن تكون استباقيًا عندما يتعلق الأمر بتعليم العملاء أفضل الممارسات الأمنية. بعض الأشياء (مثل كلمات المرور القوية) عامة ، بينما البعض الآخر أكثر تحديدًا لـ WordPress نفسه. وهذا هو تركيزنا اليوم.

مع ذلك ، دعنا نراجع خمسة أشياء يحتاج عملاؤك إلى معرفتها حول أمان WordPress.

لا تقم بتثبيت برنامج WordPress الإضافي بدون استشارة متخصص

لقد حصلنا عليها: إغراء تثبيت المكونات الإضافية حقيقي. هم ، بعد كل شيء ، على بعد نقرات قليلة.

لكن الخطر حقيقي أيضًا. تختلف إضافات WordPress بشكل كبير من حيث الجودة ، وبالتالي الأمن. ليس من غير المألوف العثور على مكون إضافي في المستودع الرسمي لم يتم تحديثه خلال عام أو أكثر. ربما يكون غير ضار. ربما ليس كذلك.

لهذا السبب ، يجب على مصممي الويب تشجيع العملاء على إجراء استشارة سريعة قبل تثبيت البرنامج المساعد. تقدم لإلقاء نظرة ومراجعة التفاصيل. يمكن أن تمنع هذه الخطوة الفردية سيناريو كابوس فيما يتعلق بالأمان واستقرار الموقع.

هناك العديد من الفوائد. أولاً ، هذا يبقيك على اطلاع دائم بما يحدث في الموقع. بالإضافة إلى ذلك ، يسمح لك بتوجيه العملاء في اتجاه المكونات الإضافية الجيدة وذات السمعة الطيبة. ناهيك عن أن هذا يدرب العملاء على التفكير قبل النقر. هذا يفيد الجميع.

أنشئ حسابات مستخدمين جديدة ، بدلاً من مشاركة حساب واحد

تمتلك العديد من المؤسسات أكثر من شخص واحد يحتاج إلى الوصول إلى لوحة معلومات WordPress. في كثير من الأحيان ، يشترك هؤلاء المستخدمون في حساب واحد.

ظاهريًا ، قد يبدو هذا وكأنه مسألة ثقة بسيطة. وهناك بالتأكيد عنصر من ذلك. إذا غادر أحد أعضاء الفريق المؤسسة ، فهناك احتمال أن يظل بإمكانه الوصول إذا لم يتم تغيير كلمة المرور. ويمكن أن يتسبب الشخص الخبيث في حدوث بعض الضرر.

القلق الحقيقي الآخر هنا يتعلق بأمان الجهاز. إذا كان لديك ، على سبيل المثال ، خمسة أشخاص يشاركون حساب مسؤول WordPress ، فكل ما يتطلبه الأمر هو استغلال أحد أجهزتهم. على سبيل المثال ، يمكن لبرنامج keylogger الموجود على جهاز كمبيوتر مستخدم واحد أن يعرض الحساب للخطر.

لذلك ، يوصى بأن يكون لكل مستخدم حسابه الخاص. من السهل القيام بذلك داخل WordPress ، ويمكننا أيضًا إنشاء أدوار مستخدم مخصصة تحد من ما يمكن لشخص ما فعله وما لا يمكنه فعله.

حافظ على WordPress Core والإضافات والسمات محدثة

من الناحية المثالية ، سيتعاقد عملاؤك معك للتعامل مع تحديثات البرامج. لكن إذا كانوا هم من يتحملون المسؤولية ، فمن المهم أن يتعاملوا مع القضية بجدية شديدة.

بصفتك مطورًا ، هناك بعض الأشياء المزعجة أكثر من استكشاف أخطاء موقع الويب المخترق وإصلاحها ، فقط لتسجيل الدخول إلى WordPress ومعرفة أن العديد من الإصدارات قديمة. إنه أشبه بترك الباب الأمامي لمنزلك مفتوحًا على مصراعيه ، 24/7. لا ينبغي أن تتفاجأ كثيرًا عندما يأتي شخص ما ويأخذ تلفزيونك الجديد الرائع.

لا يمكن المبالغة في أهمية الحفاظ على تحديث WordPress الأساسي والإضافات والقوالب. مع العلم أنه قد لا يزال يفوق مستوى راحة بعض العملاء. هذا حسن. إما يمكنهم تعيينك للتعامل معها أو ، على الأقل ، تمكين التحديثات التلقائية حيثما أمكن ذلك.

بغض النظر عن كيفية تنفيذ التحديثات ، يجب الاهتمام بها. على الرغم من أنه لا يضمن الأمان ، إلا أنه أفضل بكثير من البديل.

يمكن للمصادقة الثنائية أن تحدث فرقًا كبيرًا

تعد إضافة المصادقة الثنائية إلى WordPress أمرًا بسيطًا إلى حد ما. لكن الأمر يستحق العناء فقط إذا استخدمه أصحاب المصلحة بالفعل.

صحيح أنها ليست مريحة للغاية. قد تكون الحاجة إلى التحقق من بريد إلكتروني أو رسالة نصية أو التحقق من تطبيق جوال لتسجيل الدخول مصدر إزعاج كبير. لكن هذه الخطوة الإضافية حيوية. إنه يضع حاجزًا كبيرًا بين الفاعل الضار والوصول إلى النهاية الخلفية لموقع الويب الخاص بك.

وتجربة المستخدم تتحسن بالفعل. تدمج بعض التطبيقات الآن التعرف على الجهاز مع المصادقة الثنائية (2FA). هذا يعني أنه طالما تم التعرف على جهاز المستخدم ، فلن تكون هناك حاجة للتحقق من تسجيل الدخول لفترة محددة من الوقت.

بالإضافة إلى ذلك ، أصبح 2FA معيارًا في العديد من الأماكن. لن تسمح لك بعض تطبيقات الخدمات المصرفية عبر الإنترنت بتسجيل الدخول بدونها. لا يوجد سبب يمنع موقع الويب الخاص بك من الاستفادة من هذه التقنية أيضًا.

ما هو آمن اليوم قد لا يكون غدًا

بغض النظر عن النظام الأساسي الذي يعمل عليه ، فإن موقع الويب ليس أمرًا منفردًا. يتطلب الأمر اهتمامًا متكررًا (إن لم يكن مستمرًا) - حيث يلعب الأمن دورًا رئيسيًا.

الويب يتطور باستمرار. التكنولوجيا الجديدة تصبح قديمة بسرعة كبيرة. وما كان يُعتقد في السابق أنه أفضل ممارسة أمنية يمكن إثباته في بعض الأحيان بخلاف ذلك.

وبسبب ذلك ، فإن أمان موقع الويب يمثل تحديًا لا نهاية له حقًا. إنها معركة يومية للمنظمات الصغيرة والكبيرة على حد سواء.

والنتيجة هي أن مواقع الويب بحاجة إلى التغيير مع مرور الوقت. عندما يتعلق الأمر بـ WordPress ، فقد يعني ذلك استبدال المكونات الإضافية للأمان القديمة بشيء أفضل. أو التخلص من السمات والمكونات الإضافية المهجورة لتشديد الأمور. قد يتطلب أيضًا تغييرًا في المضيفين أو بيئات الخادم.

من المهم أن تفهم أنه لمجرد أنك استثمرت في الأمن اليوم لا يعني أنك لن تضطر إلى القيام بذلك مرة أخرى غدًا.

تثقيف العملاء اليوم للحصول على موقع ويب WordPress أكثر أمانًا

غالبًا ما يعتمد عملاؤنا علينا لتوفير بعض المعرفة جنبًا إلى جنب مع موقع الويب القاتل. وقد يكون الأمن هو أهم موضوع يمكننا تثقيفهم فيه.

إن بذل جهد للقيام بذلك من البداية يمكن أن يؤتي ثماره على المدى الطويل. من غير المرجح أن يرتكب العميل الذي يفهم كيفية الحفاظ على أمان موقع WordPress الخاص به أحد تلك الأخطاء الفادحة. قد يكون هذا وحده هو الفرق بين تنظيف موقع تم الاستيلاء عليه والإبحار السلس.