لقد زاد معدل الإصابة بالفيروسات والهجمات والمخاطر الأخرى بالتزامن مع الإرتفاع المستمر في شعبية ووردبريس. وقد يواجه تجار التجزئة عبر الإنترنت ومشغلو المواقع الإلكترونية صُعوبات خطيرة نتيجة للنشاط الإجرامي. ستُساعدك هذه المَقالة في الحفاظ على تأمين موقع ووردبريس الخاص بك من البرامج الضارة ومحمي.
تَبحث البَرامج الخبيثة التي تهاجم مَواقع الووردبريس عَن نُقاط ضعف – غالبًا في المكوّنات الإضافيّة والقوالب – وتستغلها. ثم، إعتمادًا على نوع الفيروس، فتقوم بحَقن كود خطير أو مزعج يمكنه تنفيذ مجموعة متنوعة من الوظائف.
من المهم أن تكون على دراية بالمخاطر المحتملة قَبل أن أتناول بالتفصيل تأمين موقع ووردبريس من الفيروسات.
الفَيروسات ومواقع الووردبريس
يعتقد الكثير من الناس أن ووردبريس عبارة عن منصّة آمنة للغايَة. يتم العثور على نقاط الضعف وإصلاحها بسرعة بفضل المطورين الذين يعملون بلا كلل في كافة أَنحاء العالم لتحسينها.
ومَع ذلك، لماذا تستهدف البرامج الضارة ووردبريس بشكل متكرر على الرّغم مِن سمعتها الآمنة؟ السبب وراء ذلك هو أنه نِظام إِدارة المُحتوى الأَكثر إنتشار قيد الإستخدام، بحيث يَعمل على تَشغيل نحو 40% من كافة المواقع الإلكترونية في جميع أنحاء العالم. وبسبب إستخدامه المكثف، فهو أيضًا هدف بارز للهَجمات.
أحد الأسباب الرئيسية لمشاكل تأمين موقع ووردبريس هو المنصة نفسها. تم تصميم المنصة لتكون سهلة الإستخدام وقابلة للتعديل منذ البداية من قبل منشئيها. تتمثل أعظم فوائدها في أنها تجعل من الممكن تطوير مَواقع إلكترونية متطورة وإحترافية بدون الحاجَة إلى معرفة HTML أو CSS أو PHP. نظرًا لإضافة العديد من القدرات المختلفة عن طريق المكونات الإضافية، فإن هذه الراحة ممكنة.
قد يتعرض تأمين موقع ووردبريس للخطر أيضًا من خلال القوالب والمكوّنات الإضافية، خاصةً لو تم إنشاؤها بواسطة شركات عديمة الخبرة أو أشخاص عاديّين. قد يعمل الكود غير المتسق والخاطئ لهذه المكوّنات الإضافيّة كقماش فارغ للمجرمين عبر الإنترنت.
قد يتمكن المهاجم المصمم من تجاوز حتّى أَقوى تَدابير تأمين موقع ووردبريس، مثل جُدران الحِماية وبرامج مكافحة الفَيروسات والمُصادقة الثّنائية والقوائِم الرّمادية والمُراقبة الإستباقية.
علاوة على ذلك، يتصاعد الخطر في حالة تولى شخص مبتدئ مسؤولية المَوقع الإِلكتروني – وهو الموقف المُرتبط في الغالب ببساطة إستخدام ووردبريس. قد يرتكب هؤلاء الأشخاص عن غير قصد أخطاء خطيرة تعرض مَوقع ووردبريس الإِلكتروني للخَطر، ممّا يَجعل حتى أكثر مزوّدي إستضافة ووردبريس أمانً غَير مجديين في توفير تأمين موقع ووردبريس بالكامل.
كَيف تتحقّق ممّا لو كان موقعي الإلكتروني مُعرض للخطر؟
من أجل تأمين موقع ووردبريس الخاص بك الإلكتروني، يجب عليك أولاً تَحديد ما لو كان قَد حَدث أي وُصول غَير مرغوب فيه بالفِعل.
- تصفح العروض والفئات والعناصر العديدة على موقعك الإلكتروني. ضع المنتجات في عَربة التّسوق خاصتك قَبل الإنتقال إلى قسم الدّفع. لو سارَت الأُمور وفقًا للخطة ولم تحدث أية حَوادث غريبة مِثل النّوافذ المُنبثقة أو عمليات إِعادة التّوجيه المفاجئة إلى صَفحات غَير ذات صِلة، سيبدو أن موقعك الإلكتروني يعمل بشكل جيد.
- للعُثور على ملفات بأَسماء عشوائية مِثل “46fr1s55p9_index.php” أو “cl03haxmng_index.php” أو “q9z91fmzq6_index.php” أو أية أَنماط أخرى مشابهة لهذه، استخدم FTP للتنقل عبر الدلائل.
- إبحث عن أي كود ضار في الملفّات الأساسية، مِثل index.php وwp-config.php وwp-settings.php. تأكد من أن مُحرر الملفّات لديك يعرض علامات التبويب والمسافات من أجل إنجاز ذلك بنجاح. افحص لَقطة الشّاشة المُقدمة أَدناه. للوهلة الأولى، قد يَبدو هذا مَلف ووردبريس نموذجي، ولكن إنتبه إلى النّقاط الرّمادية التي تمثل فجوات كثيرة جدًا.
- للكشف عن أي كود خطير مَخفي، ما عليك سوى تمرير النّافذة إلى اليَمين أو تنشيط إلتفاف الأسطر، كَما هو موضّح في المِثال.
- إفحص كُل ملف ووردبريس على موقعك الإلكتروني بعناية، مع إيلاء إهتمام خاص لملفات PHP، لأنها قد تتضمن كود ضار مخفي في مناطق أخرى من موقعك الإلكتروني.
- أدخل site:your-domain.com لعرض نتائِج البَحث العُضوية في Google. قد يَعرض Google عدد كبير من النّتائج الغير ذاتَ الصّلة التي تروّج لمؤسسات الألعاب والتّطبيقات والكازينوهات وحتى المواد الغير مشروعة مِثل بيع الأسلحة أو المَواد الإِباحية لو تَم اختراق موقعك الإلكتروني.
- قد يؤدي تَثبيت أداة بَحث عَن البرامِج الضّارة، مِثل WebDefender Security – Protection & AntiSpam، إلى تحسين أمان موقعك الإلكتروني. يُمكنك إستخدام هذا المكوّن الإِضافي للتحقق من مَوقع الإلكتروني بحثًا عن أي برامج ضارة مخفية.
ومع هذا، يجب فحص جميع المشاكل والتّحقق مِنها بشكل منفصل، للتأكد مما لو كانَت برامج ضارة أم لا. فمن غير المعتاد إلى حد ما أن تحوي بَعض المكوّنات الإضافيّة التي نَستخدمها على أكواد قد تعتبر ضارة.
طريقة تأمين موقع ووردبريس من الفَيروسات؟
هذه قائِمة بالتدابير الوقائية التي ستجعل الأمور صعبة بالتأكيد على اللصوص وتُقلل من إحتمالية إصابة موقعك الإلكتروني بفيروس. من المهم ملاحظة أنه إعتمادًا على نَوع الفَيروس أو الرّوبوتات المُهاجمة، قد لا تقدم هذه التوصيات أمان كامل. هُناك سباق تسلّح لا يَنتهي بين برامِج مُكافحة الفَيروسات وصانعي الفيروسات.
يَعمل مطوري برامِج مُكافحة الفَيروسات بجد لتحييد أي هجوم أو عدوى جديدة بسرعة. وعلى نحو مُماثل، يتم ترقية تَدابير الأَمان غالبًا، ولكن في النهاية يكتشف اللصوص كيفية الإلتفاف عليها. وبالتالي، لا يزال من المُستحيل أن تُصبح مُحصن تمامًا ضد الفيروسات، ولكن قد تقلل بشكل كبير من فرصتك في الإصابة بأحدها.
الإستضافة
يُعد إختيار شركة الإستضافة المناسبة أحد المكونات الأساسية لكل مَوقع إلكتروني. يَعتمد العَديد من مُلّاك المواقع الإلكترونية في كثير من الأحيان على خياراتهم في التكاليف أو الإحالات مِن أشخاص آخرين. ومع هذا، فإنّ الأَمر لَيس بهذهِ البَساطة. قَبل كُل شَيء، عليك التأكد ممّا لو كانت شركة الإستضافة:
- تَحتوي على أَحدث إِصدار من PHP (8.2)
- تضمن نسخ قاعدة البيانات والملفات إحتياطيًا بشكل منتظم ويمكنك إستردادها بسهولة.
- توفر دفاعًا ضِد هَجمات الحِرمان من الخِدمة المُوزعة.
أضف إلى ذلك المخاوف الأمنيّة، من الأهمية بمكان مراجعة مواصفات الخادم التي يوفرها مزوّد الإستضافة، بما في ذلك المعالج والذاكرة العشوائية وسعة التخزين والقيود.
يُعد إختيار UltaHost خطوة ذكية لأنها تضع الأمان في المقام الأول. ويمتد الأمر إلى ما هو أبعد من وضع عدة مستويات أمان في مُستويات البُنية التحتيّة المُختلفة. فتقوم UltaHost ببِناء مَراكز بَيانات خاصة بها في كافة أَنحاء العالَم من أجل التحكم الكامل في جَودة الخَدمات المُقدمة.
تضمن هذه الطريقة إستخدام الأجزاء المتميزة في البُنية التحتيّة ككل، وليس فقط في الخوادم. أضف إلى ذلك، تتبع مراكِز بَيانات UltaHost إرشادات الأَمان الصّارمة التي وَضعها الإتحاد الأُوروبي. فيمكنك أن تَكون آمن تمامًا بشأن أمان المواقع الإلكترونية والبَيانات الخاصة بك عند إستخدام UltaHost.
شَهادة الـSSL
يتم تشفير جميع البيانات المنقولة بين مُتصفح المُستخدم والموقع الإلكتروني عند إستخدام شهادة الـSSL. كجزء من حزمهم، يقدم كُل مزوّد إستضافة جدير بالثقة شَهادات الـSSL مجّانية ومميزة (مثل Let’s Encrypt). توفر هذه المقالة مَزيد مِن التفاصيل عن هذا الموضوع:
تَحديثات ووردبريس
تجلُب تَحديثات ووردبريس المُتكررة تَحسينات أمنية بالغة الأهمية بالإضافة إلى مَجموعة مِن المميزات والفرص الجديدة. يُعد الحفاظ على التحديثات على المكونات الإضافية أمر في غاية الأهمية أيضًا. ويعد تَحديث المكوّنات الإضافيّة والقوالب أمر بالغ الأهمية للحد من المخاطر، حيث إنها معرضة بصورة خاصة للهجمات الفيروسية.
لا تَزال تعمل كنقطة دخول للمُتسللين حتى لو لَم تكُن تَستخدمها وكانت معطلة. لذلك فإن تحديثات كافة المكوّنات الإضافيّة المُثبتة على مَوقع ووردبريس خاصتك ضرورية.
إلغاء تَثبيت المكوّنات الإضافيّة والقوالب الغير ضرورية
تماشياً مع نفس الفكرة، فإن إِلغاء تَثبيت المكوّنات الإضافيّة أو القوالب الغير ضرورية أفضل من تعطيلها فقط. هذا هو مسار العمل المقترح. فبمجرد الإنتهاء من إستخدام أحد المكونات الإضافية، قم بإزالته، حتى لو كنت تحتاج إليه أحيانًا.
لن يَستغرق الأمر سِوى بِضع دقائق لإعادة التثبيت. ولتوفير دقيقتين شهريًا، لا يَستحق الأَمر تعريض موقعك الإلكتروني للخطر من مثل هذه الهجمات. وبالمثل، قم بإزالة جميع القوالب المُثبتة بإستثناء القالب الذي تستخدم الآن لو كان لَديك العَديد منها محملة. بالنسبة لموقعك الإلكتروني، يلزمك فَقط القالب الحالي؛ وقد تعمل جميع القوالب الأُخرى كنقاط دخول للمتسللين.
من المُهم تَقليل المَخاطر أينما أمكن. تجنب تبسيط الأمور للروبوتات الخبيثة والمتسللين!
إِخفاء إِصدار ووردبريس والمكوّنات الإضافية
يُضيف ووردبريس علامة في قسم HEAD لعرض الإِصدار المُثبت في مَصدر الصّفحة إفتراضيًا:
<meta name=”generator” content=”WordPress 5.6.4″ />
بالنّسبة لمكوّنات ووردبريس الإضافيّة، يُضيف ?ver=X.X إلى عَناوين URL لملفّات CSS وJS.
نظرًا لأنهم أصبحوا الآن على دراية بالثغرات الفريدة لكل إصدار من إصدارات البرامج، يجد المهاجمين أنّه من الأسهل إستهدافنا عندما يتم نشر إِصدارات المكوّنات التي نَستخدمها على موقعنا.
قد نضيف الكُود التّالي إلى مَلف functions.php الخاص بقالبنا لمنع عرض معلومات الإصدار:
remove_action(‘wp_head’, ‘wp_generator’);
add_filter(‘the_generator’, ‘__return_empty_string’);
function shapeSpace_remove_version_scripts_styles($src) {
if (strpos($src, ‘ver=’)) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter(‘style_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
add_filter(‘script_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
قُم بتغيير كلمة المُرور بشَكل متكرر
من الجيد تَغيير كَلمات المُرور لكافة مَسؤولي المَوقع بشكل منتظم، ويفضل أن يكون ذلك بشكل أكثر إنتظام لو كان أسم المُستخدم لديك يَشبه admin أو مسؤول النظام أو أسم النطاق.
تَغيير تَسجيل الدّخول للمسؤول
فيما يتعلّق بالنّقطة السّابقة، فمن المستحسن تغيير تسجيل الدّخول الخاصّ بك في أقرب وقت ممكن، سواء كان adm أو admin أوadmin أو أسم النطاق خاصتك. إن تغيير تسجيل الدخول الأكثر شيوعًا، admin، يمكن أن يساعد في تقليل إحتمالية التعرض لهجمات القوة الغاشمة على موقعك الإلكتروني. إن إختيار أسم مستخدم شائع جدًا يَجعل مِن الأسهل على المتسللين مهاجمة موقعك الإلكتروني لديك.
طريقة تغيير تَسجيل الدّخول في ووردبريس؟
الطّريقة الأُولى:
- إستخدم phpMyAdmin لتَسجيل الدّخول إلى قاعِدة البيانات.
- إبحث عَن الجدول المسمى wp_users.
- حدد حسابك، ثم حدد تحرير.
- إستبدل أسم المُستخدم السابق بالإسم الجديد في حقل user_login.
الطّريقة الثّانية:
- قم بإنشاء مستخدم جديد بحقوق المسؤول في لَوحة ووردبريس.
- أفتح الحساب الجديد وقم بتسجيل الدخول.
- قم بإلغاء الحِساب السابق.
تَغيير صَفحة تَسجيل الدّخول
إفتراضيًا، سيمكنك أن تصل إلى كُل مَوقع ووردبريس عن طريق عُناوين URL مثل:
example.com/wp-login.php,
example.com/wp-admin/
يُمكنك إستخدام مكوّن إِضافي Limit Login Attempts لتقييد عَدد مُحاولات تَسجيل الدّخول وحَظر مستخدم لفترة زمنية معينة من أجل تقليل تكرار هجمات القوة الغاشمة. ومع هذا، يُمكنك إستخدام مكوّن إِضافي WPS Hide Login لإعادة وضع نموذج تسجيل الدخول لو كنت ترغب في تأمينه بالكامل.
سَيكون مِن الصّعب جدًا تَقدير مكان لَوحة المَعلومات
example.com/niceteddybear.
حَظر الوصول إلى الملفّات
يُمكنك تَقييد الوصول الخارِجي إلى ملفّات أو أدلة معينة بإستخدام قواعد خاصة في ملف .htaccess.
توجد ملفّات xmlrpc.php وwp-config.php، التي تحتوي على بيانات لقاعِدة بَيانات MySQL، في مجلد ووردبريس الرّئيسي. نتيجة لذلك، يُنصح بإِضافة القاعِدة التّالية إلى مَلف .htaccess المَوجود في نَفس المُجلد من أجل توفير طبقة إضافية من الحماية لهذه الملفات.
<files wp-config.php>
order allow,deny
deny from all
</files>
<files xmlrpc.php>
order allow,deny
deny from all
</files>
بالإضافة إلى ذلك، لو لَم يكُن مَلف .htaccess موجود بالفعل في الدليل /wp-content/uploads/، فأنشئ واحدًا وأدرج القاعِدة التّالية لمَنع تَنفيذ فيروسات معينة:
<Files ~ “.ph(?:p[345]?|t|tml)$”>
deny from all
</Files>
تَعطيل الوظائِف الغير ضرورية
مِن المفيد تعطيل بعض الوظائف العديدة التي يوفرها ووردبريس لأنّها لا يتم إستخدامها بشكل متكرر. فكر في إيقاف تشغيل مُربعي الإختيار الأوّلين في الإِعدادات → المُناقشة لو كنت تستخدم التعليقات.
الهدف من pingbacks هو إخطار مَسؤول المَوقع عند ربط منشور. قُم بتثبيت مكون Disable Comments الإضافي لو كُنت لا تَستخدم ميزة التعليقات المضمنة في ووردبريس.
المكوّنات الإضافيّة للأمان
أصدرت العديد من الشركات إضافات للمساعدة في دفاعنا ضد التدفق المستمر للفيروسات والهجمات الجديدة التي تَستهدف المواقع الإلكترونية المُستندة إلى WordPress. Wordfence Security وAll In One WP Security & Firewall وiThemes Security هي بعض هذه الإضافات.
من خلال تحديد البرامج الخطيرة وإحباط هجمات القوة الغاشمة، تعمل هذه الإضافات في المقام الأول على حماية المواقع الإلكترونية الخاصّة بنا. فمن المهم أن تتذكر، مع ذلك، أن إستخدام هذه الإضافات قد يتسبب في إنخفاض بسيط في سُرعة الموقع الإلكرتوني.
نُسخ إحتياطية
حتى لو كانت شركة الإستضافة لديك تعتني بذلك نيابة عنك – مِثل UltaHost، التي تنشئ تلقائيًا نُسخ إحتياطية يوميّة لإستضافة ووردبريس الخاصّة بِك – فمن الضّروري أن تقوم بإنشاء نُسخ إحتياطية متكررة.
حتى لو كُنت تثق في مزود الإستضافة الخاص بك، فمِن المُستحسن أن تَعتني بنُسخك الإحتياطية لأن الحرص يعني أن تكون أكثر أمانًا، وخاصّة قَبل وبَعد إِجراء تعديلات كَبيرة على موقعك الإلكتروني.
على الرّغم من أن الووردبريس يَحتوي على العّديد من مكوّنات النّسخ الإحتياطي المتاحة، فإن UpdraftPlus هو أحد المكونات الموصى بها بشدة. يتم تمكين إِرسال النُسخ الإحتياطية التّلقائية إلى خادِم مُختلف بواسطة هذا المكون الإضافي.
الخلاصة
في عالمنا الرقمي اليوم، تعد حماية مَوقعك على الووردبريس ضِد البرامج الضارة أمر مُهم للغاية. أصبح الووردبريس أكثر شُهرة، ولكن أيضًا خطر البرامج الضارة والهجمات وقضايا الأمان الأخرى. لو لَم يتم حماية أصحاب المواقع الإلكترونية والمؤسسات على الإِنترنت بشكل كافٍ، فإن مجرمو الإنترنت لديهم القدرة على إلحاق الأذى بهم بشَكل خطير.
يُمكنك تَقليل إحتمالية تأثير الهجمات الإلكترونية على موقعك على الووردبريس بشكل كبير من خلال مراعاة نصيحتنا. تذكر أنه يمكن تحقيق تجرُبة الووردبريس الأكثر قوّة وأمانًا من خلال مواكبة التهديدات الحالية وإتباع نهج إستباقي للأمان. فأبق مُتيقظ وأحتفظ بأصول الإنترنت المهمة كأولوية أولى.
هل أنت قَلق مِن أن منصّة الإستضافة الآمنة لدينا قد تكلف أموال أكثر مما تتوقع؟ لا تخف، ليس فقط أن إستضافة ووردبريس ميسورة التكلفة، بل إنّها آمنة أيضًا! فأحصل عَلى المُساعدة من خبرائنا على مَدار الساعة. تَضع بُنيتنا التحتية القوية الأولوية للأمان والأداء والتوسع التلقائي. فتعال وشاهد بنفسك الإختلافات لدينا! وألق نظرة على خَياراتنا إستضافة ووردبريس!
