إذا كنت تقرأ مدونتنا بانتظام، فأنت تعلم أن أمان موقع الويب وأمن الاستضافة هما أكثر القضايا أهمية. أهم من الأداء والعمل الفني والوظائف الأخرى. عند إنشاء موقع، يجب عليك التأكد من أنه آمن. الاستضافة الآمنة وأمان الخادم لا يكفيان إذا لم تحافظ على أمان ووردبريس بنفسك.
ووردبريس عرضة للهجمات
كلما زادت شعبية تطبيق، زاد احتمال تعرضه للاختراق من قبل الهاكرز. يُشغل ووردبريس حاليًا أكثر من نصف المواقع الإلكترونية حول العالم. يعود نجاح ووردبريس بشكل أساسي لقدرته على الجمع بين البساطة وإمكانية التطوير. يسمح نظامه الأساسي مفتوح المصدر بتطوير مواقع الويب عن طريق الإضافات.
لسوء الحظ، فإن عدد عمليات تثبيت ووردبريس المرتفع يؤدي أيضًا إلى بعض النتائج السيئة. وفقًا لفريق Wordfence، فقد تمت تمت مهاجمة أكثر من 1.5 مليون موقع إلكتروني مبني على ووردبريس في 9 ديسمبر 2021. تم إجراء أكثر من 13 مليون محاولة للوصول إلى لوحات إدارة الموقع خلال 36 ساعة.
مجرمو الإنترنت ليسوا خاملين ويبحثون باستمرار عن نقاط الضعف في مواقع الويب والتطبيقات، وبفضل ذلك يمكنهم الحصول على بيانات ذات قيمة عالية. تشير منصة Sucuri الأمنية إلى عنصر هام آخر من عناصر الأمن. أكثر من 50٪ من الصفحات التي تم اختراقها على ووردبريس مرتبطة بإصدار قديم من التطبيق. يضيف مزود شبكة توصيل المحتوى Keycdn.com إحصائيات أخرى: ما يقرب من 56٪ من التهديدات والثغرات الأمنية ناتجة عن الإضافات أو القوالب القديمة.
كيف تحافظ على ووردبريس آمنًا؟
تصحيح التطبيق لوحده لا يعد ضمانًا للأمان. اعتني بموقعك بنفسك. افعل ذلك وفقًا لإرشاداتنا التالية. كلما زاد استخدامك لهذه الإرشادات، زاد أمان موقعك الإلكتروني.
تتطلب بعض الحلول معرفة أساسية بلوحة phpMyAdmin، حيث يمكنك تحرير قاعدة البيانات. قد تؤدي العملية غير الصحيحة على البيانات إلى عدم إمكانية الوصول إلى صفحة معينة أو ربما موقع الويب بالكامل.
الاستضافة هي عامل أمان آخر مهم. لديك حلان هنا: استضافة VPS أو استضافة ووردبريس آمنة. أوصي بالحل الثاني لأنه يحتوي على أساسات أمان افتراضية لحماية ووردبريس من المخترقين. الآن دعنا نستعرض قائمة الإرشادات.
تحديث ووردبريس
نصيحة شائعة أليس كذلك؟ حسناً، ربما تكون محقاً، ولكن مفتاح الأمان هو التحقق مرة أخرى من أن نظام ووردبريس على موقعك يتم تحديثه باستمرار. منذ الإصدار 3.7، يمكن لووردبريس تحديث نظام إدارة المحتوى والقوالب والإضافات تلقائيًا. تأجيل التحديثات أمر محفوف بالمخاطر.
تغيير بادئة wp_ الافتراضية للجداول في قاعدة البيانات
بفضل بادئة الجداول في قاعدة بيانات MySQL، يمكن للتطبيق التعرف على البيانات التي تنتمي إليه. وعلى هذا الأساس، يمكن للتطبيقات المتعددة استخدام قاعدة بيانات واحدة. أحد نقاط الضعف في ووردبريس هو أنه يترك البادئة الافتراضية wp_ في قاعدة البيانات ما يجعل الأمور أسهل بالنسبة للمخترقين. لذلك، قم بتغيير هذه البادئة إلى أخرى أقل تميزًا (على سبيل المثال، xtmx4_).
يمكنك القيام بذلك بطريقتين، عند تثبيت ووردبريس أو بعد التثبيت عن طريق تسجيل الدخول إلى قاعدة بيانات MySQL من خلال لوحة phpMyAdmin. بفضل هذا التغيير، سيكون موقعك المستند إلى ووردبريس أقل عرضة لهجمات حقن SQL.
يتطلب تغيير اسم بادئة الجدول تعديل الإدخالات في جدولي xtmx4_options وكذلك xtmx4_usermeta. يمكنك القيام بذلك عن طريق أحد أمري SQL (من الضروري الإشارة إلى البادئات التي وضعتها بنفسك وليس التي ذكرناها كمثال):
- SELECT * FROM `xtmx4_options` WHERE` option_name` LIKE ‘% wp_%’;
- SELECT * FROM `xtmx4_usermeta` WHERE` meta_key` LIKE ‘% wp_%’;
تذكر تعديل السطر بالبادئة المختارة في ملف wp-config.php بعد الانتهاء من هذا التغيير.
تغيير معلومات تسجيل الدخول
تسجيل الدخول الافتراضي الذي يقترحه ووردبريس هو “admin” – من السهل تخمينه من قبل شخص يحاول تسجيل الدخول إلى لوحة التحكم الرئيسية. أثناء التثبيت، من الجدير تغييره إلى اسم أقل “شيوعاً” من وجهة نظر مستخدم خارجي. جدير بالذكر أنه لن يتم عرض اسم تسجيل الدخول ضمن مقالات المدونة، حيث يتم تكوين اسم العرض بشكل فردي في لوحة ووردبريس.
قم بتغيير معلومات تسجيل الدخول بعد التثبيت عبر phpMyAdmin في الجدول (your-prefix) _users. في نفس المكان، ستقوم أيضًا بتغيير معرف الحساب. من الأفضل إدخال رقم كبير بتسلسل عشوائي من الأرقام (على سبيل المثال، بدلاً من 333333، أدخل 158062).
تقييد الوصول إلى لوحة تحكم ووردبريس باستخدام htaccess
يعد تقييد الوصول إلى صفحة تسجيل الدخول حلاً معقولاً للغاية. في ملف htaccess، يمكنك تكوين الاتصالات المسموح بها لعنوان IP المحدد. فيما يلي الصيغة الصحيحة لتضمينها في المحتوى:
- AuthName “Example Access Control”
- AuthType Basic
- order deny, allow
- deny from all
- allow from IP_address
بدلاً من “IP_address”، أدخل العنوان الذي تريد الوصول إلى لوحة التحكم منه.
قم بتغيير عنوان تسجيل الدخول الخلفي الخاص بووردبريس
تهاجم السكربتات الضارة بشكل أساسي الصفحات الفرعية ذات الصلة بالمحتوى والإصدار الخاص بها، على سبيل المثال، “/ wp-admin”. لذلك، يجدر التفكير في تغيير هذا العنوان إلى عنوان آخر أكثر ودية وأقل وضوحًا لمجرمي الإنترنت. قم بتثبيت إضافة WPS Hide Login وإعدادها وفقًا لاحتياجاتك. سيكون عنوان تسجيل الدخول الجديد للوحة متاحًا على الفور.
هناك نوع آخر من الحماية ضد السيطرة على صفحة تسجيل الدخول إلى ووردبريس وهو استخدام ملف .htaccess في الاستضافة والرجوع إلى ملف .htpasswd، حيث تقوم بتكوين بيانات الوصول لعرض صفحة تسجيل الدخول.
قم بتغيير طريقة تسجيل الدخول إلى عنوان بريدك الإلكتروني
يؤدي تغيير الطريقة التي يقوم بها التطبيق بالتحقق من المستخدم إلى زيادة أمان لوحة تحكم ووردبريس. للقيام بذلك، قم بتثبيت إضافة WP Email Login واستبدل اسم تسجيل الدخول بعنوان البريد الإلكتروني المخصص للمستخدم. بعد حفظ التغييرات، قم بتغيير تسجيل الدخول القياسي إلى مجموعة من الأحرف العشوائية (خاصة إذا استخدمت “admin”).
تمكين حماية التطبيق الإضافية على الاستضافة (WAF)
توفر لك استضافة ووردبريس الآمنة طبقة إضافية من الأمان – جدار الحماية الخاص بتطبيق الويب. إذا كنت تستخدم مزود استضافة آخر، فاسأله عن WAF. إنه يحميك من الهجمات باستخدام نقاط الضعف المتعلقة بقواعد بيانات MySQL أو باستخدام الترويسات الضارة.
تعطيل تحرير الإضافات والقوالب
هل انتهيت من تخصيص القالب الخاص بك وتشغيل الإضافات؟ حسناً، قم بتأمين ملفاتك عن طريق منع المزيد من عمليات تحرير الأكواد في لوحة تحكم ووردبريس. للقيام بذلك، أضف سطرًا واحدًا إلى ملف wp-config.php:
- define (‘DISALLOW_FILE_EDIT’, true);
تعطيل تسجيل المستخدم
يتيح لك ووردبريس تسجيل المستخدمين افتراضيًا، ولكن إذا قمت بتشغيل موقع إلكتروني لا يحتاج إلى هذا الخيار (على سبيل المثال، موقع مخصص للقراءة فقط)، فمن الأفضل حظر تسجيل المستخدم في إعدادات ووردبريس. تعد هذه “نافذة” محتملة يُمكن مهاجمة الموقع من خلالها.
فعل المصادقة الثنائية
مستوى الأمان الإضافي عند تسجيل الدخول لم يصل لأقصى إمكاناته بعد. استخدم إضافة Two Factor Authentication لإعداد تسجيل دخول مزدوج إلى لوحة التحكم. بعد إدخال معلومات تسجيل الدخول وكلمة المرور، سيتعين عليك إدخال رمز فريد يتم إرساله إلى هاتفك الذكي. يتطلب هذا الحل تثبيت تطبيق Google Authenticator على هاتفك الذكي المتوفر على نظامي أندرويد أو آي أو إس.
إضافات الأمان لووردبريس – لماذا لا يجدر بك استخدامها؟
ستجد العديد من الإضافات في السوق والتي تحتوي على العديد من الوظائف المذكورة أعلاه بالإضافة إلى حماية ووردبريس ضد هجمات القوة العمياء والهجمات الأخرى. قد تعتقد أن هذه الإضافات توفر الوقت فكل ما عليك فعله هو تثبيت إحداها وإعدادها في بضع دقائق ومن ثم تركها تهتم بالعديد من العناصر المتعلقة بالأمان.
لكن هل أنت متأكد؟ دعونا لا ننسى أنها مجرد إضافة أخرى. وللأسف الإضافات الأمنية نفسها يمكن أن تحتوي على ثغرات تجعل من السهل على المخترق المحتمل الوصول إلى لوحة تحكم ووردبريس الخاصة بك.
تعد إضافات مثل Wordfence أو Sucuri أو iThemes Security عصرية وتقدم ميزات متنوعة وتبدو مغرية، لكن الإحصائيات المنشورة في دراسة أعدتها WP White Security تبدو مقلقة. من بين أكثر 10 إضافات ووردبريس ضعفاً في عام 2019، احتلت إضافة Wordfence المرتبة الرابعة.
قم بعمل نسخ إضافية من بياناتك
على خوادم UltaHost، يتم إجراء النسخ الاحتياطي دوريًا في الليل بطريقة التجزئة. تعكس جميع الملفات وقواعد البيانات الموجودة في النسخة الاحتياطية حالة الخادم عند ساعة معينة. في كل الأحوال، يمكن للمستخدم استعادة هذه البيانات من آخر 16 يومًا. إنها واحدة من أفضل الصفقات في السوق، لكن لا ينبغي أن تكون مفاجأة. UltaHost لديها أولوية لسياسة الأمان.
إذا كان موقعك الإلكتروني ديناميكيًا وقمت بنشر الكثير من المحتوى عليه (على سبيل المثال، موقع بوابة إعلانات)، فقم بتثبيت إضافة نسخ احتياطي على ووردبريس. واحدة من أفضل الإضافات هي Updraft، والتي بفضلها يمكنك برمجة نسخة احتياطية حتى كل 60 دقيقة. تذكر عمل نسخ احتياطية عندما يكون الترافيك منخفضاً لأن كل عملية نسخ احتياطي تمثل عبئًا ثقيلًا على الخادم.
قم بإزالة الإضافات والقوالب غير الضرورية
يتيح لك ووردبريس إنشاء موقع إلكتروني لأي غرض. ليس من المستغرب أنك ستختبر قوالب وإضافات جديدة على الموقع. تذكر إزالتها إذا كنت لن تستخدمها. حتى الإضافات التي تم إلغاء تنشيطها والتي عفا عليها الزمن قد تكون سبب الهجوم على موقعك.
قم بتنزيل الإضافات من مصدر موثوق فقط. ليس بالضرورة أن يكون متجر ووردبريس الرسمي نظرًا لوجود إضافات مميزة يمكنك تنزيلها فقط من الموقع الخاص بالمطور. لكن تجنب الإضافات من مصادر غير موثوقة مثل البريد الإلكتروني أو خدمات رفع الملفات المجانية. لا تخضع هذه الإضافات لأي تحقق أو مراقبة.
حدث القالب بشكل دوري
المصدر الثالث المحتمل للمشكلة التي قد يواجهها موقع ما يعتمد على ووردبريس. يجب على مطوري القوالب إصدار التحديثات قدر الإمكان لإصلاح الأخطاء ونقاط ضعف البرامج. يمكن استغلال هذه الثغرات من قبل المخترقين ولا يمكن الاستهانة بها.
استخدم شهادة SSL
يوفر ووردبريس الدعم الكامل لاتصال HTTPS المشفر عبر المتصفح. اعتبارًا من عام 2017، يتطلب نظام إدارة المحتوى من الخادم دعم هذا البروتوكول. شهادة SSL ضرورية أيضًا بسبب تحسين محركات البحث.
بالإضافة إلى ذلك، فإن المتصفحات الأكثر شيوعًا مثل جوجل كروم وموزيلا فايرفوكس تحدد مواقع الويب التي لا تحتوي على شهادة SSL على أنها “غير آمنة”. من وجهة نظر نفسية، هذا يعني تثبيط المستخدم عن زيارة الموقع في المستقبل.
استخدم كلمات مرور طويلة
كلما كانت كلمة المرور أطول وأكثر تنوعًا، كان ذلك أفضل. يعرض ووردبريس تلقائيًا حفظ كلمة المرور في شكل عدة أحرف بدون عبارات من القاموس. عادة، في هذه الخطوة، قد ترغب باقتراح كلمة مرور خاصة بك، ولكن في معظم الحالات، لن تكون قوية بما يكفي مقارنة بالكلمة المولدة عشوائياً من النظام.
إذا استمتعت بهذه المقالة، فسوف تحب استضافة UltaHost الآمنة. احصل على دعم 24/7 من فريق الدعم الخاص بنا. تركز بنيتنا التحتية المشغلة على التوسع التلقائي والأداء والأمان. دعنا نظهر لك الفرق! تحقق من خطط استضافة ووردبريس الآمنة الخاصة بنا!