دليل المبتدئين لحماية موقع WordPress الخاص بك

يعد WordPress أحد أكثر أنظمة إدارة المحتوى شيوعًا.

في الواقع ، يتم استخدام منصة النشر هذه الآن من قبل أكثر من 27.5٪ من أفضل 10 ملايين موقع. المنصات الأخرى مثل Joomla و Drupal باهتة ببساطة بالمقارنة. ما يجعل WordPress مدعومًا على نطاق واسع هو سهولة استخدامه ، مما يجعل من الممكن إنشاء موقع يعمل بكامل طاقته في فترة زمنية قصيرة.

لكن حقيقة أن WordPress منتشر جدًا يجعلها أيضًا هدفًا للمتسللين.

قد تجعل أي ثغرات أمنية موقعك عرضة لهجمات ضارة وحتى تعرض بيانات المستخدم للخطر في هذه العملية. يمكن أن يكون هذا النوع من الهجوم مدمرًا تمامًا لأي عمل تجاري.

لا يقلل الموقع المخترق الثقة مع زوارك فحسب ، بل يمكن أيضًا وضع صفحاتك في القائمة السوداء في Google. في الواقع ، إحدى الخطوات التي تتخذها Google بالفعل نحو شبكة ويب أكثر أمانًا هي عرض تحذير لمستخدمي Chrome إذا كانوا يحاولون زيارة موقع يحتمل أن يكون غير آمن أو خادع (مثل التصيد الاحتيالي أو البرامج الضارة).

يمكن لأي شخص يزور موقعك (إذا تعرض للهجوم) مواجهة ما يلي:

لا يمكن التأكيد على أهمية أمان الموقع بما فيه الكفاية.

كل ما يتطلبه الأمر هو هجوم واحد لإيقاف المبيعات تمامًا وإدراج موقعك في القائمة السوداء في Google. من المؤكد أن إزالة موقعك أمر ممكن ، لكنك ستحتاج إلى طلب مراجعة يدوية قد تستغرق عدة أيام أو حتى أسابيع لحلها اعتمادًا على المشكلة. ومن ثم فإن الحل الأفضل هو اتخاذ خطوات لحماية موقعك.

هنا نلقي نظرة متعمقة على كيفية حماية موقع WordPress الخاص بك والحفاظ عليه آمنًا.

حافظ على تحديث WordPress

تحديثات WordPress مهمة.

وجد تقييم لأكثر من 11000 موقع مصاب أن 75 ٪ منها كانت على WordPress. لكن الأكثر إثارة للدهشة هو حقيقة أن أكثر من 50٪ من تلك المواقع كانت قديمة. لا يمنحك التحديث إلى أحدث إصدار إمكانية الوصول إلى الميزات الجديدة فحسب ، بل يمنحك أيضًا تصحيحًا للعيوب الأمنية المعروفة التي يمكن للمهاجمين استغلالها.

في الواقع ، تصبح هذه الثغرات الأمنية معروفة عند توفر تحديثات جديدة. فيما يلي مثال لسجل الأمان لإصدار محدث من WordPress:

هذه المعلومات متاحة بشكل مفتوح عند إصدار تحديثات جديدة. ولكن إذا لم تقم بالتحديث على الفور ، فإنك تترك موقعك مفتوحًا للهجمات. قم دائمًا بالتحديث إلى أحدث إصدار للحفاظ على موقعك آمنًا ضد الثغرات المكتشفة حديثًا. إذا كانت هناك أي تحديثات متاحة ، فسترى إشعارًا أعلى لوحة التحكم:

تتيح لك الإصدارات الأحدث من WordPress التحديث بسهولة بنقرة زر واحدة. ضع في اعتبارك أنه سيتم وضع موقعك في وضع الصيانة لفترة وجيزة حتى اكتمال التحديث. يستغرق التحديث بضع دقائق فقط ولكن بمجرد الانتهاء لن تحتاج إلى القيام بأي شيء آخر.

ألا ترغب في تحديث موقعك يدويًا في كل مرة؟

يمكن أن تكون الإخطارات مزعجة إلى حد ما. لكن تحديث WordPress الخاص بك هو أحد أسهل الطرق للحفاظ على أمان موقعك. إذا كنت لا تريد أن تقلق بشأن ما إذا كان موقعك يحتوي على أحدث إصدار ، فيمكنك تكوين التحديثات التلقائية ببعض التعديلات البسيطة.

افتح ملف wp-config.php وأضف السطر التالي إليه:

[الشفرة]
تعريف ('WP_AUTO_UPDATE_CORE' ، صحيح) ؛
[/الشفرة]

يمكنك أيضًا تمكين التحديثات التلقائية للمكونات الإضافية عن طريق إضافة السطر التالي إلى نفس الملف:

[الشفرة]
add_filter ('auto_update_plugin'، '__return_true') ؛
[/الشفرة]

وأضف هذا السطر لتمكين التحديثات للسمات:

[الشفرة]
add_filter ('auto_update_theme'، '__return_true') ؛
[/الشفرة]

ستضمن إضافة هذه الأسطر أن يتم تحديث موقعك باستمرار دون الحاجة إلى أي إجراء آخر. إذا كنت شخصًا لا يمكن إزعاجك بالتحديثات أو الإخطارات ، فستحتاج بالتأكيد إلى تكوين التحديثات التلقائية لضمان تحديث موقعك دائمًا.

حماية منطقة الإدارة

بغض النظر عن مدى أمان شيء ما ، يمكن لأي شخص الوصول بسهولة إذا كانت لديه الأدوات المناسبة أو كان المالكون مهملين. مع WordPress ، تعد منطقة الإدارة هدفًا رئيسيًا للمتسللين.

اتبع هذه الخطوات للحفاظ على أمان هذه الصفحة:

استخدم كلمة مرور قوية

إذا كنت تستخدم كلمة مرور ضعيفة (مثل "12345" ، "كلمة مرور" ، وما إلى ذلك) ، فأنت بذلك تعرض موقعك لخطر أكبر حيث يمكن للمهاجمين استخدام البرامج النصية الآلية لإجبارهم على الدخول. وهذا يعني تكرار محاولة كلمة مرور حتى يعمل أحدها في النهاية . لكن استخدام كلمة مرور قوية تحتوي على مجموعة من الأرقام والرموز يجعل من المستحيل تقريبًا اختراق أكثر البرامج تعقيدًا.

استخدم أداة مثل Strong Password Generator لإنشاء كلمة مرور قوية وآمنة لموقع WordPress الخاص بك:

قد يستغرق الإجبار الغاشم لكلمة مرور كهذه برنامج كمبيوتر سنوات أو حتى عقودًا للتصدع. لكن الجانب السلبي هو أن كلمة المرور القوية يصعب تذكرها. لكن المقايضة تستحق العناء بالتأكيد إذا كانت تعني منع المهاجمين من الوصول إلى موقعك. لحسن الحظ ، هناك عدد من مديري كلمات المرور متاحين يمكنك استخدامها لتخزين كلمة مرورك.

تغيير اسم المستخدم الخاص بك

عند تثبيت WordPress لأول مرة ، سيُطلب منك إدخال اسم مستخدم.

لن يتمكن المهاجمون من الوصول إلى لوحة التحكم إلا إذا كان لديهم اسم المستخدم وكلمة المرور. يمكنك بسهولة منع محاولات القوة الغاشمة ببساطة عن طريق استخدام اسم مستخدم أكثر تميزًا. لذلك لا تستخدم "admin" عند اختيار اسم مستخدم.

الحد من محاولات تسجيل الدخول

كما ذكرنا سابقًا ، يمكن للمهاجمين استخدام البرامج لشق طريقهم بقوة إلى موقعك. ومع ذلك ، هناك مكونات إضافية متاحة مثل Login LockDown والتي تتيح لك تقييد محاولات تسجيل الدخول من عنوان IP محدد. إذا لم تنجح أكثر من بضع محاولات ، فسيتم حظر هذا المستخدم.

أعد تسمية صفحة تسجيل الدخول الخاصة بك

أخيرًا ، هناك طريقة أخرى لحماية منطقة المسؤول وهي نقل صفحة تسجيل الدخول تمامًا. يتم الوصول إلى لوحة القيادة عادةً من www.yoursite.com/wp-admin . ومع ذلك ، فإن إحدى المشكلات الصارخة هي أن المتسللين يعرفون أن مجرد إلحاق " /wp-admin " بموقع WordPress سيمنحهم إمكانية الوصول إلى صفحة المسؤول.

تحل حماية WP-Admin هذه المشكلة عن طريق السماح لمشرفي المواقع بتخصيص عنوان URL الخاص بلوحة الإدارة:

حماية منطقة المسؤول باتباع هذه الخطوات يمكن أن تقلل إلى حد كبير وتحظر الهجمات الآلية على موقعك.

قم بتمكين المصادقة الثنائية

تضيف المصادقة ذات العاملين طبقة إضافية من الأمان من خلال زيادة صعوبة وصول المهاجمين إلى حسابك. لا يتطلب تسجيل الدخول اسم مستخدم وكلمة مرور فحسب ، بل يتطلب أيضًا رمز تفويض إضافي يتم إرساله عادةً عبر الرسائل القصيرة إلى جهاز محمول.

حتى إذا خمن المهاجم بطريقة ما اسم المستخدم وكلمة المرور الخاصين بك ، فلن يتمكنوا من تسجيل الدخول إلى حسابك بدون رمز التفويض. قم بتنزيل وتثبيت المكون الإضافي Google Authenticator لإعداد المصادقة الثنائية بسهولة على موقعك:

بالإضافة إلى القدرة على استخدام تطبيق Google Authenticator للتحقق ، يوفر المكون الإضافي أيضًا خيارات إضافية للمصادقة ذات العاملين مثل التحقق من البريد الإلكتروني والمكالمات الهاتفية. يمكن أيضًا استخدام المصادقة الثنائية إذا كان موقعك يحتوي على مستخدمين متعددين.

استخدم .htaccess لتقييد الوصول إلى الملفات الحاسمة

يمكنك زيادة تعزيز الأمان على موقع WordPress الخاص بك باستخدام ملف htaccess. يستخدم هذا الملف في الغالب في WordPress لتحسين مواقع الويب مثل إعادة كتابة عناوين URL لتكون أكثر ملاءمة للمستخدم ومحرك البحث. ولكن يمكن أيضًا استخدامه لتحسين أمان موقعك.

يوجد ملف .htaccess عادةً في المجلد الجذر ويمكن الوصول إليه إما من خلال عميل FTP أو cPanel. هناك أيضًا العديد من المكونات الإضافية المتاحة بما في ذلك SEO by Yoast والتي تتيح الوصول المباشر من لوحة القيادة.

فيما يلي عدة طرق لحماية موقعك باستخدام ملف .htaccess:

إخفاء ملف wp-config.php

يعد ملف wp-config.php قياسيًا مع كل تثبيت ولكنه يحتوي أيضًا على معلومات حساسة مثل مفاتيح الأمان وتفاصيل اتصال قاعدة البيانات إلى موقعك. هذه تفاصيل لا تريدها بالتأكيد في الأيدي الخطأ. أفضل حل إذن هو إخفاء هذا الملف بالكامل وجعله غير ممكن الوصول إليه.

إخفاء ملف wp-config.php عن طريق إضافة الكود التالي إلى ملف .htaccess:

[الشفرة]
<ملفات wp-config.php>
أمر يسمح ، يرفض
رفض من الجميع
</files>
[/الشفرة]

منع تصفح الدليل

نظرًا لكيفية تنفيذ WordPress لهيكل الملفات الخاص به ، فمن الممكن تمامًا للزوار الوصول إلى مجلدات وملفات موقعك ببساطة عن طريق الانتقال إلى yoursite.com/wp-content/uploads. لذلك سترغب في منع تصفح الدليل حيث يمكن للمهاجمين استخدام هذه المعلومات لأغراض شائنة.

أضف السطر التالي إلى ملف htaccess الخاص بك:

[الشفرة]
خيارات جميع الفهارس
[/الشفرة]

تعد ملفات PHP مهمة للغاية للحماية حيث يمكن للقراصنة استخدام هذه الملفات لإدخال تعليمات برمجية ضارة لإصابة أحد المواقع. أضف الكود التالي إلى ملف htaccess الخاص بك لمنع الوصول إلى المكوّن الإضافي وملفات PHP الخاصة بالسمات:

[الشفرة]
RewriteCond٪ {REQUEST_URI}! ^ / wp-content / plugins / file / to / استبعاد \ .php
RewriteCond٪ {REQUEST_URI}! ^ / wp-content / plugins / directory / to / استبعاد /
RewriteRule wp-content / plugins / (. * \. php) $ - [R = 404، L]
RewriteCond٪ {REQUEST_URI}! ^ / wp-content / theme / file / to / استبعاد \ .php
RewriteCond٪ {REQUEST_URI}! ^ / wp-content / theme / directory / to / استبعاد /
أعد كتابة قاعدة wp-content / themes / (. * \. php) $ - [R = 404، L]
[/الشفرة]

سيؤدي مجرد إضافة هذه التغييرات إلى ملف htaccess الخاص بك إلى تحسين أمان موقع WordPress الخاص بك ويجعل من الصعب على المهاجمين الوصول إلى موقعك. بغض النظر ، لا يوجد شيء مثل موقع آمن تمامًا حيث يتم باستمرار اكتشاف نقاط ضعف جديدة واستغلالها.

وهذا هو السبب في أنك بحاجة إلى خطة احتياطية في حال سارت الأمور نحو الأسوأ.

بانتظام النسخ الاحتياطي لموقعك الاحتفاظ بنسخ احتياطية منتظمة

بغض النظر عن عدد إجراءات الأمان التي تتخذها ، فقد يظل موقعك عرضة للخطر.

على الرغم من وجود WordPress منذ أكثر من عقد من الزمان ، إلا أن فريق التطوير يعمل باستمرار على تحديد المشكلات الأمنية وإصلاحها. ناهيك عن أن أي سمات أو مكونات إضافية جديدة تقوم بتثبيتها يمكن أن يكون لها أيضًا مآثر لم يتم إصلاحها بعد.

وهذا هو السبب في أنه من الجيد إجراء نسخ احتياطي لموقعك بانتظام. بهذه الطريقة يمكنك استعادة موقعك بسرعة وتقليل أي خسائر في حالة إزالة موقعك من هجوم.

ستحتاج إلى التأكد من نسخ موقعك احتياطيًا وفقًا لجدول زمني منتظم وحفظه أيضًا في السحابة. إذا تم اختراق جهاز الكمبيوتر الخاص بك ، فستتمكن من الوصول إلى تلك النسخة الاحتياطية والاستعادة من جهاز آخر. نوصي باستخدام حل تلقائي مثل BackupBuddy.

تتطلب معظم حلول النسخ الاحتياطي اشتراكًا مدفوعًا. ولكن إذا كنت تعتمد على موقع الويب الخاص بك في عملك ، فإن الدفع يستحق ذلك من أجل راحة البال وحدها. في حالة إزالة موقعك بسبب هجوم ، يمكنك العمل مع مزود الاستضافة وإعادة موقعك بسهولة إلى إصدار سابق بنسخة احتياطية.

خاتمة

بينما يعد WordPress نفسه آمنًا نسبيًا ، فإن إضافة السمات والمكونات الإضافية والرمز المخصص يزيد من احتمالية وجود ثغرة أمنية يمكن للقراصنة استغلالها (ويفعلون). ما لم تتخذ إجراءات أمنية معينة في الوقت الحالي ، فقد يكون موقعك هدفًا محتملاً.

من المهم ملاحظة أنه لا يوجد نظام آمن تمامًا. ولكن هناك احتياطات يمكنك اتخاذها من شأنها أن تقلل بشكل كبير من فرص التعرض لهجوم ضار.

اتبع الخطوات الموضحة هنا لتعزيز أمان موقع WordPress الخاص بك.