دليلك الكامل حول كيفية حماية لوحة تحكم ووردبريس

دليلك الكامل حول كيفية حماية لوحة تحكم ووردبريس الخاصة بك وأهم الإضافات لذلك

تعد لوحة تحكم ووردبريس واحدة من أكثر الأماكن التي يقضي فيها ملّاك ومديرو المواقع وقتهم، وذلك حيث إنها تتيح للمستخدم إجراء أي تغيير قد يريده بشكل مباشر ودون التعامل مع الجوانب البرمجية أو الأكواد بشكل مباشر، ولذلك، ولأسباب كثيرة أخرى، حماية لوحة تحكم ووردبريس تعد خطوة ضرورية لا يمكن التقصير فيها.

ويقدم موقع عرب ووردبريس قسمًا كاملًا يتمحور حول لوحة التحكم، والذي يضم عشرات المقالات المتمحورة حول تلك اللوحة، وذلك نظرًا لأهميتها الشديدة، واليوم نتناول أهم الخطوات والنصائح التي تزيد من أمان وحماية لوحة تحكم ووردبريس.

حماية لوحة تحكم ووردبريس وتأمينها

يبدأ المستخدمون في السعي لتأمين وزيادة حماية لوحة تحكم ووردبريس بعدما يلاحظون تزايدًا في هجمات التسلل والاختراق لمواقعهم، وسواء كنت تواجه هذه المشكلة في الوقت الحالي أو لا فإن اتباعك للنصائح القادمة في هذا المقال سوف يقلل الخطر بشكل كبير.

ولعل الخطوة الأولى التي يجب عليك تنفيذها هي الاعتماد على إضافة مخصصة لمواجهة عمليات الاختراق أو تسجيل الدخول غير المصرح لها، وهي بالطبع إضافات جدار الحماية.

1. استخدام جدار الحماية في ووردبريس

يعد جدار الحماية الناري، Firewall، واحدًا من أهم الأدوات الأمنية في كافة أنظمة التشغيل، ولعل حاسبك العامل بنظام تشغيل macOS أو ويندوز يضم بالفعل جدار حماية، ولحسن الحظ فإن هذه الأداة الأمنية الرئيسية متوفرة أيضًا لمنصة ووردبريس.

وتأتي تلك الخاصية على شكل إضافة يمكن تحميلها وتنصيبها، وعلى الرغم من أكثر الإضافات التي تخدم هذا الهدف إلا أننا نوصي بالاختيار بين إضافتيّ Wordfence أو Sucuri.

وتعمل هذه الإضافات على تحليل الزيارات قبل وصولها إلى الموقع، وذلك بالاعتماد على تقنيات حديثة ومختلفة، وعليه فإنها تكون قادرة على فلترة الزيارات الخبيثة من تلك التي لا تشكل أي ضرر. وللبدء في استخدام تلك الإضافات عليك فقط باتباع الخطوات البسيطة التالية:

1. توجه إلى لوحة تحكم موقعك الووردبريس، وذلك عبر إضافة /wp-admin بعد رابط موقعك
2. سجل دخولك إلى لوحة تحكم ووردبريس خاصتك، ومن ثم توجه إلى قسم الإضافات
3. توجه إلى خيار (أضف جديد) وابحث عن الإضافة باسمها بشكل مباشر

1. استخدام جدار الحماية في ووردبريس

4. قم بتنصيب الإضافة ومن ثم تفعيلها

بعد انتهاء هذه الخطوات سوف تبدأ الإضافة في العمل بدون مشاكل، لكن عليك أن تقوم بضبط إعداداتها بالشكل المناسب لك بعد ذلك، وأيضًا نشير إلى أهمية ضبط الصلاحيات في ووردبريستحكم في صلاحيات المستخدمين باحترافية وذلك لمنع حدوث الأذى من خلال مستخدمي الموقع أنفسهم.

2. حماية مجلد لوحة التحكم بكلمة مرور

لا يمكن لأي شخص أن يسجل الدخول إلى لوحة تحكم ووردبريس دون أن يمتلك كلمة المرور أو كلمة السر الخاصة به، لكن هناك خطوة إضافية تعزز من أمان الموقع بشكل كبير، وهي إنشاء كلمة مرور لمجلد لوحة التحكم نفسه.

ويتم ذلك عن طريق التوجه إلى إعدادات الاستضافة الخاصة بك أيًا كانت، ومن ثم التوجه إلى خيارات Directory Privacy والتي تسمح لك بتعزيز الأمان لمجلدات معينة:

2. حماية مجلد لوحة التحكم بكلمة مرور

والآن كل ما تحتاجه هو اختيار مجلد لوحة التحكم، وهو مجلد wp-admin، ومن ثم حمايته بكلمة مرور خاصة به، وننصحك طبعًا باختيار كلمة مرور قوية من ناحية، وعدم نسيانها من ناحية أخرى:

2. حماية مجلد لوحة التحكم بكلمة مرور

والآن وبمجرد التوجه إلى لوحة تحكم ووردبريس سوف يطلب منك متصفح الإنترنت تسجيل الدخول إلى المجلد قبل حتى تسجيل الدخول إلى ووردبريس

3. استخدام كلمة مرور قوية

تحدثنا في مقال كيف تتصرف عند نسيان كلمة مرور ووردبريس لحساب المدير عن أهمية كلمة المرور الخاصة بحساب المدير في ووردبريس، ولكن النصيحة الأهم التي يمكننا توجيهها إليك هي استخدام كلمة مرور شديدة القوة وغير قابلة للتخمين سواء من البشر أو من البرمجيات المخصصة لذلك.

وكل ما تحتاجه هنا هو اتباع الخطوات البسيطة التالية:

  • عدم استخدام معلومات شخصية معروفة، مثل رقم هاتفك.
  • استخدام الرموز @ والحروف الكبيرة والصغيرة Aa.
  • استخدام تشكيلة من الأرقام والرموز بدون اتباع نُسُق قابل للتخمين.
  • استخدام الرموز الأصعب !>< والمسافات كذلك.

4. الحد من التكرار في محاولة تسجيل الدخول

بشكل افتراضي، تتيح منصة ووردبريس للمستخدم أن يستمر في تجربة تسجيل الدخول لعدد مرات غير محدود، وهو ما يسمح للمخترقين بأن يقوموا بتخمين كلمة مرورك، أو استخدام برمجيات وسكريبتات تستمر في التجربة حتى تخمن كلمة مرورك.

والحل لهذه المشكلة بسيط جدًا، وهو إضافة حد أقصى لمحاولات تسجيل الدخول، ويتم ذلك عن طريق تنصيب وتفعيل إضافة Login LockDown والتي تتيح تفعيل هذا الخيار إلى جانب خيارات أمنية أخرى.

وبعد تنصيب الإضافة وتفعيلها من خلال لوحة التحكم، توجه إلى صفحة الخيارات الخاصة بها:

4. الحد من التكرار في محاولة تسجيل الدخول

وبعد ذلك سوف تلاحظ ظهور الإعدادات التالية:

4. الحد من التكرار في محاولة تسجيل الدخول

وعلى نفس ترتيبها، يتيح لك الإعداد الأول أن تحدد الحد الأقصى لمحاولات تسجيل الدخول، ويتيح لك الخيار التالي تحديد الوقت بالدقائق لتحديد المدى الزمني الذي يعبر عن محاولات متكررة، ومن ثم يمكنك أن تلاحظ خيارات حجب الـIP الذي تتم من خلاله عمليات تسجيل الدخول الخاطئة المستمرة، وغيرها.

5. حماية لوحة تحكم ووردبريس عبر إتاحتها لعناوين IP معينة

يمكن لهذا الخيار أن يكون متقدمًا إلى حد كبير بالنسبة لشريحة كبيرة من المستخدمين، إلا أنه مفيد في المواقع شديدة الحساسية، حيث إن هذا الخيار يتيح لك إتاحة تسجيل الدخول فقط لعناوين IP معينة، وعليه فإنك قادر على إضافة عناوين IP الخاصة بك وبالمستخدمين الموثوقين الآخرين، ومنع لوحة التحكم عن أي عضو آخر.

ويمكنك أن تفعل ذلك عبر إضافة الكود التالي إلى ملف .htaccess مع استبدال xx.xx.xx.xxx بعناوين الآي بي الخاصة بالمستخدمين المرغوبين:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

6. إجبار المستخدمين على اختيار كلمات مرور قوية

يمكن لأي حساب آخر غير حسابك أنت أن يشكل خطرًا على موقعك الووردبريس، بما في ذلك حسابات المديرين والمشرفين الأخرى، أو حتى حسابات الكتّاب في بعض المواقع، ولذلك فإنه من الواجب عليك أن تدفع المستخدمين الآخرين لاختيار كلمات مرور قوية.

ويمكنك أن تفعل ذلك إما عن طريق إخبارهم بذلك بشكل مباشر، أو إعداد كلمات مرورهم بنفسك، أو بالاعتماد على إضافة Force Strong Passwords والتي تعمل بشكل مباشر ودون إعدادات وتحافظ على هدف واحد فقط، وهو منع إنشاء كلمات مرور سهلة لأي عضو من أعضاء الموقع.

7. إعادة تعيين كلمات مرور المستخدمين الآخرين

إن كنت على يقين بأن موقعك قد تم اختراقه أو الوصول إلى ملفاته وإعداداته من طرف مستخدم ما غير مصرح له، فلعل القيام بإعادة تعيين لكافة كلمات مرور المستخدمين الآخرين هي الخطوة الصحيحة.

ويمكنك أن تفعل ذلك ببساطة من خلال إضافة Emergency Password Reset والتي تسمح لك بإعادة تعيين كلمات المستخدمين الآخرين سواء كانوا مشرفين أو محررين أو غير ذلك بضغطة واحدة، وبعد ذلك سوف يتعين عليهم إعادة إنشائها، ويمكنك أن تستخدم هذه الإضافة مع الإضافة السابقة لتجبرهم بعد ذلك على استخدام كلمات مرور قوية.

7. إعادة تعيين كلمات مرور المستخدمين الآخرين

8. تسجيل خروج المستخدمين تلقائيًا

إن كان موقعك يضم بيانات حساسة فإنه بإمكانك أن تقوم بجعل جميع المستخدمين يسجلون الخروج بشكل تلقائي، تمامًا مثل مواقع البنوك والتي تقوم بإجراء تسجيل خروج تلقائي لجميع المستخدمين بعد مرور وقت معين من تسجيل الدخول غير النشط.

ويمكنك الاعتماد على إضافة Idle User Logout في هذه العملية، حيث يمكنك أن تضبط مدى زمني معين يتم إجراء تسجيل خروج تلقائي لجميع المستخدمين بعد انتهائه.

9. تغيير رابط تسجيل الدخول لحماية لوحة تحكم ووردبريس

يمكن لتغيير رابط تسجيل الدخول لموقع ووردبريس أن يلعب دورًا كبيرًا في تأمين الموقع وحمايته بشكل عام، وذلك حيث إن الرابط الافتراضي يكون www.example.com/wp-login.php.

ويمكنك تغيير رابط تسجيل الدخول بشكل سهل من خلال إضافة WPS Hide Login والتي تسمح لك بتغيير رابط تلك الصفحة، وكل ما تحتاجه هو تنصيب الإضافة وتفعيلها، ومن ثم التوجه إلى إعداداتها:

9. تغيير رابط تسجيل الدخول لحماية لوحة تحكم ووردبريس

والآن يمكنك تغيير رابط تسجيل الدخول، وفي المقابل يمكنك تحديد الصفحة التي يتم توجيه المستخدمين إليها إذا توجهوا إلى لوحة التحكم wp-admin أثناء عدم تسجيل الدخول.

10. تفعيل رمز التحقق CAPTCHA في صفحة تسجيل الدخول

يمكن لتفعيل رمز التحقق CAPTCHA أن يساعد في منع هجمات الاختراق التي تعتمد على تخمين كلمات المرور، أو حتى الهجمات التي تعمل على الضغط على خادم الموقع من خلال عمليات الاستعلامات المتعددة. ولا شك أن هذه الخاصية مفيدة خصوصًا إن كنت لم تغير رابط لوحة التحكم أو تضع لها كلمة مرور من خلال إعدادات الاستضافة.

ويمكنك بالاعتماد على إضافة Captcha أن تفعل هذه الخاصية بشكل سهل، حيث إن مجرد تنصيب الإضافة سوف يفعل خاصية التحقق في صفحة تسجيل الدخول للموقع.

11. إزالة رسائل الخطأ في صفحة تسجيل الدخول

عندما يقوم المخترق بتجربة تسجيل الدخول إلى موقعك الووردبريس فإن الموقع يقوم بعرض رسائل خطأ معينة ردًا على ذلك، وفي حالة أن المخترق قد تمكن من كتابة اسم المستخدم بشكل صحيح فإن الخطأ سوف يوضح له أن المشكلة هي في كلمة المرور فقط، وهو ما يضيق الاحتمالات ويزيد من احتمالات نجاحه في التخمين.

وبشكل عام، يمكنك إزالة رسائل الخطأ بشكل كامل إما عن طريق إضافة الكود التالي في ملف functions.php ضمن ملف القالب الذي تستخدمه، أو عبر استخدام إضافة Secure WordPress.

add_filter('login_errors',create_function('$a', "return null;"));
11. إزالة رسائل الخطأ في صفحة تسجيل الدخول

12. الممارسات الأمنية الأخرى

إلى جانب كل ما سبق، هناك خطوات أخرى رئيسية لحماية لوحة تحكم ووردبريس ومنعها من الاختراق أو من عمليات تسجيل الدخول أو حتى التخمين، وهي كالتالي:

1. عدم الاعتماد على اسم المستخدم الافتراضي Admin
2. التأكد من أمان جهاز المدير وخلوه من أي فيروسات أو برامج تجسس
3. اختيار المزيج المناسب من الإضافات والخصائص الأمنية السالف ذكرها
4. تحديث ووردبريس بشكل مستمر
5. اختيار استضافة آمنة من البداية


الخلاصة

هنا ننتهي من مقالنا حول تأمين لوحة تحكم ووردبريس، ويمكنك الاستزادة من خلال مطالعة قسم حماية ووردبريس، وإضافةً إلى ذلك فإنك قادر دائمًا على مشاركة استفساراتك وتعليقاتك أسفله، أو من خلال المنتديات.

ابدأ الآن في اختيار المزيج المثالي لتأمين لوحة تحكم موقعك، ودائمًا ما يجب عليك إبقاء الأمان والحماية ضمن أولويات إدارتك لموقعك أي كان حجمه.