الووردبريس يعد نظام تشغيل مفتوح المصدر وبالتالي الكود البرمجي يكون متتداول على مدى واسع وكذلك يوجد له عدد كبير من المبرمجين حول العالم لذلك ستجد قائمة كبيرة من الخيارات الجاهزة لموقعك الإلكتروني على سبيل المثال إضافات أو قوالب وغير ذلك الكثير، لذلك يعد الووردبريس عرضه للإختراق بطرق متعددة.
وللأسف عندما يتم إختراق موقع الووردبريس قد يتم زرع أكواد برمجية مخفية أو إعادة توجيه صفحات الموقع أو غير ذلك وبالتالي تسبب مشاكل كبيرة على مستوى المستخدم وعلى مستوى محركات البحث.
المشاكل التي يمكن أن تظهر على مستوى المستخدم هو تعرض بيانته للسرقة سواء البيانات الشخصية أو الحسابات البنكية خصوصًا إذا كان الموقع متجر إلكتروني أو تعطل الموقع بشكل عام أو غير ذلك، أما على مستوى محركات البحث بالتأكيد هو التأثير على ترتيب نتائج محركات البحث وقد تجد النتائج تم إزالتها من محركات البحث تمامًا.
لذلك تعد مشكلة تأمين موقع الووردبريس هي أهم الخطوات التي يجب القيام بها عند إنشاء موقع إلكتروني جديد وكانت التحدى الأكبر لنا عند إنشاء الأكاديمية الخاصة بنا، لذلك سأشارك معكم تجربتي والخطوات التي اتبعتها في حماية موقعي الإلكتروني من الإختراق بشكل كامل.
خطوات حماية موقع الووردبريس من الإختراق :
حماية موقع الووردبريس من الإختراق يحتاج إلى العديد من التدابير الأمنية على مستوى شركة الاستضافة وموقع الووردبريس والمستخدم نفسه، وسنحاول ترتيب تلك الخطوات في الفقرات التالية بإذن الله.
1- اختيار شركة استضافة جيدة
الخطوة الأولى والأبسط في حماية موقع ووردبريس هو الإعتماد على شركة استضافة ذات سمعة جيدة وتقدم تدابير حماية قوية وذلك لأن الاستضافة هو المكان الذي يتم تخزين به كافة ملفات موقعك الإلكتروني والمكان الأكثر استهدافًا بالنسبة للمخترقين وأشهر صور الإختراق من تلك الطريقة هو تغيير عنوان URL لموقعك الإلكتروني أو إعادة توجية عناوين الموقع أو إيقاف الموقع تمامًا.
لذلك دائمًا ننصح بعدم الإعتماد على التكلفة فقط عند مقارنة شركة الاستضافة ولكن يجب أخذ تدابير الأمان ضمن أهم المعايير ويجب أن تتأكد دائمًا أن التكلفة التي يمكن أن توفرها اليوم قد تؤثر على المشروع بالكامل على المدى البعيد، لذلك حاول توزيع رأس المال بشكل جيد وتخصيص نصيب كافي لشركة الاستضافة خصوصًا أن فروق الأسعار ليست كبيرة.
لذلك تقوم بالبحث عن شركة استضافة تقدم تدابير أمان قوية على سبيل المثال الفحص الدوري للملفات والبرامج الضارة بالموقع الإلكتروني وجدار حماية لإيقاف هجمات DDoS ومنع حركات المرور الضارة وغير ذلك.
2- الإعتماد على القوالب والإضافات من مصادر رسمية
الجزء الثاني الذي يجب أن تستثمر فيه جزء من رأس المال هو الحصول على النسخة الرسمية من القوالب أو الإضافات المدفوعة التي تحتاج إليها على موقعك الإلكتروني.
وذلك لأنك ستجد القوالب والإضافات المدفوعة موجودة بشكل مجاني على الإنترنت أو بتكلفة منخفضة ويكون الأمر مغرى للحصول عليها على أساس أنها نفس الوظيفة بتكلفة أقل.
ولكن هذا غير صحيح لأن تلك القوالب أو الإضافات يتم التعديل على الكود الخاص بها وبالتالي قد يتم زرع أكواد خبيثة بها تؤثر على موقعك الإلكتروني أو يتم التعديل على الكود البرمجي بشكل غير صحيح يساعد على خلق ثغرات أمنية على موقعك الإلكتروني.
لذلك يجب دائمًا مراعاة الحصول على النسخة الرسمية من القوالب والإضافات التي تحتاج إليها وتكون أيضًا من شركات ذات سمعة جيدة حتى تتأكد من قوة الأكواد البرمجية وخلوها من الثغرات الأمنية.
3- تحديث نظام الووردبريس
كما ذكرنا في المقدمة أن نظام الووردبريس مفتوح المصدر وأن الكود البرمجي الخاص به متداول على مدى واسع وبالتالي يبحث المخترقون دائمًا عن ثغرات أمنية في النظام يستطيعوا استغلالها من أجل إختراق الموقع الإلكتروني.
في المقايل يقوم الووردبريس دائمًا بإجراء العديد من التحديثات على مدار العام " 3 - 4 تحديثات سنويًا " من أجل غلق تلك المشاكل والثغرات الأمنية التي تم التبليغ أو اكتشافها في الإصدارات الأقدم بشكل كامل.
لذلك يجب أن تراعي دائمًا أنك تستخدم الإصدار الأحدث من الووردبريس وأغلب شركات الاستضافة توفر خيار تحديث نظام الووردبريس بشكل تلقائي من الإعدادات الخاصة بها أو يمكن بسهولة الدخول إلى لوحة تحكم الووردبريس الرئيسية وستجد إشعار بتحديث الووردبريس إذا كان هناك إصدار أحدث وذلك الأمر لن يستغرق دقائق وإذا لم تظهر الرسالة فأنت تستخدم أحدث إصدار من الووردبريس وذلك كما موضح في الصورة التالية:
4- تحديث القوالب والإضافات المستخدمة
تحديث القوالب والإضافات المستخدمة على موقع الووردبريس ينطبق عليه نفس الأمر تمامًا مثل تحديث نظام الووردبريس في النقطة السابقة، ولكن يمكن القول أن إضافات الووردبريس والقوالب تكون أكثر خطورة على أمان الموقع الإلكتروني.
على سبيل المثال العام السابق تم إختراق إضافة Ninja Forms وتأثر بها عدد كبير جدًا من المواقع المرتبطة بها ولكن سرعان ما تم إصدار نسخة احدث من الإضافات قامت بمعالجة جميع المشاكل الأمنية.
لذلك يجب عليكم تحديث الإَضافات بشكل مستمر إلى أحدث إصدار لها وذلك عن طريق الدخول إلى لوحة الووردبريس الرئيسية ثم تختار إضافات ومنها تختار الإضافات المنصبة وبعد ذلك ستجد جميع إضافات موقعك الإلكتروني وستجد الإضافات الي تحتاج إلى التحديث كما موضح في الصورة التالية:
وبعد ذلك تقوم بمراجعة تحديثات القوالب عن طريق الدخول إلى المظهر من لوحة الووردبريس الرئيسية ثم القوالب وتقوم بتحديث القالب المستخدم كما قمت بالإضافات في الخطوة السابقة، وبالتأكيد لن تستطيع الحصول على النسخة الأحدث من القوالب إلا إذا كنت تعتمد على النسخة الرسمية من القالب أو الإضافة كما وضحنا في النقطة الثانية.
5- عمل نسخ إحتياطية لموقعك الإلكتروني
النسخ الإحتياطي يعني تجهيز نسخة من موقعك الإلكتروني بشكل كامل من نصوص وصور وفيديوهات وقواعد البيانات وغير ذلك بالكامل على خوادم أخرى غير خادم موقعك الإلكتروني.
وتعد الحل السحري لحل أغلب مشاكل موقعك الإلكتروني الكبرى، حيث إذا تعرض موقعك الإلكتروني للإختراق أو أي مشاكل تقنية أو أمنية تقوم بسهولة بالرجوع إلى أحدث نسخة إحتياطية من الموقع الإلكتروني التي لم يكن بها أي مشاكل، وهذا بالتأكيد قد يسبب لك خسارة بعض البيانات ولكن ستكون أقل بكثير من الخسارة الناتجة من الاختراق.
وتقدم أغلب شركات الاستضافة تلك الخدمة بتكلفة إضافية أو بمعايير محدودة بشكل مجاني على سبيل المثال نسخ إحتياطي مرة واحدة أسبوعيًا وهذا غير كافي أمنيًا، والحل الأمثل هو الإعتماد على إحدى الإضافات التي توفر خدمة النسخ الإحتياطي بمعايير أمان قوية.
وأحد أقوى إضافات الووردبريس في هذا التخصص والذي اعتمد عليها بشكل شخصي في جميع مواقعي هي [سجل الدخول لترى الرابط] هي يتوفر منها إصدار مجاني بخصائص مميزة على سبيل المثال تساعدك على أخذ نسخ إحتياطي لموقعك بشكل يومي أو أسبوعي أو شهري أو فترات أخرى مع إمكانية النسخ الإحتياطي بشكل يدوي وكذلك تخزين جميع الملفات على خوادم خارجية مجانية على سبيل المثال جوجل داريف.
6- الحد من محاول تسجيل الدخول الخاطئ
بعد ذلك قمت بالحد من محاول تسجيل الدخول الخاطئ المتكرر على موقعي الإلكتروني، وذلك لأن أغلب المخترقين يعتمدوا على أدوات تعمل على محاولة تسجيل الدخول بكلمات مرور متعددة آلاف المرات حتى يستطيعوا الحصول على كلمة المرور الصحيحة.
وقمت بالحد من محاول تسجيل الدخول الخاطئ بواسطة [سجل الدخول لترى الرابط] ويمكن أيضًا أن تعتمد على [سجل الدخول لترى الرابط] وكلا الإضافتين تعد مجانية تمامًا وتمنع محاول التسجيل الخاطئ أكثر من 3 مرات وكذلك تطلب كابتشا للتأكد أن تسجيل الدخول يدوي وليس بواسطة روبوت وذلك كما موضح في الصورة التالية:
وكذلك يفضل تغيير عنوان URL لرابط الدخول، وذلك حيث أن الرابط التقليدي هو Domain.com/wp-login.php فيمكنك تغييره إلى أي رابط أخر سواء بشكل يدوي أو بواسطة إضافات خاصة على سبيل المثال [سجل الدخول لترى الرابط] تقدم تلك الخاصة بشكل مباشر ودون تدخل برمجي، وهكذا لن يستطيع المخترق الوصول إلى صفحة الدخول من الأساس.
7- تنصيب إضافة حماية على موقعك الإلكتروني
الخطوة التقليدية والمتعارف عليها في حماية مواقع الووردبريس هي تنصيب إضافات الحماية حيث أن تلك الإضافات تساعدك على فحص الموقع بشكل دوري والتخلص من الملفات الضارة وحركات المرور الغير مرغوب بها والتعليقات ذات الملفات الضارة وغير ذلك.
لذلك تعد إضافات الحماية هي معايير حماية إضافي بعد معايير الحماية المقدمة من شركة الاستضافة نفسها، وستجد خيارات متعددة لتنصيبها على موقعك الإلكتروني، وأفضل الإضافات التي إعتمد عليها بشكل شخصي هي [سجل الدخول لترى الرابط] ويمكن أيضًا الإعتماد على [سجل الدخول لترى الرابط] السابقة، وكلتا الإضافتين تقدم خيارات مجانية ممتازة.
8- تنصيب شهادة SSL
[سجل الدخول لترى الرابط] تعد من أهم معايير الأمان التي تساعد على تأمين الإتصال بين متصفح الويب وخادم شركة الاستضافة وبالتالي تحافظ على بيانات العملاء الشخصية وبيانات الدفع من السرقة وغير ذلك.
وحاليًا أغلب المتصفحات الأساسية تقدم المواقع التي لا تستخدم شهادة SSL بأنها مواقع غير أمنية وتحذر الزائر من الدخول إليها بشكل مباشر.
والجدير بالذكر أن أغلب شركات الاستضافة تقدم شهادة SSL بشكل مجاني مع الاستضافة أو بتكلفة بسيطة تترواح من 2 - 10 دولار أمريكي سنويًا كما أن طريقة تنصيبها على الووردبريس بسيطة جدًا ومباشرة.
9- تعطيل تحرير الملفات
عندما يصل المخترق إلى صفحة تحكم الووردبريس الرئيسية الخطوة الأولى الذي يقوم بها هو الذهاب إلى القالب الرئيسي أو الإضافات المنصة ويقوم بزرع كود يعمل على تدمير الموقع بشكل كامل.
لذلك يجب تعطيل خاصية تحرير الملفات سواء على القالب أو الإضافات المنصبة على الووردبريس وتلك تعد من الخطوات المتقدمة التي إعتمدت عليها في تأمين موقع الووردبريس.
ويمكنك ذلك عن طريق الوصول إلى ملف wp-config.php سواء بواسطة الإتصال FTP بالخادم على سبيل المثال بواسطة برنامج FileZilla أو مدير الملفات في شركة الاستضافة بشكل مباشر ثم تقوم باضافة الكود التالي:
تسجيل الدخول لعرض الكود
وبعد ذلك تقوم بحفظ الملف والتحديث وستجد أن خاصية تحرير الملفات تم تعطليها بشكل كامل من موقع الووردبريس.
10- إخفاء ملف wp-config.php وملف htaccess
الخطوة الأخيرة وهي من الخطوات المتقدمة أيضًا في تجربتي لحماية موقع الووردبريس هو محاولة إخفاء أهم الملفات على الووردبريس وهم ملف wp-config.php وملف htaccess حيث أن تلك الملفات المسئولة عن التحكم في أغلب الأمور والخيارات الرئيسية على الموقع الإلكتروني وأكثر الملفات عرضة للاختراق.
ولا يفضل أن تقوم بتلك الخطوة بشكل يدوي ولكن يفضل أن تعتمد على مبرمجين متخصصين أو تقوم باخذ نسخة إحتياطية من الموقع قبل تنفيذها.
ويمكنك إخفاء ملف wp-config.php وملف htaccess بشكل بسيط عن طريق الوصول إلى تلك الملفات بواسطة الإتصال FTP بالخادم أو مدير الملفات في شركة الاستضافة كما وضحنا في النقطة السابقة، على سبيل المثال ملف wp-config.php تقوم باضافة الكود التالي:
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
ثم تقوم بحفظ الملف وتقوم بالوصول إلى ملف htaccess وتقوم باضافة الكود التالي:
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
تسجيل الدخول لعرض الكود
وبهذا الشكل أكون قد شاركت معكم تجربتي الكاملة في حماية موقع الووردبريس من الإختراق فإذا كان لديك سؤال أو استفسار يمكنك التعليق أسفل المشاركة وسأكون سعيد بالمناقشة معكم في حل تلك المشاكل.
