إن حماية موقعك على ووردبريس ليست رفاهية بل ضرورة حتمية، إذا تحدث مئات الملايين من محاولات الاختراق يوميًا، ينجح منها 30 ألفًا في المتوسط، وكل ثغرة غير معالجة في موقعك قد تؤدي إلى اختراق ناجح، مما قد يتسبب بخسائر مادية فادحة، لكن ماذا لو كان بإمكانك تأمين موقعك ضد المخاطر عبر إجراءات بسيطة؟ سأوضح كيف فعلتُ ذلك باستخدام إضافة Solid Security.
تعد هذه الإضافة التي كان اسمها iThemes Security من إضافات الحماية القوية التي توفر وظائف حماية شاملة لمواقع ووردبريس كما الإضافات الشهيرة الأخرى مثل Wordfence و MalCare و Sucuri، من أهمها جدار حماية قوي، وأداة لكشف الأكواد الخبيثة، ,وقد اعتمدتها لسهولة إعدادها واستخدامها لحماية موقعي.
بدء معالج الإعداد التلقائي لـ Solid Security
بعد تثبيت الإضافة وتفعيلها، انتقلت إلى تبويب Security من القائمة الجانبية في لوحة تحكم ووردبريس، فظهرت لي نافذة تطلب السماح للإضافة بجمع بعض البيانات غير الحساسة من موقعي من أجل تحسين تطوير الإضافة في المستقبل، وهو خيار لا يؤثر على عملها، فإذا أردت الموافقة انقر على Allow & Continue، وإذا أردت الرفض انقر على Skip.
طُلب مني بعد ذلك تحديد نوع موقعي، وذلك حتى تُخصص الإضافة بعض الإعدادات في معالج الإعداد ليناسب نوع الموقع، حيث يجب اختيار blog إذا كان مدونة، و eCommerce إذا كان متجرًا إلكترونيًا، و Non-Profit إذا كان يمثل منظمة غير ربحية، والأمر نفسه لبقية الأنواع.
تفعيل جدار الحماية
يظهر بعد اختيار نوع الموقع خياران يسمحان بإعداد جدار الحماية، الأول هو Local Brute Force، لحظر المستخدمين الذين يفشلون في تسجيل الدخول عدة مرات، والثاني هو Network Brute Force لحظر عناوين IP التي تحاول اختراق الموقع، بالاعتماد على قائمة عناوين IP السوداء Black List الموجودة لدى مطوري الإضافة.
يوفر هذين الخيارين حماية عالية المستوى من هجوم القوة العمياء (Brute Force Attack) الذي يعتمد على برمجيات تخمن أسماء المستخدمين وكلمات والمرور، فتحظر الإضافة كل الأجهزة التي تحاول تنفيذ مثل هكذا هجمات، ولذلك فعلتهما وتابعت بالنقر على (Continue).
إجبار المستخدمين على استخدام كلمات مرور قوية
بعد ذلك فعلت هذين الخيارين، الأول Require Strong Passwords لإجبار المستخدمين على استخدام كلمة مرور قوية، والثاني Refuse Compromised Passwords لرفض كلمات المرور المخترقة، وفي محاولة تسجيل الدخول التالية من قبل المستخدمين الذين يستخدمون كلمات مرور ضعيفة أو مخترقة ستطالبهم الإضافة بتغييرها عند تسجيل الدخول التالي.
تفعيل المصادقة الثنائية
تعني المصادقة الثنائية أنه يجب أن يتحقق شرطان حتى يكون بإمكان المستخدم الوصول إلى حسابه؛ الأول أن تكون كلمة المرور صحيحة، والثاني أن يمتلك إمكانية الوصول إلى رمز يرسل عبر البريد الإلكتروني لحساب المستخدم، أو يحصُل عليه من تطبيقات المصادقة الثنائية مثل Google Authenticator، وبالتالي فإنها تساهم في منع غالبية الهجمات حتى لو كان حصل المهاجم على كلمة المرور الصحيحة.
توفر إضافة Solid Security هذه الوظيفة، فبعد إجبار المستخدمين على استخدام كلمة مرور قوية وغير مخترقة، ظهرت نافذة تسأل فيما إذا كنت أود تفعيل المصادقة الثنائية، ففعلت خيار (Allow Two-Factor)، وبالتالي سيُطالب المستخدمون الآن بتفعيل المصادقة الثنائية في عند تسجيلهم الدخول في المرة التالية.
اختيار صاحب الموقع وتفعيل مزايا أمان إضافية
بعدما ضغطت على Continue، ظهرت صفحة تسألني إذا كنت أُعدّ الإضافة لموقعي أم لموقع أحد العملاء، فاخترت My Own Website بما أن الموقع لي.
بعد ذلك سألني المعالج فيما إذا كنت أحتاج تفعيل Enable Security Check Pro، وهي خاصية تتيح تحديد عناوين IP الحقيقية للزوار والمستخدمين تلقائيًا عن طريق سيرفرات SolidWP، فعلت الميزة، ثم تابعت بالنقر على Next.
ضبط عناوين IP التي لا يجب حظرها
بعد ذلك انتقلت إلى المرحلة التالية، وهي قسم الإعدادات العامة Global Settings، وفيه يجب إدخال عناوين IP التي لا يجب حظرها بواسطة جدار الحماية، إضافة إلى تحديد طريقة اكتشاف عناوين IP للمستخدمين.
أدخلت عناوين الـ IP التي لا أريد أن تحظر في حقل Authorized IPs، وحددت طريقة اكتشاف العناوين في قسم IP Detection بالطريقة التلقائية لأنها الأفضل، ثم تابعت بالنقر على Next.
جدولة الفحص التلقائي لكامل ملفات الموقع
ظهرت لي خيارات قسم Features، وهي مقسمة إلى عدة تبويبات معظمها تتضمن خيارات ذكرتها في الفقرات السابقة، لكن هناك خيار غير مفعل لجدولة الفحص التلقائي للموقع، لذلك انتقلت إلى تبويب Site Check، وفعلت خيار Scheduled Site Scan، وبذلك سيُفحص الموقع تلقائيًا مرتين يوميًا، مع إرسال بريد إلكتروني عند اكتشاف وجود أي مشكلة، ثم ضغطت على Next.
إعدادات الأمان لأدوار المستخدمين
توفر إضافة Solid Security إمكانية تخصيص إعدادات الأمان لكل دور من الأدوار، حيث ظهرت لي نافذة تسألني فيما إذا كنت أود تخصيص خيارات الأمان للأدوار الافتراضية فقط، أم لجميع الأدوار في الموقع، اخترت Default User Groups لعدم وجود أدوار إضافية في موقعي.
استفدت من هذه الخاصية في إبطال بعض إعدادات الأمان غير الضرورية في الأدوار التي لا تمتلك صلاحيات عالية، مثل المشترك والمساهم والكاتب، فعطلت المصادقة الثنائية لهذه الأدوار، ثم ضغطت على Next للمتابعة.
تخصيص إشعارات البريد الإلكتروني
بعد ذلك ظهرت نافذة تخصيص إشعارات البريد الإلكتروني، حيث يمكن من خلالها تحديد لمن ستُرسل هذه الإشعارات، فمثلًا يمكن اختيار جميع المدراء، وفي هذه الحالة سيُرسل بريد إلكتروني بأي مشكلة إلى كل المستخدمين الذين يمتلكون دور مدير في الموقع، ويمكن أيضًا تحديد المدراء الذين يتلقون الإشعارات، فحددت اسم المستخدم الخاص بي، ثم نقرت على Complete Setup.
بذلك انتهيت من إعداد الإضافة لحماية الموقع، ويمكنني الوصول إلى لوحة التحكم للاطلاع على التقارير بشكل دوري عبر الانتقال إلى Security ثم Dashboard، حيث ستظهر كافة التفاصيل التي قد أحتاجها، ويمكنني من هذه اللوحة إجراء العديد من العمليات الأخرى، مثل حظر عنوان IP أو أخذ نسخة احتياطية من قاعدة البيانات.
فحص الموقع يدويًا
بالإضافة إلى الفحص التلقائي مرتين يوميًا الذي فعلناه عند إعداد الإضافة، فإنني أفحص الموقع يدويًا كل فترة للتأكد أن كل شيء يعمل بشكل صحيح، وخاصة بعد إضافة مستخدمين جدد، إذ أنتقل إلى Site Scans ثم أنقر على زر Start Site Scan لبدء الفحص اليدوي، فتظهر النتائج كما في الصورة.
تحليل نتائج الفحص واتخاذ إجراءات بناء عليها
بناء على نتائج فحص الحماية، أو النتائج التي تردني على البريد الإلكتروني، أتخذ إجراءات لرفع أمان موقعي، فإذا ظهر لي مثلًا أن بعض المستخدمين لم يفعِّلوا المصادقة الثنائية، أوعز لهم بتسجيل الخروج، ثم الدخول مرة ثانية لتفعيلها، وإذا ظهر أن إحدى الإضافات تتضمن برمجيات خبيثة، أحذفها وأستبدلها بإضافة أخرى من مصدر موثوق.
لكن قد تواجه أحيانًا تحديات أمنية مختلفة يكون التعامل معها معقدًا وبحاجة لمعرفة تقنية متخصصة، مثل اكتشاف أكواد خبيثة أو ثغرات في نواة ووردبريس، في هذه الحالة يفضل الاستعانة بخبير ووردبريس موثوق يستطيع تنظيف موقعك من البرمجيات الضارة ويستعيد موقعك لوضعه الطبيعي، يمكنك العثور على محترفين يقدمون مثل هذه الخدمات عبر منصات العمل الحرّ مثل خمسات ومستقل.
وختامًا أود التنويه إلى مراجعة تنبيهات الأمان يوميًا بالنقر على زر Security الموجود في شريط الإدارة العلوي، لاكتشاف المشاكل ومعالجتها بسرعة.
