أفضل 16 ممارسات حماية للووردبريس من المخترقين – أفعل ما عليك لأمان وصيانة موقعك

أفضل 16 ممارسات حماية للووردبريس من المخترقين – أفعل ما عليك لأمان وصيانة موقعك

فيما يلي 16 من أفضل ممارسات الأمان والصيانة التي يمكنك البدء في تنفيذها لحماية موقع ووردبريس الخاص بك الآن.

يعد أمان تطبيقات الويب أحد العناصر الرئيسية في تطوير تطبيقات الويب التي غالبًا ما يتم تجاهلها. انه مفهوم بين تطوير الكود وإدارة التطبيقات والتصميم المرئي، غالبًا ما يتم التغاضي عن مخاطر أمان تطبيقات الويب أو لا يتم التركيز عليها بشكل صحيح.

ومع ذلك، يجب أن تكون إرشادات أمان تطبيق الويب أولوية رئيسية إذا كنت تخطط لبدء العمل التجاري مع تطبيقك. لحسن الحظ، هناك الكثير من الطرق لتحسين أمان تطبيقات الويب بسهولة. لقد وجدنا عدة طرق ستساعدك على تحسين أمان موقعك الووردبريس كما يلي:

ممارسات حماية للووردبريس من المخترقين

1 – الاختيار الصحيح لشركة استضافة جيدة ومعروفة

أبسط طريقة للحفاظ على أمان موقعك هي اختيار مزود استضافة يوفر طبقات متعددة من الأمان؛ ولا تفكر بخصوص التكلفة الإضافية القليلة إن كانت قادرًا على دفعها؛ فالدفع قليلاً لشركة استضافة عالية الجودة يعني أن طبقات إضافية من الأمان تضاف تلقائيًا إلى موقع الويب الخاص بك، بالإضافة إلى تسريع موقعك بشكل كبير لأن استجابة السيرفر أحد العوامل المعول عليها موضوع السرعة.

قد يبدو للعيان من المغري الذهاب مع مزود استضافة رخيص ليس لديه إمكانية أمان عالية وخدمات جيدة وبالتالي هذا الطريق سوف يؤدي الى نتائج سلبية بحيث يكون من السهل للمخترقين إجراء الكثير من التهديدات الأمنية كمحو بياناتك تمامًا ويمكن أن يبدأ عنوان الموقع URL الخاص بك في إعادة التوجيه إلى مكان آخر وبالتالي سوف تحتاج إلى إنفاق أموال إضافية كثيرة للتخلص من هذه التهديدات.

اعرف الطريقة الصحيحة لاختيار استضافة الووردبريس المناسبة لموقعك


2 – قم بتثبيت شهادة SSL من أجل تشفير البيانات واستعمال (HTTPS)

في الوقت الحاضر، تعد طبقة المقابس الواحدة SSL Socket Layer مفيدة لجميع أنواع مواقع الويب.

في البداية، كانت طبقة المقابس الآمنة مطلوبة من أجل جعل الموقع آمنًا لمعاملات محددة، مثل معالجة المدفوعات. ومع ذلك، فقد أدركت Google اليوم أهميتها وأصبحت ترفع نتائج المواقع العاملة بشهادة SSL ضمن نتائج البحث الخاصة بها.

تعد طبقة المقابس الآمنة (SSL) إلزامية لأي مواقع تعالج معلومات حساسة، مثل كلمات المرور أو تفاصيل بطاقة الائتمان. بدون شهادة SSL، يتم تسليم جميع البيانات بين متصفح الويب للمستخدم وخادم الويب الخاص بك في نص عادي، يمكن للقراصنة أن يقرؤوا هذا. باستخدام SSL، يتم تشفير المعلومات الحساسة قبل نقلها بين متصفحهم وخادمك، مما يجعل قراءتها أكثر صعوبة ويجعل موقعك أكثر أمانًا.


3 – قم بتثبيت البرنامج المساعد لأمن الووردبريس WordPress plugin

يعد التحقق بانتظام من أمان موقع الويب بحثًا عن البرامج الضارة عملاً يستغرق وقتًا طويلاً، يهتم المكون المساعد الإضافي للأمان بأمان موقعك، ويفحص باحثًا عن البرامج الضارة ويراقب موقعك على مدار الساعة طوال أيام الأسبوع للتحقق بانتظام مما يحدث على موقعك.

من أفضل الإضافات في هذا الغرض إضافة Wordfence Security. وإليك مقال 6 من أفضل إضافات إزالة البرامج الضارة من ووردبريس


4 – لا تستخدم قوالب الووردبريس المستنسخة nulled themes

تبدو قوالب الووردبريس المتميزة أكثر احترافية، ولديها خيارات أكثر قابلية للتخصيص من القوالب المستنسخة، بل وأكثر أماناً، ونعتبرها الخيار الأحسن حتى مع الدفع بالمقابل؛ بحيث يتم بناء وبرمجة تلك القوالب المميزة بواسطة مطورين ذوي مهارات عالية ويتم اختبارها لتمرير العديد من عمليات التحقق من الووردبريس.

لا توجد قيود على تخصيص المظهر الخاص بك، وستحصل على الدعم الكامل إذا حدث خطأ ما على موقعك. الأهم من ذلك كله أنك ستحصل على تحديثات منتظمة للقالب.

ولكن، هناك عدد قليل من المواقع التي توفر قوالب فارغة أو مهكرة. القوالب الفارغة أو المهكرة هي نسخة مخترقة من قوالب مميزة، وهي متاحة للتحميل عبر وسائل غير قانونية. كما أنها تشكل خطورة كبيرة على موقعك؛ فهي تحتوي على أكواد ضارة مخفية، والتي يمكن أن تدمر موقع الويب الخاص بك وقاعدة البيانات الخاصة بك أو تسجل وتسرق بيانات اعتماد المسؤول التابعة لك.

ينصح دائماً تجنب القوالب الفارغة والمستنسخة، وكذلك القوالب مجهولة المصدر، فهي توفر بضعة دولارات ولكن تكون لها نتائج غير مرغوب بها.

اقرأ أيضًا: هل استخدام قوالب ووردبريس المجانية آمن وكاف؟


5 – استخدم كلمة مرور جيدة وقوية (Strong Password)

تعد كلمات المرور جزءًا مهمًا جدًا من أمان موقع الويب وغالبًا ما يتم تجاهلها للأسف. إذا كنت تستخدم كلمة مرور عادية، مثل "Password، abc123، كلمة المرور"، فأنت بحاجة إلى تغيير كلمة المرور الخاصة بك على الفور واستخدام كلمات سر معقدة.

على الرغم من سهولة تذكر كلمة المرور هذه، إلا أنه من السهل جدًا تخمينها. يمكن للمستخدم المتقدم كسر كلمة المرور الخاصة بك بسهولة والدخول دون الكثير من المتاعب.


6 – تعطيل تحرير الملف (Disable File Editing)

عندما تقوم بإعداد موقع الووردبريس الخاص بك، توجد وظيفة محرر كود في لوحة المعلومات الخاصة بك والتي تتيح لك تحرير المظهر (القوالب) والإضافات. يمكن الوصول إليه بالذهاب إلى المظهر> المحرر (Appearance > Editor). وهناك طريقة أخرى يمكنك من خلالها العثور على محرر الإضافات وهي الانتقال إلى قائمة الإضافات > المحرر (Plugins>Editor).

بمجرد أن يصبح موقعك نشطًا، نوصيك بتعطيل هذه الميزة. إذا تمكن أي متسللين من الوصول إلى لوحة إدارة الووردبريس الخاصة بك، فيمكنهم إدخال رمز خفي وخبيث إما في ملفات القالب أو في ملفات أحد الإضافات. غالبًا ما يكون الرمز دقيقًا جدًا لدرجة أنك قد لا تلاحظ أي شيء غير صحيح حتى فوات الأوان.

لتعطيل القدرة على تحرير القوالب والإضافات، ما عليك سوى لصق الكود التالي في ملف wp-config.php

define ('DISALLOW_FILE_EDIT', true);

7 – تغيير عنوان تسجيل الدخول للووردبريس

افتراضيًا، لتسجيل الدخول إلى الووردبريس WordPress، يكون العنوان هو "yoursite.com/wp-admin"، من خلال تركه افتراضيًا، قد يتم استهدافك لهجوم القوة الغاشمة لاختراق تركيبة اسم المستخدم / كلمة المرور الخاصة بك.

إذا قبلت تسجيل المستخدمين في حسابات الاشتراك، فقد تحصل أيضًا على الكثير من عمليات تسجيل البريد العشوائي. لمنع حدوث ذلك، يمكنك تغيير عنوان الموقع (URL) لتسجيل دخول المسؤول أو إضافة سؤال أمان إلى صفحة التسجيل وتسجيل الدخول.

نصيحة للمحترفين:

يمكنك حماية صفحة تسجيل الدخول بشكل أكبر عن طريق إضافة مكون إضافي للمصادقة الثنائية إلى الووردبريس الخاص بك. عندما تحاول تسجيل الدخول، ستحتاج إلى تقديم مصادقة إضافية من أجل الوصول إلى موقعك - على سبيل المثال، يمكن أن تكون كلمة المرور والبريد الإلكتروني (أو النص). هذه ميزة أمان محسّنة لمنع المتسللين من الوصول إلى موقعك.

يمكنك أيضًا التحقق من عناوين (IP) التي بها أكثر محاولات تسجيل الدخول فشلًا، ثم يمكنك حظر عناوين (IP) هذه.


8 – الحد من محاولات تسجيل الدخول (Limit login attempts)

بشكل افتراضي، يتيح الووردبريس للمستخدمين محاولة تسجيل الدخول عدة مرات كما يريدون، إلا أن ذلك يفتح عليك بابا هجمات القوة الغاشمة.

من خلال تحديد عدد محاولات تسجيل الدخول، يمكن للمستخدمين المحاولة لعدد محدود من المرات حتى يتم حظرهم مؤقتًا، وذلك يحد من فرص المخترقين في محاولة عدد كبير من المرات للدخول (القوة الغاشمة) حيث يتم حظر المتسلل قبل أن يتمكن من إنهاء الهجوم.

يمكنك تمكين هذا بسهولة باستخدام أحد الإضافات التي تحد من محاولات تسجيل الدخول إلى الووردبريس مثل إضافة WP Limit Login Attempts، بعد تثبيت المكون الإضافي، يمكنك تغيير عدد المحاولات تسجيل الدخول عبر الإعدادات (Settings> Login Limit Attempts) تحديد تسجيل الدخول. إذا كنت ترغب في تمكين محاولات تسجيل الدخول بدون مكون إضافي، فيمكنك أيضًا القيام بذلك.


9 – قم بتحديث إصدار الووردبرس (WordPress Update) الخاص بك

يعد الحفاظ على تحديث الووردبريس الخاص بك ممارسة جيدة للحفاظ على موقع الويب الخاص بك آمنًا. مع كل تحديث، يقوم المطورون بإجراء بعض التغييرات، بما في ذلك في كثير من الأحيان تحديثات لميزات الأمان.

من خلال مواكبة أحدث إصدار، فإنك تساعد في حماية نفسك من أن تكون هدفًا للثغرات المحددة مسبقًا والاستغلال التي يمكن للقراصنة استخدامها للوصول إلى موقعك. ومن المهم أيضًا تحديث الإضافات والقوالب (plugins and themes) للأسباب نفسها.

بشكل افتراضي، يقوم الووردبريس تلقائيًا بتنزيل التحديثات الطفيفة. ومع ذلك، بالنسبة للتحديثات الرئيسية، ستحتاج إلى تحديثها مباشرة من لوحة تحكم مسؤول الووردبريس (WordPress admin dashboard).


10 – إخفاء ملفات (wp-config.php) وتعطيل التصفح (htaccess)

في حين أن هذه عملية متقدمة لتحسين أمان موقعك، إذا كنت جادًا بشأن أمانك، فمن الممارسات الجيدة إخفاء ملفات htaccess و wp-config.php لموقعك لمنع المتسللين من الوصول إليها.

نوصي بشدة بتنفيذ هذا الخيار بواسطة المطورين ذوي الخبرة، حيث إنه من الضروري أولاً أخذ نسخة احتياطية من موقعك ثم المتابعة بحذر. قد يؤدي أي خطأ إلى عدم إمكانية الوصول إلى موقعك.

لإخفاء الملفات، بعد النسخ الاحتياطي، هناك شيئان عليك القيام بهما:

أولاً، انتقل إلى ملف wp-config.php وأضف الكود التالي،

<Files wp-config.php>
order allow,deny
deny from all
</Files>

ثانياً، بطريقة مماثلة، ستضيف الكود التالي إلى ملف htaccess الخاص بك،

<Files .htaccess>
order allow,deny
deny from all
</Files>

على الرغم من أن العملية نفسها سهلة للغاية، فمن المهم التأكد من حصولك على النسخة الاحتياطية قبل البدء في حالة حدوث أي خطأ في العملية.


11 – موقع واحد لحاوية واحدة (One site for one container) 

قد تبدو استضافة العديد من مواقع الويب على خادم واحد أمرًا مثاليًا، خاصة إذا كانت لديك خطة استضافة ويب "غير محدودة". لسوء الحظ، هذه واحدة من أسوأ الممارسات الأمنية التي يمكنك استخدامها. تؤدي استضافة العديد من المواقع في نفس الموقع إلى إنشاء سطح هجوم كبير جدًا.

يجب أن تدرك أن التلوث عبر المواقع أمر شائع جدًا. يحدث ذلك عندما يتأثر أحد المواقع سلبًا بالمواقع المجاورة داخل نفس الخادم بسبب ضعف العزل على الخادم أو تكوين الحساب.


12 – مراقبة واختبار موقعك (Monitor and test your website)

تأكد من مراقبة وقت تشغيل موقعك واختبار أدائه. إذا لاحظت أن موقعك ينخفض بشكل متكرر أو يتم تحميله ببطء، فإنك تخاطر بفقدان المبيعات والإضرار بسمعة علامتك التجارية. يمكن أن يكون موقع الويب الذي يتم تحميله ببطء أيضًا مؤشرًا على موقع ويب تم اختراقه.

استخدم أدوات مراقبة وقت التشغيل وفحص الأداء في لوحة معلومات (ManageWP) لمعرفة مدى سرعة تحميل موقعك ومدى جودة وقت التشغيل.


13 – النسخ الاحتياطي (Backup) لموقع الويب الخاص بك

من أفضل الطرق للحفاظ على أمان موقعك هو الحصول على حل نسخ احتياطي جيد. يجب أن يكون لديك أكثر من واحد. كل منها ضروري لاستعادة موقع الويب الخاص بك بعد وقوع حادث أمني كبير.

هناك بعض الإجراءات الإضافية بالنسبة للشركات الكبيرة يجب العمل بها لضمان أمن المعلومات والحفاظ على استمرارية عمل الشركة وصيانة سمعتها ومن بعض هذه الإجراءات ما يلي.


14 – اطلب من المحترفين "مهاجمة" تطبيقك (“attack” your application)

ما من طريقة للتعرف على مخاطر أمان موقع الويب الخاص بك أفضل من العثور عليها بنفسك أو بمساعدة أحد المحترفين، هذه إحدى أفضل ممارسات أمان تطبيقات الويب للبقاء على اطلاع بكل ما يجري على موقعك. فمن خلال فهم التقنيات التي قد يستخدمها المهاجمون في تطبيق الويب الخاص بك، يمكنك حماية نقاط الدخول بشكل فعال.

إذا كنت تخطط للقيام بذلك بنفسك، فمن المهم التأكد من عدم كسر أي شيء بالمسح الآلي. أيضًا، يمكن أن تكون هناك مشكلات عندما يمكن لاستضافتك حظر عنوان IP الخاص بك عند مهاجمة موقعك. وبالطبع، يجب إجراء أي اختبار في بيئة معزولة.

يتضمن اختبار أمان تطبيق الويب المناسب معرفة المزيد حول ما يلي:

  • هجمات حقن (SQL injection attacks)  
  • عبر موقع البرمجة (Cross-site scripting)
  • إلغاء التسلسل غير الآمن (Insecure deserialization)
  • المصادقة معطلة (Broken authentication)
  • هجمات التزوير عبر المواقع (Cross-site request forgery attacks)
  • التعرض للبيانات الحساسة (Sensitive data exposure)
  • سيجد المتسللون في النهاية نقاط الضعف (vulnerabilities) هذه. تغلب عليهم.

15 – افحص موقعك بحثًا عن نقاط الضعف

قم بفحص موقع الويب الخاص بك بحثًا عن نقاط الضعف (Scan vulnerabilities). يجب إجراء فحوصات الأمان وعمليات الفحص بشكل منتظم للبقاء على اطلاع بأمان تطبيقات الويب. سيكون من الحكمة إجراء فحوصات أمنية على مواقع الويب الخاصة بك مرة واحدة على الأقل في الأسبوع.

يجب عليك أيضًا إجراء عمليات المسح بعد كل تغيير تقوم بإجرائه على التطبيق الخاص بك. تجدر الإشارة إلى أن الماسحات الضوئية الأمنية، حتى تلك الجيدة جدًا، لن تكون قادرة على اكتشاف كل شيء. الماسحات الضوئية هي إما إرشادية أو قائمة على الأنماط ويتم دائمًا تصميم البرامج الضارة لتكون غير مرئية من الماسحات الضوئية.

تجد بعض الماسحات الضوئية البرامج الضارة أفضل، والبعض الآخر يعاني من الإيجابيات الخاطئة، والكثير منها لا يعمل على الإطلاق. لا يزال يتعين عليك التعرف على الثغرات الأمنية ونقاط الضعف بنفسك.


16 – الاستثمار في خبراء الأمن (Investment in security experts)

هذا أمر حكيم للغاية وهو أيضًا أحد أفضل ممارسات أمان تطبيقات الويب. من الصعب جدًا البقاء على اطلاع بأمان تطبيقات الويب بمفردك. في حين أن جميع النصائح التي قدمناها حتى الآن مفيدة بالتأكيد، فقد تجد نفسك تائها في محاولة لمواكبة نقاط الضعف الجديدة.

يمكن لخبير الأمان أو شركة خدمات الأمان إجراء عمليات الفحص والتدقيق الأمني ​​ومراقبة تطبيق الويب الخاص بك بحثًا عن نقاط الضعف الجديدة والخطيرة في موقع الويب الخاص بك. فقط تأكد من إجراء بعض الأبحاث المكثفة قبل الاستثمار في أي شركة معينة أو متخصص مستقل.

يعد أمان الووردبريس (WordPress) أحد الأجزاء المهمة في موقع الويب. إذا لم تحافظ على أمان الووردبريس الخاص بك، فيمكن للقراصنة مهاجمة موقعك بسهولة. الحفاظ على أمان موقع الويب الخاص بك ليس بالأمر الصعب، فقط يتطلب إتباع بعض الحلول الموضحة أعلاه.

ARWP Banner
Network and Information Security engineer مهندس استشاري وكاتب مقالات في مجال شبكات الكمبيوتر وأمن المعلومات، ومقدم برامج تدريبية في مجال أمن المعلومات