لماذا تحتاج إلى تأمين موقع WordPress؟
إذا تم اختراق موقع الويب الخاص بك فإنك خاطرت بفقدان البيانات والأصول والمصداقية المهمة. علاوة على ذلك يمكن أن يعرض الحادث البيانات الشخصية لعملائك ومعلومات الفوترة للخطر.
يمكن أن تصل تكلفة الأضرار الناجمة عن جرائم الإنترنت إلى 10.5 تريليون دولار سنويًا بحلول عام 2025. وبالتأكيد لا تريد أن تصبح مستهدفًا من قبل القراصنةوالمساهمة في ذلك.
استنادًا إلى قاعدة بيانات WPScan Vulnerability Database هذه بعض الأنواع الأكثر شيوعًا من الثغرات الأمنية في WordPress:
- تزوير الطلبات عبر المواقع (CSRF) – يجبر المستخدم على تنفيذ إجراءات غير مرغوب فيها في تطبيق ويب موثوق به.
- هجوم رفض الخدمة الموزع (DDoS) – يعطل الخدمات عبر الإنترنت عن طريق إغراقها بالاتصالات غير المرغوب فيها مما يجعل الوصول إلى الموقع غير ممكن.
- تجاوز المصادقة – يمنح المتسللين الوصول إلى موارد موقع الويب الخاص بك دون التحقق من صحتها.
- حقن SQL (SQLi) – يفترض على النظام تنفيذ استعلامات SQL الضارة ومعالجة البيانات داخل قاعدة البيانات.
- البرمجة النصية عبر المواقع (XSS) – تضخ شفرة ضارة تحول الموقع إلى ناقل للبرامج الضارة.
- تضمين الملف المحلي (LFI) – يفرض على الموقع معالجة الملفات الضارة الموضوعة على الويب سيرفر.
قائمة التحقق من أمان WordPress ونصائح إضافية
لن يكون تنفيذ إجراء أو إجرائين من إجراءات الأمان في WordPress كافيًا لجعل موقع WordPress الخاص بك آمنًا تمامًا.
قم بتنزيل قائمة مراجعة أمان WordPress الخاصة بنا للمساعدة في تتبع تقدمك في تطبيق تدابير أمنية مهمة على موقع الويب الخاص بك. نشارك أيضًا بعض النصائح الأمنية في WordPress لمساعدتك على حماية موقعك بشكل أفضل.
أفضل الممارسات العامة لتحسين أمان الموقع
سنعرض في هذا القسم ستة نصائح أمان عامة في WordPress لا تتطلب معرفة تقنية متقدمة واستثمارات عالية المخاطر. حتى المبتدئ سيكون قادرًا على القيام بهذه المهام البسيطة، مثل تحديث برنامج WordPress وإزالة السمات غير المستخدمة.
قم بتحديث نسخة WordPress بانتظام
يُصدر WordPress تحديثات برامج منتظمة لتحسين الأداء والأمان. تعمل هذه التحديثات أيضًا على حماية موقعك من التهديدات الإلكترونية.
يعد تحديث إصدار WordPress الخاص بك أحد أبسط الطرق لتحسين أمان WordPress. ومع ذلك فإن ما يقرب من 50٪ من مواقع WordPress تعمل على إصدار أقدم من WordPress مما يجعلها أكثر عرضة للخطر.
للتحقق مما إذا كان لديك أحدث إصدار من WordPress افتح منطقة إدارة WordPress الخاصة بك وانتقل إلى Dashboard -> Updates في لوحة القائمة اليسرى. إذا تبين أن إصدارك غير محدث فإننا نوصي بتحديثه في أقرب وقت ممكن.
استخدم بيانات اعتماد تسجيل الدخول الآمنة لـ WP-Admin
أحد أكثر الأخطاء شيوعًا والتي يرتكبها المستخدمون هو استخدام أسماء مستخدمين سهلة التخمين مثل “admin” أو “administrator” أو “test”. هذا يعرض موقعك لخطر أكبر أمام هجمات القوة الغاشمة. علاوة على ذلك يستخدم المهاجمون أيضًا هذا النوع من الهجوم لاستهداف مواقع WordPress التي لا تحتوي على كلمات مرور قوية.
لذلك نوصي بجعل اسم المستخدم وكلمة المرور فريدًا وأكثر تعقيدًا.
بدلاً من ذلك اتبع هذه الخطوات لإنشاء حساب مسؤول WordPress جديد باسم مستخدم جديد:
من لوحة معلومات WordPress الخاصة بك انتقل إلى المستخدمون -> إضافة جديد.
إنشئ مستخدمًا جديدًا وعيِّن له دور المسؤول. أضف كلمة مرور واضغط على الزر “إضافة مستخدم جديد” بمجرد الانتهاء.
قم بدمج الأرقام والرموز والأحرف الكبيرة والصغيرة في كلمة مرورك. نوصي أيضًا باستخدام أكثر من 12 حرفًا حيث يصعب اختراق كلمات المرور الأطول.
بعد إنشاء اسم مستخدم مسؤول WordPress جديد ستحتاج إلى حذف اسم مستخدم المسؤول القديم. فيما يلي خطوات القيام بذلك:
قم بتسجيل الدخول باستخدام بيانات اعتماد مستخدم WordPress التي تم إنشاؤها حديثًا.
انتقل إلى المستخدمون -> كل المستخدمين.
حدد حساب المسؤول القديم الذي تريد حذفه. قم بتغيير القائمة المنسدلة “Bulk Actions” إلى “Delete” وانقر على “Apply”.
للحفاظ على أمان موقعك من المهم أيضًا التحقق من الشبكة قبل تسجيل الدخول. إذا كنت متصلاً عن غير قصد بـ Hotspot Honeypot وهي شبكة يديرها قراصنة فإنك تخاطر بتسريب بيانات اعتماد تسجيل الدخول إلى المشغلين.
حتى الشبكات العامة مثل شبكة WiFi في مكتبة مدرسة قد لا تكون آمنة كما تبدو. يمكن للقراصنة اعتراض اتصالك وسرقة البيانات غير المشفرة بما في ذلك بيانات اعتماد تسجيل الدخول.
لهذا السبب نوصي باستخدام VPN عند الاتصال بشبكة عامة. يوفر طبقة من التشفير للاتصال مما يجعل من الصعب اعتراض البيانات وحماية أنشطتك عبر الإنترنت.
قم بإعداد القائمة الآمنة وقائمة الحظر لصفحة المسؤول
يؤدي تمكين تأمين عنوان URL إلى حماية صفحة تسجيل الدخول الخاصة بك من عناوين IP غير المصرح بها وهجمات القوة الغاشمة. للقيام بذلك تحتاج إلى خدمة جدار حماية تطبيقات الويب (WAF) مثل Cloudflare أو Sucuri.
باستخدام Cloudflare من الممكن تكوين قاعدة تأمين المنطقة. تحدد عناوين URL التي تريد قفلها ونطاق IP المسموح به للوصول إلى عناوين URL هذه. لن يتمكن أي شخص خارج نطاق IP المحدد من الوصول إليها.
لدى Sucuri ميزة مشابهة تسمى القائمة السوداء لمسار URL. أولاً ضف عنوان URL لصفحة تسجيل الدخول إلى قائمة الحظر بحيث لا يمكن لأي شخص الوصول إليها. بعد ذلك قم بإدراج عناوين IP المصرح بها في القائمة الآمنة للوصول إلى صفحة تسجيل الدخول.
بدلاً من ذلك قم بتقييد الوصول إلى صفحة تسجيل الدخول الخاصة بك عن طريق تكوين ملف htaccess الخاص بالموقع. انتقل إلى الدليل الجذر للوصول إلى الملف.
إضافة هذه القاعدة إلى htaccess ستؤدي إلى تقييد الوصول إلى ملف wp-login.php الخاص بك إلى عنوان IP واحد فقط. وبالتالي لن يتمكن المهاجمون من الدخول إلى صفحة تسجيل الدخول الخاصة بك من مواقع أخرى.
Block IPs for login Apache 2.2 <files /wp-login.php> order deny,allow allow from MYIP allow from MYIP2 deny from all </files> # Block IPS for login Apache 2.4 <Files "wp-login.php"> Require all denied </Files>
استخدم ثيمات WordPress الموثوقة
ثيمات WordPress الفارغة هي إصدارات غير مصرح بها من الثيمات المميزة الأصلية. في معظم الحالات تُباع هذه الثيمات بسعر أقل لجذب المستخدمين. ومع ذلك عادة ما يكون لديهم العديد من المشاكل الأمنية.
غالبًا ما يكون مقدمو الثيمات الفارغة متسللين اخترقوا الثيمة الأصلية المميزة وأدخلوا كودًا ضارًا بما في ذلك روابط البرامج الضارة والبريد العشوائي. علاوة على ذلك يمكن أن تكون هذه الثيمات خلفية لمآثر أخرى يمكن أن تعرض موقع WordPress الخاص بك للخطر.
نظرًا إلى أنه يتم توزيع الثيمات الملغاة بشكل غير قانوني لا يتلقى مستخدموها أي دعم من المطورين. هذا يعني أنه إذا كان موقعك يحتوي على أية مشاكل فسيتعين عليك معرفة كيفية إصلاحها وتأمين موقع WordPress الخاص بك بنفسك.
لتجنب استهدافك من قبل المتسللين نوصيك باختيار ثيمة WordPress من المستودع الرسمي أو المطورين الموثوق بهم. بدلاً من ذلك تحقق من ثيمات الجهات الخارجية في أسواق الثيمات الرسمية مثل ThemeForest حيث تتوفر الآلاف من الثيمات المميزة.
قم بتثبيت شهادة SSL
طبقة المقابس الآمنة (SSL: Secure Sockets Layer) بروتوكول لنقل البيانات يقوم بتشفير البيانات المتبادلة بين الموقع وزواره مما يجعل من الصعب على المهاجمين سرقة المعلومات المهمة.
بالإضافة إلى ذلك تعمل شهادات SSL أيضًا على تعزيز تحسين محرك البحث (SEO) لموقع الويب مما يساعده على اكتساب المزيد من الزوار.
ستستخدم مواقع الويب التي تم تثبيت شهادة SSL عليها HTTPS بدلاً من HTTP، لذلك يسهل التعرف عليها.
تتضمن معظم شركات الاستضافة SSL مع خططه.
بمجرد تثبيت شهادة SSL على حساب الاستضافة الخاص بك قم بتنشيطها على موقع WordPress الخاص بك.
يمكن للإضافات مثل Really Simple SSL أو SSL Insecure Content Fixer التعامل مع الجوانب التقنية وتفعيل SSL ببضع نقرات. يمكن للإصدار المتميز من Really Simple SSL تمكين رؤوس HTTP Strict Transport Security التي تفرض استخدام HTTPS عند الوصول إلى الموقع.
بمجرد الانتهاء من ذلك قم بتغيير عنوان URL لموقعك من HTTP إلى HTTPS. للقيام بذلك انتقل إلى الإعدادات العامة وابحث عن حقل عنوان الموقع (URL) لتغيير عنوان URL الخاص به.
قم بإزالة الإضافات والثيمات غير المستخدمة في WordPress
قد يكون الاحتفاظ بالمكونات الإضافية والثيمات غير المستخدمة على الموقع ضارًا خاصةً إذا لم يتم تحديث المكونات الإضافية والثيمات. تزيد المكونات الإضافية والثيمات القديمة من مخاطر الهجمات الإلكترونية، إذ يمكن للقراصنة استخدامها للوصول إلى موقعك.
اتبع هذه الخطوات لحذف مكون WordPress الإضافي غير المستخدم:
انتقل إلى الإضافات -> الإضافات المثبتة.
سترى قائمة بجميع المكونات الإضافية المثبتة. انقر على “Delete” تحت اسم المكون الإضافي.
لاحظ أن زر الحذف لن يكون متاحًا إلا بعد إلغاء تنشيط المكون الإضافي.
في غضون ذلك إليك خطوات حذف ثيمة غير مستخدمة:
من لوحة تحكم مسؤول WordPress انتقل إلى المظهر -> الثيمات.
انقر على الموضوع الذي تريد حذفه.
ستظهر نافذة منبثقة تعرض تفاصيل الثيمة. انقر على الزر حذف في أسفل الزاوية اليمنى.
كيفية استخدام ملحقات أمان WordPress
الطريقة التالية لتحسين أمان WordPress هي استخدام مكونات WordPress الإضافية.
إنها طريقة ملائمة لحماية موقع الويب الخاص بك ولكن تذكر عدم تثبيت كل هذه المكونات الإضافية مرة واحدة دون مزيد من الدراسة لأن الكثير من المكونات الإضافية يمكن أن يبطئ موقعك.
أولاً حدد احتياجاتك لاختيار المكونات الإضافية الأكثر فاعلية لموقعك على الويب.
قم بتمكين المصادقة الثنائية لـ WP-Admin
قم بتنشيط المصادقة الثنائية (2FA) لتعزيز عملية تسجيل الدخول على موقع WordPress الخاص بك. تضيف طريقة المصادقة هذه طبقة ثانية من أمان WordPress إلى صفحة تسجيل الدخول حيث تتطلب منك إدخال رمز فريد لإكمال عملية تسجيل الدخول.
الرمز متاح لك فقط عبر رسالة نصية أو تطبيق مصادقة تابع لجهة خارجية.
لتطبيق FA2 على موقع WordPress الخاص بك قم بتثبيت مكون إضافي لأمان تسجيل الدخول مثل Wordfence Login Security. بالإضافة إلى ذلك ستحتاج إلى تثبيت تطبيق مصادقة تابع لجهة خارجية مثل Google Authenticator على هاتفك الجوال.
نسخ احتياطي ووردبريس بانتظام
يعد إنشاء نسخة احتياطية للموقع بشكل منتظم مهمة تخفيفية مهمة لأنها ستساعدك على استعادة موقعك بعد الحوادث مثل الهجمات الإلكترونية أو الأضرار المادية التي لحقت بمركز البيانات. يجب أن يتضمن ملف النسخ الاحتياطي ملفات تثبيت WordPress بالكامل مثل قاعدة البيانات وملفات WordPress الأساسية.
باستخدام WordPress يمكن إجراء النسخ الاحتياطية لموقع ما باستخدام مكون إضافي مثل All-in-One WP Migration. اتبع هذه الخطوات لإنشاء ملف نسخ احتياطية باستخدام هذا المكون الإضافي:
تثبيت وتفعيل البرنامج المساعد.
انتقل إلى قائمة All-in-One WP Migration في لوحة القائمة اليسرى.
حدد النسخ الاحتياطية.
انقر على إنشاء نسخة احتياطية أو Create Backup.
بمجرد إنشاء النسخة الاحتياطية ستظهر في قائمة على صفحة النسخ الاحتياطية.
قم بتنزيل وحفظ النسخة الاحتياطية في التخزين. للقيام بذلك انتقل إلى All-in-One WP Migration -> Export.
انقر على القائمة المنسدلة تصدير إلى وحدد ملف. سيؤدي هذا إلى إنشاء نسخة احتياطية لموقعك.
بمجرد اكتمال العملية انقر على رابط التنزيل واحفظ النسخة الاحتياطية لموقعك في التخزين الآمن المخصص ويفضل ألا يكون ذلك موقعًا على نفس السيرفر مثل موقع الويب الخاص بك. هذا لأن النسخ الاحتياطية المخزنة على الويب سيرفر الخاص بك يمكن الوصول إليها بشكل عام مما يجعلها عرضة للهجمات الإلكترونية.
للمزيد اقرأ: كيفية عمل نسخة WordPress الاحتياطية (WordPress Backup)
في حالة وقوع حادث يمكنك استعادة موقع WordPress الخاص بك باستخدام أداة استيراد All-in-One WP Migration.
الحد من محاولات تسجيل الدخول
يتيح WordPress لمستخدميه إجراء عدد غير محدود من محاولات تسجيل الدخول على الموقع. لسوء الحظ يمكن للمتسللين أن يشقوا طريقهم إلى منطقة إدارة WordPress الخاصة بك باستخدام مجموعات كلمات مرور مختلفة حتى يعثروا على المجموعة الصحيحة.
وبالتالي يجب عليك الحد من محاولات تسجيل الدخول لمنع مثل هذه الهجمات على الموقع الخاص بك. يساعد أيضًا الحد من المحاولات الفاشلة في مراقبة أي أنشطة مشبوهة على موقعك.
يحتاج معظم المستخدمين إلى محاولة واحدة فقط أو بضع محاولات فاشل، لذلك يجب أن تشك في أي عناوين IP مشكوك فيها تصل إلى حد المحاولة.
تتمثل إحدى طرق الحد من محاولات تسجيل الدخول من أجل زيادة أمان WordPress في استخدام مكون إضافي. هناك العديد من الخيارات الرائعة المتاحة مثل:
- إعادة تحميل محاولات تسجيل الدخول المحدودة – لتكوين عدد المحاولات الفاشلة لعناوين IP محددة وإضافة المستخدمين إلى قائمة الأمان أو حظرهم تمامًا وإبلاغ مستخدمي موقع الويب بوقت الإغلاق المتبقي.
- Loginizer – يقدم ميزات أمان تسجيل الدخول مثل 2FA و reCAPTCHA وأسئلة اختبار تسجيل الدخول.
- محاولات الحد بواسطة BestWebSoft – يقوم تلقائيًا بحظر عناوين IP التي تصل إلى حد محاولة تسجيل الدخول وإضافتها إلى قائمة الرفض.
تتمثل إحدى مخاطر تنفيذ إجراء أمان WordPress هذا في حظر مستخدم شرعي من مسؤول WordPress. ومع ذلك لا داعي للقلق بشأن ذلك، إذ توجد العديد من الطرق لاستعادة حسابات WordPress المغلقة.
قم بتغيير عنوان URL لصفحة تسجيل الدخول إلى WordPress
لاتخاذ خطوة إضافية لحماية موقعك على الويب من هجمات القوة الغاشمة ضع في اعتبارك تغيير عنوان URL لصفحة تسجيل الدخول.
جميع مواقع WordPress لها نفس عنوان URL الافتراضي لتسجيل الدخول – yourdomain.com/wp-admin. يؤدي استخدام عنوان URL الافتراضي لتسجيل الدخول إلى تسهيل استهداف المتسللين لصفحة تسجيل الدخول الخاصة بك.
تعمل المكونات الإضافية مثل WPS Hide Login و Change wp-admin تسجيل الدخول إلى تمكين إعدادات عنوان URL المخصصة لتسجيل الدخول.
تسجيل خروج المستخدمين تلقائيًا
ينسى العديد من المستخدمين تسجيل الخروج من الموقع وترك جلساتهم قيد التشغيل. ومن ثم السماح لشخص آخر سيستخدم نفس الجهاز بالوصول إلى حسابات المستخدمين الخاصة به ومن المحتمل أن يستغل البيانات السرية. ينطبق هذا بشكل خاص على المستخدمين الذين يستخدمون أجهزة الكمبيوتر العامة في مقاهي الإنترنت أو المكتبات العامة.
لذلك من الضروري تكوين موقع WordPress الخاص بك لتسجيل خروج المستخدمين غير النشطين تلقائيًا. تستخدم معظم المواقع المصرفية هذه التقنية لمنع الزوار غير المسرح لهم من الوصول إلى مواقعهم مما يضمن أن بيانات عملائهم آمنة.
يعد استخدام مكون إضافي للأمان في WordPress مثل Inactive Logout أحد أسهل الطرق لتسجيل الخروج من حسابات المستخدمين الخاملة تلقائيًا. بصرف النظر عن إنهاء المستخدمين العاطلين يمكن لهذا المكون الإضافي أيضًا إرسال رسالة مخصصة لتنبيه المستخدمين العاطلين عن العمل بأن جلسة موقع الويب الخاصة بهم ستنتهي قريبًا.
مراقبة نشاط المستخدم
حدد أي إجراءات غير مرغوب فيها أو ضارة تعرض موقع الويب الخاص بك للخطر من خلال تتبع الأنشطة في منطقة الإدارة الخاصة بك.
نوصي بهذه الطريقة لأولئك الذين لديهم عدة مستخدمين أو مؤلفين يصلون إلى موقع WordPress الخاص بهم. وذلك لأن المستخدمين قد يغيرون الإعدادات التي لا ينبغي عليهم تغييرها مثل تغيير الثيمات أو تكوين المكونات الإضافية.
من خلال مراقبة أنشطتهم ستعرف من المسؤول عن تلك التغييرات غير المرغوب فيها وما إذا كان شخص غير مسرح له قد انتهك موقع WordPress الخاص بك.
أسهل طريقة لتتبع نشاط المستخدم هي استخدام مكون WordPress الإضافي مثل:
- WP Activity Log – يراقب التغييرات في مناطق متعددة من مواقع الويب بما في ذلك المنشورات والصفحات والموضوعات والمكونات الإضافية. يقوم أيضًا بتسجيل الملفات المضافة حديثًا والملفات المحذوفة والتعديلات على أي ملف.
- سجل النشاط – يراقب الأنشطة المختلفة على لوحة إدارة WordPress ويتيح لك تعيين قواعد لإشعارات البريد الإلكتروني.
- Simple History- بالإضافة إلى تسجيل سجل النشاط على مسؤول WordPress فهو يدعم العديد من المكونات الإضافية لجهات خارجية مثل Jetpack و WP Crontrol و Beaver Builder ويسجل كل الأنشطة المتعلقة بها.
تحقق من وجود برامج ضارة
يسجل معهد AV-TEST أكثر من 450.000 برنامج ضار جديد وتطبيقات غير مرغوب فيها (PUA) كل يوم. حتى أن بعض البرامج الضارة لها طبيعة متعددة الأشكال مما يعني أنها تستطيع تعديل نفسها لتجنب الكشف الأمني.
وبالتالي من الضروري فحص موقعك بانتظام لأن المهاجمين يطورون دائمًا أنواعًا جديدة من التهديدات.
لحسن الحظ يمكن للعديد من المكونات الإضافية الرائعة للماسح الضوئي في WordPress فحص البرامج الضارة وتحسين أمان WordPress.
للمزيد اقرا: أمن الموقع| الفوائد -الأدوات -الإجراءات
This article is useful for me
1+ 2 People like this post
