كيفية حماية ووردبريس وسد الثغرات (2022)

Avatar for darsholgyDarsholgy

كيفية حماية ووردبريس وسد الثغرات (2022): موضوعنا اليوم عن أفضل طرق حماية الووردبريس, هام جدا لمستخدمي ووردبريس، نظراً لكثرة هواة اختراق المواقع ممن يبحثون عن نقاط الضعف في ووردبريس, لذلك يشكل موضوع اهمية كبرى, لاصخاب المواقع

حماية ووردبريس

أهمية حماية ووردبريس:

ووردبريس من أفضل منصات ادارة المحتوى ، ومن هنا تظهر أهمية حماية ووردبريس من أي اختراق ، أو يستغلون بعض الإضافات التي لا يقوم اصحابها بتحديثها ، لذلك ننوه لأهمية تحديث نسخة ووردبريس و الإضافات الخاصة بك لأحدث نسخة متوفرة .

حماية موقع أو مدونة الووردبريس التي تمتلكها ضمن مهامك انت ( صاحب الموقع )، حيث تُوفر منصة ووردبريس التحديثات الدورية لحماية السكربيت وتقوم بتحديثه باستمرار .

سوف نعرض لك بعض النصائح السريعة للعمل علي تأمين وحماية ووردبريس..

كيفية حماية ووردبريس وسد الثغرات (2022)
كيفية حماية ووردبريس وسد الثغرات (2022)

النسخ الاحتياطية

إن عدم وجود حل احتياطي مناسب لـ حماية ووردبريس هو أكبر خطأ يمكنك القيام به. عندما يمكن اختراق موقع كبير مثل Sony أو Dropbox ، سيكون من السهل نسبيًا اختراق مدونة WordPress الخاصة بك بواسطة مخترق.

لذلك أول شيء هو التأكد من أنك تأخذ نسخة احتياطية يومية من مدونتك.

يمكنك استخدام نظام النسخ الاحتياطي الذي توفره شركة الاستضافة أو استخدام نظام نسخ احتياطي تابع لجهة خارجية مثل VaultPress أو Updraftplus. يمكنك العثور على قائمة بالمكونات الإضافية للنسخ الاحتياطي في WordPress هنا.

إذا كانت شركة الاستضافة تقدم نسخًا احتياطية ، فتأكد من تخزين النسخة الاحتياطية على خادم مختلف.

أفضل الإضافات النسخ الاحتياطي:

UpdraftPlus Backup

JetPack Backup

ManageWP Backup

استخدم شركة استضافة موثوقة وآمنة

تثبيت WordPress الخاص بك هو مجرد برنامج مثبت على الخادم. أساس موقع الويب الآمن هو خادم يتمتع بحماية كافية تضمن حماية موقعك من المتسللين.

عادةً ما تحتوي استضافة WordPress الآمنة على:

  • جدار الحماية على مستوى الخادم للتخفيف من هجمات DDOS.
  • يستخدم أحدث الأجهزة ومركز بيانات عالي الجودة للأمان المادي
  • قم بتحديث نظام التشغيل بانتظام وقم بتطبيق أحدث تصحيحات الأمان
  • لديه أنظمة كشف التسلل بسبب الأنشطة الضارة أو انتهاكات السياسة

أعي أنه من الصعب معرفة شركة الاستضافة الموثوقة ولهذا السبب أنشأت هذه القائمة من شركات استضافة WordPress الآمنة:

  • SiteGround: استضافة حائزة على جوائز تستخدم نظام AI مضاد للبوت لمنع بعض الهجمات المعروفة.
  • Bluehost: أحد المضيفين الأعلى تقييمًا والذي يوفر أمانًا كبيرًا.
  • WPEngine: شركة استضافة WordPress مُدارة موصى بها لمواقع WordPress للأعمال. أنها توفر النسخ الاحتياطي والأمن على مستويات متعددة.

إذا كانت شركة الاستضافة الحالية الخاصة بك غير آمنة ولم تقدم أي دعم متعلق بالأمان ، فإن الانتقال إلى أي من الاستضافة المذكورة سيحدث فرقًا كبيرًا.

افضل 10 شركات استضافة مواقع فى العالم مجربة 2020

جدار حماية للووردبريس

هناك الكثير من الاضافات التي توفر لك جدار الحماية لووردبريس, قم بتركيب جدار حماية للحد من هجمات الاختراق او العمليات المشبوهة

أهم هذه الإضافات :

أهمية هذه الإضافات في عملية تحليل أي طلب لموقعك ، ومنع أي عملية اختراق أو عمليات القرصنة ربما تضر بموقعك ، لذلك نُوصيك باستخدام اى من هذه الاضافات وضبط الاعدادات الخاصة بها للحصول على افضل حماية لموقعك

Sucuri Security

Wordfence Security

iThemes Security

حماية لوحة تحكم ووردبريس

توفر لك منصة ووردبريس حماية لوحة التحكم الخاصة بك ، لكن هناك طرق اخرى لزيادة الحماية بتوفير طبقة حماية أخرى من لوحة السي بنل الخاصة بالاستضافة الخاصة بك.

انتقل للسي بنل الخاصة باستضافة موقعك ، ثم Password Protect Directories’ أو ‘Directory Privacy’ ستظهر قائمة من المجدات ، اختر منها /public_html/ وهو المجلد الخاص بملفات موقعك .

وقم بانشاء مستخدم وكلمة مرور ، هذه الطريقة ستوفر طبقة حماية لمجلد لوحة تحكم الووردبريس، لكن انتبه هذه الطريقة تحتاج لاضافة ملف في مسار الملفات على لوحة السي بنل لتحديد مسار لوحة تحكم ووردبريس فقط

نظام التحقق عبر خطوتين لووردبريس

نظام التحقق عبر خطوتين من أفضل طرق الحماية لووردبريس وهو متوفر في كثير من المواقع منها جوجل و فيسبوك وتويتر وغيرهم ، بذلك تضمن عدم الدخول على لوحة تحكم ووردبريس حتى ان امتلك احدهم كلمة المرور الصحيحة الخاصة بك .

نحن نُوصي بهذا الخيار بشدة لحماية ووردبريس ، استخدم هذه الإضافة Google Authenticator .

الحد من عدد محاولات الدخول

محاولات الاختراق لأي موقع تتم عبر محاولة الدخول للوحة التحكم وتجربة ادخال اسم المستخدم وكلمة المرور لأكثر من مرة ، وكافة الطلبات المتكررة للدخول تُعتبر طلبات مشبوهة ، لذلك حاول الحد من عدد طلبات محاولات الدخول بعدد معين وقليل طبعاً .

استخدم هذه الاضافة Login LockDown فهي من أقوى الاضافات لذلك .

تقييد الدخول من نفس الايبي

بالاضافة لما سبقنا التنويه له من الحد من عدد محاولات الدخول ، بامكانك تقييد الدخول للوحة التحكم من رقم آيبي واحد تملكه انت ، او عدة أرقام تابعة لك ، بهذا تضمن أنه لا يُمكن لأي جهاز آخر الدخول .

قم باضافة هذا الكود لملف .htaccess ، ولا تنسى تغيير xx لرقم الآيبي


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx

تعطيل تلميحات تسجيل الدخول

ووردبريس يأتي افتراضياً بتلميحات وتنبيهات بنوع الخطأ في حال فشل تسجيل الدخول ، فيتم تنبيهك بنوع الخطأ سواء اسم المستخدم غير موجود ، او خطأ في كلمة المرور ، او أن البريد الالكتروني غير مستخدم ، هذه التلميحات يُمكن استخدامها من قبل بعض المخترقين لمحاولة اختراق موقعك .

قم باضافة الكود التالي في ملف الفنكش الخاص بالقالب المستخدم لديك .


function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

استخدم كلمات مرور قوية

اذا كنت من مستخدمي ووردبريس متعدد المستخدمين كموقع اخباري او مجلة ، قم بالتأكيد على كافة المستخدمين باستخدام كلمة مرور قوية، بامكانك استخدام هذه الاضافة Force Strong Passwords .

تسجيل الخروج في حال عدم النشاط

هذه الميزة لا تتوفر في ووردبريس ، بحيث لا يُمكن تسجيل خروج العضو من اللوحة بشكل تلقائي في حالة الخمول او عم النشاط ، فربما يقوم العضو بتسجيل الدخول للوحة التحكم لووردبريس من أحد الأجهزة العامة وينسى اغلاق المتصفح، بذلك سيتم حفظ تسجيل الدخول دوماً ، لكن بامكانك منع هذا الامر بتحديد فترة من الوقت قبل تسجيل الخروج تلقائياً من الحساب في حال خمول العضو ، ونقصد بالخمول أي عدم النشاط .

بامكانك اضافتها بالاستعانة باضافة Idle User Logout لتحديد الوقت المطلوب قبل عملية تسجيل الخروج التلقائي .

تحديث الإضافات

كما ذكرت أعلاه ، يصدر WordPress تحديثًا لإصلاح الأخطاء وثغرات الأمان ، وينطبق الشيء نفسه على المكونات الإضافية.

في كثير من الأحيان ، يمكن أن يؤدي مكون إضافي ضعيف أو نص برمجي تابع لجهة خارجية إلى إنشاء ثغرة أمنية في موقع WordPress الخاص بك.

واحدة من هذه القضايا التي رأيناها في الماضي هي ضعف Timthumb. كان هذا بسبب وجود نص برمجي ، وأصبحت العديد من المكونات الإضافية التي كانت تستخدم هذا النص البرمجي عرضة للخطر أيضًا. من الصعب تجنب مثل هذا النوع من ثغرات ، ولكن من خلال تحديد عدد المكونات الإضافية والنصوص والموضوعات ، يمكنك جعل موقع WordPress أكثر أمانًا.

استخدم دائمًا المكونات الإضافية التي يتم تحديثها باستمرار ولديها دعم جيد. إذا كنت تستخدم مكونًا إضافيًا لم يتم تحديثه لبعض الوقت ، فابحث عن بديل له.

استخدم أحدث إصدار من WordPress

إبقاء برنامج ووردبريس الخاص بك محدثًا هو تلميح الأمان الأساسي لأي مدون ووردبريس. هذا شيء لا تريد أبدًا تفويته.

عندما يرسل ووردبريس تحديثًا ، فهذا يعني أنه تم إصلاح بعض الأخطاء ، وإضافة بعض الميزات ، والأهم من ذلك ، إضافة بعض ميزات الأمان والإصلاحات لحماية ووردبريس.

تحديثات وورد

عندما ترى الرسالة: ‘WordPress x.x.x متاح!’

قم بتحديثه.

في الوقت الحاضر ، من خلال التحديثات بنقرة واحدة ، من السهل جدًا ترقية مدونتك.

تأكد من أن المظهر والمكونات الإضافية متوافقة مع أحدث إصدار من ووردبريس. إذا تم طرح تحديث ولم يكن تحديثًا أمنيًا ، أقترح عليك الانتظار لمدة 5-6 أيام قبل أن يتوقف المستخدمون الآخرون عن الإبلاغ عن الأخطاء في أحدث إصدار.

استخدم أحدث إصدار PHP

PHP هو العمود الفقري لـ ووردبريس . وفقًا لصفحة إحصائيات PHP الرسمية ، فإنها توفر دعمًا أمنيًا لأي إصدار ثابت من PHP لمدة عامين فقط.

اعتمادًا على بيئة الاستضافة التي تستخدمها ، يمكنك تغيير إصدار PHP الخاص بك بسرعة. أوصيك بشدة بإنشاء بيئة مرحلية أولاً ثم اختبار أحدث إصدار PHP. هذا لضمان التوافق كما في بعض الأحيان ، قد يتسبب المكون الإضافي والمظهر القديمان في حدوث مشكلة.

يمكنك التحقق من إصدار PHP من ووردبريس من لوحة التحكم واطلب دعم الاستضافة الخاص بك لاختبار وتحديث إصدار PHP الخاص بك.

استخدام جدار حماية تطبيق الويب (WAF)

يوجد جدار حماية بين خادم الاستضافة وحركة مرور الشبكة. يتمثل دور جدار الحماية في تصفية التهديد الأكثر شيوعًا قبل أن يصل إلى الجهاز الذي يستضيفه موقع ووردبريس الخاص بك.

هناك ثلاثة أنواع شائعة من حلول جدار الحماية التي يمكنك استخدامها لحماية ووردبريس:

على مستوى الشبكة: عادةً ما يتم تخزين هذا على مستوى الشبكة أو على مستوى الجهاز ويعمل عند استضافة WordPress في مركز بيانات تملكه. هذا هو الخيار الأكثر تكلفة ويستخدم عادة من قبل موقع ويب على مستوى المؤسسة حيث يتحكمون في المساحة الفعلية حيث تم تثبيت الخادم.

على مستوى المضيف: يتم استضافة هذا على مستوى تطبيق الويب ، في حالتنا هو WordPress. لا يُنصح بهذا لأنه في النهاية ، يجب على مضيفك القيام بالرفع الثقيل لتصفية حركة المرور. هذا بالتأكيد أفضل من WAF المستند إلى الشبكة ولكن موارد الخادم المحلي التي تتطلبها ، فهي ليست الخيار الأفضل.

WAF المستند إلى السحابة: عادةً ما يتم تنفيذ WAF المستند إلى السحابة على مستوى DNS ويقوم بتصفية أكثر أنواع التهديدات شيوعًا قبل أن يصل إلى خادم WordPress الخاص بك. هذه هي أسهل طريقة للتنفيذ وأكثرها اقتصادية من حيث المعنى. الجانب السلبي الوحيد هو أنه قد يتطلب منك تغيير DNS.

بعض أنواع التهديدات الشائعة التي يتم اكتشافها وحمايتها بواسطة WAF هي:

هجمات البرمجة النصية عبر المواقع (XSS) ، وهجمات حقن SQL ، واختطاف الجلسة ، وتدفقات المخزن المؤقت. هذا دفاع مستوى بروتوكول 7 في نموذج OSI.

هناك خدمتان موصى بهما يمكنك استخدامهما لتنفيذ WAF:

  • Cloudflare: يبدأ بسعر 20 دولارًا / شهريًا
  • Sucuri: يبدأ بسعر 9.99 دولارًا شهريًا

هذه ميزة أمان لحماية ووردبريس موصى بها للغاية لـ WooCommerce ومواقع WordPress الأخرى المصممة للأعمال التجارية.

إخفاء نسخة ووردبريس

لنفترض أنه ليس لديك دقيقتان لتحديث ملفات ووردبريس الأساسية. يمكن لنسخة WP المدرجة أن تثير فكرة اختراق أحد المخترقين. إذا كنت تشغل إصدارًا قديمًا من WP ويعرف الجميع ذلك ، ثق بي ، فأنت محكوم عليه بالفشل.

يتخلص معظم مصممي السمات هذه الأيام من أجلك ، ولكن فقط للتأكد ،

انتقل إلى functions.php وأضف هذا السطر:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

حذف مستخدم المسؤول الافتراضي

هذه واحدة من أهم النصائح المهمة للأشخاص الذين يتطلعون إلى إنشاء مدونة WordPress آمنة. اسم المستخدم الافتراضي ‘admin’ عرضة لهجمات القوة الغاشمة لأن معظم الناس لا يغيرونه أبدًا.

عند تثبيت WordPress ، تأكد من استخدام اسم مستخدم مخصص ولا تستخدم ‘admin’.

يمكنك إنشاء مستخدم جديد له حقوق ‘المسؤول’ ، ومنح هذا المسؤول الجديد لقبًا يتم عرضه علنًا في حالة كتابة أحد المنشورات. الآن ، قم بتسجيل الخروج ثم قم بتسجيل الدخول مرة أخرى إلى حساب المشرف الذي تم إنشاؤه حديثًا وحذف مستخدم ‘المشرف’ القديم.

تأكد من أنك تنسب جميع أسماء المستخدمين والروابط إلى المستخدم الجديد الذي أنشأته.

إخفاء دليل الإضافات

لا يجب أن يعرض مجلد الإضافات / wp-content / plugins / قائمة المجلدات والملفات الموجودة بداخلها.

حاول زيارة مجلد الإضافات (استبدل domain.com باسم نطاقك):

domain.com/wp-content/plugins/

إذا رأيت قائمة المجلدات والملفات ، فأنت بحاجة لإخفائها.

لإخفاء هذه المجلدات ، تحتاج إلى إنشاء ملف htaccess جديد وإفلاته في دليل المكونات الإضافية.

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress

إذا كان لديك بالفعل ملف htaccess مكتوب جيدًا في الدليل الجذر ، فإن إضافة htaccess منفصلة إلى مجلد فردي لن يسبب أي ضرر.

إيقاف أخطاء قاعدة البيانات

في الإصدارات القديمة من WordPress ، إذا كانت هناك أخطاء في قاعدة بيانات MySQL ، فستظهر الخطأ الدقيق في المتصفح نفسه مما يعطي الهاكر معلومات قيمة عن قاعدة بياناتك.

لمنع ذلك ، تحتاج إلى تحديث WordPress الخاص بك إلى أحدث إصدار ، بحيث لا تظهر سوى رسالة خطأ عامة مثل ‘خطأ اتصال قاعدة البيانات’ بدلاً من إظهار الخطأ بالضبط

قم بتسجيل الدخول إلى لوحة تحكم WP الخاصة بك وقم بتحديث ملفات WordPress الأساسية.
وورد الأمن: لك

حسنًا ، آمل أن يساعدك هذا الدليل على فهم أهمية أمان WordPress وساعدك على تقويته.

مرة أخرى ، من الحكمة أخذ نسخ احتياطية تلقائية من مدونة WordPress الخاصة بك على فترات منتظمة للتأكد من أنه يمكنك دائمًا استعادة مدونتك إلى حالة صحية.

أخبرنا عن نصائح افضل طرق حماية ووردبريس الأخرى التي ترغب في تقديمها إلى المدونين الآخرين للحفاظ على أمان حماية ووردبريس الخاصة بهم. شارك نصائحك في التعليقات أدناه!

لا تنس وضع إشارة مرجعية على هذه المشاركة ونشرها

يسعدنا الرد على اى استفسار, ومساعدة جميع زوار منصة تصميمك, للحصول على استشارة كخدمة مجانية, او الاتصل بنا او من خلال نظام التعليقات, او التواصل معانا على الفيس بوك.