حماية موقع ووردبريس
يستخدم الكثير من مديري المواقع حول العالم برمجية ووردبريس لسهولة إدارة المحتوى من خلالها. ولكن السؤال هنا: كيف يمكنني حماية موقع ووردبريس؟ هنالك بعض الإجراءات التي عليك القيام بها لضمان حماية موقع ووردبريس. فيما يلي سأستعرض جوانب الحماية المختلفة لموقع ووردبريس
عملية حماية الموقع هي عملية دورية مستمرة.
بيئة استضافة الموقع
قبل النظر بكيفية حماية موقع ووردبريس ، عليك التأكّد من أمن بيئة الاستضافة لموقعك.
كيف يمكنني اختيار استضافة آمنة لموقعي؟
1- تجنب استخدام الاستضافات المجانية.
2- قم بشراء خدمة الاستضافة من شركة ذات سمعة جيدة ومعروفة مثل شركة غرين غيكز أو استضافة هوست غاتور.
3- في حالة كنت تستخدم سيرفر خاص بك لاستضافة مواقعك، فاحرص على اتخاذ الإجراءات اللازمة لحمايته.
إجراءات الحماية العامة
استخدام قالب وإضافات آمنة
تعتبر القوالب والإضافات السبب الرئيسي الأول لاختراق أي موقع ووردبريس.
من المهم استخدام قالب وإضافات آمنة:
1- لا تقم بتحميل واستخدام قوالب وإضافات ووردبريس المقرصنة، لإنها قد تحتوي على أكواد تعقب واختراق للموقع.
2- قم بتحميل واستخدام قوالب وإضافات ووردبريس من الشركات المطورة ذات السمعة الطيبة فقط.
3- قم باستخدام قوالب وإضافات ووردبريس المحدثة باستمرار. لابدّ من وجود ثغرات أمنية لأي قالب أو إضافة، فيجب أن يكون القالب أو الإضافة محدثة باستمرار لتفادي اختراق الموقع من خلال هذه الثغرات.
فكّر مليّاً قبل تثبيت وتفعيل أي إضافة جديدة: حيث عندما تقوم بتثبيت أي إضافة جديدة فإنك تعطي هذه الإضافة صلاحية الوصول لقاعدة بيانات وكل ملفات موقعك.
التحديث الدوري
قم بتحديث قالب ووردبريس المستخدم والإضافات بشكل دوري. وأيضاً قم بالترقية لإصدار الأحدث من ووردبريس دائماً.
حيث يحتوي الإصدار الأحدث من ووردبريس، والقالب والإضافات على نسخة آمنة أكثر بدون أي ثغرات أمنية قد كانت موجودة في الإصدارات الأقدم.
يتم إجراء التحديثات في ووردبريس من خلال النقر على تحديثات في القائمة الجانبية:
ثم قم بالتحديث كما يظهر في الصورة التالية:
تعيين اسم المستخدم
في حالة كان اسم المستخدم لموقعك هو admin، فعليك تغييره فوراً لحماية موقعك بشكل جزئي من هجمات القوة العمياء التي يتم من خلالها محاولة الدخول لموقعك بتجريب أسماء المستخدمين الشائعة (مثل admin) مع كلمات مرور عشوائية وشائعة.
لتغيير اسم المستخدم القديم لاسم مستخدم جديد. تابع الشرح التالي: كيفية تغيير اسم مستخدم موقع ووردبريس
تعيين كلمة مرور قوية
يجب اختيار كلمة مرور قوية صعبة التخمين. تتميز كلمة المرور القوية بــِ:
1- احتوائها على أرقام.
2- احتوائها على أحرف.
3- احتوائها على رموز.
4- تحتوي على محارف كثيرة (مثلاً 12-18)
لتغيير كلمة مرور مدير موقع ووردبريس:
1- انتقل إلى قسم الأعضاء.
2- انقر على تحرير أدنى اسم مدير الموقع في قائمة الأعضاء.
3- قم بإدخال كلمة المرور القوية في قسم إدارة الحساب، وثم قم بحفظ التغييرات.
شرح الإجراءات العامة لحماية ووردبريس بالفيديو
حماية مجلد wp-includes
يحتوي مجلد wp-includes على ملفات موقع ووردبريس الأساسية، وبالتالي لا يجب أي شخص أن يقوم بزيارة هذه الملفات عن طريق المتصفح.
لحماية هذا المجلد، قم بكتابة هذه التعليمات البرمجية في ملف htaccess. الموجود في جذر ملفات موقع ووردبريس. احرص على كتابة هذه التعليمات قبل BEGIN Wordpress# كما يظهر في الكود التالي:
# Start Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> # End Block the include-only files. # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress
حماية مجلد wp-includes بالفيديو
حماية ملف wp-config.php
يحتوي ملف wp-config.php على معلومات الدخول لقاعدة بيانات ووردبريس من اسم قاعدة البيانات، اسم المستخدم وكلمة المرور. من الخطر أن يطلع ويعرف أي شخص هذه المعلومات عن موقعك. بالتالي يجب رفض وصول أي شخص لهذا الملف.
قم بكتابة هذه التعليمات البرمجية في ملف htaccess. الموجود في جذر ملفات موقع ووردبريس لحماية ملف wp-config.php.
# Start Protect wp-config.php <files wp-config.php> order allow,deny deny from all </files> # End Protect wp-config.php
حماية ملف wp-config.php بالفيديو
منع سرد ملفات موقع ووردبريس أمام الجمهور العام
في حالة لم يقم مزود الاستضافة أو أنت بمنع سرد الملفات أمام الجمهور العام، فستظهر هذه الملفات بالشكل الصريح أمام كل الزائرين. وبالتأكيد أنك لا تريد سرد ملفاتك كما يظهر في الصورة التالية:
لمنع ظهور ملفات موقع ووردبريس أمام الجمهور العام، قم بكتابة هذه التعليمات البرمجية في نهاية ملف htaccess. الموجود في جذر ملفات موقع ووردبريس.
# Start Block Directory Listing Options -Indexes # End Block Directory Listing
منع سرد ملفات ووردبريس بالفيديو
منع تنفيذ ملفات PHP في مجلد uploads
يتم رفع ملفات الوسائط من صور وفيديوهات وغيرها إلى مجلد uploads. يقوم المخترقون بالتحايل ورفع ملفات PHP ضارّة إلى هذا المجلد، فمن الأفضل القيام بمنع تنفيذ ملفات PHP في مجلد uploads.
1- قم بإنشاء ملف htaccess. في مجلد uploads الموجود في مجلد wp-content.
2- قم بإدخال التعليمات البرمجية التالية في هذا الملف، ثم قم بحفظ التغييرات.
# Start Kill PHP Execution <Files ~ "\.ph(?:p[345]?|t|tml)$"> deny from all </Files> # End Kill PHP Execution
حماية wp-admin
من الجيد إضافة حماية إضافية لمجلد wp-admin وصفحة تسجيل الدخول. يتم ذلك من خلال قفل الدخول إلى هذه الصفحة بكلمة مرور.
يتم القيام بذلك من خلال استخدام خيار خصوصية الدليل بالسي بانل وقفل مسار wp-admin بكلمة مرور محددة.
إذا كنت لا تستخدم السي بانل، فيمكنك القيام بهذا الإجراء باتباع الخطوات التالية:
1- قم بإنشاء ملف فارغ في مسار معيّن مثل:
/home/user/.htpasswds/public_html/wp-admin/passwd/
حيث قم باستبدال user باسم مجلد المستخدم الموجود على الخادم الخاص بك. قم بتسمية هذا الملف .htpasswd.
2- قم بزيارة هذا الموقع. قم بإدخال اسم المستخدم في حقل username وكلمة المرور في حقل password. ثم انقر على create .htpasswd file.
3- قم بنسخ ما يظهر لك في الصندوق النصي، ومن ثم الصقه في الملف الذي تم إنشائه في الخطوة الأولى.
4- بعد ذلك قم بالانتقال إلى مجلد wp-admin، وقم بانشاء ملف .htaccess فيه.
5- حرر ملف .htaccess المنشىء في الخطوة السابقة، والصق فيه التعليمات البرمجية التالية:
AuthName "Protected" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user username
قم باستبدال protected بأي كلمة تريد، وقم بوضع اسم المستخدم المدخل في الخطوة الثانية بدلاً من username
تعطيل تحرير الملفات في لوحة الإدارة
إذا تسلل أحدهم إلى لوحة إدارة ووردبريس الخاصة بموقعك، فهو يستطيع التعديل على ملفات القوالب والإضافات من خلال المحرر.
لتفادي حدوث ذلك، قم بتعطيل تحرير الملفات في لوحة الإدارة من خلال إضافة التعليمات البرمجية التالية إلى نهاية ملف wp-config.php الموجود في جذر موقع ووردبريس.
## Disable Editing in Dashboard define('DISALLOW_FILE_EDIT', true);
تم تقديم هذا الشرح من قبل ويكي إدارة مواقع الويب التي تشارك معكم شروحات ودروس حول كيفية إدارة موقعكم الإلكتروني وحمايته.
هل لديك أي سؤال حول هذا الشرح؟! لا تتردد بسؤاله هنا اسأل ويكي إدارة المواقع.
في حالة أعجبك هذا العمل، يمكنك دعمنا من خلال طلبك لأحد خدماتنا خدمات مدونة تعلّم مع ناو
— نورس علي 2017/12/19 04:31