حماية موقع ووردبريس

يستخدم الكثير من مديري المواقع حول العالم برمجية ووردبريس لسهولة إدارة المحتوى من خلالها. ولكن السؤال هنا: كيف يمكنني حماية موقع ووردبريس؟ هنالك بعض الإجراءات التي عليك القيام بها لضمان حماية موقع ووردبريس. فيما يلي سأستعرض جوانب الحماية المختلفة لموقع ووردبريس

قبل النظر بكيفية حماية موقع ووردبريس ، عليك التأكّد من أمن بيئة الاستضافة لموقعك.

1- تجنب استخدام الاستضافات المجانية.
2- قم بشراء خدمة الاستضافة من شركة ذات سمعة جيدة ومعروفة مثل شركة غرين غيكز أو استضافة هوست غاتور.
3- في حالة كنت تستخدم سيرفر خاص بك لاستضافة مواقعك، فاحرص على اتخاذ الإجراءات اللازمة لحمايته.

من المهم استخدام قالب وإضافات آمنة:

1- لا تقم بتحميل واستخدام قوالب وإضافات ووردبريس المقرصنة، لإنها قد تحتوي على أكواد تعقب واختراق للموقع.
2- قم بتحميل واستخدام قوالب وإضافات ووردبريس من الشركات المطورة ذات السمعة الطيبة فقط.
3- قم باستخدام قوالب وإضافات ووردبريس المحدثة باستمرار. لابدّ من وجود ثغرات أمنية لأي قالب أو إضافة، فيجب أن يكون القالب أو الإضافة محدثة باستمرار لتفادي اختراق الموقع من خلال هذه الثغرات.

قم بتحديث قالب ووردبريس المستخدم والإضافات بشكل دوري. وأيضاً قم بالترقية لإصدار الأحدث من ووردبريس دائماً.
حيث يحتوي الإصدار الأحدث من ووردبريس، والقالب والإضافات على نسخة آمنة أكثر بدون أي ثغرات أمنية قد كانت موجودة في الإصدارات الأقدم.

يتم إجراء التحديثات في ووردبريس من خلال النقر على تحديثات في القائمة الجانبية:

ثم قم بالتحديث كما يظهر في الصورة التالية:

في حالة كان اسم المستخدم لموقعك هو admin، فعليك تغييره فوراً لحماية موقعك بشكل جزئي من هجمات القوة العمياء التي يتم من خلالها محاولة الدخول لموقعك بتجريب أسماء المستخدمين الشائعة (مثل admin) مع كلمات مرور عشوائية وشائعة.

لتغيير اسم المستخدم القديم لاسم مستخدم جديد. تابع الشرح التالي: كيفية تغيير اسم مستخدم موقع ووردبريس

يجب اختيار كلمة مرور قوية صعبة التخمين. تتميز كلمة المرور القوية بــِ:
1- احتوائها على أرقام.
2- احتوائها على أحرف.
3- احتوائها على رموز.
4- تحتوي على محارف كثيرة (مثلاً 12-18)

لتغيير كلمة مرور مدير موقع ووردبريس:

1- انتقل إلى قسم الأعضاء.
2- انقر على تحرير أدنى اسم مدير الموقع في قائمة الأعضاء.



3- قم بإدخال كلمة المرور القوية في قسم إدارة الحساب، وثم قم بحفظ التغييرات.

يحتوي مجلد wp-includes على ملفات موقع ووردبريس الأساسية، وبالتالي لا يجب أي شخص أن يقوم بزيارة هذه الملفات عن طريق المتصفح.
لحماية هذا المجلد، قم بكتابة هذه التعليمات البرمجية في ملف htaccess. الموجود في جذر ملفات موقع ووردبريس. احرص على كتابة هذه التعليمات قبل BEGIN Wordpress# كما يظهر في الكود التالي:

# Start Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
# End Block the include-only files.

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

يحتوي ملف wp-config.php على معلومات الدخول لقاعدة بيانات ووردبريس من اسم قاعدة البيانات، اسم المستخدم وكلمة المرور. من الخطر أن يطلع ويعرف أي شخص هذه المعلومات عن موقعك. بالتالي يجب رفض وصول أي شخص لهذا الملف.
قم بكتابة هذه التعليمات البرمجية في ملف htaccess. الموجود في جذر ملفات موقع ووردبريس لحماية ملف wp-config.php.

# Start Protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# End Protect wp-config.php

في حالة لم يقم مزود الاستضافة أو أنت بمنع سرد الملفات أمام الجمهور العام، فستظهر هذه الملفات بالشكل الصريح أمام كل الزائرين. وبالتأكيد أنك لا تريد سرد ملفاتك كما يظهر في الصورة التالية:



لمنع ظهور ملفات موقع ووردبريس أمام الجمهور العام، قم بكتابة هذه التعليمات البرمجية في نهاية ملف htaccess. الموجود في جذر ملفات موقع ووردبريس.

# Start Block Directory Listing
Options -Indexes
# End Block Directory Listing

يتم رفع ملفات الوسائط من صور وفيديوهات وغيرها إلى مجلد uploads. يقوم المخترقون بالتحايل ورفع ملفات PHP ضارّة إلى هذا المجلد، فمن الأفضل القيام بمنع تنفيذ ملفات PHP في مجلد uploads.

1- قم بإنشاء ملف htaccess. في مجلد uploads الموجود في مجلد wp-content.
2- قم بإدخال التعليمات البرمجية التالية في هذا الملف، ثم قم بحفظ التغييرات.

# Start Kill PHP Execution
<Files ~ "\.ph(?:p[345]?|t|tml)$">
   deny from all
</Files>
# End Kill PHP Execution

من الجيد إضافة حماية إضافية لمجلد wp-admin وصفحة تسجيل الدخول. يتم ذلك من خلال قفل الدخول إلى هذه الصفحة بكلمة مرور.

يتم القيام بذلك من خلال استخدام خيار خصوصية الدليل بالسي بانل وقفل مسار wp-admin بكلمة مرور محددة.

إذا كنت لا تستخدم السي بانل، فيمكنك القيام بهذا الإجراء باتباع الخطوات التالية:

1- قم بإنشاء ملف فارغ في مسار معيّن مثل:

/home/user/.htpasswds/public_html/wp-admin/passwd/

حيث قم باستبدال user باسم مجلد المستخدم الموجود على الخادم الخاص بك. قم بتسمية هذا الملف .htpasswd.
2- قم بزيارة هذا الموقع. قم بإدخال اسم المستخدم في حقل username وكلمة المرور في حقل password. ثم انقر على create .htpasswd file.
3- قم بنسخ ما يظهر لك في الصندوق النصي، ومن ثم الصقه في الملف الذي تم إنشائه في الخطوة الأولى.
4- بعد ذلك قم بالانتقال إلى مجلد wp-admin، وقم بانشاء ملف .htaccess فيه.
5- حرر ملف .htaccess المنشىء في الخطوة السابقة، والصق فيه التعليمات البرمجية التالية:

AuthName "Protected"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user username

قم باستبدال protected بأي كلمة تريد، وقم بوضع اسم المستخدم المدخل في الخطوة الثانية بدلاً من username

إذا تسلل أحدهم إلى لوحة إدارة ووردبريس الخاصة بموقعك، فهو يستطيع التعديل على ملفات القوالب والإضافات من خلال المحرر.

لتفادي حدوث ذلك، قم بتعطيل تحرير الملفات في لوحة الإدارة من خلال إضافة التعليمات البرمجية التالية إلى نهاية ملف wp-config.php الموجود في جذر موقع ووردبريس.

## Disable Editing in Dashboard
define('DISALLOW_FILE_EDIT', true);

— نورس علي 2017/12/19 04:31