كيفية جعل موقع WordPress آمنًا

يعد إطلاق موقع WordPress(WordPress) الخاص بك في هذه الأيام أمرًا سهلاً للغاية. لسوء الحظ ، لن يستغرق المتسللون وقتًا طويلاً لبدء استهداف موقعك.

أفضل طريقة لجعل موقع WordPress آمنًا هي فهم كل نقطة ضعف ناتجة عن تشغيل موقع WordPress . ثم قم بتثبيت الأمان المناسب لمنع المتسللين في كل نقطة من هذه النقاط.

ستتعلم في هذه المقالة كيفية تأمين نطاقك بشكل أفضل وتسجيل الدخول إلى WordPress والأدوات والإضافات المتاحة لتأمين موقع WordPress الخاص بك .

إنشاء مجال خاص

من السهل جدًا هذه الأيام العثور على مجال متاح(find an available domain) وشرائه بسعر رخيص جدًا. لا يقوم معظم الأشخاص مطلقًا بشراء أي وظائف إضافية للمجال لمجالاتهم. ومع ذلك ، هناك وظيفة إضافية يجب أن تفكر فيها دائمًا وهي حماية الخصوصية(Privacy Protection) .

هناك ثلاثة مستويات أساسية من حماية الخصوصية مع GoDaddy ، ولكنها تتطابق أيضًا مع عروض معظم موفري النطاقات.

  • أساسي(Basic) : إخفاء اسمك ومعلومات الاتصال من دليل WHOIS . هذا متاح فقط إذا سمحت لك حكومتك بإخفاء معلومات الاتصال بالمجال.
  • كامل(Full) : استبدل معلوماتك الخاصة بعنوان بريد إلكتروني بديل ومعلومات اتصال لإخفاء هويتك الفعلية.
  • Ultimate : أمان إضافي يحظر فحص المجال الضار ، ويتضمن مراقبة أمان موقع الويب لموقعك الفعلي.

عادةً ما تتطلب ترقية المجال الخاص بك إلى أحد مستويات الأمان هذه اختيار الترقية من قائمة منسدلة في صفحة قائمة النطاق الخاصة بك.

تعتبر حماية النطاق الأساسية(Basic) رخيصة إلى حد ما (عادةً حوالي 9.99 دولارًا في السنة) ، والمستويات الأعلى من الأمان ليست باهظة الثمن.

هذه طريقة ممتازة لمنع مرسلي البريد العشوائي من حذف معلومات الاتصال الخاصة بك من قاعدة بيانات WHOIS ، أو غيرهم ممن لديهم نوايا خبيثة ويريدون الوصول إلى معلومات الاتصال الخاصة بك.

إخفاء(Hide) ملفات wp-config.php و. htaccess

عند تثبيت WordPress(install WordPress) لأول مرة ، ستحتاج إلى تضمين المعرف الإداري وكلمة المرور لقاعدة بيانات WordPress SQL في ملف wp-config.php. 

يتم تشفير هذه البيانات بعد التثبيت ، ولكنك تريد أيضًا منع المتسللين من تحرير هذا الملف وكسر موقع الويب الخاص بك. للقيام بذلك ، ابحث عن ملف .htaccess وقم بتحريره في المجلد الجذر لموقعك وأضف الكود التالي في أسفل الملف.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

لمنع التغييرات على .htaccess نفسه ، أضف ما يلي إلى أسفل الملف أيضًا.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

احفظ الملف واخرج من محرر الملف.

يمكنك أيضًا التفكير في النقر بزر الماوس الأيمن فوق كل ملف وتغيير الأذونات لإزالة حق الوصول للكتابة(Write) بالكامل للجميع.

أثناء القيام بذلك على ملف wp-config.php لا ينبغي أن يسبب أي مشاكل ، فإن القيام بذلك على htaccess قد يسبب مشاكل. خاصة إذا كنت تقوم بتشغيل أي مكونات إضافية للأمان في WordPress والتي قد تحتاج إلى تعديل ملف htaccess نيابة عنك.

إذا تلقيت أي أخطاء من WordPress ، فيمكنك دائمًا تحديث الأذونات للسماح بالوصول للكتابة(Write) على ملف htaccess مرة أخرى.

قم بتغيير عنوان URL الخاص بتسجيل الدخول إلى WordPress

نظرًا لأن صفحة تسجيل الدخول الافتراضية لكل موقع WordPress هي yourdomain / wp-admin.php ، سيستخدم المتسللون عنوان URL هذا لمحاولة اختراق موقعك.

سيفعلون ذلك من خلال ما يُعرف بهجمات "القوة الغاشمة" حيث يرسلون أشكالًا مختلفة من أسماء المستخدمين وكلمات المرور النموذجية التي يستخدمها العديد من الأشخاص بشكل شائع. يأمل المتسللون أن يحالفهم الحظ ويحصلوا على التركيبة الصحيحة.

يمكنك إيقاف هذه الهجمات تمامًا عن طريق تغيير عنوان URL لتسجيل الدخول إلى WordPress(WordPress login URL) إلى شيء غير قياسي.

هناك الكثير من مكونات WordPress الإضافية لمساعدتك على القيام بذلك. أحد أكثرها شيوعًا هو WPS Hide Login .

يضيف هذا المكون الإضافي قسمًا إلى علامة التبويب " عام(General) " ضمن " الإعدادات(Settings) " في WordPress.

هناك ، يمكنك كتابة أي عنوان URL(URL) لتسجيل الدخول تريده وتحديد حفظ التغييرات(Save Changes) لتنشيطه. في المرة القادمة التي تريد فيها تسجيل الدخول إلى موقع WordPress الخاص بك ، استخدم عنوان URL(URL) الجديد هذا .

إذا حاول أي شخص الوصول إلى عنوان URL(URL) القديم لـ wp-admin ، فسيتم إعادة توجيهه إلى صفحة 404 الخاصة بموقعك.

ملاحظة(Note) : إذا كنت تستخدم مكونًا إضافيًا لذاكرة التخزين المؤقت ، فتأكد من إضافة عنوان URL(URL) الجديد لتسجيل الدخول إلى قائمة المواقع التي لا يتم(not) تخزينها مؤقتًا. ثم تأكد من مسح ذاكرة التخزين المؤقت قبل تسجيل الدخول مرة أخرى إلى موقع WordPress الخاص بك .

قم بتثبيت البرنامج الإضافي لأمان WordPress

هناك الكثير من المكونات الإضافية للأمان في WordPress(WordPress security plugins) للاختيار من بينها. من بينها جميعًا ، يعد Wordfence هو الأكثر تنزيلًا ، وذلك لسبب وجيه.

يتضمن الإصدار المجاني من Wordfence محرك فحص قويًا يبحث عن التهديدات الخفية ، والشفرات الضارة في المكونات الإضافية(malicious code in your plugins) أو على موقعك ، وتهديدات حقن MySQL ، والمزيد. كما يتضمن جدار حماية لمنع التهديدات النشطة مثل هجمات  DDOS .

سيسمح لك أيضًا بإيقاف هجمات القوة الغاشمة عن طريق الحد من محاولات تسجيل الدخول وحظر المستخدمين الذين يقومون بالعديد من محاولات تسجيل الدخول غير الصحيحة.

هناك عدد غير قليل من الإعدادات المتاحة في الإصدار المجاني. أكثر من كافٍ لحماية المواقع الصغيرة إلى المتوسطة من معظم الهجمات.

هناك أيضًا صفحة لوحة معلومات مفيدة يمكنك مراجعتها لمراقبة التهديدات والهجمات الأخيرة التي تم حظرها.

استخدم WordPress Password Generator و 2FA

آخر شيء تريده هو أن يخمن المتسللون كلمة مرورك بسهولة. لسوء الحظ ، يستخدم الكثير من الأشخاص كلمات مرور بسيطة جدًا يسهل تخمينها. تتضمن بعض الأمثلة استخدام اسم موقع الويب أو اسم المستخدم كجزء من كلمة المرور ، أو عدم استخدام أي أحرف خاصة.

إذا قمت بالترقية إلى أحدث إصدار من WordPress ، فلديك حق الوصول إلى أدوات أمان كلمة مرور قوية لتأمين موقع WordPress الخاص بك . 

تتمثل الخطوة الأولى لتحسين أمان كلمة المرور في الانتقال إلى كل مستخدم لموقعك ، والتمرير لأسفل إلى قسم إدارة الحساب(Account Management) ، وتحديد زر إنشاء كلمة المرور .(Generate Password)

سيؤدي ذلك إلى إنشاء كلمة مرور طويلة وآمنة جدًا تتضمن أحرفًا وأرقامًا وأحرفًا خاصة. احفظ كلمة المرور هذه في مكان آمن ، ويفضل أن يكون ذلك في مستند على محرك أقراص خارجي يمكنك فصله من جهاز الكمبيوتر الخاص بك أثناء اتصالك بالإنترنت.

حدد تسجيل الخروج في كل مكان آخر(Log Out Everywhere Else) للتأكد من إغلاق جميع الجلسات النشطة.

أخيرًا ، إذا قمت بتثبيت مكون أمان Wordfence الإضافي ، فسترى زر تنشيط 2FA(Activate 2FA) . حدد هذا لتمكين المصادقة ذات العاملين لعمليات تسجيل دخول المستخدم.

إذا كنت لا تستخدم Wordfence ، فستحتاج إلى تثبيت أي من مكونات 2FA الشائعة.

اعتبارات أمنية مهمة(Important Security Considerations) أخرى

هناك بعض الأشياء الأخرى التي يمكنك القيام بها لتأمين موقع WordPress الخاص بك بشكل كامل .

يجب تحديث كل من إضافات WordPress(WordPress plugins) وإصدار WordPress نفسه في جميع الأوقات. يحاول المتسللون غالبًا استغلال الثغرات الأمنية في الإصدارات القديمة من التعليمات البرمجية على موقعك. إذا لم تقم بتحديث كلاهما ، فأنت بذلك تترك موقعك في خطر.

1. حدد الإضافات والإضافات (Plugins)المثبتة(Installed Plugins) بانتظام في لوحة إدارة WordPress . راجع(Review) جميع المكونات الإضافية لمعرفة الحالة التي تشير إلى توفر إصدار جديد.

عندما ترى واحدة قديمة ، حدد التحديث الآن(update now) . يمكنك أيضًا التفكير في تحديد تمكين التحديثات التلقائية للمكونات الإضافية الخاصة بك. 

ومع ذلك ، يحذر بعض الأشخاص من القيام بذلك نظرًا لأن تحديثات المكون الإضافي قد تؤدي في بعض الأحيان إلى تعطيل موقعك أو مظهرك. لذلك من الجيد دائمًا اختبار تحديثات المكون الإضافي على موقع اختبار WordPress محلي(local WordPress test site) قبل تمكينها على موقعك المباشر.

2. عند تسجيل الدخول إلى لوحة معلومات WordPress الخاصة بك ، سترى إشعارًا بأن WordPress قديم إذا كنت تستخدم إصدارًا أقدم.

مرة أخرى ، قم بعمل نسخة احتياطية من الموقع وتحميله إلى موقع اختبار محلي على جهاز الكمبيوتر الخاص بك لاختبار أن تحديث WordPress لا يكسر موقعك قبل تحديثه على موقع الويب المباشر الخاص بك.

3. استفد من ميزات الأمان المجانية لمضيف الويب. يقدم معظم مضيفي الويب مجموعة متنوعة من خدمات الأمان المجانية للمواقع التي تستضيفها هناك. يفعلون ذلك لأنه لا يحمي موقعك فحسب ، بل يحافظ على أمان الخادم بأكمله. هذا مهم بشكل خاص عندما تكون على حساب استضافة مشترك حيث يكون لدى العملاء الآخرين مواقع على نفس الخادم.

غالبًا ما يتضمن ذلك تثبيتات أمان SSL مجانية(free SSL security) لموقعك ، ونسخ احتياطية مجانية(free backups) ، والقدرة على حظر عناوين IP الضارة ، وحتى أداة فحص مجانية للموقع تقوم بفحص موقعك بانتظام بحثًا عن أي رمز ضار أو نقاط ضعف.

لا يعد تشغيل موقع ويب أبدًا بسيطًا مثل تثبيت WordPress ومجرد نشر المحتوى. من المهم أن تجعل موقع WordPress الخاص بك آمنًا قدر الإمكان. يمكن أن تساعدك جميع النصائح المذكورة أعلاه على القيام بذلك دون بذل الكثير من الجهد.



About the author

أنا خبير في الكمبيوتر وأساعد الأشخاص في استخدام أجهزة الكمبيوتر الخاصة بهم منذ عام 2009. تشمل مهاراتي أجهزة iPhone والبرامج والأدوات الذكية والمزيد. كما أنني أعمل كمدرس على مدى السنوات الأربع الماضية. في ذلك الوقت ، تعلمت كيفية مساعدة الأشخاص على تعلم برامج جديدة وكيفية استخدام أجهزتهم بطريقة احترافية. أستمتع بإعطاء النصائح حول كيفية تحسين مهاراتي حتى ينجح الجميع في العمل أو المدرسة.



Related posts