كيفية تأمين مدونة ووردبريس الخاصة بك

يعد تأمين مدونة WordPress الخاصة بك أمرًا أساسيًا يجب عليك القيام به بعد إعداده على الخادم الخاص بك. لا ينبغي أن يكون هناك أي سبب لترك WordPress الخاص بك مفتوحًا على مصراعيه أمام المتسللين للتسلل وسرقة معلوماتك أو تدمير بياناتك. اقض بضع ساعات في تأمين WordPress، وستوفر ساعات لا حصر لها في التعامل مع الهجمات المستمرة. يوضح هذا الدليل طرقًا متعددة لتأمين WordPress للحفاظ على بياناتك ومعلوماتك آمنة.

من المفيد أيضًا: يمكنك الحصول على شهادة SSL مجانية لموقع الويب الخاص بك على WordPress لحماية زوار موقعك.

1. استخدم مكونًا إضافيًا للأمان متعدد الإمكانات

لتبسيط الأمور، ابدأ باستخدام مكون أمان WordPress الإضافي الذي يتعامل مع مهام متعددة في مكان واحد. أحد أفضل الخيارات هو All-In-One Security (AIOS). مع تصنيف 5 نجوم مثير للإعجاب عبر أكثر من مليون عملية تثبيت، فهو يستحق الإضافة إلى موقعك. بالإضافة إلى ذلك، فإن العديد من الميزات مجانية تمامًا.

يقوم البرنامج المساعد بما يلي:

• يوقف هجمات القوة الغاشمة
• تمكين المصادقة الثنائية
• يخفي صفحة تسجيل الدخول الخاصة بك من الروبوتات
• يفرض تسجيل الدخول على المستخدمين الذين يحبون البقاء مسجلين الدخول طوال الوقت
• يساعد على تحسين قوة كلمة المرور
• تحسين WordPress Salts (جزء من عملية التجزئة لتشفير كلمات المرور) عن طريق إضافة 64 حرفًا جديدًا، والتي تتغير أسبوعيًا
• يضيف حماية جدار الحماية
• يتضمن الحماية من البرامج الضارة (المميزة فقط)
• يقلل من التعليقات غير المرغوب فيها

وهذا مجرد جزء صغير مما تم تضمينه. قد يستغرق إعداد كل شيء بعض الوقت، لكن إدارة مكون إضافي واحد أفضل من إدارة عدة مكونات إضافية.

2. أوقف هجمات القوة الغاشمة

يمكن للمتسللين بسهولة اختراق كلمة مرور تسجيل الدخول وبيانات الاعتماد الخاصة بك باستخدام هجمات القوة الغاشمة. ولمنع حدوث ذلك، قم بتثبيت البرنامج الإضافي Login Lockdown. يسجل هذا البرنامج الإضافي عنوان IP والطابع الزمني لكل محاولة فاشلة لتسجيل الدخول إلى WordPress. بمجرد اكتشاف عدد معين من المحاولات الفاشلة، سيتم تعطيل وظيفة تسجيل الدخول لجميع الطلبات من هذا النطاق.

كما أنه يضيف ميزتين مفيدتين أخريين: المصادقة الثنائية وCAPTCHA. هذه أيضًا تقلل بشكل كبير من هجمات القوة الغاشمة.

نصيحة: يمكنك أيضًا تثبيت المكونات الإضافية للإشعارات لموقع WordPress الخاص بك.

3. استخدم كلمة مرور قوية

تأكد من استخدام كلمة مرور قوية يصعب على الآخرين تخمينها. استخدم مجموعة من الأرقام والأحرف الخاصة والأحرف الكبيرة/الصغيرة لتكوين كلمة المرور الخاصة بك. يمكنك أيضًا استخدام مدقق كلمة المرور على WordPress 2.5 والإصدارات الأحدث للتحقق من قوة كلمة المرور الخاصة بك.

يعد استخدام مدير كلمات المرور لإنشاء كلمة مرور عشوائية وآمنة تمامًا خيارًا آخر. حتى إذا لم تقم بتخزين كلمات المرور الخاصة بك، فلا تزال هذه أدوات رائعة لإنشاء كلمات مرور فريدة لموقعك.

4. قم بحماية مجلد WP-Admin الخاص بك

يحتوي مجلد “wp-admin” الخاص بك على جميع المعلومات المهمة حول موقعك وهو آخر مكان تريد منح حق الوصول إليه للآخرين. أسهل طريقة لحمايتها هي إضافة كلمة مرور إضافية. حتى إذا دخل أحد المتسللين إلى موقعك باستخدام بيانات اعتماد المستخدم، فلا يزال يتعين عليه معرفة بيانات اعتماد حسابك wp-admin مجلد. عند هذه النقطة، قد تكون على علم بالفعل بالانتهاك وستكون قادرًا على تغيير كلمة مرور المستخدم الذي تم اختراقه وكلمة مرور wp-admin لمزيد من الأمان.

هناك طرق متعددة للقيام بذلك. الأول يعتمد على مضيف الويب الخاص بك. يقدم العديد منهم cPanel. قد تختلف الخطوات قليلاً حسب المضيف.

1. قم بتسجيل الدخول إلى قسم cPanel في موقعك. سيكون لدى مضيف الويب الخاص بك تعليمات حول كيفية القيام بذلك.
2. قم بالتمرير لأسفل إلى “الأمان”، ثم حدد “أدلة حماية كلمة المرور”.

3. حدد “خصوصية الدليل”.

4. حدد الدليل الذي تريد حمايته بكلمة مرور، واتبع المطالبات. عادةً ما يكون هناك برنامج تعليمي يتناول كيفية حماية الأدلة بشكل أفضل باستخدام هذه الطريقة.

أما الطريقة الثانية فهي يدوية ولا يُنصح بها عادةً، فإذا لم تقم بذلك بشكل صحيح، فقد ينتهي بك الأمر إلى حظر دخولك إلى موقعك.

1. قم بإنشاء ملف نصي باستخدام محرر النصوص المفضل لديك وقم بتسميته “.htaccess”
2. أضف ما يلي إلى الملف، ولكن قم بتغيير مسار AuthUserFile إلى المكان الذي سترفع فيه ملف كلمة المرور (في الخطوة التالية) وقم بتغيير “اسم المستخدم الخاص بك” إلى اسم المستخدم الخاص بك.

AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

3. قم بإنشاء ملف نصي آخر يسمى “.htpasswd”
4. استخدم مولد htpasswd لإنشاء محتويات الملف. تمتلك كل من استضافة كندا وweb2generators وAskApache مولدات سهلة الاستخدام. بعد ملء المولد، انسخ النص الذي قدمته إلى ملف .htpasswd الذي قمت بإنشائه.
5. انسخ كلا الملفين إلى مجلد wp-admin الخاص بك، وستكون جاهزًا.

جيد ان تعلم: يمكنك استخدام حيل wp-config لتغيير قاعدة بيانات WordPress الخاصة بك وخيارات التكوين الأخرى.

5. قم بإزالة معلومات إصدار WordPress

تتضمن العديد من سمات WordPress معلومات إصدار WordPress في العلامة الوصفية. يمكن للمتسللين الحصول بسرعة على هذه المعلومات والتخطيط لهجمات محددة تستهدف الثغرة الأمنية لهذا الإصدار.

لإزالة معلومات إصدار WordPress:

1. قم بتسجيل الدخول إلى لوحة تحكم WordPress الخاصة بك.
2. انتقل إلى “التصميم -> محرر السمات”.
3. ابحث عن ملف “الرأس” الخاص بك على اليمين.
4. ابحث عن السطر التالي من التعليمات البرمجية:

<meta name="generator" content="WordPress versionnumber"/>

5. احذف هذا السطر، ثم اضغط على “تحديث الملف”.

يمكنك أيضًا استخدام مكون إضافي للأمان في WordPress، مثل Sucuri Security، لإخفاء هذه المعلومات.

6. قم بإخفاء مجلد الإضافات الخاص بك

إذا ذهبت إلى عنوان URL لموقع الويب الخاص بك: https://yourwebsite.com/wp-content/plugins ويمكنك الاطلاع على القائمة الكاملة للمكونات الإضافية التي استخدمتها، وبالتالي فإن موقع WordPress الخاص بك ليس آمنًا للغاية. يمكنك إخفاء هذه الصفحة بسهولة عن طريق تحميل ملف “index.html” فارغ إلى دليل المكونات الإضافية.

1. افتح محرر النصوص الخاص بك. احفظ المستند الفارغ باسم “index.html”.
2. قم بتحميل “index.html” إلى المجلد “/wp-content/plugins” باستخدام برنامج FTP.

من المفيد أيضًا: استخدم هذه المكونات الإضافية لإحصائيات WordPress لقياس موقع الويب الخاص بك.

7. قم بتغيير اسم تسجيل الدخول الخاص بك

اسم المستخدم الافتراضي هو المشرف.” إحدى الطرق البسيطة لتأمين WordPress هي تغيير ذلك. وبخلاف ذلك، يعرف المتسللون بالفعل نصف معلومات تسجيل الدخول الخاصة بك.

1. قم بتسجيل الدخول إلى لوحة تحكم WordPress الخاصة بك، ثم حدد “المستخدمون”.
2. حدد “مستخدم جديد”.

3. اضبط الدور على “المسؤول”، وأرسل دعوة إلى حساب البريد الإلكتروني المطلوب. بمجرد قبول الدعوة، يمكنك تسجيل الدخول وإنشاء كلمة مرور وتصبح حساب المسؤول الجديد.

4. بمجرد إعداد المستخدم الجديد، ارجع إلى “المستخدمون”.
5. ابحث عن حساب “المسؤول” واحذفه.
6. حدد “إسناد جميع المشاركات والروابط إلى”، ثم حدد اسم المستخدم الخاص بك.
7. اضغط على “تأكيد الحذف”.

8. الترقية إلى أحدث الإصدارات

يتلقى WordPress، جنبًا إلى جنب مع السمات والمكونات الإضافية، تحديثات منتظمة. يؤدي ذلك إلى إضافة ميزات جديدة ومعالجة الأخطاء وإصلاح الثغرات الأمنية. الجزء الأخير هو الأهم. إذا أدرك المتسللون أن لديك إصدارًا أقدم يحتوي على عيوب أمنية، فسوف يستغلون الفتحة على الفور.

حدد يومًا كل شهر لإجراء التحديثات. على الرغم من أنه قد لا يكون لديك تحديثات جديدة لكل شيء، قم بإجراء التحديثات على ما هو متاح. يتضمن ذلك تثبيت WordPress الأساسي الخاص بك. إنها طريقة بسيطة لتأمين WordPress ولكنها فعالة للغاية.

قبل إجراء أي تحديثات مهمة، قم بعمل نسخة احتياطية كاملة لموقعك، تحسبًا لذلك.

نصيحة: إذا لاحظت أي مشكلات في موقع WordPress الخاص بك، فاستخدم إصلاحات الأخطاء الشائعة في WordPress لمعالجة الموقف.

9. قم بإجراء عمليات فحص أمنية منتظمة

يحتاج كل تثبيت WordPress إلى مكون إضافي للأمان. يعد All-In-One Security (AIOS) وSucuri Security، اللذين ذكرناهما بالفعل، خيارين رائعين. يمكنك أيضًا تجربة ما يلي:

10. قم بعمل نسخة احتياطية لموقع WordPress الخاص بك

بغض النظر عن مدى أمان موقعك، فأنت لا تزال ترغب في الاستعداد للأسوأ. قم بتثبيت البرنامج المساعد للنسخ الاحتياطي في WordPress، وقم بجدولته لإجراء نسخ احتياطي لقاعدة البيانات الخاصة بك يوميًا.

لديك مجموعة متنوعة للاختيار من بينها، ولكن بعض أفضل الخيارات تشمل:

11. تحديد امتيازات المستخدم

إذا كان هناك أكثر من مؤلف لمدونتك، فيمكنك تثبيت البرنامج الإضافي User role Editor لتحديد الإمكانيات لكل مجموعة مستخدمين. سيمنحك هذا، أنت مالك المدونة، القدرة على التحكم في ما يمكن للمستخدمين فعله وما لا يمكنهم فعله في المدونة.

جيد ان تعلم: إذا قام عدة مستخدمين بتسجيل الدخول إلى موقع WordPress الخاص بك، فستحتاج إلى إضافة ميزات الأمان هذه إلى صفحة تسجيل الدخول إلى WP الخاصة بك.

12. الترقية إلى SSL

إذا لم يكن لديك شهادة SSL، فهذا هو الوقت المناسب للحصول عليها. طبقة المقابس الآمنة (SSL) هي بروتوكول يقوم بتشفير ما يتم إرساله بين المستخدمين ومواقع الويب. يقدم العديد من مضيفي الويب شهادات SSL مجانية أو منخفضة التكلفة والتي يسهل تثبيتها بشكل لا يصدق. تعتبر هذه الأمور مهمة بشكل خاص إذا قام المستخدمون بتسجيل الدخول إلى موقعك أو إجراء عمليات شراء. بالإضافة إلى ذلك، تفضل Google المواقع التي تحتوي على شهادات SSL.

Let’s Encrypt هي منظمة تساعد في تأمين الويب من خلال توفير شهادات SSL مجانية. تحقق من قائمتنا لخيارات SSL المجانية الأخرى. يمكنك أيضًا الحصول على شهادات SSL مدفوعة من:

13. تعطيل تحرير الملف

يمكنك تعديل المكون الإضافي ورمز السمة مباشرةً من منطقة الإدارة على موقعك. تخيل لو أن شخصًا آخر بدأ في تعديل الكود دون إذنك. لتجنب المفاجآت السيئة، قم بتعطيل تحرير الملفات.

بينما يمكنك استخدام مكون إضافي مثل Sucuri، يمكنك أيضًا إضافة بضعة أسطر من التعليمات البرمجية إلى ملف “wp-config.php”.

1. حدد موقع الملف “wp-config.php” في المجلد الجذر لموقعك. يمكنك استخدام أي عميل FTP ترغب في الوصول إلى ملفاتك.
2. قم بتنزيل الملف وافتحه في محرر النصوص المفضل لديك، مثل المفكرة.
3. أضف ما يلي إلى الكود:

// Disable file edit
define( 'DISALLOW_FILE_EDIT', true );

4. استبدل ملف “wp-config.php” الموجود بالإصدار الجديد لتعطيل تحرير الملف.

من المفيد أيضًا: إذا كنت تضيف الكثير من الوسائط إلى موقع الويب الخاص بك، ففكر في نصائح تحسين الصور في WordPress.

14. استخدم المصادقة الثنائية

حتى إذا تمكن المتسللون من الوصول إلى معلومات تسجيل الدخول الخاصة بالمستخدم، فإن المصادقة الثنائية (2FA) تعني أن المتسلل لا يزال بحاجة إلى الوصول إلى كلمة مرور أخرى. في هذه الحالة، عادةً ما يتم إرسال الرمز إلى هاتف المستخدم. يمكنك استخدام المكونات الإضافية للأمان، مثل تلك المذكورة سابقًا في هذا المنشور، أو مكون إضافي مخصص للمصادقة الثنائية، مثل miniOrange Google Authenticator أو WP 2FA.

حقوق الصورة: أونسبلاش. لقطات من كريستال كراودر.

كريستال كراودر

أمضى Crystal Crowder أكثر من 15 عامًا في العمل في مجال التكنولوجيا، في البداية كفني تكنولوجيا المعلومات ثم ككاتب. تعمل على المساعدة في تعليم الآخرين كيفية تحقيق أقصى استفادة من أجهزتهم وأنظمتهم وتطبيقاتهم. إنها تظل على اطلاع بأحدث الاتجاهات وتجد دائمًا حلولاً للمشاكل التقنية الشائعة.