نصائح الحماية لـ WordPress. 12 نصيحة لحماية موقعك

يعد WordPress أحد أشهر أنظمة إدارة المحتوى في العالم. أكثر من 18.9٪ من جميع مواقع الإنترنت تستخدمه ، وتجاوز عدد المنشآت 76.5 مليون. لسوء الحظ ، هذه الشعبية لها عيوبها. وفقًا لتقرير Sucuri (أمان وحماية مواقع الويب) ، يعد WordPress أكثر أنظمة إدارة المحتوى قابلية للاختراق في جميع أنحاء العالم. ومع ذلك ، إذا اتبعت أفضل الممارسات في هذا الأمر وقمت بتنفيذ بعض التقنيات من هذا الدليل ، فسوف تدرك أنه يمكن تعزيز حماية WordPress بسهولة من خلال بضع خطوات بسيطة.

ما سوف تحتاجه

قبل أن نبدأ ، تحقق مما يلي:

• الوصول إلى لوحة تحكم WordPress ؛
• الوصول إلى حساب الاستضافة الخاص بك (اختياري).

محتوى

الخطوة الأولى: الحفاظ على الإصدار الحالي من WordPress ؛
الخطوة 2. استخدام بيانات اعتماد تسجيل الدخول غير القياسية ؛
الخطوة 3. تمكين المصادقة من خطوتين ؛
الخطوة 4. تعطيل تقارير أخطاء PHP ؛
الخطوة 5. لا تستخدم القوالب الفارغة لـ WordPress ؛
الخطوة 6. فحص WordPress بحثًا عن البرامج الضارة ؛
الخطوة 7. تحويل موقع الويب الخاص بك إلى استضافة أكثر أمانًا ؛
الخطوة الثامنة. نسخ بياناتك احتياطيًا قدر الإمكان ؛
الخطوة 9. تعطيل خيار تحرير الملفات.
الخطوة 10. حذف القوالب والمكونات الإضافية غير المستخدمة ؛
الخطوة 11. استخدام .htaccess لتحسين أمان WordPress ؛
الخطوة 12. تغيير بادئات قاعدة بيانات WordPress القياسية لمنع حقن SQL

الخطوة الأولى. الحفاظ على الإصدار الحالي من WordPress

ستكون هذه هي الخطوة الأولى والأكثر أهمية لتحسين أمان WordPress. إذا كنت بحاجة إلى موقع ويب نظيف بدون برامج ضارة ، فأنت بحاجة إلى التأكد من تحديث إصدار WordPress الخاص بك. قد تبدو هذه النصيحة بسيطة ، ولكن 22٪ فقط من جميع عمليات تثبيت WordPress موجودة في أحدث إصدار.

طبق WordPress ميزة التحديث التلقائي في الإصدار 3.7 ولكنها تعمل فقط مع التحديثات الأمنية الصغيرة. بينما يجب تثبيت التحديثات الرئيسية الكبيرة يدويًا.

إذا كنت لا تعرف كيفية تحديث WordPress ، فتحقق من ذلك.

الخطوة 2. استخدام بيانات اعتماد تسجيل الدخول غير القياسية

هل تستخدم "admin" كاسم مسؤول في WordPress؟ إذا كانت الإجابة "نعم" ، فأنت بذلك تقلل بشكل خطير من أمان WordPress وتجعل من السهل اختراق لوحة التحكم الخاصة بك. يوصى بشدة بتغيير اسم مستخدم المسؤول إلى شيء آخر (راجع هذا البرنامج التعليمي إذا لم تكن متأكدًا من كيفية القيام بذلك) أو إنشاء حساب مسؤول جديد ببيانات مختلفة.

اتبع هذه الخطوات إذا كنت تفضل الخيار الثاني:

• قم بتسجيل الدخول إلى لوحة تحكم WordPress ؛
• ابحث عن قسم "المستخدمون" وانقر على زر "إضافة جديد" ؛
• إنشاء مستخدم جديد وتعيين حقوق المسؤول ؛
• سجّل الدخول إلى WordPress ببياناتك الجديدة ؛
• ارجع إلى قسم المستخدمين واحذف حساب المسؤول الافتراضي.

تلعب كلمة المرور الجيدة دورًا رئيسيًا في أمان WordPress. من الصعب جدًا كسر كلمة مرور تتكون من أرقام وحروف كبيرة وصغيرة ورموز خاصة. يمكن أن تساعدك أدوات مثل LastPass و 1Password في إنشاء كلمات مرور معقدة وإدارتها. بالإضافة إلى ذلك ، إذا احتجت في أي وقت إلى تسجيل الدخول إلى لوحة تحكم WordPress الخاصة بك عند الاتصال بشبكة غير آمنة (مثل المقاهي والمكتبات العامة وما إلى ذلك) ، فلا تنس استخدام VPN آمن يحمي معلومات تسجيل الدخول الخاصة بك.

الخطوة 3. تمكين المصادقة من خطوتين

تضيف المصادقة المكونة من خطوتين طبقة أمان إضافية إلى صفحة التفويض الخاصة بك. بمجرد تأكيد اسم المستخدم ، فإنه يضيف خطوة أخرى تحتاج إلى إكمالها من أجل المصادقة بنجاح. من المرجح أنك تستخدم هذا بالفعل للوصول إلى بريدك الإلكتروني والبنك عبر الإنترنت والحسابات الأخرى التي تحتوي على معلومات سرية. لماذا لا تستخدمه في WordPress أيضًا؟

على الرغم من أن هذا قد يبدو معقدًا ، إلا أن تمكين المصادقة المكونة من خطوتين في WordPress أمر سهل للغاية. كل ما عليك فعله هو تثبيت تطبيق للمصادقة المكونة من خطوتين وتهيئته لـ WordPress الخاص بك. يمكنك العثور على مزيد من المعلومات التفصيلية حول كيفية تمكين المصادقة المكونة من خطوتين على WordPress هنا.

الخطوة 4. تعطيل تقارير أخطاء PHP

يمكن أن تكون تقارير أخطاء PHP مفيدة جدًا إذا كنت تقوم بتطوير موقع ويب وتريد التأكد من أن كل شيء يعمل بشكل صحيح. ومع ذلك ، فإن إظهار الأخطاء للجميع يعد إغفالًا خطيرًا في أمان WordPress.

يجب عليك إصلاح هذا في أقرب وقت ممكن. لا تقلق ، ليس عليك أن تكون مبرمجًا لتعطيل تقارير أخطاء PHP على WordPress. يقدم معظم مزودي خدمة الاستضافة هذا الخيار في لوحة التحكم. إذا لم يكن كذلك ، فما عليك سوى إضافة الأسطر التالية إلى ملف wp-config.php الخاص بك. يمكنك استخدام عميل FTP أو مدير الملفات لتحرير ملف wp-config.php.

error_reporting (0) ،
ini_set ('display_errors'، 0) ؛

الخطوة 5. لا تستخدم القوالب الفارغة لـ WordPress

تذكر ، "الجبن الوحيد المجاني موجود في مصيدة فئران." الأمر نفسه ينطبق على القوالب والإضافات الفارغة.

هناك الآلاف من الإضافات والقوالب الفارغة عبر الإنترنت. يمكن للمستخدمين تنزيلها مجانًا ، باستخدام مشاركة ملفات مختلفة أو ملفات تورنت. إنهم لا يعرفون أن معظمهم مصاب ببرامج ضارة أو روابط لأساليب تحسين محرك البحث الأسود.

توقف عن استخدام الإضافات والقوالب الفارغة. ليس هذا غير أخلاقي فحسب ، بل إنه يضر أيضًا بأمان WordPress الخاص بك. في النهاية ، ستدفع أكثر للمطور لتنظيف موقع الويب الخاص بك.

الخطوة 6. فحص WordPress بحثًا عن البرامج الضارة

غالبًا ما يستخدم المتسللون ثغرات في القوالب أو المكونات الإضافية لإصابة WordPress. لذلك ، من المهم التحقق من مدونتك في كثير من الأحيان. هناك العديد من المكونات الإضافية المكتوبة جيدًا لهذا الغرض. يبرز WordFence من بين الحشود. يوفر دليلًا للاستخدام والقدرة على الاختبار تلقائيًا ، إلى جانب مجموعة من الإعدادات المختلفة الأخرى. يمكنك حتى استعادة الملفات المعدلة / المصابة ببضع نقرات. كان متوفرا مجانا. يجب أن تكون هذه الحقائق كافية لتثبيتها الآن.

المكونات الإضافية الشائعة الأخرى لتحسين أمان WordPress:

• أمان مضاد للرصاص . على عكس WordFence ، تحدثنا عنه سابقًا ، لا يقوم BulletProof بفحص ملفاتك ولكنه يوفر لك جدار حماية ، وحماية قاعدة البيانات ، وما إلى ذلك. الميزة المميزة هي القدرة على تكوين المكون الإضافي وتثبيته ببضع نقرات.
• الأمن Sucuri . يحميك هذا المكون الإضافي من هجمات DDOS ، ولديه قائمة سوداء ، ويفحص موقع الويب الخاص بك بحثًا عن البرامج الضارة ، ويتحكم في جدار الحماية الخاص بك. إذا عثرت على أي شيء ، فسيتم إخطارك عبر البريد الإلكتروني. Google و Norton و McAfee - يتضمن هذا المكون الإضافي جميع القوائم السوداء من هذه البرامج.

الخطوة 7. تحويل موقع الويب الخاص بك إلى استضافة أكثر أمانًا

قد تبدو هذه النصيحة غريبة ، لكن الإحصائيات تظهر أن أكثر من 40٪ من مواقع WordPress تم اختراقها بسبب ثغرات أمنية في حسابات الاستضافة الخاصة بهم. يجب أن تشجعك هذه الإحصائيات على نقل WordPress إلى استضافة أكثر أمانًا. بعض الحقائق الأساسية التي يجب وضعها في الاعتبار عند اختيار استضافة جديدة:

• إذا كانت استضافة مشتركة ، فتأكد من عزل حسابك عن المستخدمين الآخرين وعدم وجود خطر الإصابة من مواقع الويب الأخرى على الخادم.
• الاستضافة لديها ميزة النسخ الاحتياطي التلقائي.
• يحتوي الخادم على جدار حماية تابع لجهة خارجية وأداة فحص.

الخطوة 8. قم بعمل نسخة احتياطية من بياناتك كلما أمكن ذلك

حتى أكبر مواقع الويب يتم اختراقها يوميًا ، على الرغم من حقيقة أن أصحابها ينفقون الآلاف لتحسين أمان WordPress.

حتى إذا اتبعت أفضل الممارسات في هذا المجال وقمت بتطبيق النصائح الواردة في هذه المقالة ، فلا تزال بحاجة إلى عمل نسخ احتياطية منتظمة من موقع الويب الخاص بك.

هناك عدة طرق لإنشاء نسخة احتياطية ، على سبيل المثال يمكنك تنزيل ملفات الموقع يدويًا وتصدير قاعدة البيانات ، أو استخدام الأدوات التي توفرها شركة الاستضافة الخاصة بك. هناك طريقة أخرى وهي استخدام مكونات WordPress الإضافية. أشهرها:

• VaultPress.
• BackUpWordPress ؛
• برنامج BackupGuard.

يمكنك حتى أتمتة عملية إنشاء وتخزين نسخ WordPress الاحتياطية في Dropbox.

الخطوة 9. تعطيل خيار تحرير الملفات

كما تعلم على الأرجح ، يحتوي WordPress على محرر مضمن يسمح لك بتحرير ملفات PHP. هذه الميزة مفيدة بقدر ما من المحتمل أن تكون ضارة. إذا تمكن المتسللون من الوصول إلى لوحة التحكم الخاصة بك ، فإن أول شيء سيلاحظونه هو محرر الملفات. يفضل بعض مستخدمي WordPress تعطيل هذه الميزة تمامًا. يمكن تعطيله عن طريق تحرير ملف wp-config.php عن طريق إضافة الكود التالي إليه:

تعريف ('DISALLOW_FILE_EDIT' ، صحيح) ؛

هذا كل ما تحتاجه لتعطيل هذه الميزة في WordPress.

الأهمية. في حالة رغبتك في تمكين هذه الميزة مرة أخرى ، استخدم عميل FTP أو مدير الملفات لاستضافتك وإزالة هذا الرمز من ملف wp-config.php.

الخطوة 10. حذف القوالب والمكونات الإضافية غير المستخدمة

قم بتنظيف موقع الويب الخاص بك على WordPress وإزالة جميع القوالب والمكونات الإضافية غير المستخدمة. غالبًا ما يستخدم المتسللون قوالب ومكونات إضافية معطلة وعفا عليها الزمن (حتى المكونات الإضافية الرسمية لـ WordPress) للوصول إلى لوحة التحكم أو لتنزيل محتوى ضار إلى خادمك. من خلال إزالة المكونات الإضافية والقوالب التي توقفت عن استخدامها (وربما نسيت التحديث) منذ فترة طويلة ، فإنك تقلل من المخاطر وتجعل موقع WordPress الخاص بك أكثر أمانًا.

الخطوة 11. استخدام htaccess لتحسين أمان WordPress

.htaccess هو ملف ضروري للعمل الصحيح لروابط WordPress. بدون الإدخالات الصحيحة في ملف .htaccess ، ستحصل على الكثير من 404s.

لا يعرف الكثير من المستخدمين أنه يمكن استخدام .htaccess لتحسين حماية WordPress. على سبيل المثال ، يمكنك حظر الوصول أو تعطيل تنفيذ PHP في مجلدات محددة.

الأهمية. قبل إجراء أي تغييرات على الملف ، انسخ ملف htaccess القديم احتياطيًا. للقيام بذلك ، يمكنك استخدام عميل FTP أو مدير الملفات.

تعطيل الوصول إلى الجزء الإداري من WordPress

سيسمح لك الكود أدناه بالوصول إلى الجزء الإداري من WordPress فقط من خلال عناوين IP معينة.

AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName “WordPress Admin Access Control”
AuthType أساسي

أمر رفض ، السماح.
رفض من الجميع
السماح من xx.xx.xx.xx.xxx
السماح من xx.xx.xx.xx.xxx

لاحظ أن "xx.xx.xx.xx.xxx" هو عنوان IP الخاص بك. يمكنك استخدام هذا الموقع للتحقق من عنوان IP الحالي الخاص بك. إذا كنت تستخدم أكثر من اتصال لإدارة الموقع على WordPress ، فتأكد من أنك كتبت عناوين IP أخرى (أضف أي عدد تريده من العناوين). لا يوصى باستخدام هذا الرمز إذا كان لديك عنوان IP ديناميكي.

تعطيل تنفيذ PHP في مجلدات محددة

يحب المتسللون تحميل البرامج النصية المستترة إلى مجلد تنزيل WordPress. بشكل افتراضي ، يتم استخدام هذا المجلد فقط لتخزين ملفات الوسائط. لذلك ، يجب ألا يحتوي على أي ملفات PHP. يمكنك بسهولة تعطيل تنفيذ PHP عن طريق إنشاء ملف .htaccess جديد في / wp-content / uploads / باستخدام هذه القواعد:

رفض من الجميع

حماية ملف wp-config.php

يحتوي ملف wp-config.php على نواة تكوين WordPress وتفاصيل قاعدة بيانات MySQL. لذلك فهو أهم ملف في ووردبريس. لذلك ، غالبًا ما يصبح الهدف الرئيسي لقراصنة WordPress. ومع ذلك ، يمكنك تأمينه بسهولة باستخدام قواعد .htaccess التالية:

أمر يسمح ، يرفض.
رفض من الجميع

الخطوة 12. تغيير بادئات قاعدة بيانات WordPress القياسية لمنع حقن SQL

تحتوي قاعدة بيانات WordPress على جميع المعلومات الأساسية اللازمة لتشغيل موقع الويب الخاص بك وتخزنها. ونتيجة لذلك ، يصبح هدفًا آخر للمتسللين ومرسلي البريد العشوائي الذين ينفذون تعليمات برمجية آلية لتنفيذ كود SQL. أثناء تثبيت WordPress ، لا يكلف الكثير من الأشخاص عناء تغيير بادئة قاعدة بيانات wp_ القياسية. وفقًا لـ WordFence ، 1 من أصل 5 عمليات اختراق لـ WordPress مرتبطة بتنفيذ كود SQL. نظرًا لأن wp_ هي إحدى القيم القياسية ، يبدأ المتسللون بها أولاً. في هذه المرحلة ، سأفكر بإيجاز في حماية موقع ويب على WordPress من مثل هذه الهجمات.

تغيير جدول البادئات لموقع WordPress موجود

الأهمية. السلامة اولا! قبل أن تبدأ ، تأكد من أن لديك نسخة احتياطية من قاعدة بيانات MySQL.

الجزء الأول. تغيير البادئة في ملف wp-config.php

ابحث عن ملف wp-config.php باستخدام عميل FTP أو مدير الملفات وابحث عن السطر باستخدام $ table_prefix.

يمكنك إضافة أرقام أو أحرف أو شرطات سفلية إضافية. بعد ذلك ، احفظ التغييرات وانتقل إلى الخطوة التالية. في هذا الدليل ، سأستخدم wp_1secure1_ كبادئة جدول جديدة.

أثناء وجودك في ملف wp-config.php الخاص بك ، ابحث عن اسم قاعدة البيانات لمعرفة الاسم الذي تريد تغييره. ابحث في قسم التعريف ("DB_NAME".

الجزء الثاني. تحديث كافة جداول قاعدة البيانات

أنت الآن بحاجة إلى تحديث جميع السجلات في قاعدة البيانات الخاصة بك. يمكن القيام بذلك باستخدام phpMyAdmin.

ابحث عن قاعدة البيانات المحددة في الجزء الأول وقم بتسجيل الدخول إليها.

افتراضيًا ، يحتوي تثبيت WordPress على 12 جدولًا ويجب تحديث كل منها. ومع ذلك ، يمكن القيام بذلك بشكل أسرع باستخدام قسم SQL في phpMyAdmin.

سيستغرق تغيير كل جدول يدويًا وقتًا طويلاً ، لذا استخدم استعلامات SQL لتسريع العملية. سيتيح لك بناء الجملة التالي تحديث جميع الجداول في قاعدة البيانات الخاصة بك:

أعد تسمية الجدول "wp_commentmeta" إلى "wp_1secure1_commentmeta" ؛
أعد تسمية الجدول "wp_comments" إلى "wp_1secure1_comments" ؛
أعد تسمية الجدول "wp_links" إلى "wp_1secure1_links" ؛
أعد تسمية الجدول "wp_options" إلى "wp_1secure1_options" ؛
أعد تسمية الجدول "wp_postmeta" إلى "wp_1secure1_postmeta" ؛
أعد تسمية الجدول "wp_posts" إلى "wp_1secure1_posts" ؛
أعد تسمية الجدول "wp_terms" إلى "wp_1secure1_terms" ؛
أعد تسمية الجدول `wp_termmeta` إلى` wp_1secure1_termmeta` ؛
أعد تسمية الجدول "wp_term_relationships" إلى "wp_1secure1_term_relationships" ؛
أعد تسمية الجدول "wp_term_taxonomy" إلى "wp_1secure1_term_taxonomy" ؛
RENAME الجدول `wp_usermeta` إلى` wp_1secure1_usermeta` ؛
أعد تسمية الجدول "wp_users" إلى "wp_1secure1_users" ؛

قد تضيف بعض قوالب WordPress أو الإضافات جداول إضافية إلى قاعدة البيانات. إذا كان لديك أكثر من 12 جدولًا في قاعدة بيانات MySQL ، فقم بإضافة الجداول المتبقية يدويًا إلى استعلام SQL الخاص بك وقم بتنفيذه.

الجزء الثالث. التحقق من الخيارات وجداول البيانات الوصفية المخصصة

اعتمادًا على عدد المكونات الإضافية المثبتة ، يجب تحديث بعض القيم في قاعدة البيانات يدويًا. يمكنك القيام بذلك عن طريق تنفيذ استعلامات SQL منفصلة للخيارات وجداول البيانات الوصفية.

لجدول الخيارات ، استخدم:

حدد * من `wp_1secure1_options` حيث` option_name` مثل `٪ wp_٪`

بالنسبة لجدول البيانات الوصفية:

حدد * من `wp_1secure1_usermeta` حيث` meta_key` مثل `٪ wp_٪`

عندما تتلقى نتائج الاستعلام ، ما عليك سوى تحديث جميع القيم من wp_ إلى البادئة التي تم تكوينها حديثًا. في جدول البيانات الوصفية للمستخدم ، تحتاج إلى تحرير حقل meta_key ، بينما بالنسبة لجدول الخيارات ، تحتاج إلى تغيير قيمة option_name.

تأمين عمليات تثبيت WordPress الجديدة

إذا كنت تخطط لتثبيت مواقع WordPress جديدة ، فلا يتعين عليك القيام بذلك مرة أخرى. يمكنك بسهولة تغيير بادئات جداول WordPress أثناء عملية التثبيت.

تهانينا! لقد نجحت في تحسين أمان قاعدة البيانات الخاصة بك.

خاتمة

على الرغم من أن WordPress هو أكثر أنظمة إدارة المحتوى قابلية للاختراق في العالم ، إلا أنه ليس من الصعب تحسين حمايته. في هذا الدليل ، قدمت لك 12 نصيحة يجب اتباعها للحفاظ على WordPress آمنًا.

السيرة الذاتية للمؤلف : روي هو متحمس للتكنولوجيا ، وأب محب لتوأم ، وبرنامج في شركة برمجيات مخصصة ، ورئيس تحرير قارئ جشع TheHomeDweller.com ، وبستاني.