13 نصيحة لتأمين موقعك على ووردبريس

تأمين موقع ووردبريس، وهو نظام إدارة المحتوى الأكثر استخدامًا في العالم، أمر بالغ الأهمية، لأن هذه الشهرة تجعله الهدف المفضل للهاكرز. موقع ووردبريس لم تُعنى أمانه بشكل كافٍ يكون بمثابة باب مفتوح للقراصنة الراغبين في استرجاع بياناتك أو ببساطة إتلاف موقعك الإلكتروني.

من المهم اعتماد ممارسات أمنية جيدة منذ بداية إنشاء موقعك لتجنب محاربة الاختراقات طوال الوقت. إضافة قوالب أو مكونات أمان لا تؤثر بشكل كبير على سعر موقعك على ووردبريس. فمن الممكن حتى أن تأمن موقعك بنفسك.

لهذا السبب في هذا الدليل سنقدّم لكم 13 ممارسة بسيطة لضمان أمان ووردبريس الخاص بكم.

1. نسخ قاعدة البيانات احتياطيًا بانتظام

جميع المواقع تحتوي على قاعدة بيانات تحفظ فيها المحتويات. من الضروري أرشفة هذه البيانات بانتظام تحسبًا لأي مشكلة قد تطرأ على الموقع. حتى لو كان موقعك مؤمنًا بشكل كبير، فمن الجيد دائمًا وجود نسخة احتياطية لأن «الحوادث قد تقع». تذكّر أن أكبر المواقع التي تنفق مبالغ هائلة على أمن مواقعها تُخترق أحيانًا، فلماذا لا يحدث ذلك لموقعك؟

إجراء نسخ احتياطية منتظمة لموقعك سيتيح لك استعادته بعد إصلاح الثغرة إذا تعرّض للاختراق أو الفساد.

من المثالي أن نوصي بإجراء نسخة احتياطية أسبوعية. تأكد من تدوين تاريخ الأرشيف على مجلد النسخة الاحتياطية. في حال حدوث خطأ أو اختراق أو فقدان للموقع، ستتمكن من إعادة كل شيء بسرعة وسهولة.

هناك لذلك عدة إضافات تتيح لك إجراء نسخ احتياطية تلقائية لملفاتك، والإضافات، والقوالب وغيرها. فيما يلي مثالان لإضافات نسخ احتياطي شائعة لووردبريس:

• إضافة UpdraftPlus لنسخ WordPress الاحتياطي
• BackWPup

هاتان الإضافتان تتيحان لك إنشاء نسخ احتياطية تلقائية لقاعدة البيانات وملفاتك، ثم تخزينها على خادمك أو على السحابة (Dropbox، Azure، Google Drive، إلخ)، أو حتى إرسالها عبر البريد الإلكتروني كمرفق للنسخة الاحتياطية.

2. التحقق من التحديثات بانتظام

لحماية موقعك أو مدونتك WordPress، يجب إجراء تحديثات منتظمة. بمجرد توفر تحديث، اتبع نصائحنا لتحديث موقع WordPress بصورة صحيحة قبل تثبيته.

هذه التعليمات سارية على نظام إدارة المحتوى، وكذلك على جميع الإضافات. يتم اكتشاف ثغرات جديدة بانتظام، مما يدفع المطورين إلى إصدار تصحيحات متكررة. لذا فإن إضافة قديمة تشكل خطراً كبيراً…

أما تحديثات إضافة الأمان فهي أكثر من ضرورية! فهذه التحديثات تأخذ بعين الاعتبار الفيروسات والأساليب الجديدة للاختراق.

3. تثبيت إضافة أمان

تماماً كما توجد برامج مضادة للفيروسات لتثبيتها على حاسوبك، يمكنك أيضاً إضافة إضافة مضادة للفيروسات لضمان أمان WordPress الخاص بك. في كثير من الأحيان، هذه الإضافات لا تحمي موقعك من الفيروسات فحسب، بل تراقب أيضاً الأمان العام لـ WordPress الخاص بك.

ستتيح لك إضافة أمان إدارة عدة جوانب من أمن WordPress بسهولة وبطريقة شفافة بالنسبة لك. إنها صندوق أدوات يجمع عدة أدوات لتأمين موقعك. من بين هذه الإضافات الأمنية سنجد:

• Wordfence للأمان
• iThemes للأمان
• WP fail2ban
• Sucuri Security
• SecuPress
• All In One WP للحماية وجدار الحماية

على سبيل المثال، ستتيح لك WordFence أن:

• مراقبة حركة مرور موقعك لحظر الحركة الضارة
• إخطارك بالتحديثات المتاحة على WordPress الخاص بك
• حماية نظام تسجيل الدخول لديك من هجوم القوة الغاشمة
• التحقق من ملفاتك لاكتشاف البرامج الضارة، عناوين URL غير المطابقة، حقن الشيفرة، عمليات إعادة التوجيه الخاطئة، إلخ…
• التحقق من سلامة ملفاتك
• إصلاح ملفاتك عند الحاجة
• فحص موقعك بالنسبة إلى الثغرات المعروفة
• تفعيل المصادقة بخطوتين
• حظر الروبوتات باستخدام نظام CAPTCHA

هناك ميزات أخرى متاحة مع WordFence ومع معظم إضافات الأمان التي تقدم وظائف مشابهة. إنها إضافات مفيدة للغاية ومُستحسَن تثبيتها. WordFence مثبتة حالياً على أكثر من 3 ملايين موقع WordPress.

اقرأ أيضاً: 10 إضافات أمان لا غنى عنها لـ WordPress

4. استخدام الإضافات والقوالب الرسمية

استخدام الإضافات أو القوالب المقرصنة أمر سيء بالنسبة لأمن موقعك.

عند تثبيت نسخ غير رسمية، قد تمنح الوصول إلى موقعك لأي شخص. فالإصدارات المقرصنة غير مُعتمدة من WordPress، وقد يقوم من يوزعون هذه الإضافات والقوالب بإدخال برمجيات خبيثة داخل الملفات، أو فتح باب وصول إلى موقعك أو أي كود خبيث آخر دون أن تلاحظ ذلك.

انتباه: لذلك، قد تُسرق بياناتك ويُمنح الوصول لأشخاص خبيثين بدون علمك!

لهذا السبب يُنصح بشدة بعدم تثبيت نسخ مقرصنة أبداً والاعتماد دائماً على إضافة وشراء الإضافات والقوالب الرسمية من WordPress أو من الشركات التي اشتريت منها القالب أو الإضافة.
 

5. إزالة الإضافات والقوالب غير المستخدمة

تعد القوالب والإضافات في ووردبريس أول منفذ دخول للمخترقين. لتأمين موقع ووردبريس الخاص بك، يجب أن تكون حذرًا فيما تثبته على موقعك.

أحيانًا نثبت قوالب وإضافات للاختبار أو لفترة قصيرة، ثم نوقفها (في أفضل الأحوال) أو ننسى وجودها ونتركها مهملة.

هذه مشكلة، خاصة إذا لم تقم بتحديثها أو كانت قديمة، لأن هذه الإضافات والقوالب غير المستخدمة قد تكون منافذ دخول إضافية للمخترقين ولا تفيد موقعك.

الممارسة الصحيحة هي حذف أي إضافة أو قالب لم تعد تستخدمه لتقليل خطر اختراق موقعك.

6. تغيير عنوان صفحة الدخول

لتقليل خطر الاختراق وتأمين موقع ووردبريس، يُنصح أيضًا بتغيير عنوان صفحة الدخول. بشكل افتراضي، يقترح ووردبريس عنوان الدخول التالي mon-site.com/wp-admin، وهذا يسهّل مرة أخرى عمل المخترقين!

يمكنك تغيير هذا العنوان عن طريق تعديل ملف .htaccess أو باستخدام إضافة مثل تخصيص عنوان تسجيل الدخول؛ هذه الحلّـة الثانية مثالية للأشخاص الذين ليست لديهم خبرة أو معرفة بالبرمجة.

7. حذف حساب المشرف الافتراضي

لتسجيل الدخول إلى لوحة إدارة ووردبريس، يُعرض اسم المستخدم admin بشكل افتراضي. لذا يستخدمه القراصنة على نطاق واسع للوصول إلى موقعك.

لا تسهّل عليهم المهمة وأنشئ اسم مستخدم شخصيًا يصعب تخمينه قبل حذف حساب admin.

تابع دليلنا دليل خطوة بخطوة لتعديل وحذف المعرف.

8. تفعيل المصادقة ذات العاملين

تسمح هذه الخاصية الأمنية المقدمة من إضافات مختلفة بتأمين نظام تسجيل الدخول لديك تقريبًا بنسبة 100%! إنها طريقة غير مزعجة وسهلة التنفيذ لتأمين موقع ووردبريس، فلماذا تتخلى عنها؟

في معظم الحالات، فإن الخطوة الثانية^ـة ستكون رمزًا مرسلاً عبر رسالة نصية قصيرة، أو مكالمة هاتفية، أو تسجيل دخول مطلوب عبر تطبيق جوال. لذلك سيحتاج المخترق لمعرفة كل من كلمة المرور الخاصة بك والوصول إلى الجهاز المستخدم للخطوة الثانية من عملية الدخول، وهو أمر يكاد يكون مستحيلًا.

من بين الإضافات التي تقدم المصادقة ذات العاملين نجد:

• المصادقة ذات العاملين
• تطبيق Google Authenticator
• Duo للمصادقة الثنائية

تعمل معظم هذه الإضافات بالتزامن مع تطبيقها المحمول الخاص، مما يتيح لك إدارة نظام المصادقة الثنائية والسماح بتسجيل الدخول عندما يتم بدء الجلسة عبر نفس النظام.

9. إخفاء نسخة ووردبريس المستخدمة

لكل إصدار من ووردبريس ثغرات سيحرص القراصنة على استغلالها. ولتعقيد مهمة هؤلاء المتسللين قليلاً، فكر في إخفاء إصدار ووردبريس الذي تستخدمه.

يتم التغيير على مستويين: في ملف version.php، وكذلك في ملف readme.htmlهذا الملف موجود في جذر ووردبريس لديك ويجب حذفه!

اكتشف كيفية إخفاء إصدار ووردبريس في درسنا المخصص: كيف تحمي ووردبريس من الهجمات الضارة؟

10. منع استعراض المجلدات

في موقع ووردبريس، افتراضيًا، تكون المجلدات متاحة للجميع. لذلك من الضروري حظر الوصول إليها لحمايتها بشكل أفضل.

للقيام بذلك، يجب تعديل شروط الوصول عبر ملف .htaccess الخاص بك أو اختيار إضافة مثل Hide My WordPress.

11. اختيار مزود استضافة آمن

لن تأتي ثغرات الأمان بالضرورة من موقعك فقط. فقد تنشأ أحيانًا من مزود الاستضافة. عدد كبير من مواقع ووردبريس التي تم اختراقها كانت بسبب ثغرة أمان لدى مزود الاستضافة وليس بسبب أمان الموقع نفسه.

لذلك، من المهم اختيار مزود استضافة مناسب لتأمين موقع ووردبريس الخاص بك.

يمكنك لذلك تحليل عروض مزودي الاستضافة وفقًا لثلاثة معايير:

• هل تمتلك خوادم المُستضيف جدار حماية وبرنامج مضاد للفيروسات؟
• هل تُجرى نسخ احتياطية تلقائية بانتظام؟
• في حالة الاستضافة المشتركة، هل يتم عزل كل حساب عن المستخدمين الآخرين حتى لا يؤدي حساب مصاب إلى إصابة الآخرين؟

تنبيه: إذا كان مزود الاستضافة الحالي أو المستقبلي لا يلتزم على الأقل بهذه النقاط الثلاثة الأساسية، فالأفضل البحث عن مزود آخر.

12. حماية اتصال موقعك بشهادة SSL (HTTPS)

من المؤكد أنك رأيت القفل الصغير بجانب عنوان URL لموقع ما ووجود «HTTPS» قبل العنوان. هذا ممكن لأن الموقع يمتلك شهادة SSL. هذه شهادة SSL تسمح بتفعيل بروتوكول HTTPS الذي يضمن اتصالًا مؤمنًا بين المتصفح (العميل) و خادم الويب.

تُعرف هذه الشهادة بأهميتها خاصة عندما يوفر الموقع نظام دفع مباشر على الموقع، ومع ذلك فهي مفيدة لأسباب أخرى أيضًا:

• في بروتوكول HTTP، تُنقل البيانات بين الخادم والمتصفح بصيغة غير مشفّرة وواضحة. هذا ليس الحال عند استخدام بروتوكول HTTPS لنقل البيانات.
• شهادة SSL لها تأثير على تصدر موقعك في محركات البحث (SEO). تؤكد جوجل أن ذلك عامل يؤثر (بشكل طفيف) في ترتيبك في نتائج البحث.
• مع تزايد الاعتياد على التعليم الرقمي، اعتاد الناس على التحقق من وجود قفل صغير على المواقع لأنهم سمعوا غالبًا أن ذلك دليل على الأمان. وجود شهادة SSL يعزز الثقة التي يوليها الزوار لموقعك الإلكتروني.
• بالرابط مع النقطة السابقة، بعض متصفحات الويب مثل متصفح كروم يعرض الآن إشارة « غير آمن » أمام عنوان URL للمواقع التي لا تملك شهادة SSL. والأسوأ من ذلك، أحيانًا قد يعرضون صفحة تحذير قبل الوصول إلى الموقع قد تخيف غالبية الزوار.
• لأسباب تقنية، بروتوكول HTTPS أسرع من HTTP. قد تتمكن من تحسين سرعة موقع ووردبريس الخاص بك ببساطة عن طريق تثبيت شهادة SSL.

هل ترغب في تثبيت شهادة SSL وتحويل ووردبريس إلى HTTPS؟ اتبع دليلنا خطوة بخطوة !

13. احمِ نفسك من هجمات DDoS

الـ هجوم DDoS هو هجوم رفض خدمة، ويعني ذلك جعل نظام (أو موقع ويب) غير قابل للوصول عن طريق استهدافه بعدة أنظمة في وقت واحد. تأمين موقع ووردبريس ضد هجمات DDoS يمنع أن يصبح الموقع غير متاح في حال حدوث هجوم.

بشكل ملموس، ستحاول عدة أنظمة (حواسيب أو خوادم) تنفيذ إجراءات على هدف محدد في نفس الوقت (مثل موقع ويب) بحيث يُثقل الهدف بطلبات كثيرة لدرجة لا يستطيع فيها التعامل معها ويُصاب "بالتوقف" مما يجعل الهدف خارج الخدمة.

للوقاية من هذا النوع من الهجمات توجد خدمات (بما في ذلك إضافة) يمكن تهيئتها على موقع ووردبريس الخاص بك والتي بفضل حمايتها المضادة لهجمات DDoS تُخفف من هجمات رفض الخدمة.

من بين هذه خدمات الحماية يمكنك العثور على Cloudflare أو إضافة ووردبريس Sucuri Security.

الحصول على دعم لتأمين موقع WordPress الخاص بك

الأمن جزء مهم لا ينبغي تجاهله عند إنشاء وصيانة موقع ووردبريس الخاص بك. اختراق قاعدة البيانات أو ملفاتك بواسطة مخترق قد يجعل موقعك خارج الخدمة بسرعة… وهذا قد يكلف مئات أو حتى آلاف اليوروهات إذا كان موقعك مصدر دخل.

لذلك من الضروري تطبيق ممارسات جيدة من النوع الذي عُرض طوال هذا الدليل لتقليل مخاطر الاختراق المحتملة.

لزيادة تأمين موقع ووردبريس الخاص بك، يمكنك متابعة دليلنا الكامل التكميلي: كيف تحمي ووردبريس من الهجمات الخبيثة؟

إذا كنت بحاجة إلى مساعدة لتأمين موقع ووردبريس الخاص بك، لا تتردد في نشر إعلان مجاني على Codeur.com للعثور بسرعة على مساعدة من مستقل يمكنه مساعدتك.

اقرأ أيضاً: تم اختراق موقعي على ووردبريس: ماذا أفعل؟