نصائح لتأمين موقع الووردبريس الخاص بك

raheel · 01-04-2019, 03:41 PM

برنامج إدارة المحتوى ووردبريس هو الأكثر استخداما حيث يدعم ما يربو على 25% من مجموع المواقع على شبكة الإنترنت. وبما أن للنجاح دائما ضريبته، فووردبريس يعتبر واحدا من أكثر برمجيات الويب التي يستهدفها القراصنة والمتطفلون، ولولا صلابته الأمنية لما تمكن من الإستمرار والبقاء في القمة خلال هذه السنوات كلها والمطورون يعملون ليل نهار للحفاظ على هذا المكتسب.
وسيكون رائعا لو قمنا، نحن المستخدمين، بتخصيص قليل من الوقت والجهد لبناء طبقة حماية ثانية فوق طبقة الحماية الأصلية التي يوفرها ووردبريس وذلك عبر عدد من الممارسات والنصائح التي قد تبدو بسيطة ولكنها في غاية الأهمية للحفاظ على أمن مواقعكم وجعل المهمة أكثر صعوبة على القراصنة والمتطفلين.
1استخدام بروتوكول HTTPS

https مزيج من بروتوكول الـ http وبروتوكول الـ SSL/TLS الذي يقوم بإنشاء قناة مشفرة وأمنة ما بين المستخدم والخادم لحرمان أي طرف ثالث من الإطلاع على البيانات المرسلة أو ما يطلق عليه بهجوم الوسيط أو man-in-the-middle attack.
تلعب HTTPS كذلك دورا في تحسين ظهور موقعك (SEO) على محرك البحث غوغل لأن الأخير يعتقد بأن تشفير البيانات عبر بروتوكول HTTP دليل على احترافية موقعك وحرصك على سلامة وأمن معلومات الزوار.

2بيانات الدخول لقاعدة البيانات يجب أن تكون قوية

ينصح باستخدام بيانات مولدة عشوائيا للدخول لقاعدة بيانات موقعك، ولا يجب عليك بأي حال من الأحوال اختيار اسم مستخدم أو كلمة مرور قصيرة أو ذات دلالة، كما ننبه إلى ضرورة تغيير البادئة الإفتراضية wp_ لأسماء الجداول في قاعدة البيانات عند تنصيب ووردبريس واختيار بادئة خاصة بك.
يمكنك تغيير بيانات الدخول لقاعدة البيانات حتى بعد تنصيب ووردبريس شريطة أن تقوم بتعديل هذه الإعدادات في ملف wp-config.php كذلك.

3قوة بيانات الدخول للوحة التحكم

نفس ما قلناه عن الدخول لقاعدة البيانات يقال عن حساب الدخول للوحة تحكم ووردبريس وخاصة إذا كانت لديك صلاحية واسعة (مدير مثلا)، يجدر بك أن تستعين باسم مستخدم وكلمة مرور قويين ولا تجعل نفسك لقمة سائغة للمتطفلين.

4تأمين الملف wp-config.php

ملف wp-config.php كما أشرنا إليه سابقا، يحوي بيانات مهمة وسرية بحيث لا يطلع عليها سوى مدير الموقع. هذا الملف يتواجد افتراضيا في المجلد الرئيسي لووردبريس ولكن يمكن نقله خارجا بحيث لا يمكن الوصول إليه عن طريق طلبات HTTP.
كما يمكن منع الوصول إليه عن طريق حمايته بملف .htaccess على النحو الثالي مثلا :
<files wp-config.php> order allow,deny deny from all </files>
1
2
3
4

<files wp-config.php>
order allow,deny
deny from all
</files>

5منح المستخدمين أدوارا بأقل صلاحيات ممكنة

هناك نصيحة لا يجب نسيانها أبدا : لا تقم بإعطاء صلاحيات المدير لأحد إلا للضرورات القصوى. إذا كان موقعك يسمح بستجيل أعضاء جدد، فتأكد من إعطائهم أقل عدد ممكن من الصلاحيات، وبصفة عامة معظم المواقع تمنح المستخدمين المسجلين واحدة من هذه الأدوار :

محرر : يستطيع نشر وإدارة منشوراته ومنشورات الآخرين.
كاتب : يستطيع نشر وإدارة منشوراته فقط.
مشارك : يستطيع كتابة وإدارة منشوراته ولكن لا يمكنه نشرها.

لا تمنحك أي من هذه الأدوار صلاحية إلدخول لإعدادات ووردبريس مثل إضافة وتعطيل الإضافات مثلا.
تأكد من أنك تمنح المستخدم الصلاحيات التي يحتاجها فقط ولا تزد على ذلك، فحتى لو كان المستخدم طيبا ولا ينوي شيئا خبيثا فمن يضمن لك أنه سيختار كلمة مرور قوية وأنه لن يقوم بإعطائها لأحد أصدقائه الذين يثق فيهم؟!

6تغيير الرابط الإفتراضي لصفحة تسجيل الدخول

يمكن تغيير رابط صفحة تسجيل الدخول إلى لوحة التحكم الخاصة بووردبريس، وقد قمنا بشرح كيفية فعل ذلك في موضوع سابق عن طريق الإضافة WPS Hide Login.
الغرض من هذه الخطوة هو منع المتطفلين من الوصول لصفحة تسجيل الدخول على الرابط الإفتراضي /wp-login.php.

7إخفاء رقم إصدار ووردبريس

عدد من إصدارات وودبريس عرفت ثغرات وبعض المشاكل الأمنية، ووردبريس يقوم بإظهار رقم الإصدار افتراضيا داخل الوسم <head> الشيء الذي يمكن المتطفلين من معرفة الإصدار الذي تستخدمه ويبحثون بعد ذلك عن الثغرات الأمنية الموجودة فيه.
لا تسهل عليهم المأمورية بهذه الطريقة، وقم بإخفاء رقم الإصدار بإضافة الشفرة التالية لملف functions.php داخل القالب الذي تستعمله :
remove_action('wp_head', 'wp_generator');
1

remove_action('wp_head', 'wp_generator');

8قم باختيار قوالب وإضافات احترافية

نظام ووردبريس قابل للإمتداد والتخصيص عن طريق القوالب والإضافات، هذه نقطة إيجابية لصالحه ولكنها قد تنطوي على مخاطر، فليست كل الإضافات والقوالب مطورة بشكل احترافي وتم فيها مراعاة الأساليب الموصى بها، لهذا يُخشى من أن تكون بعض الإضافات أو القوالب ثغرة في حد ذاتها قد يتم استغلالها من أحدهما لضرب موقعك.
مستودع ووردبريس يحتوي على آلاف الإضافات ومئات القوالب المجانية، وقبل الإختيار يُنصح بالإطلاع أولا على تقييمات المستخدمين وآرائهم فيها وكذا عدد التحميلات، فهذه كلها مؤشرات على جودتها واحترافيتها، ولا يجب أبدا تحميل الإضافات والقوالب المجانية من خارج المستودع الرسمي لووردبريس.
وبصفة عامة، يفضل الإستعانة بقوالب ووردبريس مدفوعة فدائما ما تكون ذات جودة عالية ومعايير الأمان فيها على أعلى مستوى.

9قم بالتحديث بشكل منتظم

يعلن فريق ووردبريس بشكل دوري عن إصدارات جديدة يتم فيها معالجة المشاكل والثغرات التي ظهرت في الإصدارات السابقة، ولهذا يجب دائما التحديث والعمل بآخر إصدار من ووردبريس لأنه الأكثر أماناً. نفس الكلام يقال على الإضافات Plugins التي قمت بتفعيلها في موقعك، ووردبريس يقوم بإعلامك من خلال لوحة التحكم فور نزول أي تحديث لها.

10لا تقم بتحميل القوالب المدفوعة بشكل مجاني

بعض المواقع تقوم بشراء القوالب المدفوعة من متجر ثيم فوريست مثلا وتقوم بعرضها بالمجان لجذب الزوار والربح من الإعلانات والعروض الأخرى، والأمر الخطير أن بعض من أصحاب هذه المواقع يقومون بتلغيم هذه القوالب بأكواد خبيثة بنية إلحاق الضرر بالمستخدمين والعواقب قد تكون وخيمة.
هذا دون الحديث عن الجانب الأخلاق للموضوع، فالأمر سرقة لمجهود المطورين الأصليين للقالب الذين عملوا لأشهر من أجل إخراجه لحيز الوجود وفي النهاية تتم سرقته وتوزيعه بالمجان.

المصدر: منتديات رحيل لكل العرب - من قسم: قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress

01-04-2019, 03:41 PM	#1
raheel تاريخ التسجيل: Feb 2019 العمر: 38 المشاركات: 1,149 التقييم: 10	raheel تاريخ التسجيل: Feb 2019 العمر: 38 المشاركات: 1,149 التقييم: 10 نصائح لتأمين موقع الووردبريس الخاص بك نصائح لتأمين موقع الووردبريس الخاص بك برنامج إدارة المحتوى ووردبريس هو الأكثر استخداما حيث يدعم ما يربو على 25% من مجموع المواقع على شبكة الإنترنت. وبما أن للنجاح دائما ضريبته، فووردبريس يعتبر واحدا من أكثر برمجيات الويب التي يستهدفها القراصنة والمتطفلون، ولولا صلابته الأمنية لما تمكن من الإستمرار والبقاء في القمة خلال هذه السنوات كلها والمطورون يعملون ليل نهار للحفاظ على هذا المكتسب. وسيكون رائعا لو قمنا، نحن المستخدمين، بتخصيص قليل من الوقت والجهد لبناء طبقة حماية ثانية فوق طبقة الحماية الأصلية التي يوفرها ووردبريس وذلك عبر عدد من الممارسات والنصائح التي قد تبدو بسيطة ولكنها في غاية الأهمية للحفاظ على أمن مواقعكم وجعل المهمة أكثر صعوبة على القراصنة والمتطفلين. 1استخدام بروتوكول HTTPS https مزيج من بروتوكول الـ http وبروتوكول الـ SSL/TLS الذي يقوم بإنشاء قناة مشفرة وأمنة ما بين المستخدم والخادم لحرمان أي طرف ثالث من الإطلاع على البيانات المرسلة أو ما يطلق عليه بهجوم الوسيط أو man-in-the-middle attack. تلعب HTTPS كذلك دورا في تحسين ظهور موقعك (SEO) على محرك البحث غوغل لأن الأخير يعتقد بأن تشفير البيانات عبر بروتوكول HTTP دليل على احترافية موقعك وحرصك على سلامة وأمن معلومات الزوار. 2بيانات الدخول لقاعدة البيانات يجب أن تكون قوية ينصح باستخدام بيانات مولدة عشوائيا للدخول لقاعدة بيانات موقعك، ولا يجب عليك بأي حال من الأحوال اختيار اسم مستخدم أو كلمة مرور قصيرة أو ذات دلالة، كما ننبه إلى ضرورة تغيير البادئة الإفتراضية wp_ لأسماء الجداول في قاعدة البيانات عند تنصيب ووردبريس واختيار بادئة خاصة بك. يمكنك تغيير بيانات الدخول لقاعدة البيانات حتى بعد تنصيب ووردبريس شريطة أن تقوم بتعديل هذه الإعدادات في ملف wp-config.php كذلك. 3قوة بيانات الدخول للوحة التحكم نفس ما قلناه عن الدخول لقاعدة البيانات يقال عن حساب الدخول للوحة تحكم ووردبريس وخاصة إذا كانت لديك صلاحية واسعة (مدير مثلا)، يجدر بك أن تستعين باسم مستخدم وكلمة مرور قويين ولا تجعل نفسك لقمة سائغة للمتطفلين. 4تأمين الملف wp-config.php ملف wp-config.php كما أشرنا إليه سابقا، يحوي بيانات مهمة وسرية بحيث لا يطلع عليها سوى مدير الموقع. هذا الملف يتواجد افتراضيا في المجلد الرئيسي لووردبريس ولكن يمكن نقله خارجا بحيث لا يمكن الوصول إليه عن طريق طلبات HTTP. كما يمكن منع الوصول إليه عن طريق حمايته بملف .htaccess على النحو الثالي مثلا : <files wp-config.php> order allow,deny deny from all </files> 1 2 3 4 <files wp-config.php> order allow,deny deny from all </files> 5منح المستخدمين أدوارا بأقل صلاحيات ممكنة هناك نصيحة لا يجب نسيانها أبدا : لا تقم بإعطاء صلاحيات المدير لأحد إلا للضرورات القصوى. إذا كان موقعك يسمح بستجيل أعضاء جدد، فتأكد من إعطائهم أقل عدد ممكن من الصلاحيات، وبصفة عامة معظم المواقع تمنح المستخدمين المسجلين واحدة من هذه الأدوار : محرر : يستطيع نشر وإدارة منشوراته ومنشورات الآخرين. كاتب : يستطيع نشر وإدارة منشوراته فقط. مشارك : يستطيع كتابة وإدارة منشوراته ولكن لا يمكنه نشرها. لا تمنحك أي من هذه الأدوار صلاحية إلدخول لإعدادات ووردبريس مثل إضافة وتعطيل الإضافات مثلا. تأكد من أنك تمنح المستخدم الصلاحيات التي يحتاجها فقط ولا تزد على ذلك، فحتى لو كان المستخدم طيبا ولا ينوي شيئا خبيثا فمن يضمن لك أنه سيختار كلمة مرور قوية وأنه لن يقوم بإعطائها لأحد أصدقائه الذين يثق فيهم؟! 6تغيير الرابط الإفتراضي لصفحة تسجيل الدخول يمكن تغيير رابط صفحة تسجيل الدخول إلى لوحة التحكم الخاصة بووردبريس، وقد قمنا بشرح كيفية فعل ذلك في موضوع سابق عن طريق الإضافة WPS Hide Login. الغرض من هذه الخطوة هو منع المتطفلين من الوصول لصفحة تسجيل الدخول على الرابط الإفتراضي /wp-login.php. 7إخفاء رقم إصدار ووردبريس عدد من إصدارات وودبريس عرفت ثغرات وبعض المشاكل الأمنية، ووردبريس يقوم بإظهار رقم الإصدار افتراضيا داخل الوسم <head> الشيء الذي يمكن المتطفلين من معرفة الإصدار الذي تستخدمه ويبحثون بعد ذلك عن الثغرات الأمنية الموجودة فيه. لا تسهل عليهم المأمورية بهذه الطريقة، وقم بإخفاء رقم الإصدار بإضافة الشفرة التالية لملف functions.php داخل القالب الذي تستعمله : remove_action('wp_head', 'wp_generator'); 1 remove_action('wp_head', 'wp_generator'); 8قم باختيار قوالب وإضافات احترافية نظام ووردبريس قابل للإمتداد والتخصيص عن طريق القوالب والإضافات، هذه نقطة إيجابية لصالحه ولكنها قد تنطوي على مخاطر، فليست كل الإضافات والقوالب مطورة بشكل احترافي وتم فيها مراعاة الأساليب الموصى بها، لهذا يُخشى من أن تكون بعض الإضافات أو القوالب ثغرة في حد ذاتها قد يتم استغلالها من أحدهما لضرب موقعك. مستودع ووردبريس يحتوي على آلاف الإضافات ومئات القوالب المجانية، وقبل الإختيار يُنصح بالإطلاع أولا على تقييمات المستخدمين وآرائهم فيها وكذا عدد التحميلات، فهذه كلها مؤشرات على جودتها واحترافيتها، ولا يجب أبدا تحميل الإضافات والقوالب المجانية من خارج المستودع الرسمي لووردبريس. وبصفة عامة، يفضل الإستعانة بقوالب ووردبريس مدفوعة فدائما ما تكون ذات جودة عالية ومعايير الأمان فيها على أعلى مستوى. 9قم بالتحديث بشكل منتظم يعلن فريق ووردبريس بشكل دوري عن إصدارات جديدة يتم فيها معالجة المشاكل والثغرات التي ظهرت في الإصدارات السابقة، ولهذا يجب دائما التحديث والعمل بآخر إصدار من ووردبريس لأنه الأكثر أماناً. نفس الكلام يقال على الإضافات Plugins التي قمت بتفعيلها في موقعك، ووردبريس يقوم بإعلامك من خلال لوحة التحكم فور نزول أي تحديث لها. 10لا تقم بتحميل القوالب المدفوعة بشكل مجاني بعض المواقع تقوم بشراء القوالب المدفوعة من متجر ثيم فوريست مثلا وتقوم بعرضها بالمجان لجذب الزوار والربح من الإعلانات والعروض الأخرى، والأمر الخطير أن بعض من أصحاب هذه المواقع يقومون بتلغيم هذه القوالب بأكواد خبيثة بنية إلحاق الضرر بالمستخدمين والعواقب قد تكون وخيمة. هذا دون الحديث عن الجانب الأخلاق للموضوع، فالأمر سرقة لمجهود المطورين الأصليين للقالب الذين عملوا لأشهر من أجل إخراجه لحيز الوجود وفي النهاية تتم سرقته وتوزيعه بالمجان. المصدر: منتديات رحيل لكل العرب - من قسم: قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress
	اقتباس

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
نصائح تساعدك علي اختيار اسم النطاق	raheel	قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress	0	11-04-2019 06:58 PM
طريقة زيادة سرعة الووردبريس	raheel	قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress	0	27-03-2019 10:13 PM
دليلك الشامل لتأمين موقع ووردبريس	raheel	قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress	0	27-03-2019 06:58 PM
طريقة تساعدك علي نقل ووردبريس من خادم محلي إلى موقع حي	raheel	قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress	0	25-03-2019 06:01 PM
طريقة تنصيب الووردبريس على الاستضافة الخاصة شرح مفصل للمبتدئين	القيصر	قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress	0	11-03-2019 05:42 AM

اسم العضو		حفظ البيانات؟
كلمة المرور

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)