حماية وردبرس

تحسين الحماية على مواقع وردبرس

دائمًا مايشغل الآمان والحماية لمواقع وردبرس بال اصحاب المواقع القائمة على وردبرس ورغم التحديثات الكثيرة التى يقوم بها وردبرس لسد الثغرات الموجودة به ولكن عليك القيام ببعض الخطوات المهمة لضمان الحماية لموقعك سنسردها فيما يلى.

اهم نقاط الحماية لمواقع وردبرس

قم بتحديث وردبرس باستمرار

فريق عمل وردبرس يقوم باستمرار بالكشف عن الثغرات ومعالجتها وتنزيلها فى شكل تحديثات دورية يجب عليك الاستفادة من هذه التحديثات وتثبيتها باستمرار.

من لوحة التحكم قم باختيار الرئيسية -> تحديثات او dashboard -> updates وقم بثبيت التحديثات الجديدة اذا كانت متوفرة.

لا تستخدم admin كاسم المستخدم للدخول للوحة التحكم

هذه الخطوة لن تكلف اي شئ ومع ذلك تضيف الكثير من الحماية , فمعظم هجمات هذه الايام تستهدف المرور إلى wp-admin عن طريق محاولة الدخول باسم admin وبعض كلمات المرور فيما يعرف بهجمات القوة الضاربة او Brute Force , بالطبع هذه الخطوة لن تمنع نهائيًا هجمات القوة الضاربة ولكن ستحد منها.

تغيير الاسم الافتراضى للادمن من admin سيساعد كثيرًا فى تجنب هجمات القوة الضاربة , وسيجعل المهمة صعبة على المخترق لتخمين اسم الدخول للادمن وكلمة المرور.

لعمل هذه الخطوة قم بالدخول على users -> new user وقم باعطاء صلاحية مدير او administrator للمستخدم وبعد ذلك قم بحذف الادمن القديم.

و لا تقلق على المقالات القديمة المكتوبة من قبل الحساب القديم فوردبرس سيقوم بسؤالك عما تريد فعله بالمحتوي المكتوب بالادمن القديم وتمنحك خيار حذف كل المحتوى أو تعيينه لمستخدم جديد ، مثل ذلك الذي أنشأته للتو.

استخدم كلمات مرور صعبة التخمين

استخدام كلمات مرور طويلة وصعبة فى التخمين تجعل المهمة مستحيلة على المخترق , وهنا يمكنك استخدام مولدات الارقام السرية مثل 1password و lastpass وقم بحفظ هذه الكلمات فى مكان آمن والرجوع إليها وقت الحاجة.

تجنب الكلمات المتتالية مثل qwerty او الارقام مثل 1234 كلمات المرور هذه سهلة الخميين ولا تصلح ان تكون كلمة سر لموقعك الوردبرس.

استخدام تحقق للمرور للدخول إلى نموذج تسجيل الدخول

يمكنك استخدام طريقة اخرى للتحقق من المستخدم للدخول بالاساس إلى  login forms فبالتالى سيحد هذا بشكل كبير من هجمات القوة الضاربة , لان المخترق سيضر لتخمين بيانات الدخول مرتين مرة للدخول بالاساس إلى نموذج تسجيل الدخول ومرة اخرى للدخول إلى لوحة التحكم الرئيسية لوردبرس وهو مايسمى Two-Factor Authentication.

فهم عميلة الرتب للمستخدمين فى وردبرس

يوجد اكثر من رتبة للمستخدمين فى وردبرس وكل ودور له مجموعة من الصلاحيات وهى الاشياء التى يستطيع فعلها والرتب الافتراضية فى وردبرس يمكنك ايجادها مشروحة بالتفصيل على الموقع الرسمى هنا , لاحظ ان الاضافات يمكن ان تضيف ادوار اخرى بصلاحيات مختلفة للموقع مثل اضافة Woocommerce للبيع على الانترنت تقوم باضافة رتبة تسمى shop manager.

عليك فهم هذه الرتب وفهم ما تستطيع كل رتبة فعله وفى حالة انه عليك تعيين احد الاشخاص للقيام بمهمة فى الموقع فعليك اختيار الرتبة المناسبة والكافية للقيام بهذه المهمة ولمدة معينة من الوقت فمجرد انتهاء العمل الذى يقوم به عليك حذف الرتبة المسندة عليه.

إخفاء wp-config.php و .htaccess

هذا الخطوة سهلة ولكن اتمامها بشكل خاطئ قد يؤدى إلى تعطل الموقع.

اذا كنت تستخدم اضافة Yoast SEO قم بالدخول إلى SEO -> tools واختار file editor بعد ذلك قم باضافة الكود التالى إلى ملف htaccess. لحماية ملف wp-config.

<Files wp-config.php>
order allow,deny
deny from all
</Files>

وكذلك الكود التالى لحماية ملف htaccess.

<Files .htaccess>
order allow,deny
deny from all
</Files>

اذا لم تكن تستخدم اضافة Yoast يمكنك تعديل ملف htaccess. عن طريق cpanel من الاستضافة الخاص بك.

قم بالدخول على cpanel بعد ذلك قم بايجاد file manger فى سكشن files.

بعد ذلك قم بالبحث عن ملف htaccess. وقم بتعديله عن طريق الضغط على right click ثم code edit وقم باضافة الاكواد السابقة.

تعطيل تحرير الملف من خلال وردبرس

اذا استطاع المخترق المرور إلى لوحة التحكم الرئيسية فوردبرس فإن اسهل طريقة لتغير ملفاتك هى عن طريق الدخول إلى appearance -> editor ويمكنك ببساطة الغاء هذه الامكانية عن طريق التالى.

قم بالدخول على file manger مثلما ذكرنا سابقًا قم بعديل ملف wp-config.php ثم قم باضافة الكود التالى إليه.

define('DISALLOW_FILE_EDIT', true);

ستظل يمكنك التعديل على الملفات عن طريق ftp ولكن لن تستطع التعديل على الملفات من خلال لوحة تحكم وردبرس.

الحد من عدد مرات محاولات تسجيل الدخول

يمنع هذا الاجراء هجمات القوة الضاربة عن طريق الحد من عدد المرات المسموحة بها لمحاولة تسجيل الدخول من نموذج تسجيل الدخول الموجود فى wp-admin.

ابسط طريقة هى عن طريق استخدام اضافة All In One WP Security & Firewall عن طريق تفعيل الاضافة بعد ذلك قم بالدخول على wp-admin/admin.php?page=aiowpsec_userlogin

بعد ذلك قم بتحديد تفعيل ميزة حظر تسجيل الدخول وتحديد الحد الاقصى لمرات تسجيل الدخول كالتالى.

تعديل اعدادات XML-RPC

XML-RPC هو API يستخدم من قبل بعض الاضافات والقوالب مثل اضافة Jetpack ولان تعطيل وظيفة كبيرة مثل هذه يأتى بتعطيل لاضافات مهمة مثل Jetpack فهنالك بعض الاضافات تقوم بانتقاء الوظائف الغير مستخدمة من XML-RPC دون تعطيل الاضافات الاخرى التى تقوم عليه.

يمكنك ذلك عن طريق استخدام اضافة All In One WP Security & Firewall  مره اخرى.

قم بالدخول على /wp-admin/admin.php?page=aiowpsec_firewall بعد ذلك قم بتحديد الخيارات مثل الصورة التالية.

إلى هنا نكون قد تناولنا اهم النقاط وفى مقالة اخرى سنقوم بشرح كافة اعدادات اضافة  All In One WP Security & Firewall المميزة.

اشترك فى القائمة البريدية

عن الكاتب

شارك على وسائل التواصل

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *