أمان ووردبريس ، الدليل النهائي

يتمتع WordPress بشعبية كبيرة. يستخدم حوالي كل موقع من كل خمسة مواقع على الإنترنت WordPress بشكل ما. سواء كان ذلك لتشغيل مدونة متواضعة ، أو نظام إدارة محتوى متعدد المواقع (CMS) أو موقع للتجارة الإلكترونية. نتيجة لذلك ، ليس من المستغرب أن تكون مواقع WordPress هدفًا شائعًا جدًا لكل من المتسللين ذوي الخبرة وأطفال البرامج النصية على حد سواء.

آخر شيء يريده أي مشرف موقع هو اكتشاف أن موقعه على الويب قد تم اختراقه ؛ ربما يتم أخذها كرهائن وهي جزء من شبكة الروبوتات ، أو نشر البرامج الضارة ، أو المشاركة في هجمات رفض الخدمة (DoS). في هذه المقالة سنشارك عددًا من النصائح والاستراتيجيات لمساعدتك على تقوية موقع WordPress الخاص بك.

جدول المحتويات

• هل WordPress آمن؟
• الإضافات والسمات
  • قم بتشغيل برامج أقل
  • مراعاة المبدأ الأقل امتيازًا
  • قم بتحديث الإضافات والسمات الخاصة بك في WordPress
  • ابتعد عن المكونات الإضافية والسمات `` الملغاة '' لـ WordPress
• حافظ على WordPress محدثًا
• استضافة ووردبريس
• لوحة تحكم WordPress
  • تعطيل التسجيل
  • شهاداته
  • المصادقة الثنائية (2FA)
• تصلب ووردبريس الأساسية
  • تعطيل تسجيل التصحيح
  • تعطيل XML-RPC
  • تقييد واجهة برمجة تطبيقات WordPress REST
  • منع الكشف عن إصدار WordPress
  • منع تعداد مستخدم WordPress
  • قم بتعطيل محرر ملف WordPress
  • تعطيل إدارة السمات والمكونات الإضافية
• TLS (SSL)
• الاستنتاجات والخطوات التالية

هل WordPress آمن؟

هذا سؤال يطرحه العديد من مسؤولي النظام ، وهو محق في ذلك. على الرغم من أن WordPress مبني جيدًا وآمن بشكل عام ، إلا أنه يتمتع بسمعة طيبة لكونه عرضة للثغرات الأمنية وليس "على مستوى المؤسسات". تلك السمعة ليست عادلة بالضبط. في أغلب الأحيان ، تكمن المشكلات في WordPress كونها حزمة برامج شائعة بشكل لا يصدق يسهل إعدادها أثناء استخدام اختصارات الأمان. وهو ما يقودنا إلى موضوعنا الأول - المكونات الإضافية والسمات.

الإضافات والسمات

المشكلة الأولى التي تصيب أمان WordPress هي أيضًا ما يجعلها شائعة بشكل لا يصدق. تختلف مكونات WordPress الإضافية والسمات على نطاق واسع من حيث الجودة والأمان. على الرغم من أن فريق WordPress قد أنجز الكثير من العمل لمساعدة المطورين على بناء مكونات إضافية وسمات أكثر أمانًا ، إلا أنها لا تزال تمثل كابوسًا أمنيًا. يمكن ملاحظة ذلك عند استخدام مكونات إضافية سيئة الصيانة ، أو مكونات إضافية تم الحصول عليها من مصدر سطحي.

قبل أن نواصل مناقشة المكونات الإضافية والسمات الخاصة بـ WordPress ، دعنا أولاً نفهم ماهية مكون WordPress الإضافي بالفعل. الإضافات هي ببساطة كود PHP مخصص يقوم WordPress بتشغيله من أجل توسيع وظائف WordPress. للحصول على شرح أكثر تفصيلاً وتقنيًا ، راجع ما هي مكونات WordPress الإضافية.

وبالمثل ، تسمح سمات WordPress بتخصيص الجوانب المرئية لموقع WordPress الخاص بك. من وجهة نظر المهاجم ، لا يوجد فرق كبير بين الاثنين حيث يمكن إساءة استخدام كليهما لتشغيل تعليمات برمجية ضارة.

قم بتشغيل برامج أقل

فكيف يمكنك معرفة ما إذا كان البرنامج المساعد ضارًا أم لا؟ هذا سؤال معقد ، لكن لحسن الحظ لدينا إجابة لك. لقد كتبنا عن هذا بالتفصيل في كيفية اختيار أفضل مكون إضافي لبرنامج WordPress لموقع الويب الخاص بك على WordPress.

على الرغم من إجراء جميع الأبحاث اللازمة ، إلا أن هناك أيضًا احتمالية أن المكون الإضافي قد لا يزال يمثل تهديدًا أمنيًا. لذا فإن إحدى الطرق لتقليل المخاطر هي تشغيل البرنامج الذي تحتاجه تمامًا وتثق به فقط. قبل تثبيت إضافة WordPress جديدة ، اسأل نفسك عما إذا كنت تحتاج بالفعل إلى تثبيت هذا المكون الإضافي. هل يمكن لمقتطف رمز صغير في مكون إضافي خاص بالموقع تنفيذ الحيلة ، أم أنك تحتاج بشكل شرعي إلى مكون إضافي كامل؟

هام - كن يقظًا جدًا مع مقتطفات التعليمات البرمجية التي تجدها على الإنترنت. لا تستخدم أبدًا جزءًا من التعليمات البرمجية ما لم تفهم تمامًا ما يفعله - لمجرد أنه موجود على StackOverflow ، فهذا لا يعني أنه آمن للاستخدام.

إذا كانت لديك حاجة حقيقية لتشغيل مكون إضافي ، فتأكد من صيانته بنشاط وتحديثه بانتظام كما هو موضح في دليلنا. كقاعدة عامة ، كلما زادت التنزيلات والتحديثات الأخيرة ، يشير المكون الإضافي أو السمة إلى أنه قيد الاستخدام على نطاق واسع وأن مؤلفيه يحتفظون به بنشاط. هذا لا يعني أن المكون الإضافي لن يكون لديه ثغرة أمنية أبدًا. ومع ذلك ، إذا تم العثور على ثغرة أمنية ، فسيتصرف المطور بسرعة ويصدر إصلاحًا سريعًا.

حاول تجنب المكونات الإضافية التي لا تحتوي على الكثير من التنزيلات ، والأهم من ذلك ، ليس لديها مجتمع نشط وتحديثات منتظمة. إذا لم يتم تحديث شيء ما في غضون عام ، فسيكون ذلك بمثابة علامة حمراء بشكل عام.

مراعاة المبدأ الأقل امتيازًا

لا يحتاج WordPress إلى استخدام مستخدم جذر MySQL للاتصال بقاعدة البيانات الخاصة به. ولا يحتاج كل مستخدم WordPress إلى دور المسؤول. وبالمثل ، ليس من الجيد تشغيل معظم البرامج كمستخدم متميز ، ما لم يكن هناك سبب محدد للقيام بذلك.

تملي أفضل ممارسات الأمان دائمًا منح التطبيقات دائمًا أقل الامتيازات الممكنة التي تسمح لها بالعمل بشكل صحيح ، مع تعطيل أي امتيازات إضافية. يشار إلى هذه الممارسة عادة بمبدأ الامتياز الأقل.

لنفترض افتراضيًا أن WordPress يتصل بقاعدة بيانات بحساب مستخدم متميز. في حالة وجود مكون إضافي لبرنامج WordPress يحتوي على ثغرة أمنية في حقن SQL ، فقد لا يتمكن المهاجم من تشغيل استعلامات SQL فقط كمسؤول ، ولكن في بعض الحالات قد يتمكن حتى من تنفيذ أوامر نظام التشغيل. إذا نجح المهاجم في تنفيذ أوامر نظام التشغيل ، فقد يكون قادرًا على تنفيذ الاستطلاع وتصعيد الهجوم على الأنظمة الأخرى.

تشغيل البرنامج بامتيازات إدارية ، أو تزويد المستخدمين بوصول أكثر من اللازم يتطلب مشكلة. إنه يتعارض مع مبدأ الامتياز الأقل تم تجربته واختباره ، لأنه يسمح للمهاجم بإلحاق المزيد من الضرر في حالة حدوث خرق أمني.

الشيء الجيد في WordPress هو أنه يحتوي على عدد من الأدوار المضمنة ، والتي يمكنك استخدامها لتعيين امتيازات مختلفة لمستخدمين مختلفين ، اعتمادًا على متطلباتهم. لقد كتبنا كثيرًا عن هذا في كيفية استخدام أدوار مستخدم WordPress لتحسين أمان WordPress.

قم بتحديث الإضافات والسمات الخاصة بك في WordPress

إضافة WordPress وتحديثات السمات مهمة ليس فقط للاستفادة من الوظائف الجديدة وإصلاحات الأخطاء ، ولكن أيضًا لتصحيح الثغرات الأمنية. من السهل تحديث كل من المكونات الإضافية والسمات داخل واجهة WordPress.

من المحتمل أن يكون لبعض المكونات الإضافية التجارية آلياتها الخاصة لتحديث المكونات الإضافية ، ومع ذلك ، في معظم الحالات ، يكون هذا واضحًا للمستخدمين. ومع ذلك ، فقط تأكد من أنه مهما كان نظام التحديث المستخدم ، فإنك تحافظ على تحديث المكونات الإضافية والسمات الخاصة بك.

لا تستخدم قوالب ووردبريس "الملغاة"

يستخدم WordPress GPL ¹ . بدون الخوض في الكثير من التفاصيل ، يسمح ترخيص GPL لأي شخص بتوزيع البرامج المرخصة GPL بحرية. يتضمن ذلك سمات ومكونات WordPress التجارية / المتميزة المرخصة GPL. على هذا النحو ، قد لا يكون من غير القانوني تنزيل نسخة معدلة ، ويشار إليها عادةً باسم nulled ، أو سمة مميزة أو مكون إضافي ، واستخدامها مجانًا.

ومع ذلك ، كما قد تكون خمنت بالفعل ، بصرف النظر عن عدم دعم مطور البرنامج المساعد ، فمن غير المرجح أن تتلقى تحديثات للمكونات الإضافية الفارغة. علاوة على ذلك ، ليس لديك طريقة لمعرفة ما إذا تم تعديل مصدر هذا المكون الإضافي للقيام بشيء شنيع.

حافظ على WordPress محدثًا

تمامًا كما يجب عليك تحديث المكونات الإضافية والسمات الخاصة بك ، يجب أيضًا أن تجعلها نقطة للحفاظ على إصدار WordPress الذي تقوم بتشغيله محدثًا. لحسن الحظ ، أصبح هذا الآن أسهل بكثير مما كان عليه في الماضي ، حيث تحدث تحديثات الأمان المهمة تلقائيًا. بالطبع ، ما لم تقم بتعطيل هذه الوظيفة صراحة.

بصرف النظر عن الميزات الجديدة والتحسينات وإصلاحات الأخطاء ، تحتوي تحديثات WordPress الأساسية أيضًا على إصلاحات أمنية قد تحميك من المهاجمين الذين يستغلون موقع WordPress الخاص بك ويستخدمونه لتحقيق مكاسب غير مشروعة.

استضافة ووردبريس

يعتمد مكان وكيفية اختيار استضافة موقع WordPress الخاص بك بشكل كبير على متطلباتك. على الرغم من عدم وجود خطأ في استضافة WordPress وإدارته بنفسك ، إذا لم تكن خبيرًا تقنيًا ، أو تريد التأكد من تلبية معظم أساسيات أمان WordPress دون القيام بالكثير من الرفع الثقيل ، فقد ترغب في اختيار مزود استضافة WordPress مُدار مثل Kinsta أو WP Engine.

نظرًا لاستضافة مواقع الويب مع كلا المضيفين ، فقد كتبنا عنها. في قصص عملائنا نسلط الضوء على تجربتنا معهم. لمعرفة المزيد عن تجربتك ، اقرأ قصة عملاء WP Engine و Kinsta. تستخلص استضافة WordPress المُدارة الملخصات الكثير من قرارات الأمان والتهيئة التي تحتاج إلى القلق بشأن نفسك.

بطبيعة الحال ، قد لا تكون استضافة WordPress المُدارة مناسبة لك أيضًا. يمكنك اختيار استضافة WordPress بنفسك ، خاصة إذا كانت ميزانيتك محدودة. تمنحك الاستضافة الذاتية لـ WordPress أيضًا تحكمًا أكبر في تثبيت WordPress الخاص بك. لمعرفة المزيد حول جميع خيارات استضافة WordPress المختلفة وما هو الأفضل بالنسبة لك ، راجع دليل اختيار استضافة WordPress.

لوحة تحكم WordPress

لوحة معلومات WordPress الخاصة بموقعك هي مكان لا تريد أن يتربص به أي شخص غير مصرح له. في حين أن هناك بعض المواقع التي لديها أسباب مشروعة للسماح للمستخدمين العامين بتسجيل الدخول باستخدام لوحة معلومات WordPress ، فإن هذا يمثل مخاطرة أمنية كبيرة ويجب مراعاته بعناية شديدة .

لحسن الحظ ، لا تملك معظم مواقع WordPress هذا المطلب وبالتالي يجب أن تمنع الوصول إلى لوحة معلومات WordPress. هناك عدة طرق للقيام بذلك ويجب أن تختار الأفضل بالنسبة لك.

من الممارسات الشائعة تقييد الوصول بكلمة مرور لحماية صفحات WordPress Admin (wp-admin). قد يكون الحل الآخر هو السماح فقط بالوصول إلى / wp-admin إلى عدد من عناوين IP المحددة.

تعطيل التسجيل

بشكل افتراضي ، لا يسمح WordPress للمستخدمين العامين بالتسجيل في موقع WordPress الخاص بك. لتأكيد أن تسجيل المستخدم معطل:

1. توجه إلى الإعدادات > الصفحة العامة في منطقة لوحة معلومات WordPress الخاصة بك
2. انتقل إلى قسم العضوية
3. تأكد من عدم تحديد خانة الاختيار الموجودة بجوار أي شخص يمكنه التسجيل .

شهاداته

مثل أي موقع ويب آخر ، يكون الوصول إلى لوحة معلومات WordPress الخاصة بك بنفس قوة بيانات الاعتماد الخاصة بك. يعد فرض أمان كلمة مرور WordPress قويًا هو التحكم الأمني ​​المهم في أي نظام ، و WordPress ليس استثناءً.

على الرغم من أن WordPress ليس لديه أي طريقة لتعيين سياسة كلمة المرور خارج الصندوق ، إلا أن مكونًا إضافيًا مثل WPassword يعد ضروريًا للغاية لفرض متطلبات قوة كلمة المرور عبر جميع المستخدمين الذين لديهم حق الوصول إلى لوحة معلومات WordPress.

بمجرد فرض أمان كلمة مرور قوية على موقع الويب الخاص بك ، استخدم WPScan لاختبار بيانات اعتماد WordPress الضعيفة ، للتأكد من عدم وجود حساب لا يزال يستخدم كلمات مرور ضعيفة.

المصادقة الثنائية (2FA)

عنصر تحكم أمان أساسي آخر للوحة معلومات WordPress الخاصة بك هو طلب المصادقة ذات العاملين. تجعل المصادقة الثنائية (2FA) من الصعب جدًا على المهاجم الوصول إلى لوحة معلومات WordPress الخاصة بك في حالة تمكن المهاجم من الكشف عن كلمة مرور المستخدم (على سبيل المثال ، قد يكتشف المهاجم كلمة مرور المستخدم من خرق البيانات).

لحسن الحظ ، من السهل جدًا إعداد مصادقة ثنائية على WordPress. هناك عدد من المكونات الإضافية عالية الجودة التي يمكنك استخدامها لإضافة هذه الوظيفة. اقرأ أفضل المكونات الإضافية للمصادقة الثنائية لـ WordPress للحصول على تمييز لأهم مكونات 2FA الإضافية المتوفرة لـ WordPress.

تصلب ووردبريس الأساسية

على الرغم من أن جوهر WordPress هو جزء آمن من البرامج ، إلا أن هذا لا يعني أننا لا نستطيع تقويته أكثر. فيما يلي عدد من استراتيجيات التقوية الخاصة بنواة WordPress.

تأكد من تعطيل تسجيل التصحيح

يسمح WordPress للمطورين بتسجيل رسائل تصحيح الأخطاء في ملف (هذا هو /wp-content/debug.log بشكل افتراضي). في حين أن هذا مقبول تمامًا في بيئة التطوير ، ضع في اعتبارك أنه يمكن أيضًا الوصول إلى هذا الملف بسهولة بواسطة مهاجم إذا كان نفس الملف و / أو الإعدادات تشق طريقها إلى الإنتاج.

تم تعطيل تصحيح WordPress افتراضيًا. على الرغم من أنه من الأفضل دائمًا التحقق مرة أخرى من ذلك - تأكد من عدم تحديد ثابت WP_DEBUG في ملف wp-config.php الخاص بك ، أو قم بتعيينه صراحة على false. ارجع إلى دليل تصحيح أخطاء WordPress للحصول على قائمة بجميع خيارات التصحيح.

إذا احتجت لسبب ما إلى سجلات تصحيح أخطاء WordPress على موقع الويب الخاص بك ، فقم بتسجيل الدخول إلى ملف خارج جذر خادم الويب (على سبيل المثال /var/log/wordpress/debug.log). لتغيير السلطة الفلسطينية

define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');

تعطيل XML-RPC

تم تصميم مواصفات XML-RPC الخاصة بـ WordPress للسماح بالاتصال بين الأنظمة المختلفة. هذا يعني أن أي تطبيق تقريبًا يمكنه التفاعل مع WordPress. كانت مواصفات WordPress XML-RPC مهمة تاريخيًا لـ WordPress. يسمح لها بالتفاعل والتكامل مع الأنظمة والبرامج الأخرى.

الشيء الجيد هو أن XML-RPC تم استبداله بواجهة برمجة تطبيقات WordPress REST. لتسليط الضوء على بعض المخاوف الأمنية حول XML-RPC ؛ كانت الواجهة مصدر العديد من الثغرات الأمنية على مر السنين. كما يمكن استخدامه من قبل المهاجمين لتعداد اسم المستخدم والتأثير الغاشم لكلمة المرور. أو رفض الخدمة (DoS) عبر عمليات pingbacks XML-RPC.

لذلك ، ما لم تكن تستخدم XML-RPC بنشاط ولديك ضوابط أمان مناسبة ، فيجب عليك تعطيلها. نظرًا لأن هذا شيء يمكن تحقيقه بسهولة دون تثبيت مكون إضافي تابع لجهة خارجية ، فسوف نغطي كيفية القيام بذلك أدناه.

بينما يمكنك ببساطة تكوين خادم الويب الخاص بك لمنع الوصول إلى /xmlrpc.php ، فإن الطريقة المفضلة للقيام بذلك هي تعطيل XML-RPC بشكل صريح باستخدام مرشح WordPress المدمج. ما عليك سوى إضافة ما يلي إلى ملف البرنامج المساعد وتنشيطه على موقعك.

add_filter('xmlrpc_enabled', '__return_false');

انتباه

• إنها لفكرة جيدة أن تستخدم WordPress يجب أن يستخدم البرنامج المساعد لهذا ومقتطفات التعليمات البرمجية الأخرى المماثلة.

تقييد واجهة برمجة تطبيقات WordPress REST

على نفس المنوال مثل XML-RPC ، فإن WordPress API هي الطريقة الحديثة لتطبيقات الطرف الثالث للتواصل مع WordPress. في حين أنه آمن للاستخدام ، فمن المستحسن تقييد بعض الوظائف داخله لمنع تعداد المستخدم وغيرها من نقاط الضعف المحتملة. على عكس XML-RPC ، لا يوفر WordPress طريقة بسيطة وأصلية لتعطيل واجهة برمجة تطبيقات REST بالكامل (كانت تستخدم لـ ² ، ولكن تم إهمال هذا ، لذلك من الحكمة عدم القيام بذلك بعد الآن) ، ومع ذلك ، يمكنك تقييده.

كما هو معتاد في WordPress ، يمكنك إما استخدام مكون إضافي لتحقيق ذلك ، أو يمكنك إضافة عامل التصفية التالي إلى ملف البرنامج المساعد وتنشيطه على موقعك. ستعمل الكود التالي على تعطيل WordPress REST API لأي شخص لم يقم بتسجيل الدخول عن طريق إعادة رمز حالة HTTP غير مصرح به (رمز الحالة 401) باستخدام الخطاف rest_authentication_errors WordPress.

add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
}
return $result;
});

بالإضافة إلى ذلك ، تعمل واجهة برمجة تطبيقات WordPress REST على تمكين JSONP افتراضيًا. JSONP هي تقنية قديمة لتجاوز نفس سياسة الأصل للمتصفح قبل أن تدعم المتصفحات الحديثة CORS (مشاركة الموارد عبر الأصل). نظرًا لأنه من المحتمل أن يتم استخدام هذا كخطوة في هجوم من قبل مهاجم ، فلا يوجد سبب حقيقي لتمكين ذلك. يوصى بتعطيله باستخدام مرشح rest_jsonp_enabled WordPress باستخدام مقتطف PHP التالي.

add_filter('rest_enabled', '__return_false');

راجع وثائق المرشح للحصول على مزيد من المعلومات حوله.

منع الكشف عن إصدار WordPress

مثل العديد من تطبيقات الويب الأخرى ، بشكل افتراضي ، يكشف WordPress عن نسخته في عدد من الأماكن. لا يعد الكشف عن الإصدار ثغرة أمنية بالضبط ، ولكن هذه المعلومات مفيدة جدًا للمهاجم عند التخطيط لهجوم. نتيجة لذلك ، قد يؤدي تعطيل ميزات الكشف عن إصدار WordPress إلى جعل الهجوم أكثر صعوبة قليلاً.

يقوم WordPress بتسريب الكثير من معلومات الإصدار. لحسن الحظ ، تقدم قائمة GitHub هذه قائمة شاملة بفلاتر WordPress لتعطيلها في شكل مكون إضافي لبرنامج WordPress. بالطبع يمكنك دمج هذا الرمز في أي مكونات إضافية خاصة بالموقع أو لا بد من استخدامها لديك بالفعل.

منع تعداد مستخدم WordPress

WordPress عرضة لعدد من هجمات تعداد المستخدمين. تسمح مثل هذه الهجمات للمهاجم بمعرفة ما هو وجود المستخدمين سواء كان المستخدم موجودًا أم لا. بينما قد يبدو هذا غير ضار ، ضع في اعتبارك أن المهاجمين قد يستخدمون هذه المعلومات كجزء من هجوم أكبر. لمزيد من المعلومات حول هذا الموضوع ، اقرأ كيفية تعداد مستخدمي WordPress باستخدام WPScan.

من أجل منع تعداد مستخدم WordPress ، ستحتاج إلى التأكد من تعطيل أو تقييد ميزات WordPress التالية.

• قصر واجهة برمجة تطبيقات WordPress REST على المستخدمين غير المصادق عليهم
• تعطيل WordPress XML-RPC
• لا تعرض / wp-admin و /wp-login.php مباشرةً إلى الإنترنت العام

بالإضافة إلى ذلك ، ستحتاج أيضًا إلى تكوين خادم الويب الخاص بك لمنع الوصول إلى /؟ author = <number>. إذا كنت تستخدم Nginx ، فيمكنك استخدام التكوين التالي لمنع تعداد مستخدمي WordPress.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule .* - [R=403,L]

بدلاً من ذلك ، إذا كنت تستخدم خادم Apache HTTP ، فيمكنك استخدام التكوين التالي لمنع تعداد مستخدم WordPress.

if ( $query_string ~ "author=([0-9]*)" ) {
return 403;
}

قم بتعطيل محرر ملف WordPress

واحدة من أخطر ميزات WordPress هي القدرة على تحرير الملفات من داخل لوحة معلومات WordPress نفسها. يجب ألا يكون هناك سبب شرعي حيث يجب على أي مستخدم القيام بذلك ، وبالتأكيد ليس على WordPress الأساسية. إذا كان هناك أي شيء ، فأنت تريد التأكد من أنك تعرف بالضبط ما هي الملفات التي تم تغييرها باستخدام مكون أمان إضافي لمراقبة تكامل الملفات (FIM).

ليتم تنبيهك بتغييرات الملفات ، استخدم المكون الإضافي مراقب تغييرات ملف موقع الويب ، الذي نقوم بتطويره.

يجب أن تحدث أي تغييرات في ملف موقع الويب الخاص بك إما عبر اتصال آمن (مثل SFTP) ، أو يفضل تعقبها في مستودع التحكم في الإصدار ونشرها باستخدام CI / CD.

لتعطيل محرر ملفات الإضافات والقوالب في لوحة معلومات WordPress ، ما عليك سوى إضافة ما يلي إلى ملف wp-config.php.

define('DISALLOW_FILE_EDIT', true );

تعطيل إدارة السمات والمكونات الإضافية

أفضل ممارسات أمان WordPress الجيدة هي تعطيل إدارة المكونات الإضافية والقوالب من لوحة معلومات WordPress. بدلاً من ذلك ، استخدم أدوات سطر الأوامر مثل wp-cli لإجراء هذه التغييرات.

من خلال تعطيل تغييرات السمات والمكونات الإضافية ، فإنك تقلل بشكل كبير من سطح هجوم موقع WordPress الخاص بك. في هذه الحالة ، حتى إذا نجح المهاجم في اختراق حساب المسؤول ، فلن يتمكن من تحميل مكون إضافي ضار لتصعيد الهجوم بما يتجاوز الوصول إلى لوحة معلومات WordPress.

يعمل الثابت DISALLOW_FILE_MODS المحدد في wp-config.php على تعطيل تحديثات المكونات الإضافية والسمات والتثبيت من خلال لوحة القيادة. كما أنه يعطل جميع تعديلات الملفات داخل لوحة القيادة ، وبالتالي إزالة محرر السمات ومحرر البرنامج المساعد.

لتعطيل تعديلات السمة والمكونات الإضافية في لوحة معلومات WordPress ، أضف ما يلي إلى ملف wp-config.php.

define('DISALLOW_FILE_MODS', true );

ووردبريس HTTPS (SSL / TLS)

يعد بروتوكول أمان طبقة النقل (TLS) ضروريًا تمامًا لأمن WordPress الخاص بك ، فهو مجاني وسهل الإعداد. ملاحظة: TLS هو البروتوكول الذي حل محل Secure Socket Layer ، SSL. ومع ذلك ، نظرًا لأن مصطلح SSL شائع جدًا ، لا يزال الكثيرون يشيرون إلى TLS على أنه SSL.

عندما تزور موقع الويب الخاص بك عبر HTTPS (HTTP عبر TLS) ، لا يمكن اعتراض طلبات واستجابات HTTP والتطفل عليها أو تعديلها من قبل المهاجم.

بينما يرتبط TLS بخادم الويب الخاص بك ، أو شبكة توصيل المحتوى (CDN) أكثر من تثبيت WordPress الخاص بك ، فإن أحد أهم جوانب TLS (WordPress HTTPS) هو فرضه. هناك ثروة من المعلومات عبر الإنترنت حول كيفية إعداد WordPress HTTPS (SSL و TLS).

إذا لم تكن مرتاحًا لتحرير ملفات التكوين ، وتفضل التبديل إلى WordPress HTTPS باستخدام مكون إضافي ، فيمكنك استخدام Really Simple SSL أو WP Force SSL. كلاهما جيد جدًا وسهل الاستخدام.

الخطوات التالية للحصول على WordPress أكثر أمانًا

إذا كنت قد وصلت إلى هذا الحد ، فهذا رائع ، لكن هذا لا يعني أنه لا يوجد المزيد من الجهد الذي يتعين القيام به. فيما يلي عدد من العناصر التي يمكنك النظر فيها لتقوية موقع WordPress الخاص بك بشكل أكبر.

1. هاردن PHP. نظرًا لأن PHP مكون أساسي في أي موقع ويب WordPress ، فإن تقوية PHP هي إحدى الخطوات المنطقية التالية. لقد كتبنا عن هذا على نطاق واسع في أفضل إعداد أمان PHP لمواقع WordPress.
2. استخدم ملحقات الأمان ذات السمعة الطيبة. توفر المكونات الإضافية للأمان عالية الجودة ميزات أمان متقدمة غير مدرجة في WordPress أصلاً. هناك عدد هائل من المكونات الإضافية للأمان في WordPress. ومع ذلك ، تأكد من اختيار المكونات الإضافية ذات السمعة الطيبة والأفضل من تلك التي يتوفر فيها الدعم المتميز أو التجاري ، مثل المكونات الإضافية الأمنية عالية الجودة لبرنامج WordPress.
3. قم بإجراء تدقيق أذونات الملف. بالنسبة لمواقع WordPress التي تعمل على نظام Linux ، قد تسمح أذونات الملفات غير الصحيحة للمستخدمين غير المصرح لهم بالوصول إلى الملفات التي يحتمل أن تكون حساسة. لمزيد من المعلومات حول هذا الموضوع ، راجع دليلنا لتكوين أذونات موقع WordPress الآمن وخادم الويب.
4. قم بإجراء تدقيق لملف النسخ الاحتياطي. قد تؤدي ملفات النسخ الاحتياطي التي تُركت بطريق الخطأ إلى تسرب معلومات حساسة. يتضمن هذا التكوين الذي يحتوي على أسرار قد تسمح للمهاجمين بالتحكم في تثبيت WordPress بالكامل.
5. تقوية خادم الويب الخاص بك
6. تصلب MySQL
7. أضف رؤوس أمان HTTP الضرورية
8. تأكد من أن لديك نظام نسخ احتياطي يعمل بنظام WordPress.
9. استخدم خدمة حماية DDoS
10. تنفيذ سياسة أمان المحتوى
11. إدارة النسخ الاحتياطية المكشوفة والملفات غير المرجعية.

الخلاصة - هذه فقط الخطوة الأولى في رحلة أمان WordPress

تهانينا! إذا اتبعت جميع النصائح المذكورة أعلاه ونفذت جميع أفضل الممارسات الأمنية الموصى بها ، فسيكون موقع WordPress الخاص بك آمنًا. ومع ذلك ، فإن أمان WordPress ليس إصلاحًا لمرة واحدة - إنه عملية تتطور باستمرار. هناك فرق كبير بين تقوية موقع WordPress (حالة لمرة واحدة) مقابل إبقائه آمنًا لسنوات.

التقوية هي مجرد واحدة من أربع مراحل في عملية أمان WordPress (عجلة أمان WordPress). للحصول على موقع ويب WordPress آمن على مدار العام ، عليك اتباع عملية أمان WordPress التكرارية للاختبار> التشديد> المراقبة> التحسين. يجب عليك اختبار حالة الأمان لموقع الويب الخاص بك على WordPress والتحقق منها بشكل مستمر ، وتقوية البرنامج ، ومراقبة النظام وتحسين الإعداد بناءً على ما تراه وتتعلمه. فمثلا:

• يمكن أن تساعدك أداة مثل WPScan في اختبار الوضع الأمني ​​لموقع WordPress الخاص بك
• يمكن لجدار حماية WordPress حماية موقع WordPress الخاص بك من هجمات الاختراق المعروفة الضارة
• يمكن أن يساعدك سجل نشاط WordPress في قطع شوط طويل - من خلال الاحتفاظ بسجل لجميع التغييرات التي تحدث على موقع الويب الخاص بك ، يمكنك تحسين مساءلة المستخدم ، ومعرفة ما يقوم به كل مستخدم وكذلك مراقبة جميع الأنشطة التي تتم تحت غطاء محرك السيارة
• يمكن أن تساعدك أدوات مثل المكونات الإضافية للأمان والإدارة في WordPress في ضمان أمان كلمات المرور ، وتقوية عملية أمان WordPress ، وتنبيهك بتغييرات الملفات وغير ذلك الكثير

لديك كل الأدوات الصحيحة للحفاظ على موقعك آمنًا. حتى إذا كنت تدير موقع ويب WordPress صغيرًا ، خذ الوقت الكافي للعمل تدريجيًا من خلال هذا الدليل. تأكد من عدم قيامك في نهاية المطاف بوضع العمل في بناء موقع ويب رائع ، فقط ليتم نهبها بواسطة هجوم يستهدف WordPress.

لا يوجد شيء اسمه حماية فعالة بنسبة 100٪. ومع ذلك ، فإنك تجعل الأمر أكثر صعوبة بالنسبة للمهاجم في الحصول على موطئ قدم ومهاجمة موقع WordPress الخاص بك بنجاح من خلال تطبيق تقنيات التقوية المختلفة التي يغطيها هذا الدليل. تذكر أنه عندما يستهدف المهاجمون ضحيتهم التالية ، فلا داعي للتغلب عليهم. ما عليك سوى أن تكون أكثر أمانًا من موقع الويب الضعيف التالي!