كيفية تأمين موقع WordPress الخاص بك في عام 2023 (برنامج تعليمي مفصل)

نشرت: 2023-07-28

أصبح WordPress أحد أشهر أنظمة إدارة المحتوى (CMS) في العالم ، مع أكثر من 44٪ من مواقع الويب المبنية عليه. كما هو الحال مع أي نظام أساسي عبر الإنترنت ، يجب أن يكون الأمان على رأس قائمة اهتماماتك. في هذا المنشور ، سنفحص مخاوف أمان WordPress ونقدم نصائح حول كيفية الحفاظ على موقع WordPress الخاص بك آمنًا وآمنًا.

دعنا نتعمق.

جدول المحتويات
  • 1 هل WordPress آمن؟
  • 2 مخاوف أمنية ووردبريس
  • 3 كيفية تأمين موقع WordPress الخاص بك
    • 3.1 أمان ووردبريس: اختر استضافة ووردبريس جيدة
    • 3.2 حافظ على تسجيل الدخول إلى WordPress الخاص بك آمنًا
    • 3.3 استخدم مجموعة من إضافات أمان WordPress
    • 3.4 حافظ على تحديث PHP
    • 3.5 اختر كلمات مرور قوية
    • 3.6 أمان WordPress: حافظ على تحديث البرنامج
    • 3.7 تثبيت شهادة SSL
    • 3.8 إجراء تدقيق الأمان
    • 3.9 تقنيات أمان WordPress المتقدمة
  • 4 ماذا تفعل إذا تم اختراق موقع WordPress الخاص بك
  • 5 أفكار أخيرة حول أمان WordPress

هل WordPress آمن؟

WordPress.org

بالنسبة للجزء الأكبر ، نعم. يعمل مطورو WordPress بجد للحفاظ على أمان نظامهم الأساسي من خلال التصحيحات والتحديثات التي تحدث بانتظام. ومع ذلك ، نظرًا لأن WordPress مبني على إطار عمل مفتوح المصدر ، يمكن للقراصنة تحليل كيفية إنشائه وتطوير طرق جديدة بشكل متكرر للسيطرة على مواقع WordPress. لهذا السبب ، يعد أمان WordPress أمرًا بالغ الأهمية. من المهم معرفة المخاطر المرتبطة باستخدام WordPress لفهم كيفية تأمين موقع الويب الخاص بك بشكل أفضل.

مخاوف أمنية ووردبريس

عند تشغيل موقع WordPress على الويب ، هناك العديد من المخاطر المحتملة التي يجب أن تكون على دراية بها. أحد أكبر مخاوف المتسللين. نظرًا لأن WordPress شائع جدًا ، فإنه يجذب انتباه الجهات الفاعلة الشائنة الذين يحاولون استغلال نقاط الضعف مثل المكونات الإضافية القديمة أو الملفات الأساسية للحصول على وصول غير مصرح به إلى موقعك. يمكنهم استخدام أساليب مثل الأبواب الخلفية ، وشن هجمات القوة الغاشمة ، وهجمات الأدوية ، وهجمات رفض الخدمة (DoS) ، أو البرمجة النصية عبر المواقع (XSS).

إذا تركت دون حل ، فقد تكون هناك عواقب وخيمة ، مثل البرامج الضارة (رمز ضار مصمم لسرقة معلومات زائر موقعك) ، وإعادة توجيه موقع الويب الخاص بك إلى موقع مختلف تمامًا ، وإضافة محتوى لا تعرفه ، وتحذيرات Google التي يمكن أن تضر بمركزك في SERPs ، أو ما هو أسوأ ، عدم القدرة على تسجيل الدخول إلى موقع الويب الخاص بك.

كيفية تأمين موقع WordPress الخاص بك

سيستكشف القسم التالي أفضل الممارسات لتحسين أمان WordPress لحماية موقع الويب الخاص بك من التهديدات المحتملة.

اشترك في قناتنا على اليوتيوب

أمان WordPress: اختر Good WordPress Hosting

الخطوة الأولى التي يجب اتخاذها هي الشراكة مع شركة استضافة WordPress جيدة. مع توفر العديد من الخيارات ، قد يكون من الصعب تحديد كيفية اختيار المضيف المناسب. إذا كنت مبتدئًا ، فمن الأفضل اختيار موفر استضافة مُدار جيدًا ، مثل SiteGround ، والذي سيوفر جميع تحديثات الأمان لـ WordPress ، مع الحفاظ أيضًا على الخادم المثبت عليه. بالنسبة لأولئك الذين هم أكثر ذكاءً من الناحية التقنية ، يعد مزود الاستضافة السحابية ، مثل Cloudways ، خيارًا ممتازًا.

استضافة SiteGround WordPress

يمنحك أي من الخيارين جميع الأدوات التي تحتاجها للتأكد من أن موقع الويب الخاص بك آمن ، بما في ذلك:

  • شهادة SSL مجانية
  • جدار حماية تطبيقات الويب (WAF)
  • الوصول إلى SFTP
  • حماية رفض الخدمة الموزعة (DDoS)
  • حماية من البرمجيات الخبيثة

حافظ على أمان تسجيل الدخول إلى WordPress الخاص بك

هناك شيء آخر سهل يمكنك القيام به لتعزيز أمان WordPress الخاص بك وهو تأمين بيانات اعتماد تسجيل الدخول الخاصة بك. يمكن القيام بذلك بعدة طرق ، بما في ذلك استخدام مكون إضافي لتغيير عنوان URL لتسجيل الدخول من / wp-admin إلى شيء من اختيارك. يمكنك أيضًا إضافة مصادقة ثنائية (2FA) لتسجيل الدخول الخاص بك والحد من محاولات تسجيل الدخول ، مما سيساعد في صد برامج الروبوت.

تسجيل الدخول إلى تطبيقات Google

هناك طريقة أخرى لحماية تسجيل الدخول الخاص بك عن طريق ربطه بحساب Google الخاص بك باستخدام تسجيل الدخول إلى تطبيقات Google لـ WordPress. بمجرد قفل تسجيل الدخول الخاص بك ، يجب أن تقوم بإدراج عناوين IP الخاصة بالمستخدمين في القائمة البيضاء. هذا يضمن أن المستخدمين المسجلين فقط هم من يمكنهم الدخول ، حتى لو تمكنوا من معرفة كلمة المرور الخاصة بك.

استخدم مجموعة من إضافات أمان WordPress

شيء آخر مفيد للغاية يمكنك القيام به هو تثبيت مكون إضافي جيد للأمان ، مثل iThemes Security. سيسمح لك بإضافة 2FA ، والحد من محاولات تسجيل الدخول ، وجدولة النسخ الاحتياطية ، وإخفاء تسجيل الدخول إلى WordPress الخاص بك.

ithemes الأمن المساعد

بالإضافة إلى مكوّن أمان WordPress الإضافي ، فكر في تثبيت مكون إضافي جيد للنسخ الاحتياطي ، مثل UpdraftPlus ، إذا كان مضيفك لا يقدم نسخًا احتياطية. يحميك المكون الإضافي للنسخ الاحتياطي من فقدان ملفات موقعك ، مما يساعدك على تجنب إعادة إنشاء WordPress من البداية. يمكنك بسهولة استعادة موقعك بجهد ضئيل إذا حدث خطأ ما. أخيرًا ، سيسمح لك دمج مكون إضافي لسجل النشاط مثل WP Activity Log بتحديد الخطأ الذي حدث ومتى.

حافظ على تحديث PHP

يتطلب WordPress ثلاثة أشياء للعمل بشكل صحيح: دعم PHP و MySQL و HTTPS. PHP ، أو المعالج المسبق للنص التشعبي ، هي لغة برمجة نصية شائعة مفتوحة المصدر تُستخدم في تطوير الويب وهي العمود الفقري لـ WP. مثل WordPress ، فإن كونك مفتوح المصدر يتركه مفتوحًا للممثلين الخبيثين الذين يتطلعون إلى الاستفادة. لتجنب هذه المشكلات المحتملة ، من الأفضل تحديث PHP باستمرار. لا يساعد فقط في أمان WordPress ، ولكنه أيضًا يحافظ على تشغيل موقعك على النحو الأمثل.

كيف يعمل PHP

اختر كلمات مرور قوية

أحد أهم جوانب أمان WordPress هو اختيار كلمات مرور قوية لتسجيل الدخول. تجعل كلمات المرور الضعيفة أو التي يسهل تخمينها موقعك عرضة للوصول غير المصرح به وتعرض موقعك إلى شبكات الروبوت. الروبوتات عبارة عن مجموعة من أجهزة الكمبيوتر التي أصيبت ببرامج ضارة وتخضع لسيطرة أحد المتطفلين. إنها السبب الرئيسي لهجمات DDoS على الإنترنت ، ولكن يمكنك منع موقعك من الوقوع ضحية لها من خلال اتخاذ الاحتياطات الصحيحة.

إضافة صانع سياسة كلمة المرور

على سبيل المثال ، يمكنك حماية موقعك من خلال التأكد من التزام جميع المستخدمين بسياسة كلمة المرور. إحدى الطرق الرائعة للقيام بذلك هي تثبيت مكون إضافي مثل Password Policy Maker.

أمان WordPress: حافظ على تحديث البرنامج

هناك خطوة بسيطة أخرى في أمان WordPress وهي الحفاظ على تحديث WordPress الأساسي والإضافات والسمات. قد يكون لترك البرنامج قديمًا عواقب سلبية على موقع الويب الخاص بك ، بما في ذلك الانتهاكات الأمنية أو شاشة الموت البيضاء في WordPress أو أي عدد من الأخطاء الشائعة.

يمكنك إما مواكبة التحديثات بنفسك أو تمكين التحديثات التلقائية. يعتمد ما يناسبك على عدة عوامل ، بما في ذلك الوقت والخبرة ونوع البرنامج الذي يعمل عليه تثبيت WordPress. بغض النظر عما إذا كنت تتعامل مع التحديثات أو تختار التحديث تلقائيًا ، يجب عليك دائمًا عمل نسخة احتياطية قبل إجراء أي تحديثات.

قم بتثبيت شهادة SSL

إذا كنت شريكًا مع مزود استضافة جيد ، فإن إحدى المزايا التي تأتي معه هي شهادة SSL مجانية. ومع ذلك ، قد تكون هناك مواقف تحتاج فيها إلى تثبيت واحد بنفسك. يقدم معظم الموفرين ، مثل SiteGround ، SSL مجانيًا يتم تثبيته في بضع دقائق. أثناء قراءتك لهذا ، قد تسأل ، "لماذا أحتاج إلى شهادة SSL؟". دعنا نوضح.

شهادة SSL أمان WordPress

الصورة مجاملة من فاليري بروجينسكي | موقع Shutterstock.com

تقوم طبقة المقابس الآمنة ، أو طبقة المقابس الآمنة ، بتوسيع بروتوكول نقل النص التشعبي (HTTP) إلى بروتوكول نقل النص التشعبي الآمن (HTTPS) ، مضيفًا التشفير وطبقة أمان إضافية. على سبيل المثال ، فإن المستهلك الذي يقوم بعملية شراء عبر HTTP يخاطر باستغلال معلومات بطاقة الائتمان الخاصة به. من ناحية أخرى ، ستكون معلوماتهم محمية إذا قاموا بنفس عملية الشراء عبر HTTPS. موقعك وزواره مكشوفون ومعرضون للهجوم بدون هذا الاتصال الآمن. هذا هو السبب في أن تثبيت شهادة SSL على أي موقع ويب جديد أمر بالغ الأهمية.

قم بإجراء تدقيق أمني

بمجرد اتخاذ خطوات لتأمين موقعك ، من المهم إجراء تدقيق أمان على WordPress من حين لآخر. تمامًا كما تتغير التكنولوجيا يوميًا ، تتغير أيضًا ترسانة أدوات المخترق. يتم تطوير البرامج الضارة والتكتيكات الأخرى بشكل منتظم ، لذا فإن تأمين موقع WordPress الخاص بك ليس صفقة فردية. قم بجدولة فحوصات أمنية منتظمة ، وابحث عن العلامات التي تشير إلى أن موقعك قد يكون في مشكلة. إذا لاحظت أن موقعك يتم تحميله ببطء ، أو تنخفض حركة المرور الخاصة بك ، أو اكتشفت روابط جديدة لم تقم بإضافتها ، أو واجهت محاولات تسجيل دخول مفرطة ، فقد يكون الوقت قد حان لإجراء فحص أمني لضمان بقاء موقعك آمنًا.

تقنيات أمان ووردبريس المتقدمة

بالإضافة إلى الخطوات المذكورة أعلاه ، هناك بعض التقنيات الأكثر تقدمًا لدمجها في موقعك لتحسين أمان WordPress.

صلّب ملف wp-config.php

أحد نقاط الدخول الشائعة للمتسللين هو ملف wp-config.php الخاص بموقع WordPress الخاص بك. يضم معلومات حول قاعدة البيانات الخاصة بك ، بما في ذلك الاسم والمضيف واسم المستخدم وكلمة المرور. قد يكون ترك هذا الملف المهم مفتوحًا ضارًا ، لذا فإن إخفاؤه دائمًا فكرة جيدة.

انقل ملف wp-config.php الخاص بك

لنقل wp-config ، يمكنك سحبه إلى المجلد الجذر لموقعك (HTML العام) ، وسيبحث عنه WordPress كلما تعرض الموقع لضغوط. ومع ذلك ، إذا كانت بنية ملف موقعك تتضمن ملف htaccess ، فيمكنك حمايته بشكل أكبر عن طريق إضافة توجيه لرفض الوصول إليه باستخدام الكود التالي: 

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

ملاحظة: قبل القيام بذلك ، تأكد من أن موفر الاستضافة لم يتخذ بالفعل خطوات لنقل ملف wp-config الخاص بك. يقوم بعض المضيفين ، مثل Kinsta ، بذلك تلقائيًا للحفاظ على أمان موقعك.

تغيير مفاتيح الملح في ووردبريس

مفاتيح ملح ووردبريس

هناك طريقة أخرى لحماية ملف wp-config عن طريق تغيير مفاتيح الملح الخاصة بموقعك. تضيف هذه المفاتيح طبقة إضافية من الحماية أثناء حفظ كلمات المرور في قاعدة البيانات الخاصة بك ، وتسجيل الدخول إلى ملفات تعريف الارتباط ، وغيرها من جوانب أمان WordPress المهمة. إذا تمكن المتسللون من الحصول على مفاتيح الملح الخاصة بك ، فيمكنهم الوصول إلى قاعدة بيانات وملفات موقعك ، بما في ذلك معلومات بطاقة الائتمان المخزنة وكلمات المرور والمعلومات المهمة الأخرى. لذلك ، يوصى بتغييرها بشكل دوري.

تغيير أذونات الملفات

بشكل افتراضي ، يتم تعيين الملفات الموجودة في الدليل الجذر على 644 ، مما يعني أنها قابلة للقراءة والكتابة ، مما يجعلها عرضة للجهات الفاعلة السيئة. وفقًا لـ WordPress ، لا ينبغي ترك هذه الأذونات الافتراضية. بدلاً من ذلك ، يجب تغييرها إلى 440 أو 400 لمنع الآخرين على نفس الخادم من قراءتها. ومع ذلك ، من المهم التحقق من مزود الاستضافة قبل إجراء أي تغييرات على أذونات الملفات الخاصة بك. قد يكون لديهم نظام فريد في مكانه ، لذلك قد يؤدي تغيير الأذونات إلى تعطيل موقعك.

تعطيل XML-RPC

XML-RPC هي واجهة برمجة تطبيقات WordPress تتيح لك توصيل موقع الويب الخاص بك بتطبيقات وأدوات الطرف الثالث. في السنوات الأخيرة ، تم استغلاله من قبل هجمات القوة الغاشمة ، مما سمح بالوصول إلى مواقع WordPress. يتم استخدامه بشكل أساسي لإجراء اتصالات Zapier أو الوصول إلى موقعك عن بُعد من خلال أحد التطبيقات. يجب عليك تعطيل XML-RPC على الخادم الخاص بك إذا كنت لا تستخدم أيًا من هذه الاتصالات.

هناك عدة طرق للقيام بذلك ، بما في ذلك تعطيله من خلال htaccess ، أو باستخدام مقتطف رمز ، أو باستخدام مكون إضافي. قد تكون الطريقة الأكثر تقدمًا ، htaccess ، خادعة للمبتدئين ، لذا فإن الطريقة الموصى بها هي استخدام مقتطف الشفرة.

بالنسبة لطريقة htaccess ، استخدم عميل FTP للوصول إلى ملفات موقعك ، ثم أضف الكود التالي إلى ملف htaccess الخاص بك: 

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

ملاحظة: تأكد من تغيير IP 123.123.123.123 بنفسك.

بدلاً من ذلك ، يمكنك استخدام علامة تبويب htaccess الخاصة بأدوات المكون الإضافي AIOSEO لإدراج الكود:

AIOSEO

إذا كنت تفضل تعطيل XML-PRC باستخدام مقتطف الشفرة ، فيمكنك إنجازه بسهولة باستخدام المكون الإضافي WPCode. يحتوي على مقتطف مدمج يمكنك استخدامه لتعطيل واجهة برمجة التطبيقات.

تعطيل XML-PRC

إخفاء نسخة ووردبريس

غالبًا ما يتم التغاضي عن هذه الخطوة عندما يتعلق الأمر بأمان WordPress ، ولكنها خطوة مهمة. بشكل افتراضي ، يترك WordPress بصمة في شفرة موقعك توضح الإصدار المثبت. قد يبدو هذا غير ضار ، ولكن من خلال الوصول إلى شفرة مصدر موقع الويب ، يمكن للقراصنة تحديد إصدار WordPress الذي تقوم بتشغيله. إذا كان قديمًا ، فيمكنهم استخدام هذه المعلومات لاختراق موقعك عن طريق إدخال برامج ضارة أو نصوص برمجية ضارة.

إخفاء نسخة ووردبريس

لذلك ، كإجراء أمني إضافي لـ WordPress ، قم بإخفاء إصدار WordPress لموقعك لجعل الأمر أكثر صعوبة على المتسللين للتحكم في موقعك. هناك طرق جيدة للقيام بذلك. يمكنك إما تنفيذ مكون إضافي لمقتطف الشفرة من شأنه إزالة السطر في الكود المصدري أو إنشاء سمة فرعية ووضعها في ملف function.php الخاص بك. 

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

بدلاً من ذلك ، إذا كنت ترغب في إزالة إصدار WP في العلامة الوصفية ، وفي سلاسل استعلام قاعدة البيانات ، وفي موجزات RSS ، فاستخدم هذا الرمز: 

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

ماذا تفعل إذا تم اختراق موقع WordPress الخاص بك

حتى لو فعلت كل شيء بشكل صحيح ، فقد تجد نفسك في موقف تم فيه اختراق موقع الويب الخاص بك. لحسن الحظ ، هناك خطوات يمكنك اتخاذها ، بما في ذلك وضع موقعك في وضع الاسترداد ، أو الاستعادة من أحدث نسخة احتياطية ، أو إعادة تعيين كلمات المرور الخاصة بك. إذا فشل كل شيء آخر ، فقد يكون مزود الاستضافة الخاص بك قادرًا على المساعدة.

الأفكار النهائية حول أمان WordPress

من خلال اتخاذ الخطوات اللازمة لتعزيز أمان WordPress الخاص بك ، يمكنك التأكد من أن موقعك يستمر في العمل بشكل طبيعي بينما يكون آمنًا للزائرين. بينما يقدم WordPress فوائد هائلة وسهولة في الاستخدام ، من المهم فهم أوجه القصور فيه. لحسن الحظ ، هناك عدد من المكونات الإضافية للأمان في WordPress مثل iThemes التي يمكن أن تساعد في إبقاء الأمور على المسار الصحيح.

هل تبحث عن مزيد من المعلومات حول WordPress؟ تحقق من بعض مقالاتنا المتعمقة التي ستحولك إلى خبير WordPress في أي وقت من الأوقات:

  • كيفية تثبيت WordPress: الدليل النهائي
  • أفضل 10 خيارات لاستضافة WordPress في عام 2023 (مختار بعناية)
  • 31 أفضل ملحقات WordPress في عام 2023 (كل ما تحتاجه)
  • أفضل 10 ثيمات WordPress في عام 2023 (مقارنة ومصنفة)

صورة مميزة عبر Pikovit / shutterstock.com