١٠ طرق لزيادة الأمان في ووردبرس

3-security-risks-wordpress

ووردبرس هو نظام إدارة محتوى بسيط وفي نفس الوقت قوي ويقدم خدمات مختلفة من خلالها يمكن إنشاء كافة أنواع المواقع، كمواقع الشركات أو الأخبار  أو … ومن المؤكد أن أحد أسباب كثرة شعبية الووردبرس هو انتشاره الواسع ووجود عدد كبير من القوالب والاضافات له. هذه الاضافات تضيف إمكانات وخصائص جديدة على المواقع التي تعتمد على نظام ووردبرس… وعدد هذه الاضافات يقدر بالآلاف، وهذا دليل واضح على محبوبية هذا النظام وقدرته العالية وانسيابيته.

بخلاف ما يعتقده البعض فالووردبرس بذاته نظام بأمان عالي ومتقن، ويوماً بعد يوم يسعى فريق ووردبرس إلى إضافة تحديثات جديدة تزيد الأمان في الووردبرس، لكن الإضافات والقوالب والأدوات التي تضاف على هذا النظام هي الخطر الأساسي، فمن الممكن أن تحتوي على ثغرات أمنية تسهل عمل المخترقين، وبالتالي سيتم اختراق الموقع من خلالها.

لكن يمكن زيادة درجة الأمان من خلال خطوات بسيطة يمكن لأي شخص القيام بها … يكفي أن تخصصوا عدة دقائق من وقتكم لقراءة هذا المقال لزيادة أمان ووردبرس.

1ـ الاستضافة الآمنة

server_web_secure

أحد أهم عوامل الاختراق التي تحدث هي الاستفادة من الاستضافة الغير آمنة، فمهما كان الووردبرس آمناً لن ينفغ إذا كانت الاستضافة غير آمنة.

لا تجعلوا السعر هو العامل الرئيسي لاختيار الاستضافة، فعدد غير قليل من الاستضافات تقدم خدماتها بمبالغ زهيدة لكنها لا تعرف للأمان معنى، فحاولوا أن تختاروا ما هو آمن ومطمئن، وبالطبع سيكلفكم ذلك مبالغ أكثر من الاستضافة العادية لكنها تستحق ذلك حقاً.

٢ـ تقييد دفعات تسجيل الدخول غير الموفق

password-security-wordpress

أحد طرق الاختراق المتعارفة هي الاستفادة من روبات يقوم بحملة تدعى Brute-force. لكن لو قيدتم دفعات تسجيل الدخول غير الموفقة فبالتأكيد بعد فترة سيتم اغلاق IP المخترق ولن يوفق في اكمال عمله.

ما تقومون به في الووردبرس هو تحديد عدد مرات الدخول غير الموفق كي يتم ايقاف عمل الـ IP بعد ذلك… يمكن القيام بذلك بطريقة سهلة وهي الاستفادة من اضافة مخصصة لهذه العملية. طبعاً هذه الاضافة مجربة وآمنة.

٣ـ اخفاء اسم المستخدم من رابط أرشيف الكتّاب

VAASSEN01296_web

طريق اخر لاختراق الووردبرس هو عن طريقة معرفة اسم المستخدم الخاص بالإدارة، فإن عرف المخترق ذلك بالأحرى قطع نصف الطريق، فعليه فقد أن يجد بأي طريقة كلمة المرور. فالووردبرس بشكل افتراضي يضع اسم المستخدم في الأرشيف على شكل رابط. فاذا كان اسم المستخدم ali، فمن المحتمل أن يكون الرابط الخاص بذلك هو:

http://yoursite.com/author/ali

يمكنكم اخفاء الاسم ببساطة تامة، فقط عليكم تغيير User_nicename (الاسم اللطيف كما هو مترجم في الووردبرس) في قاعدة البيانات.

٤ـ المحافظة على ملف wp-config.php

إن ملف wp-config.php في غاية الأهمية، فهو يحتوي على رمز الدخول لقاعدة البيانات، ومن الطبيعي أنه خطر للغاية… طبعاً لا يمكن لأحد غير صاحب الموقع (الشخصي الذي يسجل دخوله في الموقع) أن يرى الرموز، فهي مشفرة للآخرين، لكن من الأفضل أن نقلل الإذن أو التصريح الخاص بهذا الملف إلى 400 أو 440.

لتقليل الإذن أو التصريح يكفي أن تدخلوا على محتويات الموقع من خلال أي برنامج ftp clinet وتختاروا الملف wp-config.php ثم بالزر الأيمن للماوس تختاروا permission وتقللوا الرقم إلى 400 أو 440.

يمكن القيام أيضاً بذلك من خلال إضافة الكود التالي في ملف .htaccess

<Files wp-config.php>
order allow,deny
deny from all
</Files>

٥ ـ المحافظة على ملف .htaccess

نفس المراحل التي قمنا بها في الأعلى يمكن أن نطبقها على هذا الملف أيضاً، أو يمكن أن نضيف الكود التالي في نفس ملف .htaccess.

<Files .htaccess>
   order allow,deny
   deny from all
</Files>

٦ـ إخفاء رقم إصدار الووردبرس

من الواضح أن كل اصدار من الووردبرس فيه عيوب وثغرات أمنية؛ ولهذا السبب فإننا نشهد أن الووردبرس يحدث بين فترة وأخرى. يمكن للمخترق أن يستغل هذه الفرصة للنفوذ إلى ووردبرس واختراقه، وذلك عن طريق معرفة رقم الاصدار وبالتالي سيعرف ما هي الثغرات الأمنية الموجودة في الموقع.

أفضل طريقة هي أن تستفيدوا دائماً من الاصدار الأخير، ثم تقوموا باخفاء رقم الإصدار، يكفي أن تضيفوا الكود التالي على ملف function.php.

remove_action('wp_head', 'wp_generator');

وأيضاً للأمان الأكثر يمكنكم اضافة الكود التالي أيضاً في نفس الملف ليخفي رقم الاصدار في RSS

function wpt_remove_version() {
   return '';
}
add_filter('the_generator', 'wpt_remove_version');

 

 ٧ـ إلغاء إمكانية تحرير الملفات عن طريق لوحة التحكم

بشكل افتراضي يسمح لكم الووردبرس بتحرير كافة ملفات القالب عن طريق لوحة التحكم، وبالتالي فأي شخص يستطيع أن يدخل لوحة التحكم بأي طريقة كانت يستطيع أن يعدل على ملفاتكم ويضيف ويحذف بسهولة. 

لالغاء امكانية تحرير الملفات عن طريق لوحة التحكم يكفي اضافة الكود التالي في ملف wp-config.php

define( ‘DISALLOW_FILE_EDIT’, true );

٨ـ عدم استخدام القوالب المجانية !!

بشكل عام فالأفضل عدم الاستفادة من القوالب المجانية خاصة وإن كان مطورها شخص غير معروف أو معتبر.

الدليل الرئيسي لعدم الاستفادة من القوالب المجانية هو وجود أكواد وترميزات base64 أو ما شابهها، وهي غالباً ما تقوم بنشر الرسائل والروابط المزعجة في موقعكم. فبحسب التجربة التي قمنا بها على ١٠ قوالب مجانية كانت ٨ من هذه القوالب تحتوي على هذا الكود base64!

إن كنتم حقاً بحاجة إلى الاستفادة من القوالب المجانية فعليكم الاستفادة من القوالب الموجودة في مخزن WordPress.org، فتقريباً أغلب القوالب هناك آمنة ـ أؤكد تقريباً ـ والأفضل عدم الاستفادة من القوالب المجانية إلا عند الضرورة.

نفس الموضوع صادق على الاضافات، فالاضافات المجانية إن لم تكن من شركة معتبرة أو موجودة في مخزن موقع WordPress.org فعليكم الحذر منها أو التأكد من سلامتها ثم الاستفادة منها.

 

٩ـ أخذ نسخة احتياطية

enhancing-your-wordpress-backup-with-a-bunch-of-plugins-and-free-reliable-services

حتى وإن قمتم بجميع التدابير الأمنية اللازمة من الضروري جداً جداً أن تأخذوا نسخة احتياطية بشكل متكرر. قد لا يخترق موقعكم، لكن مثلاً عند تثبيت اضافة محددة أو التحديث إلى النسخة الجديدة من الووردبرس تفقدون محتويات الموقع أو جزء منه، فحينها من الضروري الرجوع إلى النسخة الاحتياطية المأخوذة من الموقع.

هناك طرق متعددة وكثيرة جداً لأخذ نسخة احتياطية من الموقع، شرحناها بالتفصيل في مقالة تحت عنوان أخذ نسخة احتياطية من قاعدة البيانات ومعلومات الموقع.

١٠ـ استخدام الإضافات الأمنية!

wordpress-security-plugin

قلنا أعلاه أن علينا عدم الاستفادة من الاضافات الغير آمنة، لكن هذه الاضافات التي نستعرضها معاً هي اضافات معروفة ومجربة تقوم بزيادة أمان الموقع وتشدد التدابير الأمنية.

better wp security - تقدم لكم خصائص واعدادات كاملة تقريباً. 

bulletproof security - اضافة تحافظ على موقعكم من خلال المحافظة على ملف .htaccess.

all in one wp security and firewall - تضيف جدار حماية لموقعكم.

 sucuri scanner - هذه الإضافة تقوم بفحص الموقع بالكامل لمعرفة الملفات المخربة.

wordfence - إضافة تشبه الإضافة الأولى تقدم لكم اعدادات كاملة لحماية الموقع.

websitedefender wordpress security - وهي أيضاً إضافة أخرى تحتوي على إعدادات كثيرة لزيادة الأمان.

exploit scanner - هذه الإضافة تقوم بفحص الموقع بالكامل لمعرفة الأكواد المخربة.

ملاحظة هامة: من الضروري جداً جداً ـ كما أكدنا أعلاه ـ أن تأخذوا نسخة احتياطية قبل الاستفادة من الاضافات أعلاه، لأن بعضها قد يتداخل مع بعض الإضافات المثبتة عندكم في الموقع، أو قد لا يتلاءم مع بعض ملفات القالب. 

 

وفي النهاية علينا أن نذكركم أنه ليس من الضروري القيام بكل ما ذكر أعلاه، فقط تكفي الاستفادة من نقطة أو نقطتين مما ذكر أعلاه، لكننا حاولنا أن نستعرض معاً أفضل وأهم الطرق لحماية الموقع، وأنتم مخيرين … بالرغم من أن القيام بجميع النقاط لن تضر الموقع!

المصدر : + و +


ارسل تعليقك



papyruscenter.com © 2013
كل الحقوق محفوظة لمركز بابيروس، ولا مانع من الاستفادة من محتويات الموقع مع ذكر المصدر.