في كثير من الأحيان، يكتشف أصحاب مواقع ووردبريس أن مواقعهم قد تعرضت للاختراق. ونظرًا لشعبيته كنظام إدارة محتوى، يُعد ووردبريس المنصة الأكثر استهدافًا من قِبل المخترقين، ونتيجةً لذلك، يُساء فهمه لعدم أمانه.
لكن هذا ليس هو الحال حقا.
بفضل طبيعة ووردبريس المفتوحة المصدر، يُمكن لأي شخص استخدامه، إلا أن الغالبية العظمى من مستخدميه ليسوا على دراية كافية بممارسات الأمن السيبراني الأساسية. هذا ما يُوحي بأن ووردبريس أقل أمانًا من خيارات بناء المواقع الأخرى.
نادرًا ما يواجه الأشخاص الذين يتبعون ممارسات أمان فعّالة مشاكل اختراق المواقع. فما الذي يجعل موقع ووردبريس آمنًا؟
تأمين موقع WordPress الخاص بك
فيما يلي 10 أشياء يجب وضعها في الاعتبار عندما يتعلق الأمر بتأمين موقع WordPress الخاص بك.
استخدم مضيفًا آمنًا
إذا لم تخرج بأي شيء آخر من هذه التدوينة، انتبه على الأقل لهذا الأمر. موقع WordPress الخاص بك آمن فقط بقدر أمان الخادم الذي يعيش عليه.
معظم مواقع ووردبريس مبنية على استضافة مشتركة، أي أن موقعك موجود على نفس الخادم مع مواقع عملاء آخرين. اختر شركة استضافة تُحافظ على أذونات حسابك على خوادمها بشكل صحيح.
التحقق من ذلك: مقارنة بين أفضل خدمات استضافة WordPress
ليس من غير المألوف أن يُصيب موقع ويب مُخترق مواقع أخرى على نفس الخادم. باختيارك مُضيفًا تُفصل فيه صلاحيات كل حساب بشكل صحيح، يقل خطر التلوث عبر المواقع.
خلافا للرأي الشعبي ، استضافة VPS معرض أيضًا لانتشار البرامج الضارة. هجمات VMescape، حيث تستغل البرامج الضارة ثغرات في منصات المحاكاة الافتراضية، قد تسمح للبرامج الضارة بالهروب من خادم افتراضي خاص (VPS) والانتقال إلى خادم افتراضي خاص آخر يعمل على نفس الأجهزة المادية.
ستُطبّق أيضًا على المضيفين الآمنين إجراءات تخفيف أخرى. تشمل هذه الإجراءات استخدام mod-security في تكوين خادم الويب، وحزم مكافحة البرامج الضارة مثل Imunify360، وحماية DDoS لمنع المواقع من التعرّض لهجمات الروبوتات.
حافظ على تحديث جوهر موقعك وموضوعاتك وإضافاتك
تُخترق معظم مواقع ووردبريس بسبب برمجياتها القديمة. هذا ليس رأيًا، بل حقيقة مُوثّقة.
توصل باحثو الأمن الذين أجروا تحليلات جنائية على آلاف مواقع WordPress المخترقة دون أدنى شك إلى أن المكونات الإضافية والموضوعات القديمة مسؤولة عن أكثر من 80% منها.
تخيل، بمجرد تحديث سماتك وإضافاتك، يمكنك تقليل احتمالية تعرض موقعك للاختراق بنسبة 80%. هذا هو مفتاح تأمين ووردبريس، وهو أمر جدير بالاهتمام.
تمكين المصادقة الثنائية
في حين أن السمات والإضافات القديمة مسؤولة عن الغالبية العظمى من مواقع WordPress التي تم اختراقها، فإن هجمات القوة الغاشمة على أسماء المستخدمين وكلمات المرور هي الأساليب الأكثر شيوعًا التي يتم محاولة الحصول على وصول غير مصرح به إلى مواقع الويب.
رغم أن معدل النجاح منخفض عادة، إلا أن حوالي 8% من المواقع الإلكترونية المخترقة تم اختراقها ببساطة عن طريق تخمين كلمة مرور المستخدم.
إحدى طرق حماية موقعك الإلكتروني هي تفعيل المصادقة الثنائية (2FA). بالإضافة إلى اسم المستخدم وكلمة المرور، تتطلب المصادقة الثنائية منك أيضًا إدخال رمز مرور لمرة واحدة من جهازك المحمول أو عبر رسالة بريد إلكتروني.
إذا كان أحد المتسللين لديه اسم المستخدم وكلمة المرور لموقع الويب الخاص بك، ولكنه لا يملك هاتفك أو لا يستطيع الوصول إلى بريدك الإلكتروني، فلن يتمكن من تسجيل الدخول.
هناك العديد من المكونات الإضافية التي تضيف المصادقة الثنائية إلى موقع الويب الخاص بك، كما أن العديد من مكونات الأمان الشاملة التي سنتحدث عنها في القسم التالي تضيفها أيضًا كجزء من الميزات العديدة التي تتضمنها.
قم بتثبيت مكون إضافي للأمان
هناك أشخاص يقولون إن كل إجراءات الأمان يجب أن يقوم بها المضيف الخاص بك، ولكن في عالم الأمن السيبراني، نعتقد أن الأمان يحدث في طبقات. وجود مكون إضافي للأمان على موقع WordPress الخاص بك الموقع الإلكتروني هو مجرد طبقة أخرى من تلك الطبقات.
عندما يتعلق الأمر بملحقات الأمان، هناك مجموعة متنوعة للاختيار من بينها. إليك بعضًا من أشهر ملحقات الأمان. اختبرها لترى أيها يناسب احتياجاتك.
Wordfence
في حين أن هذه التدوينة لن تتناول أي مكون إضافي للأمان هو الأفضل، فإن المكون الإضافي الأكثر شيوعًا هو Wordfence - وهناك أسباب عظيمة لذلك.
أولاً، Wordfence شركة متخصصة في الأمن، حيث يقتصر عملها على الأمن. فهي ليست مجرد مطور إضافات ووردبريس يمتلك إضافة أمنية في سجل أعماله، إنهم يعيشون ويتنفسون الأمن.
يأتي ملحق Wordfence مزودًا بجدار حماية مجاني لتطبيقات الويب، يفحص كل طلب بحثًا عن ثغرات أمنية معروفة، ويحظرها في حال وجود تطابق. كما يتضمن البرنامج أداة فحص للبرامج الضارة، والتي تبحث عن أي علامات دالة على وجود أنشطة وملفات ضارة. ومن الميزات الرائعة الأخرى قدرة هذا الماسح على فحص جميع ملفات السمات والإضافات لديك، ومقارنتها بتلك الموجودة في مستودع WordPress.org، لضمان تطابقها.
يسجل Wordfence جميع الأنشطة المتعلقة بالأمان بشكل افتراضي حتى تتمكن من مراجعتها والتأكد من أن موقعك آمن.
من الميزات الرائعة الأخرى في Wordfence وحدة المصادقة الثنائية، ما يُمكّنك من إلغاء التوصية رقم 2 في هذه المقالة. وفي نفس السياق، يوفر البرنامج حماية من القوة الغاشمة لمنع عناوين IP التي تحاول تسجيل الدخول عدة مرات، مما يُوقف الروبوتات عن العمل بفعالية.
Sucuri
Sucuri إضافة أمان رائعة أخرى تُساعد في حماية موقع ووردبريس الخاص بك. تحتوي على العديد من الميزات الرائعة التي يُقدمها Wordfence، باستثناء واحد مهم: لا يوجد جدار حماية مجاني، بل هو متاح فقط في باقة مدفوعة مميزة.
من المهم ملاحظة أن إضافة Sucuri اشترتها GoDaddy مؤخرًا، لذا لم تثبت جودتها في دعمها بشكل صحيح بعد. في أوساط استضافة المواقع، لا تحظى GoDaddy بتقدير كبير، لذا سيُظهر الزمن ما إذا كانت هذه السمعة ستمتد إلى Sucuri أم أنها ستتمكن من مواجهة التحدي.
يحتوي Sucuri أيضًا على سجل تدقيق حتى تتمكن من مراجعة الأنشطة المتعلقة بالأمان على موقع الويب الخاص بك مثل عمليات تسجيل الدخول الفاشلة.
الكل في واحد WP Security & Firewall
الكل في واحد WP Security & Firewall هو الإضافة الوحيدة التي تقترب من Wordfence من حيث الشعبية. فهو يوفر العديد من المزايا نفسها، بما في ذلك جدار حماية مجاني قائم على قواعد .htaccess، وحماية من القوة الغاشمة، وفحص أمني.
الشيء الوحيد الذي لا يتضمنه هو وحدة المصادقة الثنائية، لذا ستحتاج إلى إضافة مكون إضافي مستقل لهذه الوظيفة.
يمكن القول إن إضافة All in One WP Security & Firewall تُوفّر جدار حماية قويًا للغاية بين جميع إضافات الأمان. ولأن جدار الحماية يعتمد على ملف .htaccess، تتم معالجته قبل تشغيل أي نصوص برمجية، مما يجعله موثوقًا للغاية.
يتضمن جدار الحماية وأمن ووردبريس الشامل ميزة رائعة للمساعدة في الحماية من التعليقات المزعجة الآلية. كبديل، يمكنك استبدال نظام التعليقات الافتراضي في ووردبريس بـ Deepتعليقات er للحصول على ميزات وحماية إضافية.
استخدم Cloudflare
اكتسبت Cloudflare شعبيةً واسعةً بين مستخدمي ووردبريس بفضل خدمة CDN الممتازة (والمجانية) التي تُساعد على تسريع موقعك الإلكتروني. كما تُقدم Cloudflare مجموعةً من الأدوات المجانية التي تُساعد على حماية موقعك من الهجمات.
أولاً، عندما توجه خوادم الأسماء الخاصة بك إلى Cloudflare، فإنك تحصل على فائدة إحدى أسرع خدمات DNS وأكثرها أمانًا المتاحة وشهادات SSL المجانية.
تتحقق خوادم Cloudflare من كل حركة المرور قبل وصولها إلى الخادم الخاص بك بحثًا عن هجمات DDoS، كما أن جدار الحماية الخاص بها قابل للتكوين بدرجة كبيرة حتى في الإصدار المجاني (مع عدد محدود من القواعد) الذي يسمح لك بتصفية حركة المرور استنادًا إلى البلد أو ASN أو حتى عنوان URL أو سلسلة الاستعلام.
على سبيل المثال، إذا كنتَ تُسجّل الدخول إلى موقعك الإلكتروني من عنوان IP واحد فقط أو عدد قليل من عناوين IP الثابتة، يمكنك إنشاء قاعدة في Cloudflare تمنع جميع عناوين IP الأخرى من الوصول حتى إلى wp-admin أو wp-login.php. سيؤدي ذلك إلى حظر جميع الروبوتات التي تحاول تنفيذ هجمات القوة الغاشمة التي تحدثنا عنها في القسم 3. يمكنك أيضًا تقييد الوصول إلى wp-admin باستخدام ملف .htaccess الخاص بك بدلاً من Cloudflare. يمكنك استخدام كليهما إذا كنت ترغب في طبقات حماية متعددة (موصى به بشدة).
لا تستخدم السمات أو المكونات الإضافية الملغاة
هل ترغب في قالب مميز ولكنك لا ترغب في دفع ثمنه؟ حسنًا، إذا حصلت عليه من أحد المواقع المشبوهة التي تقدم قوالب وإضافات مجانية، يمكنك الحصول عليه مجانًا. ولكن لا يزال هناك ثمن...
عند استخدام قالب أو إضافة مُلغاة، تفقد ضمان مطابقة المنتج لما يقدمه البائع الرسمي، ما يعني فقدان سلامة الكود.
تُعد السمات والإضافات الملغاة مصدرًا مهمًا للبرامج الضارة لأنه في بعض الأحيان يقوم من قام بإنشاء المكون الإضافي الملغي بإضافة برامج ضارة خاصة به إليه من أجل الاستيلاء على موقعك أو تنفيذ إجراءات ضارة أخرى مثل سرقة مواردك لتعدين العملات المشفرة.
القوالب والإضافات المُلغاة هي برامج ضارة تُثبّتها طوعًا على موقعك الإلكتروني دون أن تُدرك ذلك. هل هذا لمجرد توفير المال؟ الأمر لا يستحق العناء. إذا كنت بحاجة إلى ميزة مميزة، فادفع لمطوّر برامج موثوق.
تعطيل تحرير الملف
تحتوي لوحة تحكم ووردبريس على محرر مدمج سهل الاستخدام يتيح لك تعديل محتويات ملفات القالب والإضافات. للأسف، يُسهّل هذا المحرر أيضًا على المتسللين تعديل شيفرة موقعك الإلكتروني في حال اختراق حسابك.
الحقيقة هي أنك على وشك أبدا سأستخدم هذه الوظيفة. إذا عدّلت ملفًا أساسيًا، فمن المرجح أن تفعل ذلك مباشرةً عبر مدير ملفات جهازك المضيف أو باستخدام عميل FTP.
يمكنك تعطيل القدرة على تحرير الملفات من لوحة تحكم المشرف عن طريق إضافة هذا السطر إلى ملف wp-config.php الخاص بك:
حدد('منع تحرير الملف', صحيح);
بمجرد إضافة هذا السطر، لن تكون قوائم التحرير متاحة بعد الآن لملفات المكونات الإضافية والموضوعات في لوحة معلومات إدارة WordPress.
نقل وإعادة تسمية ملف wp-config.php الخاص بك
بما أننا نتحدث عن ملف wp-config.php، يعلم الكثيرون أنه يمكنك نقله إلى مجلد أعلى من مجلد تثبيت ووردبريس، وسيعمل موقعك بكفاءة. ولكن لننتقل إلى خطوة أبعد.
هل تعلم أنه يمكنك تغيير اسم ملف wp-config.php إلى أي اسم تريده ونقله من تثبيت ووردبريس إلى مجلد خاص؟ قد يتطلب الأمر بعض الجهد، ولكنه يستحق العناء.
على الرغم من أن الملف نفسه يعيد عادةً صفحة فارغة عند استدعائه في متصفح الويب، إلا أنه في حالات نادرة عندما يفشل معالج PHP، قد يكون محتوى الملف بالكامل مرئيًا كنص عادي مباشرة في متصفح الويب.
يحتوي ملف wp-config.php على معلومات حساسة حول موقعك الإلكتروني، بما في ذلك اسم المستخدم وكلمة المرور لقاعدة البيانات. قد تكون هذه المعلومات في أيدٍ غير أمينة كارثية. تغيير اسم الملف إلى اسم عشوائي يُساعد على إخفائه عن الروبوتات والمخترقين.
By نقل wp-config.php إلى مجلد غير عام، فإنك تلغي قدرة شخص ما على الحصول على المعلومات من خلال المتصفح أثناء فشل معالج PHP.
نشاط التدقيق على موقعك
إذا لم تكن تتابع ما يحدث على موقع الويب الخاص بك، فقد تفوتك معلومات أساسية يمكن أن تنبهك إلى محاولة القيام بنشاط ضار، أو حتى اكتشاف النشاط الضار إذا تم اختراق موقعك بالفعل.
بالإضافة إلى مزايا الأمان، إذا كان لديك موقع يضم عدة مستخدمين، فإن وجود إضافة تدقيق جيدة يُساعدك أيضًا على ضمان إمكانية تتبع الأنشطة المشروعة. وبصفتك وكالة، تُعدّ هذه الإضافة أداة رائعة لمعرفة ما إذا كان عميلك قد أخطأ في أمر ما، حتى لو نفى ذلك!
هناك العديد من الإضافات الجيدة لتدقيق نشاط الموقع. بعض الإضافات الأمنية المذكورة سابقًا تتمتع بقدرة تسجيل تدقيق معينة، لكن الإضافات التالية تُحسّن هذه القدرة من خلال تدقيق جميع أنشطة المستخدم بدلًا من الاقتصار على الأحداث الأمنية. إليك أفضل 3 منها.
سجل بسيط - سجل نشاط المستخدم، أداة التدقيق
التاريخ بسيط هو المكون الإضافي الأكثر شيوعًا للتدقيق، وهو خيار ممتاز لبدء الاختبار. يسجل كل ما تتوقعه، مثل تحديثات المحتوى، وتثبيتات وتفعيلات المكونات الإضافية، وأي نوع آخر من أنشطة المستخدم تقريبًا.
يتمتع البرنامج الإضافي بتقييم 5 نجوم وفريق المطورين نشط للغاية في منتديات الدعم ويجيب بانتظام على أسئلة الدعم هناك في إطار زمني معقول.
سجل نشاط WP
استخدم سجل نشاط WP يُعدّ هذا المكون الإضافي خيارًا رائعًا آخر لموقعك. فهو يوفر خيارات أكثر قابلية للتخصيص من المكون الإضافي السابق، مثل إمكانية تفعيل وتعطيل تدقيق أحداث معينة، وفترة احتفاظ قابلة للتخصيص للتسجيل. كما يحتوي على العديد من الإضافات لتوسيع نطاق المراقبة لتشمل إضافات متخصصة مثل WooCommerce وWPForms.
يتمتع البرنامج الإضافي بتقييم 4.5 نجوم، ويقوم المطور الرئيسي بالرد على كل سؤال تقريبًا في منتدى الدعم شخصيًا.
إذا كنت تدير وكالة، فإن WP Activity Log يتكامل بسلاسة مع أداة الإدارة الشهيرة MainWP، ما يتيح لك عرض سجلات التدقيق لجميع مواقع عملائك في واجهة واحدة. يُعد WP Activity Log الخيار الأمثل بين الوكالات لتسجيل التدقيق.
سجل النشاط
خيار شائع آخر بتقييم 4.5 نجوم. سجل النشاط يلتقط كل ما تتوقعه ويحتوي على عدد جيد من التثبيتات النشطة.
لسوء الحظ، لا يستجيب المطور غالبًا لطلبات الدعم في المنتديات، حيث تظل معظم أسئلة الدعم دون إجابة إلى أجل غير مسمى.
استخدم مبدأ الحد الأدنى من الامتيازات
في عالم الأمن السيبراني، مبدأ الحد الأدنى من الامتيازات هو مفهوم يتمتع فيه المستخدم فقط بالأذونات التي يحتاجها للقيام بعمله.
في عالم ووردبريس، ليس من النادر أن تجد شركةً تضم عشرة مستخدمين يتمتعون بصلاحيات المسؤول. قد تكون هناك أسبابٌ مشروعةٌ لهذا المستوى من الوصول، ولكن من النادر أن تحتاج إلى أكثر من حساب أو حسابين بهذا المستوى العالي من الصلاحيات.
أحد الأمور التي لا يمكنك التحكم بها هو ما يفعله المستخدمون عندما لا يكونون منشغلين بالعمل على موقعك الإلكتروني على ووردبريس. هذا يعني أنه إذا فشلوا في حماية بياناتهم من المتسللين، فمن المرجح أن ينعكس هذا الإهمال على موقعك الإلكتروني.
بتقييد وصولهم، ستتمكن من الحد من أي ضرر قد يُسببه المستخدم دون قصد، كالنقر على رابط ضار أثناء تسجيل دخوله إلى موقعك. حتى لو كنتَ مدير الموقع، يُنصح باستخدام حساب محرر منفصل بصلاحيات محدودة عند عدم قيامك بمهام إدارية رفيعة المستوى.
هل هذا مُرهق؟ بالتأكيد. ولكنه أسهل بكثير من تنظيف موقع ويب مُصاب.
مكافأة: قم بإجراء نسخ احتياطية متكررة
في أسوأ الحالات، حيث يُخترق موقعك، يكون الخيار الوحيد أحيانًا هو استعادته من نسخة احتياطية نظيفة؛ نسخة مأخوذة قبل الإصابة. تُجري معظم شركات استضافة المواقع الجيدة نسخًا احتياطية لموقعك مرة واحدة يوميًا، ولكنها عادةً ما تحتفظ بهذه النسخ الاحتياطية لبضعة أسابيع فقط.
يُصبح هذا مُشكلةً إذا كنتَ تُعاني من عدوى لم تُلاحظها لفترة. تُخفي العديد من هذه العدوى نفسها عن مُديري النظام المُسجلين لتجنب اكتشافها لأطول فترة مُمكنة.
نظرًا لأنك تعلم الآن أن الأمان يكون أفضل في الطبقات، فيمكنك تطبيق نفس المفهوم على النسخ الاحتياطية الخاصة بك عن طريق أخذ نسخ احتياطية خاصة بك بالإضافة إلى مستضيف الويب الخاص بك.
تتوفر بعض الإضافات المجانية الرائعة للنسخ الاحتياطي بما في ذلك UpdraftPlus, BackWPupو هجرة الكل في واحدلكلٍّ منها نقاط قوة ونقاط ضعف، لكنها جميعًا موثوقة للغاية وتتيح لك نسخ موقعك احتياطيًا بانتظام. في بعض الحالات، يمكنك حتى نسخه احتياطيًا تلقائيًا إلى خدمات تخزين سحابية بعيدة مثل Dropbox أو OneDrive.
الخلاصة
يُعدّ أمان ووردبريس جزءًا أساسيًا من امتلاك موقع إلكتروني. قد يكون أيضًا عمليةً مُستهلكةً للوقت والموارد إذا أُهمِلَت أو أُخِلَّ بها بشكل خاطئ. بتطبيق المبادئ الأساسية في هذه المقالة، يُمكنك تفعيل معظم احتياجاتك الأمنية تلقائيًا، ما يُتيح لك التركيز على ما هو أهم: عملك.
