كيفية تحسين أمان مدونات WordPress الخاصة بك

يعد WordPress هو نظام إدارة المحتوى المستضاف ذاتيًا (CMS) الأكثر شيوعًا على الإنترنت، وبالتالي، مثل Microsoft Windows، فهو أيضًا الهدف الأكثر شيوعًا للهجمات. البرنامج مفتوح المصدر، ويتم استضافته على Github، ويبحث المتسللون دائمًا عن الأخطاء ونقاط الضعف التي يمكن استغلالها للوصول إلى مواقع WordPress الأخرى.

أقل ما يمكنك فعله للحفاظ على أمان تثبيت WordPress الخاص بك هو التأكد من تشغيله دائمًا لأحدث إصدار من برنامج WordPress.org وكذلك تحديث السمات والمكونات الإضافية المتنوعة. فيما يلي بعض الأشياء التي يمكنك القيام بها لتحسين أمان مدونات WordPress الخاصة بك:

#1. تسجيل الدخول باستخدام حساب ووردبريس الخاص بك

عند تثبيت مدونة WordPress، يُسمى المستخدم الأول “admin” افتراضيًا. يجب عليك إنشاء مستخدم مختلف لإدارة مدونة WordPress الخاصة بك وإما إزالة المستخدم “المسؤول” أو تغيير الدور من “المسؤول” إلى “المشترك”.

يمكنك إما إنشاء اسم مستخدم عشوائي تمامًا (يصعب تخمينه) أو البديل الأفضل هو تمكين تسجيل الدخول الموحد باستخدام Jetpack واستخدام حساب WordPress.com الخاص بك لتسجيل الدخول إلى مدونة WordPress المستضافة ذاتيًا.

#2. لا تعلن عن إصدار WordPress الخاص بك للعالم

تقوم مواقع WordPress دائمًا بنشر رقم الإصدار مما يسهل على الأشخاص تحديد ما إذا كنت تستخدم إصدارًا قديمًا غير مصحح من WordPress.

من السهل[إزالةإصدارWordPressمنالصفحةولكنعليكإجراءتغييرآخرحذف[removetheWordPressversionfromthepagebutyouneedtomakeonemorechangeDeletethereadme.html ملف من دليل تثبيت WordPress الخاص بك لأنه يعلن أيضًا عن إصدار WordPress الخاص بك للعالم.

#3. لا تسمح للآخرين “بالكتابة” في دليل WordPress الخاص بك

قم بتسجيل الدخول إلى WordPress Linux Shell وقم بتنفيذ الأمر التالي للحصول على قائمة بجميع الدلائل “المفتوحة” حيث يمكن لأي مستخدم آخر كتابة الملفات.

find . -type d -perm -o=w

قد ترغب أيضًا في تنفيذ الأمرين التاليين في الصدفة الخاصة بك لتعيين الأذونات الصحيحة لجميع ملفات ومجلدات WordPress الخاصة بك.

find /your/wordpress/folder/ -type d -exec chmod 755 {} \\;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \\;

بالنسبة للأدلة، 755 (rwxr-xr-x) يعني أن المالك فقط لديه إذن الكتابة بينما الآخرون لديهم أذونات القراءة والتنفيذ. بالنسبة للملفات، 644 (rw-r—r—) يعني أن مالكي الملفات لديهم أذونات القراءة والكتابة بينما يمكن للآخرين قراءة الملفات فقط.

#4. إعادة تسمية بادئة جداول WordPress الخاصة بك

إذا قمت بتثبيت WordPress باستخدام الخيارات الافتراضية، فستحتوي جداول WordPress الخاصة بك على أسماء مثل wp_posts أو wp_users. لذلك، من الجيد تغيير بادئة الجداول (wp*) إلى قيمة عشوائية. يتيح لك المكون الإضافي Change DB Prefix إعادة تسمية بادئة الجدول الخاص بك إلى أي سلسلة أخرى بنقرة واحدة.

#5. منع المستخدمين من تصفح أدلة WordPress الخاصة بك

هذا مهم. افتح ملف .htaccess في دليل جذر WordPress الخاص بك وأضف السطر التالي في الأعلى.

خيارات-الفهارس

سيمنع العالم الخارجي من رؤية قائمة الملفات المتوفرة في الأدلة الخاصة بك في حالة غياب ملفات Index.html أو Index.php الافتراضية من تلك الأدلة.

#6. قم بتحديث مفاتيح أمان WordPress

انتقل هنا لإنشاء ستة مفاتيح أمان لمدونة WordPress الخاصة بك. افتح ملف wp-config.php داخل دليل WordPress واستبدل المفاتيح الافتراضية بالمفاتيح الجديدة.

تجعل هذه الأملاح العشوائية كلمات مرور WordPress المخزنة لديك أكثر أمانًا والميزة الأخرى هي أنه إذا قام شخص ما بتسجيل الدخول إلى WordPress دون علمك، فسيتم تسجيل خروجه على الفور لأن ملفات تعريف الارتباط الخاصة به ستصبح غير صالحة الآن.

#7. احتفظ بسجل لأخطاء WordPress وPHP وقاعدة البيانات

يمكن أن تقدم سجلات الأخطاء في بعض الأحيان تلميحات قوية حول نوع استعلامات قاعدة البيانات وطلبات الملفات غير الصالحة التي تصل إلى تثبيت WordPress الخاص بك. أفضل مراقب سجل الأخطاء لأنه يرسل سجلات الأخطاء بشكل دوري عبر البريد الإلكتروني ويعرضها أيضًا كأداة داخل لوحة تحكم WordPress الخاصة بك.

لتمكين تسجيل الأخطاء في WordPress، أضف الكود التالي إلى ملف wp-config.php الخاص بك وتذكر استبدال /path/to/error.log بالمسار الفعلي لملف السجل الخاص بك. يجب وضع ملف error.log في مجلد لا يمكن الوصول إليه من المتصفح (مرجع).

define('WP_DEBUG', true);
if (WP_DEBUG) {
define('WP_DEBUG_DISPLAY', false);
@ini_set('log_errors', 'On');
@ini_set('display_errors', 'Off');
@ini_set('error_log', '/path/to/error.log');
}

#9. حماية كلمة المرور للوحة تحكم المشرف

من الجيد دائمًا حماية كلمة المرور لمجلد wp-admin الخاص بـ WordPress الخاص بك نظرًا لعدم تخصيص أي من الملفات الموجودة في هذه المنطقة للأشخاص الذين يزورون موقع WordPress العام الخاص بك. بمجرد الحماية، سيتعين على المستخدمين المصرح لهم أيضًا إدخال كلمتي مرور لتسجيل الدخول إلى لوحة تحكم WordPress Admin الخاصة بهم.

10. تتبع نشاط تسجيل الدخول على خادم WordPress الخاص بك

يمكنك استخدام الأمر “last -i” في Linux للحصول على قائمة بجميع المستخدمين الذين قاموا بتسجيل الدخول إلى خادم WordPress الخاص بك بالإضافة إلى عناوين IP الخاصة بهم. إذا وجدت عنوان IP غير معروف في هذه القائمة، فقد حان الوقت بالتأكيد لتغيير كلمة المرور الخاصة بك.

أيضًا، سيُظهر الأمر التالي نشاط تسجيل دخول المستخدم لفترة زمنية أطول مجمعة حسب عناوين IP (استبدل USERNAME باسم مستخدم Shell الخاص بك).

last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c

راقب WordPress الخاص بك باستخدام المكونات الإضافية

يحتوي مستودع WordPress.org على عدد لا بأس به من المكونات الإضافية الجيدة المتعلقة بالأمان والتي ستراقب موقع WordPress الخاص بك باستمرار بحثًا عن عمليات التطفل والأنشطة المشبوهة الأخرى. فيما يلي العناصر الأساسية التي أوصي بها.

1. Exploit Scanner – سوف يقوم بفحص ملفات WordPress ومنشورات المدونة الخاصة بك بسرعة ويدرج الملفات التي قد تحتوي على تعليمات برمجية ضارة. قد تكون الروابط غير المرغوب فيها مخفية في منشورات مدونة WordPress الخاصة بك باستخدام CSS أو IFRAMES وسيقوم البرنامج الإضافي باكتشافها أيضًا.
2. WordFence Security – يعد هذا مكونًا إضافيًا أمنيًا قويًا للغاية يجب أن يكون لديك. سيقوم بمقارنة ملفات WordPress الأساسية الخاصة بك مع الملفات الأصلية الموجودة في المستودع بحيث يتم اكتشاف أي تعديلات على الفور. بالإضافة إلى ذلك، سيقوم البرنامج الإضافي بحظر المستخدمين بعد عدد كبير من محاولات تسجيل الدخول غير الناجحة.
3. WP Notifier – إذا لم تقم بتسجيل الدخول إلى لوحة تحكم WordPress الخاصة بك كثيرًا، فهذا المكون الإضافي مناسب لك. سيرسل لك تنبيهات عبر البريد الإلكتروني عندما تتوفر تحديثات جديدة للموضوعات المثبتة والمكونات الإضافية وWordPress الأساسية.
4. VIP Scanner – سيقوم المكون الإضافي الأمني ​​”الرسمي” بفحص سمات WordPress الخاصة بك بحثًا عن أي مشاكل. سيكتشف أيضًا أي كود إعلاني ربما تم إدخاله في قوالب WordPress الخاصة بك.
5. Sucuri Security – يقوم بمراقبة WordPress الخاص بك بحثًا عن أي تغييرات في الملفات الأساسية، ويرسل إشعارات بالبريد الإلكتروني عند تحديث أي ملف أو منشور ويحتفظ أيضًا بسجل لنشاط تسجيل دخول المستخدم بما في ذلك عمليات تسجيل الدخول الفاشلة.

نصيحة: يمكنك أيضًا استخدام أمر Linux التالي للحصول على قائمة بجميع الملفات التي تم تعديلها في آخر 3 أيام. قم بتغيير mtime إلى mmin لرؤية الملفات التي تم تعديلها “n” منذ دقائق.

find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"

قم بتأمين صفحة تسجيل الدخول إلى WordPress الخاصة بك

يمكن للعالم الوصول إلى صفحة تسجيل الدخول إلى WordPress الخاصة بك، ولكن إذا كنت ترغب في منع المستخدمين غير المصرح لهم من تسجيل الدخول إلى WordPress، فلديك ثلاثة خيارات.

1. حماية كلمة المرور باستخدام .htaccess – يتضمن ذلك حماية مجلد wp-admin الخاص بـ WordPress الخاص بك باستخدام اسم مستخدم وكلمة مرور بالإضافة إلى بيانات اعتماد WordPress العادية.
2. Google Authenticator – يضيف هذا البرنامج الإضافي الممتاز عملية التحقق بخطوتين إلى مدونة WordPress الخاصة بك على غرار حسابك في Google. سيتعين عليك إدخال كلمة المرور وأيضًا الرمز المعتمد على الوقت الذي تم إنشاؤه على هاتفك المحمول.
3. تسجيل الدخول بدون كلمة مرور – استخدم المكوّن الإضافي Clef لتسجيل الدخول إلى موقع WordPress الخاص بك عن طريق مسح رمز الاستجابة السريعة ويمكنك إنهاء الجلسة عن بُعد باستخدام هاتفك المحمول نفسه.

انظر أيضًا: ملحقات WordPress الضرورية