يعمل مطورو WordPress بجد لتوفير نظام آمن وقوي لإنشاء مواقع الويب. النظام قوي ، ولكن هناك دائمًا المزيد الذي يمكنك القيام به لتأمين WordPress.
في هذا البرنامج التعليمي ، سأعرض لك بعضًا من أفضل نصائح الأمان في WordPress. سيؤدي تنفيذ هذه الأساليب إلى زيادة أمان موقع الويب الخاص بك. ليس هناك ما يضمن أن موقعك لن يتم مهاجمته أبدًا ، ولكن هذه الممارسات ستساعد في الدفاع عنه.
بدون مزيد من الضحك ، إليك عدة طرق حول كيفية تأمين WordPress بما يتجاوز بيانات اعتماد تسجيل الدخول.
الطريقة 1: تغيير بادئة جدول قاعدة البيانات قبل التثبيت
يستخدم WordPress بادئة جدول قاعدة البيانات ” wp_ .” البادئة هي معرفة شائعة بين أولئك الذين يستهدفون WordPress. أثناء عملية التثبيت ، يمكنك تغيير البادئة إلى شيء فريد.
يؤدي تغيير بادئة قاعدة البيانات إلى تقليل إمكانية سيطرة المتسللين عليها. هذا لأنه من الصعب العثور عليه.
إذا كنت تستخدم شيئًا مثل Softaculous لتثبيت WordPress ، فيمكنك تغيير بادئة الجدول في “الخيارات المتقدمة”. على سبيل المثال ، يمكنك استخدام ” gt76x_” كبادئة.
سيقوم Softaculous بإنشاء بادئة لجدول قاعدة بيانات عشوائية تلقائيًا. على سبيل المثال ، يمكن تسمية أحد الجداول باسم “wpts_” بينما سيستخدم التثبيت الآخر “wpep_”. تعمل Softaculous بالفعل على تعزيز أمان موقعك دون القلق بشأن تغيير الإعدادات.
يمكنك أيضًا تحرير ملف wp-config.php الخاص بـ WordPress لعكس بادئة قاعدة البيانات الجديدة. يمكنك القيام بذلك إما باستخدام برنامج FTP مثل FileZilla أو من خلال مدير ملفات cPanel.
قبل التثبيت ، قم بتحرير ملف wp-config-sample.php الخاص بـ WordPress. قم بتغيير جزء “wp_” من الكود الموجود في سطر $ table_prefix.
على سبيل المثال:
table_prefix $ = ‘ ffd4_ ‘
سيؤدي ذلك إلى تغيير بادئة الجداول الخاصة بك في WordPress أثناء التثبيت. أعد تسمية ملف wp-config-sample.php إلى wp-config.php ثم قم بتشغيل تثبيت WordPress بشكل طبيعي.
الطريقة الثانية: استخدم اسم مستخدم فريد لتأمين WordPress
لن يغير بعض الأشخاص اسم مستخدم المسؤول الافتراضي ، ” المسؤول “. يمنح ذلك المتسللين نصف بيانات الاعتماد لاختراق الموقع. الآن كل ما يحتاجونه هو كلمة المرور. استخدم دائمًا اسم مستخدم فريدًا عند تثبيت WordPress.
ولكن ماذا لو قمت بالفعل بتثبيت واستخدام “المسؤول”؟ من السهل تغيير ذلك ، وأنصحك بالقيام بذلك على الفور للمساعدة في تعزيز أمان موقع WordPress.
من لوحة تحكم WordPress ، انقر فوق قسم المستخدم.
نظرًا لأنه ليس لديك حق الوصول لتغيير اسم المستخدم ، فأنت بحاجة إلى إنشاء حساب جديد. انقر فوق الزر “إضافة جديد” في الأعلى.
قم بإنشاء حساب مستخدم مسؤول جديد لنفسك باستخدام اسم مستخدم فريد. لسوء الحظ ، لا يمكنك تسجيل نفس عنوان البريد الإلكتروني في WordPress تحت مستخدمين اثنين. بحيث يكون لديك خيارين:
- انتقل إلى حساب “admin” وقم بتغيير العنوان إلى شيء مثل [email protected]. لا يجب أن يكون عنوانًا حقيقيًا ، خاصة وأنك ستحذف الحساب في لحظة. يتيح لك ذلك استخدام عنوان بريدك الإلكتروني الأصلي في الحساب الجديد.
- أدخل عنوان بريد إلكتروني جديد.
انقر فوق الزر “إضافة مستخدم جديد” في الأسفل.
قم بتسجيل الدخول إلى WordPress باستخدام بيانات اعتماد المسؤول الجديدة الخاصة بك وتحقق من أن لديك حق الوصول الإداري إلى الموقع بأكمله.
من شاشة المستخدمين ، مرر مؤشر الماوس فوق حساب “المسؤول” القديم وانقر على الرابط “حذف”.
في الشاشة التالية ، انقر فوق الزر “تأكيد الحذف”.
الطريقة الثالثة: تأمين WordPress عن طريق تأمين أجهزة الكمبيوتر المحلية الخاصة بك
يعد الأمان المحلي – أمان أجهزة الكمبيوتر التي تستخدمها للاتصال بموقعك على الويب – جزءًا مهمًا من أمان موقع الويب. نرى الكثير من حالات الاختراق في مواقع الويب التي لا تعد “اختراقًا” للمواقع الإلكترونية. إنهم ليسوا مخترقين لأن المتسلل حصل على حق الوصول باستخدام بيانات اعتماد تسجيل دخول FTP صالحة.
يحصلون على بيانات الاعتماد هذه عن طريق تسجيل ضغطات المفاتيح أو قراءة ملفات السجل على جهاز كمبيوتر مصاب بفيروس أو برنامج ضار.
لذا فإن أحد الأشياء التي يمكنك القيام بها لتعزيز جعل WordPress آمنًا هو التأكد من أن أجهزة الكمبيوتر والأجهزة التي تستخدمها للوصول إليها كذلك.
الطريقة الرابعة: إجراء نسخ احتياطية منتظمة
سيمنعك الاحتفاظ بنسخ احتياطية منتظمة من فقدان الموقع في حالة حدوث اختراق أو كارثة في الأجهزة. إنه أحد أهم أجزاء صيانة أي موقع ، سواء كان متجرًا عبر الإنترنت أو مدونة شخصية.
UpdraftPlus WordPress Backup Plugin
يعد UpdraftPlus خيارًا ممتازًا لإنشاء نسخ احتياطية. لا يقوم هذا المكون الإضافي بإنشاء نسخ من ملفاتك وقواعد بياناتك فحسب ، بل يتكامل أيضًا مع مواقع التخزين السحابية. على سبيل المثال ، يمكنك أن تجعل UpdraftPlus تحفظ النسخ الاحتياطية مباشرة في Dropbox أو Google Drive بالإضافة إلى الخدمات الأخرى.
الطريقة الخامسة: تأمين WordPress عن طريق تحديث الملحقات والسمات و WordPress
تتضمن أفضل ممارسات أمان WordPress الحفاظ على تحديث ملفاتك وحداثتها. يمكنك اختيار التحديثات التلقائية إذا قمت بتثبيت WordPress باستخدام Softaculous. ومع ذلك ، يكاد يكون من السهل تحديث المكونات الإضافية مباشرة في لوحة تحكم المسؤول.
انقر فوق وظيفة التحديث عندما يتوفر أحدها وقم بتثبيتها.
الطريقة السادسة: تغيير خطأ تسجيل الدخول إلى WordPress
يقدم WordPress تلميحات حول تسجيل الدخول الخاص بك عندما يفشل ، ويعرض ما إذا كان اسم المستخدم أو كلمة المرور غير صحيحة. يتيح ذلك لأي شخص يحاول اختراق موقعك معرفة أي جزء من تسجيل الدخول خاطئ.
ولكن إذا قمت بحذف الإشارة غير الصحيحة ، اسم المستخدم أو كلمة المرور ، فإنك تجعل الأمر أكثر صعوبة بالنسبة للقوة الغاشمة أو تخمين تسجيل الدخول.
لتغيير خطأ تسجيل الدخول ، أضف هذا السطر إلى ملف function.php في السمة التي تستخدمها:
add_filter (‘login_errors’، create_function (‘$ a’، “return ‘<b> خطأ: </b> تسجيل دخول غير صحيح’؛”))؛
يمكنك تغيير نص “<b> خطأ: </ b> تسجيل الدخول غير الصحيح” لإرجاع الرسالة التي تريدها.
الطريقة السابعة: إزالة معلومات إصدار WordPress
عندما يعرف الأشرار إصدار WordPress الذي تستخدمه ، يكون من الأسهل عليهم العثور على طريقة للوصول إلى موقعك.
من السهل أيضًا استخدام Google للعثور على مواقع WordPress التي تشغل إصدارًا معينًا به ثغرة أمنية معروفة. تؤدي إزالة رقم الإصدار من WordPress إلى التخلص من تلك القرائن.
يظهر رقم الإصدار في مصدر الصفحة وفي ملفات CSS و Javascript. يمكن إزالته من جميع هذه المواقع عن طريق إضافة رمز إلى function.php ، لكن هذه الطريقة أكثر تعقيدًا قليلاً من تغيير خطأ تسجيل الدخول.
لهذا السبب ، أوصي باستخدام مكون إضافي لإزالة معلومات الإصدار والمساعدة في تأمين WordPress. تزيل العديد من مكونات الأمان العامة معلومات الإصدار ، ولكن هناك أيضًا مكونات إضافية مستقلة مثل WP Hide & Security Enhancer .
الطريقة 8: تعطيل تحرير الموضوع والإضافات
يتم اختراق الكثير من مواقع WordPress باستخدام محرري السمات والمكونات الإضافية في WordPress. يمكننا تعطيل القدرة على تحرير ملفات السمات في لوحة تحكم المسؤول عن طريق إضافة سطر إلى ملف wp-config.php (الموجود في الدليل الجذر لتثبيت WordPress الخاص بك).
أفلت هذا مباشرة قبل سطر “إيقاف التحرير” بالقرب من أسفل الملف:
تعريف (‘DISALLOW_FILE_EDIT’ ، صحيح) ؛
الطريقة التاسعة: حماية مجلد wp-admin بكلمة مرور
تتمثل إحدى الطرق الجيدة لمنع الأشخاص غير المرغوب فيهم من الوصول إلى ملفات المسؤول في حماية المجلد بكلمة مرور. هذا من السهل القيام به من لوحة القيادة cPanel.
انقر فوق ارتباط أو رمز “خصوصية الدليل” في قسم الملفات.
لا تريد إضافة كلمة مرور إلى أي من المجلدات الافتراضية. إذا قمت بذلك ، فلن يتمكن أي شخص من زيارة الموقع ما لم يعرف كلمة المرور.
انقر فوق الزر “إعدادات” في أقصى اليمين.
انقر على زر الاختيار “جذر المستند لـ:” وحدد نطاقك من المربع المنسدل.
انقر فوق الارتباط “wp-admin” لفتح إعداداته.
حدد مربع “حماية هذا الدليل بكلمة مرور”.
قم بإنشاء اسم مستخدم وكلمة مرور للوصول إلى مجلد المسؤول. سيكون منفصلاً عن تسجيل الدخول إلى WordPress. انقر فوق الزر “حفظ” لتنفيذ التغييرات.
الآن إذا حاول أي شخص الوصول إلى مجلد wp-admin خارج WordPress ، فسيتعين عليه معرفة اسم المستخدم وكلمة المرور للدليل أولاً.
الطريقة العاشرة: تعيين قواعد .htaccess في مجلد wp-admin
هناك طريقة أخرى لتأمين WordPress وهي رفض الوصول إلى مجلد wp-admin باستخدام ملف htaccess. الجانب السلبي الوحيد لهذه الوظيفة هو أنه قد تضطر إلى إعادة إدخال عنوان IP الخاص بك بشكل دوري.
ما لم يكن لديك عنوان IP ثابت من موفر خدمة الإنترنت الخاص بك ، وهو عنوان لا يتغير أبدًا ، فقد تضطر إلى تحرير ملف .htaccess إذا تغير عنوان IP الخاص بك لفتح مجلد wp-admin.
لإنشاء ملف .htaccess ، انتقل إلى مجلد “wp-admin” في موقع الويب الخاص بك من خلال File Manager في cPanel.
انقر فوق وظيفة “+ ملف” من شريط الأدوات العلوي.
اسم الملف الجديد ، ” htaccess.” وانقر على “إنشاء ملف جديد”.
أضف الأسطر التالية إلى ملف .htaccess:
رفض من الكل
Allow from 192.168.0.1
استبدل “192.168.0.1” بعنوان IP الخاص بك المعين من مزود خدمة الإنترنت الخاص بك. يمكن العثور على هذا في جهاز توجيه الإنترنت الخاص بك أو عن طريق الاتصال بدعم عملاء مزود خدمة الإنترنت.
انقر فوق الزر “حفظ التغييرات” في شاشة التحرير في مدير الملفات.
هذه إحدى الطرق العديدة التي يمكنك من خلالها تأمين مجلد باستخدام htaccess . تذكر أن عنوان IP الخاص بك يجب أن يتطابق مع العنوان الموجود في الملف إذا كنت تريد الوصول المباشر إلى مجلد wp-admin.
يمكنك أيضًا تضمين ملف .htaccess في مجلدات مختلفة في جميع أنحاء موقع الويب الخاص بك إذا كنت تريد الاحتفاظ بكل هذه الأقسام مقفلة أيضًا. ومع ذلك ، قد يستغرق الأمر وقتًا طويلاً إذا كان عليك تغيير العنوان في كل مرة تحتاج فيها إلى الوصول إلى هذه الموارد إذا تغير عنوان IP الخاص بك.
الطريقة 11: تثبيت المكونات الإضافية للأمان
ربما تكون إحدى أسهل الطرق لحماية موقع الويب الخاص بك عن طريق تثبيت أحد أفضل المكونات الإضافية للأمان في WordPress . هناك الكثير للاختيار من بينها ، وكل منها يوفر قدرًا كبيرًا من السلامة والأمان.
أمان Wordfence
يعد Wordfence Security أحد أفضل المكونات الإضافية للأمان في WordPress التي يمكنك تثبيتها . تأتي هذه الأداة المجانية مع مجموعة من الوظائف ، من فحص الملفات إلى حماية شاشة تسجيل الدخول لموقع الويب الخاص بك. إنه يحميك من أكثر من 44000 تهديد ويمنع الثغرات الأمنية الخلفية المعروفة. إنه مجاني ، لذلك ليس لديك ما تخسره من خلال تجربته.
WordPress الآمن هو WordPress سعيد
لا يوجد شيء مثل الكثير من أمان الموقع. إنها طبيعة الإنترنت: نحن لا نسأل عما إذا كان موقع الويب سيكون هدفًا لهجوم ، ولكن متى .
قم بدورك للحفاظ على أمان ملفاتك ومحتوياتك. حتى بعض أصغر الإضافات يمكن أن تساعد في تأمين WordPress.
ما نوع المكونات الإضافية التي تستمتع بها عندما يتعلق الأمر بحماية WordPress؟ كم مرة تقوم بإنشاء نسخ احتياطية من موقع الويب الخاص بك؟