حماية ووردبريس من هجمات الهاجر و تلصص المتطفلين تعتبر من اهم مهارات ادارة مواقع ووردبريس.. وفي نفس الوقت من اكثرها تجاهلا من قبل اصحاب الموقع.
المشكلة ان كثير من اصحاب الموقع لا يفترضون السيىء, و يستمرون في تاجيل خطوات حماية ووردبريس التي يجب تنفيذها بمجرد تثبيت ووردبريس فوراً.
للأسف, اجراءات الحماية مثل النسخ الإحتياطية, لا تدرك أهميتها الا عندما تحدث العواقب و يتعطل موقعك بالفعل.
في هذه المقالة سأستعرض مجموعة من الخطوات التي يجب ان تنفذها في موقعك بمجرد انتهاءك من القراءة.. فلا داعي ان تخوض تجربة ان يتم اختراق موقعك .
ولكن اولا يجب نتعرف على انواع الهجمات على ووردبريس
حماية ووردبريس تبدأ بمعرفة انواع المخاطر التي قد تحدث للموقع
يوجد الكثير من الطرق التي قد يستخدمها الهاكر او المخترق لمحاولة السيطرة على موقع ووردبريس .. و اغلب هذه الطرق تندرج تحت الأنواع التالية
هجمات حجب الخدمة DDoS الممنهجة
هجمات حجب الخدمة او “DDoS Attack” هي عبارة ‘طلبات اتصال مكثفة ترسل الى سيرفر الموقع من عدد كبير من الأجهزة في نفس الوقت بهدف زيادة الأحمال على سيرفر الموقع حتى مستوى يتسبب في تعطل الموقع عن العمل لفترات طويلة
وغالبا تكون الهجمات موجهة الى صفحة الدخول للأدمن و التجربة العشوائية لكلمات دخول مختلفة املاً في ان يتم اختراق الموقع .. و هذه الطريقة قد تنجح في المواقع التي لا تحتوي على حماية كافية
هذا النوع من الهجمات شرس جدا .. و تتعرض له المواقع الكبيرة بشكل مستمر مثل فيسبوك و تويتر وغيرهم
اذا استهدف موقعك هذا النوع من الهجمات .. غالبا سيكون رد فعل الاستضافة هو اغلاق حسابك مؤقتا لحين التعامل مع الهجمات
اختراق موقع مقصود بعينه
بعد تحديد اسم المستخدم يتم محاولة الوصول الى كلمة السر اما بتجربة تواريخ او اسماء متصلة بصاحب الموقع
او عن طريق التجسس على حسابات اخرى له على الانترنت و محاولة توفيق كلمات السر
هذا النوع غالبا ما يتم من قبل شخص له علاقة بصاحب الموقع من قريب او بعيد
هناك انواع اخرى ساقوم بشرحها تفصيلا في مقالة منفصلة و لكن الآن دعونا نتعرف على الاجرائات المطلوبة من اجل حماية ووردبريس من النوعين السابقين من الهجمات
خطوات حماية ووردبريس من هجمات الهاكر و الاختراق
لا تستخدم admin كاسم مستخدم لحسابك
لا تقم بادارة موقع ووردبريس من حساب اسم المستخدم فيه admin
لأن هذا هو اول اسم مستخدم يقوم الهاكر بتجربته عند محاولة اختراق اي موقع.
وتسري هذه القاعدة حتى اذا قمت بتغيير اسم الظهور الذي يظهر للمتابعين
لأن اي شخص سيقف بالمواس على اسم الظهور سيظهر له في اسفل المتصفح رابط صفحة الكاتب و يظهر في الرابط اسم المستخدم.
لا تنشر المقالات من حساب الادارة
قم بانشاء حساب اضافي و امنحه صلاحيات محرر “editor” , و سيكون هذا الحساب هو المسؤول عن كتابة و نشر المقالات.
وبهذه الطريقه .. اي محاولة لاختراق حساب المحرر ستكون نتيجتها الوصول الى حساب محرر لا يمتلك اي صلاحيات يمكنها ايذاء موقعك.
استخدم كلمة مرور معقدة .. و خليك رخم
لم يعد مقبولا في 2018 ان تستخدم كلمة مرور فيها تاريخ ميلادك او اسماء اولادك ..
و لم يكن مقبولاً في السابق ايضاً
تأكد من استخدام كلمة مرور فيها رموز و حروف كبيرة و صغيرة و ارقام .. وجود هذه العناصر معاً.. تعني حماية اكيده من الاختراق العشوائي
استخدم خاصية التوثيق الثنائي
غالبا انت استخدمت التوثيق الثنائي من قبل في تجيل الدخول الى حساب جوجل او فيسبوك
له اشكال كثيره.. اشهرها هو ان يطلب منك الموقع ادخال رقم سري تم ارساله الى موبايلك بعد كتابة اسم المستخدم و كلمة المرور.
في هذه الحالة يضطر المستخدم بمرحلتين من اثبات الهوية لكي يدخل الى حسابه
مرحلة اسم المستخدم وكلمة السر .. ومرحلة ثانية و هي رسالة الموبايل
صحيح ان العملية قد يراها البعض مملة و مستهلكة للوقت
ولكن لها دور كبير جدا في حماية ووردبريس او موقعك من الهجوم
لكي تضيف هذه الخاصية الى موقعك يمكنك استخدام احدى الاضافتين التاليتين :
تنبيه : الاضافتين مصممتين لحماية حساب الادمن الرئيسي و ليس كل الاعضاء و المحررين
باقي حسابات الموقع ستستمر في الدخول بالطريقة العادية
اضافة : google authenticator
تقوم الاضافة بعرض كود تقوم بتصويره بواسطة تطبيقgoogle authinicator على هاتفك الاندرويد
ويحتاج اعداد البرنامج الى انشاء و اضافة API خاص بك
اضافة : Rublon Two-Factor Authentication
اضافة بديلة و مختلفة عن طريقة عمل الاضافة السابقة
لا تحتاج الى اعدادات معقدة , فقط ثبتها و ستعمل تلقائيا
التوثيق يتم عن طريق سؤالك بعض الاسئلة المنطقية التي تساعد على التاكد من انك شخص حقيقي و لست بوت هاجر يحاول الاختراق
لا تعطي صلاحيات كثيرة للمحررين في موقعك
لا داعي لافتراض سوء النية .. فانا اعلم ان فريق العمللديك يثق في بعضه و كل شخص يعلم مسؤولياته و حدوده
ولكن منح الصلاحيات الكبيرة لحسابات لاتحتاج الى هذه الصلاحيات هو ممارسة خاطئة و تعرض موقعك للخطر في حال تم اختراق او سرقة اي حساب من هذه الحسابات
اذا كان موقعك يتم ادارة مقالاته من اكثر من شخص
التزم برتبة “محرر” و رتبة “كاتب” فقط للاشخاص المسؤولين علن الكتابة
بهذا, اذا تم اختراق اي حساب من حساباتهم سيكون الموقع في امان
قم باخفاء الملفات wp-config.php و .htaccess
اخفاء هذين الملفين سهل في التنفيذ
لكن اي خطأ قد يتسبب في منعك انت شخصيا من الدخول الى الموقع
لذلك يجب ان تقوم بعمل باك اب مباشرة قبل تنفيذ هذه الخطوة .. تحسبا لاي خطأ
لاخفاء الملفات
ادخل على اعدادات اضافة yoast
اختر tools من القائمة الفرعية
ثم اختر edit your .htaccess
بداخل مربع التعديل اضف الكود التالي لاخفاء ملف wp-config
<Files wp-config.php> order allow,deny deny from all </Files>
واستخدم الكود التالي لاخفاء ملف htaccess
<Files .htaccess> order allow,deny deny from all </Files>
استخدم مفاتيح ووردبريس خاصة بك
مفاتيح ووردبريس او wordpress keys هي شفرات خاصة تستخدمه ووردبريس لتفير البيانات المنقولة من و الى المتصفح
هذه الروابط يمكنك تغييرها بصورة دورية و اضافتها الى ملف wp-config الخاص بموقعك
للحصول على شفرات جديدة لموقعك استخدم هذا الرابط من موقع ووردبريس الرسمي
تنبيه : هذا الرابط يعطي شفرات جديدة في كل مرة تقوم فيها بعمل تحيث للصفحة .. جرب بنفسك
لاضافة الأكواد
1- ادخل على cpanel الخاصة بموقعك من خلال الاستضافة الخاصة بك
2- ادخل على file Manager
3- ادخل على المجلد الرئيسي لموقعك و ابحث عن ملف اسمه wp-config.php
4-افتح الملف للتعديل
5-اذهب للسطر رقم 45 .. ستجد نصاً يشبه النص المحدد في الصورة التالية
6- قم بنسخ الكود الخاص بك من الرابط السابق و استبله بالجزء المحدد في الصورة السابقة
7- قم بحفظ الملف و الخروج من مدير الملفات
8-تمت حماية ووردبريس بشفرات جديدة بنجاح
الغاء خاصية تعديل الملفات
ستجد اختيار اسمه edit files في القوائم الفرعية للقوالب و الاضافات داخل لوحة تحكم ووردبريس
هذا الاختيار يسمح لك بتعديل بعض ملفات الموقع برمجيا من داخل ووردبريس
يمكنك الغاء هذه الخاصية
عن طريق الدخول ال ملف wp-config بنفس الطريقة المشروحة في النقطة السابقة
ومن ثم قم باضافة السطر التالي الى الملف
define('DISALLOW_FILE_EDIT', true);
لا يمكن الآن تعديل الملفات برمجيا من داخل ووردبريس
لكن لا زالي يمكنك تعديلها باستخدام مدير الملفات في cpanel او عن طريق ال ftp
تحديد عدد محاولات الدخول
الفكرة ببساطة هي ان ووردبريس ستقوم بتعليق اي حساب مؤقتاً بعد عدد معين من محاولات الدخول الفاشلة
يمكنك الاختفاء بهذه الخاصية عن طريق اضافة : limit login attempts reloaded
اما اذا كنت تريد تفعيل جدار حماية firewall متكامل يعطيك خصائص اضافية بالاضافة لتحديد عدد محاولات الدخول
جرب هذه الاضافة : All In One WP Security & Firewall
تنبيه : قبل ان تجرب هذه الاضافة ارجو اكمال المقالة حتى نقطة اضافات الحماية
قم بتغيير عنوان رابط لوحة تحكم ووردبريس
الموقع الافتراضي لأي لوحة تحكم في مواقع ووردبريس هو مجلد wp-admin
وطبعا هذا الرابط الذي يتم استهدافه دائما في عمليات الهجوم
يمكنك تغيير رابط الدخول الى لوحة التحكم باستخدام اضافات بسيطة تقوم بهذه الوظيفة
او باستخدام اضافة جدار الحماية التي ذكرتها في النقطة السابقة
تعامل بحذر مع XML-RPC
XML-RPC هي خاصية موجودة بداخل ووردبريس تحتاج اليها الكثير من الاضافات لكي تعمل
لا انصح بايقاف هذه الخدمة الا في حالتين لأأن ايقافها قد يؤثر على عمل اضافات الموقع
الحالة الأولى: موقعك لا يحتوي على ضافات كثيرة و لا يحتاج الى هذه الخاصية
الحالة الثانية: موقعك يتعرض حاليا الى هجوم يستغل هذه الخاصية
من أهم الاضافات التي تستخدم هذه الخاصية هي Jet Pack
يمكنك التحكم بهذه الخاصية باستخدام مجموعة من الاضافات .. من اشهرها
قم باختيار استضافة محترمة
اعلم ان الكثيرون يبدأون من الصفر, و يضطرون الى اختيار استضافات بتكلفة قليلة للحفاظ على ميزانية معينة
لكن , بمجرد انا يبدأ موقعك بالانتشار و بمجرد ان يستهلك موقعك وقتاً و مجهوداً يستحق الحماية
يجب ان تنتقل ال استضافة تلتزم بحماية موقعك و حماية ملفاتك
انا لا اتحدث عن استضافات خيالية في التكاليف
فهناك الكثير من الاستضافات التي توفر لك ادوات حماية قوية جدا و باسعار متناسبة جدا مع مستوى الخدمة و تظل في نطاق التكلفة المنطقية
صدقني .. و عن تجربة .. عند ضياع مجهودك بسبب التوفير بدون داعي .. ستتمنى ان تدفع الأضعاف لكي يعود موقعك من جديد
يمكنك الاطلاع على هذه المقالة للتعرف اكثر على كيفية اختيار استضافة جيدة لموقعك
تحديث القوالب و الاضافات باستمرار
لا يوجد داعي لتأخير تحديث القوالب و الاضافات في موقعك
الا طبعا اذا قام المبرمجون بالتنبيه بان هذا التحديث غير متوافق مع اي اضافة مهمة لديك
تأكد ان كثير من التحديثات تحتوي على اغلاق و معالجة لكثير من الثغرات البرمجية التي يكتشفها المبرمجون
وتأخرك في التحديث يجعل موقعك تحت خطر اكبر امام من يعلم كيف يستغل هذه الثغرات
استخدم اضافات حماية ووردبريس الموثوقة
يوجد عشرات الاضافات المتخصصة في حماية مواقع ووردبريس و مراقبة الآيبيهات و محاولات الدخول او الاختراق
ويتربع على عرش هذه الاضافات .. اضافتين
اضافة SUCURI
وهي اضافة قوية جدا و تقدم مميزات حماية ووردبريس بكفاءة عالية .. وكنها ليست مجانيه.. وحتى نسختها البريميم تكلفتها السنوية عالية
اول خطة سنوية ثمنها 200 دولار
وانا اذكرها هنا لأصحاب المواقع الكبيرة الذين يعانون من هجمات متكررة او خطورة على بيانات عملاءهم الخاصة وما الى ذلك
اما اذا كنت تدير موقع شخصي او تجاري على نطاق صغير فالاضافة الثانية اقوى مما تتخيل و نسختها المجانية يتضيف وسائل حماية كثيرة الى موقعك
اضافة : Wordfence
هذه الاضافة مجانية .. ويووجد نسخة بريميم منها لحمية اكبر و خصائص اكثر و بتكلفة سنوية اقل من الاضافة الاولى
اضافة ووردفينس و سوكيوري يحتويان على جدار حماية firwall خاص بهما, و لا داعي لاستخدام اضافة جدار الحماية المذكورة في الاعلى اذا استخدمنا اي منهما
قم باختيار قوالب من مصادر موثوقة
مبدأيا اذا كنت جادا في موقعك و تطمح للنجاح .. لا تستخدم القوالب المجانية
لسببين
1- لا يوجد دعم و تحديثات .. او اي وعود بالحماية في القوالب المجانية
2- القوالب المدفوعة ليست مكلفة بدرجة كبيرة مقارنة بما ستدفعه لشركة تصميمات مقابل تصميم موقعك
ثانيا .. عند شرائك قالب مدفوع .. تأكد من سمعة المبرمج
اشتري قوالب من مواقع موثوقة و ذات سمعة جيدة في تحديث قوالبها و توفير الدعم
و اذا كنت ستشتري القالب من متجر قوالب متعدد المبرمجين مثل Themeforest تأكد من ان مبرمج القالب يمتك تقييماً جديا
و تصفح ايضاً ركن التعليقات الخاص بكل قالب لتأخذ فكرة عن نوعية المشاكل التي يواجهها المستخدمين مع القالب و كيفية تعامل مبرمج القالب معهم
لا تستخدم القوالب و الاضافات منزوعة المصدر
اصحاب القلوب الطيبة يمتنعون
لا يوجد سبب مقنع يدفع هاكر الى سرقة قالب او اضافة بريميم و نزع حقوقها و طرحها للتحميل المجاني , بدون مقابل او دوافع خفية
وانا اتعجب ممن يفترضون حسن النية في مثل هذه القوالب و الاضافات
في الأغلب كل اضافة منزوعة توجد بها ثغرات برمجية تفتح ابوابأ لاختراق موقعك في وقت من الاوقات
اذا كان موقعك مهما لك , لا تجازف
تفعيل خاصية Under Attack في كلاود فلير
انا لا احب تفعيل كلاودفلير في حالة الاستضافات المحترمة , لأنها قد تمنعني من التمتع بمزايا الاضافة التي قمت بدفع ثمنها
لكن عندما يزداد حجم الموقع و يزداد عدد صفحاته, ستظهر فائدة كلاود فلير في تخفيف الحمل عن سيرفر الاستضافة
و الأهم من هذا
هو ان كلاود فلير تحتوي على خاصية اسمها Under Attack
في هذه الخاصية انت تخبر كلاود فلير ان موقعك يتعرض للهجوم, و ستقوم كلاود فلير بحجب الأيبيهات التي تظهر نشاط غير طبيعي في وقت الهجمات بالاضافة الى مجموعة اجرائات تقنية مفيدة جدا في حماية ووردبريس وقت الحجوم
هذه هي النصائح الرئيسية لحماية ووردبريس من المتطفلين ومن هجمات DDoS الشرسة
استخدم الاجرائات المناسبة لك .. ودائما كن حذرا و محترفا في التعامل مع امان موقعك
سيتم تحديث المقالة بمجرد تعرفي على اي اجراء آخر يستدعي الاشارة اليه
شكراً لكم
اول مرة اشعر اني اقرا نص ذو قيمة..
جيد.. تابع
أشكرك جدا على دعمك … و اتمنى متابعة قناة اليوتيوب الفترة القادمة .. هيكون في شغل محترم باذن الله