طور حياتك

حماية وتأمين موقعك ووردبريس للمحترفين (اعدادات متقدمة خطوه بخطوه)

لقد شرحنا فيما قبل حماية وتأمين موقعك ووردبريس للمبتدئين كما وضحنا من قبل اساسيات حماية وامن ووردبريس كل هذة الدروس كانت من ضمن سلسلة الدليل الكامل لأمن وحماية مواقع ووردبريس. من خلال هذا الموضوع سنقوم بخطوات أكثر احترافية تتطلب بعض الخبرة البسيطة فى التعامل مع بعض الأمور اليكم حماية موقعك ووردبريس للمحترفين (اعدادات متقدمة).

تغيير اسم المستخدم “admin” الافتراضي.

في الأيام الماضيه، كان اسم المستخدم الافتراضى لتسجيل الدخول الى ووردبريس هو “admin”، وهذا جعل من السهل على القراصنة القيام بالهجمات الغاشمة للسطو على موقعك.

لحسن الحظ، ووردبريس منذ ذلك الحين غيرت كل هذا والآن يتطلب منك تحديد اسم مستخدم مخصص عند تثبيت وردبريس.

بما أن وردبريس لا يسمح لك بتغيير أسماء المستخدمين ، فهناك ثلاث طرق يمكنك استخدامها لتغيير اسم المستخدم.

  1. أنشئ اسم مستخدم ادارى جديد واحذف اسم المستخدم القديم.
  2. استخدام الاضافة اسم المستخدم مبدل
  3. تحديث اسم المستخدم من phpadmin

لا تقلق لقد قمنا بتوضيح ذلك كلة من خلال موضوعنا التعليميى حول كيفية تغيير اسم المستخدم ووردبريس بشكل صحيح (خطوة بخطوة).

ملاحظة: نحن نتحدث عن اسم المستخدم المسمى “admin”، وليس صلاحيات المشرف(admin).

تعطيل تعديل الملفات

ووردبريس يأتي مع مُدمج مع محرر التعليمات البرمجية “code editor” التي تسمح لك لتعديل قالبك والملفات المساعدة مباشرة من منطقة لوحة تحكم ووردبريس الخاصة بموقعك. أى خطأ فى تعديل هذة الملفات، يمكن أن تكون خطراً جداً فاذا قمت بشىء خاطىء قد يتسبب فى ايقاف عمل موقعك ناهيك على المخاطر الأمنية وهذا هو السبب في أننا نوصي بايقاف تشغيله، تستطيع ان تصل الى محرر ملفات ووربريس من خلال المظهر > محرر appearance > editor.

محرر ملفات ووردبريس

يمكنك القيام بذلك بسهولة عن طريق إضافة التعليمات البرمجية التالية في ملف wp-config.php الخاص بك.

[php]

// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );

[/php]

بدلا من ذلك، يمكنك القيام بذلك مع 1-النقر باستخدام ميزة Hardening في اضافة سوكوري المجانية التي ذكرناها فى موضوع: تأمين موقعك ووردبريس للمبتدئين.

تعطيل تشغيل ملفات php في بعض مجلدات ووردبريس.

طريقة أخرى لزيادة أمن موقعك ووردبريس عن طريق تعطيل تشغيل ملف php في المجلدات حيث لا افادة منها مثلاُ فى مجلدات wp-content/uploads.
يمكنك القيام بذلك عن طريق فتح محرر نص مثل المفكرة ولصق هذا الرمز:

[php][/php]

<Files *.php>
deny from all
</Files>

[php][/php]

بعد ذلك، يجب حفظ هذا الملف كـ .htaccess وتحميله إلى / wp-content/ uploads / فولدرز على موقعك الإلكتروني باستخدام ftp.

للحصول على شرح أكثر تفصيلا، راجع دليلنا حول كيفية تعطيل تنفيذ فب في بعض أدلة وردبريس

بدلا من ذلك، يمكنك القيام بذلك مع 1-النقر باستخدام ميزة Hardening  في اضافة سوكوري المجانية التي ذكرناها فى موضوع:حماية وتأمين موقعك ووردبريس للمبتدئين .

الحد من محاولات تسجيل الدخول

بشكل افتراضي، ووردبريس يسمح للمستخدمين بمحاولة تسجيل الدخول العديد من المرات اذا أخطأو كما يريدون. هذا يترك موقع ووردبريس الخاص بك عرضة لهجمات القراصنة وتخمين كلمات المرور المتكررة.

يجب الحد من محاولات تسجيل الدخول الفاشلة للمستخدم. إذا كنت تستخدم جدار حماية تطبيق الويب المذكورة في موضوع:تأمين موقعك ووردبريس للمبتدئين ، سيؤدى ذلك الغرض.

ومع ذلك، إذا لم يكن لديك إعدادات جدار الحماية، تابع هذة الخطوات معى.

أولا، تحتاج إلى تثبيت وتفعيل اضافة Login LockDown. لمزيد من التفاصيل، راجع دليل خطوة بخطوة حول كيفية تثبيت اضافات ووردبريس.

بعد التفعيل، قم بزيارة صفحة Settings » Login LockDown (الاعدادات) لعمل اعدادات الاضافة.

loginlockdown-اعدادات

للحصول على إرشادات مفصلة، ألق نظرة على دليلنا حول كيف ولماذا يجب أن تحد من محاولات تسجيل الدخول الفاشلة في ووردبريس.

تغيير بادئة قاعدة بيانات وردبريس

بشكل افتراضي، يستخدم وردبريس wp_ كبادئة لجميع الجداول في قاعدة بيانات وردبريس. إذا كان موقع وردبريس الخاص بك يستخدم بادئة قاعدة البيانات الافتراضية، فإنه يجعل من الأسهل على المتسللين تخمين ما هو اسم بادئة الجدول الخاصة بموقعك ووردبريس. هذا هو السبب في أننا نوصي بتغييره.

يمكنك تغيير بادئة قاعدة البيانات الخاصة بك عن طريق اتباع خطوة بخطوة موضوعنا التعليمي حول كيفية تغيير بادئة قاعدة بيانات وردبريس لتحسين الأمان.

ملاحظة: يمكن أن يؤدي ذلك إلى تحطيم موقعك إذا لم يتم تنفيذه بشكل صحيح. افعل هذا الأمر فقط، إذا كنت تشعر انك لديك المهارات الكافية وبعض المعرفة بالأكواد. أما اذا كنت لم تقم بانشاء موقعك من قبل فخذ فى اعتبارك هذه الملاحظة.

كلمة السر حماية وردبريس المشرف وصفحة تسجيل الدخول

حماية كلمات مرور الدخول الى لوحة التحكم

 

حماية كلمات المرور لووردبريسعادة، يمكن للقراصنة الوصول الى مجلد wp-admin وصفحة تسجيل الدخول دون أي قيود. وهذا يسمح للقراصنة بمحاولة حيل القرصنة أو تشغيل هجمات DDoS.

يمكنك إضافة حماية اضافية لكلمات المرور الى جانب الخادم والتي سوف تمنع هذه الطلبات بشكل فعال.

اتبع التعليمات خطوة بخطوة حول كيفية حماية كلمة المرور الخاصة بك للمدير (wp-admin) .

تعطيل تصفح مجلدات موقع ووردبريس عبر متصفحات الانترنت

تعطيل تصفح مجلدات الموقع فى المتصفحات للووردبريس

تصفح مجلدات وملفات موقعك يمكن استخدامه من قبل قراصنة لمعرفة ما إذا كان لديك أي ملفات مع نقاط الضعف المعروفة، حتى ليتمكنوا من الاستفادة من هذه الملفات.

تصفح مجلدات وملفات موقعك يمكن أيضا أن تستخدم من قبل أشخاص آخرين للنظر في الملفات الخاصة بك، نسخ الصور، ومعرفة هيكل مجلدات موقعك ووردبريس الخاص بك، وغيرها من المعلومات. ولهذا السبب ينصح بشدة تعطيل تصفح مجلدات موقع ووردبريس

.تحتاج إلى الاتصال بموقع الويب الخاص بك باستخدام ftp أو مدير الملفات cPanel’s file manager. بعد ذلك، حدد موقع ملف .htaccess أو قم بانشائة في مجلدات موقعك على الويب. إذا لم تتمكن من رؤيتها هناك، ثم راجع دليلنا حول لماذا لا يمكنك مشاهدة ملف .htaccess في ووردبريس.

بعد ذلك، تحتاج إلى إضافة السطر التالي في نهاية ملف .htaccess:

[php][/php]

Options -Indexes

[php][/php]

لا تنس حفظ ملف .htaccess وتحميله مرة أخرى إلى موقعك. لمزيد من المعلومات حول هذا الموضوع، راجع مقالتنا حول كيفية تعطيل تصفح مجلدات موقع وردبريس.

تعطيل XML-RPC في وردبريس

تم تمكين XML-RPC بشكل افتراضي في ووردبريس 3.5 لأنه يساعد على ربط موقعك وردبريس باستخدام تطبيقات الويب والجوال.

ولكن بسبب انها طبيعة قوية، يمكن XML-RPC الى تضخيم كبير فى الهجمات الغاشمة على موقعك.
على سبيل المثال، تقليديا إذا أراد القراصنة محاولة الدخول بـ 500 كلمة مرور مختلفة على موقع الويب الخاص بك، سيكون لديهم 500 محاولة تسجيل الدخول منفصلة التي سيتم القبض عليها وحظرها من قبل اضافة lockdown .

ولكن مع XML-RPC، يمكن للقراصنة استخدام وظيفة system.multicall لمحاولة الآلاف من كلمة المرور مع 20 أو 50 طلبا.

ولهذا السبب إذا كنت لا تستخدم XML-RPC، فإننا نوصي بتعطيله.

هناك 3 طرق لتعطيل XML-RPC في ووردبريس، ونحن قد وضحنا ذلك خطوة بخطوة فى موضوعنا التعليمي حول كيفية تعطيل XML-RPC في وردبريس.

تنوية: أسلوب .htaccess هو أفضل واحد لأنه أقل كثافة لموارد الخادم.

إذا كنت تستخدم جدار الحماية تطبيق الويب المذكورة في تأمين موقعك ووردبريس للمبتدئين، هذا يمكن أن يؤخذة في الاعتبار من قبل جدار الحماية.

تسجيل الخروج تلقائيا للمستخدمين الغير نشيطين فى ووردبريس

يمكن للمستخدمين المسجلين في بعض الأحيان ينسون وجودهم وتسجيلهم للدخول على موقعك ووردبريس، وهذا يشكل خطرا على أمن ووردبريس. يمكن لشخص ما سرقة حسابهم أو تغيير كلمات المرور أو إجراء تغييرات على حساباتهم.

هذا هو السبب في العديد من المواقع المصرفية والمالية تلقائيا تقوم بتسجيل الخروج لمستخدم غير نشط. يمكنك تنفيذ وظائف مماثلة على موقع ووردبريس الخاص بك كذلك.

سوف تحتاج إلى تثبيت وتفعيل اضافة Idle User Logout . بعد تثبيت وتفعيل الاضافة، انتقل إلى Settings » Idle User Logout لتقوم بعمل اعدادات الاضافة المناسبة لك.

اعداداتidleuserlogout

ببساطة قم بتعيين المدة الزمنية وإلغاء تحديد المربع بجوار خيار “Disable in wp admin” لتحسين الأمن. لا تنس النقر على زر حفظ التغييرات save changes لحفظ الإعدادات.

للحصول على مزيد من الإرشادات التفصيلية، راجع دليلنا حول كيفية تسجيل خروج المستخدمين الخاملين تلقائيا في وردبريس.

إضافة أسئلة الأمان إلى ووردبريس عند تسجيل الدخول

اضافة سؤال امان عند تسجيل الدخول لووردبريس

إضافة سؤال أمان إلى شاشة تسجيل الدخول الخاصة بك فى ووردبريس تجعل من الصعب على شخص ما الحصول على الوصول غير المصرح به.

يمكنك إضافة أسئلة الأمان عن طريق تثبيت وتفعيل اضافة WP Security Questions =. بعد التفعيل، تحتاج إلى زيارة إعدادات Settings » Security Questions page لعمل إعدادات الاضافة.

لمزيد من التعليمات التفصيلية، راجع البرنامج التعليمي لدينا حول كيفية إضافة أسئلة الأمان إلى شاشة تسجيل الدخول وورد.

اصلاح موقع وردبريس الذي تم الاستيلاء عليه

العديد من مستخدمين ووردبريس لا يدركون أهمية النسخ الاحتياطي وأمن الموقع حتى يتم الاستيلاء على موقعها على الانترنت.

تنظيف موقع ووردبريس يمكن أن يكون صعبا جدا وتستغرق وقتا طويلا. نصيحتنا الأولى هي السماح للمحترفين رعاية ذلك.

القراصنة تثبت backdoors على المواقع المُخترقة، وإذا لم يتم إصلاح هذه المشكلة بشكل صحيح، موقعك على الأرجح سيحدث له  اختراق مرة أخرى.

اسمح لشركات أمنية محترفة مثل سوكوري بإصلاح موقعك على الويب بأن يكون موقعك آمنا للاستخدام مرة أخرى. سوف يحميك أيضا من أي هجمات في المستقبل.

لمُحبى المغامرة والمحترفين ، قمنا بتجميع دليلنا خطوة بخطوة على اصلاح موقع وردبريس المخترق.

هذا كل شيء، ونأمل أن يساعدك هذا الموضوع على تعلم أفضل ممارسات الأمن وورد أفضل وكذلك اكتشاف أفضل اضافات الأمن لووردبريس لتأمين موقعك الالكترونى.