حماية ووردبريس: 9 طرق قوية لتأمين موقعك على ووردبريس

تستمد مواقع ووردبريس قوتها من عدة أمور، أهمها: درجة الأمان والحماية، وإلا فما المَيْزة في موقع سريع ذي تصميم جيد اختُرق وتعرض زواره للضرر؟ من هنا ننبه على أهمية حماية ووردبريس وجعلها على قمة أولوياتك، ولأن وسائل الحماية متنوعة اخترنا بعض طرق تأمين الموقع بقوة وفق الموضح في جدول المحتويات التالي.

جدول المحتويات:

5 إجراءات لتأمين الدخول إلى لوحة تحكم ووردبريس

تحصين لوحة التحكم هو خط الدفاع الأول في حماية موقعك على ووردبريس، وإلا فما دام الباب مفتوحًا أو ضعيفًا فلماذا يبحث المخترق عن طرق صعبة؟ في هذا القسم سأتناول 5 إجراءات لمضاعفة حماية ووردبريس من خلال لوحة التحكم.

يعرف الجميع أن رابط الدخول المعتاد لموقع ووردبريس يكون بإضافة wp-admin أو admin بعد عنوان الموقع، لكن إن دخل أحد المتسللين إلى هذا الرابط ولم يجد فيه نموذج تسجيل الدخول فقد ضللناه عن واحد من أهم الأبواب التي يمكنه الدخول منها.

لتغيير رابط دخول موقع ووردبريس بسهولة نصِّب إضافة WPS Hide Login على موقعك، وهي إضافة مجانية تساعدك على تغيير رابط الدخول الافتراضي، وكذلك إعادة توجيه من يحاول دخوله إلى صفحة أخرى. بعد تنصيب الإضافة انتقل إلى “الإعدادات” ثم “WPS Hide Login” كما بالصورة التالية.

في حقل “رابط تسجيل الدخول” اكتب الرابط الجديد الذي تريد استخدامه لتسجيل الدخول، وانتبه إلى كتابة الجزء الذي يلي اسم الموقع فقط ولا تكتب العنوان كاملًا. الحقل التالي هو “إعادة توجيه رابط url” ويمكنك من خلاله تحويل من يفتح الرابط المعتاد إلى مكان آخر في الموقع. وافتراضيًّا سينقل الزائر إلى صفحة الخطأ 404.

2. لا تستخدم اسم admin كمدير لموقعك

إبقاء اسم مدير الموقع admin من أسوأ الأمور التي تضعف حماية ووردبريس، إذ يبدأ عمل المخترق بتجربة اسم المستخدم admin، فإن وجده هكذا فعلًا فقد عثر على مراده، لذلك يعد استخدامه مساعدة مجانية لمن يريد اختراق موقعك، فاحرص على اختيار اسم آخر كي نطيل الطريق أمام المخترق.

هذه الخطوة سهلة التنفيذ عند تنصيب ووردبريس أول مرة، أما إذا كان موقعك قائمًا بالفعل فلا يمكن تغيير اسم المستخدم من لوحة تحكم ووردبريس، وسنحتاج إلى التعامل مع قواعد البيانات، وإليك كيفية تنفيذ الأمر.

طريقة تغيير اسم المستخدم admin في ووردبريس

سجل الدخول إلى لوحة تحكم CPanel الخاصة بموقعك، ويكون ذلك بإضافة النقطتين (:) ثم الرقم (2038) بعد اسم موقعك مباشرة، هكذا www.example.com:2038 أو بالدخول من حسابك لدى شركة الاستضافة مباشرة، وهي خطوة سهلة.
إذا كانت استضافتك ووردبريس لدى شركة بلوهوست، فانتقل إلى حسابك هناك واضغط Advanced كما بالصورة التالية.

في قسم Databases افتح phpMyAdmin كما بالصورة التالية.

ستُعرض أمامك قواعد البيانات الموجودة في حسابك، شبيهة بالصورة التالية، ومنها:

  • اعثر على قاعدة بيانات الموقع الذي تريد حمايته، واضغط علامة الجمع + بجوار قاعدة البيانات كما في رقم 1 لاستعراض جداول تلك القاعدة.
  • في البحث اكتب user للوصول بسهولة إلى جدول المستخدمين MKZ_users كما في رقم 2 (مع العلم بأن MKZ بادئة متغيرة ليست واحدة في كل مواقع ووردبريس)
  • اضغط على الجدول كما في رقم 3 لعرض محتوياته على اليسار.
  • على اليسار ابحث عن المستخدم الذي تريد تعديل اسمه، واضغط “تعديل” كما في رقم 4

الآن غيِّر اسم المستخدم في حقل user_login كما في الصورة التالية.

يمكنك أيضًا تغيير الاسم الظاهر في الحقلين user_nicname و display_name.

بعد الانتهاء اضغط زر “انطلق” وبذلك تكون غيرت اسم المستخدم.

هذه الخطوة مهمة ودقيقة ويجب أن تكون خبرتك كافية للقيام بها دون قلق، إما إذا لم تكن لديك الخبرة الكافية فيمكنك الاستعانة بإحدى خدمات ووردبريس على موقع خمسات، وبعد حماية ووردبريس من ناحية اسم المستخدم سننتقل إلى زيادة الحماية عن طريق كلمة المرور.

3. استخدم كلمة مرور قوية ومعقدة

إذا كانت كلمة مرورك من قبيل abc123 فأنت تهدي موقعك للمخترقين على طبق من ذهب، إذ يمكنهم تخمين كلمة السر والتحكم في موقعك بسهولة، فيجب عليك تغيير هذه الكلمة فورًا دون تأخير لزيادة تأمين موقع ووردبريس. ولاختيار كلمة مرور قوية احرص على تكوينها من أحرف إنجليزية كبيرة وصغيرة، تتخللها أرقام ورموز مثل !@#$%^&*() واجعلها من 8 إلى 10 أحرف كحد أدنى. ويمكنك الاعتماد على ووردبريس في هذه المهمة حيث يولد كلمة مرور قوية مكونة من 24 حرفًا، وإليك طريقة عمل ذلك.

من لوحة التحكم اختر “أعضاء” ثم “حسابك” ومرر للأسفل حتى تصل إلى “كلمة مرور جديدة” واضغط زر “تعيين كلمة مرور جديدة”. ستجد كلمة مرور مولدة تلقائيًّا موافقة للشروط المذكورة منذ قليل، يمكنك الإبقاء عليها كما هي أو إدخال تعديلات عليها أو حتى كتابة كلمة مرور جديدة، وعلى كل حال ستجد توضيحًا يفيدك بمستوى قوة الكلمة المستخدمة، فانتبه له ولا تقبل بأقل من “قوية”.

بعد الانتهاء مرِّر لأسفل الصفحة واضغط زر “تحديث الملف الشخصي” لحفظ كلمة المرور الجديدة، وقبل ذلك لا تنس الاحتفاظ بتلك الكلمة في مكان آمن لاستخدامها عند تسجيل الدخول المرة القادمة، وهذا يقودنا إلى إجراء إضافي عند تسجيل الدخول يؤثر بقوة في حماية موقعك من الاختراق.

4. حدّد عدد محاولات الدخول الخاطئة

طبيعي أن نخطئ أحيانًا عند كتابة كلمة المرور، لكن ليس أمرًا طبيعيًا أن يخطئ أحد المستخدمين 7 مرات في جلسة واحدة! إذا حدث ونسيتُ كلمة المرور فسأطلب استعادتها عبر بريدي المسجل في الموقع، أما الإصرار مع تكرار الخطأ فهو أمر مريب فعلًا.

لذلك سنحدِّد عدد مرات مسموح به للخطأ عند إدخال كلمة المرور، وبعده يُمنع الزائر من استمرار المحاولة، ولهذا الغرض سنعتمد على إضافة Limit Login Attempts Reloaded لتمكننا من التحكم في عدد مرات الخطأ المسموح بها، مع إعدادات إضافية مهمة.

بعد تثبيت الإضافة انتقل إلى “الإعدادات” ثم “Limit Login Attempts” كما هو موضَّح في الصورة التالية.

ثم انتقل إلى تبويب “Settings” كما بالصورة التالية.

الأرقام في الصورة تدل على الآتي:

  1. allowed retries: عدد المحاولات الخاطئة المسموح بها.
  2. minutes lockout: مدة الحظر بالدقائق إذا استوفى الزائر الحد المسموح له من الأخطاء.
  3. A lockouts increase lockout time to B hours: حظر الزائر عدد (أ) من المرات يؤدي إلى زيادة مدة الحظر إلى (ب) ساعات بدلًا من المدة المحددة في رقم 2.
  4. hours until retries are reset: عدد الساعات اللازمة لإعادة احتساب مرات الحظر التي تعرض لها الزائر.

وانتبه إلى وجود كلمتين يختلف معناهما، الأولى (Retries) تدل على مرات الخطأ المسموح بها، والثانية (Lockout) تدل على منع المستخدم من استمرار المحاولة. وبناء على هذا نرجع إلى إعداد “Notify on lockout” المظلل بالأصفر، وهو مخصص لتنبيهك بالبريد الإلكتروني عند منع أحد الزوار من المحاولة عددًا معيّنًا من المرات.

وبناء على ذلك فالإعداد معناه: أرسل تنبيهًا على البريد الإلكتروني إذا مُنع المستخدم من استمرار المحاولة 3 مرات، ما يعني أنه بعد 12 محاولة خاطئة يصلك التنبيه. أكمل ضبط إعداداتك واضغط زر “Save Settings” لحفظها، وتابع معي الإجراء الأقوى والأخير في هذا الجزء.

5. التحقق بخطوتين عند تسجيل الدخول إلى WordPress

إذا حصل أحد على اسم المستخدم وكلمة المرور الصحيحين فما زال لدينا ما نفعله لمنع الدخول غير المرغوب فيه، إننا نتحدث عن التحقق الثنائي، بمعنى أن كلمة المرور الصحيحة غير كافية للسماح للمستخدم بالدخول، بل لا بد من إدخال رمز آخر (متغير) نحصل عليه من مكان موثوق أنا وموقعي نتعارف عليه في نفس الوقت.

نستخدم لهذا الغرض إضافة Two-Factor التي تساعدنا في تطبيق هذا الإجراء المهم من أجل حماية ووردبريس. بعد تنصيب الإضافة انتقل إلى قائمة “أعضاء” ثم “حسابك” ومرر حتى تصل إلى قسم “خيارات المصادقة بعاملين Two-Factor”.

توجد 4 طرق لتنفيذ التحقق الثاني بعد إدخال كلمة مرور صحيحة، سنعمل على طريقتين، هما: البريد الإلكتروني وتطبيق توليد الرموز على الجوال. ولذلك نضع أمامهما علامة صح (✓) لتفعيلهما كما في الصورة، وفي خيار “أساسي” نختار إحدى الطريقتين لتكون الأساسية عند تسجيل الدخول، وستظل الأخرى تعمل أيضًا فلا تقلق.

البريد الإلكتروني الموضح في الإعدادات هو العنوان الموجود في ملفك الشخصي عند التسجيل، ويمكن تغييره من هناك، مع التأكيد على أن يكون صحيحًا حتى تتمكن من الوصول إليه في أي وقت، وهذه الطريقة لا تحتاج إعدادات أكثر من وضع علامة صح (✓) كما سبق.

أما طريقة تطبيق توليد الرموز على الجوال فتعتمد على تثبيت تطبيق على جوالك ثم ربطه بالموقع من خلال رمز QR الموجود في الصورة أو المفتاح الموجود أسفله، والخطوات كما يلي.

  • ابحث عن تطبيق Google Authenticator‏  أو Twilio Authy‬ وكليهما متاح في متجر Google Play و App Store مجانًا، وسأعمل حاليًا على Google Authenticator.‬
  • افتح التطبيق، وإذا كان أول استخدام لك فاضغط “مسح رمز استجابة سريعة” لالتقاط رمز QR بالكاميرا، أو اضغط “إدخال مفتاح الإعداد” لإدخال المفتاح يدويًّا. وإذا كنت تستخدمه من قبل فاضغط علامة الجمع الأسفل واختر أحد الأمرين السابقين.
  • بعد مسح الرمز بالكاميرا سيعمل الحساب مباشرة ويظهر أمامك رمز التحقق الثاني، وهو رمز متغير كل 30 ثانية، وهنا تكمن قوته في تأمين موقعك.
  • في حقل “رمز المصادقة” المشار إليه في الموقع اكتب الرمز الظاهر أمامك على شاشة الجوال ثم اضغط زر “إرسال”

بهذه الخطوة أصبح موقعك متمتعًا بدرجة عالية من الأمان والحماية اعتمادًا على الإجراءات السابقة في تأمين عمليات تسجيل الدخول، والآن ننتقل إلى مستوى أعلى من الأمان مع إضافات حماية ووردبريس المتخصصة.

4 إجراءات لحماية ووردبريس باستخدام إضافة All In One WP Security

إضافات حماية ووردبريس متعددة، ووتُعد إضافة All In One WP Security إحدى الحلول المتواجدة بقوة، لأنها توفر عشرات الإعدادات المساهمة في حماية ووردبريس بدرجة كبيرة، وبالطبع لن نتناول كل إعداداتها، ولكن سنختار منها ما يكمل عملنا السابق ويضيف إليه قيمة أعلى.

1. حماية قاعدة بيانات ووردبريس

قاعدة البيانات هي القلب النابض للموقع؛ حيث تشمل بيانات المحتوى والعضويات وإعدادات الموقع والقواعد التي تسمح أو لا تسمح بإجراءات معينة… إلخ، وبالتالي فإن حماية ووردبريس تتأثر جدًّا بدرجة أمن قواعد البيانات لديك، ومع أن قواعد البيانات محمية افتراضيًّا إلا أن هناك ما يمكن عمله لزيادة مستوى الحماية.

سنعمل في هذه الخطوة على إجراء تعديل بسيط في أسماء جداول قاعدة البيانات، والمعتاد أن تكون بادئة الجداول WP_ حيث تكون أسماء الجداول على النحو التالي WP_options وهذا الجدول هو الذي يحوي إعدادات ضبط الموقع. وتوجد جداول أخرى ذات أسماء ثابتة في جميع مواقع ووردبريس، كل جدول مختص بحفظ فئة معينة من البيانات كما رأيت سابقًا عند تغيير اسم المستخدم الافتراضي admin.

انتقل إلى “حماية ووربريس” ثم “حماية قاعدة البيانات” كما في الصورة التالية.

ومن هنا يمكننا تعديل بادئة قاعدة البيانات كما في الصورة التالية.

اكتب بادئة غير مألوفة لقاعدة بيانات موقعك، ثم اضغط “تغيير بادئة قاعدة البيانات”، وبهذا أنت تضلل المخترق وتبعده عن الأسماء الصحيحة للجداول فيصعِّب ذلك عملية الاختراق من خلال قواعد البيانات.

2. حماية ملفات ووردبريس

ملفات ووردبريس هي الشق الثاني الذي يعمل جنبًا إلى جنب مع قواعد البيانات، حيث يشمل ملفات هامة تحدد طريقة عمل الموقع وكيفية ارتباطه بقواعد البيانات لجلب المعلومات منها. بل تحتوي الملفات بوضوح على اسم قاعدة البيانات والمستخدم الخاص بها وكلمة مروره، وبناء على ذلك فإن تأمين موقع ووردبريس لا ينفك عن حماية تلك الملفات.

لتوفير حماية أقوى لملفات ووردبريس انتقل إلى “حماية ووربريس” ثم “حماية ملفات ووردبريس” كما في الصورة التالية.

نلاحظ في الصورة وجود عدد من الملفات باللون الأخضر عدا الأخير باللون الأصفر، والسبب في ذلك: عدم تطابق الأذونات (الصلاحيات) الحالية لهذا الملف مع الأذونات الموصى بها، ولجعلها كما ينبغي ما عليك إلا ضغط زر “مجموعة الأذونات الموصى بها” كما في الصورة.

هذه الأذونات تسمح للمستخدمين أو تمنعهم من الوصول إلى ملفات معينة، والتعديل عليها، وتنفيذ الأوامر المكتوبة فيها؛ وينبغي تفقد هذه الأداة من وقت لآخر وتطبيق الأذونات الموصى بها، حيث تُغيِّر بعض الإضافات أو القوالب هذه الأذونات أحيانًا لأداء مهام معينة.

3. مصيدة البرمجيات الخبيثة

ليست قاعدة أن يكون مخترق الموقع إنسانًا، بل توجد برمجيات تعيث في المواقع فسادًا كذلك، وبما أنك غيّرت رابط دخول لوحة التحكم سابقًا فقد ضللت هذه البرمجيات بدرجة كافية، ولمزيد من التأمين يمكننا إعداد مصيدة للإيقاع بها إذا وصلت إلى الرابط الصحيح لتسجيل الدخول.

تقوم فكرة المصيدة على وضع حقل مخفي لا يراه الإنسان وتراه تلك البرمجيات، وبالتالي ستملأ الحقل ببعض البيانات في أثناء محاولة الهجوم على الموقع؛ عندما تصل البيانات إلى نظام الحماية في الموقع من هذا الحقل سيفهم مباشرة أن الذي يطلب دخول لوحة التحكم برمجية خبيثة، وسيمنعها على الفور من إكمال عملها.

لتفعيل تلك المصيدة انتقل إلى “حماية ووردبريس” ثم “هجوم القوة العمياء” وفي الأعلى افتح تبويب “مصائد الروبوتات” كما في الصورة التالية.

ضع علامة صح أمام “تفعيل المصيدة في صفحة تسجيل الدخول” واضغط “حفظ الإعدادات” لتفعيل هذه الميزة المهمة لحماية موقع ووردبريس.

4. حماية بيانات مستخدمي WordPress

الحصول على بيانات مستخدمي الموقع -لا سيما المشرفين- جزء مهم من عمل المخترقين، ويسلكون طرقًا متعددة للحصول على تلك البيانات أو جزء منها، ومنها استخدام روابط بتكوين معين يؤدي إلى فتح صفحة العضو، وبالتالي محاولة الاستفادة من البيانات المتوفرة فيها.

ولمنع تلك الروابط من العمل وإظهار مستخدمي الموقع يمكننا الانتقال إلى “حماية ووردبريس” ثم “متفرقات” وفي الأعلى افتح تبويب “سرد المستخدمين” كما في الصورة التالية.

ضع علامة صح أمام ” تعطيل سرد المستخدمين” واضغط “حفظ الإعدادات”.

هذه أبرز الإعدادات المكملة للعمل السابق، وتحتوي الإضافة على خيارات أخرى كثيرة تعد من أفضل طرق تأمين موقع ووردبريس، أنصحك بالتجول فيها وضبط ما تراه مناسبًا لموقعك، ويساعدك في ذلك أن الإعدادات وما معها من توضيحات مترجم إلى اللغة العربية.

5 نصائح مهمة مستمرة

أحببت أن أجعل الجزء الأخير نصائح سلوكية إن صحت التسمية، فكما ذكرت في المقدمة ينبغي أن تكون هذه النصائح سلوكًا لك وليست إجراءً مؤقتًا، وهذا يضمن لك درجة كبيرة من حماية موقعك على الووردبريس من الاختراق على المدى البعيد.

1. حدِّث موقعك دائمًا

يوفر نظام ووردبريس تحديثات مستمرة من أولوياتها حماية موقعك من الاختراق، وأنت كصاحب موقع لا بد لك من تطبيق تلك التحديثات وعدم إهمالها، حيث تعالج نقاط الضعف التي يكتشفها آلاف المطورين المهتمين بأمان ووردبريس حول العالم. مع العلم بأن التحديثات الأمنية الهامة يطبقها ووردبريس تلقائيًّا ولا ينتظر التحديث اليدوي، فربما ينشغل صاحب الموقع أو لا يطبق التحديثات مبكرًا، فيقوم ووردبريس بهذه المهمة للحفاظ على أمان الموقع.

في لوحة تحكم ووردبريس انتقل إلى “الرئيسية” ثم “تحديثات” كما في الصورة السابقة، ستجد هناك ما يحتاج إلى تحديث سواء كان WordPress أو قوالب أو إضافات أو ترجمات، ويمكنك الوصول السريع إلى تلك النافذة إذا ظهر لك زر التحديث في الشريط العلوي، وإذا لم يظهر فموقعك محدّث بالكامل.

2. لا تستخدم قوالب أو إضافات مقرصنة

ربما تغريك سهولة الحصول على القوالب والإضافات المقرصنة، لكن مع أول ضرر لموقعك ستتمنى فرصة للتراجع عن الخطأ واستخدام القالب الأصلي، لذلك احرص على استخدام القوالب والإضافات الرسمية ما دمت بحاجة إليها ولو كانت مدفوعة، فاطمئنانك على أمان موقعك لا يقدر بثمن، بالإضافة إلى الحصول على الدعم الفني والتحديثات التي تزيد درجة حماية ووردبريس باستمرار.

وتزداد أهمية هذه النصيحة مع إضافات حماية ووردبريس، فليس معقولًا أن تلتمس حماية موقعك بخرق إحدى أهم النصائح في مجال الحماية!

3. استخدم قوالب وإضافات جيدة

لا يكفي الاعتماد على قالب أو إضافة مدفوعة، بل يجب أن يكون المطوّر ذا مهارة عالية، مقدّرًا أهمية حماية ووردبريس حتى تحصل على منتج متقن، فبعض الإضافات والقوالب غير جيدة وتفتح أبوابًا لاختراق موقعك بسهولة مع الأسف!

قبل الشراء ابحث عن قوالب وإضافات جيدة، تأكد من جودتها وآراء المستخدمين حولها، وعدم وجود شكاوى من المستخدمين بخصوص الجودة والأمان، وتأكد كذلك من توفّر دعم فني جيد وصدور تحديثات دورية للقالب أو الإضافة.

4. احتفظ بنسخة احتياطية محدثة لموقعك

نسخة احتياطية لموقعك تعني استكمال مسيرتك بأقل الأضرار -أو بدون أضرار- إذا اختُرق موقعك، ويمكنك الحصول على العديد من الخدمات في هذا الأمر، بعضها يكون مجانيًّا مع الاستضافة، وبعضها باستخدام إضافات مجانية أو مدفوعة، وبحسب الباقات المتوفرة يكون النسخ يوميًّا أو على مدار الساعة أو غير ذلك.

على كل حال، تأكد من جودة الحل الذي تستخدمه للاحتفاظ بنسخة احتياطية لموقعك، وأهم من ذلك أن تكون استعادة الموقع أمرًا سهلًا دون تعقيدات، لذا أنصحك بالتدرب على استعادة موقعك من نسخة احتياطية مرة واحدة على الأقل ليكون لديك تصور عما يجب عمله حال حدوث مشكلة. ويمكنك الرجوع في أي وقت إلى خدمات ووردبريس التي يقدِّمها الباعة الخبراء في هذا المجال على منصة خمسات، أكبر سوق عربي للخدمات المصغرة، إذا لم تكن مطمئنًا للقيام بهذا الأمر بنفسك.

5. اعتمد على استضافة موثوقة

من أهم وسائل حماية موقعك من الاختراق الاعتماد على استضافة آمنة وموثوقة، فتأكد من جدية شركة الاستضافة في مسألة الأمان وأنها تبذل الجهود المطلوبة لحماية عملائها، لا سيما الاستضافات المشتركة، حيث يوجد أكثر من موقع على نفس الخادم، ووجود اختراق في أحد المواقع يقرّب الخطر إلى بقية المواقع المجاورة.

تجنب الاستضافات المجانية أو غير المعروفة ما لم تكن واثقًا تمامًا من درجة حماية ووردبريس لديهم.

كانت هذه بعض نصائح أمان ووردبريس التي أرجو أن تنتفع بها، مع التذكير بأن حماية المواقع مجال فيه الكثير من التفاصيل والوسائل، لكن بهذا القدر فقد وصلنا إلى درجة جيدة في تأمين موقع ووردبريس، ومع ذلك أنصحك بمتابعة الجديد في المجال، فهناك المزيد دائمًا، وما يكون صالحًا اليوم قد لا يكون كذلك غدًا.

الشرح السابق معتمد على الإصدارات التالية:

ووردبريس: WordPress 5.7

إضافة: WPS Hide Login 1.8.5

إضافة: Limit Login Attempts Reloaded 2.20.6

إضافة: Two-Factor 0.7.0

تطبيق أندرويد: Google Authenticator 5.10

إضافة: All In One WP Security 4.4.8

تم النشر في: ووردبريس منذ 5 أشهر