10 طرق رئيسية لتأمين تثبيت WordPress نموذجي

خلال أكثر من عقد ، تطور WordPress من نظام إدارة محتوى ناشئ إلى الحل الأكثر استخدامًا عبر الإنترنت. هذه الشهرة ، بشكل عام ، مفيدة للمجتمع بأكمله وقد أدت إلى أكبر مجموعة من المطورين لأي نظام إدارة محتوى متاح حاليًا. يتغير نظام إدارة المحتوى ويتطور ويصبح أكثر تقدمًا ، ويرجع ذلك إلى حد كبير إلى حجمه ونطاقه وتأثيره في النشر عبر الإنترنت.

ولكن هذه الأشياء بالذات هي التي تجعل WordPress هدفًا منتظمًا لمحاولات القرصنة الخبيثة وانتهاكات الخصوصية. لاحظ المتسللون انتشار نظام إدارة المحتوى بين مواقع الويب المستقلة ووسائل الإعلام الرئيسية على حدٍ سواء ، وهم يستغلون عددًا من نقاط الضعف التي تمكنهم من الوصول إلى لوحة القيادة وحتى قاعدة بيانات WordPress نفسها.

لحسن الحظ ، فإن مستخدمي WordPress ليسوا مجرد "بطة جالسة" في بيئة ضارة على الإنترنت بشكل متزايد. هناك عدد من الأشياء التي يمكن القيام بها لتحسين أمان تثبيت WordPress بشكل كبير وإحباط محاولات المتسللين للاستيلاء على محتوى موقع الويب وقاعدة البيانات والموثوقية الشاملة.

1. قم بتغيير بادئة قاعدة بيانات WordPress

بشكل افتراضي ، يضع كل تثبيت WordPress جداوله في قاعدة بيانات MySQL مع البادئة "wp_". يتم إجراء ذلك بشكل عام لجعله أكثر سهولة ، حيث يتم اختصار WordPress غالبًا باسم "WP" ولا يوجد أي ارتباك حول نظام إدارة المحتوى الذي تنتمي إليه هذه الجداول.

ومع ذلك ، يعرف مستخدمو الإنترنت الأكثر شناعة أن WordPress سيضع محتواه في جداول بهذه البادئة افتراضيًا ، وهذه هي إحدى الطرق الأولى التي يقتحمون بها التثبيت أو يتسببون في مشاكل في قاعدة بيانات البرنامج من الخارج.

يتم تعيين البادئة نفسها في wp-config.php قبل حدوث عملية التثبيت. في ذلك الوقت ، يجب على مالكي موقع WordPress التمرير عبر ملف التكوين والبحث عن السطر التالي:

 table_prefix $ = 'wp_'؛

يجب تغيير هذا الخط إلى أي شيء تقريبًا باستثناء البادئة الافتراضية. قد يكون اختيار شيء مثل عنوان موقع الويب ، أو اسم المسؤول الأساسي ، خطوة أولى رائعة في تأمين التثبيت وإبعاد المتسللين الضارين من جميع أنحاء الإنترنت.

2. إخفاء رقم إصدار تثبيت WordPress من الجمهور

يأتي كل قالب WordPress مع متغير يعرض معلومات WordPress الأساسية ويسمح بالتعديل المستمر للرأس من خلال المكونات الإضافية. هذا المتغير هو <?php wp_head() ?> ويتم وضعه دائمًا بين علامتي الفتح والإغلاق <HEAD> لملف header.php . أحد الأشياء الرئيسية التي يؤديها هذا المتغير هو عرض رقم إصدار تثبيت WordPress الحالي للجمهور.

يستخدم فريق تطوير Automattic هذا في الواقع لأغراض التحليل ، حيث يتيح لهم معرفة أرقام الإصدارات الأكثر استخدامًا ، وما إذا كان هناك عدد كبير من المستخدمين غير الحاليين.

كما يسمح للمتسللين بمشاهدة رقم إصدار تثبيت WordPress والتخطيط لهجومهم وفقًا لذلك. نظرًا لأن الثغرات الأمنية في WordPress هي بشكل عام خاصة بالإصدار ، ويتم إصلاحها في أي إصدارات لاحقة ، والتثبيت القديم الذي يظهر رقم الإصدار الخاص به قد حان للهجوم من قبل أولئك الذين يرغبون في الحصول على وصول غير مصرح به إلى لوحة التحكم أو قاعدة البيانات.

يمكن وينبغي إزالة هذه المعلومات من المتغير "wp_head" ؛ يمكن القيام بذلك عن طريق إضافة السطر التالي من التعليمات البرمجية إلى ملف functions.php للسمة الحالية:

 remove_action ('wp_header'، 'wp_generator') ؛

احفظ هذا الملف وقم بتحميله على الخادم ، ولن يعرف أي شخص ما إذا كان تثبيت WordPress حاليًا أو قديمًا أو حتى في مرحلة تجريبية. لن يتم الإعلان عن أي شيء علنًا.

3. ضع حدًا لعدد محاولات تسجيل الدخول الفاشلة

عادةً ما يتمكن مستخدمو الإنترنت الخبثاء من الوصول إلى لوحة تحكم WordPress من خلال هجوم "القوة الغاشمة" الذي يدخل عشرات الآلاف من كلمات المرور بسرعة. يبدو أن هذا الهجوم يستخدم كلمات القاموس والأرقام الشائعة لمعرفة بيانات اعتماد أمان المستخدم. بدون منع هذه المحاولات المتكررة ، لا يوجد ما يمنعها حقًا.

هذا هو المكان الذي يأتي فيه المكون الإضافي Login LockDown. باستخدام المكون الإضافي ، يمكن لمستخدمي WordPress تعيين حد لعدد محاولات تسجيل الدخول الفاشلة قبل أن يتم قفلهم بشكل أساسي من لوحة القيادة لمدة ساعة. ترتبط هذه المحاولات الفاشلة بعناوين IP ، مما يجعل هذا المكون الإضافي أكثر فاعلية.

4. يجب على المسؤولين عدم تسمية أنفسهم باسم "المشرف"

عند تثبيت WordPress من أي من المثبت المدمج ، يُطلق على المستخدم المسؤول بشكل عام اسم " admin " افتراضيًا. يعرف مستخدمو الإنترنت الضارون هذا ، وهذا هو الاسم الأول الذي سيحاولون تخمينه عند اكتساب وصول القوة الغاشمة إلى لوحة معلومات WordPress.

عند تثبيت WordPress لأول مرة ، تأكد من تسمية المستخدم المسؤول بشيء يصعب تخمينه (ربما لقب أو أي شيء آخر). لا يكون هجوم القوة الغاشمة بكلمة المرور فعالاً إلا إذا كان اسم مستخدم المسؤول معروفًا. إذا لم يكن الأمر كذلك ، فسيكون من المستحيل بشكل مضاعف الوصول.

5. حافظ على ووردبريس محدثًا في جميع الأوقات وكن سريعًا حيال ذلك

عادةً ما يتم إصدار إصدار جديد من WordPress كل بضعة أسابيع أو نحو ذلك ، مع تحديثات طفيفة وتصحيحات أمان تعمل على حماية المستخدمين من المتسللين الذين يستهدفون بشكل متزايد لوحات المعلومات وقواعد البيانات حول الإنترنت.

يشبه الفشل في تحديث WordPress بشكل أساسي إعطاء المتسللين دعوة مفتوحة للدخول ، وحذف بعض المنشورات ، وتعريض أمان الموقع للخطر. إنه لأمر سيء حقًا أن تتخلف عن هذه التحديثات ، خاصة وأن السمة غير المعدلة ستعرض رقم الإصدار لتستفسر العقول عن رؤيتها.

منذ الإصدار 3.0 ، أتاح WordPress التحديث التلقائي للوحة القيادة بنقرة واحدة فقط. في الواقع ، تقوم لوحة القيادة بإعلام المستخدمين تلقائيًا بالتحديثات وستحثهم على الترقية بنص غامق جدًا ومميز. يجب أن يتم ذلك بمجرد توفر ترقية ؛ لن يؤدي إلى فقدان أي ملفات أو مكونات إضافية أو سمات أو إعدادات.

بدلاً من ذلك ، لن يؤدي تحديث WordPress إلا إلى تمكين أي ميزات جديدة وإصلاح الثغرات الأمنية التي تم اكتشافها منذ إرسال الإصدار الأخير إلى 60 مليون مستخدم للبرنامج. ابق دائمًا على اطلاع دائم في محاولة لصد المتسللين.

6. إخفاء ملف WP-Config.PHP من جميع مستخدمي الإنترنت تقريبًا

يجب ألا ينسى مستخدمو WordPress أبدًا قوة ملف .htaccess عند السعي لإخفاء الملفات وحماية سلامة لوحة معلومات وقاعدة بيانات WordPress الخاصة بهم. في الواقع ، يعد هذا الملف ضروريًا لضمان أمان WordPress طويل المدى بعدة طرق. باستخدام بضعة أسطر بسيطة من التعليمات البرمجية ، يمكن لملف ".htaccess" إخفاء الملفات تمامًا عن مستخدمي الإنترنت العامين ، حتى إذا لم يتم تعيين أذونات الملف المناسبة على هذا الملف.

هذا هو الحل للعرض العام لملف "wp-config.php" ، والذي يحتوي على أشياء مثل مفاتيح API وبادئة قاعدة البيانات اللازمة لتسوية التثبيت.

لتأمين هذا الملف من مستخدمي الإنترنت الضارين ، ما عليك سوى إضافة سطور التعليمات البرمجية التالية إلى ملف ".htaccess" الموجود داخل المجلد الجذر لتثبيت WordPress. في حالة عدم وجود مثل هذا الملف ، قم بإنشاء واحد:

 <ملفات wp-config.php>
أمر يسمح ، يرفض
رفض من الجميع
</Files>

مع وضع هذا السطر من التعليمات البرمجية في الملف ، احفظه وقم بتحميله على الخادم عبر عميل FTP. ملف التكوين لتثبيت WordPress ذي الصلة سيختفي بشكل أساسي من العرض العام ، وهذا يمكن أن يعني فقط أشياء جيدة للأمان وراحة البال.

7. وبالحديث عن أذونات الملفات ، تحقق منها لضمان الأمان

لا يتطلب WordPress قواعد متساهلة للغاية للوصول إلى الملفات وتعديلها من أجل العمل بشكل صحيح. في الواقع ، تتم كتابة جميع إعدادات الموقع ومعلومات المحتوى في قاعدة البيانات بدلاً من تخزينها في ملفات PHP من جانب الخادم. لهذا السبب ، لا يوجد أي مبرر على الإطلاق لاستخدام قيمة 777 CHMOD في أي ملف WordPress. هذه ، بدلاً من ذلك ، مجرد وسيلة لضمان وصول المتسللين بسهولة إلى إعدادات التكوين أو الملفات الأخرى التي قد تعرض التثبيت للخطر.

للتحقق من الأذونات ، وربما إصلاحها من أجل تثبيت أكثر أمانًا ، افتح عميل FTP وانتقل إلى دليل WordPress الجذر. انقر بزر الماوس الأيمن فوق أي ملف PHP وابحث عن خيار القائمة المتعلق بالأذونات. في النافذة الناتجة ، ابحث عن رقم يشير إلى توفر الملف. بالتأكيد لا ينبغي أن يكون 777 . في كثير من الحالات ، يُنصح باستخدام قيمة 744 CHMOD التي تقيد الوصول إلى الملفات وتعديلها لمستخدم FTP الجذر فقط للخادم. قم بتغيير هذا الإعداد إذا لزم الأمر ، ثم احفظه. سيتم تحديث الخادم وفقًا لذلك.

8. استخدم ملف htaccess لإخفاء ملف htaccess

لا يعتبر معظم الأشخاص هذا احتمالًا ، ولكن يمكن استخدام ملف .htaccess لإخفاء نفسه عن الجمهور. إنه يحقق ذلك بالفعل إلى حد كبير من خلال استخدام اسم ملف يبدأ بنقطة ، لكن ذلك لن يعمل على أجهزة الكمبيوتر التي تعمل بنظام Windows. يجب أن تجد هذه الأجهزة الملف غير قابل للوصول باستخدام الإرشادات الواردة في ".htaccess" نفسها. تبدو الأذونات في الواقع مشابهة جدًا للطريقة المستخدمة لإخفاء ملف تكوين PHP الخاص بـ WordPress ، كما هو موضح هنا:

 <ملفات .htaccess>
أمر يسمح ، يرفض
رفض من الجميع
</Files>

مرة أخرى ، بمجرد وضع هذا السطر في الملف ، يمكن حفظه وتحميله على الخادم. سيكون الآن غير مرئي من كل من يزور الموقع تقريبًا ، باستثناء مستخدم مسؤول الجذر.

9. فهم واستخدام قوة مستند HTML فارغ

يعرف كل من يريد الوصول إلى تثبيت WordPress المخترق أن البرنامج يضع المكونات الإضافية والسمات الخاصة به في دليل محدد. سيتحققون من هذه الأدلة للبحث عن نقص في المكونات الإضافية للأمان ، أو عدد من الثغرات المستندة إلى XHTML و CSS ، وبعد ذلك سوف يستغلون هذه الأشياء للوصول إليها. هذا في الواقع من السهل جدا منعه.

للتأكد من أن قوائم الملفات في هذه الدلائل لا تظهر لأي مستخدم إنترنت ، ما عليك سوى إنشاء مستند HTML فارغ ووضعه في المجلد. يجب أن يكون المستند شيئًا أساسيًا إلى حد ما ، مع علامات رئيسية وعنوان يقول شيئًا مثل " وصول مقيد ". قد يشير هذا العنوان إلى أن مسؤول الموقع يعرف شيئًا أو شيئين عن الأمان ، وسيقوم بإرسال المستخدمين الضارين إلى مواقع ويب أخرى.

10. احرص دائمًا على توفر نسخة احتياطية حديثة

الطريقة الصحيحة للتعامل مع أمان تثبيت WordPress هي أنه إعداد جزء واحد ، وجزء واحد للمنع.

يأتي جانب "الإعداد" لهذه العملية في شكل نسخة احتياطية. يجب إجراء نسخ احتياطي لكل من ملفات WordPress الفعلية وقاعدة البيانات المستخدمة لتخزين المعلومات بشكل منتظم ؛ يمكن القيام بذلك بعدد من الطرق المختلفة ، بما في ذلك العديد من مكونات WordPress الإضافية للوحة القيادة.

إذا كانت هناك حاجة إلى طريقة أكثر تقدمًا لنسخ الملفات احتياطيًا ، فيمكن للمستخدمين استخدام أدوات النسخ الاحتياطي في مناطق إدارة الواجهة الخلفية cPanel أو Plesk Panel. بالإضافة إلى ذلك ، يمكن للمسؤولين أتمتة العملية وإنشاء وظائف Cron بحيث تكون النسخة الاحتياطية الحديثة متاحة دائمًا بسهولة.

الشيء المهم في أمان WordPress هو الاستعداد دائمًا لأسوأ سيناريو. عندما يتعلق الأمر بضمان الجهوزية والموثوقية ، حتى عندما تتعرض للهجوم من قبل متسلل ضار ، فإن النسخ الاحتياطي للموقع هو أسهل طريقة للعودة إلى الإنترنت بعد إغلاق الثقب الأمني.

اليقظة والاستخدام الذكي هما مفتاح التثبيت الآمن لـ WordPress

بشكل عام ، أصبح WordPress أكثر أمانًا بشكل كبير في السنوات الأخيرة. لفترة وجيزة ، بدا الأمر كما لو كانت هناك ثغرة أمنية جديدة كل أسبوعين. كان هذا النمط مزعجًا بشكل خاص لمستخدمي الشركات الأكبر والأكبر ، وسرعان ما عمل الفريق في Automattic على إعادة تشغيل كاملة.

إعادة التشغيل هذه كانت إلى حد كبير الإصدار 3.0 ، مع بنية أكثر أمانًا وأدوات التحديث التلقائي التي استغنت عن العمل الشاق للبقاء محدثًا بأحدث تصحيحات الأمان والإصلاحات.

عندما يتعلق الأمر بالحفاظ على الأمان ، يجب أن تظل هذه الإصدارات محدثة تمامًا ويجب على المستخدمين استخدام أذونات وقيود وحيل أمنية صارمة للبقاء في مأمن من مستخدمي الإنترنت الضارين.