كيف تحمي موقع ووردبريس من الاختراق؟

حماية موقع ووردبريس من الاختراق ليست خياراً بل ضرورة حتمية. ووردبريس يشغل أكثر من 43% من مواقع الإنترنت مما يجعله الهدف الأول للمخترقين. كل يوم يتم اختراق أكثر من 30,000 موقع ووردبريس حول العالم ومعظمها بسبب إهمال إجراءات أمنية بسيطة. حماية موقع ووردبريس لا تحتاج خبرة أمنية متقدمة بل تحتاج اتباع خطوات محددة ومنهجية. في هذا الدليل نقدم 10 خطوات أساسية ومجربة تحمي موقعك من أغلب التهديدات الشائعة.

حماية موقع ووردبريس: ما تحتاج معرفته

1. تحديث كل شيء باستمرار

أول خطوة في حماية موقع ووردبريس هي التحديث المستمر. أكثر من 60% من اختراقات ووردبريس تحدث بسبب برامج غير محدثة تحتوي ثغرات معروفة ومنشورة. حدّث نواة ووردبريس والإضافات والقوالب فور صدور أي تحديث أمني. فعّل التحديثات التلقائية للإصلاحات الأمنية البسيطة من إعدادات ووردبريس. احذف أي إضافات أو قوالب غير مستخدمة نهائياً ولا تكتفي بتعطيلها لأنها تبقى نقاط ضعف محتملة حتى وهي معطلة.

2. كلمات مرور قوية وفريدة

كلمات المرور الضعيفة هي الباب الأسهل للمخترقين. لا تستخدم admin كاسم مستخدم أبداً ولا تستخدم كلمات مرور سهلة التخمين مثل 123456 أو password. استخدم كلمة مرور بـ 16 حرفاً على الأقل تجمع بين أحرف كبيرة وصغيرة وأرقام ورموز. استخدم مدير كلمات مرور مثل Bitwarden لتوليد وحفظ كلمات مرور فريدة لكل حساب. غيّر كلمة مرور المسؤول كل 3 أشهر.

3. تفعيل المصادقة الثنائية 2FA

المصادقة الثنائية تضيف طبقة حماية ثانية فوق كلمة المرور. حتى لو سُرقت كلمة مرورك لن يستطيع أحد الدخول بدون رمز التحقق من هاتفك. ثبّت إضافة مثل WP 2FA أو Google Authenticator وفعّلها لكل حسابات المشرفين والمحررين. استخدم تطبيق مصادقة على الهاتف بدلاً من الرسائل النصية لأنها أكثر أماناً. هذه الخطوة الواحدة تمنع 99% من هجمات التخمين على كلمات المرور.

4. تغيير رابط صفحة تسجيل الدخول

كل موقع ووردبريس بالعالم يستخدم نفس رابط تسجيل الدخول الافتراضي wp-login.php وwp-admin. المخترقون يستهدفون هذه الروابط تلقائياً بهجمات التخمين. تغيير الرابط لعنوان مخصص يخفي صفحة الدخول عن الهجمات الآلية. إضافة WPS Hide Login تفعل ذلك بنقرة واحدة. غيّر الرابط لشيء مثل yoursite.com/mylogin أو أي كلمة تختارها. هذا لا يمنع الاختراق المستهدف لكنه يقلل بشكل كبير محاولات الاختراق العشوائية.

5. تثبيت جدار حماية WAF

جدار حماية تطبيقات الويب (WAF) يراقب كل الطلبات الواردة لموقعك ويحظر الطلبات الخبيثة قبل وصولها لووردبريس. يحمي من هجمات حقن SQL وXSS وCSRF والتهديدات الشائعة الأخرى. إضافة Wordfence توفر جدار حماية مجاني ممتاز. على مستوى الاستضافة، ModSecurity مع قواعد OWASP يوفر حماية على مستوى السيرفر أقوى وأسرع. لـ حماية موقع ووردبريس بشكل فعال تحتاج كلتا الطبقتين: جدار حماية على مستوى السيرفر وآخر على مستوى التطبيق.

6. تقييد محاولات تسجيل الدخول

ووردبريس بشكل افتراضي يسمح بعدد غير محدود من محاولات تسجيل الدخول الفاشلة مما يمكّن المخترقين من تجربة آلاف كلمات المرور. إضافة Limit Login Attempts Reloaded تحدد عدد المحاولات المسموحة وتحظر العنوان تلقائياً بعد عدد معين من المحاولات الفاشلة. اضبطها على 3 محاولات ثم حظر 30 دقيقة ثم 3 محاولات أخرى ثم حظر 24 ساعة. هذا يجعل هجمات التخمين بلا جدوى.

7. تأمين ملف wp-config.php

ملف wp-config.php يحتوي معلومات حساسة مثل بيانات قاعدة البيانات ومفاتيح الأمان. حمايته ضرورية في أي خطة لـ حماية موقع ووردبريس. أضف القاعدة التالية في ملف .htaccess لمنع الوصول المباشر للملف. انقل الملف خارج مجلد public_html إذا كانت استضافتك تسمح بذلك. تأكد من أن صلاحياته مضبوطة على 440 أو 400 وليس 644. أضف DISALLOW_FILE_EDIT في wp-config لمنع تحرير ملفات الإضافات والقوالب من لوحة التحكم.

8. تعطيل XML-RPC إذا لم تستخدمه

XML-RPC هو بروتوكول قديم يستخدمه ووردبريس للاتصال عن بعد. يُستغل بكثافة في هجمات DDoS وBrute Force لأنه يسمح بتجربة مئات كلمات المرور في طلب واحد. إذا لم تكن تستخدم تطبيق ووردبريس للموبايل أو خدمة Jetpack فعطّل XML-RPC. إضافة Disable XML-RPC-API تفعل ذلك بنقرة. بديلاً يمكنك إضافة قاعدة في .htaccess لحظر الوصول لملف xmlrpc.php نهائياً.

9. مراقبة النشاطات وسجلات الدخول

المراقبة المستمرة جزء أساسي من حماية موقع ووردبريس. إضافة WP Activity Log تسجل كل نشاط على موقعك: من سجل الدخول ومن عدّل محتوى ومن ثبّت إضافة ومن غيّر إعدادات. هذا يساعدك في اكتشاف النشاطات المشبوهة مبكراً ومعرفة ماذا حدث بالضبط إذا وقع اختراق. اضبط تنبيهات بالبريد عند تسجيل دخول من عنوان IP جديد أو تغيير إعدادات حساسة أو تثبيت إضافات جديدة.

10. نسخ احتياطية منتظمة ومحفوظة خارجياً

حتى مع كل إجراءات الحماية لا يوجد أمان مطلق بنسبة 100%. النسخ الاحتياطية هي شبكة الأمان الأخيرة. استخدم إضافة UpdraftPlus لجدولة نسخ يومية تلقائية واحفظها في مكان خارجي مثل Google Drive أو Dropbox وليس على نفس السيرفر. تأكد من أن النسخة تشمل الملفات وقاعدة البيانات معاً. اختبر الاستعادة دورياً للتأكد من أن النسخ تعمل فعلاً عند الحاجة. احتفظ بنسخ لآخر 30 يوماً على الأقل.

حماية موقع ووردبريس عملية مستمرة وليست إعداداً لمرة واحدة. طبّق هذه الخطوات العشرة وراجعها شهرياً للتأكد من فعاليتها. في مرام هوست نوفر حماية متقدمة على مستوى السيرفر تشمل Imunify360 وModSecurity وحماية DDoS مما يضيف طبقات حماية إضافية لا تتوفر في الإضافات وحدها. مع استضافتنا موقعك يحصل على حماية شاملة من كل الاتجاهات.