تأمين ووردبريس من الاختراق securing wordpress
الشرح موجه لمن يملك سيرفر خاص او vps لكن غالبية النصائح والخطوات تنطبق حتى على الاستضافات المشتركة
نصائح امنية هامة قبل البداية:
- عند تثبيت ووردبريس يجب ان تضع ايميل تستخدمه باستمرار لحساب المدير تصلك التنبيهات عليه بشكل يومي حتى تعرف عن وجود اي اختراق او مشاكل في الوورد بريس، يمكن انشاء ايميل جديد وتحويل الرسائل التي تصلك من الموقع الى ايميلك الرئيسي اذا كنت لا تريد استخدام ايميلك الرئيسي
- لا تستخدم يوزر admin بل استخدم اي يوزر آخر عند التثبيت
- قم بانشاء كلمة مرور معقدة وصعبة باستخدام مولد كلمات المرور في اي مدير كلمات مرور واحفظها بمكان آمن ، انصح باستخدام BitWarden او KeePassXC فهي مجانية ومفتوحة المصدر
- لا تستخدم اي كلمة مرور مستخدمة سابقا وافصل بين كلمات المرور للسيرفر وقاعدة البيانات والوردبريس
الاضافات الهامة بعد تثبيت الوردبريس:
- اضافة لتفعيل التحقق بخطوتين: قم بالبحث عن اضافة مناسبة باستخدام 2FA وهناك العديد منها اختر ما يناسبك
- اضافة Wordfence Security:
عند تثبيتها يجب ان تقوم باستخدام ايميل تستعمله باستمرار حتى تصلك اي تنبيهات هامة متعلقة بالموقع
يمكن تعديل اعدادات الجدار الناري firewall باضافة الحد الاقصى لمحاولات الدخول ومدة الحظر عند ادخال كلمة المرور بشكل خاطئ وكذلك الوقت بين محاولات الدخول الخاطئ الخ من الاعدادات
- اضافة Loginizer: حتى تمنع محاولات الدخول العشوائية لحساب المدير
شاهد نصائح الاضافة بما يتعلق بصلاحيات ملفات ووردبريس وقم بتعديلها وفقاً لذلك
- اضافة recaptcha وتفعيلها باستخدام google key بعد التسجيل في جوجل
- اضافة النسخ الاحتياطي لكامل الووردبريس Duplicator:
https://wordpress.org/plugins/duplicator/
اذا كان لديك موقع ووردبريس نشط يجب عمل نسخ احتياطي كامل للوردبريس بشكل اسبوعي على الاقل ومن ثم تحميلها الى مكان آمن
اعدادات duplicator بالبداية تقوم بانشاء package ويمكن الاكتفاء بالاعدادات الافتراضية ثم اختيار كلمة مرور لحماية النسخة الاحتياطية ومن ثم انشاء النسخة ثم حفظها وتنزيلها على جهازك المحلي بالضغط على زر one-click download
- اضافة لتعطيل xml-rpc: يمكن استخدام اضافة stop xml-rpc attacks او ما شابهها
https://wordpress.org/plugins/stop-xml-rpc-attacks/
https://wordpress.org/plugins/disable-xml-rpc-api/
وغيرها
- اضافة WP Activity Log: هدف هذه الاضافة مراقبة ملفات ووردبريس بشكل كامل ومعرفة من قام بماذا
https://wordpress.org/plugins/wp-security-audit-log/
نقوم بتفعيل الاضافة واكمال الاعدادات الافتراضية next مع اختيار الاحتفاظ بالسجل لمدة 12 شهر
الآن يمكن الاطلاع على كل شيء يستحدث على ووردبريس سواء مجلدات او مستخدمين او ملفات وخلافها
استخدام htaccess لاعدادات تأمين ووردبريس:
نقوم بانشاء ملف .htaccess في مجلد ووردبريس ونكتب التالي:
# لمنع استعراض الملفات والمجلدات من المتصفح
Options -Indexes
ونقوم باعادة تشغيل اباتشي
sudo systemctl restart apache2
لمنع الدخول لمجلد wp-admin الا بعد ادخال كلمة مرور نقوم بتثبيت البرنامج التالي:
sudo apt install apache2-utils
الآن نقوم باستخدام الامر
sudo htpasswd -c /etc/apache2/.htpasswd yourUserName
ثم نقوم بادخال كلمة المرور المطلوبة ونعيد كتابتها للتأكيد
الآن نقوم بانشاء ملف .htaccess داخل مجلد wp-admin ونكتب فيه التالي:
AuthName "Admin Login"
AuthUserFile /etc/apache2/.htpasswd
AuthType basic
Require valid-user
قم نقوم بحفظ الملف واعادة تشغيل اباتشي وسيتم تفعيل حماية صفحة الادمن تلقائياً
تعطيل تنفيذ ملفات php داخل مجلد wp-content/uploads والمجلدات التابعة له
نقوم بانشاء ملف .htaccess داخل مجلد wp-content/uploads ونكتب فيه التالي:
<Files *.php>
deny from all
</Files>
الصلاحيات والاعدادات النهائية لتأمين ووردبريس:
- التأكد ان جميع ملفات ومجلدات ووردبريس مملوكة لليوزر www-data
- التأكد ان جميع صلاحيات الملفات والمجلدات تكون 0755
- بعد الانتهاء من عمل كافة الاضافات والاعدادات نقوم بتعطيل التعديل على ملفات ووردبريس باضافة السطر التالي لملف wp-config.php
define('DISALLOW_FILE_EDIT',true);
- تعديل صلاحيات ملف wp-config.php الى 0444 لمنع تعديله الا من خلال الروت
- تعديل صلاحيات جميع ملفات .htaccess الى 0444 لتصبح للقراءة فقط ولا يمكن تعديله الا من خلال الروت
وبالتوفيق للجميع