برنامج إدارة المحتوى ووردبريس هو الأكثر استخداما حيث يدعم ما يربو على 25% من مجموع المواقع على شبكة الإنترنت. وبما أن للنجاح دائما ضريبته، فووردبريس يعتبر واحدا من أكثر برمجيات الويب التي يستهدفها القراصنة والمتطفلون، ولولا صلابته الأمنية لما تمكن من الإستمرار والبقاء في القمة خلال هذه السنوات كلها والمطورون يعملون ليل نهار للحفاظ على هذا المكتسب.

وسيكون رائعا لو قمنا، نحن المستخدمين، بتخصيص قليل من الوقت والجهد لبناء طبقة حماية ثانية فوق طبقة الحماية الأصلية التي يوفرها ووردبريس وذلك عبر عدد من الممارسات والنصائح التي قد تبدو بسيطة ولكنها في غاية الأهمية للحفاظ على أمن مواقعكم وجعل المهمة أكثر صعوبة على القراصنة والمتطفلين.

1استخدام بروتوكول HTTPS

https مزيج من بروتوكول الـ http وبروتوكول الـ SSL/TLS الذي يقوم بإنشاء قناة مشفرة وأمنة ما بين المستخدم والخادم لحرمان أي طرف ثالث من الإطلاع على البيانات المرسلة أو ما يطلق عليه بهجوم الوسيط أو man-in-the-middle attack.

تلعب HTTPS كذلك دورا في تحسين ظهور موقعك (SEO) على محرك البحث غوغل لأن الأخير يعتقد بأن تشفير البيانات عبر بروتوكول HTTP دليل على احترافية موقعك وحرصك على سلامة وأمن معلومات الزوار.

2بيانات الدخول لقاعدة البيانات يجب أن تكون قوية

ينصح باستخدام بيانات مولدة عشوائيا للدخول لقاعدة بيانات موقعك، ولا يجب عليك بأي حال من الأحوال اختيار اسم مستخدم أو كلمة مرور قصيرة أو ذات دلالة، كما ننبه إلى ضرورة تغيير البادئة الإفتراضية wp_ لأسماء الجداول في قاعدة البيانات عند تنصيب ووردبريس واختيار بادئة خاصة بك.
يمكنك تغيير بيانات الدخول لقاعدة البيانات حتى بعد تنصيب ووردبريس شريطة أن تقوم بتعديل هذه الإعدادات في ملف wp-config.php كذلك.

اقرأ أيضا :  أنظمة إدارة المحتوى الخاصة بالتجارة الإلكترونية الأكثر شيوعا واستعمالا

3قوة بيانات الدخول للوحة التحكم

نفس ما قلناه عن الدخول لقاعدة البيانات يقال عن حساب الدخول للوحة تحكم ووردبريس وخاصة إذا كانت لديك صلاحية واسعة (مدير مثلا)، يجدر بك أن تستعين باسم مستخدم وكلمة مرور قويين ولا تجعل نفسك لقمة سائغة للمتطفلين.

4تأمين الملف wp-config.php

ملف wp-config.php كما أشرنا إليه سابقا، يحوي بيانات مهمة وسرية بحيث لا يطلع عليها سوى مدير الموقع. هذا الملف يتواجد افتراضيا في المجلد الرئيسي لووردبريس ولكن يمكن نقله خارجا بحيث لا يمكن الوصول إليه عن طريق طلبات HTTP.
كما يمكن منع الوصول إليه عن طريق حمايته بملف .htaccess  على النحو الثالي مثلا :

5منح المستخدمين أدوارا بأقل صلاحيات ممكنة

هناك نصيحة لا يجب نسيانها أبدا : لا تقم بإعطاء صلاحيات المدير لأحد إلا للضرورات القصوى. إذا كان موقعك يسمح بستجيل أعضاء جدد، فتأكد من إعطائهم أقل عدد ممكن من الصلاحيات، وبصفة عامة معظم المواقع تمنح المستخدمين المسجلين واحدة من هذه الأدوار :

  • محرر : يستطيع نشر وإدارة منشوراته ومنشورات الآخرين.
  • كاتب : يستطيع نشر وإدارة منشوراته فقط.
  • مشارك : يستطيع كتابة وإدارة منشوراته ولكن لا يمكنه نشرها.

لا تمنحك أي من هذه الأدوار صلاحية إلدخول لإعدادات ووردبريس مثل إضافة وتعطيل الإضافات مثلا.

اقرأ أيضا :  برمجة تطبيقات الموبايل: أبرز التقنيات واللغات المستعملة

تأكد من أنك تمنح المستخدم الصلاحيات التي يحتاجها فقط ولا تزد على ذلك، فحتى لو كان المستخدم طيبا ولا ينوي شيئا خبيثا فمن يضمن لك أنه سيختار كلمة مرور قوية وأنه لن يقوم بإعطائها لأحد أصدقائه الذين يثق فيهم؟!

6تغيير الرابط الإفتراضي لصفحة تسجيل الدخول

يمكن تغيير رابط صفحة تسجيل الدخول إلى لوحة التحكم الخاصة بووردبريس، وقد قمنا بشرح كيفية فعل ذلك في موضوع سابق عن طريق الإضافة WPS Hide Login.
الغرض من هذه الخطوة هو منع المتطفلين من الوصول لصفحة تسجيل الدخول على الرابط الإفتراضي /wp-login.php.

7إخفاء رقم إصدار ووردبريس

عدد من إصدارات وودبريس عرفت ثغرات وبعض المشاكل الأمنية، ووردبريس يقوم بإظهار رقم الإصدار افتراضيا داخل الوسم <head> الشيء الذي يمكن المتطفلين من معرفة الإصدار الذي تستخدمه ويبحثون بعد ذلك عن الثغرات الأمنية الموجودة فيه.

لا تسهل عليهم المأمورية بهذه الطريقة، وقم بإخفاء رقم الإصدار بإضافة الشفرة التالية لملف functions.php  داخل القالب الذي تستعمله :

8قم باختيار قوالب وإضافات احترافية

نظام ووردبريس قابل للإمتداد والتخصيص عن طريق القوالب والإضافات، هذه نقطة إيجابية لصالحه ولكنها قد تنطوي على مخاطر، فليست كل الإضافات والقوالب مطورة بشكل احترافي وتم فيها مراعاة الأساليب الموصى بها، لهذا يُخشى من أن تكون بعض الإضافات أو القوالب ثغرة في حد ذاتها قد يتم استغلالها من أحدهما لضرب موقعك.

مستودع ووردبريس يحتوي على آلاف الإضافات ومئات القوالب المجانية، وقبل الإختيار يُنصح بالإطلاع أولا على تقييمات المستخدمين وآرائهم فيها وكذا عدد التحميلات، فهذه كلها مؤشرات على جودتها واحترافيتها، ولا يجب أبدا تحميل الإضافات والقوالب المجانية من خارج المستودع الرسمي لووردبريس.

وبصفة عامة، يفضل الإستعانة بقوالب ووردبريس مدفوعة فدائما ما تكون ذات جودة عالية ومعايير الأمان فيها على أعلى مستوى.

9قم بالتحديث بشكل منتظم

يعلن فريق ووردبريس بشكل دوري عن إصدارات جديدة يتم فيها معالجة المشاكل والثغرات التي ظهرت في الإصدارات السابقة، ولهذا يجب دائما التحديث والعمل بآخر إصدار من ووردبريس لأنه الأكثر أماناً. نفس الكلام يقال على الإضافات Plugins التي قمت بتفعيلها في موقعك، ووردبريس يقوم بإعلامك من خلال لوحة التحكم فور نزول أي تحديث لها.

10لا تقم بتحميل القوالب المدفوعة بشكل مجاني

بعض المواقع تقوم بشراء القوالب المدفوعة من متجر ثيم فوريست مثلا وتقوم بعرضها بالمجان لجذب الزوار والربح من الإعلانات والعروض الأخرى، والأمر الخطير أن بعض من أصحاب هذه المواقع يقومون بتلغيم هذه القوالب بأكواد خبيثة بنية إلحاق الضرر بالمستخدمين والعواقب قد تكون وخيمة.
هذا دون الحديث عن الجانب الأخلاق للموضوع، فالأمر سرقة لمجهود المطورين الأصليين للقالب الذين عملوا لأشهر من أجل إخراجه لحيز الوجود وفي النهاية تتم سرقته وتوزيعه بالمجان.

مشاركة
المادة السابقةنصائح وخطوات للحفاظ على مصداقية مقالاتك
المقالة القادمةما هو Virtual DOM ؟
بدأت الإحتراف في مجال برمجيات الويب منذ عام 2010، وأسعى لنقل خبراتي المتواضعة لإخواني العرب من المحيط إلى الخليج، راجيا من الله أن يجعل عملي هذا في ميزان حسناتي.

ترك الرد

Please enter your comment!
Please enter your name here