أصبح ووردبرس] CMS الأكثر شعبية في العالم. ولأنه شائع جدًا ، فهذا سبب إضافي لتعزيز أمان WordPress إذا كنت تستخدمه لموقعك على الويب. يفهم معظم الأشخاص كيفية جعل صفحتهم آمنة ، ولكن إذا كنت لا تركز على أمان موقع WordPress الخاص بك عن طريق الحد من الوصول إلى الملفات والمجلدات المهمة ، فأنت لا تزال في خطر. للقيام بذلك ، لن تقوم بإجراء أي تغييرات على WordPress نفسها ، وإنما تغيير طريقة عمل WordPress على الخادم ومقدار وصول المستخدمين إلى ملفاته.
تتألف مواقع WordPress من سلسلة من الملفات والمجلدات ، لكل منها عناوين URL الخاصة بها ، مما يعني أن شخصًا ما سيكتب عنوان URL الصحيح يمكنه الوصول إلى الملفات الحساسة التي تعمل على موقعك أو تغييرها. أحد أكثر الأهداف شيوعًا لهذا النوع من الاختراق هو مجلد wp-includes ، لذا سنضيف بعض الشفرات الإضافية إلى ملف تهيئة الخادم لتعزيز الأمان ومنع هذه الأنواع من التهديدات. عند الانتهاء من ذلك ، يتم إعادة توجيه أي شخص يحاول الوصول إلى هذه الملفات.
للبدء ، سترغب في فتح ملف .htaccess لموقعك. يمكنك القيام بذلك من خلال أي محرر نصوص ، لا يهم أي شيء لأن كل ما نقوم به هو إضافة القليل من الكود إلى الملف. ستلاحظ أن الملف يحتوي بالفعل على رمز ، تم إنشاؤه بواسطة WordPress. في أحد الأسطر الأولى من التعليمات البرمجية ، ستجد خطًا يقول # BEGIN WordPress
. مباشرة فوق هذا الرمز ، سنقوم بإضافة خطوط إضافية من التعليمات البرمجية ، والتي ستعزز دفاعات الموقع من خلال تقييد الوصول إلى مجلد wp-includes.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
بعد ذلك ، تحتاج ببساطة إلى إعادة تحميل الملف إلى الخادم وإتمام ذلك. بينما تبدو التغييرات هنا بسيطة ، يمكن أن يكون لها تأثير كبير على دفاعات موقعك. نظرًا لوجود العديد من الوظائف المتقدمة في WordPress داخل مجلد wp-includes ، فإنها تمثل هدفًا رئيسيًا للمتطفلين. مع تنفيذ هذه التغييرات ، عندما يحاول المستخدمون الوصول إلى هذا المجلد ، سيتم بدلاً من ذلك إعادة توجيههم تلقائيًا إلى الصفحة الأمامية لموقعك.
خطوتنا التالية لتعزيز أمان WordPress هي الحد من الوصول إلى ملف wp-config.php. عندما قمت بإنشاء موقع WordPress لأول مرة ، كان عليك إنشاء اسم قاعدة بيانات واسم مستخدم وكلمة مرور وبادئة جدول ، وهي موجودة في ملف wp-config.php. السبب الذي تريد حماية هذا الملف هو أنه يحتوي على المعلومات التي يحتاجها WordPress للتحدث إلى قاعدة البيانات ، وعلى المدى البعيد ، سيتحكم في موقعك.
لحماية ملف wp-config.php ، ستحتاج فقط إلى القيام ببعض الخطوات البسيطة. أولاً ، سنقوم بفتح ملف .htaccess مرة أخرى. بعد ذلك ، سنرد نسخ مقتطف الشفرة أدناه والصقه في ملف .htaccess مثلما فعلنا في الخطوة 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
أخيرًا ، احفظ الملف وأعد تحميله.
كما ترى في الخطوتين 1 و 2 ، يمكن أن يكون ملف .htaccess جوهريًا للدفاع عن موقع WordPress الخاص بك من التهديدات الخارجية الضارة. ولهذا السبب سنقوم في هذه الخطوة بحماية ملف .htaccess نفسه ، مما يمنع المتطفلين من إزالة الحماية التي وضعناها بالفعل.
للقيام بذلك ، سنفتح ملف htaccess مرة أخرى. بعد ذلك ، أدخل الرمز أدناه في الشفرة الحالية.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
ومع هذه الإضافة البسيطة ، يتم حماية ملف .htaccess من التهديدات الخارجية.
بالنسبة للخطوة النهائية ، سنحرم المتطفلين من الوصول إلى إحدى الأدوات الأكثر تدميراً التي يمكنهم الحصول عليها: المحرر داخل لوحة تحكم WordPress. يسمح لك بتحرير ملفات السمات الخاصة بك ، وهو أمر مفيد ولكن يمكن أن يكون خطيرا. إذا تمكن شخص ، بخلافك من الوصول إلى هذا ، فيمكنه تغيير شفرتك وكسر موقعك.
مع هذا المشروع ، سنقوم بإزالة محرر من لوحة القيادة وورد. بدلاً من الوصول إلى الملف من خلال WordPress ، أوصيك بالوصول إليه من خلال عميل ftp مثل FileZilla ، وهو أفضل من أجل سلامة الموقع.
إذاً للقيام بهذا المشروع ، سنقوم أولاً بفتح ملف wp-config.php. بمجرد فتح ذلك ، سنذهب إلى نهاية الكود ، هنا ستجد النص "هذا كل شيء ، توقف عن التحرير! التدوين سعيد. " . قبل هذا النص مباشرة ، سنضيف الشفرة أدناه لإزالة تعديل الملف بالكامل من WordPress.
define('DISALLOW_FILE_EDIT', true);
بمجرد إضافة الرمز ، احفظ الملف وأعد تحميله إلى الخادم. الآن أصبح موقع WordPress الخاص بك في مأمن من أي شخص يحصل على حق الوصول إلى موقعك ومحاولة التلاعب بالشفرة.
إذا اتبعت جميع هذه الخطوات ، فيجب أن يكون موقعك أكثر أمانًا. من خلال تقليل عدد مخترقي الوصول إلى الملفات المهمة لتشغيل موقعك ، فقد قمت بزيادة الأمان الكلي لموقعك على WordPress.