نصائح من اجل حماية موقعك الذي يعمل بورد برس

> اذا وردك اي تقرير امني يشير الى ضروره تحديث موقعكم ننصحك بمراجعة تحديث موقع بعمل بتطبيق ورد برس.

في إطار الجهود المبذولة ضمن إستراتيجيات تحسين اجراءات الأمن السيبراني في مسار كلاود للحد من أي خطر امني محتمل فان التوصيات التالية تعتبر من لوائح التوصيات المهمة عند تشغيل موقع الكتروني يعمل بتطبيق النشر ورد برس WordPress.

1. التأكد من تفعيل تصفح الموقع عن طريق بروتوكول الويب الامن https بدلا من http.
2. عدم تنصيب اية اضافات او قوالب من مصادر مجهولة.
3. عدم استخدام اية اضافات او قوالب مقرصنه (اذ انها في الغالب تحتوي على اكواد خبيثة او انها غير محدثة "outdated" ولا يمكن تحديثها لاخر اصدار). تاكد دوما من ان تحصل على القالب او الاضافة من الجهة المبرمجة وبصورة شرعية حتى تضمن حصولك على التحديثات في المستقبل. راجع لماذا يجب علي عدم استخدام التطبيقات المقرصنة للمزيد من التفاصيل.
4. عدم استخدام اسماء مستخدمين افتراضية للمستخدمين المشرفين ، كـ admin .  ان أي عملية فحص سوف تقوم بشكل تلقائي على تعديل اسم المستخدم الى اسم مستخدم اخر غير شائع.
5. التأكد من استخدام كلمات مرور قوية يصعب كسرها ، راجع صفحة "نصائح من اجل كلمة مرور امنة - باسورد قوي" لمعرفة توصيات اخيتار كلمات المرور الامنة.
6. القيام بشكل دوري على تحديث اصدار نسخة ورد برس المستخدمة الى اخر اصدار مستقر. وفحص الملفات للتأكد من تطابقها مع النسخ التي يتم توزيعها من الجهة المنفذة.
7. القيام بشكل دوري على تحديث القالب او القوالب (themes) التي تعمل على الموقع والحرص على إزالة أية قوالب قد لا تستخدم على الموقع.
8. القيام بشكل دوري على تحديث اية إضافات (plugins) مستخدمة الى احد اصدار مستقر مع التأكد من توافقية الاصدارات المحدثة مع القالب المستخدم. ان عدم تحديث الإضافات قد يوقعك في فخ الاختراق او المشاكل الأمنية نظرا لان التحديثات في كثير من الأحيان تعالج مشاكل امنية، لهذا لا تعتمد على ان الإصدار الحالي يعمل مع القالب وبالتالي لا داعي لتحديث الإضافة حتى لا تتعارض مع القالب ، بل في هذه الحالة يجب العمل مع الجهة المنفذة للقالب من اجل العمل على توافقية الإصدارات الجديدة من الإضافة مع القالب وفي بعض الأحيان تحديث القالب الى اخر اصدار قد يحل هذه الإشكالية.
9. الحرص على ازالة اية إضافات غير مستخدمة ولن تستخدم في الموقع، كثرة الاضافات يزيد من احتمالة وجود ثغرة امنية في الاضافات التي لا يتم تحديثها، لهذا احرص على استخدام الاضافات التي تحتاجها فقط.
10. التأكد من حماية مجلد upload بحيث يتم منع تنفيذ الملفات البرمجية من نوع php  في حال نجاح رفعها داخل مجلد upload
11. التاكد من حماية اية نماذج اتصال تقوم بارسال رسائل بريد الكتروني بوساطة نمط تحقق من الاهلية (كـ captcha) وذلك للتاكد من عدم الاساءة في استخدامه ، وفي حال استخدام اضافة (plguin) لنماذج الاتصال الرجاء التاكد من انها محدثة لاخر اصدار ولا تحتوي على اية ثغرات.
12. التاكد بشكل دائم من ان الملفات البرمجية لورد برس هي ملفات اصيلة ولم يجري عليها اي تعديل ، وذلك من خلال اجراء فحص التكامل للملفات "WordPress files integrity" وذلك باستخدام ادوات متخصصة لذلك ، راجع فحص ملفات ورد برس عن طريق WP Toolkit verify checksum للمزيد حول هذا البند.

قائمة التدقيق الاضافية

ننصحكم اثناء تامين تطبيق ورد برس على موقعكم بمراجعة قائمة التدقيق التالي:

1. Change default administrator's username: أثناء عملية التثبيت، يقوم ووردبريس بإنشاء مستخدم لديه صلاحيات إدارية واسم مستخدم 'admin'. نظرًا لأن أسماء المستخدمين في ووردبريس لا يمكن تغييرها، يمكن محاولة الوصول إلى ووردبريس كمسؤول عن طريق محاولة اختراق كلمة مرور هذا المستخدم باستخدام تقنية القوة الجبرية. تُعد هذه التدابير الأمنية ضرورية لإنشاء حساب مدير ووردبريس باسم مستخدم عشوائي وضمان عدم وجود مستخدم آخر بصلاحيات إدارية واسم مستخدم 'admin'. إذا تم العثور على مستخدم بالاسم 'admin'، يتم تعيين جميع المحتوى الخاص بذلك المستخدم للحساب الجديد للمدير، ويتم إزالة حساب المستخدم 'admin'.
2. :Forbid execution of PHP scripts in the wp-includes directory: مجلد wp-includes قد يحتوي على ملفات PHP غير آمنة يمكن تنفيذها للاستيلاء على موقع الويب الخاص بك واستغلاله. تتضمن هذه التدابير الأمنية منع تنفيذ ملفات PHP في مجلد wp-includes. يتم تعديل ملف تكوين الخادم (مثل Apache أو nginx) بهذه الإجراءات. يرجى ملاحظة أن التوجيهات المخصصة في ملف .htaccess قد تتجاوز هذا الإجراء.
3. Forbid execution of PHP scripts in the wp-content/uploads directory: مجلد wp-content/uploads قد يحتوي على ملفات PHP غير آمنة يمكن تنفيذها للاستيلاء على موقع الويب الخاص بك واستغلاله. تتضمن هذه التدابير الأمنية منع تنفيذ ملفات PHP في مجلد wp-content/uploads. يتم تعديل ملف تكوين الخادم (مثل Apache أو nginx) بهذه الإجراءات. يرجى ملاحظة أن التوجيهات المخصصة في ملفات .htaccess قد تتجاوز هذا الإجراء.
4. Disable scripts concatenation for WordPress admin panel: هذا الإجراء الأمني يعطل عملية تجميع النصوص التي تعمل في لوحة تحكم المسؤول في ووردبريس، مما يمنع موقع الويب الخاص بك من التأثر ببعض هجمات رفض الخدمة (DoS). إيقاف عملية تجميع النصوص قد يؤثر بشكل طفيف على أداء لوحة تحكم المسؤول في ووردبريس، ولكن يجب ألا يؤثر ذلك على موقع ووردبريس الخاص بك من وجهة نظر الزوار.
5. Disable file editing in WordPress Dashboard: تعطيل تحرير الملفات في ووردبريس يقوم بإزالة القدرة على تحرير مصادر ملفات الإضافات والقوالب مباشرة من واجهة ووردبريس. هذا الإجراء يضيف طبقة إضافية من الحماية لموقع ووردبريس في حال تعرض أحد حسابات المشرفين في ووردبريس للاختراق. على وجه الخصوص، يمنع هذا الإجراء الحسابات المخترقة من إمكانية إضافة بسهولة شفرات تنفيذية خبيثة إلى الإضافات أو القوالب.
6. Enable bot protection: هذا الإجراء يحمي موقع الويب الخاص بك من الروبوتات الضارة أو الغير مفيدة. إنه يمنع الروبوتات التي تفحص موقع الويب الخاص بك بحثًا عن الثغرات وتحميل الموقع بطلبات غير مرغوبة، مما يتسبب في تكديس استخدام الموارد. يرجى ملاحظة أنه قد ترغب في تعطيل هذا الإجراء مؤقتًا إذا كنت تخطط لاستخدام خدمة عبر الإنترنت لفحص موقع الويب الخاص بك بحثًا عن الثغرات، حيث أن هذه الخدمات قد تستخدم أيضًا مثل هذه الروبوتات.
7. Block access to potentially sensitive files: هذا الإجراء الأمني يمنع الوصول العام إلى بعض الملفات (على سبيل المثال، ملفات السجل، والنصوص القابلة للتنفيذ وغيرها) التي قد تكون موجودة على موقع ووردبريس الخاص بك. الوصول العام إلى هذه الملفات يمكن أن يعرض أمان موقع ووردبريس الخاص بك للخطر.
8. Block access to .htaccess and .htpasswd: الوصول إلى ملفات .htaccess و .htpasswd يمكن أن يمنح المهاجمين القدرة على استغلال موقع الويب الخاص بك وتنفيذ انتهاكات أمان متنوعة. هذا الإجراء الأمني يضمن عدم إمكانية الوصول إلى ملفات .htaccess و .htpasswd من قبل المسيئين.
9. Block author scans: فحص الكتاب يهدف إلى البحث عن أسماء المستخدمين المسجلين (وبشكل خاص مسؤولي ووردبريس) ومهاجمة صفحة تسجيل الدخول لموقع الويب الخاص بك بواسطة هجوم القوة الجبرية للوصول إلى الموقع. هذا الإجراء الأمني يمنع مثل هذه المسح الضوئي من معرفة هذه الأسماء. يرجى ملاحظة أنه اعتمادًا على تكوين الروابط الثابتة على موقع الويب الخاص بك، يمكن أن يمنع هذا الإجراء الزوار من الوصول إلى الصفحات التي تعرض جميع المقالات التي تمت كتابتها بواسطة مؤلف معين.
10. Restrict access to files and directories: إذا لم تكن أذونات الوصول للملفات والمجلدات آمنة بما فيه الكفاية، يمكن للملفات هذه أن تكون متاحة للهاكرز ويمكن استخدامها للتلاعب بموقع الويب الخاص بك. هذا الإجراء الأمني يقوم بتعيين أذونات الوصول لملف wp-config على 600، وللملفات الأخرى على 644، وللمجلدات على 755، مما يعزز من الأمان عن طريق تقييد الوصول إلى هذه الملفات والمجلدات وتقليل فرص الاختراق.
11. Configure security keys: ووردبريس يستخدم مفاتيح أمان (AUTH_KEY، SECURE_AUTH_KEY، LOGGED_IN_KEY، وNONCE_KEY) لضمان تشفير أفضل للمعلومات المخزنة في ملفات تعريف الارتباط (cookies) للمستخدم. يجب أن تكون مفاتيح الأمان جيدة بحيث تكون طويلة (60 حرفًا أو أكثر) وعشوائية ومعقدة. يجب أن يتحقق الفحص الأمني من أن مفاتيح الأمان مكونة بشكل صحيح وأنها تحتوي على الأقل على حروف أبجدية وأرقام.
12. Block access to xmlrpc.php: هذا الإجراء الأمني يمنع الوصول إلى ملف xmlrpc.php. من الموصى به تطبيقه لتقليل سطح الهجوم إذا لم يتم استخدام XML-RPC. يتم تعديل ملف تكوين الخادم (مثل Apache أو nginx) بهذا الإجراء. يرجى ملاحظة أن التوجيهات المخصصة في ملفات .htaccess قد تتجاوز هذا الإجراء.
13. Block directory browsing: إذا تم تفعيل استعراض المجلدات، فإن المهاجمين يمكنهم الحصول على معلومات متنوعة عن موقع الويب الخاص بك التي يمكن أن تعرض أمانه للخطر. إذا كان استعراض المجلدات مفعلاً، يمكن لهذا الإجراء الأمني منعه. يتم تعديل ملف تكوين الخادم (مثل Apache أو nginx) بهذا الإجراء. يرجى ملاحظة أن التوجيهات المخصصة في ملف .htaccess قد تتجاوز هذا الإجراء.
14. Block access to wp-config.php: ملف wp-config.php يحتوي على معلومات حساسة مثل اعتمادات الوصول إلى قاعدة البيانات وما إلى ذلك. إذا تم إيقاف معالجة ملفات PHP من قبل خادم الويب بسبب أي سبب، يمكن للمهاجمين الوصول إلى محتوى ملف wp-config.php. هذا الإجراء الأمني يمنع الوصول إلى ملف wp-config.php. يتم تعديل ملف تكوين الخادم (مثل Apache أو nginx) بهذا الإجراء. يرجى ملاحظة أن التوجيهات المخصصة في ملفات .htaccess قد تتجاوز هذا الإجراء.
15. Turn off pingbacks: البينغباكس (Pingbacks) تسمح لمواقع ووردبريس الأخرى بترك تعليقات تلقائية تحت منشوراتك عندما تقوم هذه المواقع بالربط بتلك المنشورات. يمكن استغلال البينغباكس لاستخدام موقعك في هجمات DDoS على مواقع أخرى. هذا الإجراء الأمني يعطل بينغباكس XML-RPC لموقعك بأكمله ويعطل أيضًا بينغباكس للمنشورات التي تم إنشاؤها مسبقًا بتفعيل بينغباكس.
16. Disable PHP execution in cache directories: إذا انتهى بأحد الملفات PHP المخترقة في أحد مجلدات الذاكرة المؤقتة (الكاش) لموقع الويب الخاص بك، فإن تنفيذه يمكن أن يؤدي إلى التخريب الكامل للموقع. هذا الإجراء الأمني يعطل تنفيذ ملفات PHP في مجلدات الذاكرة المؤقتة، مما يمنع حدوث مثل هذه الاستغلالات. يجب ملاحظة أن بعض الإضافات أو القوالب قد تتجاهل التوصيات الأمنية من فريق الأمان في ووردبريس وتقوم بتخزين ملفات PHP قابلة للتنفيذ في مجلدات الذاكرة المؤقتة. قد تحتاج إلى تعطيل هذا الإجراء الأمني إذا كنت بحاجة إلى تشغيل مثل هذه الإضافات أو القوالب.
17. Change default database table prefix: جداول قاعدة البيانات في ووردبريس تحمل نفس الأسماء القياسية في جميع التثبيتات. عند استخدام البادئة القياسية wp_ لأسماء جداول قاعدة البيانات، تصبح هيكل قاعدة البيانات في ووردبريس شفافة تمامًا، مما يجعل من السهل على النصوص الضارة الحصول على أي بيانات منها. هذا الإجراء الأمني يقوم بتغيير بادئة أسماء جداول قاعدة البيانات إلى شيء مختلف عن البادئة القياسية wp_. يجب ملاحظة أن تغيير بادئة قاعدة البيانات على موقع يحتوي على بيانات إنتاجية يمكن أن يكون خطيرًا، لذا يُفضل بشدة عمل نسخ احتياطية لموقعك قبل تطبيق هذا الإجراء.
18. Block access to sensitive files: هذا الإجراء الأمني يمنع الوصول العام إلى ملفات معينة يمكن أن تحتوي على معلومات حساسة مثل بيانات الاتصال أو معلومات متنوعة يمكن استخدامها لتحديد ما إذا كانت هناك ثغرات معروفة قابلة للتطبيق على موقع ووردبريس الخاص بك.
19. Enable hotlink protection: حماية الارتباط تمنع المواقع الأخرى من عرض، وربط، أو تضمين ملفاتك (عادة الصور). هذه الممارسة تعرف بالارتباط الساخن (hot link)، ويمكن أن تستنزف سريعا عرض النطاق الترددي (الترافيك bandwidth) الخاص بموقعك وتجعل موقع الويب الخاص بك غير متاح.

> اذا وردك اي تقرير امني يشير الى ضروره تحديث موقعكم ننصحك بمراجعة تحديث موقع بعمل بتطبيق ورد برس.

يقوم الفريق الامني في مسار كلاود باجراء الفحص الدوري للمواقع المستضافة لدينا ، وقد يظطر لتطبيق هذه الاجراءات بشكل قصري على المواقع التي تعمل بورد برس في حال اكتشفت برمجيات الفحص عدم القيام بواحد او اكثر من هذه الاجراءات.

جميع التوصيات السابقة وغيرها من الاجراءات نقوم بتقديمها مجانا لعملاء ادارة المحتوى، للمزيد من التفاصيل حول باقات ادارة المحتوى وللمواقع المصممة من قبل مسار كلاود الرجاء التواصل معنا.

يمكنك الاطلاع على تحديث ورد برس للمزيد من التفاصيل.