حمـاية موقع ووردبريس:
المقدمـة: حماية ملفات ومجلدات ووردبريس
يعد ووردبريس اختياراً موثوقـاً به ، لكن، بما أنك تستخدم موقعاً مستضافاً ذاتياً ، فأنت مسؤول عن الأمان والنُّسخ الاحتياطية. وهذا لا يعني أنك ستصبح عارياً من الحماية، كلاَّ! كل ما عليك فعله هو الاطلاع على بعض الخبايا والأسرار التي ستجعل موقعك على الووردبريس ينعم بالحماية والأمان. حماية الادارة وحماية الملفات، بالنسبة لحماية الادارة فيمكنك الإطلاع على مقالة : كيفية تأمين موقعك على الووردبريس . أما حماية الملفات، فهو ما سنتناوله اليوم بالتفصيل، وإن شاء الله ستتمكن من جعل مدونتك في مأمن بعد الانتهاء من قراءة كل الخطوات.
قبل أن نبدأ، أحضر فنجان قهوة 
وركز معي جيداً لأن هذا الموضوع شيق للغاية! ولا يقبل التَّراخي كي لا يذهب عملنا سُدىً!
نبدأ على بركة الله
حمــاية ملفات ومستندات ووردبريس
في ما يلي الملفات والمستندات التي ينبغي حمايتها من الاختراق وعبث العابثين:
- ∴ حماية مجلد wp-includes
- ♦ حماية wp-admin
- ∴ حماية ملف wp-config.php
- ♦ منع تنفيذ ملفات PHP في مجلد uploads
- ∴ إنشاء ملف htaccess.
- ♦ تعطيل تحرير ملفات موقعك من خلال لوحة الادارة
- ∴ منع ظهور ملفات ووردبريس لعامة الناس
هذه الوثيقة تشير إلى مستندات وملفات ووردبريس الموجودة على السيرفر
حماية مجلد wp-includes
عندما نفتح مجلد wp-includes ( أنظر الملف المشار إليه بالرقم 2 في الوثيقة فوق) نجده يحتوي على ملفات أساسية لموقع ووردبريس ، ولا يمكن الاستغناء عنها البتة. فكل ملف هناك يعتبر مهماً وضرورياً وفقدانه يعني خلق اضطراب في سير الموقع. ومن هنا نشدد وبقوة على عدم السماح لأي شخص آخر بالوصول إلى هذا المجلد ولا يجب أن يتمكن أحد من زيارة هذه الملفات عبـر المتصفح.
كيف نقوم بحماية مجلـد wp-includes؟
لحماية هذا المجلد ومنع أيٍّ كان من الوصول إليه، هناك طريقة سهلة، فقط قم بكتابة هذه التعليمات البرمجية في ملف htaccess. هذا الملف تجده بالضرورة في جذر موقع ووردبريس على السيرفر ( أنظر الملف المشار إليه بالرقم 3 في الوثيقة فوق). احرص على كتابة هذه التعليمات قبل BEGIN WordPress# كما يظهر في الكود التالي:
حماية ملفات ومجلدات ووردبريس
قبل الكود الموجود افتراضياً بملف htaccess. للووردبريس
نضيف هذا الكود
:
|
1 2 3 4 5 6 7 8 9 10 11 |
# Start Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> # End Block the include-only files. |
بعد إضافة هذا الكود سَجِّل عملك ، وحاول الدخول إلى مجلد wp-includes عبر متصفحك، فلن تجني شيئاً وسوف تظهر لك صفحة وكأن موقعك لا يحتوى على هذا المستند، وبالتالي لن يستطيع أي متطفل أو عابث الوصول إليه
حماية مجلد wp-admin
سيكون من المفيد جداً لو قرأت هذه المقالة:
تغيير رابط الدخول للوحة إدارة موقع ووردبريس، واستبدال wp-admin بإسم آخر.
نظراً للأهمية القصوى التي يمثلها ملف wp-admin بالنسبة لموقعك على ووردبريس، فإنني أنصحك وبشدة أن تهتم بتأمينه، لأن إهماله يعني وضع موقعك على كف عفريت.
وأنا هنا لن أتطرق إلى طريقة تأمين المجلد عبر ملف htaccess. ما دام الرابط السابق يوفي بالغرض لأن محتوى المقالة لو طبقته سترتاح من كل تشويش، حتى رسائل سبام والتعليقات المزعجة و الأعضاء الافتراضيين، ستتخلص منهم! إذاً، قمْ بتغيير رابط الدخول للإدارة وغير إسم ملف wp-admin إلى إسم آخر.
حماية ملف wp-config.php
يحتوي ملف wp-config.php على معلوماتك السرية للـدخول إلى قاعدة بيانات ووردبريس، فهو يحتوي على إسم قاعدة البيانات، إسم المستخدم وكلمة المرور. من الخطر الجسيم أن يطلع عليه شخص آخر ويعرف هذه المعلومات التي تخص موقعك. لهذا يجب أن تبني سداً منيـعاً حول هذا الملف كي لا يصل إليه أحد.
ولحماية ملف wp-config.php، قم بكتابة هذه التعليمات البرمجية في ملف htaccess. :
|
1 2 3 4 5 6 |
# Start Protect wp-config.php <files wp-config.php> order allow,deny deny from all </files> # End Protect wp-config.php |
منع تنفيذ ملفات PHP في مجلد uploads
كل الصور والفيديوهات والملفات المضغوطة أو غيرها التي ترفعها إلى موقعك عبر ملفات الوسائط، يتم تخزينها في مجلد التحميلات uploads المتواجد في المستند الرئيسي wp-content . يكون هذا المجلد عرضة للخطر والتخريب حين يقوم المخترقون والعابثون بالتحايل ورفع ملفات PHP الضارة إلى مجلد uploads. لذلك وجب أخذ الحيطة والحذر ومنع تنفيذ ملفات PHP في مجلد uploads.
لكــــن كــيف؟
أولاً، قم بإنشاء ملف جديد بإسم htaccess. في مجلد uploads الموجود في مجلد wp-content.
وداخل هذا الملف الجديد، أدرج هذا الكود بطريقة النسخ واللصق:
|
1 2 3 4 5 |
# Start Kill PHP Execution <Files ~ "\.ph(?:p[345]?|t|tml)$"> deny from all </Files> # End Kill PHP Execution |
في الحقيقة، وإن كانت خطواتنا متقدمة، إلا أنه ينقصنا القيام ببعض الروتوشات الصغيرة الأخرى احترازاً ، ومنها:
تعطيل تحرير الملفات في لوحة الإدارة
ماذا تفعل لو أن أحدهم استطاع أن يصل إلى لوحة التحكم لموقعك ؟ طبعاً لن تستطيع فعل أي شيئ! هو من سيفعل 
، سيستطيع التعديل على ملفاتك من خلال محرر القوالب أو الاضافات، سيستطيع تغيير كلمة مرور الدخول لإدارة ووردبريس
. وسيفعل ما يريد بموقعك قبل أن تدرك ذلك متأخراً.
لتجنب كل هذا، إذهب إلى الملف wp-config.php الموجود بجذر الموقع (راجع الصورة فوق ) ، وقم بتنزيلها إلى الحاسوب،وبواسطة تحرير النصوص ، أضف هذا الكود في آخر الضفحة.
|
1 2 |
## Disable Editing in Dashboard define('DISALLOW_FILE_EDIT', true); |
يمكنك استعمال محرر النصوص Notepad++ أو Sublime textلإنشاء ملفات PHP او التعديل عليها.
منع تصفح أو ظهور ملفات ووردبريس لكل الناس
هذا مشكل آخر ينبغي معالجته على وجه السرعة، رغم أن معظم أصحاب الاستضافة يقومون بحماية المجلدات ومنع ظهور الملفات لعامة الناس ، فإنه من باب الاحتياط طرحت هذه الفقرة.
إذا كانت ملفاتك تظهر على الشكل الموجود بالصورة تحت عندما تكتب عنوان مجلد على المتصفح، فلا يجب أن تستهين بذلك، ولإخفاء ظهور هذه الملفات، قم بإضافة هذا الكود في آخر ملف htaccess. مع مراعات رابط المجلد:
|
1 2 3 |
# Start Block Directory Listing Options All -Indexes # End Block Directory Listing |
صورة تقريبية لظهور ملفات wp-includes من خلال التصفح من المتصفح
قد لا تكون أنت المقصود ببعض ما في هذه المقالة، لأن معظم الاستضافات اليوم توفر الحماية الكاملة لمجلدات وملفات ووردبريس، هذا لا يعني أنك في مأمن. حاول أن تُـعيد قراءة المقالة وقم بزيارة الروابط الموجودة داخل المقالة فهي مفيدة لتأمين موقعك.
في أمان الله.
شَـاركِ الْمَوْضُوع:
إذا أعجبك هذا المحتوى، فلا تَقْرَأْ وتَرْحَل … تَـعْلِيقَـاتُكَ تَـشْجِيعٌ لَـنَـا لِنَسْتَمِرَّ فِــي الْبَحْثِ وَالْعَطَـاء. وإِذَا كنت تعتقد أنه قد يكون مفيداً لأشخاص آخرين، فشَارِكْهَ على الشبكات الاجتماعية.
قناتي على اليوتوب أرى أن هذه المواضيع قد تهمك: |
مقال مفيد جدا جدا أشكرك عزيزي افادني هذا المقال جدا