أمان موقع ووردبريس مسؤولية يومية وليست إعداداً لمرة واحدة. ووردبريس الأكثر استخداماً في العالم، وبالتالي الأكثر استهدافاً من الهاكرز. في هذا الدليل نعرض خطوات عملية لحماية موقع ووردبريس من الاختراق والهجمات الشائعة.
لماذا مواقع ووردبريس مستهدفة؟
- حصة سوقية ضخمة — هجوم واحد ينجح على آلاف المواقع
- إضافات وقوالب قديمة بثغرات معروفة
- كلمات مرور ضعيفة وحسابات admin افتراضية
- استضافة مشتركة بدون firewall
الأساسيات: 5 خطوات لا تتخطاها
1. تفعيل HTTPS (شهادة SSL)
بدون HTTPS، البيانات تنتقل بنص واضح — كلمات مرور، بيانات عملاء، معلومات دفع. معظم الاستضافات تقدم SSL مجاناً عبر Let's Encrypt. إلزامي لأي موقع عام، وخاصة المتاجر.
2. كلمات مرور قوية + المصادقة الثنائية (2FA)
- كلمة مرور 16+ حرفاً مع أرقام ورموز
- لا تستخدم «admin» كاسم مستخدم — اختر اسماً فريداً
- فعّل 2FA عبر Wordfence أو Google Authenticator
- لا تعيد استخدام نفس كلمة المرور في مواقع أخرى
3. تحديث ووردبريس والإضافات والقوالب
أغلب الاختراقات تستغل ثغرات في إصدارات قديمة. حدّث أسبوعياً على الأقل:
- نواة WordPress
- جميع الإضافات النشطة
- القالب النشط والقوالب الفرعية
فعّل التحديثات التلقائية للإضافات الأمنية على الأقل.
4. تقييد محاولات تسجيل الدخول
الهجمات Brute Force تحاول آلاف كلمات المرور. الحل:
- حد أقصى 3–5 محاولات ثم حظر IP
- تغيير رابط wp-login.php (عبر إضافة أمان)
- تعطيل تسجيل الدخول من دول لا تستهدفها
5. صلاحيات الملفات الصحيحة
- مجلدات:
755 - ملفات:
644 wp-config.php:600أو440
النسخ الاحتياطي: خط دفاعك الأخير
حتى مع كل الاحتياطات، قد يحدث اختراق. النسخ الاحتياطي ينقذك:
- نسخة يومية تلقائية off-site (خارج السيرفر)
- احتفظ بـ 7–30 نسخة حسب أهمية الموقع
- اختبر الاستعادة كل شهر — نسخة لا تُستعاد = لا قيمة لها
إضافات موصى بها: UpdraftPlus، Jetpack Backup، BlogVault.
إضافات الحماية الموصى بها
- Wordfence: firewall، فحص malware، مراقبة تسجيل الدخول
- Sucuri: مراقبة سحابية وإزالة malware
- iThemes Security: مجموعة أدوات أمان شاملة
لا تثبّت أكثر من إضافة أمان واحدة — قد تتعارض.
أمان الاستضافة
- اختر استضافة تقدم firewall على مستوى السيرفر
- فحص malware دوري
- عزل حسابات cPanel (مهم في الاستضافة المشتركة)
- نسخ احتياطي على مستوى الاستضافة بالإضافة لنسخك
ما يجب ألا تفعله أبداً
- لا تنشر
wp-config.phpأو ملفات backup في مجلد public - لا تثبّت إضافات «nulled» أو مجانية من مصادر مشبوهة
- لا تترك حسابات مستخدمين قدامى بصلاحيات عالية
- لا تتجاهل تنبيهات الأمان من ووردبريس أو إضافة الحماية
- لا تستخدم نفس كلمة مرور قاعدة البيانات في عدة مواقع
قائمة تحقق أمنية
- HTTPS مفعّل ويعمل
- 2FA مفعّل لجميع المسؤولين
- ووردبريس والإضافات محدّثة
- إضافة أمان واحدة مفعّلة
- نسخ احتياطي يومي + اختبار استعادة
- لا يوجد مستخدم باسم «admin»
- صلاحيات الملفات صحيحة
الخلاصة
أمان ووردبريس = تحديثات + كلمات مرور قوية + SSL + نسخ احتياطي + إضافة حماية. نفّذ هذه الخطوات اليوم قبل أن تندم. منتجات RIDCOD تلتزم بمعايير أمان في التطوير. للاستفسار: contact@ridcod.com.