RevealTheme logo

دليل · محدَّث 2026

قائمة التحقق من أمان WordPress: 30 خطوة تهم فعلًا

معظم نصائح أمان WordPress عامة ومثيرة للذعر وتغفل عمّا يهم فعلًا. ترتّب هذه القائمة إجراءات الأمان حسب التأثير الحقيقي، استنادًا إلى أنماط الهجوم الفعلية المستخدمة ضد مواقع WordPress (القوة الغاشمة، الإضافات المُعرَّضة للثغرات، بيانات الاعتماد الضعيفة، الأنوية القديمة).

الأساسيات الخمسة: افعلها أولًا

  1. أبقِ نواة WordPress والقوالب والإضافات محدَّثة. الإضافات المُعرَّضة للثغرات هي ناقل الهجوم رقم 1. فعِّل التحديثات التلقائية للإصدارات الثانوية (WordPress 5.6+ يفعل ذلك افتراضيًا). للإصدارات الرئيسية، حدِّث خلال 7 أيام من الإصدار. للإضافات، فعِّل التحديث التلقائي للموثوقة منها؛ وراجع يدويًا ملاحظات الإصدار للإضافات الحرجة.
  2. استخدم كلمات مرور قوية وفريدة لكل حساب WordPress. خصوصًا حسابات المدير. استخدم مدير كلمات مرور (1Password، Bitwarden). عطِّل اسم المستخدم «admin»: أنشئ مديرًا جديدًا واحذف القديم.
  3. فعِّل المصادقة الثنائية. استخدم Wordfence Login Security (مجاني) أو مولِّد رمز QR للمصادقة الثنائية لدينا مع أي تطبيق TOTP. تهزم المصادقة الثنائية أكثر من 99% من هجمات حشو بيانات الاعتماد.
  4. ثبّت إضافة أمان موثوقة. Wordfence (النسخة المجانية تكفي لمعظم المواقع) أو Solid Security. لا تكدّس عدة إضافات: تتعارض. تدير الإضافة تحديد محاولات تسجيل الدخول، ومراقبة سلامة الملفات، وفحص البرمجيات الخبيثة.
  5. نسخ احتياطية يومية خارج الموقع. UpdraftPlus ← Dropbox/Google Drive. أنشئ النسخة قبل أن تحتاجها. اختبر عملية الاستعادة مرة واحدة على الأقل.

الـ 10 التالية: إجراءات إضافية عالية التأثير

  1. افرض HTTPS. Let's Encrypt مجاني على كل استضافة حديثة. أعد توجيه HTTP إلى HTTPS على مستوى الخادم.
  2. غيِّر بادئة جداول قاعدة البيانات. يستخدم WordPress wp_ افتراضيًا؛ غيِّرها إلى شيء مخصص أثناء التثبيت. لا يمنع الهجمات، لكنه يصعّب بعض أنماط الهجوم.
  3. عطِّل XML-RPC إن لم تستخدمه. XML-RPC ناقل شائع لتضخيم القوة الغاشمة. إن لم تكن تستخدم تطبيق Jetpack للجوال ولا النشر عن بُعد، فعطِّله عبر .htaccess أو إضافة.
  4. حدِّد محاولات تسجيل الدخول. يفعل Wordfence ذلك تلقائيًا. يمنع حشو بيانات الاعتماد بالقوة الغاشمة.
  5. دوِّر مفاتيح/ملوّحات (salts) مصادقة WordPress. استخدم مولِّد الملوّحات (Salts) الخاص بـ WordPress لدينا. دوِّرها بعد أي اشتباه باختراق، وبعد إزالة مدير مُخترَق، وكل 6-12 شهرًا روتينيًا.
  6. استخدم SSH أو SFTP لنقل الملفات، لا FTP العادي أبدًا. ينقل FTP بيانات الاعتماد كنص صريح.
  7. قيّد الوصول إلى wp-admin حسب IP إن أمكن. إن كان فريقك يستخدم عناوين IP ثابتة (المكتب، VPN)، فقصِر wp-admin على تلك العناوين فقط. عبر .htaccess أو إعدادات Nginx.
  8. عطِّل تحرير الملفات في wp-config.php. أضِف: define('DISALLOW_FILE_EDIT', true); يمنع المهاجمين من تحرير القوالب/الإضافات من اللوحة إن اخترقوا حسابًا.
  9. أخفِ رقم إصدار WordPress. أزِل وسم meta generator. لا يمنع الهجمات، لكنه يقلّل من البصمة (fingerprinting).
  10. أحكِم أذونات الملفات. الملفات 644، المجلدات 755، wp-config.php 600. تفعل معظم الاستضافات المُدارة ذلك تلقائيًا؛ وعلى VPS، اضبطه صراحةً.

التحسين: جيد لكنه غير حرج

  1. رابط تسجيل دخول مخصص (مثل WPS Hide Login). يقلّل أساسًا ضجيج زيارات البوتات؛ ليس أمانًا حقيقيًا.
  2. CAPTCHA في نماذج تسجيل الدخول. احتكاك طفيف للهجمات الآلية.
  3. عطِّل تنفيذ PHP في /uploads/. يمنع تشغيل أصداف PHP المرفوعة.
  4. استخدم WAF من Cloudflare (المستوى المجاني). يرشّح الزيارات الخبيثة قبل وصولها إلى خادمك.
  5. اضبط تنبيهًا بالبريد للمدير عند تحديثات الإضافات/النواة.
  6. استخدم التحميل المسبق لـ HSTS لفرض HTTPS على مستوى المتصفح.
  7. عطِّل تعداد المستخدمين عبر واجهة REST (يديرها Solid Security أو Wordfence).
  8. استخدم ترويسات سياسة أمان المحتوى (CSP).
  9. عطِّل تصفُّح المجلدات (تفعل معظم الاستضافات ذلك افتراضيًا).
  10. راقب وقت التشغيل + السلامة بخدمة خارجية (المستوى المجاني من UptimeRobot + Sucuri SiteCheck أسبوعيًا).
  11. قصِر أدوار المستخدمين على الحد الأدنى من الامتيازات. معظم المساهمين لا يحتاجون إلى وصول بمستوى محرِّر.
  12. تشفير النسخ الاحتياطية لقاعدة البيانات (يقدّمه UpdraftPlus Premium).
  13. استضافة الصور خارج النطاق عبر CDN (يقلّل سطح الهجوم).
  14. مراجعة دورية لسجل تدقيق الأمان.
  15. اختبار اختراق سنوي إن كان الموقع يدرّ إيرادات كبيرة.

خرافات أمان WordPress: تجاهلها

عدة إجراءات «أمان» موصى بها بكثرة تقدّم حمايةً حقيقية ضئيلة: (1) «إخفاء إصدار WordPress»: معرفة إصدارك تساعد قليلًا في الهجمات الموجَّهة، لكن الحل الحقيقي هو التحديث لا الإخفاء. (2) «نقل wp-config.php فوق public_html»: يقدّم عمليًا صفر فائدة أمنية؛ الملف محمي أصلًا بـ .htaccess. (3) «تعطيل واجهة REST»: يكسر كثيرًا من الإضافات ويحجب القليل. قيّد نقاط نهاية محددة بدلًا من ذلك. (4) «تكديس عدة إضافات أمان»: تتعارض وتتداخل. إضافة واحدة موثوقة (Wordfence أو Solid Security) تغطي ما قد تفعله ثلاث. (5) «إعادة تسمية wp-login.php»: أمان بالغموض؛ يجد المهاجمون الرابط الجديد بسهولة عبر إعادة التوجيه.

إذا تعرّضت للاختراق: قائمة الاستعادة

  1. لا تُصب بالذعر؛ لا تحذف الأشياء فورًا. خذ أولًا لقطة للحالة الراهنة لأغراض التحليل الجنائي.
  2. اجعل الموقع غير متصل (إضافة وضع الصيانة أو إعادة توجيه .htaccess إلى صفحة ثابتة).
  3. غيِّر كل كلمات مرور المدير ودوِّر ملوّحات (salts) WordPress.
  4. دقّق حسابات المستخدمين: احذف فورًا حسابات المدير غير المعروفة.
  5. افحص بحثًا عن البرمجيات الخبيثة باستخدام Wordfence Premium أو Sucuri.
  6. قارن الملفات الحالية بتنزيل نظيف لـ WordPress: يكشف الفرق (diff) ملفات النواة المعدَّلة.
  7. راجع جدول wp_options في قاعدة البيانات بحثًا عن إدخالات غير متوقعة (غالبًا يحتوي على JS مُحقَن).
  8. استعد من أحدث نسخة احتياطية نظيفة (لهذا تهم النسخ اليومية).
  9. بعد الاستعادة، دقّق كل إضافة: احذف غير المستخدمة، وحدِّث الجميع، واستبدل أي إضافة لها ثغرات CVE عامة.
  10. حدِّث نواة WordPress إلى أحدث إصدار.
  11. أعد تفعيل الموقع وراقب إعادة الإصابة لمدة 30 يومًا.
ولِّد ملوّحات (salts) WordPress جديدة الآن

الأسئلة الشائعة

هل WordPress أقل أمانًا من أنظمة إدارة المحتوى الأخرى؟
ليس بطبيعته. سمعة WordPress كخطر أمني تأتي من عاملين: يشغّل 43% من الويب، فيستهدفه المهاجمون؛ والمستخدمون العاديون يثبّتون إضافات مُعرَّضة للثغرات دون تدقيقها. موقع WordPress مُصان بإضافات موثَّقة آمن بقدر Drupal أو Joomla. موقع WordPress مهجور بـ 30 إضافة قديمة هدف سهل.
هل أحتاج إلى إضافة أمان مدفوعة؟
معظم المواقع لا تحتاج. تغطي Wordfence Free ما يحتاجه 90% من مواقع WordPress: جدار ناري، فحص برمجيات خبيثة، أمان تسجيل الدخول، سلامة الملفات. تضيف النسخة Premium تحديثات تهديدات في الوقت الفعلي (مقابل تأخير 30 يومًا)، وحجبًا حسب البلد، ودعمًا أولويًا: تستحق العناء للمواقع ذات الإيرادات الحقيقية، واختيارية في غير ذلك.
كم مرة ينبغي أن أحدِّث WordPress؟
الإصدارات الثانوية (5.6.1 ← 5.6.2): تلقائيًا، فورًا. الإصدارات الرئيسية (5.x ← 6.x): خلال 7 أيام من الإصدار. تحديثات الإضافات: مراجعة أسبوعية؛ تحديث تلقائي إن كانت لديك نسخ احتياطية؛ مراجعة يدوية للإضافات الحرجة (الأمان، التجارة الإلكترونية، الكود المخصص).
ما هي أكثر طريقة شائعة لاختراق مواقع WordPress؟
الإضافات المُعرَّضة للثغرات، المسؤولة عن نحو 55% من الهجمات الناجحة على WordPress وفق تقارير Wordfence السنوية. كود الإضافة نفسه به ثغرة يستغلها المهاجم. التخفيف: أبقِ الإضافات محدَّثة، واحذف غير المستخدمة، وثبّت فقط إضافات من مطورين موثوقين.
هل ينبغي أن أستخدم استضافة بأمان WordPress مدمج؟
استضافات WordPress المُدارة (Kinsta، WP Engine، Pressable) تتضمن WAF، وفحص برمجيات خبيثة، وتحديثات تلقائية للنواة: إضافات مهمة. ما إذا كانت تبرّر السعر المتميز يعتمد على زياراتك وملف التهديد لديك. لموقع شركة صغيرة، تثبيت Wordfence مجاني على استضافة مشتركة يغطي معظم التهديدات.

قراءات ذات صلة

اشترك للحصول على التحديثات

لا نبيع بريدك الإلكتروني. ولا نرسل رسائل مزعجة.

© 2026 RevealTheme. All rights reserved.