ووردبريس يدير 43% من مواقع الويب في 2026، ما يجعله الهدف الأول لمحاولات الاختراق. كل يوم يتم اكتشاف ثغرات في إضافات وقوالب، والمواقع غير المحدثة تتعرض للاختراق خلال أسابيع. الخبر الجيد: 95% من الاختراقات تستهدف نقاط ضعف بسيطة يمكن سدها بإجراءات أساسية. هذا الدرس يقدم 8 إجراءات مرتبة بالأولوية لتأمين موقعك.
المتطلبات
- صلاحيات إدارة كاملة على الموقع
- وصول SSH/FTP للسيرفر
- (اختياري) Cloudflare للحماية الإضافية
- الوقت المقدر: 3 ساعات لتطبيق الإجراءات
الخطوة 1 — التحديثات المنتظمة
الإجراء الأهم على الإطلاق. إحصائيات Wordfence 2024-2025: 60% من الاختراقات تأتي من إضافات قديمة بثغرات معروفة. التحديث ليس اختياري — هو الجدار الأول للدفاع.
# تحديث آلي عبر WP-CLI
wp core update
wp plugin update --all
wp theme update --all
# أو تفعيل التحديث التلقائي للنواة في wp-config.php:
define("WP_AUTO_UPDATE_CORE", "minor");
# للإضافات الموثوقة، فعّل auto-update من لوحة الإضافاتتحديث تلقائي للإصدارات الفرعية (minor) آمن دائماً — يحتوي إصلاحات أمنية فقط. للإصدارات الكبرى (major)، اختبر على staging أولاً. ضع تنبيهاً في تقويمك كل أسبوعين لمراجعة التحديثات اليدوية والتأكد من سلامة الموقع بعدها.
الخطوة 2 — كلمات مرور قوية + 2FA
كلمات المرور الضعيفة هي السبب الثاني الأكبر للاختراق. كلمة مرور قوية: 16+ حرف، مزيج من أحرف كبيرة/صغيرة/أرقام/رموز، فريدة لكل موقع. مدير كلمات المرور (Bitwarden، 1Password) يحلّ المشكلة جذرياً.
# تثبيت إضافة 2FA الرسمية
wp plugin install two-factor --activate
# تفعيل 2FA لكل مستخدم بـ admin role
# Settings → Two-Factor → Enable for: TOTP (Google Authenticator)إضافة Two-Factor الرسمية تدعم TOTP (Google Authenticator، Authy)، مفاتيح U2F/WebAuthn، وSecurity Keys (YubiKey). لمستخدمي admin، WebAuthn/Passkey هو الأقوى — يمنع phishing بشكل كامل لأن المفتاح يتحقق من النطاق قبل التوقيع. تنبيه 2026: منذ الإصدار 0.16.0 من إضافة two-factor (مارس 2026)، أُزيل دعم U2F القديم؛ للمفاتيح المادية (YubiKey مثلاً) والـ passkeys، ثبّت الإضافة المرافقة two-factor-provider-webauthn.
الخطوة 3 — تقييد محاولات تسجيل الدخول
هجمات brute force تجرب آلاف كلمات المرور في الدقيقة على /wp-login.php. حلّ بسيط: تقييد المحاولات الفاشلة، وقفل الـ IP بعد 5 محاولات.
wp plugin install limit-login-attempts-reloaded --activate
# الإعدادات الموصى بها:
# Allowed Retries: 4
# Lockout: 20 minutes
# 3 lockouts → 24h block
# Notify on lockout: yes (إيميل للمسؤول)إضافة على ذلك، غيّر مسار صفحة الدخول من /wp-login.php إلى مسار سري (مثل /entree-secrete/) عبر إضافة مثل WPS Hide Login. هذا يخفي الصفحة عن الزواحف الآلية ويقلل محاولات brute force بنسبة 99%.
الخطوة 4 — SSL + HSTS
HTTPS ليس اختيارياً في 2026: المتصفحات تعرض تحذيرات على المواقع HTTP، Google يصنّفها أقل، وبيانات المستخدمين معرضة للسرقة. Let’s Encrypt يوفر شهادات مجانية تتجدد تلقائياً.
# تثبيت certbot على Ubuntu
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d votre-site.com -d www.votre-site.com
# في nginx.conf، أضف HSTS header
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;HSTS يجبر المتصفح على استخدام HTTPS حتى لو كتب المستخدم http://. max-age=31536000 يعني سنة كاملة. preload يضيفك للقائمة المسبقة للمتصفحات (Chrome، Firefox)، حتى الزيارة الأولى تكون عبر HTTPS. تأكد من عمل HTTPS بشكل سليم قبل تفعيل preload — لا رجعة بسهولة بعدها.
الخطوة 5 — النسخ الاحتياطي اليومي
أفضل دفاع ضد ransomware والاختراقات هو نسخة احتياطية حديثة في مكان آمن. القاعدة 3-2-1: 3 نسخ، 2 وسائط مختلفة، 1 خارج الموقع.
# UpdraftPlus — الإضافة الأشهر
wp plugin install updraftplus --activate
# الإعدادات:
# Files backup: weekly → خارجي (Google Drive)
# Database backup: daily → خارجي
# Retention: 30 days
# Encrypt database backups: yesاختبر استعادة النسخة كل ربع سنة على بيئة staging. نسخة احتياطية لم تُختبر = ليست نسخة احتياطية. لمواقع التجارة الإلكترونية، اعتبر Solid Backups (المعروف سابقاً باسم BackupBuddy) أو BlogVault للنسخ الفورية بعد كل طلب — فقدان طلب يعني فقدان عميل.
الخطوة 6 — إضافة أمان شاملة
إضافة أمان واحدة تجمع عدة وظائف: مسح الملفات للبحث عن malware، WAF، monitoring، تقييد API. خياران رئيسيان: Wordfence (الأكثر شعبية) و Sucuri (موجه للشركات).
| الإضافة | المجاني | المدفوع | الميزة الفريدة |
|---|---|---|---|
| Wordfence | WAF + scanner | real-time IP blacklist | الأكثر اكتمالاً مجاناً |
| Sucuri | monitoring أساسي | WAF + تنظيف موقع مخترق | دعم تنظيف Malware |
| Kadence Security (سابقاً iThemes ثم Solid Security) |
قواعد متعددة + 2FA | Patchstack الترقيع التلقائي + ticketed | سهل الإعداد |
للمواقع الصغيرة، Wordfence المجاني كافٍ. لمواقع التجارة، Sucuri Pro يستحق 200 USD/سنة لـ WAF السحابي وضمان التنظيف خلال 12 ساعة في حال الاختراق. لا تثبّت إضافتي أمان في نفس الوقت — تتعارضان غالباً.
الخطوة 7 — تحصين الملفات والأذونات
إعدادات أذونات الملفات الخاطئة تترك الباب مفتوحاً. قاعدة عامة: مجلدات 755، ملفات 644، wp-config.php 600. wp-config.php يحتوي على بيانات الاتصال بقاعدة البيانات — يجب أن يكون محمياً جداً.
# تطبيق الأذونات الصحيحة
cd /var/www/votre-site
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 600 wp-config.php
# تعطيل تنفيذ PHP في uploads
cat > wp-content/uploads/.htaccess <<EOF
<Files *.php>
deny from all
</Files>
EOFمنع تنفيذ PHP في wp-content/uploads/ يحبط الهجمات الأكثر شيوعاً: رفع shell PHP عبر ثغرة في إضافة ضعيفة. حتى لو تم رفع الملف، السيرفر يرفض تنفيذه. أضف نفس القاعدة في wp-content/themes/ إذا لم تكن تطور قوالب على السيرفر مباشرة.
الخطوة 8 — جدار حماية تطبيقات الويب (WAF)
WAF يفحص كل طلب HTTP قبل وصوله إلى ووردبريس ويحجب الهجمات المعروفة (SQL injection، XSS، LFI). الخياران الأبرز في 2026: Cloudflare (مجاني للأساسيات) و Sucuri WAF (مدفوع، للشركات).
# Cloudflare — الإعداد المجاني
1. سجل في cloudflare.com (حساب مجاني)
2. أضف نطاقك → اتبع الإرشادات لتغيير DNS
3. فعّل: SSL Full (strict), Always HTTPS
4. WAF → Free Managed Rules: ON
5. Bot Fight Mode: ON
6. Rate Limiting: 60 req/min على /wp-login.phpCloudflare يحجب 95% من الهجمات الآلية حتى في الخطة المجانية. للحماية المتقدمة (DDoS كبير، Zero-day virtual patching)، استثمر في Cloudflare Pro (يبدأ تاريخياً من 20 USD شهرياً — تحقّق من cloudflare.com/plans للسعر الحالي) أو Sucuri Firewall (200-500 USD/سنة). للمواقع الإخبارية أو التجارية الكبيرة، WAF احترافي يدفع نفسه في حادث واحد منعه.
أخطاء شائعة
| المشكلة | السبب | الحل |
|---|---|---|
| تأجيل التحديثات | خوف من كسر الموقع | staging environment إلزامي |
| كلمة مرور admin/admin | إهمال | غيّر فوراً + 2FA |
| لا توجد نسخة احتياطية | ثقة مفرطة في الاستضافة | UpdraftPlus + خارجي |
| إضافات منتهية الدعم | المطور توقف عن العمل | استبدال بإضافة نشطة |
| HTTPS غير مفعّل | إعداد منسي | Let’s Encrypt مجاني |
| Admin user اسمه « admin » | افتراضي | أنشئ admin جديد، احذف الافتراضي |
| إضافات/قوالب nulled (مقرصنة) | تجنّب الاشتراك | لا تستخدم أبداً — backdoors مدفونة |
للمزيد
- Wordfence Threat Intelligence wordfence.com/threat-intel
- دليل ووردبريس الرسمي Hardening WordPress
- Sucuri Blog blog.sucuri.net
- Cloudflare Free cloudflare.com
- Two-Factor plugin wordpress.org/plugins/two-factor