Best Host
ENابدأ الآن

قائمة فحص أمنية شاملة لموقع ووردبريس في 2026

٢٠‏/٣‏/٢٠٢٦ · 5 د قراءة

20 خطوة عملية لحماية موقع ووردبريس من الاختراق — من الإعدادات الأساسية حتى الحماية المتقدمة، مع أدوات موصى بها لكل خطوة.

ووردبريس يُدير 43% من مواقع الإنترنت — وهذا يجعله هدفًا أول للهجمات. كل دقيقة تُهاجم 90,000 محاولة اختراق موقعًا على ووردبريس. الخبر السار: معظم الاختراقات يمكن تجنّبها بـ 20 خطوة بسيطة. هذا الدليل يُغطّيها بالكامل، مع أدوات موصى بها لكل واحدة.

لماذا ووردبريس هدف؟

  1. شعبيته: لو سرّع هاكر هجومه على ووردبريس، يصيب 4 من كل 10 مواقع
  2. القوالب المقرصنة: مليئة بالأبواب الخلفية
  3. الإضافات القديمة: غير محدّثة لشهور
  4. كلمات مرور ضعيفة: admin / password / 123456
  5. عدم وجود WAF: لا جدار حماية تطبيقي

الأساسيات (لا تتجاوزها)

1. حدّث كل شيء — دائمًا

  • ✅ نواة ووردبريس
  • ✅ القوالب
  • ✅ الإضافات
  • ✅ PHP إلى 8.2+ (8.3 أفضل)

70% من الاختراقات تستهدف نسخًا قديمة. فعّل التحديث التلقائي.

2. كلمات مرور قوية + 2FA

  • 12+ حرف، أرقام، رموز
  • مدير كلمات مرور (1Password، Bitwarden)
  • المصادقة الثنائية عبر إضافة WP 2FA أو Wordfence Login Security
  • لا تشارك حسابات المسؤول

3. غيّر اسم المستخدم "admin"

أبسط هدف للهجمات Brute Force. غيّره لاسم غير متوقع. لو موجود بالفعل، أنشئ مستخدم جديد بصلاحيات admin وامسح القديم.

4. غيّر بادئة قاعدة البيانات

من wp_ إلى أي شيء آخر (xj7_ مثلًا). يمنع SQL injections شائعة. غيّرها قبل تثبيت ووردبريس، أو استخدم إضافة Change Table Prefix.

حماية تسجيل الدخول

5. حدّ من محاولات الدخول

إضافة Limit Login Attempts Reloaded — تحظر الـ IP بعد 5 محاولات فاشلة. ضروري ضد Brute Force.

6. غيّر رابط لوحة التحكم

من /wp-admin إلى رابط مخصّص عبر إضافة WPS Hide Login. مثلًا /control-panel-x9z. الهاكرز لا يعرفون أين يهاجمون.

7. أخفِ المعلومات الحساسة

أزل ظهور:

  • نسخة ووردبريس (من <meta> و RSS)
  • أسماء المستخدمين (من URL author)
  • ملف readme.html
  • ملف wp-config-sample.php

8. عطّل XML-RPC إن لم تستخدمه

هدف شائع لهجمات Brute Force و DDoS. في .htaccess:

<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

حماية الملفات

9. صلاحيات الملفات الصحيحة

# الملفات: 644
find /var/www/html -type f -exec chmod 644 {} \;
# المجلدات: 755
find /var/www/html -type d -exec chmod 755 {} \;
# wp-config.php: 600 (الأكثر تقييدًا)
chmod 600 /var/www/html/wp-config.php

10. عطّل تحرير الملفات من اللوحة

في wp-config.php:

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

يمنع الهاكر (لو وصل للوحة) من تعديل ملفات PHP عبر الواجهة.

11. عطّل تنفيذ PHP في uploads

في wp-content/uploads/.htaccess:

<Files *.php>
  Order Deny,Allow
  Deny from all
</Files>

يمنع رفع ملفات PHP خبيثة مُتنكّرة كصور.

جدار الحماية والمسح

12. ثبّت Wordfence أو Sucuri

  • جدار حماية WAF
  • مسح يومي للبرمجيات الخبيثة
  • إشعارات فورية
  • إصدار مجاني كافٍ للبداية
  • Wordfence Premium: 119$/سنة

13. Cloudflare كطبقة دفاع

  • حماية DDoS مجانية
  • Bot Management
  • Rate Limiting
  • إخفاء IP السيرفر الحقيقي
  • WAF rules مخصصة لووردبريس (في Pro plan)

14. WAF على مستوى السيرفر

ModSecurity مع OWASP Core Rule Set يحمي من 90% من الهجمات الشائعة قبل أن تصل لووردبريس. تأكد أن استضافتك تشغّله.

النسخ الاحتياطي

15. نسخ آلية يومية

إضافة UpdraftPlus أو BackWPup:

16. النسخ قبل أي تحديث كبير

دائمًا، حتى لو يبدو التحديث آمنًا. تحديث WooCommerce الكبير قد يكسر متجرك.

القوالب والإضافات

17. استخدم قوالب وإضافات من مصادر موثوقة فقط

  • WordPress.org الرسمي
  • ThemeForest / CodeCanyon (مدفوع لكن آمن)
  • موقع المطوّر الرسمي
  • أبدًا قوالب "Nulled" أو مقرصنة — مليئة بالأبواب الخلفية

18. احذف القوالب والإضافات غير المستخدمة

كل واحدة غير نشطة = نقطة هجوم محتملة. عطّلها واحذفها فعليًا، لا تتركها.

19. راجع الإضافات شهريًا

  • متى آخر تحديث؟
  • كم عدد المراجعات والتقييم؟
  • هل مدعومة؟
  • هل توافقها مع آخر نسخة ووردبريس؟

أي إضافة بدون تحديث منذ 6+ أشهر = خطر. ابحث عن بديل.

الحماية المتقدمة

20. شفّر الاتصال (HTTPS كامل)

  • شهادة SSL على كل صفحة
  • ادفع كل HTTP إلى HTTPS في .htaccess
  • فعّل HSTS

حماية إضافية لـ wp-config.php

انقله مستوى واحد فوق public_html لو ممكن. ووردبريس يقرؤه آليًا. هذا يخفيه من أي PHP injection.

Database Hardening

  • مستخدم MySQL منفصل لكل موقع
  • صلاحيات أدنى (لا GRANT ALL)
  • كلمة مرور قوية (24+ حرفًا)
  • استخدم Prepared Statements في الكود المخصص

سجلات الأمان (Security Logs)

راقب من يسجّل دخول، متى، ومن أين. Wordfence و Sucuri يوفّرون هذا. سجّل لـ 90 يومًا على الأقل.

ماذا تفعل إذا اختُرق موقعك؟

  1. افصل الموقع فورًا (وضع الصيانة)
  2. غيّر كل كلمات المرور (ووردبريس، DB، FTP، استضافة، Cloudflare)
  3. استرجع من نسخة احتياطية نظيفة (تأكد من تاريخها)
  4. افحص بـ Wordfence Scanner أو Sucuri SiteCheck
  5. اتصل بفريق دعم استضافتك (لو على بيست هوست، نتولّى التنظيف)
  6. بلّغ Google في Search Console إن ظهرت تحذيرات
  7. حلّل سجلات الاختراق لمعرفة كيف دخل
  8. أغلق الباب الخلفي قبل العودة للعمل

أدوات مراقبة دائمة

  • UptimeRobot: تنبيه لو الموقع تعطّل
  • Wordfence: مسح يومي + سجلات + تنبيهات
  • Sucuri: مسح + WAF + CDN
  • WP Activity Log: سجل كل ما يحدث في الإدارة
  • Google Search Console: تنبيهات أمنية من جوجل

مخاطر خاصة بالـ WooCommerce

المتاجر هدف مفضل بسبب بيانات الدفع. خطوات إضافية:

  • لا تخزّن بيانات بطاقات (استخدم بوّابة دفع، راجع مدى و Apple Pay)
  • PCI-DSS Compliance لو تعالج بطاقات
  • فحص أمني ربعي
  • مراقبة لطلبات مشبوهة

الخلاصة

أمان ووردبريس يتطلّب اهتمامًا مستمرًا، لكن لا يحتاج خبرة برمجية عميقة. اتبع القائمة، وستحمي موقعك من 95% من الهجمات الشائعة. عملاء بيست هوست يحصلون على معظم هذه الحمايات تلقائيًا — جدار حماية، مسح يومي، نسخ احتياطي، تحديثات أمنية، WAF على مستوى السيرفر. لو تحتاج تدقيق أمني لموقعك الحالي، تواصل معنا.

مقالات ذات صلة

٢٤‏/٣‏/٢٠٢٦ · 4 د

ووردبريس أم سلة؟ مقارنة عملية لمتجرك الإلكتروني السعودي

١٥‏/٣‏/٢٠٢٦ · 5 د

ربط مدى و Apple Pay في متجرك الإلكتروني (دليل 2026)

١٠‏/٣‏/٢٠٢٦ · 4 د

12 طريقة لتقليل التخلي عن سلة الشراء في متجرك السعودي