يعد تأمين موقع ووردبريس الخاص بك من هجمات حقن SQL أمر ضروري لحماية بياناتك والحفاظ على ثقة زوارك.

حقن SQL هي تقنية شائعة يستخدمها الهكرز لمهاجمة قاعدة البيانات الخاصة بك. بمجرد قيامهم بذلك، يمكن للهكرز قراءة بياناتك الحساسة وتعديلها والسيطرة على قاعدة البيانات بأكملها.

لحماية موقعك الإلكتروني من هذا التهديد، من الضروري تنفيذ تدابير أمنية قوية على موقعك الإلكتروني.

في DoctorMega، نأخذ الأمان على محمل الجد ونبذل قصارى جهدنا لحماية موقعنا من الهكرز والبرامج الضارة. إن العديد من ممارسات الأمان التي نوصي بها ضد هجمات حقن SQL هي طرق استخدمناها بنجاح بأنفسنا.

في هذه المقالة، سنشارك بعض النصائح العملية لمنع هجمات حقن SQL في ووردبريس، خطوة بخطوة.

لماذا يجب منع هجمات حقن SQL في ووردبريس؟

SQL هي اختصار لـ Structured Query Language (لغة الاستعلام الهيكلية)، وهي لغة برمجة تتواصل مع قاعدة بيانات موقع ووردبريس الخاص بك. بدون هذه الميزة، لا يمكن لموقعك إنشاء أي محتوى ديناميكي.

ومع ذلك، فإن إدخال المستخدم غير المصرح به، أو البرامج القديمة، أو الكشف عن معلومات حساسة يمكن أن يتسبب في حدوث ثغرات أمنية ويسهل على الهكرز تنفيذ هجمات حقن SQL.

يستهدف هذا الهجوم سيرفر قاعدة البيانات لديك ويضيف كود أو عبارات ضارة إلى SQL الخاص بك. عند القيام بذلك، يمكن للهكرز استخدام المعلومات الحساسة المخزنة في قاعدة بياناتك مثل بيانات المستخدم لسرقة الهوية، والاستيلاء على الحساب، والاحتيال المالي، والمزيد.

يمكنهم أيضًا تغيير إدخالات قاعدة البيانات أو أذونات الحساب وتنفيذ هجمات DDoS، مما يجعل من الصعب على المستخدمين الفعليين زيارة موقعك الإلكتروني.

يمكن أن يؤدي هذا إلى الإضرار بثقة العملاء، والتأثير سلبًا على تجربة المستخدم، وتقليل حركة الزيارات على موقعك الالكتروني، مما سيكون سيئ لنمو أعمالك الصغيرة.

وبعد أن قلنا ذلك، دعونا نلقي نظرة على بعض النصائح العملية التي يمكنها منع هجمات حقن SQL في ووردبريس. فيما يلي نظرة عامة سريعة على ما سنتحدث عنه في هذه المقالة:

• قم بتحديث موقعك بانتظام واستخدم جدار حماية.
• إخفاء إصدار ووردبريس.
• تغيير بادئة قاعدة بيانات ووردبريس.
• التحقق من صحة بيانات المستخدم.
• تقييد صلاحيات وأذونات أدوار المستخدمين.
• إنشاء رسائل خطأ مخصصة لقاعدة البيانات.
• إزالة وظائف قاعدة البيانات غير الضرورية.

ملاحظة: قبل إجراء أي تغييرات على قاعدة البيانات الخاصة بك كإجراء وقائي، نوصي بإنشاء نسخة احتياطية لها. بهذه الطريقة، إذا حدث أي خطأ، يمكنك استخدام النسخة الاحتياطية لإصلاحه. للحصول على التفاصيل، راجع البرنامج التعليمي الخاص بنا حول كيفية عمل نسخة احتياطية لقاعدة بيانات ووردبريس يدويًا.

1. إجراء تحديثات منتظمة للموقع واستخدم جدار الحماية

الطريقة الفعالة لمنع هجمات حقن SQL هي تحديث موقع ووردبريس الخاص بك بانتظام إلى الإصدار الأحدث. غالبًا ما تعمل هذه التحديثات على إصلاح الثغرات الأمنية، بما في ذلك مشاكل برنامج قاعدة البيانات، مما يجعل من الصعب على الهكرز مهاجمة موقعك.

إذا كنت تستخدم إصدار قديم من ووردبريس، فنوصيك بـ تمكين التحديثات التلقائية للإصدار الأحدث من خلال زيارة صفحة لوحة التحكم » التحديثات.

هنا، ما عليك سوى النقر على رابط ‘تمكين التحديثات التلقائية لجميع الإصدارات الجديدة من ووردبريس’. الأن، سيتم تثبيت كافة التحديثات الرئيسية على موقعك عند إصدارها.

لمزيد من المعلومات، قد ترغب في الاطلاع على دليل المبتدئين الخاص بنا حول كيفية تحديث ووردبريس بأمان.

بمجرد الانتهاء من ذلك، يمكنك أيضًا إضافة جدار حماية لمزيد من الأمان. تعمل هذه الميزة كدرع بين موقعك وحركة المرور الواردة وتمنع التهديدات الأمنية الشائعة، بما في ذلك هجمات SQL، قبل وصولها إلى موقعك الإلكتروني.

إذا كنت تدير نشاط تجاري صغير عبر الإنترنت، فنحن نوصي بـ Sucuri، وهو أحد أفضل خيارات برنامج جدار حماية ووردبريس في السوق. إنه يوفر جدار حماية على مستوى التطبيق، ومنع القوة الغاشمة، بالإضافة إلى خدمات إزالة البرامج الضارة والقوائم السوداء، مما يجعله خيار رائع.

ومع ذلك، قد لا تكون Sucuri قوية بما يكفي للمواقع الأكبر حجمًا ذات الزيارات العالية. في هذه الحالة، يمكنك أن تفكر في Cloudflare، الذي يمكن أن يوفر لك ميزات الأمان بالإضافة إلى شبكة توصيل محتوى (CDN) رائعة.

إذا لم تكن متأكد من الخيار الأفضل لموقعك الإلكتروني، فراجع مقالتنا حول سبب انتقالنا من Sucuri إلى Cloudflare أو مقارنة Sucuri مقابل Cloudflare.

2. إخفاء إصدار ووردبريس الخاص بك

بشكل افتراضي، يعرض ووردبريس رقم الإصدار الحالي للبرنامج الذي تستخدمه على موقعك الإلكتروني. على سبيل المثال، إذا كنت تستخدم ووردبريس 6.4، فسيتم عرض هذا الإصدار على موقعك للتتبع.

ومع ذلك، فإن ظهور رقم الإصدار الخاص بك للعامة قد يؤدي إلى خلق تهديدات أمنية وتسهيل قيام الهكرز بهجمات حقن SQL في ووردبريس.

يرجع السبب في ذلك إلى أن كل إصدار من ووردبريس لديه نقاط ضعف فريدة خاصة به يمكن للمهاجمين استغلالها بعد اكتشاف الإصدار الخاص بك. سيسمح لهم هذا بإضافة مقتطفات من الكود الضار إلى موقعك من خلال حقول الإدخال المعرضة للخطر.

بإمكانك بسهولة إزالة رقم الإصدار من موقعك عن طريق إضافة مقتطف الكود التالي إلى ملف functions.php الخاص بك.

add_filter('the_generator', '__return_empty_string');

بمجرد قيامك بذلك، لن يتمكن الهكرز من العثور على رقم إصدار ووردبريس الخاص بك من خلال الماسحات الضوئية التلقائية أو أي طريقة أخرى.

ملاحظة: ضع في اعتبارك أن الخطأ البسيط أثناء إضافة الكود قد يجعل موقعك الالكتروني غير قابل للوصول. ولهذا السبب نوصي باستخدام WPCode. إنه أفضل إضافة مقتطف كود الذي يجعل إضافة الكود المخصص إلى موقعك أمن وسهل للغاية.

لمزيد من التفاصيل، راجع البرنامج التعليمي الخاص بنا حول الطريقة الصحيحة لإزالة رقم إصدار ووردبريس.

3. تغيير بادئة قاعدة بيانات ووردبريس

بشكل افتراضي، يضيف ووردبريس البادئة _wp إلى جميع ملفات قاعدة البيانات الخاصة بك مما يسهل على الهكرز التخطيط لهجوم من خلال استهداف البادئة.

الطريقة الأسهل لمنع هجمات حقن SQL هي تغيير بادئة قاعدة البيانات الافتراضية بشيء فريد لا يستطيع الهكرز تخمينها.

يمكنك القيام بذلك بسهولة عن طريق ربط موقعك الإلكتروني باستخدام FTP. بعد ذلك، افتح ملف wp-config.php وابحث عن التغيير في سطر $table_prefix. بعد ذلك، يمكنك تغييره من wp_ الافتراضي إلى شيء أخر مثل هذا: wp_a123456_.

$table_prefix  = 'wp_a123456_';

بعد ذلك، يجب عليك زيارة لوحة التحكم cPanel الخاصة بحساب استضافة الويب الخاص بك. في هذا البرنامج التعليمي، سنستخدم Namecheap. ومع ذلك، قد يبدو cPanel الخاص بك مختلفًا بعض الشيء اعتمادًا على شركة استضافة الويب الخاصة بك.

هنا، انتقل إلى علامة التبويب ‘قواعد بيانات’ وانقر على زر ‘PHPMyAdmin’.

سيؤدي هذا إلى فتح صفحة جديدة حيث يجب عليك تحديد اسم قاعدة البيانات الخاصة بك من العمود الأيسر والتبديل إلى علامة التبويب ‘SQL’ من الأعلى.

بعد ذلك، يمكنك إضافة استعلام SQL التالي في مربع النص.

ما عليك سوى أن تضع في اعتبارك تغيير بادئة قاعدة البيانات إلى تلك التي اخترتها عند تحرير ملف wp-config.php.

RENAME table `wp_comments` TO `wp_a123456_comments`;
RENAME table `wp_links` TO `wp_a123456_links`;
RENAME table `wp_options` TO `wp_a123456_options`;
RENAME table `wp_postmeta` TO `wp_a123456_postmeta`;
RENAME table `wp_RENAME table `wp_commentmeta` TO `wp_a123456_commentmeta`;
posts` TO `wp_a123456_posts`;
RENAME table `wp_terms` TO `wp_a123456_terms`;
RENAME table `wp_termmeta` TO `wp_a123456_termmeta`;
RENAME table `wp_term_relationships` TO `wp_a123456_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_a123456_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_a123456_usermeta`;
RENAME table `wp_users` TO `wp_a123456_users`;

لمزيد من الإرشادات، يمكنك مشاهدة البرنامج التعليمي الخاص بنا حول كيفية تغيير بادئة قاعدة بيانات ووردبريس لتحسين الأمان.

4. التحقق من صحة بيانات المستخدم

يقوم الهكرز عادة بحقن هجمات SQL على موقعك الإلكتروني باستخدام الحقول لإدخال بيانات المستخدم، مثل أقسام التعليق أو حقول نموذج الاتصال.

ولهذا السبب من المهم التحقق من صحة جميع البيانات المرسلة على مدونة ووردبريس الخاصة بك. وهذا يعني أنه لن يتم إرسال بيانات المستخدم إلى موقعك إذا كانت لا تتبع تنسيق محدد.

على سبيل المثال، لن يتمكن المستخدم من إرسال النموذج الخاص به إذا كان حقل عنوان البريد الإلكتروني لا يحتوي على الرمز ‘@’. من خلال إضافة هذا التحقق إلى معظم حقول النموذج لديك، يمكنك منع هجمات حقن SQL.

للقيام بذلك، ستحتاج إلى Formidable Forms، وهو إضافة إنشاء نماذج متقدمة. ويأتي مزود بخيار ‘Input Mask Format’ حيث يمكنك إضافة التنسيق الذي يجب على المستخدمين اتباعه لإرسال بيانات حقل النموذج.

يمكنك إضافة تنسيق محدد لأرقام الهواتف أو حقول النص الفردية.

إذا كنت لا ترغب في التحقق من صحة حقول نماذجك، فننصحك باستخدام WPForms، فهو أفضل إضافة نموذج الاتصال، حيث يوفر حماية كاملة من السبام ويدعم جوجل reCAPTCHA.

كما يسمح لك بإضافة قوائم منسدلة ومربعات اختيار إلى نماذجك، مما يجعل من الصعب على الهكرز إضافة بيانات ضارة.

لمزيد من التفاصيل، راجع البرنامج التعليمي الخاص بنا حول كيفية إنشاء نموذج اتصال آمن في ووردبريس.

5. تقييد وصول دور المستخدم والأذونات

نصيحة أخرى لمنع هجمات حقن SQL ووردبريس هي تقييد وصول المستخدمين إلى موقعك الإلكتروني.

على سبيل المثال، إذا كان لديك مدونة متعددة المؤلفين، فسيكون لديك العديد من المؤلفين بالإضافة إلى المشتركين والمسؤولين. في هذه الحالة، يمكنك تحسين أمان الموقع عن طريق تقييد الوصول الكامل للمسؤول على المسؤول فقط.

يمكنك تقييد جميع أدوار المستخدم الأخرى على وظائف محددة تتطلبها لأداء وظيفتها. سيؤدي هذا إلى تقليل وصول المستخدم إلى قاعدة البيانات الخاصة بك ومنع هجمات حقن SQL.

يمكنك القيام بذلك باستخدام إضافة Remove Dashboard Access المجانية. عند التنشيط، ما عليك سوى زيارة صفحة الإعدادات » Dashboard Access، حيث يمكنك تحديد أدوار المستخدم التي تحصل على حق الوصول إلى لوحة التحكم.

إذا كنت تريد تقييد المستخدمين حسب قدراتهم، فيمكنك مشاهدة البرنامج التعليمي الخاص بنا حول كيفية إضافة أو إزالة القدرات من أدوار المستخدم في ووردبريس.

وبنفس الطريقة، يمكنك أيضًا تقييد المؤلفين بمنشوراتهم الخاصة في منطقة الإدارة لديك لمزيد من الأمان.

6. إنشاء رسائل خطأ قاعدة البيانات المخصصة

في بعض الأحيان قد يواجه المستخدمون خطأ في قاعدة البيانات على موقعك الالكتروني، والذي يمكن أن يعرض معلومات مهمة حول قاعدة البيانات الخاصة بك، مما يجعلها عرضة لهجمات حقن SQL.

في هذه الحالة، نوصي بإنشاء رسالة خطأ لقاعدة بيانات مخصصة سيتم عرضها للمستخدمين عندما يواجهون هذا الخطأ الشائع. للقيام بذلك، ستحتاج إلى نسخ المحتوى التالي ولصقه في تطبيق المفكرة وحفظ الملف باسم ‘db-error.php’.

<?php // custom WordPress database error page
    
  header('HTTP/1.1 503 Service Temporarily Unavailable');
  header('Status: 503 Service Temporarily Unavailable');
  header('Retry-After: 600'); // 1 hour = 3600 seconds
    
  // If you wish to email yourself upon an error
  // mail("your@email.com", "Database Error", "There is a problem with the database!", "From: Db Error Watching");
    
?>;
    
<!DOCTYPE HTML>;
<html>
<head>
	<title>Database Error</title>
<style>
body { padding: 20px; background: red; color: white; font-size: 60px; }
	</style>
	</head>
<body>
  You got problems.
</body>

بعد ذلك، قم بتوصيل موقعك بعميل FTP وقم برفع الملف الذي قمت بإنشائه للتو إلى دليل /wp-content/ الخاص بموقعك.

الأن، عندما يواجه المستخدمون خطأ في قاعدة البيانات على موقعك الالكتروني، سيشاهدون رسالة خطأ تعلمهم بالمشكلة دون الكشف عن أي معلومات حساسة.

بالإضافة إلى ذلك، سيتم عرض عنوان ‘خطأ قاعدة البيانات’ في علامة تبويب متصفح الويب.

لمزيد من التفاصيل، راجع البرنامج التعليمي الخاص بنا حول كيفية إضافة صفحة خطأ قاعدة البيانات المخصصة في ووردبريس.

7. إزالة دوال قاعدة البيانات غير الضرورية

لمنع هجمات حقن SQL، يجب عليك أيضًا محاولة إزالة جميع دوال قاعدة البيانات والملفات التي لا تحتاجها على موقعك الالكتروني.

على سبيل المثال، يمكنك حذف الجداول غير الضرورية، أو سلة المهملات، أو التعليقات غير المعتمدة التي قد تجعل قاعدة البيانات الخاصة بك عرضة للهكرز.

لإزالة دوال قاعدة البيانات غير الضرورية، نوصي باستخدام WP-Optimize. إنها إضافة مذهلة تقوم بإزالة الجداول غير الضرورية، ومراجعات المنشورات، والمسودات، والتعليقات المحذوفة، والمنشورات المحذوفة، والإشارات العكسية، وبيانات المنشورات الوصفية، وغير ذلك الكثير.

يقوم بإزالة جميع الملفات التي لا تحتاجها ويحسن قاعدة البيانات الخاصة بك لتصبح أكثر أمان وسرعة. للحصول على التفاصيل، راجع دليل المبتدئين الخاص بنا حول كيفية تحسين قاعدة بيانات ووردبريس الخاصة بك.

نأمل أن تساعدك هذه المقالة على تعلم كيفية منع هجمات حقن SQL ووردبريس. قد ترغب أيضًا بالاطلاع على دليل المبتدئين الخاص بنا حول كيفية التحقق من تحديثات أمان ووردبريس أو دليلنا النهائي لأمان ووردبريس.

هل وجدت هذا المنشور مفيدًا؟ شاركنا رأيك من خلال ترك تعليق أدناه، أو انضم إلينا على تويتر وفيسبوك.