تعطيل تحرير ملف الواجهة الخلفية لـ WordPress وإخفاء عنوان تسجيل الدخول إلى الواجهة الخلفية

بالإضافة إلى التحديثات المنتظمة، يحتوي WordPress على إعدادين أمنيين "منخفضي التكلفة وعالي المردود":تعطيل تحرير الملفات في الخلفيةوإخفاء عنوان تسجيل الدخول إلى الكواليس. يمكن لهاتين العمليتين قطع مسارات الغزو الأكثر استخدامًا من قبل المخترقين بشكل مباشر (مثل تعديل الملفات الأساسية من خلال الثغرات وكسر كلمات مرور تسجيل الدخول بعنف)، والإعداد بسيط بما يكفي بحيث يمكن للمبتدئين إكماله بسهولة. سيشرح هذا القسم بالتفصيل الخطوات والمبادئ المحددة.

أولاً: لماذا هذان الإعدادان؟

هناك وسيلتان من أكثر الوسائل شيوعًا لاختراق مواقع ووردبريس انتشارًا:

1. زرع تعليمات برمجية خبيثة عن طريق تحرير الملفات في الخلفيةيسمح ووردبريس للمسؤولين بتعديل شيفرة القوالب والإضافات مباشرةً في الخلفية بشكل افتراضي ("المظهر ← محرر القوالب" "الإضافات ← محرر الإضافات"). بمجرد حصول المخترق على امتيازات المسؤول من خلال ثغرة ما، يمكنه تعديل الملفات الأساسية أو زرع فيروسات أو أبواب خلفية أو التلاعب بالمحتوى من خلال هذه الميزة.
2. تسجيل الدخول بالقوة الغاشمةتسجيل الدخول الافتراضي إلى ووردبريس هو 域名/wp-admin أو 域名/wp-login.php(موحد عبر الشبكة)، سيستخدم المخترق برنامجًا لفحص هذا العنوان بشكل جماعي ومحاولة استخدام أسماء مستخدمين شائعة (مثل admin) وتسجيل الدخول بكلمة مرور ضعيفة للتحكم في الموقع بمجرد نجاحه.

الإعداد 1: تعطيل تحرير الملفات في الخلفية (5 دقائق)

بعد تعطيل تحرير الملفات، سيختفي مدخلا "محرر القالب" و"محرر الإضافات" في الواجهة الخلفية، مما يمنع المخترقين (أو المسؤولين المضللين) من تعديل الشيفرة من الجذر.

الخطوة 1: حدد موقع وتحرير wp-config.php الملف

wp-config.php إنه ملف التكوين الأساسي لـ WordPress، الذي يخزِّن معلومات قاعدة البيانات والإعدادات الرئيسية الأخرى، ويجب أن يتم تعديله من خلال أداة إدارة ملفات الخادم:

1. قم بتسجيل الدخول إلى لوحة تحكم الخادم الخاص بك (على سبيل المثال، لوحة باغودا) وحدد موقع الدليل الجذر لموقع الويب الخاص بك (عادةً ما يكون wwwroot/你的域名/）。
2. في الدليل الجذر، ابحث عن wp-config.php انقر بزر الفأرة الأيمن على الملف وحدد "تحرير" (إذا كنت تستخدم أداة FTP، يمكنك تنزيله محليًا وتحريره باستخدام المفكرة قبل التحميل).

الخطوة 2: إضافة رمز التعطيل

في wp-config.php في الملف، ابحث عن "/* حسنًا، هذا كل شيء، توقف عن التحرير! استمتع باستخدامه! */السطر البرمجي "/*" فيهأعلاهالصق الرمز التالي:

// 禁用主题和插件编辑器
define('DISALLOW_FILE_EDIT', true);

الخطوة 3: حفظ النتائج والتحقق منها

1. احفظ الملف وأغلق المحرر.
2. مرة أخرى في الواجهة الخلفية لـ WordPress، بعد تحديث الصفحة:
   • انتقل إلى قائمة المظهر واختفى خيار محرر القالب.
   • انتقل إلى قائمة "الإضافات" واختفى خيار "محرر الإضافات".
   إذا كان لا يزال بإمكانك رؤيته، تحقق من لصق الرمز بشكل صحيح (لاحظ أن الرموز هي نصف زوايا إنجليزية وأن الموضع فوق السطر المحدد).

ثالثًا: الإعداد 2: إخفاء عنوان تسجيل الدخول في الخلفية (أسهل باستخدام المكون الإضافي)

لا يعني إخفاء عنوان تسجيل الدخول إزالة العنوان الافتراضي، ولكن إضافة بوابة تسجيل دخول مخصصة جديدة (على سبيل المثال 域名/my-login)، بينما يحظر الافتراضي wp-admin صفحة تسجيل الدخول (التي سترتد إلى خطأ 404 عند الوصول إليها)، بحيث لا يتمكن المخترقون من العثور على بوابة تسجيل الدخول.

المكون الإضافي الموصى به: WPS إخفاء تسجيل الدخول (مجاني وخفيف الوزن)

1. تثبيت المكونات الإضافية: انتقل إلى "الوظائف الإضافية → تثبيت الوظائف الإضافية" في الخلفية، وابحث عن "WPS Hide Login"، وانقر على "تثبيت" و "تفعيل".
2. إعداد عنوان تسجيل دخول مخصصبعد التفعيل، انتقل إلى صفحة "الإعدادات ← إعدادات ← إخفاء تسجيل الدخول إلى نظام حماية الأجسام الثابتة"، وفي مربع إدخال "عنوان URL لتسجيل الدخول"، املأ المسار المخصص الذي تريد تعيينه (نقترح عليك أن تبقيه بسيطًا ولا يُنسى، مثل). myadmin"تسجيل الدخول 2023").
   • مثال: أدخل dashboardفإن عنوان تسجيل الدخول الجديد هو 域名/dashboardيمكن ترك "عنوان URL لإعادة التوجيه" كعنوان افتراضي. فقط اترك "عنوان URL لإعادة التوجيه" كافتراضي (ستتم إعادة توجيه المتسللين إلى صفحة 404 عند الوصول إلى العنوان القديم).
3. احفظ العنوان الجديد وتذكره: انقر فوق "حفظ التغييرات" وسيصبح النظام ساري المفعول تلقائيًا.تأكد من كتابة عنوان تسجيل الدخول الجديد الخاص بك على الفور(يوصى بحفظها في مفكرة أو مذكرة هاتف محمول) لتجنب نسيانها وعدم التمكن من تسجيل الدخول.

التحقق من التأثيرات الخفية

1. بعنوان جديد (على سبيل المثال 域名/dashboard) اختبر تسجيل الدخول للتأكد من أنه يمكنك الوصول إلى الواجهة الخلفية بشكل صحيح.
2. الوصول إلى العنوان الافتراضي 域名/wp-admin أو 域名/wp-login.phpإذا كان مخفيًا، يجب أن يظهر خطأ 404 أو ينتقل إلى الصفحة الرئيسية، مما يعني أنه تم إخفاؤه بنجاح.

رابعاً - الاعتبارات الرئيسية (تجنب الأخطاء التشغيلية)

حول تعطيل تحرير الملفات:

• لا يؤثر على الاستخدام العادي: لا يزال من الممكن تحرير الملفات عبر بروتوكول نقل الملفات أو لوحة الخادم عند تعطيلها (يتم إيقاف التحرير المرئي في الخلفية فقط)، دون أي تأثير على المستخدمين العاديين.
• ماذا لو احتجت إلى تعديل الكود؟: إذا كنت بحاجة إلى تعديل كود القالب/الإضافة لاحقًا، يمكنك حذفه مؤقتًا. wp-config.php رمز التعطيل المضاف إلى الكود وتعديله وإعادة إضافته.
• يجب على المبتدئين الحرص على تغيير الكود يدوياً: حتى لو لم يتم تعطيل التحرير، لا ينصح للمبتدئين بتغيير الكود في الخلفية (قد يتسبب ذلك في تعطل الموقع).

حول إخفاء عنوان تسجيل الدخول

• لا تنسى العنوان الجديد:: هذه هي المشكلة الأكثر شيوعًا! إذا كنت قد نسيت عنوان تسجيل الدخول المخصص الخاص بك، فأنت بحاجة إلى حذفه باستخدام أداة إدارة ملفات الخادم. wp-content/plugins/wps-hide-login المجلد (تتم استعادة عنوان تسجيل الدخول الافتراضي ليسري مفعوله بعد إزالة الإضافة).
• لا تغيره كثيراً:: قد يؤدي تغيير عنوان تسجيل الدخول بشكل متكرر إلى خلط ذاكرتك، لذا يوصى بإعداده للاستخدام طويل الأمد.
• أكثر أماناً مع كلمات مرور قوية:: إخفاء العنوان فقط يجعل من الصعب على المخترقين القيام بذلك، ولا يزال عليك التأكد من أن كلمة مرور المسؤول معقدة بما فيه الكفاية (راجع القسم 11.2).

خامسا - حل المشاكل المشتركة

1 - ماذا لو أردت استعادة التحرير بعد تعطيله؟

• إعادة تحرير wp-config.php ملف، قم بإزالة الإضافة define('DISALLOW_FILE_EDIT', true); يتم استعادة الرمز، عند حفظه، بواسطة محرر الواجهة الخلفية.

2. لا يمكنني تسجيل الدخول من هاتفي المحمول أو المكون الإضافي بعد إخفاء عنوان تسجيل الدخول الخاص بي؟

• قد تعتمد بعض إضافات مشرف الهاتف المحمول (مثل تطبيق ووردبريس الرسمي) على عنوان تسجيل دخول افتراضي، لذا يمكنك وضع علامة في خانة "السماح بالوصول إلى واجهة برمجة تطبيقات REST" في إعدادات إخفاء تسجيل الدخول إلى WPS (عادةً في أسفل إعدادات الإضافة).

3. هل لا يزال بإمكان المخترقين العثور على عنوان تسجيل الدخول الجديد؟

• تجنب الإفصاح عن عنوان تسجيل الدخول الخاص بك في الأماكن العامة (على سبيل المثال لا تذكره في المقال) 域名/dashboard）。
• يمكن تغيير المسارات المخصصة بشكل دوري (ما عليك سوى تغييرها عبر صفحة إعدادات الإضافة) لتقليل احتمالية اكتشافها.

قصير

إن تعطيل تحرير الملفات وإخفاء عنوان تسجيل الدخول هما إجراءان أمنيان يحققان الكثير من الفائدة مقابل القليل من المال، فهما بالكاد يؤثران على الاستخدام العادي، لكنهما فعّالان في صد معظم هجمات الاختراق البدائية. تذكّر: تعطيل التحرير يعتمد على تعديل wp-config.phpإذا كنت ترغب في إخفاء العنوان باستخدام المكون الإضافي WPS Hide Login، تأكد من التحقق من التأثير وعمل سجل جيد بعد العملية.

يمكن أن يؤدي هذان الإعدادان، إلى جانب التحديثات المنتظمة وكلمات المرور القوية، إلى إنشاء شبكة أمان أساسية لموقعك الإلكتروني.