قائمة مراجعة أمان PHP النهائية لأفضل ممارسات WordPress
نشرت: 2017-11-03ميرساد / Stock.adobe.com
من المحتمل أن تتناول عملية أمان موقع الويب الخاص بك كيفية تأمين موقع WordPress الخاص بك على مستوى الخادم بالإضافة إلى حماية موقعك على مستوى الملف. ولكن هل تحتاج إلى حماية لغة البرمجة الخاصة بك؟ هل هناك أفضل ممارسات أمان PHP التي يتعين عليك اتباعها؟ هل PHP بحاجة للتأمين؟
نعم ونعم ونعم.
إذا كنت تدير موقع WordPress ولكنك لا تركز على الحفاظ على أمان كود PHP الخاص بك، فقد تكون عرضة لحادث كبير.
هناك الكثير من الفوائد لاستخدام PHP لتطوير موقع WordPress الخاص بك:
- إنه سهل الاستخدام بدرجة كافية كمبتدئ ومرن بدرجة كافية لمحترفي البرمجة.
- إنه يعمل بشكل رائع عبر جميع الأنظمة الأساسية (مثل Linux وWindows وما إلى ذلك).
- كما أنها صديقة جدًا لـ WordPress.
- يمكنه تحسين سرعة الموقع.
ومع ذلك، PHP لا يخلو من العيوب. يمكن أن تكون التطبيقات المبرمجة باستخدام PHP معرضة للخطر بسبب:
- حقن SQL
- عبر موقع البرمجة
- بيانات اعتماد تسجيل الدخول المكشوفة
- اختطاف الجلسة
- النماذج المخادعة
- وغيرها من المخاطر الأمنية السيئة
ذات صلة: كيفية التحقق من إصدار PHP لموقع WordPress الخاص بك (وترقية التوافق)
من الواضح أن هذا لا يعني إبعادك عن رغبتك في استخدام PHP لبرمجة موقع WordPress الخاص بك. إنها لغة موثوقة ومرنة للغاية، وعندما يتم تأمينها بشكل صحيح، يمكن أن تكون أداة قوية بشكل لا يصدق وتساعد أيضًا في تبسيط العملية.
ستعلمك قائمة التحقق من أمان PHP التالية جميع أفضل ممارسات أمان PHP التي تحتاج إلى معرفتها للحفاظ على أمان لغة البرمجة والتطبيقات المبنية على PHP من الآن فصاعدا.
قائمة التحقق النهائية لأمن PHP لـ WordPress
هل تريد التأكد من أن موقع WordPress الخاص بك يظل آمنًا من المتسللين؟ بعد ذلك، يعود الأمر إليك للتأكد من أن جميع الأدوات التي تستخدمها لإنشاء البرنامج (بما في ذلك لغة البرمجة الخاصة بك) تلتزم بأفضل ممارسات الأمان. على وجه التحديد عندما يتعلق الأمر بـ PHP، ستحتاج إلى إيلاء اهتمام وثيق لما يلي:
- أفضل ممارسات ترميز PHP
- قيود الوصول إلى الواجهة الخلفية لموقعك
- إدارة ومراقبة حساب المستخدم
- التحقق من صحة البيانات وتطهيرها وهروبها
- إرسال بيانات المستخدم ومراقبة التحميل
- موثوقية مضيف الويب
إذا كنت تريد المزيد من المعلومات حول نقاط فحص أمان PHP المذكورة أعلاه وكيفية استخدامها في تطوير WordPress، فاستمر في القراءة للحصول على قائمة التحقق النهائية من أمان PHP
PHP أفضل الممارسات
- استخدم PHP7 : استخدم دائمًا أحدث إصدار من PHP. وينطبق الشيء نفسه على أي مكتبات وتطبيقات تابعة لجهات خارجية تستخدمها معها.
- إخفاء الإصدار : يمكن للإصدار الحالي من PHP الذي تستخدمه أن يتيح للمتسللين معرفة نوع الثغرات الأمنية التي تركت موقعك مفتوحًا لها، لذا قم بإيقاف تشغيل هذا الإعداد في رأسك باستخدام Expo_php.
- إعادة تسمية phpinfo : يجب إخفاء المعلومات الإضافية حول التثبيت أيضًا، لذا تأكد من تغيير اسم ملف phpinfo.php.
- تغيير رمز الخطأ : قم بتغيير رسالة الخطأ الافتراضية التي تظهر للمستخدمين عند فشل الاتصال بموقعك. سيؤدي ذلك إلى منعهم من رؤية معلومات حول عنوان IP الخاص بك أو مسار الملف. بدلاً من ذلك، ما عليك سوى تسجيل تلك الأخطاء من جانبك.
- تحديد أوامر النظام : الإجماع العام هو أنه لا ينبغي عليك استخدام وظائف shell في PHP. إذا كان عليك ذلك، فلا تقم بتضمين بيانات المستخدم.
حماية الخلفية
- استخدم SFTP : عند نقل الملفات على الواجهة الخلفية، استخدم دائمًا SFTP.
- تقييد الوصول إلى الدليل : قم بتغيير اسم الدليل الافتراضي لتطبيق PHP الخاص بك.
- تكوين مسار الجلسة : إذا كنت تستخدم استضافة مشتركة لموقعك، فقد يتمكن المستخدمون الآخرون على الخادم من رؤية بيانات الجلسة الخاصة بك. يمكنك إيقاف ذلك عن طريق تخزين مسارات الجلسة الجديدة أسفل الدليل الجذر.
- إنشاء مسؤولين منفصلين : إذا كنت تقوم بتشغيل أكثر من موقع ويب قائم على PHP على خادم واحد، فتأكد من استخدام مسؤول منفصل ببيانات اعتماد تسجيل دخول مختلفة تمامًا لكل منهم. وهذا سيمنع العدوى عبر المواقع.
- جعل الدليل للقراءة فقط : قم بحماية الدليل الذي يمكن الوصول إليه عبر الويب عن طريق تعيينه للقراءة فقط.
- تخزين الملفات الحساسة خارج الدليل : يجب وضع ملفات التطبيق الحساسة (مثل ملفات التكوين) في دليل لا يمكن الوصول إليه عبر الويب. يمكنك بعد ذلك توجيههم باستخدام برنامج PHP النصي.
تأمين معلومات المستخدم
- تشفير جميع كلمات المرور : هذا أمر واضح، ولكن تأكد من تطبيقه في جميع المجالات – لكلمات المرور الخاصة بك وكذلك لجميع المستخدمين الذين قاموا بتسجيل الدخول.
- الجلسات الآمنة : منع اختطاف الجلسات عن طريق إنشاء معرف جلسة معقد. يمكنك أيضًا إضافة رمز مميز لكل عنوان URL.
- تدمير الجلسات القديمة : عندما يقوم شخص ما بتسجيل الخروج أو إذا تغيرت حقوق الوصول الخاصة به، قم دائمًا بحذف ملفات تعريف الارتباط من جلسته وفرض معرف جلسة جديد.
- التحقق من المستخدمين الجدد : تحقق دائمًا من هوية المستخدمين الجدد وامنحهم امتيازات الوصول وفقًا لذلك. وهذا مهم بشكل خاص إذا كانوا يحاولون الوصول إلى صفحة محظورة.
- استخدام دواسة الوقود : يجب حظر عدد كبير جدًا من عمليات تسجيل الدخول الفاشلة باستخدام خانق كلمة المرور.
التحقق من صحة المدخلات والمخرجات من المستخدمين
- التحقق من صحة الإدخال وتعقيمه : أي بيانات أو ملفات أو عناوين URL أو محتوى مضمن أو CSS أو HTML يتم إرسالها عبر موقعك بواسطة مستخدم - معروف أو غير معروف - تحتاج إلى المراجعة والتنقيح. وهذا يعني أنه يجب السماح فقط بدخول البيانات التي توقعت تلقيها (مثل اسم المستخدم لاسم المستخدم، وعنوان البريد الإلكتروني لعنوان البريد الإلكتروني، وما إلى ذلك). احتفظ بالكلمات "السيئة" مثل "من" أو "أين" أو علامات الترقيم مثل علامة الاقتباس المفردة على رادارك لأنها يمكن أن تكون علامة على أن شخصًا ما يحاول تسلل تعليمات برمجية ضارة إلى موقعك .
- إخراج المخرجات : قبل نشر أي بيانات أو ملفات مستخدم إلى موقعك، تأكد من أنه تم أيضًا الهروب منها لمنع الأحرف والرموز التي قد تكون خطرة من الوصول (مثل علامات الاقتباس المفردة أو <script>).
- الحد من بيانات POST : إذا أراد المتسللون مهاجمة موقعك بكمية هائلة من البيانات، فيمكنك منع ذلك من خلال وضع حدود لكمية بيانات POST التي يمكن إرسالها. يمكنك أيضًا تحديد وقت الإدخال.
- تعطيل Register_Globals : يجب ألا تكون هناك حرية مطلقًا في تحديد نوع المعلومات التي يمكن تقديمها في نماذج موقعك. من المؤسف أن Register_globals يفتح هذه الفرصة أمام المتسللين.
- تعطيل Magic_Quotes : لن تضر Magic_quotes في حد ذاتها بموقعك، ولكن الأشخاص الذين يستخدمونها للهروب من البيانات التي تم إخراجها قد يتسببون في حدوث ثغرة أمنية عن غير قصد.
مراقبة التحميلات
- تعطيل تحميلات الملفات : قد لا يكون هذا ممكنًا دائمًا. ولكن إذا لم تكن بحاجة إلى تلقي ملفات أو بيانات من المستخدمين، فتخلص من هذه الوظيفة.
- التحقق من الملفات المحملة : إذا كنت بحاجة إلى السماح للمستخدمين بتحميل الملفات إلى موقعك، فستحتاج إلى تحليل محتوى الملف بحثًا عن أي عمليات حقن ضارة. كاختصار، يمكنك إعادة حفظ الملف بتنسيق مختلف. إذا كان لا يزال صالحًا، فاحتمال وجود مشكلة أقل.
- استخدم برنامج فحص الفيروسات : إذا كان موقعك يقبل الكثير من الملفات التي تم تحميلها، فستحتاج إلى تثبيت برنامج فحص الفيروسات.
استخدم استضافة الويب الآمنة
- استخدم مضيفًا موثوقًا به: بغض النظر عن حجم العمل الذي تبذله لتأمين موقع الويب الخاص بك، أو الملفات، أو منطقة تسجيل الدخول، أو لغة البرمجة، يجب أن يبدأ الأمان على مستوى الاستضافة. لهذا السبب يجب عليك الشراكة مع مضيف ويب موثوق به يعطي الأولوية للأمان ويوفر الدعم خصيصًا لـ PHP7.
- احصل على CDN: هناك طريقة أخرى لتقليل التهديدات الأمنية على مستوى الخادم وهي الحصول على شبكة توصيل المحتوى (CDN). في حين أن هذه الشبكات غالبًا ما ترتبط بتحسين أداء مواقع الويب العالمية، إلا أن شبكات CDN توفر أيضًا طبقة إضافية من الحماية.
- الحصول على شهادة SSL: هذه أفضل ممارسة بغض النظر عما إذا كنت تبرمج باستخدام PHP أم لا. تضيف شهادات SSL طبقة مشفرة إضافية بين خادمك ومتصفحات زوارك.
في حين أن كل نقطة من النقاط المذكورة أعلاه صحيحة بالفعل، فإن هذه النقطة بالذات تستحق التأكيد عليها حيث أن جودة استضافة الويب التي تعتمد عليها يمكن أن تؤدي في النهاية إلى نجاح أو فشل استراتيجية الأمان الخاصة بموقعك.
نظرًا لأنه غالبًا ما يكون من الصعب التمييز بين الجيد والسيئ - خاصة عند البحث عن شيء محدد مثل دعم PHP7 - فإننا نقترح عليك البدء مع مضيفي الويب مثل WP Engine وKinsta.
ذات صلة: استضافة WordPress مُدارة بالكامل من خلال WP Engine وKinsta
WP Engine هو موفر استضافة WordPress مُدار يتضمن دعم PHP7 في كل خطة من خطط الاستضافة الخاصة به. بالإضافة إلى ذلك، يتعامل WP Engine بانتظام مع موضوع PHP7 على مدونته مع تحيات خاصة للمكون الإضافي PHP Compatibility Checker. إن القول بأن هذه الشركة مخصصة لدعم مستخدم PHP7 سيكون أمرًا بخسًا.
شركة استضافة WordPress مُدارة أخرى، Kinsta تستضيف جميع مواقع عملائها باستخدام PHP7. هذا لضمان الأداء العالي والسرعة في جميع المجالات. تقدم Kinsta أيضًا لمستخدميها القدرة على تحديث محرك PHP الخاص بهم إلى أحدث إصدار PHP.
وبالطبع، هناك أيضًا استضافة WordPress المُدارة بالكامل من WP Buffs. تظل WP Buffs دائمًا في الطليعة من خلال الحفاظ على تحديث خوادمها وإصدارات PHP بأحدث وأفضل، لذلك لن تضطر أبدًا إلى القلق بشأن إدارة هذه الترقيات بنفسك (وهو جزء من متعة الاستعانة بمصادر خارجية لإدارة WordPress لشخص آخر، أليس كذلك؟)
تغليف
عند إنشاء موقع WordPress، يكون الأمان دائمًا هو الاهتمام الأساسي. ولهذا السبب تستخدم المكونات الإضافية والموضوعات الجديرة بالثقة وتحافظ دائمًا على تحديث جهازك الأساسي، من بين أفضل ممارسات الأمان الأخرى. PHP لا يختلف. تعامل معها كما تفعل مع أدوات WordPress الأخرى: حافظ على تحديثها والتزم دائمًا بأفضل ممارسات الأمان، ويمكنك (وموقع الويب الخاص بك) النوم بشكل أكثر صحة في الليل.
هل تريد تقديم ملاحظاتك أو الانضمام إلى المحادثة؟أضف تعليقاتك على تويتر.
حفظ حفظ