كيف أخفيت حقيقة أن الموقع يستخدم ووردبريس

Posted by علي ملص 11 ديسمبر، 2025

عندما أسلم أي موقع أنشأته بووردبريس لعملائي، سواء كانوا شركات ناشئة أو مؤسسات كبرى أو حتى أشخاص، فإنني أمنع إمكانية اكتشاف أن الموقع مبني بواسطة ووردبريس كإجراء أمني احترازي، وذلك بعد مناقشة العميل بالموضوع بالطبع.

وفي هذا المقال سأشارككم لماذا أنصح بهذا الأمر، وكيف أنفذه على المواقع باستخدام إضافة WP Hide & Security Enhancer التي توفر خيارات عديدة تساعد على إخفاء هوية ووردبريس باحترافية.

لماذا يجب عليك إخفاء هوية ووردبريس؟

تكمن إجابة هذا السؤال في شقين، هما الأمان والاحترافية، حيث يساعد على:

  • الحماية من الهجمات المؤتمتة: تعتمد معظم هجمات القراصنة على روبوتات تبحث عشوائيًا عن ملفات محددة مثل wp-login.php، وعندما نغير هذه المسارات فإننا نخرج من دائرة الاستهداف السهل.
  • منع معرفة الثغرات في الموقع: عندما نخفي رقم إصدار ووردبريس وأسماء القوالب والإضافات، فإننا نمنع المخترق من استغلال الثغرات الأمنية التي قد تكون معروفة في إصدارات الإضافات المستخدمة.
  • الاحترافية: بالنسبة للوكلات، فإن ظهور الموقع بمسارات مثل /assets و /login بدلًا من المسارات الافتراضية لووردبريس يعطي انطباعًا بأن الموقع برمج خصيصًا لهذه الشركة مما يرفع قيمتها السوقية.

اقرأ أيضًا: كيف تعرف البرمجة المستخدمة أو نظام إدارة المحتوى لأي موقع

خطوات إخفاء هوية موقع ووردبريس

لإخفاء حقيقة أن الموقع يستخدم ووردبريس، أتبع الخطوات التالية:

1. إنشاء نسخة احتياطية

قبل تنصيب أي إضافة لإخفاء هوية ووردبريس وتغيير أي مسار، أنشئ نسخة احتياطية من الموقع، لأن تغيير مسارات النظام عملية حساسة، فخطأ واحد بشري أو تقني قد يحول دون إمكانية الوصول إلى لوحة التحكم أو يعطل الموقع.

وعادة ما أستخدم أداة النسخ الاحتياطي التي توفرها الاستضافة لأنها الأسرع والأسهل لعمل نسخة احتياطية، وفي حال عدم توافرها أستخدم إحدى الطرق الأخرى المشروحة في مقال (شرح عمل نسخة احتياطية لموقعك لتأمينه من أي ضرر).

2. تنصيب إضافة WP Hide والاحتفاظ برابط الطوارئ

بعد ذلك أنتقل إلى إضافات > إضافة جديد (Add Plugin)، ثم أدخل اسم الإضافة WP Hide & Security Enhancer في حقل البحث، وأنقر على زر التنصيب الآن (Install Now) الخاص بها، ثم على زر التفعيل (Activate).

تنصيب إضافة WP Hide & Security Enhancer

بعد ذلك أنتقل إلى WP Hide ثم Setup، ثم أنسخ رابط الطوارئ وأحتفظ به في مكان آمن، حيث يمكنني هذا الرابط من إعادة ضبط جميع إعدادات الإضافة في حال حدوث مشكلة أو فقدان رابط تسجيل الدخول الجديد.

نسخ رابط الطوارئ لاستعادة خيارات الإضافة الافتراضية عند الحاجة

3. إخفاء المسارات الأساسية

بعد ذلك أبدأ بتغيير المسارات عبر إعدادات الإضافة، حيث أنتقل إلى WP Hide ثم Rewrite ثم تبويب WP Content، وأغير wp-content إلى data عبر وضع الأخيرة في الحقل، ثم أنقر على زر Save في الأسفل.

تغيير مسار wp-content

ثم أنتقل إلى تبويب Theme وأضع template في New Theme Path لتغيير مسار القالب النشط، ثم أكتب main-style.css في New Style File Path لتغيير مسار ملف الأنماط، مث أنقر على زر Save.

تغيير مسار القالب ومسار ملف الأنماط

بعد ذلك أتوجه إلى تبويب Plugins، وأغير المسار العام للإضافات عبر وضع components في New Plugins Path، كما أغير مسار كل إضافة على حدة عبر كتابة كلمة module ملحوقة برقم فريد في حقل مسار كل إضافة.

تغيير مسارات الإضافات

ثم أغير مسار مجلد الرفع عبر الانتقال إلى تبويب Uploads ثم وضع كلمة assets.

تغيير مسار مجلد الرفع

وبطريقة مشابهة أغير مسار مجلد التضمينات من تبويب WP Includes عبر إدخال كلمة content، ومسار ملف معالجة التعليقات من تبويب Comments حيث أدخل submit-comment.php.

بهذا عندما يفحص شخص أو أداة مصدر الصفحة، لن يجد مسارات ووردبريس المعتادة التي تشير إلى استخدام النظام.

إخفاء الدخول والإدارة

صفحة الدخول إلى لوحة التحكم هي من أكثر الصفحات التي تتعرض للهجوم، لذلك من إعدادات الإضافة أنتقل إلى تبويب Login / Admin، ثم إلى Wp-login.php، وأغير مسار صفحة تسجيل الدخول عبر إدخال الاسم الجديد في New wp-login.php حيث أستخدم portal، كما أحظر مسار صفحة الدخول الافتراضي عبر تشغيل خيار Block default wp-login.php.

تغيير رابط صفحة تسجيل الدخول

بعد ذلك أغير مسار لوحة التحكم عبر الانتقال إلى تبويب Admin URL ثم  وضع كلمة dashboard في حقل New Admin Url، وأحظر مسار لوحة التحكم الافتراضي عبر تشغيل خيار Disable Admin Url redirect to Login page.

تغيير رابط لوحة تحكم ووردبريس

تنظيف الكود من البصمات الصغيرة

بعد إعداد إخفاء المسارات، أنتقل إلى تبويب General / Html ثم إلى تبويب  وأفعل خيار Remove WordPress Generator Meta لحذف سطر الميتا الذي يضعه ووردبريس ويفيد بأن الموقع مبني بواسطة ووردبريس، وأفعل نفس الشيء لخيار Remove Other Generator Meta لإزالة أسطر الميتا الخاصة بالقالب.

إزالة أسطر الميتا التي تشير إلى ووردبريس

مسح الكاش لتهيئة الإضافة للتعامل مع الكاش

لأنني أغير المسارات في الخطوات السابقة، فإن ملفات الكاش القديمة تكون لا تزال تشير إلى مسارات قديمة، ولذلك يجب إعادة إنشائها. لهذا فإنني أمسح كاش الموقع بالكامل في إضافة الكاش المستخدمة، فهذا سيؤدي إلى إعادة إنشاء الصفحات بالمسارات الجديدة الصحيحة.

الاختبار

بعد ذلك، أفتح نافذة تصفح خفي في المتصفح، ثم أدخل إلى رابط تسجيل الدخول القديم، فيعطيني الخطأ 404، وبذلك أتأكد أنه تم بالفعل تغيير رابط تسجيل الدخول.

رابط صفحة تسجيل الدخول القديم يعطي خطأ 404

وبعد ذلك أتوجه إلى رابط تسجيل الدخول الجديد، فتظهر بالفعل نافذة تسجيل الدخول.

تغير رابط صفحة تسجيل الدخول

وبطرق مشابهة أتأكد من المسارات الأخرى، ثم بعد ذلك أتصفح صفحات الموقع، وأتأكد أنها تظهر بشكل صحيح وبلا مشاكل.

ختامًا، يعد إخفاء معالم نظام إدارة المحتوى طبقة تمويه ذكية تُعقّد مهمة المخترقين، لكنه لا يغني عن ممارسات الأمان الأساسية الأخرى، لذلك يجب أن تتبع أيضًا ممارسات الأمان الأساسية المنصوح بها لضمان عدم اختراق موقعك قدر الإمكان.

ARWP Banner
علي ملص
View More Posts
متخصص في تطوير المواقع باستخدام ووردبريس، حيث أتمتع بخبرة شاملة في إنشاء وتخصيص المواقع لتلبية احتياجات العملاء. تمتد خبرتي لتشمل تعديل القوالب وتحسين واجهات المستخدم، مما يمكنني من مساعدة أصحاب المواقع في بناء مواقعهم بطريقة احترافية.