اذهب إلى المحتوى

البحث في الموقع

المحتوى عن 'تسجيل الدخول'.

  • ابحث بالكلمات المفتاحية

    أضف وسومًا وافصل بينها بفواصل ","
  • ابحث باسم الكاتب

نوع المحتوى


التصنيفات

  • الإدارة والقيادة
  • التخطيط وسير العمل
  • التمويل
  • فريق العمل
  • دراسة حالات
  • التعامل مع العملاء
  • التعهيد الخارجي
  • السلوك التنظيمي في المؤسسات
  • عالم الأعمال
  • التجارة والتجارة الإلكترونية
  • نصائح وإرشادات
  • مقالات ريادة أعمال عامة

التصنيفات

  • مقالات برمجة عامة
  • مقالات برمجة متقدمة
  • PHP
    • Laravel
    • ووردبريس
  • جافاسكربت
    • لغة TypeScript
    • Node.js
    • React
    • Vue.js
    • Angular
    • jQuery
    • Cordova
  • HTML
  • CSS
    • Sass
    • إطار عمل Bootstrap
  • SQL
  • لغة C#‎
    • ‎.NET
    • منصة Xamarin
  • لغة C++‎
  • لغة C
  • بايثون
    • Flask
    • Django
  • لغة روبي
    • إطار العمل Ruby on Rails
  • لغة Go
  • لغة جافا
  • لغة Kotlin
  • لغة Rust
  • برمجة أندرويد
  • لغة R
  • الذكاء الاصطناعي
  • صناعة الألعاب
  • سير العمل
    • Git
  • الأنظمة والأنظمة المدمجة

التصنيفات

  • تصميم تجربة المستخدم UX
  • تصميم واجهة المستخدم UI
  • الرسوميات
    • إنكسكيب
    • أدوبي إليستريتور
  • التصميم الجرافيكي
    • أدوبي فوتوشوب
    • أدوبي إن ديزاين
    • جيمب GIMP
    • كريتا Krita
  • التصميم ثلاثي الأبعاد
    • 3Ds Max
    • Blender
  • نصائح وإرشادات
  • مقالات تصميم عامة

التصنيفات

  • مقالات DevOps عامة
  • خوادم
    • الويب HTTP
    • البريد الإلكتروني
    • قواعد البيانات
    • DNS
    • Samba
  • الحوسبة السحابية
    • Docker
  • إدارة الإعدادات والنشر
    • Chef
    • Puppet
    • Ansible
  • لينكس
    • ريدهات (Red Hat)
  • خواديم ويندوز
  • FreeBSD
  • حماية
    • الجدران النارية
    • VPN
    • SSH
  • شبكات
    • سيسكو (Cisco)

التصنيفات

  • التسويق بالأداء
    • أدوات تحليل الزوار
  • تهيئة محركات البحث SEO
  • الشبكات الاجتماعية
  • التسويق بالبريد الالكتروني
  • التسويق الضمني
  • استسراع النمو
  • المبيعات
  • تجارب ونصائح
  • مبادئ علم التسويق

التصنيفات

  • مقالات عمل حر عامة
  • إدارة مالية
  • الإنتاجية
  • تجارب
  • مشاريع جانبية
  • التعامل مع العملاء
  • الحفاظ على الصحة
  • التسويق الذاتي
  • العمل الحر المهني
    • العمل بالترجمة
    • العمل كمساعد افتراضي
    • العمل بكتابة المحتوى

التصنيفات

  • الإنتاجية وسير العمل
    • مايكروسوفت أوفيس
    • ليبر أوفيس
    • جوجل درايف
    • شيربوينت
    • Evernote
    • Trello
  • تطبيقات الويب
    • ووردبريس
    • ماجنتو
    • بريستاشوب
    • أوبن كارت
    • دروبال
  • الترجمة بمساعدة الحاسوب
    • omegaT
    • memoQ
    • Trados
    • Memsource
  • برامج تخطيط موارد المؤسسات ERP
    • تطبيقات أودو odoo
  • أنظمة تشغيل الحواسيب والهواتف
    • ويندوز
    • لينكس
  • مقالات عامة

التصنيفات

  • آخر التحديثات

أسئلة وأجوبة

  • الأقسام
    • أسئلة البرمجة
    • أسئلة ريادة الأعمال
    • أسئلة العمل الحر
    • أسئلة التسويق والمبيعات
    • أسئلة التصميم
    • أسئلة DevOps
    • أسئلة البرامج والتطبيقات

التصنيفات

  • كتب ريادة الأعمال
  • كتب العمل الحر
  • كتب تسويق ومبيعات
  • كتب برمجة
  • كتب تصميم
  • كتب DevOps

ابحث في

ابحث عن


تاريخ الإنشاء

  • بداية

    نهاية


آخر تحديث

  • بداية

    نهاية


رشح النتائج حسب

تاريخ الانضمام

  • بداية

    نهاية


المجموعة


النبذة الشخصية

تم العثور على 6 نتائج

  1. يتضمن ووردبريس بعض المشاكل رغم أنه منصة قوية واسعة الانتشار، وأحد أهم المشاكل التي يُمكن أن تصادفك بصفتك مستخدمًا لووردبريس؛ هي عدم القدرة على الدخول للوحة تحكم المدير في ووردبريس، وتوجد العديد من الأسباب لمثل هذه المشكلة لكن بعضها أكثر تكرارًا، وهذه هي الفئة التي سوف نتكلم عنها في هذا المقال. يلقي هذا المقال الضوء على بعض المشاكل الشائعة التي تواجه المستخدمين عند محاولتهم تسجيل الدخول أو الوصول للوحة تحكم ووردبريس، كما يشرح أسباب ظهور هذه المشاكل والحلول المناسبة لها. 6 مشاكل شائعة عند تسجيل الدخول في ووردبريس يُمكن أن تظهر مشاكل تسجيل الدخول في ووردبريس بعدة أشكال، لكنها تشترك في أن حلها بسيط جدًا، وسوف نشرح في هذا القسم مشاكل تسجيل الدخول في ووردبريس مرتبةً حسب درجة صعوبة حل المشكلة بدءًا بالأسهل. فقدان أو نسيان كلمة المرور يُعَد فقدان أو نسيان كلمة المرور مشكلةً واضحة الحل، لكنها من أكثر المشاكل تكرارًا، ولهذا يجب الحديث عنها، فإن كنت ممن يُغيّر كلمة مروره دوريًا للحفاظ على أمان الموقع، فيُمكن أن تصادفك إشكالية نسيان كلمة المرور أو فقدانها. يمتلك ووردبريس ميزةً تُساعدك على تهيئة كلمة المرور، لكن هناك عدة عوامل يُمكن أن تُغير مسار العملية، ومن هنا توجد عدة حلول مُحتملة تحتاج لتجريبها. كيفية استعادة كلمة مرور مفقودة أو منسية إذا نسيت أو فقدت كلمة مرورك، فتستطيع استخدام خاصية ووردبريس لاستعادة كلمة المرور، وهنا عليك فقط الضغط على هل فقدت كلمة مرورك؟ ضمن صفحة تسجيل الدخول، ليُطلب منك إدخال عنوان بريدك الإلكتروني، وسوف يُرسل ووردبريس رابطًا عبر البريد الإلكتروني تستطيع استخدامه لإنشاء كلمة مرور جديدة. إن كنت لا تستطيع استخدام الطريقة السابقة، فتوجد طريقتان غيرها يُمكنك تجريبهما. الأولى: إن كنت قد استخدمت عدة أجهزة أو متصفحات لتسجيل الدخول لووردبريس، فتحقق مما إذا كان أحدها ما زال يمتلك وصولًا للوحة التحكم، ثم من خلال اللوحة أَعِد ضبط كلمة المرور، وإن لم تعمل هذه الطريقة، فإن خيارك التالي هو تحديث كلمة المرور مباشرةً من قاعدة بيانات ووردبريس. توفر معظم الاستضافات برمجيات لإدارة قاعدة البيانات مثل phpMyAdmin التي تستطيع استخدامها لتُعدل مباشرةً على القيم ضمن قاعدة البيانات بما فيها كلمة المرور، لكن قبل تعديل قاعدة بيانات ووردبريس عليك إنشاء نسخة احتياطية كاملة عن الموقع ثم اتباع الخطوات التالية: شغّل phpMyAdmin ثم حدد موقع قاعدة بيانات موقعك وافتح الجدول wp_users. ابحث عن اسم المستخدم الخاص بك ضمن العمود user_login، ثم اضغط على Edit بجانب السطر المطلوب. ابحث عن الحقل user_pass واكتب كلمة مرور جديدة ضمن حقل value مستبدلًا المحارف والرموز الموجودة ضمنه. اختر من القائمة المنسدلة الخيار MD5. توجه لأسفل الصفحة واضغط على Go. يجب أن تتمكن الآن من تسجيل الدخول باستخدام كلمة المرور الجديدة التي استخدمتها للتو في قاعدة البيانات مع اسم المستخدم الخاص بك في ووردبريس. ملفات التخزين المؤقت أو ملفات تعريف الارتباط ملفات تعريف الارتباط هي ملفات صغيرة موجودة ضمن مسارات المتصفح تحفظ معلومات عن تفاعل المستخدم مع مواقع مُعينة، ويتطلب ووردبريس استخدام ملفات تعريف الارتباط أثناء عملية تسجيل الدخول؛ لذلك إن كانت هذه الملفات مُعطلةً ضمن المتصفح، فلن يمكنك تسجيل الدخول لووردبريس. إن ملفات التخزين المؤقت للمتصفح هي ملفات مؤقتة تُخزّن ضمن المتصفح عند الدخول لصفحة ويب، لذلك إن كانت هذه الملفات لا تُحدَّث تحديثًا صحيحًا، فغالبًا يستخدم مُتصفحك إصدارات قديمة من بعض الملفات التي تدعم ووردبريس. كيفية حذف ملفات التخزين المؤقت للمتصفح وملفات تعريف الارتباط يسهل حل مشاكل تسجيل الدخول لووردبريس المرتبطة بملفات التخزين المؤقت أو ملفات تعريف الارتباط، وهنا عليك أولًا التحقق أن ملفات تعريف الارتباط مُفعّلة ضمن المتصفح، ثم عليك حذف هذه الملفات وملفات التخزين المؤقت. تداخل الإضافات يُمكن أن تؤثر إضافة ما على عملية تسجيل الدخول في ووردبريس، فربما لم تُحدّث بصورة صحيحة، أو ربما يوجد تعارض بين إضافتين أو أكثر ضمن موقعك. كيفية حل تأثير الإضافة على تسجيل دخول ووردبريس يجب عليك أولًا التأكد أن المشكلة ناتجة عن إضافة من خلال تعطيل جميع الإضافات أو تغيير اسم مجلد الإضافات مؤقتًا، وإن كنت تملك وصولًا للوحة تحكم ووردبريس، فستستطيع تعطيل الإضافات من خلال صفحة إضافات منصبة وتحديد جميع الإضافات، ثم اختيار تعطيل من القائمة المنسدلة والضغط على تطبيق. إن كنت لا تستطيع الدخول للوحة تحكم ووردبريس، فيمكنك تغيير اسم المجلد plugins ضمن مسار تثبيت ووردبريس إلى أي اسم آخر، واستخدم برنامج FTP Client للاتصال بالاستضافة، والدخول للمسار wp-content/plugins ثم تغيير اسم المجلد مؤقتًا. لن يتمكن ووردبريس من التعرف على المجلد أو الوصول له بعد تغيير اسمه، وهذا يعني تعطيل جميع الإضافات تلقائيًا ضمن موقعك، وهذه أسرع طريقة للتأكد من أن إحدى الإضافات هي سبب مشكلة تسجيل الدخول، بالرغم أنها قد تؤثر على تصميم الموقع وعمله مؤقتًا. حاول الدخول للوحة تحكم ووردبريس الآن بعد أن عطلت جميع الإضافات، فإن تمكنت من ذلك، فهذا يعني أن إحدى الإضافات هي سبب المشكلة التي تمنعك من تسجيل الدخول، وعليك اكتشافها عبر إعادة تفعيل جميع الإضافات ثم تعطيلها واحدةً تلو الأخرى؛ حتى تتمكن من تحديد الإضافة المُسببة للمشكلة. تداخل القالب يُمكن أن تتسبب مشاكل ضمن القالب في مشاكل تسجيل دخول ووردبريس، وبالأخص عندما يتضمن القالب صفحة تسجيل دخول مُخصصةً، وتظهر هذه المشكلة عند تثبيت تحديث للقالب يتضمن مشكلةً ما، أو عند تحديث ووردبريس؛ لينتج عن ذلك عدم توافق بين ووردبريس والقالب أو الإضافات. كيفية حل مشكلة تداخل القالب مع تسجيل دخول ووردبريس يجب عليك التأكد أولًا من أن القالب هو سبب المشكلة، وذلك بنفس الطريقة التي اتبعتها لاكتشاف ما إذا كانت إحدى الإضافات هي المُسببة لهذه المشكلة. تستطيع تغيير اسم القالب الذي يتضمن القالب النشط من خلال FTP؛ ليستخدم ووردبريس القالب الافتراضي بدلًا منه. لن يتعرف ووردبريس على القالب عند تغيير اسمه، حيث تستطيع تنفيذ ذلك باستخدام برنامج FTP Client، وتغيير اسم مجلد القالب النشط الموجود ضمن المسار wp-content/themes. حاول الآن تسجيل الدخول مرةً أخرى للتأكد مما إذا كان القالب هو سبب المشكلة، وفي حال كان هو السبب، فسوف تحتاج لاستخدام قالب آخر مؤقتًا، أو تعطيل صفحة تسجيل الدخول المخصصة إذا كان القالب يستخدم واحدة. ملف تسجيل الدخول تالف توجد صفحة تسجيل دخول ووردبريس افتراضيًا في الملف wp-login.php، وهو نفسه اسم الملف الذي يُمكن أن يكون تالفًا، وإن لم يتمكن ووردبريس من إيجاد هذا الملف، فلن تكون قادرًا على تسجيل الدخول لموقعك، وربما يظهر لك الخطأ error 404. كيفية استعادة ملف تسجيل الدخول في ووردبريس لحل المشكلة والتأكد أن هذا الملف هو السبب يجب استبداله (الملف wp-login.php) بملف جديد؛ عليك اتباع الخطوات التالية: خُذ نسخةً احتياطيةً عن الموقع قبل حذف ملف تسجيل الدخول. حدّد موقع الملف wp-login.php ضمن مسار تثبيت ووردبريس الأساسي ثم احذفه. توجّه لموقع ووردبريس لتنزيل أحدث نسخة من ووردبريس، ثم عليك فك ضغط النسخة وتحديد موقع الملف wp-login.php ضمنها. انسخ الملف السابق مكان الملف الذي حذفته. افتح ملف تسجيل الدخول الجديد وابحث عن redefining user_login. ابحث عن الشيفرة الموجودة أسفل التعليق السابق تمامًا، واستبدلها كما مُوضح في الشيفرة التالية. // احذف هذا السطر $user_login = $user_data["user_login"]; // استبدله بهذا السطر $user_login = $user_data->user_login; سوف تُصلح الخطوات السابقة المشكلة إن كان ملف تسجيل الدخول تالفًا، إذ تستبدل الخطوات السابقة الملف وتُصلحه. إعادة توجيه رابط الموقع أو رابط ووردبريس يُعرّف رابط عنوان ووردبريس موقع تثبيت ووردبريس، بينما يُعرّف رابط عنوان الموقع مكان وجود الموقع، وإذا كان أي منهما خاطئًا، فسوف تنتج عنه مشاكل في تسجيل الدخول لووردبريس، ومشاكل أخرى تمنعك من دخول لوحة تحكم ووردبريس. يُمكن أن تحصل هذه المشاكل إن كنت قد نقلت مؤخرًا موقعك من استضافة لأخرى أو غيرت موقع ملفات ووردبريس، أو يُمكن أن تحصل بسبب الضغط عن غير قصد على أحد أزرار لوحة المفاتيح عند العمل على قاعدة بيانات الموقع. كيفية إصلاح الخطأ المرتبط برابط عنوان ووردبريس توجد العديد من الحلول المُحتملة لإصلاح روابط عنوان الموقع أو ووردبريس، لكن يوجد حل بسيط ومؤقت، يُمكنك من خلاله التأكد من أن المشكلة مرتبطة بالعناوين السابقة. ادخل لملف wp-config.php الموجود في المسار الرئيسي لتثبيت ووردبريس بعد أخذ نسخة احتياطية عن الموقع، وأضف الشيفرة التالية: define('WP_HOME','http://example.com'); define('WP_SITEURL','http://example.com'); تأكد من استخدام رابط عنوان ووردبريس لـ WP_HOME ورابط عنوان الموقع لـ WP_SITEURL، حيث يكون الرابطان نفسهما افتراضيَّين، لكن إن أعطيت لووردبريس مساره الخاص، فسوف يتضمن رابط عنوان ووردبريس المسار الذي ثَبَّتَ ووردبريس ضمنه. الآن عليك حفظ ملف wp-config.php الذي عدلته، ثم رفعه إلى الخادم واستبداله بالملف الموجود ضمن الخادم في مسار تثبيت ووردبريس، بعد ذلك جَرّب تسجيل الدخول لووردبريس، فإذا عمل؛ فهذا يعني أن سبب المشكلة هي العناوين السابقة. انتبه إلى أن الحل السابق في حال عمله هو حل مؤقت، فعند استخدام هذه الطريقة سوف تُغير القيم السابقة للموقع وتمنع أي تغيير من خلال صفحة إعدادات ووردبريس، ويوصي توثيق ووردبريس باتباع واحدة من المقاربات التالية لتحديث رابط عنوان الموقع: عدّل ملف functions.php. غيّر الرابط من خلال قاعدة البيانات. استخدم الدالة relocate لووردبريس. تستطيع إيجاد خطوات اتباع أي من الطرق السابقة ضمن توثيق ووردبريس. عُد إلى ملف wp-config.php وأَعِدْه لحالته السابقة قبل البدء بتنفيذ أحد الطرق الثلاث السابقة، وذلك بحذف السطرين البرمجيين اللذين أضفتهما له. ملف htaccess. تالف يتضمن ملف htaccess. إعدادات للخادم وإعدادات لمسار واحد أو مسارات متعددة، ويتضمن ووردبريس ملف htaccess. تستطيع تعديله لتفعيل إعادة توجيه أو وضع عناوين IP في القائمة البيضاء وغيرها، لكن توجد مشكلة واحدة في تعديل هذا الملف، وهي أنه يُمكن أن يتلف؛ مما يُسبب مشاكل في تسجيل الدخول في ووردبريس، أو حتى مشاكل في الوصول للموقع. كيفية إصلاح ملف htaccess. تالف الطريقة الأسهل لإصلاح هذا الملف هي استبدال النسخة الموجودة على الخادم بنسخة جديدة تتضمن الشيفرة الافتراضية التالية: # BEGIN WordPress RewriteEngine On RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress عليك الدخول لمسار ووردبريس الأساسي، والبحث عن ملف htaccess. ضمنه، وتنزيله لحاسوبك كنسخة احتياطية، ثم تعديل الملف الموجود على الخادم، واستبدال الشيفرة البرمجية الموجودة ضمنه بالشيفرة السابقة. يجب أن تفهم أن اعتماد الخطوات السابقة يُمكن أن يؤثر على جزء من وظائف موقعك في حال عدلت سابقًا على ملف htaccess. تتضمن بعض الاستضافات بعض التعديلات ضمن هذا الملف لرفع الأداء. جرب تسجيل الدخول الآن بعد أن استبدلت ملف htaccess. بالنسخة الجديدة للتأكد من حل مشكلة تسجيل الدخول. الخلاصة يُمكن أن تتسبب مشاكل تسجيل الدخول في ووردبريس بإضافة الكثير من الوقت لحل المشكلة؛ فكما رأيت توجد الكثير من المُسببات المُحتملة لهذه المشاكل، ولا يُمكن حصر المشكلة بالضبط ما لم تتبع خطوات الحل السابقة. سوف نلخص سريعًا حلول المشاكل التي تواجهها عند تسجيل الدخول في ووردبريس. تغيير كلمة المرور. حذف ملفات التخزين المؤقت للمتصفح وملفات تعريف الارتباط. تعطيل الإضافات. استخدام القالب الافتراضي. استبدال ملف تسجيل الدخول. تعريف روابط عنوان ووردبريس والموقع. إصلاح ملف htaccess. التالف. ترجمة -وبتصرّف- للمقال 7 Common WordPress Login Issues (And Their Solutions) لصاحبه Will Morris. اقرأ أيضًا كيفية تحديث إضافات ووردبريس بأمان كيفية الوصول لصفحة تسجيل الدخول في ووردبريس كيفية إضافة تسجيل الدخول باستخدام فيسبوك في ووردبريس كيفية إضافة تسجيل الدخول باستخدام جيميل Gmail لموقع ووردبريس كيفية إيجاد الملف الشخصي لمستخدم ووردبريس وتعديله
  2. تعرف على ملحقات ووردبريس التي تُسهّل إضافة تأكيد الاشتراك المزدوج (double opt-in) إلى النشرات الإخبارية. بعد أن تطرّقنا في المقال السّابق إلى أهمية تأكيد الاشتراك المُزدوج double opt-in سنتطرّق في هذا الدّرس إلى مجموعة إضافات تٌسهّل عليك استخدامه على نشرات ووردبريس الإخبارية. توجد العديد من الطرق لإضافة تأكيد اشتراك مزدوج إلى ووردبريس، إن كنت تستعمل ملحق نشرة إخبارية (newsletter plugin) فمن المُحتمل أنه يوفر لك هذه الخاصية، فيما يلي نظرة على بعض الملحقات لإضافة تأكيد الولوج المزدوج إلى خاصيات ووردبريس. E-newsletter يوفر ملحق e-newsletter المقدم من طرف WPMU DEV إمكانية إضافة خاصية تأكيد الاشتراك المزدوج فضلا عن رسالة ترحيب أوتوماتيكية وصفحات تسجيل وإلغاء تسجيل مخصصة. يسمح لك أيضا استعمال مخصص أنماط ووردبريس (WordPress theme customizer) لتصميم نشرتك الإخبارية مُباشرة ضمن ووردبريس باستعمال واحد من سبعة أنماط مدمجة كما يُوفّر خاصيّة المعاينة المباشرة. يمكنك توفير الوقت واستخدام نفس تصميمك السّابق من خلال نسخ رسائلك السابقة، فضلا عن إمكانية إضافة وإدارة الاشتراكات، إنشاء مجموعات، إرسال نشرات إخبارية، والحصول على إحصائيات حملاتك من خلال لوحة التحكم فقط ، يمكن تخصيص الرسائل من خلال إضافة ودجت أو شيفرة مختصرة (shortcode). يُكلّف هذا المُلحق 19 دولار شهريًا. Newsletter يعد هذا الملحق أشهر ملحق مجاني للنشرات الإخبارية على ووردبريس، يوفّر كلّا من تأكيد الاشتراك الأحادي والمزدوج، يتميز بكونه نظام نشرات إخبارية متكاملا بعدد لا محدود من المشتركين والرسائل، يمكن لك استعمال النموذج المدمج أو العمل على نموذجك الخاص وتضمينه في صفحة أو استعماله كودجت. يمكن للنشرات الإخبارية أن تكون نصا عاديًا أو شيفرة HTML، كما يُوفر المُلحق إحصائيات مفصّلة للنّشرات البريدية. Email Subscribers يوفر هذا الملحق المجاني كلا من تأكيد الاشتراك الأحادي والمزدوج، كما يسمح لك بإرسال ثلاث أنواع من الرّسائل لمشتركيك: إرسال تنبيه عند قيامك بنشر مُحتوى جديد. صياغة نشرات إخبارية على شكل HTML وإرسالها يدويا للمشتركين. القيام بإنشاء وإرسال رسالة إخبارية تتضمن أحدث منشوراتك بشكل أوتوماتيكي اعتمادًا على cron job. يمكنك إضافة نموذج الاشتراك إلى الشريط الجانبي باستعمال ودجت (widget)، في صفحة أو منشور باستعمال شيفرة مختصرة (shortcode) أو في ملفات القالب الخاص بك باستعمال PHP، يمكن إرسال رسائل كنص عادي أو كشيفرة HTML . Email newsletter يسمح لك هذا الملحق بإرسال رسائل بصيغة HTML للمشتركين، المعلقين والمستخدمين المسجلين، كما يوفر كلا من تأكيد الاشتراك الأحادي والمزدوج. يمكن له أيضًا أن يتكامل مع ReadyGraph (تبقى هذه الخاصية اختيارية يمكن تشغيلها كما يمكن إيقافها) للمساعدة في بناء حركة زوار وقاعدة مستعملي موقعك. من بين الأمور المثيرة للاهتمام فيما يخص هذا الملحق أنه سيقوم بإرسال رسائل أوتوماتيكية للمستخدمين بناء على درجة نشاطهم. يمكن لك القيام بإرسال رسائل ترحيب، ملخصات أسبوعية، تنبيهات بالتحاق الأصدقاء، إلخ. كل الخصائص قابلة للتّخصيص فضلا عن إمكانية تصدير قائمتك كملف CSV . Subscribe To Comments Reloaded لقد تم بناء هذا الملحق بالاعتماد على ملحق Subscribe to Comments، حيث يسمح للمستخدمين بالاشتراك في التعليقات من خلال نظام تأكيد مزدوج، يمكنهم القيام بالتسجيل وإلغائه بالنسبة لكل منشور بشكل منفصل، كما يتضمن واجهة تحكم بها مجموعة من الأدوات لإدارة الاشتراكات، النماذج والتنبيهات فضلا عن قدرتك على إنشاء صفحة إدارة خاصة بك باستعمال الرسائل والخصائص التي قمت بإعدادها. Subscribe to Double-Opt-In Comments تم بناء هذا الملحق أيضًا بناءً على ملحق Subscribe to Comments، يسمح للمستخدمين بالاشتراك في التعليقات من خلال نظام تأكيد مزدوج، يعمل هذا الملحق على تلقي القراء تنبيهات عند نشر تعليقات جديدة على المقالات التي سبق لهم الاشتراك فيها، كما يتضمن صفحة خيارات حيث يمكن لك صياغة مضمون الرسالة، بالمقابل، أنت لا تملك أي تحكم في الاشتراكات ولا أي خصائص إدارة، تكمن جمالية هذا الملحق في بساطته. Opt-In Panda for Wordpress يستعمل هذا الملحق طريقة تأكيد اشتراك مزدوج لا تتطلب صفحة تأكيد، تسمح لقرائك بالاشتراك لولوج صفحة محتواك المحمي حيث يتم توفير خاصية تأكيد الاشتراك المزدوج، بعد القيام بتأكيد عنوان البريد الإلكتروني (بغرض إتمام تأكيد الاشتراك المزدوج) يتم عرض المحتوى دون الحاجة إلى إعادة تحميل (refresh) الصفحة. يبلغ ثمن النسخة العادية Regular license) 22$) للاستعمال مع منتوج واحد لا يقوم مستخدموك بالدّفع مُقابله، يبلغ ثمن النسخة الخاصة 110$ (Extended license) للاستعمال مع منتوج واحد مع إمكانية أن يدفع مستخدموك مُقابله. نصائح إضافية فيما يخص تأكيد الاشتراك المزدوج في حال ما إذا كنت تحتاج نصائح إضافية حول كيفية توفير وإعداد تأكيد اشتراك مزدوج إليك فيما يلي بعض الأفكار السريعة المهمة: اجعل نموذجك غاية في السهولة، لا تجعل مشتركيك يدخلون معلومات لا حاجة لك بها، ما تحتاجه فعلا هو حقلان وزر واحد: الاسم البريد الإلكتروني الضغط للقيام بالاشتراك احصل على أسمائهم الشّخصية حتى يتسنّى لتطبيق النشرات الإخبارية الخاص بك استعمالها لدى إرسال رسائل مخصصة لكل مشترك. قم بكتابة رسالة ترحيب جيدة تخبر فيها مشتركيك بتقديرك لتخصيصهم الوقت للاشتراك. قم بإهدائهم شيئا يحبونه، يعتبر تقديم بعض الهدايا المجانية ككتاب إلكتروني أو قائمة من النصائح للتحفيز على الاشتراك من بين الممارسات المنتشرة، بالنسبة للكتب الإلكترونية استعمل صيغة PDF نظرا لانتشارها وسهولة القيام بتصميم كتابك، يعتبر توفير الولوج المجاني لمقاطع فيديو مدفوعة أمرا رائجا أيضا، لا تهتم كثيرا بإخفاء الكتاب، من المحتمل أن يقوموا بإلغاء التسجيل بعد الحصول على الهدية المجانية لكن يبقى واردا أن لا يقوموا بذلك. لا تُلح على زوّارك كثيرا لكي يشتركوا، يكفي أن يعرفوا بوجود نشرة إخبارية، قد تسبب مضايقتهم بشكل مستمر بنفورهم خصوصا إن كانوا قد اشتركوا من قبل. اجعل نماذجك، صفحات الشكر، الرسائل وصفحة التأكيد واضحة وسهلة الفهم، تجنب استعمال لغة محيرة محافظا بذلك على البساطة والسلاسة قدر الإمكان. تواصل معهم في كل المراحل حتى لا يعتقدوا أن رسائلك أو نشرتك الإخبارية عبارة عن بريد مزعج ، كن حريصا على جعل خانة "المُرْسِل" من رسالتك تماما كما يتوقعه المشتركون. على سبيل المثال إن قاموا بالتسجيل في نشرة إخبارية حول أفضل وصفات الشواء لن يتوقعوا تلقي رسالة تأكيد من اسم شركة تبدو صناعية أو تجارية. ذكّرهم بأنهم قاموا بالاشتراك في نشرتك الإخبارية. في حين تعتبر مضايقة المشتركين أمرا سلبيا، يبقى تذكيرهم بأنهم اشتركوا في نشرتك أمرا مقبولا بل قد يكون مفيدا في أغلب الأحيان في عودة الزوار إلى موقعك. قم بتوفير طريقة سهلة للقيام بإلغاء الاشتراك، صدقا أعرف أنك تريد الحفاظ على كل المشتركين دون نقصان لكن الإبقاء عليهم دون رغبتهم من خلال تعسير عملية إلغاء الاشتراك أمر غير عادل ما يفرض ضرورة توفير طريقة إلغاء اشتراك سهلة وعملية، ما يحد خسارتك في فقدان مشترك دون تعدي ذلك لتكوين نظرة سلبية حول موقعك بسبب تعقيدك عملية إلغاء الاشتراك. خلاصة بالنظر إلى الفوائد الجمة لتأكيد الاشتراك المزدوج لا يوجد سبب مقنع لعدم استعماله، حيث يمكنك تجنب المخاطر المحتملة من استعمال التأكيد الأحادي فضلا عن بناء محتوى ذا جودة عالية وقائمة بريدية قَيِّمَة ما يستحق المخاطرة بإمكانية فقدان بعض المشتركين المحتملين الذين لا يريدون تكبد عناء إتمام خطوات التأكيد. ترجمة -وبتصرّف- للمقال: ADDING A DOUBLE OPT-IN TO WORDPRESS EMAILS NEWSLETTERS AND WHY IT’S BEST PRACTICE لصاحبه: BRENDA BARRON.
  3. في الدرس السابق تحدثنا عن طرق تثبيت ووردبريس لأول مرة بأمان. في هذا الدرس، سنتحدّث عن كيفية تأمين موقع ووردبريس بعد تثبيته، سنتحدّث عن أساليب أفضل للحماية فوق مستوى نصائح "اختر كلمة مرور أكثر تعقيدًا" وسنحاول الغوص قليلًا في موضوع أمان ووردبريس. تقييد عمليات تسجيل الدخولواحدٌ من أول الأشياء التي يجب عليك فعلها لتأمين موقع ووردبريس الخاصّ بك هو تقييد عدد المرّات التي يمكن لشخصٍ ما أن يحاول تسجيل الدخول بها إلى الموقع. يحاول العديد من المخترقين القيام بهجمات التخمين أو ما يعرف بـ Bruteforce لمحاولة كسر اسم المستخدم / كلمة المرور الخاصّيَن بك، وحتّى لو لم تنجح هذه الهجمات في اختراق موقعك، فإنّه ستقوم باستهلاك جزء كبير من موارد خادومك وستقوم بوضع حملٍ عليه. عبر تقييد عمليات تسجيل الدخول، يمكنك منع المخترقين من محاولة القيام بهجمات Bruteforce. بمجرّد أن يقوم بمحاولة تخمين كلمة المرور مرتين أو ثلاث، فسيتم حظر عنوان الـIP الخاصّ به. يمكنك القيام بهذا الأمر بسهولة عبر تثبيت إصافة Limit Login Attempts، صحيحٌ أنّه لم يتم تحديثها منذ سنتين ولكنّها تمتلك مميزاتٍ رائعة، ولكن ربّما تودّ تجاهلها حاليًا بسبب انقطاع دعمها عن التحديثات الأمنية. عوضًا عن هذا، فإننا ننصح بإضافة Login Lockdown، تسمح لك هذه الإضافة أيضًا بتقييد عدد مرّات تسجيل الدخول الفاشلة قبل أن يتم حظر عنوان الـIP الخاصّ بالمستخدم الذي يحاول الدخول، كما يمكنك اختيار المدّة التي تريد حظر عنوان الـIP خلالها، ستصبح هجمات Bruteforce أصعب بكثير بعد تثبيت هذه الإضافة وضبطها، لأنّه سيجب على المخترقين استخدام وسيط (Proxy) بعد كلّ 3 محاولات فاشلة لتسجيل الدخول، وسيجب عليهم تغيير ذلك الوسيط آلاف المرّات ليتمكّنوا من تحقيق الهجوم، وهو الأمر الذي لا يتوفّر لديهم غالبًا. حظر المستخدمين الذين يحاولون تسجيل الدخول باسم Adminمن المهم ألّا تستخدم اسم "admin" كاسم مدير الموقع على موقعك، ومن المهم أيضًا أن تقوم بحظر كلّ من يحاول الدخول إلى ذلك المستخدم (طالما أنتَ لستَ المدير، والحساب غير موجود، فلماذا تحاول الدخول؟ إذن فأنتَ مُخترِق)، يمكنك القيام بهذا عن طريق إضافة Wordfence. تسمح لك هذه الإضافة بإعداد ميزة الحظر التلقائي هذه، بالطبع، هناك العديد من المميزات الأخرى في هذه الإضافة التي يمكنك استخدامها من أجل الحماية، مثل الاستيثاق الثنائي (two-factor authentication)، حظر الهجمات الشائعة والمزيد. ضبط صلاحيات الملفّات الصحيحةشيءٌ آخر يمكنك فعله هو ضبط صلاحياتٍ مناسبة للملفّات على موقعك. وفقًا لـ WordPress.org، فإنّ استخدام صلاحيات 777 للملفّات / المجلّدات هو أمرٌ خطير للغاية ويسمح للجميع أن يقوموا بتعديل ملفّات موقعك وإضافة أكواد خبيثة أو حتّى حذف الموقع بالكامل. يجب عليك أن تقوم بوضع صلاحيات 600 لملفّ wp-config.php، بينما يجب عليك أن تقوم بتعيين ملفّاتك الأخرى إلى وضع صلاحيات 640 أو 644، كما يجب أن تكون المجلّدات الموجودة على موقعك بالصلاحيات 750 أو 755. يمكنك تعلّم المزيد عن الصلاحيات عبر دليل ووردبريس الرسمي لتغيير الصلاحيات. إنشاء ملف htaccess.إذا كنتَ تريد تركيبة روابط دائمة (permalinks) جميلة لموقعك فإنّك ستحتاج ملفّ htaccess. عبر إضافة واحدٍ إلى موقعك فإنّك ستقوم بتحسين مستوى الحماية قليلًا، صحيحٌ أنّه ليس حلًا كاملًا ولا يمكنه فعل شيء جوهري لوحده ولكنّه إضافة جيّدة. هناك شرح شامل منشور على الويب حول إنشاء ملفّ htaccess. ، لن نقوم بشرح تلك العملية بالكامل هنا لأنّ العملية مشروحة بذاك الدليل بشكلٍ شامل. بمجرّد أن تقوم باتّباع ذاك الشرح فإنّه سيصبح بإمكانك منع الوصول إلى ملفّات معيّنة على موقع ووردبريس الخاصّ بك. إذا لم يكن الناس قادرين على الوصول إلى تلك الملفّات التي تريدها فلن يكونوا قادرين على العبث بها. لزيادة صعوبة اختراق موقع ووردبريس الخاصّ بك ستحتاج إلى إضافة بضع سطور من الأكواد لحظر الوصول إلى ملفّات معينة مثل: wp-config.phpreadme.htmllicense.txtwp-includes directoryيمكنك أيضًا منع الوصول إلى امتدادات معيّنة للملفّات، مثل ملفّات النسخ الاحتياطي، الإعدادات، السجلات المحفوظة على الخادوم.. إلخ. بشكلٍ عام، يجب حظر الوصول إلى أيّ شيء يتعلّق بالتصميم والتطوير والتوثيق الخاصّ بخلفيّة الموقع (back-end). إذا كنتَ تريد حظر الوصول إلى مجلّد إضافة أو قالب معيّن أو مسارٍ آخر على موقعك، فيمكنك حظر المجلّد بأكمله إن أردت. هذه حركة جيّدة للقيام بها في كلّ مجلّد لا يمتلك بداخله ملفّ index. حيث أنّ المجلّدات التي لا تحتوي على ملفّات index ستقوم بعرض كلّ الملفّات الموجودة بداخل ذاك المجلّد، مما يعطي معلوماتٍ هامّة يمكن استغلالها من طرف المخترقين، لذا يجب عليك إخفاؤها. إخفاء صفحة تسجيل الدخولهذا تعديلٌ آخر يمكن القيام به عن طريق htaccess. ولكن مختلف قليلًا عن التعديلات الأخرى ولذلك سنذكره هنا. يمكنك حظر وصول أيّ شخص إلى صفحة تسجيل الدخول الخاصّة بموقعك ومنح حقّ الوصول فقط إلى عنوان الـIP الخاصّ بك، وطبعًا، يجب أن يكون هناك مستخدمٌ واحد فقط للموقع بأكمله، وبالتالي فتلك ليست طريقة عملية حقًا لاستخدامها. إذا كنتَ تريد إبقاء خيارٍ مفتوح لإضافة كتّابٍ ومستخدمين آخرين إلى موقعك لاحقًا، فيمكنك استخدام إضافة Secure Hidden Login. تسمح لك هذه الإضافة بإخفاء حقول الإدخال من صفحة تسجيل الدخول الخاصّة بموقعك، ويتم إظهار حقول الإدخال لاسم المستخدم وكلمة المرور فقط عند الضغط على اختصاراتٍ معيّنة على لوحة المفاتيح، فإن حاول أحدهم فتح صفحة تسجيل الدخول، فلن يتمكّن من ذلك دون أن يعرف ما هي اختصارات لوحة المفاتيح التي تقوم بعرض صفحة تسجيل الدخول. إزالة وسم Generatorيقوم المخترقون بكلّ شيءٍ قد يمكّنهم من اختراق موقعك، واحدٌ من هذه الأشياء هو سكربتٌ شهير يستخدمه المخترقون لالتقاط المواقع التي تعمل بإصدارات معيّنة من ووردبريس عبر بصمات الأقدام (Footprints)، بصمات الأقدام هي عبارة عن سطور متعددة من الأكواد يمكن استخدامها للتعرّف على هوية موقع ويب ما، لسوء الحظّ فإن ووردبريس يستخدم هذه البصمات مما يجعل مواقع ووردبريس الموجودة على الشبكة قابلة للاكتشاف بسهولة. قد تبدو بصمة القدم الخاصّة بموقع ووردبريس كشيءٍ مثل: <meta name="generator" content="WordPress 3.8.4" />يمكنك إزالة هذا الوسم إن أردت من الشفرة المصدرية الخاصّة بموقعك، ولكن ما يزال عليك إضافة الشفرة التالية إلى ملفّ functions.php الخاصّ بقالبك: remove_action('wp_head', 'wp_generator');بعد هذا، لن يقوم موقع ووردبريس الخاصّ بك بتعريف نفسه على أنّه موقعٌ يعمل بسكربت ووردبريس، مما يصعّب المهمّة على المُخترقِين. تفعيل الاستيثاق الثنائي Two-Step Authenticationشيءٌ آخر يمكنك فعله لتأمين موقعك هو تفعيل الاستيثاق الثنائي أو ما يدعى بـ Two-Step Authentication. عندما تقوم بطلب خطوتين للاستيثاق من مستخدمي موقعك عوضًا عن خطوة واحدة فإنّك تصعّب الأمر جدًا على المُخترقِين. هناك عدّة إضافات موجودة لتفعيل الاستيثاق الثنائي على ووردبريس ومن بينها: Clef: بمجرّد تثبيت هذه الإضافة، فإنّ كل ما سيجب عليك فعله هو فتح تطبيق Clef على هاتفك المحمول وتركيز كاميرا الهاتف على شاشة الحاسوب الخاصّة بك، بعدها سيتم فتح القفل الموجود على موقعك وتتمكن من الدخول. Duo Two-Factor Authentication: بعد أن تقوم بإدخال كلمة المرور الخاصّة بك في مربّع الإدخال التقليدي، سيجب عليك إكمال خطوةٍ أخرى لإتمام عملية تسجيل الدخول، مثل تأكيد تسجيل الدخول من على هاتفك الذكي عبر رسالة SMS وغيرها من الطرق.الخاتمةإدارة الحماية على موقع ووردبريس الخاصّ وإعداد عمليات تسجيل الدخول ليتم تقييدها قدر المستطاع هو أمرٌ قد يستغرق منك بعض الوقت، ولكن بمجرّد أن تكتمل هذه الأمور، فإنّ موقعك سيكون أكثر أمانًا لمستخدميه. ترجمة -وبتصرف- للمقال The WordPress Developer’s Guide to Security: Management & Logins لصاحبته Brenda Barron.
  4. في الدرس السابق تحدثنا عن طرق تثبيت ووردبريس لأول مرة بأمان. في هذا الدرس، سنتحدّث عن كيفية تأمين موقع ووردبريس بعد تثبيته، سنتحدّث عن أساليب أفضل للحماية فوق مستوى نصائح "اختر كلمة مرور أكثر تعقيدًا" وسنحاول الغوص قليلًا في موضوع أمان ووردبريس. تقييد عمليات تسجيل الدخول واحدٌ من أول الأشياء التي يجب عليك فعلها لتأمين موقع ووردبريس الخاصّ بك هو تقييد عدد المرّات التي يمكن لشخصٍ ما أن يحاول تسجيل الدخول بها إلى الموقع. يحاول العديد من المخترقين القيام بهجمات التخمين أو ما يعرف بـ Bruteforce لمحاولة كسر اسم المستخدم / كلمة المرور الخاصّيَن بك، وحتّى لو لم تنجح هذه الهجمات في اختراق موقعك، فإنّه ستقوم باستهلاك جزء كبير من موارد خادومك وستقوم بوضع حملٍ عليه. عبر تقييد عمليات تسجيل الدخول، يمكنك منع المخترقين من محاولة القيام بهجمات Bruteforce. بمجرّد أن يقوم بمحاولة تخمين كلمة المرور مرتين أو ثلاث، فسيتم حظر عنوان الـIP الخاصّ به. يمكنك القيام بهذا الأمر بسهولة عبر تثبيت إصافة Limit Login Attempts، صحيحٌ أنّه لم يتم تحديثها منذ سنتين ولكنّها تمتلك مميزاتٍ رائعة، ولكن ربّما تودّ تجاهلها حاليًا بسبب انقطاع دعمها عن التحديثات الأمنية. عوضًا عن هذا، فإننا ننصح بإضافة Login Lockdown، تسمح لك هذه الإضافة أيضًا بتقييد عدد مرّات تسجيل الدخول الفاشلة قبل أن يتم حظر عنوان الـIP الخاصّ بالمستخدم الذي يحاول الدخول، كما يمكنك اختيار المدّة التي تريد حظر عنوان الـIP خلالها، ستصبح هجمات Bruteforce أصعب بكثير بعد تثبيت هذه الإضافة وضبطها، لأنّه سيجب على المخترقين استخدام وسيط (Proxy) بعد كلّ 3 محاولات فاشلة لتسجيل الدخول، وسيجب عليهم تغيير ذلك الوسيط آلاف المرّات ليتمكّنوا من تحقيق الهجوم، وهو الأمر الذي لا يتوفّر لديهم غالبًا. حظر المستخدمين الذين يحاولون تسجيل الدخول باسم Admin من المهم ألّا تستخدم اسم "admin" كاسم مدير الموقع على موقعك، ومن المهم أيضًا أن تقوم بحظر كلّ من يحاول الدخول إلى ذلك المستخدم (طالما أنتَ لستَ المدير، والحساب غير موجود، فلماذا تحاول الدخول؟ إذن فأنتَ مُخترِق)، يمكنك القيام بهذا عن طريق إضافة Wordfence. تسمح لك هذه الإضافة بإعداد ميزة الحظر التلقائي هذه، بالطبع، هناك العديد من المميزات الأخرى في هذه الإضافة التي يمكنك استخدامها من أجل الحماية، مثل الاستيثاق الثنائي (two-factor authentication)، حظر الهجمات الشائعة والمزيد. ضبط صلاحيات الملفّات الصحيحة شيءٌ آخر يمكنك فعله هو ضبط صلاحياتٍ مناسبة للملفّات على موقعك. وفقًا لـ WordPress.org، فإنّ استخدام صلاحيات 777 للملفّات / المجلّدات هو أمرٌ خطير للغاية ويسمح للجميع أن يقوموا بتعديل ملفّات موقعك وإضافة أكواد خبيثة أو حتّى حذف الموقع بالكامل. يجب عليك أن تقوم بوضع صلاحيات 600 لملفّ wp-config.php، بينما يجب عليك أن تقوم بتعيين ملفّاتك الأخرى إلى وضع صلاحيات 640 أو 644، كما يجب أن تكون المجلّدات الموجودة على موقعك بالصلاحيات 750 أو 755. يمكنك تعلّم المزيد عن الصلاحيات عبر دليل ووردبريس الرسمي لتغيير الصلاحيات. إنشاء ملف htaccess. إذا كنتَ تريد تركيبة روابط دائمة (permalinks) جميلة لموقعك فإنّك ستحتاج ملفّ htaccess. عبر إضافة واحدٍ إلى موقعك فإنّك ستقوم بتحسين مستوى الحماية قليلًا، صحيحٌ أنّه ليس حلًا كاملًا ولا يمكنه فعل شيء جوهري لوحده ولكنّه إضافة جيّدة. هناك شرح شامل منشور على الويب حول إنشاء ملفّ htaccess. ، لن نقوم بشرح تلك العملية بالكامل هنا لأنّ العملية مشروحة بذاك الدليل بشكلٍ شامل. بمجرّد أن تقوم باتّباع ذاك الشرح فإنّه سيصبح بإمكانك منع الوصول إلى ملفّات معيّنة على موقع ووردبريس الخاصّ بك. إذا لم يكن الناس قادرين على الوصول إلى تلك الملفّات التي تريدها فلن يكونوا قادرين على العبث بها. لزيادة صعوبة اختراق موقع ووردبريس الخاصّ بك ستحتاج إلى إضافة بضع سطور من الأكواد لحظر الوصول إلى ملفّات معينة مثل: wp-config.php readme.html license.txt wp-includes directory يمكنك أيضًا منع الوصول إلى امتدادات معيّنة للملفّات، مثل ملفّات النسخ الاحتياطي، الإعدادات، السجلات المحفوظة على الخادوم.. إلخ. بشكلٍ عام، يجب حظر الوصول إلى أيّ شيء يتعلّق بالتصميم والتطوير والتوثيق الخاصّ بخلفيّة الموقع (back-end). إذا كنتَ تريد حظر الوصول إلى مجلّد إضافة أو قالب معيّن أو مسارٍ آخر على موقعك، فيمكنك حظر المجلّد بأكمله إن أردت. هذه حركة جيّدة للقيام بها في كلّ مجلّد لا يمتلك بداخله ملفّ index. حيث أنّ المجلّدات التي لا تحتوي على ملفّات index ستقوم بعرض كلّ الملفّات الموجودة بداخل ذاك المجلّد، مما يعطي معلوماتٍ هامّة يمكن استغلالها من طرف المخترقين، لذا يجب عليك إخفاؤها. إخفاء صفحة تسجيل الدخول هذا تعديلٌ آخر يمكن القيام به عن طريق htaccess. ولكن مختلف قليلًا عن التعديلات الأخرى ولذلك سنذكره هنا. يمكنك حظر وصول أيّ شخص إلى صفحة تسجيل الدخول الخاصّة بموقعك ومنح حقّ الوصول فقط إلى عنوان الـIP الخاصّ بك، وطبعًا، يجب أن يكون هناك مستخدمٌ واحد فقط للموقع بأكمله، وبالتالي فتلك ليست طريقة عملية حقًا لاستخدامها. إذا كنتَ تريد إبقاء خيارٍ مفتوح لإضافة كتّابٍ ومستخدمين آخرين إلى موقعك لاحقًا، فيمكنك استخدام إضافة Secure Hidden Login. تسمح لك هذه الإضافة بإخفاء حقول الإدخال من صفحة تسجيل الدخول الخاصّة بموقعك، ويتم إظهار حقول الإدخال لاسم المستخدم وكلمة المرور فقط عند الضغط على اختصاراتٍ معيّنة على لوحة المفاتيح، فإن حاول أحدهم فتح صفحة تسجيل الدخول، فلن يتمكّن من ذلك دون أن يعرف ما هي اختصارات لوحة المفاتيح التي تقوم بعرض صفحة تسجيل الدخول. إزالة وسم Generator يقوم المخترقون بكلّ شيءٍ قد يمكّنهم من اختراق موقعك، واحدٌ من هذه الأشياء هو سكربتٌ شهير يستخدمه المخترقون لالتقاط المواقع التي تعمل بإصدارات معيّنة من ووردبريس عبر بصمات الأقدام (Footprints)، بصمات الأقدام هي عبارة عن سطور متعددة من الأكواد يمكن استخدامها للتعرّف على هوية موقع ويب ما، لسوء الحظّ فإن ووردبريس يستخدم هذه البصمات مما يجعل مواقع ووردبريس الموجودة على الشبكة قابلة للاكتشاف بسهولة. قد تبدو بصمة القدم الخاصّة بموقع ووردبريس كشيءٍ مثل: <meta name="generator" content="WordPress 3.8.4" /> يمكنك إزالة هذا الوسم إن أردت من الشفرة المصدرية الخاصّة بموقعك، ولكن ما يزال عليك إضافة الشفرة التالية إلى ملفّ functions.php الخاصّ بقالبك: remove_action('wp_head', 'wp_generator'); بعد هذا، لن يقوم موقع ووردبريس الخاصّ بك بتعريف نفسه على أنّه موقعٌ يعمل بسكربت ووردبريس، مما يصعّب المهمّة على المُخترقِين. تفعيل الاستيثاق الثنائي Two-Step Authentication شيءٌ آخر يمكنك فعله لتأمين موقعك هو تفعيل الاستيثاق الثنائي أو ما يدعى بـ Two-Step Authentication. عندما تقوم بطلب خطوتين للاستيثاق من مستخدمي موقعك عوضًا عن خطوة واحدة فإنّك تصعّب الأمر جدًا على المُخترقِين. هناك عدّة إضافات موجودة لتفعيل الاستيثاق الثنائي على ووردبريس ومن بينها: Clef: بمجرّد تثبيت هذه الإضافة، فإنّ كل ما سيجب عليك فعله هو فتح تطبيق Clef على هاتفك المحمول وتركيز كاميرا الهاتف على شاشة الحاسوب الخاصّة بك، بعدها سيتم فتح القفل الموجود على موقعك وتتمكن من الدخول. Duo Two-Factor Authentication: بعد أن تقوم بإدخال كلمة المرور الخاصّة بك في مربّع الإدخال التقليدي، سيجب عليك إكمال خطوةٍ أخرى لإتمام عملية تسجيل الدخول، مثل تأكيد تسجيل الدخول من على هاتفك الذكي عبر رسالة SMS وغيرها من الطرق. الخاتمة إدارة الحماية على موقع ووردبريس الخاصّ وإعداد عمليات تسجيل الدخول ليتم تقييدها قدر المستطاع هو أمرٌ قد يستغرق منك بعض الوقت، ولكن بمجرّد أن تكتمل هذه الأمور، فإنّ موقعك سيكون أكثر أمانًا لمستخدميه. ترجمة -وبتصرف- للمقال The WordPress Developer’s Guide to Security: Management & Logins لصاحبته Brenda Barron.
  5. تعرّفنا إلى الآن على كيفيّة إنشاء تطبيق بسيط بلغة بايثون وإطار العمل Flask، يُمكن للتّطبيق الاتّصال بقاعدة بيانات، إضافة عناصر، عرضها وحذفها، لكنّ هذا التّطبيق لا يعتبر محميّا، إذ يُمكن لأي كان أن يُضيف مقالات أو يحذفها، لذا من المفضّل أن نقوم بإضافة نظام لتسجيل دخول بحيث تتمكّن وحدك (كمُدير للتّطبيق) من إجراء العمليّات الحسّاسة، بنهاية هذا الدّرس سنمتلك تطبيقا محميا باسم للمُستخدم وكلمة مرور، ولن يتمكّن أحد من حذف المقالات أو إضافتها إلّا إذا حصل على معلومات تسجيل الدّخول. مفهوم الجلسة في إطار العمل Flask الجلسة عبارة عن كائن يتصرّف تماما كقاموس يحتوي على مفاتيح وقيم، الجلسة تكون مرتبطة بنافذة المُتصفّح افتراضيّا، ما يعني بأنّ المفتاح والقيمة ستُسجّلان طيلة مدّة فتح المُتصفّح، وبمجرّد إغلاق نافذة المُتصفّح فإنّ الجلسة تُحذف (أو تدمّر). فكرة تسجيل الدّخول والخروج في درسنا ستكون كالتّالي: سنضع نموذج HTML في أعلى الصّفحة الرّئيسيّة، سيحتوي النّموذج على حقلين، حقل لكتابة اسم المُستخدم، وآخر لكلمة المرور مع زرّ لإرسال طلب الدّخول (أو طلب الاستيثاق Authentication)، عندما يُدخل المُستخدم كلمة "admin" في حقل اسم المُستخدم، وكلمة "password" في حقل كلمة المرور (يُمكن تغيير هذه المعلومات ببساطة)، سيتأكّد التّطبيق من أنّ البيانات صحيحة، وإذا كانت صحيحة فسنستخدم القاموس session المتواجد في حزمة flask لإنشاء مفتاح باسم logged_in وسنضع القيمة المنطقيّة True للمفتاح، بعدها يُمكننا أن نوجّه المُستخدم إلى الصّفحة الرّئيسيّة مع إخفاء نموذج تسجيل الدخول وعرض رابط لتسجيل الخروج عوضا عن النّموذج، أمّا إذا أدخل المُستخدم بيانات استيثاق خاطئة فسنوجّهه إلى الصّفحة الرّئيسيّة مع عرض نموذج تسجيل الدّخول مُجدّدا. تسجيل الدخول سنقوم أولا بإضافة نموذج HTML لتمكين الزّائر من إدخال بيانات الاستيثاق، سنضيف الشيفرة التّالية في ملفّ index.html مُباشرة بعد وسم body: <form action="{{ url_for('login') }}" method='POST'> <input type="text" placeholder="اسم المُستخدم" name="username"> <input type="password" placeholder="كلمة المرور" name="password"> <input type="submit" value="اُدخُل"> </form> الشيفرة أعلاه عبارة عن نموذج لحقلي اسم المُستخدم وكلمة المرور، سنتمكّن من الحصول على القيمتين في ملفّ app.py كالآتي: username = request.form['username'] password = request.form['password'] لاحظ بأنّنا حدّدنا مُوجّها باسم login في النّموذج، لذا فسيتوجّب علينا إنشاؤه في ملفّ app.py والأمر شبيه بما فعلناه في الدّرس السّابق، بحيث يقبل المُوجه طريقة POST لاستقبال البيانات التي يُرسلها المُتصفّح. سيكون موجّه login كالتّالي: # Login Route @app.route("/login", methods=['GET', 'POST']) def login(): if request.method == 'POST': username = request.form['username'] password = request.form['password'] if username == "admin" and password == "password": session['logged_in'] = True else: return redirect(url_for('home')) return redirect(url_for('home')) يستقبل الموجّه اسم المُستخدم وكلمة المرور ويُنفّذ جملة شرطيّة للتحقق من أنّ البيانات صحيحة، لنفرض بأنّ اسم المُستخدم هو admin وكلمة مروره هي password. إذا تحقّق الشّرط وتأكّدنا من أن البيانات التّي أدخلها المُستخدم صحيحة نقوم بإنشاء جلسة باسم logged_in ونعطيها القيمة المنطقيّة True ونقوم بعد ذلك بتوجيه المُستخدم إلى الصّفحة الرّئيسيّة، أمّا إن لم تكن البيانات صحيحة فنقوم بتوجيه المُستخدم إلى الصّفحة الرّئيسيّة دون إنشاء جلسة. لاستخدام الجلسات سيتوجّب علينا استيرادها من Flask في بداية الملفّ، ليُصبح السّطر كالتّالي: from flask import Flask, render_template, redirect, url_for, request, session سيتطلّب استخدام الجلسات تخصيص مفتاح سريّ كذلك، ويُمكن أن نقوم بذلك بإضافة السّطر التّالي مُباشرة بعد تعريف المُتغيّر app. app = Flask(__name__) app.config['SECRET_KEY'] = "Secret" تنبيه: من المهم أن تُغيّر Secret إلى مفتاح لا يُمكن التّنبؤ به ويجب أن يكون سريّا للغاية، يُمكنك استخدام دالة urandom من الوحدة os لتوليد سلسلة عشوائيّا كالتّالي: >>> import os >>> os.urandom(24) '\xee\x9dA\x81\x19\x17\xdd\x04\xae9\xc1\x1a-\xf2\xf8\xda\x9a\x99u\x90\x96]\xbaT' يُمكنك بعد ذلك استعمال السّلسلة المولّدة كقيمة للمفتاح السرّي. وهكذا سنكون قد انتهينا من نظام تسجيل دخول المُدير، الخطوة التّالية هي تسجيل خروجه، وذلك بتدمير الجلسة عند الوصول إلى المُوجّه logout. تسجيل الخروج لتسجيل الخروج يكفي إضافة مُوجّه باسم logout إلى الملفّ app.py، وسيكون دور الموجّه حذف المفتاح logged_in من الجلسة: # Logout Route @app.route("/logout") def logout(): session.pop('logged_in', None) return redirect(url_for('home')) لاحظ بأنّ الموجّه بسيط للغاية، كلّ ما يقوم به هو حذف المفتاح logged_in باستخدام التّابع pop وبعدها يعيد توجيه المُستخدم إلى الصّفحة الرّئيسيّة. الآن إذا قمت بتسجيل دخولك فسيُنشئ التّطبيق جلسة جديدة، أما إذا قمت بزيارة الموجّه logout عبر العنوان http://127.0.0.1:5000/logout فستُدمّر الجلسة. إضافة زر لتسجيل الخروج عوضا عن نموذج HTML رغم أنّنا قُمنا بإضافة نظام لتسجيل الدّخول والخروج إلا أنّ ذلك لا يظهر في الصّفحة، ولا يُمكن لنا أن نعرف تسجيل الدّخول من عدمه. سنقوم في هذا الجزء بتحويل الصّفحة الرّئيسيّة إلى صفحة مُتجاوبة، أي أنّنا سنتأكّد ممّا إذا كان المُستخدم قد سجّل دخوله، فإن كان ذلك صحيحا فسنعرض له زرّا لتسجيل الخروج، أمّا إن لم يكن قد سجّل دخوله فسنعرض نموذج HTML لتسجيل الدّخول. يُمكن القيام بالأمر بإضافة شرط للتأكّد من أنّ المفتاح logged_in موجود في الكائن session، والتّالي تطبيق للأمر في ملفّ index.html: {% if 'logged_in' not in session %} <form action="{{ url_for('login') }}" method='POST'> <input type="text" placeholder="اسم المُستخدم" name="username"> <input type="password" placeholder="كلمة المرور" name="password"> <input type="submit" value="اُدخُل"> </form> {% else %} <a class="logout" href="{{ url_for('logout') }}">خروج</a> {% endif %} يُمكن الآن التمييز بين تسجيل الدخول وتسجيل الخروج؛ الخطوة التّالية هي حماية الموجّهين create و delete لنمنع من لم يسجّل دخوله من حذف وإنشاء المقالات والسّماح بذلك للمُدير فقط. حماية الموجهين create و delete لحماية موجّه ما يجب أن نحمي الدوال التي التّي تقوم بالعمليّة، ما يعني بأنّنا يجب أن نحمي الدّالتين create و delete. وللقيام بالأمر يُمكن الاستعانة بميّزة المُزخرفات في لغة بايثون، يُمكنك الحصول على المزيد من المعلومات بالرّجوع إلى درس المُزخرفات. . سننشئ مُزخرفا باسم login_required، سنحتاج إلى المُزخرف wraps من الوحدة functools وهو مُزخرف مُساعد ويعتبر استعماله من أفضل المُمارسات. سيكون المُزخرف login_required كالتّالي: from functools import wraps def login_required(function): @wraps(function) def wrapper(*args, **kwargs): if 'logged_in' in session: return function(*args, **kwargs) else: return redirect(url_for('home')) return wrapper نقوم أولا باستدعاء wraps من الوحدة functools ونزخرف الدّالة بشرط أن يكون المفتاح logged_in في الجلسة، ما يعني بأنّ الدّالة ستُنفّذ إذا كان المُستخدم قد سجّل دخوله فقط، أمّا إن لم يكن قد سجّل دخوله فسنقوم بتوجيهه إلى الصّفحة الرّئيسيّة دون تنفيذ الدّالة. يُمكن الآن تطبيق المُزخرف على الدّالتين create و delete لمنع الزوار من إنشاء المقالات أو حذفها. لتطبيق المُزخرف يكفي كتابة اسمه مسبوقا بالرّمز @ مُباشرة فوق الدّالة. ما يعني بأنّ الموجّه create سيصبح كالتالي: # Create Post Page @app.route("/create", methods=['GET', 'POST']) @login_required def create(): if request.method == 'POST': title = request.form['title'] content = request.form['content'] manage_db.create(title, content) return redirect(url_for('home')) أما موجّه delete فسيصبح كالتّالي: # Delete Post @app.route("/delete/<post_id>") @login_required def delete(post_id): manage_db.delete(post_id) return redirect(url_for('home')) يمكنك تصفّح ملفّات الأمثلة على Github. ختاما إلى هنا نكون قد تعرّفنا على طرق بسيطة لحماية تطبيقنا ويُمكنك الآن نشر التّطبيق على الأنترنت، لكن تذكر بأنّ هذه الطّرق ليست آمنة بما فيه الكفاية، لذا إن كان تطبيقك حسّاسا فمن المُفضّل استعمال إضافة لإدارة أنظمة الاستيثاق مثل إضافة Flask-login أو Flask-Security.
  6. في هذا الدرس سنتعرف على طريقة إضافة زر يسمح للمستخدم بالدخول إلى تطبيق الويب المكتوب بإطار العمل Laravel دون الحاجة للمرور بخطوة إنشاء حساب يدوياً. سنعتمد في شرحنا هذا على إطار العمل Laravel 5.2 وسوف نأخذ فيس بوك كمثال عن شبكة اجتماعية للسماح لمستخدمي تطبيقنا بالدخول عبرها. لكن يمكنك تطبيق الخطوات نفسها المشروحة في هذا الدرس لإنشاء زر دخول عبر تويتر أو GitHub أو Google أو Bitbucket أو LinkedIn. تم اختبار خطوات هذا الدرس على Laravel 5.1 وأيضاً 5.2. مبدأ الدخول عبر الشبكات الاجتماعية الغالب أنك تعرف خطوات الدخول إلى المواقع باستخدام حسابك على فيس بوك أو تويتر، فالعديد من المواقع والتطبيقات توفر ميزة الدخول عبر الشبكات الاجتماعية لتسريع عملية الدخول إلى التطبيق بدلاً من الطلب من المستخدم إنشاء حساب جديد يدوياً. ومع ذلك دعنا نسرد هذه الخطوات سريعاً: عندما تريد الدخول إلى موقع يحتاج لتسجيل الدخول يعرض لك استمارة الدخول؛ تجد ضمن الاستمارة السابقة زر "دخول عبر فيس بوك" (أو شبكة اجتماعية أخرى)؛ عند النقر على هذا الزر تنتقل إلى موقع فيس بوك (أو تفتح نافذة جديدة صغيرة للمتصفح ويفتح موقع فيس بوك داخلها)؛ يطلب منك فيس بوك منح صلاحيات مُحدّدة للتطبيق الخاص بالموقع (مثلاً السماح للتطبيق بالاطلاع على معلوماتك الشخصية العامة أو بريدك الإلكتروني) بعد الموافقة يعاد توجيهك إلى الموقع الأصلي وتجد نفسك قد دخلت إلى الموقع وكأنك تملك حساب. الفكرة هي أن فيس بوك يمرر للموقع الآخر معلومات معينة عن حسابك بحيث يتمكن هذا الموقع من إنشاء حساب لك دون الحاجة لتعبئة أي معلومات يدوياً، كما ويمكن استخدام هذه المعلومات في عمليات الدخول اللاحقة للتعرف عليك والسماح لك بالوصول إلى حسابك نفسه (وليس إنشاء حساب جديد مرة أخرى!) دون أن تكتب كلمة سر للدخول. تبادل المعلومات هذا بين المواقع له معايير. المعيار الأكثر شهرة والذي نعتمد عليه في هذا المقال هو معيار OAuth بنسختيه 1.0 و2.0. بيئة العمل سنفترض أن لديك تطبيق Laravel 5.1 سابق، وتريد إضافة ميزة الدخول عبر الشبكات الاجتماعية إليه. إذا لم يكن إطار العمل Laravel مثبتاً لديك راجع درس تثبيت Laravel: تثبيت Laravel وإعداده على ويندوز وأوبنتو. بالنسبة لي أستخدم نظام ويندوز مع XAMPP للعمل، لكن يمكنك تطبيق الخطوات على لينكس أو أي نظام تشغيل آخر بالطبع. سنحتاج أيضاً لتثبيت Socialite، وهي حزمة تسهل علينا عملية الاستيثاق عبر بروتوكول OAuth كثيراً. لتثبيت Socialite أضف السطر التالي إلى ملف composer.json في مشروع Laravel الخاص بك: "require": { ... "laravel/socialite": "~2.0" } أو بدلاً من ذلك يمكنك استخدام الأمر: composer require laravel/socialite بعد ذلك نفذ الأمر التالي لتنزيل الملفات المطلوبة: composer update بعد انتهاء عملية التنزيل، عليك تعديل ملف الضبط config/app.php وإضافة السطر التالي إلى مصفوفة Service Providers (اسمها providers ضمن الملف): Laravel\Socialite\SocialiteServiceProvider::class, والسطر التالي إلى مصفوفة Aliases: 'Socialite' => Laravel\Socialite\Facades\Socialite::class, الآن أصبح موقعك جاهزًا للتعامل مع الشبكات الاجتماعية. كما ذكرنا في بداية هذا الدرس هذه الطريقة تعمل مع العديد من الشبكات الاجتماعية التي توفر ميزة الاستيثاق عبر OAuth، إذ أن حزمة Socialite تدعم ست شبكات اجتماعية حالياً (فيس بوك وتويتر ولينكدإن و Google وGitHub وBitbucket). الخطوة الأولى: إنشاء مسارات التوجيه سنحتاج في عملية الدخول هذه إلى استدعائين: عندما يطلب المستخدم الدخول إلى الموقع، وهنا سوف نحوله إلى موقع فيس بوك للموافقة على منح الصلاحيات لتطبيقنا. بعد أن يوافق المستخدم على منح الصلاحيات للتطبيق سيقوم فيس بوك بإعادة توجيه المستخدم إلى موقعنا لإتمام عملية الدخول. بالنسبة لي فقد اخترت أن يكون هذان الاستدعائان على مسار واحد (ولكن يمكنك فصلهما إلى مسارين)، واخترت أن يكون المسار هو auth/facebook. لقد أضفت السطر التالي إلى ملف routes.php لدي: Route::get('auth/facebook', 'SocialAuthController@facebookLogin'); كما تلاحظ فقد طلبت استخدام المتحكم SocialAuthController لمعالجة الطلبات الواردة إلى هذا المسار. هذا المتحكم عبارة عن مُتحكّم Controller عادي يرث من الصف App\Http\Controllers\Controller: <?php namespace App\Http\Controllers; use App\Http\Controllers\Controller; class SocialAuthController extends Controller {} الآن دعنا نعرف الدالة facebookLogin. ما الذي نريد أن يحدث عندما يصل المستخدم إلى المسار auth/facebook؟ في الواقع نحن نريد إضافة زر دخول عبر فيس بوك، وهذا الزر سيوجه المستخدم إلى هذا المسار وهنا نريد أن ينتقل المستخدم إلى موقع فيس بوك ليمنح تطبيقنا الصلاحيات اللازمة. تعليمة توجيه المستخدم إلى فيس بوك هي التالية، فقط أضفها ضمن دالة facebookLogin: return Socialite::with('facebook')->redirect(); طبعاً ستحتاج عدد من التعديلات قبل أن تعمل هذه التعليمة عندك: عليك التأكد من تضمين Socialite في ترويسة الصف: use Laravel\Socialite\Facades\Socialite; أين هو تطبيق الفيس بوك الخاص بك؟ عليك إنشاؤه الآن أو التوجه إلى صفحة إعدادات التطبيق الخاص بك إذا كنت تملك تطبيقاً بالفعل. لإنشاء تطبيق جديد أو إدارة تطبيقاتك السابقة على فيس بوك توجه إلى المسار التالي: https://developers.facebook.com/apps على موقع فيس بوك عليك العثور على خيار Callback Url واستخدام نفس المسار المحلي الذي اخترته، انظر كيف كانت القيمة لدي: من موقع فيس بوك عليك العثور على معلومات تطبيقك: نحتاج للحصول على معرف التطبيق (Client ID) وأيضاً الجملة السرية (Client Secret). الآن اذهب إلى config/services.php وأضف ما يلي إلى الملف: 'facebook' => [ 'client_id' => 'معرف التطبيق الذي حصلت عليه من فيس بوك', 'client_secret' => 'الجملة السرية الخاصة بتطبيقك على فيس بوك', 'redirect' => 'رابط التحويل الذي سيتجه إليه المستخدم بعد منح الصلاحيات اللازمة على فيس بوك', ], تحذير: لا تستخدم الدالة المساعدة url ضمن ملف services.php. هذا يؤدي لتوقف أداة artisan عن العمل. يمكنك بدلاً من كتابة المتغيرات السابقة ضمن ملف services أن تستخدم السطور التالية وبعدها تعرف المتغيرات ضمن ملف env. لديك: 'facebook' => [ 'client_id' => env('FACEBOOK_CLIENT_ID'), 'client_secret' => env('FACEBOOK_CLIENT_SECRET'), 'redirect' => env('FACEBOOK_REDIRECT_URL'), ], الميزة هنا هي أن ملف services يضاف غالباً إلى مستودع التّطبيق، بينما ملف.env يبقى على الجهاز المحلي وهذا يفيد إذا لم تكن تريد السماح للمطورين الآخرين بالإطلاع على هذه المعلومات لسبب ما. بالنسبة لي فقد اخترت أيضاً نقل قيمة redirect إلى ملف env. لأن هذا الرابط سيتغير حتماً ما بين بيئة التطوير وبيئة الإنتاج (Production)، وبالتالي من المفيد وضعه مع بقية الإعدادات الخاصة بكل بيئة. الآن إذا حاولت الوصول إلى الرابط auth/facebook يجب أن تنتقل إلى موقع فيس بوك ويطلب منك الموافقة على منح الصلاحيات لتطبيقك هناك: بعد الموافقة، ستجد غالباً أن متصفح الوب لديك سيعطيك خطأ ويشتكي أن الصفحة فيها مشكلة في إعادة التوجيه. لا تقلق، أنت على الطريق الصحيح. ما الذي حدث؟ عندما طلب المستخدم المسار auth/facebook تحول إلى موقع فيس بوك ووافق على منح الصلاحيات، بعدها أعاد فيس بوك توجيهه إلى موقعنا على نفس المسار ولكن هذه المرة هناك متغيرات مع الطلب. المشكلة هنا هي أن موقعنا لا يعالج عملية استقبال المستخدم بعد عودته من فيس بوك وإنما يعيد توجيهه إلى فيس بوك مرة أخرى والذي يعيد توجيهه إلى موقعنا وهكذا في حلقة لا نهائية. علينا الآن معالجة الحالة التي يصل فيها المستخدم إلى المسار auth/facebook ومعه المتغيرات اللازمة للسماح له بالدخول. الخطوة الثانية: التعرف على المستخدم دعنا نعدل دالة facebookLogin لتصبح كالتالي: public function facebookLogin(Request $request) { // توجيه المستخدم إلى فيس بوك إذا لم يكن لديه كود الدخول if( ! $request->has('code') ) return Socialite::with('facebook')->redirect(); // وإلا علينا التعرف على المستخدم وتسجيل دخوله إلى الموقع $oauthUser = Socialite::with('facebook')->user(); dd($oauthUser); } حالياً إذا نجحت في الخطوات السابقة يجب أن تطبع لديك كافة معلومات المستخدم الذي حصلنا عليها من فيس بوك. تهانينا! لم يبق إلا البحث في قاعدة بيانات موقعنا لنرى إذا كان المستخدم موجوداً من قبل أم لا؛ فإذا عثرنا عليه سمحنا له بالدخول، وإلا فسوف ننشئ حساباً جديداً له ونسمح له بالدخول على حسابه الجديد. هناك حقول كثيرة يعطينا إياها فيس بوك، وهذه الحقول قد تختلف في الواقع بين شبكة اجتماعبة وأخرى، لكن هناك حقول ثابتة دوماً: id: رقم تعريف المستخدم لدى فيس بوك. ثابت دوماً ولا يتغير ولذلك سنعتمد عليه في التعرف على المستخدم. name: اسم المستخدم الحقيقي (وليس username). قد يتغير إذا غيره المستخدم على موقع فيس بوك. nickname: لقب المستخدم. فيس بوك يعيد null هنا حسب ما لاحظت، ولكن تويتر يعطي قيمة username. avatar و avatar_original: رابط صورة حساب المستخدم. عادة تكون صورة original أكبر حجماً. email: البريد الإلكتروني للمستخدم. لاحظ أنه قد تحصل على قيمة البريد الإلكتروني للمستخدم وقد تحصل على قيمة null، ولذلك لا يمكنك الاعتماد على البريد الإلكتروني لمعرفة المستخدم إذا كان جديداً أو مستخدمًا سابقًا لموقعك. السبب هو أن بعض الشبكات الاجتماعية مثل فيس بوك تسمح للمستخدم بالتسجيل عبر رقم الهاتف وقد لا يملك فيس بوك عنوان البريد الإلكتروني للمستخدم، أو قد يختار المستخدم عدم الإفصاح عن عنوان بريده الإلكتروني لتطبيقك أثناء مرحلة اختيار الصلاحيات ومنحها للتطبيق. عليك الآن التعديل على قاعدة البيانات الخاصة بالموقع وإضافة عمود اسمه facebook_id إلى جدول المستخدمين، سيكون الحقل unique ويسمح بقيم null (لأن هناك مستخدمين قد يستخدمون عملية التسجيل التقليدية للدخول وبالتالي لا يملك النظام معرف حسابهم على فيس بوك). الآن نعود إلى دالة facebookLogin وبدلاً من تعليمة dd سنضع السطور التالية: $user = $this->findOrCreateUser($oauthUser); Auth::login($user, true); return redirect('home'); ما فعلناه هو استدعاء دالة ضمن الصف نفسه هي دالة findOrCreateUser تأخذ معلومات حساب المستخدم على فيس بوك وتعيد لنا كائنًا من نموذج User ‏(User Model)، الذي استدعينا عليه دالة Auth::login لتسجيل دخوله في الجلسة الحالية ومررنا قيمة true كمتغير ثان حتى نتذكر المستخدم (remember me). أما عن دالة findOrCreateUser فهي كما يلي: private function findOrCreateUser($oauthUser) { if ($user = User::where('facebook_id', $oauthUser->id)->first()) return $user; return User::create([ 'name' => $oauthUser->name, 'email' => $oauthUser->email, 'facebook_id' => $oauthUser->id ]); } دالة بسيطة جدًا، تبحث عن المستخدم ضمن جدول المستخدمين اعتمادًا على رقم تعريف حسابه لدى فيس بوك، وإذا لم تعثر عليه تنشئ مستخدمًا جديدًا بالاعتماد على المعلومات التي حصلنا عليها من فيس بوك. لا تنس التعديل على User.php بما يناسب. إذا استخدمت دالة إنشاء المستخدم هذه ستحتاج إضافة الحقل facebook_id إلى مصفوفة fillable. الآن، يمكنك اختبار العملية بشكل كامل: ضع رابطًا في مكان مناسب يشير إلىauth/facebook وانقر عليه وتابع خطوات عملية التسجيل، في نهاية العملية يجب أن يعاد توجيهك إلى صفحة homeبعد دخولك إلى الموقع. ملاحظات إذا أردت تطبيق هذه الخطوات على تويتر أو أي شبكة أخرى فالعملية نفسها تماماً، عدا أن تويتر يعتمد بروتوكول OAuth 1.0 وليس 2، لذلك عليك فحص وجود متغير اسمه oauth_token بدلاً من code؛ أما الخطوات الأخرى فلا يوجد أي اختلافات. إذا أردت تذكّر الصفحة التي طلبها المستخدم قبل ظهور استمارة تسجيل الدخول وتوجيهه إليها بعد الدخول بدلاً من توجيهه إلى home في كل مرة، فقط استبدل السطر التالي: return redirect()->intended('defaultpage'); بالسطر القديم: return redirect('home'); لا تقيد نفسك بالطريقة المذكورة هنا، يمكنك إعادة تنظيم الشيفرات السابقة بعدة أساليب. مثلاً يمكنك وضع الدوال السابقة ضمن متحكم Auth\AuthController بدلاً من إنشاء متحكم جديد، أو إنشاء خدمة (Service) ووضعها فيها، الخ. أخطاء واجهتني أثناء تطبيق هذه الخطوات واجهتني عدة أخطاء سأذكرها هنا مع حلولها. المشكلة 0 FatalErrorException in AbstractProvider.php line 134: Call to a member function set() on null هذه المشكلة ظهرت عندما حاولت تطبيق هذه الخطوات لأول مرة على Laravel 5.2 ولم أنتبه إلى أنني وضعت تعريف المسار auth/facebook خارج middleware المسمى "web". هذا يعني أن Session غير متاحة في هذا النطاق، ولذلك واجهني هذا الخطأ. الحل: بكل بساطة نقلت تعليمة Route إلى داخل مجموعة التوجيه الخاصة بـ web" middleware" كالتالي: Route::group(['middleware' => 'web'], function () { ... Route::get('/auth/facebook', 'SocialAuthController@facebookLogin'); }); المشكلة 1 RequestException in CurlFactory.php line 187: cURL error 60: SSL certificate problem: unable to get local issuer certificate ما الذي تقوله هذه الرسالة؟! لا يمكن التحقق من شهادة SSL الخاصة بموقع فيس بوك! يا للكارثة شهادة SSL لديهم فيها مشكلة… كيف يمكنني إخبارهم بهذا؟ الواقع أنني استغربت ظهور هذه الرسالة عند محاولة الدخول عبر فيس بوك فقط ولم تظهر عند الدخول عبر تويتر. المشكلة هي أن إضافة cURL لدي ليس لديها معلومات ناشري شهادات SSL حتى تتمكن من التحقق من صلاحية شهادة فيس بوك، وكان الحل بتنزيل هذه المعلومات وتعديل ملف php.ini بحيث تتمكن cURL من قراءة هذه المعلومات والتحقق من شهادة فيس بوك. هناك حل ثان وهو تعطيل خيار التحقق من شهادة SSL، ولكن هذا الحل لا ينصح به. قد لا تواجهك هذه المشكلة، فهي متعلقة بطريقة ضبط php لديك، على أي حال إذا كنت تستخدم XAMPP على ويندوز مثلي وواجهتك هذه المشكلة إليك الطريقة التي استخدمتها لتجاوزها: أولاً حصلت على ملف cacert.pem الذي يحوي معلومات CA (أي Certificate Authorities وهي الهيئات التي تصادق على شهادات SSL لمواقع الوب) من هذا الرابط: http://curl.haxx.se/docs/caextract.html. بعد ذلك نسخته إلى مجلد xampp/php وأخيراً عدلت ملف php.ini وأضفت ما يلي إليه: [cURL] curl.cainfo="C:\xampp\php\cacert.pem" تستخدم cURL هذا المتغير للبحث عن ملف معلومات CA وقراءته، بعد ذلك ستتمكن من التحقق من سلامة شهادة فيس بوك بنجاح وستختفي هذه المشكلة. تنبيه: يجب إعادة تشغيل خادوم الوب حتى تأخذ هذه التغييرات مفعولها. المشكلة 2 InvalidStateException in AbstractProvider.php line 191 وهذه نفسها تعطي أحيانًا رسالة Client Error. تظهر هذه المشكلة إذا استدعيت التعليمة التالية أكثر من مرة في تطبيقك لسبب أو لآخر: Socialite::with('facebook')->user() لا يمكنك استدعاء هذه التعليمة سوى مرة واحدة فقط بعد توجيه المستخدم إلى فيس بوك عبر تعليمة: Socialite::with('facebook')->redirect() والحصول على كود الدخول. الحل: عليك الاحتفاظ بالكائن oauthUser$ الذي حصلت عليه من هذه التعليمة في متغير وتمريره إلى الدوال الأخرى إذا كنت تحتاجه بدلاً من طلبه كل مرة عبر Socialite. المشكلة 3 عند إضافة زر "دخول عبر تويتر" استمرت الصفحة في الدخول في حلقة إعادة توجيه لا نهائية رغم فحص وجود المتغير code في الطلب. تبين لي بعدها أن تويتر يستخدم النسخة 1.0 من بروتوكول OAuth ولذلك فهو يمرر متغيرات مختلفة. الحل: غيرت الشرط بحيث يفحص وجود المتغير oauth_token بدلاً من code. الختام في هذا الدرس اطلعنا على حزمة Socialite الخاصة بإطار Laravel التي تسمح بالاستيثاق من هوية المستخدمين بسهولة تامة عبر حساباتهم على الشبكات الاجتماعية. يمكنك تنزيل مشروع Laravel المستخدم في هذا الدرس والاطلاع على الشفرة البرمجية فيه. إذا واجهتك مشكلة في تطبيق هذا الدرس فلا تتردد في طرح سؤالك في تعليق أو على منصة الأسئلة والأجوبة التابعة لأكاديمية حسوب.
×
×
  • أضف...