5 نصائح وحيل متقدمة لـ iThemes Security Pro

نشرت: 2020-09-02

يحتوي المكون الإضافي iThemes Security Pro على أكثر من 50 طريقة مختلفة لتأمين موقع WordPress الخاص بك وحمايته. يمكنك تمكين معظم طرق الأمان في iThemes Security Pro بنقرة زر واحدة. ومع ذلك ، إذا كان بإمكانك توفير بضع دقائق للتعمق في الإعدادات ، فيمكنك إضافة عدة طبقات من الحماية إلى موقع WordPress الخاص بك.

في هذا المنشور ، سنقدم لك 5 نصائح وحيل متقدمة لـ iThemes Security Pro لنقل أمان موقع الويب الخاص بك إلى المستوى التالي.

نصيحة رقم 1 - حماية لوحة معلومات WP الخاصة بك باستخدام الأجهزة الموثوقة

تعمل ميزة iThemes Security Pro Trusted Devices على تقييد الوصول إلى لوحة معلومات WordPress إلى قائمة الأجهزة المعتمدة.

بمجرد السماح لـ iThemes Security Pro بمعرفة أجهزتك ، يمكن للأجهزة الموثوقة حماية موقعك بطريقتين مختلفتين:

1. تقييد إمكانيات الأجهزة غير المعروفة - عندما يقوم شخص ما بتسجيل الدخول باستخدام جهاز غير معروف ، يمكنك تقييد إمكاناته على مستوى المسؤول ومنعهم من تحرير تفاصيل تسجيل الدخول الخاصة بهم. سيقوم iThemes Security Pro بعد ذلك بإرسال بريد إلكتروني إلى العنوان المحدد في ملف تعريف مستخدم WordPress الخاص بهم.

سيكون لدى البريد الإلكتروني لتسجيل الدخول غير المعروف خيار تأكيد الجهاز أو حظره. إذا تم النقر فوق الزر " تأكيد الجهاز" ، فسيتم استعادة إمكانيات المسؤول للمستخدم. إذا تم النقر فوق الزر This Was Not Me ، فسيقوم iThemes Security Pro بتسجيل خروج المستخدم غير الشرعي والجهاز قائمة الأجهزة المرفوضة في ملف تعريف WordPress.

2. الحماية من اختطاف الجلسة - اختطاف الجلسة هو هجوم يتم فيه الاستيلاء على جلسة المستخدم من قبل المهاجم. على سبيل المثال ، يقوم WordPress بإنشاء ملف تعريف ارتباط للجلسة في كل مرة تقوم فيها بتسجيل الدخول إلى موقع الويب الخاص بك. ولنفترض أن لديك امتداد متصفح به ثغرة أمنية تسمح للمتسللين باختراق ملف تعريف ارتباط المتصفح الخاص بك. بعد اختطاف جلستك ، سيتمكن المخترق من البدء في إجراء تغييرات ضارة على موقع الويب الخاص بك.

إذا تغير جهاز المستخدم أثناء الجلسة ، فسيقوم iThemes Security بتسجيل خروج المستخدم تلقائيًا لمنع أي نشاط غير مصرح به على حساب المستخدم ، مثل تغيير عنوان البريد الإلكتروني للمستخدم أو تحميل المكونات الإضافية الضارة.

ملاحظة: اقرأ منشور تسليط الضوء على ميزة Trusted Devices لمعرفة المزيد حول إمكانية تأمين لوحة معلومات WordPress وحمايتها.

نصيحة رقم 2 - استخدم Google reCAPTCHA v3 لحظر البرامج الآلية السيئة

تحمي ميزة reCAPTCHA من Google في iThemes Security Pro موقعك من الروبوتات السيئة. تحاول هذه الروبوتات اقتحام موقع الويب الخاص بك باستخدام كلمات مرور مخترقة أو نشر بريد عشوائي أو حتى كشط المحتوى الخاص بك. تستخدم reCAPTCHA تقنيات متقدمة لتحليل المخاطر للتمييز بين البشر والروبوتات.

ما يميز reCAPTCHA الإصدار 3 هو أنه يساعدك على اكتشاف حركة مرور الروبوتات المسيئة على موقع الويب الخاص بك دون أي تفاعل من المستخدم. بدلاً من إظهار تحدي CAPTCHA ، يراقب reCAPTCHA v3 الطلبات المختلفة التي تم إجراؤها ويعيد النتيجة. تتراوح النتيجة من 0.01 إلى 1. وكلما زادت الدرجة التي قدمتها reCAPTCHA ، زادت الثقة في أن الإنسان قدم الطلب. كلما انخفضت هذه النتيجة التي أرجعها reCAPTCHA ، زادت الثقة في أن الروبوت قد قام بالطلب.

يسمح لك iThemes Security Pro بتعيين حد حظر باستخدام نتيجة reCAPTCHA. توصي Google باستخدام 0.5 كإعداد افتراضي. ضع في اعتبارك أنه يمكنك حظر المستخدمين الشرعيين عن غير قصد إذا قمت بتعيين العتبة عالية جدًا.

لنفترض أنك قمت بتعيين حد الحظر على 1 ، مما يعني أنك تريد من Google حظر أي شيء غير متأكد بنسبة 100٪ من أنه بشري. الآن يرسل أحد عملائك طلب تسجيل دخول إلى موقع الويب الخاص بك. ويستخدم هذا العميل مدير كلمات المرور للملء التلقائي لكلمات المرور الخاصة به ويمنح reCAPTCHA طلب تسجيل الدخول الخاص به درجة 0.7.

لذلك ، على الرغم من أن عميلك لم يستخدم لوحة المفاتيح الخاصة به لكتابة بيانات اعتماده ، فإن Google متأكدة تمامًا من أن عميلك إنسان. ولكن ، سيظل عميلك محظورًا لأنك عيّنت حدًا قدره 1.

يمكنك تمكين reCAPTCHA في تسجيل مستخدم WordPress الخاص بك وإعادة تعيين كلمة المرور وتسجيل الدخول والتعليقات. يسمح لك iThemes Security Pro بتشغيل برنامج Google reCAPTCHA النصي على جميع الصفحات لزيادة دقة الروبوت مقابل النتيجة البشرية.

الإصدار 3 من Google reCAPTCHA مذهل! فهي تساعد في حمايتك أنت وزوار موقعك من الروبوتات السيئة دون أي تدخل من المستخدم.

نصيحة رقم 3 - استخدم تصعيد الامتياز لإنشاء مستخدم دعم عام

الميزة الأكثر استخدامًا في iThemes Security Pro هي Privilege Escalation. تتيح لك الميزة تصعيد امتيازات المستخدم مؤقتًا.

في أي وقت تنشئ فيه مستخدمًا جديدًا ، وخاصة مستخدم المسؤول ، فأنت تضيف نقطة دخول أخرى يمكن للمتسلل استغلالها. ولكن ، هناك أوقات قد تحتاج فيها إلى بعض المساعدة الخارجية لموقعك على الويب ، مثل عندما تبحث عن الدعم.

يمكنك إنشاء مستخدم جديد وتسميته بالدعم ومنحه دور المستخدم المشترك. في المرة التالية التي تحتاج فيها إلى توفير وصول مؤقت إلى موقع الويب الخاص بك ، انتقل إلى صفحة الملف الشخصي لمستخدم الدعم.

قم بتحديث عنوان البريد الإلكتروني للسماح لشخص الدعم الخارجي بطلب كلمة مرور جديدة. ثم قم بالتمرير لأسفل حتى ترى إعدادات تصعيد الامتياز المؤقت . انقر فوق تبديل تعيين الدور المؤقت ، وحدد المسؤول . سيكون لدى المستخدم الآن حق وصول المسؤول لمدة 24 ساعة القادمة.

إذا لم يكونوا بحاجة إلى 24 ساعة كاملة ، فيمكنك إبطال تصعيد الامتياز من صفحة ملف تعريف المستخدم.

نصيحة رقم 4 - اجعل الأمان سهلًا للمستخدمين

بحكم التعريف ، تم تصميم كل تدبير أمني لتقليل راحة كل ما يتلقى أمانًا إضافيًا. لذلك أرغب في مشاركة ثلاث ميزات في iThemes Security Pro يمكن أن تجعل الأمان سهلاً للجميع على موقع الويب الخاص بك.

1. Two-Factor Onboarding

المصادقة الثنائية هي عملية التحقق من هوية الشخص من خلال طلب طريقتين منفصلتين للتحقق. شاركت Google على مدونتها أن استخدام المصادقة الثنائية يمكن أن يوقف 100٪ من هجمات الروبوت الآلية.

تعد عملية الإعداد ذات العاملين طريقة سهلة الاستخدام للأشخاص لإعداد عاملين في حساباتهم. سيتم توجيه كل مستخدم لديه مصادقة ثنائية مُمكَّنة من خلال تدفق الإعداد في المرة التالية التي يسجلون فيها الدخول.

بعد إدخال بيانات الاعتماد الخاصة بك ، سيتم تقديمك مع نص الترحيب الخاص بالإعداد. ضع في اعتبارك أنه يمكنك تخصيص هذا في الإعدادات ذات العاملين.

خلال التدفق ، سيكون لديك خيار تمكين وتكوين طرق العاملين التي تريد استخدامها.

بنهاية التدفق ، ستحصل أنت وحسابات المستخدمين على طبقة أمان قوية توفرها المصادقة ذات العاملين.

ملاحظة: اقرأ منشور تسليط الضوء على ميزة الأجهزة الموثوقة لمعرفة المزيد حول إمكانية تأمين لوحة معلومات WordPress وحمايتها.

2. الروابط السحرية

قد يقوم الروبوت بنسخ صفحة المؤلف الخاص بك لجمع أسماء المستخدمين لاستخدامها في هجوم القوة الغاشمة على موقع الويب الخاص بك. إنه أمر مقفل لأن بعض الروبوتات تحاول اختراق موقع الويب الخاص بك باستخدام اسم المستخدم الخاص بك.

عندما يتم قفل اسم المستخدم الخاص بك ، يمكنك طلب بريد إلكتروني يحتوي على رابط تسجيل دخول فريد. سيؤدي استخدام الرابط المرسل عبر البريد الإلكتروني إلى تجاوز قفل اسم المستخدم نيابةً عنك ، بينما لا يزال مهاجمو القوة الغاشمة مقفلين.

ما عليك سوى النقر فوق الارتباط "إرسال ارتباط تسجيل الدخول المصرح به" لتلقي البريد الإلكتروني الخاص بـ Magic Links.

بمجرد تلقي البريد الإلكتروني ، استخدم الرابط ، وأدخل بيانات الاعتماد الخاصة بك وستعود إلى موقعك!

ملاحظة: اقرأ المنشور المميز لميزة Magic Links لمعرفة المزيد.

3. تسجيلات الدخول بدون كلمة مرور

سواء كنا في مجتمع الأمان نرغب في الاعتراف بذلك أم لا ، فإن استخدام مدير كلمات المرور والمصادقة ذات العاملين يمكن أن يكون أمرًا مؤلمًا ويستغرق وقتًا طويلاً ، خاصةً عندما نتحرك أكثر فأكثر في حياتنا عبر الإنترنت.

لذلك أردنا إنشاء طريقة للأشخاص للحصول على كل الأمان الذي توفره كلمة المرور القوية والفريدة من نوعها دون التضحية بقابلية الاستخدام.

ما هي عمليات تسجيل الدخول بدون كلمة مرور؟

يعد تسجيل الدخول بدون كلمة مرور طريقة جديدة للتحقق من هوية المستخدم دون الحاجة إلى كلمة مرور لتسجيل الدخول. لقد طورنا Magic Links إلى طريقة تسجيل دخول جديدة تسمح لك بمطالبة المستخدمين باستخدام كلمات مرور قوية ومصادقة ثنائية دون إدخال كلمة مرور أو رمز مصادقة إضافي.

كيف تعمل طريقة تسجيل الدخول بدون كلمة مرور

عند تسجيل الدخول سيُطلب منك اختيار طريقة تسجيل الدخول. انقر فوق الزر Email Magic Link لإرسال البريد الإلكتروني الذي يحتوي على رابط تسجيل الدخول بدون كلمة مرور.

رابط البريد الإلكتروني السحري

سترى الآن رسالة تؤكد إرسال البريد الإلكتروني.

تسجيل الدخول بدون كلمة مرور تحقق من البريد الإلكتروني

في صندوق البريد الإلكتروني الخاص بك ، افتح البريد الإلكتروني Magic Link وزر تسجيل الدخول الآن .

البريد الإلكتروني لتسجيل الدخول بدون كلمة مرور

وهذا كل شيء ، لا إدخال كلمة مرور أو رمز عاملين. هذا يعني أنه بمجرد تمكين تسجيل الدخول بدون كلمات مرور ، لن تضطر إلى معرفة كلمة مرورك المعقدة أو نسخ ولصق رمز إضافي لتسجيل الدخول. ومع ذلك ، فإن هؤلاء الأشرار الذين يحاولون القوة الغاشمة على موقعك سيكون لديهم معدل نجاح 0٪.

ملاحظة: قم بإلقاء نظرة على الكتاب الإلكتروني لشروعك في تسجيل الدخول بدون كلمة مرور لمعرفة المزيد.

نصيحة رقم 5 - تمكين قائمة التصحيح لاستكشاف الأخطاء وإصلاحها المتقدمة

قد تكون هناك أوقات يطلب منك فيها دعم iThemes Security Pro تمكين قائمة تصحيح الأخطاء. لتمكين قائمة التصحيح في iThemes Security Pro ، ستحتاج إلى إضافة الكود أدناه إلى ملف wp-config.php الخاص بك.

 define( 'ITSEC_DEBUG', true );

تأكد من إضافة الشفرة فوق "هذا كله مدونات سعيدة". خط.

ستتمكن الآن من الوصول إلى قائمة التصحيح في iThemes Security Pro.

يمكنك عرض معلومات النظام الخاصة بك ، وتحميل تكوين الإعدادات الخاصة بك ، وعرض جدولة أحداث الأمان ، وما هي رسائل البريد الإلكتروني التي يتم إرسالها بواسطة مركز الإشعارات. أداة استكشاف الأخطاء وإصلاحها التي أريد تسليط الضوء عليها في هذا المنشور هي المجدول.

المجدول

يعرض لك المجدول جميع الأحداث المجدولة المختلفة في iThemes Security Pro. الأحداث المجدولة هي أشياء مثل عمليات فحص الموقع وفحص تغيير الملفات ومسح عمليات الإغلاق وغير ذلك الكثير. ما تشترك فيه هذه الوظائف هو حاجتها إلى جدولتها مسبقًا ، وتعتمد على تشغيل wp-cron.

لنفترض أنه قد لفت انتباهك أن فحص File Change لا يعمل على موقع الويب الخاص بك على الرغم من تمكينك لـ File Change في إعدادات الأمان الخاصة بك. يمكنك تمكين قائمة التصحيح لمعرفة ما إذا كان فحص تغيير الملف في قائمة الأحداث المجدولة. إذا لم يكن الأمر كذلك ، فهذا يعني حدوث خطأ ما قبل إنشاء الحدث. يمكنك حل هذه المشكلة بالنقر فوق الزر إعادة تعيين ITSEC_Scheduler_Cron. ستؤدي استعادة cron إلى إجبار برنامج الجدولة على التحقق من إعدادات الأمان وإعادة إنشاء قائمة الأحداث المجدولة. بما في ذلك عمليات مسح تغيير الملف المفقود.

تغليف

يوفر المكون الإضافي iThemes Security Pro حماية ممتازة خارج الصندوق ، ولكن إذا تعمقت في الإعدادات ، فستجد بعض أدوات الأمان الرائعة حقًا. يمكن أن تساعد هذه الأدوات في إضافة عدة طبقات من الأمان لتسجيل الدخول إلى WordPress ولوحة المعلومات الخاصة بك ، وحظر الروبوتات السيئة ، وحتى جعل الأمان أسهل للجميع على موقع الويب الخاص بك ، بما في ذلك أنت.