5 قواعد بسيطة لأمان تسجيل الدخول إلى WordPress

نشرت: 2020-09-25

يجب أن تتضمن إستراتيجية أمان WordPress الناجحة خطوات لتقوية تسجيل الدخول إلى WordPress. في هذا المنشور ، نغطي القواعد الخمس البسيطة لتحسين أمان تسجيل الدخول إلى WordPress.

إن الشيء العظيم في WordPress هو كيف يجعل إنشاء موقع ويب متاحًا لأي شخص تقريبًا. ولكن مع إمكانية الوصول هذه تأتي القدرة على التنبؤ. يعرف أي شخص لديه خبرة في العمل مع WordPress مكان إجراء التغييرات على الموقع: عبر منطقة wp-admin . إنهم يعرفون حتى أين يجب أن يذهبوا للوصول إلى wp-admin ، صفحة wp-login.php .

افتراضيًا ، يكون عنوان URL لتسجيل الدخول إلى WordPress هو نفسه لكل موقع من مواقع WordPress ، ولا يتطلب أي أذونات خاصة للوصول إليه. هذا هو السبب في أن صفحة تسجيل الدخول إلى WordPress هي الجزء الأكثر هجومًا - وربما عرضة للخطر - من أي موقع WordPress.

لسوء الحظ ، فإن إنشاء روبوت يتجول عبر الإنترنت مرتكبًا هجمات القوة الغاشمة لا يتطلب مهارة كبيرة ، ويمكن لأي متسلل على مستوى المبتدئين إنشاء واحد. نظرًا لأن الهجمات على صفحة تسجيل الدخول إلى WordPress بها عائق دخول منخفض ، فإن أمان تسجيل الدخول إلى WordPress أمر بالغ الأهمية لتأمين أي موقع WordPress.

باتباع هذه القواعد واستخدام أفضل ممارسات الأمان في WordPress ، يمكنك تجنب التعرض لأخطاء تسجيل دخول المستخدم الشائعة.

أمان تسجيل الدخول إلى WordPress

1. استخدم كلمات مرور قوية

هناك الكثير من المعلومات المربكة والمتناقضة حول أفضل ممارسات أمان كلمة المرور على الإنترنت. في محاولة لإزالة هذا الالتباس ، دعنا نكسر أساسيات كيفية استخدام كلمة مرور قوية في تحسين أمان WordPress الخاص بك.

عند إنشاء كلمة مرور ، فإن العنصر الأول الذي تريد التفكير فيه هو طول كلمة المرور. توضح القائمة أدناه الوقت المقدر الذي يستغرقه اختراق كلمة المرور باستخدام معالج i5 رباعي النواة.

  • سيستغرق كسر 7 أحرف 0.29 مللي ثانية.
  • 8 أحرف سوف تستغرق 5 ساعات للتصدع.
  • 9 أحرف سيستغرق 4 أشهر للتصدع.
  • 10 أحرف ستستغرق عقدًا واحدًا للتصدع
  • 12 حرفًا ستستغرق قرنين للتصدع.

كما ترى ، فإن إضافة حرف واحد إلى كلمة المرور الخاصة بك يمكن أن يزيد بشكل كبير من أمان تسجيل الدخول الخاص بك. كلمة مرور تتكون من 12 حرفًا على الأقل وعشوائية وتتضمن مجموعة كبيرة من الأحرف مثل " ISt8XXa! 28X3 " ستجعل من الصعب جدًا اختراقها .

لسوء الحظ ، يستفيد بعض المتسللين من وحدات معالجة الرسومات (GPU) ووحدات المعالجة المركزية (CPU) الأقوى لتقليل مقدار الوقت اللازم لاختراق كلمات المرور. لذلك لتقوية عمليات تسجيل الدخول الخاصة بك ، ضع في اعتبارك أيضًا إنتروبيا كلمة المرور الخاصة بك. كلما زادت إنتروبيا كلمة المرور ، زادت صعوبة اختراق كلمة المرور.

على سبيل المثال ، بناءً على متطلبات الطول فقط ، تتكون كلمة المرور مثل " abcdefghijkl " من 12 حرفًا ، وهو أمر رائع ويجب أن يستغرق 200 عام حتى يتم كسره. ومع ذلك ، نظرًا لأن كلمة المرور تستخدم سلاسل أحرف متسلسلة ، فإنها تجعل كلمة المرور أكثر قابلية للتنبؤ بها مقارنة بكلمة مرور مثل " rfybolaawtpm " التي تحتوي على أحرف عشوائية.

تقلل الأحرف العشوائية من إمكانية التنبؤ وتزيد من قوة كلمة المرور. لكن كلتا كلمتي المرور هاتين تشتركان في شيء واحد يؤدي في النهاية إلى تقليل إنتروبيا كلمة المرور. يستخدم كلاهما أحرفًا صغيرة فقط ، مما يحد من مجموعة الأحرف المحتملة إلى 26 حرفًا. ولهذا السبب من الضروري تضمين أحرف أبجدية رقمية وأحرف كبيرة وأحرف ASCII مشتركة لزيادة مجموعة الأحرف اللازمة لاختراق كلمة المرور إلى 92.

نصيحة: استخدم مدير كلمات المرور مثل LastPass لإنشاء كلمات المرور وتخزينها بأمان بسهولة.
نصيحة: على الأقل ، يجب أن تطلب من المستخدمين الذين يمكنهم إجراء تعديلات على WordPress استخدام كلمات مرور قوية. سيساعد استخدام مكون إضافي للأمان في WordPress مثل iThemes Security Pro لإجبار المستخدمين المتميزين على استخدام كلمات مرور قوية على زيادة أمان تسجيل الدخول إلى WordPress.

2. استخدم كلمة مرور فريدة لكل حساب

من أفضل الممارسات الأخرى للأمان عبر الإنترنت استخدام كلمات مرور فريدة لكل حساب وكل تسجيل دخول إلى موقع الويب لديك. هذا مهم للغاية ، سنقوله مرة أخرى: يجب أن تستخدم كلمة مرور مختلفة لكل موقع.

لماذا إعادة استخدام كلمات المرور مهمة للغاية؟ إذا كنت تستخدم نفس كلمة المرور لكل موقع وتم اختراق أحد هذه المواقع ، فأنت تستخدم الآن كلمة مرور مخترقة لكل حساب في كل موقع. يمكن للقراصنة استخدام مقالب البيانات لكلمات المرور المخترقة المقترنة بعنوان بريدك الإلكتروني أو اسم المستخدم للوصول إلى حساباتك. من الأفضل عدم المخاطرة.

كلما زاد عدد المستخدمين الذين يعيدون استخدام كلمات المرور ، كلما كان أمان تسجيل الدخول إلى WordPress أضعف. في القائمة التي تم تجميعها بواسطة Splash Data ، كانت كلمة المرور الأكثر شيوعًا المضمنة في جميع عمليات تفريغ البيانات هي 123456. إن أمان تسجيل الدخول إلى WordPress لموقعك هو فقط بنفس قوة الرابط الأضعف ، لذا كن استباقيًا مع متطلبات كلمة مرور قوية.

نصيحة: حماية WordPress من كلمات المرور المخترقة

يمكنك حماية WordPress من كلمات المرور المخترقة باستخدام مكون إضافي مثل iThemes Security Pro. يستفيد iThemes Security Pro من HaveIBeenPwned API لاكتشاف ما إذا كانت كلمة المرور قد ظهرت في خرق البيانات أم لا.

نصيحة: شجع المستخدمين على تغيير كلمات المرور بشكل متكرر

تتيح لك ميزات متطلبات كلمة المرور في iThemes Security إجبار جميع المستخدمين لديك على تغيير كلمة المرور الخاصة بهم في المرة التالية التي يسجلون فيها الدخول. إجبار المستخدمين على إنشاء كلمة مرور جديدة ، يسمح للجميع بالبدء من جديد بكلمة مرور قوية وغير منقوصة ، مما سيزيد من تسجيل دخولك إلى WordPress الأمان.

نصيحة: استخدم مدير كلمات المرور

في النهاية ، يمكن أن يساعدك استخدام مدير كلمات المرور في تتبع عمليات تسجيل الدخول وكلمات المرور الفريدة. بمساعدة مدير كلمات المرور ، لن تضطر إلى تذكر كلمات المرور الخاصة بك.

3. الحد من محاولات تسجيل الدخول

بشكل افتراضي ، لا يوجد أي شيء مضمّن في WordPress للحد من عدد محاولات تسجيل الدخول الفاشلة التي يمكن لشخص ما القيام بها. بدون حد لعدد محاولات تسجيل الدخول الفاشلة التي يمكن للمهاجم القيام بها ، يمكنهم الاستمرار في تجربة عدد لا نهائي من أسماء المستخدمين وكلمات المرور حتى تنجح.

قم بزيادة أمان تسجيل الدخول إلى WordPress عن طريق تثبيت مكون إضافي للأمان في WordPress مثل iThemes Security Pro للحد من عدد محاولات تسجيل الدخول الفاشلة. تمنحك ميزة الحماية من القوة الغاشمة لـ iThemes Security Pro WordPress القدرة على تعيين عدد محاولات تسجيل الدخول الفاشلة المسموح بها قبل قفل اسم المستخدم أو IP. سيعطل القفل مؤقتًا قدرة المهاجم على إجراء محاولات تسجيل الدخول. بمجرد حظر المهاجمين ثلاث مرات ، سيتم منعهم حتى من مشاهدة الموقع.

ملاحظة: عند تحديد مدى صرامة القواعد التي تريدها لمحاولات تسجيل الدخول الفاشلة ، ضع في اعتبارك المستخدمين الفعليين لموقعك. إذا جعلت قواعد الإغلاق لا ترحم ، فإنك تخاطر بإغلاق المستخدمين الحقيقيين عن غير قصد.

4. الحد من محاولات المصادقة الخارجية لكل طلب

هناك طرق أخرى لتسجيل الدخول إلى WordPress إلى جانب استخدام نموذج تسجيل الدخول. باستخدام XML-RPC ، يمكن للمهاجم إجراء المئات من محاولات اسم المستخدم وكلمة المرور في طلب HTTP واحد. تسمح طريقة تضخيم القوة الغاشمة للمهاجمين بإجراء الآلاف من محاولات اسم المستخدم وكلمة المرور باستخدام XML-RPC في عدد قليل من طلبات HTTP. عندما تعرف أن بإمكان المهاجم استخدام تفريغ قاعدة البيانات كنقطة بداية وإجراء آلاف التخمينات لكل طلب ، فهذا يجعل أهمية أمان تسجيل الدخول إلى WordPress أكثر وضوحًا.

باستخدام إعدادات WordPress Tweaks الخاصة بـ iThemes Security Pro ، يمكنك حظر محاولات مصادقة متعددة لكل طلب XML-RPC. سيؤدي تحديد عدد محاولات اسم المستخدم وكلمة المرور إلى محاولة واحدة لكل طلب إلى قطع شوط طويل في تأمين تسجيل الدخول إلى WordPress الخاص بك.

بالإضافة إلى ذلك ، عند تطوير خطة أمان تسجيل الدخول إلى WordPress ، من المهم أن تدرك أن WordPress Rest API تضيف طرقًا إضافية لمصادقة مستخدم WordPress. مصادقة ملفات تعريف الارتباط هي إحدى طرق المصادقة عند تسجيل الدخول إلى WordPress يقوم تلقائيًا بتخزين ملف تعريف ارتباط حتى تتمكن المكونات الإضافية والسمات من أداء وظيفة نيابة عنك. ستستفيد مصادقة ملفات تعريف الارتباط من الحماية التي أضفتها إلى ملف wp-login.php.

5. استخدم المصادقة الثنائية

لقد قمت بحفظ أفضل طريقة لزيادة أمان تسجيل الدخول إلى WordPress لآخر مرة: مصادقة WordPress ذات العاملين. تتطلب المصادقة ذات العاملين رمزًا إضافيًا مع اسم مستخدم وكلمة مرور WordPress لتسجيل الدخول.

هناك العديد من طرق المصادقة الثنائية ، ولكن لا يتم إنشاء جميع الطرق على قدم المساواة. إذا كان بإمكانك تجنب استخدام النص للمصادقة ذات العاملين. لم يعد المعهد الوطني للمعايير والتكنولوجيا يوصي باستخدام الرسائل القصيرة لإرسال واستقبال رموز المصادقة.

باستخدام مكون أمان WordPress الإضافي ، مثل iThemes Security Pro ، يجب عليك تمكين إما البريد الإلكتروني أو طريقة تطبيق الهاتف المحمول ذات العاملين.

فقط لاحظ أن العديد من المواقع تطلب منك استخدام عنوان بريد إلكتروني كاسم مستخدم. إذا اخترق أحد المهاجمين أحد هذه المواقع ، فستكون الخطوة التالية هي محاولة تسجيل الدخول إلى حسابات البريد الإلكتروني باستخدام عناوين البريد الإلكتروني الجديدة وكلمات المرور التي سرقوها. إذا كان أحد المستخدمين أو العملاء لديك يعيد استخدام كلمات المرور المخترقة على كل موقع ، فسيتم اختراق حساب البريد الإلكتروني الخاص بهم ، بالإضافة إلى رموز البريد الإلكتروني ذات العاملين.

ستفعل طريقة تطبيق الجوّال ذات العاملين أكثر من غيرها لزيادة أمان تسجيل الدخول إلى WordPress. سيتم إرسال رمز المصادقة الإضافي المطلوب لتسجيل الدخول إلى هاتف المستخدم. لذلك ، حتى إذا كان المهاجم لديه حق الوصول إلى بيانات اعتماد WordPress والبريد الإلكتروني ، فلن تكون هناك طريقة لتسجيل الدخول.

الخلاصة: قائمة تدقيق بسيطة لأمان تسجيل الدخول إلى WordPress

يجب أن يكون أمان تسجيل الدخول إلى WordPress أولوية قصوى في كل موقع. الآن بعد أن عرفت كيفية زيادة أمان تسجيل الدخول على موقعك ، يمكنك الاستفادة من إستراتيجية منع الاختراق الفعالة هذه.

  • 1. استخدم كلمات مرور قوية
  • 2. استخدم كلمات مرور فريدة لكل حساب
  • 3. الحد من محاولات تسجيل الدخول
  • 4. الحد من محاولات المصادقة
  • 5. استخدم المصادقة الثنائية

البرنامج المساعد الأمني ​​ووردبريس

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع WordPress الخاص بك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 30 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام المصادقة الثنائية لـ WordPress ، وحماية القوة الغاشمة ، وفرض كلمة مرور قوية والمزيد ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

احصل على iThemes Security الآن