8 طرق لتأمين تسجيل الدخول إلى WordPress الخاص بك

عنوان URL لتسجيل الدخول إلى WordPress هو نفسه لكل موقع WordPress ، ولا يتطلب أي أذونات خاصة للوصول إليه. يعرف أي شخص لديه أي خبرة في العمل مع WordPress أن عنوان URL لتسجيل الدخول موجود في صفحة /wp-login.php .

إن إمكانية الوصول إلى صفحة تسجيل الدخول إلى WordPress تجعلها الجزء الأكثر هجومًا - وربما الأكثر عرضة للخطر - في أي موقع ويب WordPress. لحسن الحظ بالنسبة لنا ، فإن المكون الإضافي iThemes Security Pro يجعل من السهل تأمين تسجيل الدخول إلى WordPress الخاص بك.

دعنا نلقي نظرة على الأدوات الموجودة في iThemes Security Pro والتي يمكنك استخدامها لتأمين تسجيل الدخول إلى WordPress الخاص بك وجعله غير قابل للاختراق تقريبًا!

1. الحد من محاولات تسجيل الدخول

تتمثل الخطوة الأولى لتأمين تسجيل الدخول إلى WordPress في الحد من محاولات تسجيل الدخول الفاشلة. بشكل افتراضي ، لا يوجد أي شيء مضمّن في WordPress للحد من عدد محاولات تسجيل الدخول الفاشلة التي يمكن لشخص ما القيام بها. بدون حد لعدد محاولات تسجيل الدخول الفاشلة التي يمكن للمهاجم القيام بها ، يمكنهم الاستمرار في تجربة مجموعة من أسماء المستخدمين وكلمات المرور المختلفة حتى يعثروا على واحدة تعمل.

تحافظ ميزة الحماية من القوة الغاشمة المحلية في iThemes Security Pro على مسارات محاولات تسجيل الدخول غير الصالحة التي يقوم بها مضيف أو عنوان IP واسم مستخدم. بمجرد قيام IP أو اسم المستخدم بإجراء العديد من محاولات تسجيل الدخول غير الصالحة المتتالية ، سيتم حظرهم وسيتم منعهم من إجراء أي محاولات أخرى لفترة زمنية محددة.

لبدء استخدام ميزة Local Brute Force Protection ، قم بتمكينها في الصفحة الرئيسية لصفحة إعدادات iThemes Security Pro.

تسمح لك إعدادات الحماية من القوة الغاشمة المحلية بتعيين حدود عمليات الإغلاق.

• الحد الأقصى لعدد محاولات تسجيل الدخول لكل مضيف - عدد محاولات تسجيل الدخول غير الصحيحة المسموح بها لعنوان IP قبل أن يتم قفله.
• الحد الأقصى لعدد محاولات تسجيل الدخول لكل مستخدم - هذا هو عدد محاولات تسجيل الدخول غير الصالحة التي يُسمح بها لاسم المستخدم قبل أن يتم قفله.
• دقائق لتذكر تسجيل الدخول السيئ - هذه هي المدة التي يجب أن تحتسب فيها محاولة تسجيل الدخول غير الصالحة ضد عنوان IP أو اسم مستخدم للإغلاق.
• حظر مستخدم "المسؤول" تلقائيًا - عند التمكين ، يتلقى أي شخص يستخدم اسم مستخدم المسؤول عند تسجيل الدخول قفلًا تلقائيًا.

هناك بعض الأشياء التي تريد وضعها في الاعتبار عند تكوين إعدادات التأمين. أنت تريد نقل محاولات تسجيل دخول غير صالحة للمستخدمين أكثر مما تقدمه لعناوين IP. لنفترض أن موقع الويب الخاص بك يتعرض لهجوم عنيف وأن المهاجم يستخدم اسم المستخدم الخاص بك. الهدف هو قفل عنوان IP الخاص بالمهاجم وليس اسم المستخدم الخاص بك ، لذلك ستظل قادرًا على تسجيل الدخول وإنجاز العمل ، حتى عندما يتعرض موقع الويب الخاص بك للهجوم.

لا تريد أيضًا أن تجعل هذه الإعدادات شديدة الصرامة عن طريق تعيين عدد محاولات تسجيل الدخول غير الصالحة منخفضًا جدًا ووقت تذكر المحاولات غير الصالحة لفترة طويلة جدًا. إذا قمت بتخفيض عدد محاولات تسجيل الدخول غير الصالحة للمضيفين / عناوين IP إلى 1 وقمت بتعيين الدقائق لتذكر محاولة تسجيل دخول خاطئة لمدة شهر ، فأنت تزيد بشكل كبير من احتمال حظر المستخدمين الشرعيين عن غير قصد.

2. الحد من محاولات المصادقة الخارجية لكل طلب

هناك طرق أخرى لتسجيل الدخول إلى WordPress إلى جانب استخدام نموذج تسجيل الدخول. باستخدام XML-RPC ، يمكن للمهاجم إجراء المئات من أسماء المستخدمين ومحاولات كلمة المرور في طلب HTTP واحد. تسمح طريقة تضخيم القوة الغاشمة للمهاجمين بإجراء الآلاف من محاولات اسم المستخدم وكلمة المرور باستخدام XML-RPC في عدد قليل من طلبات HTTP.

باستخدام إعدادات WordPress Tweaks الخاصة بـ iThemes Security Pro ، يمكنك حظر محاولات مصادقة متعددة لكل طلب XML-RPC. سيؤدي تحديد عدد محاولات اسم المستخدم وكلمة المرور إلى محاولة واحدة لكل طلب إلى قطع شوط طويل في تأمين تسجيل الدخول إلى WordPress الخاص بك.

3. شبكة حماية القوة الغاشمة

إن الحد من محاولات تسجيل الدخول هو كل شيء عن حماية القوة الغاشمة المحلية. تبحث حماية القوة الغاشمة المحلية فقط في محاولات الوصول إلى موقعك وتحظر المستخدمين وفقًا لقواعد التأمين المحددة في إعدادات الأمان الخاصة بك.

تأخذ حماية القوة الغاشمة للشبكة هذه خطوة إلى الأمام. الشبكة هي مجتمع iThemes Security وتضم أكثر من مليون موقع ويب قوي. إذا تم تحديد عنوان IP على أنه يحاول اقتحام مواقع الويب في مجتمع iThemes Security ، فسيتم إضافة عنوان IP إلى قائمة Network Brute Force المحظورة.

بمجرد أن يكون عنوان IP في قائمة Network Brute Force المحظورة ، يتم حظر عنوان IP على جميع مواقع الويب في الشبكة. لذلك ، إذا هاجم عنوان IP موقع الويب الخاص بي وتم حظره ، فسيتم إبلاغ iThemes Security Brute Force Network. يمكن أن يساعد تقريري في حظر عنوان IP على الشبكة بالكامل. أحب أنه يمكنني المساعدة في تأمين تسجيل دخول الآخرين إلى WordPress فقط من خلال تمكين حماية شبكة أمان iThemes.

لبدء استخدام Network Force Protection ، قم بتمكينها في الصفحة الرئيسية لإعدادات الأمان.

ثم أدخل عنوان بريدك الإلكتروني ، واختر ما إذا كنت تريد تلقي تحديثات البريد الإلكتروني أم لا ، ثم انقر فوق الزر حفظ .

4. فرض كلمات مرور قوية

في قائمة تم تجميعها بواسطة Splash Data ، كانت كلمة المرور الأكثر شيوعًا المضمنة في جميع عمليات تفريغ البيانات هي 123456. تفريغ البيانات عبارة عن قاعدة بيانات مخترقة مليئة بكلمات مرور المستخدم الملقاة في مكان ما على الإنترنت. هل يمكنك تخيل عدد الأشخاص على موقع الويب الخاص بك الذين يستخدمون كلمة مرور ضعيفة إذا كانت 123456 هي كلمة المرور الأكثر شيوعًا في عمليات تفريغ البيانات؟

استخدام كلمة مرور ضعيفة يشبه محاولة قفل بابك الأمامي بقطعة من الشريط اللاصق. لم يستغرق المتسللون وقتًا طويلاً حتى يتمكنوا من شق طريقهم عبر كلمة مرور ضعيفة إلى موقع ويب. الآن بعد أن استفاد المتسللون من بطاقات رسومات الكمبيوتر في هجماتهم ، لم يكن الوقت الذي يستغرقه اختراق كلمة المرور أقل من أي وقت مضى.

على سبيل المثال ، دعنا نلقي نظرة على مخطط أنشأته شركة Terahash ، وهي شركة عالية الأداء لاختراق كلمات المرور. يوضح الرسم البياني الخاص بهم الوقت الذي يستغرقه اختراق كلمة المرور باستخدام مجموعة تجزئة تبلغ 448x RTX 2080s.

بشكل افتراضي ، يستخدم WordPress MD5 لتجزئة كلمات مرور المستخدم المخزنة في قاعدة بيانات WP. لذلك ، وفقًا لهذا الرسم البياني ، يمكن لـ Terahash كسر كلمة مرور مكونة من 8 أحرف… على الفور تقريبًا. هذا ليس مثيرًا للإعجاب فحسب ، بل إنه مخيف حقًا أيضًا. الخبر السار هو أنه يمكننا تأمين تسجيل الدخول إلى WordPress الخاص بنا من خلال مطالبة مستخدمينا رفيعي المستوى باستخدام كلمات مرور قوية.

تتيح لك ميزة متطلبات كلمات مرور iThemes Security Pro إجبار مستخدمين محددين على استخدام كلمة مرور قوية. قم بتمكين ميزة متطلبات كلمة المرور في الصفحة الرئيسية لإعدادات الأمان ، ثم حدد المستخدمين الذين تريد طلبهم لاستخدام كلمة مرور قوية.

5. كلمات المرور المخترقة المرفوضة

وفقًا لتقرير تحقيقات خرق بيانات Verizon ، يعيد أكثر من 70٪ من الموظفين استخدام كلمات المرور في العمل. لكن الإحصائيات الأكثر أهمية من التقرير هي أن 81٪ من الانتهاكات المتعلقة بالقرصنة استفادت من كلمات المرور المسروقة أو الضعيفة.

يستخدم المتسللون شكلاً من أشكال القوة الغاشمة المهاجمة يسمى هجوم القاموس. هجوم القاموس هو طريقة لاقتحام موقع WordPress باستخدام كلمات مرور شائعة الاستخدام ظهرت في مقالب قاعدة البيانات. "المجموعة رقم 1؟ تضمنت عملية اختراق البيانات التي تمت استضافتها على موقع MEGA 1،160،253،228 مجموعة فريدة من عناوين البريد الإلكتروني وكلمات المرور. هذا هو مليار مع ب. سيساعد هذا النوع من النقاط حقًا هجوم القاموس على تضييق كلمات مرور WordPress الأكثر استخدامًا.

من الضروري منع المستخدمين الذين يتمتعون بقدرات مستوى المؤلف وما فوق من استخدام كلمات المرور المخترقة لتأمين تسجيل الدخول إلى WordPress الخاص بك. قد تفكر أيضًا في عدم السماح للمستخدمين ذوي المستوى الأدنى باستخدام كلمات المرور المخترقة.

إنه أمر مفهوم تمامًا ويتم تشجيعه على جعل إنشاء حساب عميل جديد أمرًا سهلاً قدر الإمكان. ومع ذلك ، قد لا يعرف عميلك أنه تم العثور على كلمة المرور التي يستخدمها في ملف تفريغ البيانات. ستقدم لعملائك خدمة رائعة من خلال تنبيههم إلى حقيقة أن كلمة المرور التي يستخدمونها قد تم اختراقها. إذا كانوا يستخدمون كلمة المرور هذه في كل مكان ، فيمكنك حفظهم من بعض المشاكل الرئيسية في المستقبل.

تفرض ميزة iThemes Security Pro Refuse Compromised Passwords (كلمات المرور المخترقة) على المستخدمين استخدام كلمات المرور التي لم تظهر في أي خروقات لكلمات المرور تتبعها Have I Been Pwned. قم بتمكين ميزة متطلبات كلمة المرور على الصفحة الرئيسية لإعدادات الأمان ، ثم حدد المستخدمين الذين تريد منعهم من استخدام كلمة مرور تم اختراقها.

6. استخدم المصادقة الثنائية

يعد استخدام المصادقة ذات العاملين أفضل شيء يمكنك القيام به لتأمين تسجيل الدخول إلى WordPress الخاص بك. المصادقة الثنائية هي عملية التحقق من هوية الشخص من خلال طلب طريقتين منفصلتين للتحقق. شاركت Google على مدونتها أن استخدام المصادقة الثنائية يمكن أن يوقف 100٪ من هجمات الروبوت الآلية. أنا حقا أحب تلك الاحتمالات.

توفر ميزة المصادقة الثنائية من iThemes Security Pro قدرًا كبيرًا من المرونة عند تنفيذ 2fa على موقع الويب الخاص بك. يمكنك تمكين عاملين لجميع المستخدمين أو بعضهم ، ويمكنك إجبار المستخدمين رفيعي المستوى على استخدام 2fa عند كل تسجيل دخول.

لراحتك ، يوفر iThemes Security Pro طريقتين مختلفتين للمصادقة الثنائية.

1. تطبيق الهاتف المحمول - طريقة تطبيق الهاتف المحمول هي الطريقة الأكثر أمانًا للمصادقة الثنائية التي يوفرها iThemes Security Pro. تتطلب هذه الطريقة استخدام تطبيق جوال مجاني ثنائي العوامل مثل Authy.
2. البريد الإلكتروني - طريقة البريد الإلكتروني ذات العاملين سترسل رموزًا حساسة للوقت إلى عنوان البريد الإلكتروني للمستخدم.
3. رموز النسخ الاحتياطي - مجموعة من أكواد الاستخدام لمرة واحدة والتي يمكن استخدامها لتسجيل الدخول في حالة فقد الطريقة الأساسية ثنائية العاملين.

7. حظر الروبوتات السيئة باستخدام Google reCAPTCHA v3

تحمي ميزة iThemes Security Pro Google reCAPTCHA في iThemes Security Pro موقعك من الروبوتات السيئة. تحاول هذه الروبوتات اقتحام موقع الويب الخاص بك باستخدام كلمات مرور مخترقة أو نشر بريد عشوائي أو حتى كشط المحتوى الخاص بك. تستخدم reCAPTCHA تقنيات متقدمة لتحليل المخاطر للتمييز بين البشر والروبوتات.

ما يميز reCAPTCHA الإصدار 3 هو أنه يساعدك على اكتشاف حركة مرور الروبوتات المسيئة على موقع الويب الخاص بك دون أي تفاعل من المستخدم. بدلاً من إظهار اختبار CAPTCHA ، يراقب reCAPTCHA v3 الطلبات المختلفة التي يتم إجراؤها على موقعك ويعيد النتيجة لكل طلب. تتراوح النتيجة من 0.0 إلى 1. كلما زادت النتيجة التي قدمتها reCAPTCHA ، زادت الثقة في أن الإنسان قد قام بالطلب. كلما انخفضت هذه النتيجة التي أرجعها reCAPTCHA ، زادت الثقة في أن الروبوت قد قام بالطلب.

لبدء استخدام Google reCAPTCHA v3 ، قم بتمكين الخيار في الصفحة الرئيسية لإعدادات الأمان.

بعد ذلك ، ستحتاج إلى تحديد reCAPTCHA v3 أثناء كتابة نوع reCAPTCHA وإنشاء مفاتيحك من مسؤول Google الخاص بك

يسمح لك iThemes Security Pro بتعيين حد حظر باستخدام نتيجة reCAPTCHA. توصي Google باستخدام 0.5 كإعداد افتراضي. ضع في اعتبارك أنه يمكنك حظر المستخدمين الشرعيين عن غير قصد إذا قمت بتعيين العتبة عالية جدًا.

يمكنك تمكين reCAPTCHA في تسجيل مستخدم WordPress الخاص بك وإعادة تعيين كلمة المرور وتسجيل الدخول والتعليقات. يسمح لك iThemes Security Pro بتشغيل برنامج Google reCAPTCHA النصي على جميع الصفحات لزيادة دقة الروبوت مقابل النتيجة البشرية. يعد تمكين reCAPTCHA v3 طريقة رائعة لتأمين تسجيل الدخول إلى WordPress الخاص بك.

8. قم بتقييد وصول الجهاز إلى لوحة معلومات WP

تتمثل الخطوة الأخيرة لتأمين تسجيل الدخول إلى WordPress في تقييد الوصول إلى لوحة معلومات WordPress الخاصة بك على مجموعة من الأجهزة. تحدد ميزة iThemes Security Pro Trusted Devices الأجهزة التي تستخدمها أنت والمستخدمون الآخرون لتسجيل الدخول إلى موقع WordPress الخاص بك. عندما يقوم المستخدم بتسجيل الدخول على جهاز غير معروف ، يمكن للأجهزة الموثوقة تقييد إمكانياتها على مستوى المسؤول. هذا يعني أن المتسلل كان قادرًا على تجاوز طرق أمان تسجيل الدخول الأخرى - ليس من المحتمل جدًا - لن يكون لديه القدرة على إجراء أي تغييرات ضارة على موقع الويب الخاص بك.

لبدء استخدام الأجهزة الموثوقة ، قم بتمكينها في الصفحة الرئيسية لإعدادات الأمان ، ثم انقر فوق الزر تكوين الإعدادات .

في إعدادات الأجهزة الموثوقة ، حدد المستخدمين الذين تريد استخدام الميزة ، ثم قم بتمكين ميزات تقييد القدرات والحماية من اختطاف الجلسات .

بعد تمكين إعداد الأجهزة الموثوقة الجديد ، سيتلقى المستخدمون إشعارًا في شريط مسؤول WordPress حول الأجهزة المعلقة غير المعروفة. إذا لم تتم إضافة جهازك الحالي إلى قائمة الأجهزة الموثوقة ، فانقر فوق رابط تأكيد هذا الجهاز لإرسال بريد إلكتروني للترخيص .

انقر فوق زر تأكيد الجهاز في البريد الإلكتروني لتسجيل الدخول غير معروف لإضافة أجهزتك الحالية إلى قائمة الأجهزة الموثوقة.

تغليف

إن إمكانية الوصول إلى صفحة تسجيل الدخول إلى WordPress تجعلها الجزء الأكثر هجومًا - ومن المحتمل أن يكون عرضة للخطر - من أي موقع WordPress. ومع ذلك ، إذا كنت تستخدم iThemes Security Pro ، فيمكنك الراحة بسهولة.

تأكد من أنك تستخدم أدوات 8 iThemes Security Pro لتأمين تسجيل الدخول إلى WordPress الذي تمت مشاركته في هذا المنشور.

• 1. الحد من محاولات تسجيل الدخول
• 2. الحد من محاولات المصادقة الخارجية لكل طلب
• 3. شبكة حماية القوة الغاشمة
• 4. فرض كلمات مرور قوية
• 5. كلمات المرور المخترقة المرفوضة
• 6. استخدم المصادقة الثنائية
• 7. حظر الروبوتات السيئة باستخدام Google reCAPTCHA v3
• 8. قم بتقييد وصول الجهاز إلى لوحة معلومات WP

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.