تسليط الضوء على ميزة iThemes Security Pro - حماية القوة الغاشمة والمستخدمين المحظورين

في منشورات Feature Spotlight ، نسلط الضوء على ميزة في iThemes Security Pro ونشارك قليلاً حول سبب تطويرنا لهذه الميزة ، ومن هي الميزة ، وكيفية استخدام الميزة.

سنقوم اليوم بتغطية حماية القوة الغاشمة المحلية والمستخدمين المحظورين ، وهما ميزتان رائعتان في المكون الإضافي iThemes Security Pro.

3 أسباب تجعلك تحتاج إلى حماية قوية مع المستخدمين المحظورين لتأمين موقع WordPress الخاص بك

تسجيل الدخول إلى WordPress هو الجزء الأكثر هجومًا من أي موقع ويب WordPress. هناك ثلاثة أسباب رئيسية تجعل تسجيل الدخول إلى WP هدفًا شائعًا للمهاجمين:

1. عنوان URL لتسجيل الدخول إلى WordPress هو نفسه لكل موقع WordPress . يعرف أي شخص لديه خبرة في العمل مع WordPress أن عنوان URL الافتراضي لتسجيل الدخول لـ WordPress موجود في صفحة /wp-login.php . ضع في اعتبارك أنه حتى إذا كنت تستخدم مكونًا إضافيًا لتغيير عنوان URL الخاص بالمكان الذي تحتفظ فيه بنموذج تسجيل الدخول الخاص بك ، فلن يغير ذلك كيفية تسجيل الدخول باستخدام سطر الأوامر. ستستخدم معظم الهجمات على تسجيل الدخول إلى WordPress محطة طرفية وليس متصفح ويب.
2. لا يحد WordPress من عدد محاولات تسجيل الدخول غير الصالحة . بشكل افتراضي ، لا يوجد أي شيء مضمّن في WordPress للحد من عدد محاولات تسجيل الدخول الفاشلة التي يمكن لشخص ما القيام بها. بدون حد لعدد محاولات تسجيل الدخول الفاشلة التي يمكن للمهاجم القيام بها ، يمكنهم الاستمرار في تجربة عدد لا نهائي من أسماء المستخدمين وكلمات المرور حتى تنجح.
3. هجمات القوة الغاشمة لا تتطلب مهارة . تشير هجمات القوة الغاشمة إلى طريقة التجربة والخطأ المستخدمة لاكتشاف مجموعات اسم المستخدم وكلمة المرور لاختراق موقع ويب. يمكن لأي مخترق على مستوى المبتدئين إنشاء روبوت يبحث في الإنترنت عن صفحات تسجيل الدخول إلى WordPress. أو يمكنك فقط استخدام واحد من العديد من تطبيقات القوة الغاشمة مفتوحة المصدر التي تم إنشاؤها بالفعل.

لهذه الأسباب الثلاثة ، تحتاج إلى حماية من القوة الغاشمة والقدرة على حظر المستخدمين لتأمين موقع WordPress الخاص بك.

ما هي الحماية من القوة الغاشمة والمستخدمين المحظورين؟

تسجيل الدخول إلى WordPress يشبه إلى حد كبير الباب الأمامي لمنزلك. بدون قفل الباب الأمامي الخاص بك ، سيكون من السهل على أي شخص المشي مباشرة إلى منزلك ، والبدء في تحريك أثاثك ، وتحطيم أغراضك ، وسرقة تلفزيونك. من المنطقي فقط إضافة قفل إلى الباب الأمامي الخاص بك لجعل من الصعب على اللص المحتمل اقتحام منزلك.

كما ذكرنا سابقًا ، لا يحد WordPress من عدد محاولات تسجيل الدخول غير الصالحة التي يمكن لشخص ما القيام بها. هذا يعني أن الروبوت يمكن أن يقضي كل الأبدية في تخمين مجموعات عشوائية من أسماء المستخدمين وكلمات المرور حتى يقوموا في النهاية بإجبارهم على الوصول إلى الواجهة الخلفية لموقع الويب الخاص بك.

يقوم المكون الإضافي iThemes Security Pro بإنشاء "قفل" يمكنك إضافته إلى تسجيل الدخول إلى WordPress الخاص بك. تم تصميم هذا القفل لمنع المهاجمين المحتملين من الدخول مباشرة إلى الواجهة الخلفية لموقع الويب الخاص بك ، أو تغيير صفحاتك ، أو سرقة معلومات العميل ، أو السيطرة على موقع الويب الخاص بك.

تعمل إعدادات iThemes Security Pro Local / Network Brute Force والمستخدمين المحظورين جنبًا إلى جنب لتأمين وحماية الجزء الأكثر تعرضًا للهجوم من موقع الويب الخاص بك ، تسجيل الدخول إلى WordPress.

2 أنواع الحماية من القوة الغاشمة في iThemes Security Pro

هناك نوعان من حماية القوة الغاشمة في iThemes Security Pro. تحتاج كلاهما لجدار حماية مزدوج لموقعك:

• حماية القوة الغاشمة المحلية - تبدو حماية القوة الغاشمة المحلية في محاولات الوصول إلى موقع الويب الخاص بك وحظر المستخدمين المشبوهة.
• شبكة الغاشمة قوة الحماية - شبكة حماية القوة الغاشمة يسمح لك للانضمام الى المجتمع وهي أكثر من مليون المواقع قوية. إذا تم تحديد عنوان IP على أنه يحاول اقتحام مواقع الويب في مجتمع iThemes Security ، فسيتم إضافة عنوان IP إلى قائمة Network Bruce Force المحظورة.

1. حماية القوة الغاشمة المحلية

يقوم iThemes Security بمراقبة محاولات تسجيل الدخول غير الصالحة التي تتم إلى موقع الويب الخاص بك لمراقبة هجمات القوة الغاشمة المحتملة. Local Brute Force Protection هي النوع الأول من حماية القوة الغاشمة التي تحافظ على مسارات محاولات تسجيل الدخول غير الصالحة التي يقوم بها مضيف أو عنوان IP واسم مستخدم.

بمجرد قيام IP أو اسم المستخدم بإجراء العديد من محاولات تسجيل الدخول غير الصالحة المتتالية ، سيتم حظرهم وسيتم منعهم من إجراء أي محاولات أخرى لفترة زمنية محددة.

2. شبكة حماية القوة الغاشمة

تأخذ حماية القوة الغاشمة للشبكة هذه خطوة إلى الأمام. الشبكة هي مجتمع iThemes Security وتضم أكثر من مليون موقع ويب قوي. إذا تم تحديد عنوان IP على أنه يحاول اقتحام مواقع الويب في مجتمع iThemes Security ، فسيتم إضافة عنوان IP إلى قائمة Network Bruce Force المحظورة.

بمجرد أن يكون عنوان IP في قائمة Network Brute Force المحظورة ، يتم حظر عنوان IP على جميع مواقع الويب في الشبكة. لذلك ، إذا هاجم عنوان IP موقع الويب الخاص بي وتم حظره ، فسيتم إبلاغ iThemes Security Brute Force Network. يمكن أن يساعد تقريري في حظر عنوان IP على الشبكة بالكامل. أحب أنه يمكنني المساعدة في تأمين تسجيل دخول الآخرين إلى WordPress فقط من خلال تمكين حماية شبكة أمان iThemes.

قم بتنشيط شبكة iThemes Brute Force Protection Network للانضمام إلى مليون موقع ويب آخر لتتحد ضد عناوين IP الضارة التي تهاجم مواقع WordPress حول العالم. أنت تقوم بدورك ليس فقط لتأمين موقع الويب الخاص بك ولكن أيضًا المساعدة في حماية مواقع الويب الخاصة بالأشخاص الآخرين.

كيف يعمل المستخدمون المحظورون مع حماية القوة الغاشمة

تحافظ ميزة المستخدمين المحظورين في iThemes Security Pro على مسارات تأمين IP. بمجرد أن يصبح عنوان IP مجرمًا متكررًا ، سيضيف iThemes Security Pro عنوان IP إلى قائمة المضيفين المحظورين ويمنع IP من القدرة حتى على عرض موقع الويب الخاص بك ، ناهيك عن محاولة تسجيل الدخول.

من المهم أن تتذكر أنه لا توجد طريقة لمنع حدوث هجوم على موقع الويب الخاص بك ؛ الشيء المهم هو منع هذه الهجمات من النجاح.

كيفية استخدام حماية القوة الغاشمة المحلية / الشبكة والمستخدمين المحظورين في iThemes Security Pro

أولاً ، احصل على iThemes Security Pro. قم بتثبيت وتنشيط المكون الإضافي على موقع WordPress الخاص بك باستخدام طرق تنشيط البرنامج المساعد WordPress العادية.

لبدء استخدام ميزات الحماية من القوة الغاشمة للشبكة والمحلية والمستخدمين المحظورين ، انتقل إلى قائمة ميزات إعدادات الأمان وقم بتمكينها.

إعدادات حماية القوة الغاشمة المحلية

لندع عجلة مسننة الغاشمة المحلية قوة الحماية لنلقي نظرة على الإعدادات.

• حظر مستخدم "المسؤول" تلقائيًا - عند التمكين ، يتلقى أي شخص يستخدم اسم مستخدم المسؤول عند تسجيل الدخول قفلًا تلقائيًا.
• الحد الأقصى لعدد محاولات تسجيل الدخول لكل مضيف - عدد محاولات تسجيل الدخول غير الصحيحة المسموح بها لعنوان IP قبل أن يتم قفله.
• الحد الأقصى لعدد محاولات تسجيل الدخول لكل مستخدم - هذا هو عدد محاولات تسجيل الدخول غير الصالحة التي يُسمح بها لاسم المستخدم قبل أن يتم قفله.
• دقائق لتذكر تسجيل الدخول السيئ - هذه هي المدة التي يجب أن تحتسب فيها محاولة تسجيل الدخول غير الصالحة ضد عنوان IP أو اسم مستخدم للإغلاق.

هناك بعض الأشياء التي تريد وضعها في الاعتبار عند تكوين إعدادات التأمين. ستحتاج إلى نقل محاولات تسجيل دخول غير صالحة للمستخدمين أكثر مما تقدمه لعناوين IP. لنفترض أن موقع الويب الخاص بك يتعرض لهجوم عنيف وأن المهاجم يستخدم اسم المستخدم الخاص بك. الهدف هو قفل عنوان IP الخاص بالمهاجم وليس اسم المستخدم الخاص بك ، لذلك ستظل قادرًا على تسجيل الدخول وإنجاز العمل ، حتى عندما يتعرض موقع الويب الخاص بك للهجوم.

لا تريد أيضًا أن تجعل هذه الإعدادات شديدة الصرامة عن طريق تعيين عدد محاولات تسجيل الدخول غير الصالحة منخفضًا جدًا ووقت تذكر المحاولات غير الصالحة لفترة طويلة جدًا. إذا قمت بتخفيض عدد محاولات تسجيل الدخول غير الصالحة للمضيفين / عناوين IP إلى 1 وقمت بتعيين الدقائق لتذكر محاولة تسجيل دخول خاطئة لمدة شهر ، فأنت تزيد بشكل كبير من احتمال حظر المستخدمين الشرعيين عن غير قصد.

إعدادات حماية القوة الغاشمة للشبكة

لندع عجلة مسننة شبكة الغاشمة قوة الحماية لنلقي نظرة على الإعدادات.

للحصول على مفتاح ترخيص Brute Force Network الخاص بك ، أدخل عنوان بريدك الإلكتروني ، واختر ما إذا كنت تريد تلقي تحديثات البريد الإلكتروني أم لا ، ثم انقر فوق الزر حفظ .

بعد حفظ الإعدادات ، سترى خيارين جديدين.

• عناوين IP التي تم الإبلاغ عنها بالحظر - الحظر التلقائي لعناوين IP التي تم الإبلاغ عنها كمشكلة بواسطة الشبكة.
• إعادة تعيين مفتاح واجهة برمجة التطبيقات - ستؤدي إعادة تعيين مفتاح واجهة برمجة التطبيقات إلى إلغاء تنشيط ترخيص Network Brute Force الخاص بك.

إعدادات المستخدمين المحظورين

الآن دعنا المستخدمين المحظورين المسنن لإلقاء نظرة على الإعدادات.

• قائمة الحظر الافتراضية - عند التمكين ، سيستخدم iThemes Security قائمة الحظر الخاصة بـ hackrepair.com لحظر الجهات الفاعلة السيئة المعروفة من موقع الويب الخاص بك.
• الحد من عناوين IP المحظورة في ملفات تكوين الخادم - سيساعد تحديد عدد عناوين IP المحظورة بواسطة ملفات تكوين الخادم (.htaccess و nginx.conf) في تقليل مخاطر انتهاء مهلة الخادم عند تحديث ملف التكوين.
• حظر وكلاء المستخدم - لن يُسمح لوكلاء المستخدم في هذه القائمة بالوصول إلى موقع الويب الخاص بك.

يمكنك عرض قوائم المضيف المحظور وإضافة عناوين IP يدويًا إلى القائمة المحظورة في لوحة معلومات الأمان من بطاقة المستخدمين المحظورين.

لماذا أرغب في تحديد عدد عناوين IP المحظورة في ملف تكوين الخادم الخاص بي؟

سيساعد الحد من عدد عناوين IP المحظورة بواسطة "ملفات تكوين الخادم" (.htaccess و nginx.conf) في تقليل مخاطر انتهاء المهلة عندما يقوم الخادم بتحديث هذه الملفات.

في كل مرة يتم فيها تحديث ملف ، سيعيد الخادم كتابة الملف بالكامل. هذا يعني أنه إذا كان لديك ملف .htaccess يحتوي على 200 عنوان IP محظور ولديك عنوان IP جديد مضاف إلى قائمتك المحظورة ، فسيتعين على الخادم إعادة كتابة جميع عناوين IP البالغ عددها 201. إذا كان لديك أي قواعد خادم أخرى مكتوبة على htaccess الخاص بك ، فيجب إعادة كتابة هذه القواعد مع 201 حظر.

كلما زاد حجم ملفات .htaccess أو nginx.conf ، زادت فرصة انتهاء مهلة الخادم عند تحديثها. هذا صحيح بشكل خاص عندما يتعرض موقع الويب الخاص بك للهجوم ، ويجب على خادمك تحديث ملف تكوين الخادم الخاص بك عدة مرات لمواكبة جميع عناوين IP الجديدة.

ماذا يحدث إذا كان لدي عدد من عناوين IP المحظورة أكثر مما هو مسموح به في ملف تكوين الخادم؟

إذا تجاوز عدد عناوين IP في القائمة المحظورة حد ملف تكوين الخادم ، فسيتم حظر عناوين IP الإضافية باستخدام PHP.

هناك شيء واحد يجب مراعاته عند تعيين خيار Limit Banned IPs in Server Configuration Files وهو أن حظر عناوين IP على مستوى الخادم يكون أكثر كفاءة من حظر عناوين IP على مستوى التطبيق باستخدام PHP. ومع ذلك ، فإن النتيجة النهائية لكلتا الطريقتين هي نفسها ... يتم حظر الأشرار من الوصول إلى موقع الويب الخاص بك.

ملاحظة واحدة سريعة. لن أقضي الكثير من وقتك في القلق أو مراقبة عمليات الإغلاق أو الحظر التي تحدث على موقع الويب الخاص بك. يقوم iThemes Security Pro بأتمتة كل هذا من أجلك ، بحيث يمكنك قضاء وقتك في الأنشطة التي تدر عليك المال.

احصل على iThemes Security Pro اليوم!

بشكل افتراضي ، لا يوجد أي شيء مضمّن في WordPress للحد من عدد محاولات تسجيل الدخول الفاشلة التي يمكن لشخص ما القيام بها. بدون حد لعدد محاولات تسجيل الدخول الفاشلة التي يمكن للمهاجم القيام بها ، يمكنهم الاستمرار في تجربة عدد لا نهائي من أسماء المستخدمين وكلمات المرور حتى تنجح.

تعمل إعدادات الحماية من القوة الغاشمة للشبكة والمحلية في iThemes Security Pro والمستخدمين المحظورين معًا لتأمين وحماية الجزء الأكثر تعرضًا للهجوم من موقع الويب الخاص بك ، تسجيل الدخول إلى WordPress. احصل على iThemes Security Pro اليوم لتأمين موقعك وحمايته من هجمات القوة الغاشمة.

احصل على iThemes Security Pro الآن

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.