تسليط الضوء على ميزة iThemes Security Pro - تعديلات WordPress

نشرت: 2021-06-23

في منشورات Feature Spotlight ، سنسلط الضوء على ميزة في المكون الإضافي iThemes Security Pro ونشارك قليلاً حول سبب تطويرنا لهذه الميزة ، ومن هي الميزة ، وكيفية استخدام الميزة.

سنقوم اليوم بتغطية WordPress Tweaks ، وهي مجموعة من الأدوات لتأمين موقع WordPress الخاص بك.

لماذا يجب عليك استخدام تعديلات WordPress

تتمثل إحدى المزايا العظيمة لـ WordPress في توافقه مع أدوات وخدمات الطرف الثالث. ومع ذلك ، إذا كنت لا تستفيد من هذه الخدمات ، فلديك نقاط دخول غير ضرورية على موقع الويب الخاص بك والتي من المحتمل أن يستغلها المتسلل.

يوفر WordPress أيضًا وسائل راحة أخرى من شأنها أن تسمح للمهاجم بتضخيم هجوم القوة الغاشمة أو حتى إجراء تغييرات ضارة على الملفات المخزنة على الخادم الخاص بك.

يجب عليك استخدام إعدادات iThemes Security Pro WordPress Tweaks لأنها مجموعة من الأدوات المصممة خصيصًا لتقوية بعض النقاط اللينة المحتملة في WordPress.

كيفية استخدام تعديلات WordPress في iThemes Security Pro

لبدء استخدام WordPress Tweaks ، انقر فوق الارتباط Advanced في قائمة الأمان.

بمجرد أن تكون في القائمة المتقدمة. انقر فوق علامة التبويب WordPress Tweaks .

إعدادات تعديل WordPress

تنقسم تعديلات WordPress إلى قسمين ، الوصول إلى واجهة برمجة التطبيقات والمستخدمين. دعونا نلقي نظرة فاحصة على هذه الإعدادات.

الوصول إلى API

1. XML-RPC

يؤدي إعداد تعطيل محرر الملفات إلى تعطيل محرر ملفات WordPress للمكونات الإضافية والسمات. يضيف تعطيل محرر ملفات WordPress قدرًا كبيرًا من الأمان إلى موقع الويب الخاص بك.

إذا تمكن المتسلل من اختراق موقع الويب الخاص بك بنجاح ، فسيسمح محرر ملفات WP بإجراء تغييرات ضارة على الملفات المخزنة على الخادم الخاص بك. ومع ذلك ، إذا قمت بتعطيل محرر ملف WP ، فسيظل المخترق بحاجة إلى بيانات اعتماد الخادم لإجراء تغييرات ضارة على المكونات الإضافية والسمات الخاصة بك.

تسمح ميزة XML-RPC في WordPress للخدمات الخارجية بالوصول إلى المحتوى وتعديله على الموقع. على سبيل المثال ، يتطلب Jetpack XML-RPC للاتصال بمواقع WordPress وتعديل المحتوى.

يحتوي إعداد XML-RPC في iThemes Security Pro على 3 خيارات:

تعطيل XML-RPC - تم تعطيل XML-RPC على الموقع. يوصى بهذا الإعداد بشدة إذا لم يتم استخدام Jetpack وتطبيق WordPress للجوال ونقاط الاتصال وغيرها من الخدمات التي تستخدم XML-RPC.
تعطيل Pingbacks - فقط تعطيل pingbacks. ستعمل ميزات XML-RPC الأخرى كالمعتاد. حدد هذا الإعداد إذا كنت تحتاج إلى ميزات مثل Jetpack أو تطبيق WordPress Mobile.
تمكين XML-RPC - تم تمكين XML-RPC بالكامل وسيعمل كالمعتاد. استخدم هذا الإعداد فقط إذا كان يجب أن يحتوي الموقع على استخدام غير مقيد لـ XML-RPC.

نوصي باستخدام الخيار Disable XML-RPC إذا كنت لا تستخدم أي خدمات تستخدم XML-RPC.

2. محاولات مصادقة متعددة لكل طلب XML-RPC

هناك طرق أخرى لتسجيل الدخول إلى WordPress إلى جانب استخدام نموذج تسجيل الدخول. باستخدام XML-RPC ، يمكن للمهاجم إجراء المئات من محاولات اسم المستخدم وكلمة المرور في طلب HTTP واحد.

تسمح طريقة تضخيم القوة الغاشمة للمهاجمين بإجراء الآلاف من محاولات اسم المستخدم وكلمة المرور باستخدام XML-RPC في عدد قليل من طلبات HTTP.

يحتوي إعداد محاولات المصادقة المتعددة لكل طلب XML-RPC في iThemes Security Pro على خيارين:

الحظر - يحظر طلبات XML-RPC التي تحتوي على محاولات تسجيل دخول متعددة. يوصى بشدة بهذا الإعداد.
سماح - يسمح بطلبات XML-RPC التي تحتوي على محاولات تسجيل دخول متعددة. استخدم هذا الإعداد فقط إذا كانت الخدمة تتطلب ذلك.

سيؤدي استخدام "محاولات مصادقة متعددة" لكل خيار " كتلة طلب XML-RPC" إلى منع محاولات المصادقة المتعددة لكل طلب XML-RPC. سيؤدي تحديد عدد محاولات اسم المستخدم وكلمة المرور إلى محاولة واحدة لكل طلب إلى قطع شوط طويل في تأمين تسجيل الدخول إلى WordPress الخاص بك.

3. REST API

تعد واجهة WordPress REST API جزءًا من WordPress وتوفر للمطورين طرقًا جديدة لإدارة WordPress.

بشكل افتراضي ، يمكن استخدام واجهة برمجة تطبيقات REST للوصول إلى المعلومات التي قد تعتقد أنها خاصة على موقعك ، بما في ذلك:

المشاركات المنشورة من جميع أنواع المنشورات ، بما في ذلك تلك التي لا تبدو كمنشورات ، مثل المنتجات أو برامج الأعضاء.
تفاصيل المستخدم التي قد تتضمن مستخدمين ليس لديهم أي منشورات أو صفحات منشورة.
إدخالات مكتبة الوسائط التي قد تعرض روابط لتنزيل الوسائط غير المرتبطة بشكل عام في أي مكان. قد يشمل ذلك روابط لتنزيل محتوى خاص بالأعضاء فقط أو نسخ احتياطية تم إنشاؤها بواسطة بعض المكونات الإضافية أو أي نوع آخر من الملفات المضافة إلى مكتبة الوسائط. (لاحظ أن النسخ الاحتياطية BackupBuddy لا يتم تخزينها في مكتبة الوسائط ولا يمكن الوصول إليها عبر REST API.)

يحتوي إعداد REST API في iThemes Security Pro على خيارين:

وصول مقيد - تقييد الوصول إلى معظم بيانات واجهة برمجة تطبيقات REST. هذا يعني أن معظم الطلبات ستتطلب مستخدمًا قام بتسجيل الدخول أو مستخدمًا له امتيازات محددة ، مما يحظر الطلبات العامة للبيانات التي يُحتمل أن تكون خاصة. نوصي بتحديد هذا الخيار.
الوصول الافتراضي - يتم ترك الوصول إلى بيانات REST API كإعداد افتراضي. المعلومات بما في ذلك المنشورات المنشورة وتفاصيل المستخدم وإدخالات مكتبة الوسائط متاحة للجمهور.

نوصي باستخدام خيار الوصول المقيد لتقييد الوصول إلى المعلومات الخاصة.

المستخدمون

1. تعطيل محرر الملفات

2. فرض لقب فريد

يجبر إعداد Force Unique Nickname المستخدمين على اختيار اسم مستعار فريد عند تحديث ملف التعريف الخاص بهم أو إنشاء حساب جديد. إن استخدام اسم مستعار فريد يمنع الروبوتات والمهاجمين من حصد أسماء المستخدمين لتسجيل الدخول بسهولة من التعليمات البرمجية الموجودة في صفحات المؤلف. لاحظ أن هذا لا يقوم تلقائيًا بتحديث المستخدمين الحاليين لأنه سيؤثر على عناوين URL لخلاصة المؤلف إذا تم استخدامه.

إن إجبار المستخدمين على استخدام اسم مستعار فريد هو مثال آخر على الأمان من خلال الغموض. سيكون من الأفضل لك تمكين متطلبات كلمة مرور iThemes Security Pro وميزات المصادقة الثنائية لتأمين تسجيل الدخول إلى WordPress الخاص بك.

3. تعطيل أرشيفات المستخدم الإضافية

يجعل إعداد Disable Extra User Archives في iThemes Security Pro من الصعب على الروبوتات تحديد أسماء المستخدمين عن طريق تعطيل أرشيفات النشر للمستخدمين الذين لا ينشرون على موقعك.

يعد تعطيل صفحة مؤلف المستخدم إذا كان عدد مشاركاته 0 مثالاً آخر على الأمان من خلال الغموض. سيكون من الأفضل تمكين متطلبات كلمة مرور iThemes Security Pro وميزات المصادقة الثنائية لتأمين تسجيل الدخول إلى WordPress الخاص بك.

4. تسجيل الدخول باستخدام عنوان البريد الإلكتروني أو اسم المستخدم

بشكل افتراضي ، يتيح WordPress للمستخدمين تسجيل الدخول باستخدام إما عنوان بريد إلكتروني أو اسم مستخدم. يسمح لك إعداد تسجيل الدخول باستخدام عنوان البريد الإلكتروني أو اسم المستخدم بتقييد عمليات تسجيل الدخول لقبول عناوين البريد الإلكتروني أو أسماء المستخدمين فقط.

يتضمن إعداد تسجيل الدخول باستخدام عنوان البريد الإلكتروني أو اسم المستخدم في iThemes Security Pro ثلاثة خيارات:

عنوان البريد الإلكتروني واسم المستخدم (افتراضي) - للسماح للمستخدمين بتسجيل الدخول باستخدام عنوان البريد الإلكتروني أو اسم المستخدم الخاص بهم. هذا هو سلوك WordPress الافتراضي.
عنوان البريد الإلكتروني فقط - يمكن للمستخدمين تسجيل الدخول فقط باستخدام عنوان البريد الإلكتروني الخاص بهم. هذا يعطل تسجيل الدخول باستخدام اسم مستخدم.
اسم المستخدم فقط - يمكن للمستخدمين تسجيل الدخول فقط باستخدام اسم المستخدم الخاص بهم. هذا يعطل تسجيل الدخول باستخدام عنوان بريد إلكتروني.

قد يؤدي تقييد عمليات تسجيل الدخول إلى عناوين البريد الإلكتروني إلى إضافة القليل من الحماية ضد هجوم القوة الغاشمة. على الرغم من أن الروبوت يمكنه كشط صفحة المؤلف بحثًا عن أسماء المستخدمين ، إلا أنه من غير المرجح أن يتخلص من موقع ويب لعناوين البريد الإلكتروني للمستخدمين.

ولكن مرة أخرى ، سيكون من الأفضل لك تمكين متطلبات كلمة مرور iThemes Security Pro وميزات المصادقة الثنائية لتأمين تسجيل الدخول إلى WordPress الخاص بك.

الختام: تعديلات WordPress لتقوية أمان WordPress

تم تصميم WordPress Tweaks في iThemes Security Pro خصيصًا لتعزيز أمان موقع WordPress الخاص بك. باستخدام المكون الإضافي iThemes Security Pro ، يمكنك أيضًا إضافة طبقات الأمان الإضافية هذه إلى موقع الويب الخاص بك ، بما في ذلك:

توثيق ذو عاملين
تسجيلات الدخول بدون كلمة مرور
كشف تغيير الملف
حماية القوة الغاشمة المحلية

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.