7 نصائح لتأمين مستخدمي WordPress في عام 2021

نشرت: 2021-03-16

أفضل طريقة لتأمين مستخدمي WordPress في عام 2021 هي استخدام كلمة مرور قوية ومصادقة ثنائية. هذا يبدو واضحًا جدًا ، أليس كذلك؟ الحقيقة هي أن أمان مستخدم WordPress أكثر دقة قليلاً.

عندما نتحدث عن أمان المستخدم ، غالبًا ما نسمع أسئلة مثل ، هل يجب أن يكون لدى كل مستخدم WordPress نفس متطلبات الأمان ، وما مقدار الأمان الذي يمثل الكثير من الأمان؟

لا تقلق. نحن نجيب على كل هذه الأسئلة. لكن أولاً ، دعنا نتحدث عن الأنواع المختلفة لمستخدمي WordPress.

ما هي الأنواع المختلفة لمستخدمي WordPress؟

هناك 5 مستخدمين افتراضيين مختلفين لـ WordPress.

  1. مدير
  2. محرر
  3. مؤلف
  4. مساهم
  5. مشترك
ملاحظة: يوجد مستخدم سادس في مواقع ووردبريس المتعددة. يمتلك المسؤول المتميز حق الوصول الكامل إلى ميزات إدارة شبكة الموقع وجميع الميزات الأخرى. يمكنهم إنشاء مواقع جديدة وإزالتها على الشبكة بالإضافة إلى إدارة مستخدمي الشبكة والمكونات الإضافية والسمات.

لكل مستخدم قدرات مختلفة. تحدد القدرات ما يمكنهم فعله بمجرد وصولهم إلى لوحة القيادة. اقرأ المزيد عن أدوار مستخدم WordPress وأذوناته.

الضرر المحتمل لمستخدمي WP المخترقين المختلفين

قبل أن نتمكن من فهم كيفية تأمين مستخدمي WordPress لدينا ، يجب أن نفهم أولاً مستوى التهديد لكل نوع من المستخدمين المعرضين للخطر. يختلف نوع ومستوى الضرر الذي يمكن أن يلحقه المهاجم بشكل كبير تبعًا لأدوار وقدرات المستخدم الذي يقوم باختراقه.

المسؤول - مستوى التهديد مرتفع

يتمتع المستخدمون المسؤولون بالقدرات على ما يريدون.

  • إنشاء وإزالة وتعديل المستخدمين.
  • تثبيت وإزالة وتحرير المكونات الإضافية والسمات.
  • إنشاء وإزالة وتحرير جميع الوظائف والصفحات.
  • نشر وإلغاء نشر المشاركات والصفحات.
  • إضافة وإزالة الوسائط.

إذا تمكن أحد المتطفلين من وضع أيديهم على أحد مسؤولي موقعك ، فيمكنهم حجز موقع الويب الخاص بك للحصول على فدية. يشير برنامج الفدية (Ransomware ) إلى وقت استيلاء أحد المتطفلين على موقع الويب الخاص بك وعدم إعادته إليك إلا إذا دفعت رسومًا باهظة.

إذا تمكن أحد المتطفلين من وضع أيديهم على أحد مسؤولي موقعك ، فيمكنهم حجز موقع الويب الخاص بك للحصول على فدية. يشير Ransomware إلى وقت استيلاء أحد المتطفلين على موقع الويب الخاص بك وعدم إعادته إليك إلا إذا دفعت رسومًا باهظة لهم.

متوسط ​​وقت تعطل هجوم رانسوم وير هو 9.5 أيام. ما مقدار الإيرادات التي ستكلفك 10 أيام من عدم وجود مبيعات؟

المحرر - مستوى التهديد مرتفع

يدير المحرر كل محتوى الموقع. لا يزال هؤلاء المستخدمون يتمتعون بقدر كبير من القوة.

  • إنشاء وحذف وتحرير جميع المنشورات والصفحات.
  • نشر وإلغاء نشر جميع المنشورات والصفحات.
  • تحميل ملفات الوسائط.
  • إدارة جميع الروابط.
  • إدارة التعليقات.
  • إدارة الفئات.

إذا استولى أحد المهاجمين على حساب محرر ، فيمكنه تعديل إحدى صفحاتك لاستخدامها في هجوم تصيد احتيالي. التصيد الاحتيالي هو نوع من الهجوم يستخدم لسرقة بيانات المستخدم ، بما في ذلك بيانات اعتماد تسجيل الدخول وأرقام بطاقات الائتمان.

يعد التصيد الاحتيالي أحد أكثر الطرق ضمانًا لإدراج موقع الويب الخاص بك في القائمة السوداء من قِبل Google. كل يوم ، يتم إدراج 10000 موقع على قائمة الحظر الخاصة بـ Google لأسباب مختلفة.

ملاحظة: يقوم iThemes Security Site Scan بإجراء فحوصات يومية على حالة قائمة حظر Google الخاصة بموقعك على الويب.

المؤلف - مستوى التهديد متوسط

تم تصميم المؤلف لإنشاء وإدارة المحتوى الخاص بهم.

  • إنشاء وحذف وتحرير منشوراتهم وصفحاتهم.
  • نشر وإلغاء نشر مشاركاتهم الخاصة.
  • تحميل ملفات الوسائط

إذا تمكن المهاجم من التحكم في حساب المؤلف ، فيمكنه إنشاء صفحات ومنشورات ترسل زوار موقعك إلى مواقع ويب ضارة.

المساهم والمشترك - مستوى التهديد منخفض

المساهم هو الإصدار البسيط من دور المستخدم المؤلف. ليس لديهم قوة نشر.

  • إنشاء وتحرير مشاركاتهم الخاصة.
  • حذف مشاركاتهم غير المنشورة.

يمكن للمشترك قراءة الأشياء التي ينشرها المستخدمون الآخرون.

بينما لا يستطيع المتسللون الذين لهم دور مساهم أو مشترك إجراء أي تغييرات ضارة ، يمكنهم سرقة أي معلومات حساسة مخزنة في حساب المستخدم أو صفحة الملف الشخصي.

7 نصائح لتأمين مستخدمي WordPress الخاصين بك

حسنًا ، هذه بعض الأشياء السيئة جدًا التي يمكن للقراصنة القيام بها على مواقعنا الإلكترونية. الخبر السار هو أنه يمكن منع معظم الهجمات على حسابات مستخدمي WordPress الخاصة بك ببذل القليل من الجهد من جانبك.

دعنا نلقي نظرة على الأشياء التي يمكنك القيام بها لتأمين مستخدمي WordPress الخاصين بك. الحقيقة هي أن طرق الأمان هذه ستساعد في تأمين كل نوع من مستخدمي WordPress. ولكن ، أثناء استعراضنا لكل طريقة من الطرق ، سنخبرك بالمستخدمين الذين يجب أن تطلب منهم استخدام الطريقة.

1. فقط امنح الناس القدرات التي يحتاجونها

أسهل طريقة لحماية موقع الويب الخاص بك هي فقط منح المستخدمين القدرات التي يحتاجون إليها وليس أي شيء آخر. إذا كان الشيء الوحيد الذي سيفعله شخص ما على موقع الويب الخاص بك هو إنشاء وتعديل منشورات المدونة الخاصة به ، فلن يحتاجوا إلى القدرة على تحرير منشورات الآخرين.

2. الحد من محاولات تسجيل الدخول

تشير هجمات القوة الغاشمة إلى طريقة التجربة والخطأ المستخدمة لاكتشاف مجموعات اسم المستخدم وكلمة المرور لاختراق موقع ويب. بشكل افتراضي ، لا يوجد أي شيء مضمّن في WordPress للحد من عدد محاولات تسجيل الدخول الفاشلة التي يمكن لشخص ما القيام بها.

بدون حد لعدد محاولات تسجيل الدخول الفاشلة ، يمكن للمهاجم القيام بذلك ، ويمكنه الاستمرار في تجربة عدد لا نهائي من أسماء المستخدمين وكلمات المرور حتى تنجح.

تحتفظ ميزة الحماية من القوة الغاشمة المحلية في iThemes Security Pro بتتبع محاولات تسجيل الدخول غير الصالحة التي تتم بواسطة عناوين IP وأسماء المستخدمين. بمجرد قيام IP أو اسم المستخدم بإجراء العديد من محاولات تسجيل الدخول غير الصالحة المتتالية ، سيتم حظرهم وسيتم منعهم من إجراء أي محاولات تسجيل دخول أخرى.

3. تأمين مستخدمي WordPress بكلمات مرور قوية

كلما كانت كلمة مرور حساب مستخدم WordPress أقوى ، كان من الصعب تخمينها. يستغرق الأمر 0.29 مللي ثانية لكسر كلمة مرور مكونة من سبعة أحرف. لكن المتسلل يحتاج إلى قرنين من الزمان لاختراق كلمة مرور مكونة من اثني عشر حرفًا!

من الناحية المثالية ، كلمة المرور القوية عبارة عن سلسلة أبجدية رقمية طويلة مكونة من اثني عشر حرفًا. يجب أن تحتوي كلمة المرور على أحرف كبيرة وصغيرة بالإضافة إلى أحرف ASCII الأخرى.

بينما يمكن للجميع الاستفادة من استخدام كلمة مرور قوية ، قد ترغب فقط في إجبار الأشخاص الذين لديهم إمكانات مستوى المؤلف وما فوق على امتلاك كلمات مرور قوية.

تتيح لك ميزة متطلبات كلمات مرور iThemes Security Pro إجبار مستخدمين محددين على استخدام كلمة مرور قوية.

4. رفض كلمات المرور المخترقة

على الرغم من أن 91٪ من الأشخاص يعرفون أن إعادة استخدام كلمات المرور ممارسة سيئة ، إلا أن 59٪ من الأشخاص لا يزالون يعيدون استخدام كلمات المرور الخاصة بهم في كل مكان! لا يزال العديد من هؤلاء الأشخاص يستخدمون كلمات مرور يعرفون أنها ظهرت في ملف تفريغ قاعدة البيانات.

يستخدم المتسللون شكلاً من أشكال القوة الغاشمة المهاجمة يسمى هجوم القاموس. هجوم القاموس هو طريقة لاقتحام موقع WordPress باستخدام كلمات مرور شائعة الاستخدام ظهرت في مقالب قاعدة البيانات. "المجموعة رقم 1؟ تضمنت عملية اختراق البيانات التي تمت استضافتها على MEGA 1160253228 مجموعة فريدة من عناوين البريد الإلكتروني وكلمات المرور. هذا هو مليار مع أ ب. سيساعد هذا النوع من النقاط حقًا هجوم القاموس على تضييق كلمات مرور WordPress الأكثر استخدامًا.

من الضروري منع المستخدمين الذين يتمتعون بقدرات مستوى المؤلف وما فوق من استخدام كلمات المرور المخترقة. قد تفكر أيضًا في عدم السماح للمستخدمين ذوي المستوى الأدنى باستخدام كلمات المرور المخترقة.

إنه أمر مفهوم تمامًا ويتم تشجيعه على جعل إنشاء حساب عميل جديد أمرًا سهلاً قدر الإمكان. ومع ذلك ، قد لا يعرف عميلك أنه تم العثور على كلمة المرور التي يستخدمها في ملف تفريغ البيانات. ستقدم لعملائك خدمة رائعة من خلال تنبيههم إلى حقيقة أن كلمة المرور التي يستخدمونها قد تم اختراقها. إذا كانوا يستخدمون كلمة المرور هذه في كل مكان ، فيمكنك حفظهم من بعض المشاكل الرئيسية في المستقبل.

تفرض ميزة iThemes Security Pro Refuse Compromised Passwords (كلمات المرور المخترقة) على المستخدمين استخدام كلمات المرور التي لم تظهر في أي خروقات لكلمات المرور تتبعها Have I Been Pwned.

5. تأمين مستخدمي WordPress من خلال المصادقة الثنائية

المصادقة الثنائية هي عملية التحقق من هوية الشخص من خلال طلب طريقتين منفصلتين للتحقق. شاركت Google على مدونتها أن استخدام المصادقة الثنائية يمكن أن يوقف 100٪ من هجمات الروبوت الآلية. أنا حقا أحب تلك الاحتمالات.

على الأقل ، يجب أن تطلب من المسؤولين والمحررين استخدام المصادقة ذات العاملين.

توفر ميزة المصادقة الثنائية من iThemes Security Pro قدرًا كبيرًا من المرونة عند تنفيذ 2fa على موقع الويب الخاص بك. يمكنك تمكين عاملين لجميع المستخدمين أو بعضهم ، ويمكنك إجبار المستخدمين رفيعي المستوى على استخدام 2fa عند كل تسجيل دخول.

6. تقييد وصول الجهاز إلى WP Dashboard

يمكن أن يؤدي تقييد الوصول إلى لوحة معلومات WordPress على مجموعة من الأجهزة إلى إضافة طبقة أمان قوية إلى موقع الويب الخاص بك. إذا لم يكن المتسلل على الجهاز الصحيح للمستخدم ، فلن يتمكن من استخدام المستخدم المخترق لإلحاق الضرر بموقعك على الويب.

يجب عليك فقط تقييد وصول الجهاز إلى المسؤولين والمحررين.

تحدد ميزة iThemes Security Pro Trusted Devices الأجهزة التي تستخدمها أنت والمستخدمون الآخرون لتسجيل الدخول إلى موقع WordPress الخاص بك. عندما يقوم المستخدم بتسجيل الدخول على جهاز غير معروف ، يمكن للأجهزة الموثوقة تقييد إمكانياتها على مستوى المسؤول. هذا يعني أنه إذا تمكن المهاجم من اختراق الواجهة الخلفية لموقع WordPress الخاص بك ، فلن يكون لديه القدرة على إجراء أي تغييرات ضارة على موقع الويب الخاص بك.

7. تأمين مستخدمي WordPress من اختطاف الجلسة

يقوم WordPress بإنشاء ملف تعريف ارتباط للجلسة في كل مرة تقوم فيها بتسجيل الدخول إلى موقع الويب الخاص بك. ودعنا نقول أن لديك امتداد متصفح تخلى عنه المطور ولم يعد يصدر تحديثات أمنية. لسوء الحظ ، فإن امتداد المتصفح المهمل به ثغرة أمنية. تسمح الثغرة الأمنية للممثلين السيئين باختطاف ملفات تعريف الارتباط في متصفحك ، بما في ذلك ملف تعريف ارتباط جلسة WordPress المذكور سابقًا. يُعرف هذا النوع من الاختراق باسم اختطاف الجلسة . لذلك ، يمكن للمهاجم استغلال ضعف الامتداد لإلغاء تسجيل الدخول الخاص بك والبدء في إجراء تغييرات ضارة مع مستخدم WordPress الخاص بك.

يجب أن يكون لديك حماية من اختطاف الجلسة للمشرفين والمحررين.

تجعل ميزة iThemes Security Pro Trusted Devices من اختطاف الجلسة شيئًا من الماضي. إذا تغير جهاز المستخدم أثناء الجلسة ، فسيقوم iThemes Security بتسجيل خروج المستخدم تلقائيًا لمنع أي نشاط غير مصرح به على حساب المستخدم ، مثل تغيير عنوان البريد الإلكتروني للمستخدم أو تحميل المكونات الإضافية الضارة.

تغليف

تجعل شعبية WordPress منه هدفًا للمتسللين في جميع أنحاء العالم. كما ناقشنا ، يمكن أن يتسبب المهاجم في حدوث ضرر عن طريق اختراق أدنى مستوى لمستخدم WordPress. الخبر السار هو أنه على الرغم من عدم وجود طريقة لمنع الهجمات على مستخدمي WordPress الخاصين بك ، مع القليل من الجهد من جانبنا ، يمكننا منع الهجمات من النجاح.