4 طرق لتأمين تسجيل الدخول إلى WordPress الخاص بك

لا يحتاج المتسللون إلى التسلل أو التطور للحصول على ما يريدون. في كثير من الأحيان ، يقتحمون الباب الأمامي. يمكن أن يساعدك استخدام الأدوات المناسبة ، ولكن هناك المزيد الذي يمكنك القيام به لحماية موقع الويب الخاص بك وتسجيل الدخول الآمن إلى WordPress .

في هذا التقرير الذي أعده Nathan Finch من Aussie Hosting ، قاموا بمراجعة ومقارنة شركات الاستضافة المختلفة بناءً على أدائها. ووجدوا أن الشركات التي تعاني من مزيد من التعطل لديها أيضًا خوادم سيئة الصيانة مما زاد من مخاطر المخاوف الأمنية.

تم الإبلاغ عن أن Google تدرج في القوائم السوداء حوالي 70000 موقع أسبوعيًا لمشكلات أمان تسجيل الدخول إلى WordPress مثل البرامج الضارة والتصيد الاحتيالي. خط دفاعك الأول ضد التسلل هو حماية تسجيل الدخول إلى WordPress الخاص بك. يبدو هذا النوع من التحكم في الوصول وكأنه لا يحتاج إلى تفكير ، لكنك ستندهش من عدد المرات التي يتم فيها التغاضي عن أبسط الإجراءات الأمنية أو وضعها في الخلف.

بغض النظر عن ميزات الأمان التي تقدمها خدمة الاستضافة الخاصة بك في النهاية الخلفية ، بصفتك مالك موقع الويب ، فإن المسؤولية تتوقف معك.

- المصدر: Wordfence

ما الذي يجعل عمليات تسجيل الدخول إلى WordPress عرضة للخطر؟

شعبية WordPress هي ما يجعلها هدفًا سهلاً وجذابًا. ولكن ، ما الذي يجعل النظام الأساسي عرضة للهجمات وعمليات الاستغلال؟

لسبب واحد ، يقوم المتسللون بالكثير من الاستطلاع قبل اختراق النظام. إنهم يعلمون أن بعض إصدارات WP بها نقاط ضعف أكثر من غيرها ، وأن النظام الأساسي كان موجودًا لفترة كافية حتى يعرف المحترفون ماهيتهم. يوجد رقم الإصدار في صفحات الويب الخاصة بك وفي عنوان URL الخاص بك ما لم تقم بإزالته.

يوفر عرض الدليل أيضًا الكثير من المعلومات المفيدة ، مثل نوع المكونات الإضافية والسمات التي قمت بتثبيتها. نظرًا لأنه يعمل على ترميز مفتوح المصدر ، فإن ترك المكونات الإضافية غير المستخدمة أو غير المدعومة في دليلك ، حتى لو كانت معطلة ، هي طريقة بسيطة للمتسللين للوصول إلى التعليمات البرمجية الخاصة بك. بمجرد الدخول ، يمكنهم إطلاق عمليات الاستغلال ، أو تغيير الترميز ، أو الاختطاف ، أو منعك من الخروج من موقع الويب الخاص بك.

يمكن للقراصنة التحقق من فهرسة الدليل الخاص بك عن طريق تصفح مواقع المجلدات والتحقق من استجابة "فهرس" مثل هذا:

/ wp-content /

/ wp-content / plugins /

/ wp-content / theme /

/ تحميلات /

/ صور /

يمكنهم البحث عن المكونات الإضافية الضعيفة في دليلك من خلال بحث نشط باستخدام أدوات البرمجة النصية أو البحث السلبي مع طلبات HTML العادية. يتم تحقيق ذلك من خلال مراجعة كود مصدر HTML والبحث عن المكونات الإضافية المثبتة من خلال أوراق أنماط CSS والتعليقات وروابط JS.

هناك طريقة أخرى للوصول إلى المتسللين إلى مواقع WordPress وهي من خلال تعداد المستخدمين . هذه مقدمة بسيطة لهجوم القوة الغاشمة الذي يتضمن الكشف عن أسماء المستخدمين وتخمين كلمات المرور الخاصة بهم من خلال هجوم القاموس أو محاولة الدخول من خلال الآليات الافتراضية. على سبيل المثال ، يمكن اكتشاف المستخدمين من خلال تكرار معرّفاتهم وإضافتها إلى عنوان URL على النحو التالي:

wordpressexample.com/؟author=1

wordpressexample.com/؟author=2

wordpressexample.com/؟author=3

إذا نجح الأمر ، فسيتم الكشف عن معرف تسجيل الدخول عبر إعادة توجيه 303.

يمكن لأداة تسمى WPScan تُستخدم لاختبار الثغرات الأمنية أن تفحص مئات كلمات المرور المحتملة في أقل من دقيقة. كان قادرًا على إرجاع الناتج التالي من قالب رخيص في غضون ثوانٍ:

 ruby wpscan.rb -u 192.241.xx.x68 - الصفحات 20 - قائمة الكلمات 500worst.txt - اختبار اسم المستخدم

********* SNIP ********************

[+] بدء كلمة السر الغاشمة

إجبار المستخدم على "testadmin" باستخدام 500 كلمة مرور ... اكتمل 100٪.
[+] انتهى في الخميس 18 يوليو 03:39:02 2013
[+] الوقت المنقضي: 00:01:16

4 طرق لتأمين تسجيل الدخول إلى WordPress الخاص بك

لحسن الحظ ، فإن مطور WP ومجتمع المستخدمين يجتهدون عندما يتعلق الأمر بتقديم الدعم. نتيجة لذلك ، هناك أدوات متاحة مجانًا وأفضل الممارسات التي يمكنك تعلمها ونشرها للحفاظ على موقع الويب الخاص بك آمنًا.

فيما يلي أربع تقنيات يمكنك تنفيذها لتحسين أمان تسجيل الدخول إلى WordPress الخاص بك.

1. قم بإزالة رقم إصدار WP

نظرًا لأن المتسللين عادةً ما يبحثون عن رقم الإصدار أولاً عند التحقق من الثغرات الأمنية ، فهذا هو أول شيء يجب عليك تغييره عند إعداد موقع الويب الخاص بك. يجب أن يتم ذلك بطريقة تتم إزالته من الصفحات وعناوين URL والعلامات الوصفية دون إزالة خطاف العنوان أو الطرق السيئة الأخرى التي يتم الترويج لها على الإنترنت.

أفضل طريقة لإزالة رقم إصدار WP هي إضافة هذا الجزء من التعليمات البرمجية إلى ملف jobs.php :

للإزالة من الرأس:

 remove_action ('wp_head'، 'wp_generator') ؛

للإزالة من موجز RSS:

 الوظيفة remove_version_info () {
إرجاع ''؛
}
add_filter ('the_generator'، 'remove_version_info') ؛

لإزالة رقم الإصدار من البرامج النصية والأنماط:

 الوظيفة remove_version_from_style_js ($ src) {
إذا (strpos ($ src، 'ver ='. get_bloginfo ('version')))
$ src = remove_query_arg ('ver'، $ src)؛
عودة src $؛
}
add_filter ('style_loader_src'، 'remove_version_from_style_js'، 9999) ؛
add_filter ('script_loader_src'، 'remove_version_from_style_js'، 9999) ؛

بغض النظر عن وقت تثبيت WP ، يجب عليك دائمًا تحديث WordPress الخاص بك إلى أحدث إصدار بمجرد إصداره. الشيء نفسه ينطبق على الإضافات والسمات.

قراءة المزيد: التحديثات ضرورية لأمن WordPress !

2. قم بتغيير عنوان URL الخاص بتسجيل الدخول

عنوان تسجيل الدخول الافتراضي لمسؤولي WP هو yourwebsite.com/wp-admin وهذا شيء يعرفه كل شخص تقريبًا على النظام الأساسي. كل ما تحتاجه هو إضافة /wp-login.php بعد اسم المجال وتنتقل إليه. إن التغيير البسيط في عنوان URL هو كل ما يلزم لمنع المتسللين من تخمين صفحة تسجيل الدخول الخاصة بك.

يمكنك استخدام مكون إضافي مثل iThemes Security لإنجاز ذلك بفعالية.

3. تقليل عدد محاولات تسجيل الدخول

ميزة افتراضية أخرى معيبة لـ WP هي السماح بمحاولات تسجيل غير محدودة. يتيح ذلك هجمات القاموس وأساليب تخمين كلمات المرور الأخرى. يحتوي المكون الإضافي iThemes Security على ميزة تقوم بإغلاق موقع الويب الخاص بك بعد عدد محدد من محاولات تسجيل الدخول الفاشلة وترسل إليك تنبيهًا.

إذا كنت تريد وظيفة تسجيل الخروج فقط ، فيمكنك تثبيت مكون إضافي يسمى Limit Login Attempts Reloaded والذهاب إلى إعداداته لتكوين عدد عمليات تسجيل الدخول المسموح بها.

4. تقييد الوصول واستخدام المصادقة الثنائية

الآن ، يجب أن تعرف كيفية اختيار كلمة مرور آمنة باستخدام مكون إضافي للمصادقة الثنائية. تتمثل الخطوة التالية لتقييد الوصول في تحديد عدد الأشخاص الذين يمكنهم الوصول إلى الأعمال الداخلية لموقع الويب الخاص بك. ثالثًا ، استخدم المصادقة الثنائية التي تستخدم مزيجًا من كلمة المرور والمفتاح المشفر لتسجيل الدخول.

افكار اخيرة!

في حين أن هذه الاحتياطات الأمنية والتدابير الوقائية الموضحة في هذا المنشور لن تحمي موقعك بنسبة 100٪ ، إلا أنها ستوفر قدرًا كبيرًا من الأمان.

من المهم أن تتذكر أن المتسللين والأطراف الثالثة الخبيثة يبحثون عن أسهل الطرق الخلفية في موقعك على الويب. يتم استخدام الحلول الآلية في معظم الأحيان للعثور على هذه الأبواب الخلفية.

يؤدي تأمين تسجيل الدخول إلى WP الخاص بك إلى إبقاء هذه الأبواب مغلقة ويضمن أن الشخص الوحيد الذي يمكنه الوصول إلى موقعك هو أنت.

إخلاء المسئولية: هذا منشور ضيف ساهم به Nathan Goldfinch من AussieHosting .