10 نصائح رائعة لحماية منطقة إدارة WordPress
نشرت: 2022-07-12من بين 8000 موقع مصاب تعرفه Sucuri ، 74٪ منها تعتمد على WordPress ، وفقًا لتقرير موقع الويب الذي تم اختراقه لعام 2016. تساعدك هذه الإحصائية الجادة جزئيًا على إدراك الاهتمام الدائم والمستمر بأمان الويب على موقعك.
تستخدم الأطراف الثالثة الضارة طرقًا مختلفة لمهاجمة موقع WordPress الخاص بك. ستكون لوحة تحكم المشرف الهدف الأكثر ضعفًا. إنه مثل محور موقعك الذي يحتوي على بيانات مهمة. بمجرد اقتحام لوحة تحكم المشرف الخاصة بك ، فإنهم يتخذون إجراءات خطيرة ستلحق أضرارًا كبيرة بموقعك.
لمنع الهجمات المشبوهة بشكل فعال ، تحتاج إلى حماية مسؤول WordPress. تركز مقالتنا اليوم على 10 طرق لتشديد منطقة تسجيل الدخول الخاصة بك. قبل التعمق في التفاصيل ، دعنا نشرح بإيجاز بعض أسباب تأمين تسجيل دخول المسؤول.
لماذا تأمين مدير WordPress
عندما نتحدث عن عمليات استغلال مواقع الويب ، فإننا نفكر بالتأكيد في اختراق المتسللين لخادمك باستخدام أنظمة كمبيوتر متطورة.
في الواقع ، العملية أسهل بكثير من ذلك. يمكنهم ببساطة الوصول إلى الواجهة الخلفية لموقع الويب الخاص بك والتحكم فيه. بعد ذلك ، تعاني من عواقب فقدان البيانات ومواجهة المشكلات القانونية وإنفاق الأموال على تنظيف الموقع.
في معظم الحالات ، يترك المتسللون برامج ضارة على موقعك لسرقة بيانات اعتماد العملاء مثل أرقام الهواتف أو تفاصيل بطاقة الائتمان. بمجرد سرقة هذه المعلومات الخاصة ، لا يخسر عملاؤك المال ويتضايقون فحسب ، بل يضرون أيضًا بسمعة علامتك التجارية.
لن يعود المشترون أبدًا إلى متجرك عبر الإنترنت للشراء لأنهم غير متأكدين مما إذا كانت معلوماتهم مؤمنة بالكامل. قد يتم جرك إلى التقاضي لعدم حماية بيانات العميل بعناية أيضًا.
بالإضافة إلى ذلك ، فإن تنظيف موقع الويب بسبب هجوم إلكتروني مكلف. يجب عليك استئجار خدمات صيانة WordPress للتعامل مع هذا.
هناك العديد من التقنيات التي يمكنك تطبيقها لحماية مسؤول WordPress. فيما يلي أسهل 10 حلول لأي مالك موقع ، من غير التقنيين إلى الأشخاص البارعين في أمور التكنولوجيا.
# 1 تغيير اسم مستخدم المسؤول الافتراضي
يقوم WordPress بتعيين مسؤول لأسماء المستخدمين الافتراضية لجميع مواقع الويب. ويعرف مجرمو الإنترنت هذا بالتأكيد. إنهم يخمنون كلمة المرور الخاصة بك بسهولة لتسجيل الدخول إلى موقعك. يمكنهم إما الحصول عليها في مكان ما أو محاولة هجوم القوة الغاشمة.
يجب أن تأخذ اسم مستخدم آخر بدلاً من المسؤول لتأمين تسجيل دخول المسؤول. لحسن الحظ ، يعد تغيير أسماء المستخدمين في WordPress بمثابة قطعة من الكعكة.
- قم بزيارة المستخدمين في قائمة إدارة موقع الويب الخاص بك
- اختر كل المستخدمين وافتح ملف تعريف المسؤول
- قم بتحديث اسم المستخدم وكلمة المرور
- احفظ التغييرات
# 2 استخدم كلمات مرور قوية لحماية مسؤول WordPress
تشير التقديرات إلى أن 8٪ من مواقع WordPress التي تم اختراقها مشتقة من كلمات مرور ضعيفة. لذا ضع في اعتبارك استخدام كلمة مرور قوية لحسابك. يجب أن تحتوي كلمة المرور على 8 أحرف على الأقل ، تجمع بين الأحرف والأرقام والأحرف الخاصة. يمكنك إدخال كلمة المرور الجديدة مباشرة في صفحة المستخدمين حيث تقوم بتغيير اسم المستخدم.
تساعدك مولدات كلمات المرور بشكل كبير في إنشاء كلمات مرور عشوائية وقوية. ما عليك سوى اختيار العناصر التي تريد تضمينها في كلمة المرور والسماح للأداة بالتعامل مع المهمة.
ومع ذلك ، فإن حفظ جميع كلمات المرور الخاصة بك أمر مؤلم لأنك تمتلك الكثير من كلمات المرور والحسابات لإدارتها. لحسن الحظ ، لديك تطبيقات إدارة كلمات المرور في متناول اليد ، والتي تدعمك لتخزين كلمات المرور الخاصة بك بأمان دون القلق بشأن التعرض للاختراق.
# 3 إنشاء عنوان URL مخصص لتسجيل الدخول
إلى جانب اسم المستخدم ، يوفر لك WordPress أيضًا رابطًا افتراضيًا لتسجيل الدخول عن طريق إضافة /wp-login.php إلى مجال موقع الويب. على سبيل المثال ، www.example.com/wp-login.php . إذا ظللت عنوان URL الافتراضي لتسجيل الدخول واسم المستخدم ، فإن المتسللين في منتصف الطريق يحصلون على حق الوصول إلى مسؤول موقعك.
على الرغم من أنه يمكنك إنشاء عنوان URL مخصص لتسجيل الدخول للمسؤول عن طريق تحرير ملف wp-login.php ، فإننا نوصي بشدة باستخدام مكون إضافي. لا يتعين عليك لمس الخادم أو إجراء تغييرات على الملفات والمجلدات التي قد تدمر موقع الويب.
ضع WPS Hide Login في الاعتبار عند اختيار مكون إضافي لتخصيص رابط تسجيل الدخول إلى WordPress. يكتسب المكون الإضافي ثقة أكثر من مليون مستخدم حول العالم ويثبت الحل الأكثر شيوعًا في هذا المجال حتى الآن.
اتبع الخطوات الأربع أدناه لبدء استخدام المكون الإضافي.
- قم بتثبيت وتنشيط WPS Hide Login على موقعك
- توجه إلى الإعدادات في قائمة المسؤول
- حدد WPS إخفاء تسجيل الدخول
- أدخل رابط تسجيل الدخول الجديد في مربع عنوان URL لتسجيل الدخول
تذكر أن تحفظ التغييرات الخاصة بك. بمجرد الانتهاء من ذلك ، يمكن فقط للمستخدمين الذين لديهم رابط تسجيل الدخول الجديد وتفاصيل الحساب الصحيحة الوصول إلى صفحة المسؤول الخاصة بك.
# 4 مجلد حماية كلمة المرور wp-admin
يتكون مجلد wp-admin من ملفات إدارية حيوية ، موجودة في الدليل الرئيسي. يمكنك إنشاء طبقة أمان إضافية للمسؤول عن طريق حماية مجلد wp-admin بكلمة مرور.
- قم بتسجيل الدخول إلى cPannel الخاص بالاستضافة أو الاتصال بعميل FTP
- ضرب أدلة حماية كلمة المرور أو خصوصية الدليل
- ابحث عن مجلد wp-admin ضمن الدليل / public_html /
- قم بتمكين الخيار حماية هذا الدليل بكلمة مرور
- أدخل اسم مستخدم وكلمة مرور
- انقر فوق حفظ
هذا ما يراه المستخدمون في أي وقت يحاولون الحصول على صفحة مسؤول WordPress الخاصة بك. يجب عليهم إدخال اسم المستخدم وكلمة المرور الصحيحين لتمرير طبقة المصادقة الأولى قبل إرسال بيانات اعتماد المسؤول.
# 5 إعادة تعيين كلمات المرور لجميع المستخدمين
هناك طريقة أخرى لحماية مسؤول WordPress تتمثل في إجبار كل مستخدم على إعادة تعيين كلمات المرور الخاصة به ، خاصة على مواقع الويب متعددة المستخدمين. لتحقيق ذلك بسرعة ، تحتاج إلى مساعدة من المكوّن الإضافي لإعادة تعيين كلمة المرور في حالات الطوارئ.
عند التنشيط ، سيمكن المشرفين من إعادة تعيين كلمات المرور وإرسال رابط إعادة التعيين بالبريد الإلكتروني تلقائيًا بنقرة واحدة فقط. اتخذ الخطوات التالية:
- قم بتثبيت المكون الإضافي الخاص بإعادة تعيين كلمة المرور للطوارئ
- انتقل إلى المستخدمون ← إعادة تعيين كلمة المرور في حالات الطوارئ
- اضغط على زر إعادة تعيين جميع كلمات المرور
هذا هو!
# 6 الحد من محاولات تسجيل الدخول
يسمح WordPress للمستخدمين بإدخال معلومات تسجيل الدخول عدة مرات كما يحلو لهم حتى يتمكنوا من الوصول بنجاح إلى منطقة المسؤول الخاصة بك. ومع ذلك ، فإن هذا الخيار يمنح المتسللين فرصة لمهاجمة موقعك بالقوة.
غالبًا ما يكون لدى هؤلاء المستخدمين ذوي النوايا السيئة مكتبة كلمات مرور لأكثرها شيوعًا. سيستخدم المتسللون نصًا آليًا وسيتصفحون الآلاف من كلمات المرور المحتملة.
لتقليل المخاطر ، يمكنك تقييد محاولات تسجيل الدخول باستخدام المكون الإضافي Wordfence Security. إنه أكثر من مجرد مكون إضافي لمنع هجمات القوة الغاشمة ، وهو المسؤول عن أمان الموقع وجدار حماية WordPress. سنناقش فائدة هذا البرنامج المساعد في الأقسام القادمة.
- قم بتثبيت وتفعيل مكون Wordfence Security الإضافي لموقعك
- افتح Wordfence وحدد كل الخيارات
- قم بتشغيل تمكين حماية القوة الغاشمة ضمن خيارات جدار الحماية
- أدخل الوقت الذي يُسمح فيه للمستخدمين بإرسال معلومات تسجيل الدخول الفاشلة
إذا تمكنوا من تسجيل الدخول على الرغم من وصولهم إلى الحد الأقصى لعدد المحاولات ، فسيقوم المكون الإضافي بحظر عنوان IP الخاص بهم على الفور.
# 7 تقييد الوصول إلى تسجيل الدخول عن طريق عناوين IP
هذه الطريقة مفيدة في حالة وجود عدد قليل من المستخدمين الذين يحتاجون إلى الوصول إلى منطقة المسؤول الخاصة بك. يتطلب منك تحرير ملف .htaccess عبر بروتوكول نقل الملفات (FTP) أو مدير ملفات مضيف الويب.
أضف الكود أدناه إلى الملف:
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType أساسي <الحصول على الحد> أمر رفض ، السماح رفض من الجميع # عنوان IP للقائمة البيضاء السماح من xx.xx.xx.xxx </LIMIT>
استبدل xx.xx.xx.xxx بعنوان IP الحقيقي.
يعد تعديل ملف .htaccess أمرًا خطيرًا للغاية. ضع في اعتبارك إنشاء نسخة احتياطية من موقعك قبل تحرير ملف htaccess. بهذه الطريقة ، يمكنك عكس الإصدار السابق في حالة حدوث أي خطأ في الموقع.
# 8 قم بإعداد المصادقة الثنائية
تتيح لك المصادقة الثنائية (2FA) إضافة طبقة أمان إضافية إلى مسؤول WordPress الخاص بك. على سبيل المثال ، أدخل رمز الحماية المرسل إلى جهازك المحمول ، أو استخدم معرف الوجه الخاص بك.
إذا قمت بتثبيت مكون Wordfence الإضافي الذي قدمناه أعلاه ، فيمكنك الاستفادة من هذه الوظيفة دون مساعدة أي حل إضافي.
- قم بزيارة Wordfence وافتح قسم أمان تسجيل الدخول
- امسح رموز QR باستخدام تطبيق المصادقة الخاص بك
# 9 تعطيل تلميحات تسجيل الدخول
عندما يفشل المستخدمون في تسجيل الدخول إلى لوحة تحكم المسؤول ، سيعرض WordPress رسالة خطأ تخبرهم ما إذا كان اسم المستخدم أو كلمة المرور الخاصة بهم غير صحيحة. هذا يعطي المستخدمين تلميحات حول بيانات اعتماد تسجيل الدخول.
خذ مثالاً على المتسللين الذين يستخدمون اسم مستخدم وكلمة مرور عشوائيين للوصول إلى صفحة المسؤول. إذا كانوا يعرفون أحد التفاصيل ، فإنهم يحتاجون فقط إلى البحث عن الآخر الصحيح.
يمكنك إيقاف هذا عن طريق تحرير ملف function.php الخاص بالسمه. توجه إلى المظهر - > محرر السمات -> function.php في الواجهة الخلفية لـ WordPress. ثم أدخل الكود التالي في ملف functions.php الخاص بك.
الدالة no_wordpress_errors () { إرجاع "شيء ما خطأ!" ؛ } add_filter ('login_errors'، 'no_wordpress_errors') ؛
# 10 استخدم جدار حماية تطبيق موقع الويب
لا يعد جدار الحماية حلاً قديمًا لتأمين مسؤول WordPress الخاص بك. يراقب حركة مرور الموقع ويمنع الطلبات الضارة من الوصول إلى موقعك. تتضمن بعض المكونات الإضافية الشائعة التي يمكنك تجربتها Wordfence و iThemes Security و Sucuri.
لا يقتصر الأمر على إبعاد المستخدمين المشتبه بهم فحسب ، بل تقوم هذه المكونات الإضافية أيضًا بالبحث عن البرامج الضارة. هناك مجموعة من خيارات حماية تسجيل الدخول للاختيار من بينها ، من منع هجوم القوة الغاشمة ، والمصادقة الثنائية ، و CAPTCHA ، وما إلى ذلك.
حان الوقت لحماية مسؤول WordPress
نتائج استغلال WordPress مدمرة. ستفقد العملاء وسمعة العلامة التجارية والمال بسبب الجرائم الإلكترونية لتسجيل دخول المسؤول.
الوقاية دائما خير من العلاج. لقد قمت بالاطلاع على أفضل 10 نصائح لتأمين منطقة إدارة WordPress الخاصة بك باستخدام المكونات الإضافية وبدونها.
يتطلب الأمر بضع نقرات لتغيير اسم المستخدم وكلمة المرور للمسؤول. يمكنك تثبيت المكونات الإضافية لإنشاء عنوان URL مخصص لتسجيل الدخول ، والحد من محاولات تسجيل الدخول ، وإعداد 2FA ، وتطبيق جدار حماية. يجب عليك استخدام رمز لحماية مجلد wp-admin بكلمة مرور ، وتقييد تسجيل الدخول بواسطة عناوين IP ، وتعطيل تلميحات تسجيل الدخول.
كم من هذه الطرق قمت بتطبيقها؟ شارك معنا في قسم التعليقات أدناه.