ملاحظة الإصدار: تمت إضافة التشفير إلى الرموز ثنائية العوامل في iThemes Security Pro

مع أحدث إصدار من iThemes Security Pro ، أضفنا تشفيرًا لحماية رموز المصادقة الثنائية (2FA) المستخدمة لمصادقة تسجيل الدخول متعدد العوامل. للتأكد من أن موقعك يستخدم هذه الوظيفة الجديدة ، قم بالترقية إلى iThemes Security Pro الإصدار 7.2.2 في لوحة معلومات البرنامج المساعد wp-admin.

كما هو الحال مع أي ميزة جديدة ، نحن على يقين من أنه يجب أن تكون هناك أسئلة حول الميزة الجديدة ولماذا قمنا بإضافتها. في هذا المنشور ، نوضح بالتفصيل التغيير الذي أجريناه ، ولماذا اخترنا إضافة ميزات أمان إضافية إلى المصادقة ذات العاملين ، وبعض الأفكار حول الحالة الحالية لأمان تسجيل الدخول إلى WordPress ككل.

ماذا يستلزم هذا التغيير في تخزين كود المصادقة الثنائية؟

يدعم iThemes Security ثلاثة أنواع من أساليب المصادقة الثنائية: تطبيقات الهاتف المحمول والبريد الإلكتروني وأكواد النسخ الاحتياطي. كل منهم يعمل بشكل مختلف قليلاً.

عند استخدام Email 2FA ، يقوم iThemes Security بإنشاء رمز عشوائي مكون من ثمانية أرقام وإرساله إليك عبر البريد الإلكتروني. نقوم بتخزين ما يسمى بـ "التجزئة" لهذا الرمز العشوائي في قاعدة بيانات WordPress. تتيح لنا التجزئة التحقق مما إذا كنت قد قدمت لنا نفس الرمز المكون من ثمانية أرقام الذي قمنا بتخزينه في قاعدة البيانات.

ومع ذلك ، لا يمكن لـ iThemes Security "فك تشفير" التجزئة مرة أخرى إلى الرمز العشوائي الأصلي المكون من ثمانية أرقام. هذا هو السبب في أنك إذا طلبت من iThemes Security "إعادة إرسال" البريد الإلكتروني 2FA ، فإننا ننشئ رمزًا عشوائيًا جديدًا بدلاً من إعادة إرسال نفس رمز 2FA الذي أرسلناه إليك في البريد الإلكتروني الأول.

هذا مشابه لكيفية قيام WordPress بالتحقق من صحة كلمة مرورك. ولكن إذا نسيت كلمة المرور الخاصة بك ، فيجب عليك إنشاء كلمة مرور جديدة ، فلن يتمكن WordPress من إرسال كلمة المرور الحالية إليك.

Mobile Two-Factor مختلف. يظهر رمز جديد في تطبيق جوالك كل 30 ثانية. هل هذا يعني أن iThemes Security يحفظ كل رمز جديد في قاعدة البيانات؟ لا ، بدلاً من ذلك يستخدم iThemes Security مفهوم "السر المشترك".

عندما تقوم بإعداد Mobile Two-Factor في iThemes Security ، نعرض لك رمز QR الذي يحتوي على مفتاح سري فريد لحسابك. يؤدي مسح رمز الاستجابة السريعة في تطبيق Two-Factor الخاص بك إلى نسخ المفتاح السري لهاتفك.

عندما تقوم بتسجيل الدخول باستخدام تطبيق الهاتف المحمول الخاص بك ، يقوم كل من iThemes Security وهاتفك بإنشاء رمز مكون من ستة أرقام بناءً على مفتاح "السر المشترك". إذا تطابق الرموز ، فأنت في!

على عكس العامل الثنائي المستند إلى البريد الإلكتروني حيث نحتاج فقط إلى تخزين التجزئة ، فهذا يعني أنه يجب علينا تخزين المفتاح السري لتطبيق الهاتف المحمول بطريقة تتيح لنا الوصول إلى النص العادي.

تقوم الغالبية العظمى من مكونات وخدمات المصادقة الثنائية لـ WordPress بتخزين المفاتيح السرية ذات العاملين في قاعدة بيانات WordPress ، ولا يختلف iThemes Security. يجب تخزين هذه الرموز بحيث عندما يقوم المستخدم بإدخال رموز 2FA الخاصة به من تطبيق المصادقة الخاص به على هاتفه أو أجهزته ، يمكن أن يتطابق المكون الإضافي للأمان مع هذه الرموز لمصادقة المستخدم الذي يحاول تسجيل الدخول.

كان تخزين هذه الرموز في قاعدة البيانات هو الطريقة الأكثر أمانًا للقيام بذلك ، حيث لا يمكن الوصول إلى أي معلومات مخزنة في قاعدة البيانات إلا بواسطة مستخدم قاعدة البيانات وكلمة المرور الخاصة به. يتم تخزين بيانات الاعتماد هذه في ملف WordPress wp-config.php الخاص بك ، وهذا يسمح لموقع WordPress الخاص بك بالوصول إلى المعلومات في قاعدة البيانات هذه.

في حين أن هناك عددًا قليلاً من الخدمات التي تستخدم نهجًا قائمًا على نظام الملفات لرموز 2FA ، فقد اختارت iThemes Security ومعظم خدمات المصادقة الثنائية الرئيسية الأخرى طريقة تخزين قاعدة البيانات الأكثر أمانًا.

لمزيد من الأمان ، أضفنا تشفيرًا إلى هذه الرموز المخزنة في قاعدة بيانات WordPress الخاصة بالموقع. في حالة اختراق قاعدة البيانات بطريقة ما بسبب ثغرة أمنية أخرى ، يضيف هذا التشفير الإضافي طبقة أخرى من الأمان لحماية موقع WordPress من أي عدد من الهجمات القائمة على تسجيل الدخول والتي يمكن دمجها مع نقاط ضعف أخرى.

لماذا اخترنا إضافة هذه الميزة

إذا كان موقع WordPress مؤمنًا بشكل كافٍ ، فإن احتمال كشف رموز المصادقة الثنائية يكون منخفضًا. ومع ذلك ، في حالة وجود ثغرة أمنية على مستوى خدمة مزود الاستضافة حيث يتم اختراق الوصول إلى قاعدة البيانات أو إذا كانت هناك ثغرة يوم الصفر يتم استغلالها بشكل فعال في مكون إضافي أو سمة ، يمكن استخدام رموز المصادقة ثنائية العوامل غير المشفرة مع ثغرة أمنية أخرى .

في iThemes ، يعد أمان مواقع WordPress الخاصة بعملائنا ذا أهمية بالغة لأعمالنا. على هذا النحو ، عندما يلفت انتباهنا حتى سيناريو ثغرة أمنية متطرفة ، فإن استجابتنا وأولويتنا الأولى هي أمان تلك المواقع.

هدفنا هو جعل موقع WordPress الخاص بك آمنًا في كل منعطف ، بحيث تكون جميع جوانب موقعك ، من ملفاتك وقاعدة بياناتك إلى إجراءات تسجيل الدخول الخاصة بك ، محمية من المهاجمين الضارين. يتطلب الدفاع الفعال من الهجوم أن يتم تأمين جميع جوانب WordPress بشكل كافٍ.

ما هي المصادقة الثنائية؟

المصادقة الثنائية (2FA) هي نوع من المصادقة متعددة العوامل (MFA) التي تعزز أمان الوصول من خلال طلب طريقتين للتحقق من هويتك على النظام ، في هذه الحالة موقع WordPress. يمكن أن تتضمن هذه العوامل شيئًا تعرفه ، مثل اسم المستخدم أو البريد الإلكتروني وكلمة المرور ، بالإضافة إلى شيء لديك ، مثل الوصول إلى جهازك باستخدام تطبيق مصادقة للمصادقة عليك أو تحديد هويتك. تنشئ تطبيقات المصادقة مثل Google Authenticator كلمة مرور لمرة واحدة قائمة على الوقت تتغير دقيقة بدقيقة.

كلمات المرور ليست كافية

تزداد أهمية المصادقة ذات العاملين مثل هجمات التصيد الاحتيالي وهجمات الهندسة الاجتماعية وهجمات القوة الغاشمة لكلمة المرور ومشكلات إعادة استخدام كلمة المرور ، مما يعني أن المصادقة الفردية بكلمة مرور فقط لم تعد كافية.

بسبب مشاكل مثل هذه ، أضاف المبتكرون مثل iThemes Security مفاتيح مرور لتسجيل الدخول بدون كلمة مرور حقًا باستخدام المصادقة البيومترية وتشفير المفتاح الخاص / العام لإنشاء بروتوكولات مصادقة أكثر تعقيدًا لحماية أنظمة المهام الحرجة. كلمات المرور معطلة ، لذا كان iThemes Security Pro أول مكون إضافي للأمان في WordPress يسمح بالمصادقة بدون كلمة مرور باستخدام مفاتيح المرور.

باستخدام مفاتيح المرور ، لا يعد تخزين رموز المصادقة الثنائية مشكلة نظرًا لأن تشفير المفتاح الخاص / العام يجعل كل من كلمات المرور و 2FA قديمة.

إذا كان موقع WordPress الخاص بك حقًا مهمًا جدًا لعملك أو مؤسستك ، فإن استخدام iThemes Security يوضح التزامك بتأمين هذا الأصل. تأكد من أنك تقدم عمليات تسجيل دخول خالية من الاحتكاك بدون كلمة مرور وإمكانيات مصادقة ثنائية مشفرة لتثبت لأصحاب المصلحة التزام مؤسستك بتطبيقات مواقع الويب الواعية بالأمان.

إذا لم تكن تستخدم iThemes Security Pro بعد ، فيمكنك الحصول على إصدار Pro من أفضل مكون إضافي للأمان في WordPress عن طريق الشراء عبر الرابط أدناه.

أفضل مكون إضافي لأمن WordPress لتأمين وحماية WordPress

يعمل WordPress حاليًا على تشغيل أكثر من 40 ٪ من جميع مواقع الويب ، لذلك أصبح هدفًا سهلاً للمتسللين ذوي النوايا الخبيثة. يزيل المكون الإضافي iThemes Security Pro التخمين من أمان WordPress لتسهيل حماية موقع WordPress الخاص بك وحمايته. يشبه الأمر وجود خبير أمان بدوام كامل بين الموظفين الذين يراقبون ويحمون موقع WordPress الخاص بك باستمرار.

احصل على iThemes Security Pro

شكرًا لكالفين ألكان على الكشف عن المشكلة لنا بمسؤولية .