دليل حول كيفية تأمين مسؤول WordPress - MalCare

Secure WordPress Admin: هل تعلم أن أكثر من 90.000 محاولة اختراق على مواقع WordPress كل دقيقة من اليوم؟ ما يعنيه ذلك هو أن محاولات الاختراق على مواقع الويب الخاصة بك وشيكة بغض النظر عما إذا كان الموقع كبيرًا أو صغيرًا. الأمان هو أحد أهم اهتمامات موقع الويب.

يلجأ المتسللون إلى تقنيات مختلفة لاختراق موقع ويب WordPress ويعتبر هجوم القوة الغاشمة أحد هذه الأساليب. يتضمن تجربة مجموعة من اسم المستخدم وكلمات المرور شائعة الاستخدام على صفحة تسجيل الدخول إلى موقع الويب.

يمنحك هجوم القوة الغاشمة الناجح الوصول إلى مسؤول WordPress. منطقة إدارة WordPress هي المركز الإداري لموقع ويب يعمل بنظام WordPress. سيتمتع أي شخص لديه حق الوصول الكامل إلى المسؤول بالسيطرة الكاملة على الموقع. وبالتالي ، من المهم حماية مسؤول WordPress الخاص بك من هجمات القوة الغاشمة.

كيفية تأمين مسؤول WordPress؟

لقد توصلنا إلى عدد من التقنيات التي ستساعدك على تأمين مسؤول WordPress لموقعك ضد محاولات الاختراق.

1. استخدم كلمات مرور قوية

أحد الأخطاء الأكثر شيوعًا التي يرتكبها مالكو مواقع الويب هو استخدام كلمات مرور ضعيفة. على مر السنين ، نضجت تقنيات تكسير كلمات المرور. يتم اختراق كلمات المرور التي يسهل تخمينها في غضون بضع دقائق. تساعد كلمات المرور القوية في الدفاع عن موقعك ضد تقنيات اختراق كلمات المرور الذكية. إليك مقالة ممتازة حول كيفية إنشاء كلمات مرور قوية حقًا لموقع WordPress الخاص بك.

ومع ذلك ، يمكن أن يمثل تذكر كلمات المرور القوية مشكلة. يشرح هذا المنشور كيفية إدارة كلمات مرور WordPress القوية .

هناك خطأ شائع آخر يرتكبه العديد من الأشخاص وهو عندما يستخدمون نفس كلمة المرور على مواقع متعددة. عندما يتم اختراق كلمة مرور واحدة ، يتم اختراق جميع الحسابات المرتبطة بكلمة المرور. ومن ثم ، فإن استخدام كلمات مرور مختلفة للحسابات يمكن أن يساعد في تجنب هذا الموقف.

2. تجنب استخدام اسم المستخدم الشائع

يعد تأمين كلمة مرور WordPress خطوة مهمة نحو تأمين بيانات اعتماد تسجيل الدخول إلى WordPress. المكون الثاني من بيانات اعتماد تسجيل الدخول هو اسم المستخدم. إذا كان من السهل تخمين اسم المستخدم الخاص بك ، فلن يحتاج المخترق إلا إلى التركيز على كلمة المرور.

أحد أسماء مستخدمي WordPress الأكثر شيوعًا هو "admin". حتى قبل بضع سنوات ، اقترح WordPress تلقائيًا "admin" كاسم مستخدم. على الرغم من توقف WordPress عن التوصية بـ "admin" ، إلا أن العديد من مالكي المواقع ما زالوا يستخدمونه. يتم إنشاء العديد من حسابات المستخدمين الجديدة باستخدام "admin" كاسم مستخدم. كل هذه المواقع تجعل من نفسها هدفًا سهلاً.

نظرًا لأن WordPress لا يفرض استخدام أسماء مستخدمين فريدة ، فأنت بحاجة إلى التأكد من عدم استخدام أي من المستخدمين لأسماء مستخدم مشتركة وعدم إنشاء حساب جديد باستخدام "admin". ألق نظرة على هذه القائمة الشاملة لاسم المستخدم الشائع الاستخدام حتى تعرف أسماء المستخدمين التي يجب تجنبها.

3. إخفاء صفحة تسجيل الدخول الخاصة بك على WordPress

تعمل مواقع WordPress بطريقة محددة مسبقًا. على سبيل المثال ، تأتي جميع مواقع WordPress مع صفحة تسجيل دخول افتراضية تبدو مثل هذا"www.anysite.com/wp-admin".هذا يجعل مهمة المتسلل أسهل لأنه يمكنهم شن هجوم آلي على العديد من مواقع WordPress المستهدفة في وقت واحد. ولكن إذا قمت بإخفاء صفحة تسجيل الدخول عن طريق تغييرها ، فيمكنك منع مثل هذا النوع من الهجمات على موقعك.

هناك العديد من المكونات الإضافية التي يمكنك استخدامها لتغيير صفحة تسجيل الدخول الخاصة بك واستخدام عنوان URL يقترحه المكون الإضافي لك. من المحتمل أن مواقع الويب الأخرى التي تستخدم نفس المكون الإضافي تستخدم نفس عنوان URL. وإذا كان المتسللون يعرفون تنسيق عنوان URL ، فلن يؤدي إخفاء صفحة تسجيل الدخول الخاصة بك إلى أي شيء. ومن ثم ، استخدم أداة تمكنك من إنشاء عنوان URL مخصص لصفحة تسجيل الدخول الخاصة بك.

4. تنفيذ مصادقة HTTP

لتأمين مسؤول WordPress ، يمكنك حماية مجلد wp-admin بأكمله بكلمة مرور. يحتوي مجلد wp-admin على ملفات إدارية تعمل على تشغيل لوحة معلومات WordPress. يمكن لأي شخص لديه حق الوصول إلى هذا المجلد التحكم في الموقع بالكامل. إذا كانت كلمة مرورك تحمي المجلد بأكمله ، في كل مرة يطلب فيها شخص ما قسم المسؤول ، يبدأ الخادم عملية المصادقة. سيطلب المتصفح من المستخدم كلمة مرور مصادقة HTTP. هناك العديد من الأدوات التي يمكنك استخدامها لتنفيذ مصادقة HTTP على مسؤول WordPress مثل HTTP Auth و AskApache Password Protect وما إلى ذلك.

5. استخدم Google Authenticator

مع تزايد تطور تقنيات اختراق مواقع الويب هذه الأيام ، من الشائع إضافة طبقة أخرى من حماية تسجيل الدخول إلى جانب بيانات اعتماد المستخدم القوية. تسمى هذه التقنية المصادقة الثنائية (2FA). تتضمن الطريقة إرسال رمز يمكنك أنت وحدك استلامه على هاتفك الذكي. قبل أن يتم منحك حق الوصول إلى لوحة معلومات WordPress الخاصة بك ، تحتاج إلى إدخال الرمز الفريد على موقعك. تتمثل فوائد هذا الأسلوب في أنه حتى إذا تمكن المتسللون من اختراق بيانات الاعتماد الخاصة بك ، فإنهم ما زالوا بحاجة إلى الرمز الذي يتم إرساله حصريًا إلى جهازك.

هناك العديد من مكونات WordPress الإضافية التي يمكنك استخدامها للمصادقة الثنائية. لقد قمنا بتمكين المصادقة الثنائية على موقعنا باستخدام Mini Orange لتأمين مسؤول WordPress وكتبنا دليلًا عن ذلك.

6. الحد من عدد محاولات تسجيل الدخول الفاشلة

تواجه مواقع الويب التي تتعرض لهجمات القوة الغاشمة المئات من محاولات تسجيل الدخول الفاشلة. لمنع هذا الهجوم الذي لا هوادة فيه على مسؤول WordPress الخاص بك ، يمكنك تحديد عدد محاولات تسجيل الدخول الفاشلة على موقعك. يمنع المكون الإضافي MalCare للأمان المستخدمين من محاولة تسجيل الدخول بعد 3 محاولات تسجيل دخول فاشلة. يجب عليهم حل اختبار CAPTCHA قبل السماح لهم بالوصول إلى صفحة تسجيل الدخول إلى WordPress مرة أخرى. يساعد هذا في تحديد ما إذا كان المستخدم بشريًا أو روبوتًا آليًا يحاول تنفيذ هجوم القوة الغاشمة على الموقع.

7. تثبيت شهادة SSL

انظر إلى عنوان URL الخاص بموقعنا! هل يمكنك رؤية قفل أخضر بجانبه كلمة "آمن"؟ يحتوي موقعنا على شهادة SSL مثبتة مما يعني أنه لا يمكن لأي شخص التطفل وقراءة بيانات اعتماد تسجيل الدخول لمستخدمينا. يتعرض موقع الويب الذي لا يحتوي على شهادة SSL لخطر الكشف عن معلومات حساسة للموقع عن غير قصد.

في الماضي ، كانت شهادات SSL إما لصفحات الدفع أو لمناطق إدارة WordPress. ولكن الآن يمكن لشهادة SSL المساعدة في تأمين موقعك بالكامل. في سعيها لجعل الويب مكانًا أكثر أمانًا ، صرحت Google بوضوح أن شهادات SSL هي عامل تصنيف . يمكنك الحصول على شهادة SSL من مزودين مثل Comodo و Let's Encrypt وسيساعد مضيف الويب في إعداد الشهادة على موقعك.

8. عنوان IP ضار في القائمة السوداء

كل شخص يستخدم الإنترنت لديه عنوان IP. حتى هجمات القراصنة التي تطلق على مواقع WordPress عنوان IP. إذا كنت تحتفظ بسجل لعناوين IP هذه ، فيمكنك منعها من الوصول إلى موقعك. MalCare - أحد أفضل المكونات الإضافية للأمان في WordPress يقدم تفاصيل (عناوين IP) لمحاولات تسجيل الدخول الفاشلة التي تمت على الموقع. إذا لاحظت أن العديد من المحاولات الفاشلة يتم إجراؤها من نفس عناوين IP بشكل منتظم تقريبًا ، فيمكنك منع عناوين IP المشبوهة هذه من الوصول إلى مواقع الويب الخاصة بك ببساطة عن طريق وضع الرموز التالية في ملف htaccess الخاص بنا:

 أمر يسمح ، يرفض

رفض من 192.168.20.10

السماح من الجميع

"192.168.20.10" هو عنوان IP الذي أردنا حظره على أحد مواقعنا. يمكنك استبداله بعنوان IP الذي تريد حظره.

9. تغيير مفاتيح الأمان

لا يتعين عليك إدخال بيانات اعتماد تسجيل الدخول الخاصة بك في كل مرة تحتاج فيها إلى تسجيل الدخول إلى موقعك. هل تساءلت يومًا كيف يخزن متصفحك بيانات الاعتماد هذه؟ بعد تسجيل الدخول إلى حسابك ، يتم تخزين معلومات تسجيل الدخول الخاصة بك بطريقة مشفرة في ملف تعريف ارتباط المتصفح. مفاتيح الأمان هي مجرد متغيرات عشوائية تساعد في تحسين هذا التشفير. إذا تم اختراق موقعك ، فسيؤدي تغيير المفاتيح السرية إلى إبطال ملف تعريف الارتباط وإجبار كل مستخدم نشط على تسجيل الخروج تلقائيًا. بمجرد التخلص منها ، تصل خسائر المتسلل إلى مسؤول WordPress الخاص بك.

انتهى اليك

لا توجد طريقة واحدة لتأمين مسؤول WordPress ومن ثم تأكد من استخدام طرق متعددة. شاركنا معك بعضًا من أكثر الطرق الموصى بها لتأمين مسؤول WordPress. ولكن قبل تنفيذ أي من هذه الطرق ، يجب عمل نسخة احتياطية من موقعك . إذا حدث خطأ ما ، يمكنك ببساطة استعادة نسخة احتياطية وتشغيل موقعنا في أي وقت من الأوقات.

إلى جانب ذلك ، يمكنك اتخاذ بعض الإجراءات الأمنية الأخرى مثل حظر IP ، وحماية صفحة تسجيل الدخول ، وتأمين الموقع باستخدام wp-config.php ، باتباع هذا الدليل الكامل حول أمان WordPress ، وعن طريق تثبيت مكون إضافي للأمان في WordPress مثل MalCare.

ستساعدك MalCare في تنفيذ بعض الإجراءات التي ذكرناها أعلاه. على سبيل المثال ، سيساعدك برنامج MalCare Security Plugin في تغيير مفاتيح الأمان ، والحد من عدد محاولات تسجيل الدخول الفاشلة ، والحفاظ على تحديث موقع الويب الخاص بك ، من بين أشياء أخرى.

جرب البرنامج المساعد MalCare Security الآن!