ما هو خرق كلمة المرور؟
نشرت: 2022-06-10ما هو خرق كلمة المرور؟ ما الخطوات التي يجب عليك اتخاذها لمنع حدوث واحدة على موقع WordPress الخاص بك؟
منذ إنشاء نماذج تسجيل الدخول إلى الإنترنت والموقع الإلكتروني ، تم تعليمنا جميعًا استخدام كلمات مرور آمنة وغير قابلة للكسر لحماية خصوصيتنا على الإنترنت. ولكن بصفتك مالكًا لموقع WordPress ، فهو أكثر أهمية من أي وقت مضى. نظرًا لتهديدات الأمن السيبراني المستمرة ، تحتاج إلى اتخاذ خطوات لتجنب انتهاكات كلمات المرور التي قد تؤدي إلى استيلاء أحد المتطفلين على موقع الويب الخاص بك.
في هذا الدليل ، سنتعمق في مخاطر انتهاكات كلمات المرور وكيف يتم استخدامها للتحكم الكامل في موقع WordPress الخاص بك. سنعرض لك أيضًا ما عليك فعله بالضبط للدفاع عن موقعك ضد اختراق كلمة المرور. لنلقي نظرة.
ما هو خرق كلمة المرور؟
باختصار ، خرق كلمة المرور هو عندما يتمكن شخص ما من الوصول إلى كلمة مرورك دون إذنك. غالبًا ما تحدث خروقات كلمات المرور على نطاق واسع ، حيث يتم اختراق مجموعات كبيرة من مجموعات اسم المستخدم وكلمة المرور. غالبًا ما تؤدي عمليات اختراق كلمة المرور إلى تسريبات وتفريغ قاعدة البيانات. يتم الكشف عن مقالب قاعدة البيانات هذه على الويب المظلم أو حتى بيعها.
تعد خرق كلمة المرور مشكلة كبيرة لعدد من الأسباب. الأول ، من الواضح ، هو أنه يمكن للمتسلل الوصول إلى حساباتك عبر الإنترنت. بمجرد تضمين كلمة المرور الخاصة بك في خرق البيانات ، يتضاءل أمنك على الإنترنت بشكل كبير.
والأسوأ من ذلك ، إذا كنت تعيد استخدام كلمة مرور لحسابات متعددة ، فسيتم اختراق جميع هذه الحسابات. في تقرير حديث عن التحقيقات في خرق البيانات من Verizon ، أعاد أكثر من 70٪ من الموظفين استخدام كلمات المرور في أماكن عملهم. لكن الإحصائيات الأكثر أهمية من تقرير Verizon هي أن 81٪ من الانتهاكات المتعلقة بالقرصنة استفادت من كلمات المرور المسروقة أو الضعيفة.
ما هو هجوم رجل في الوسط (MITM)؟
عندما يتعلق الأمر بانتهاكات كلمات المرور ، من المهم فهم هجمات MITM أو Man-In-the-Middle. هجمات الرجل في الوسط هي مصطلح عام لأي هجوم إلكتروني حيث يضع المتسللون أنفسهم في موقع وسيط بين المرسل والمستقبل للمعلومات أو البيانات.
مثال على ذلك هو أن يكون المتسلل بين متصفح الويب الخاص بالمستخدم والموقع الإلكتروني الذي يزوره حاليًا. من خلال وضع أنفسهم في الوسط ، فإنه يسمح للمهاجمين بالتنصت ، وفي كثير من الحالات ، تعديل المحتوى المستهدف أثناء إرساله واستلامه بين موقعين مختلفين.
عندما يكون المتسلل قادرًا على الحصول على بيانات اعتماد تسجيل الدخول لمستخدم الموقع ، فيمكنه أحيانًا استخدام هذه المعلومات للحصول على امتياز الوصول إلى موقع WordPress الخاص بك. وإذا كانوا قادرين على الحصول على بيانات اعتماد مسؤول موقعك ، فسيكونون قادرين على فعل أي شيء لموقعك يحلو لهم ، بما في ذلك إعادة توجيهه إلى موقع مختلف تمامًا.
كيف يسرق المتسللون كلمات المرور وبيانات الاعتماد لتسجيل الدخول
يستخدم المتسللون العديد من الأساليب لسرقة كلمات المرور الخاصة بك ، بما في ذلك التصيد الاحتيالي وسرقة ملفات تعريف الارتباط الخاصة بالمصادقة ومشاهدة الاتصالات غير الآمنة أو غير المشفرة.
لفهم كيفية حدوث خرق لكلمة المرور بشكل كامل وكيف يمكن سرقة بيانات الاعتماد ، ستحتاج أولاً إلى إلقاء نظرة على طلب HTTP غير الآمن الذي يحتوي على بيانات اعتماد مقدمة باستخدام أدوات المطور المدمجة في المتصفح.
ضع في اعتبارك أن هذا ليس هجومًا من نوع Man-In-the-Middle ، ولكنه مع ذلك يعد انتهاكًا لكلمة المرور. وستساعد هذه المعلومات في توضيح ما ستحتاج إلى البحث عنه لاحقًا في هذه العملية.
الآن ، نحتاج إلى إلقاء نظرة على ما يراه المخترق عندما يفحص حركة مرور HTTP غير المشفرة. في هذا المثال ، نستخدم أداة تسمى Wireshare. هذه أداة تحليل شبكة شائعة ومجانية يمكن لأي شخص استخدامها. يمكن لمستخدم ضار ، موجود على نفس شبكة WiFi التي تستخدمها ، استخدام هذه الأداة للحصول على معلومات حساسة غير مشفرة من خلال HTTPS.
ما مدى ارتباط ملفات تعريف الارتباط بمصادقة موقع الويب بالضبط؟
بالإضافة إلى سرقة بيانات اعتماد تسجيل الدخول وكلمات المرور الخاصة بك ، يمكن للمتسلل المطلع أيضًا سرقة ملف تعريف ارتباط المصادقة الخاص بك واستخدامه لانتحال شخصيتك بالكامل على موقع الويب الخاص بك.
من المهم أن نفهم أن HTTP هو ما يُعرف بالبروتوكول عديم الحالة. بمعنى آخر ، في HTTP ، لا يرفق الخادم أي معنى فردي للطلبات التي تصل عبر مقبس TCP المماثل.
ما يعنيه هذا هو أنه ما لم ترغب في كتابة كلمة مرورك الكاملة في كل مرة تطلب فيها صفحة على الموقع ، يحتاج المتصفح إلى تخزين رمز مؤقت يتبعك أثناء تصفحك للموقع.
يشار إلى هذا الرمز المميز كرمز مميز للجلسة. ويقوم المتصفح تلقائيًا بإرسال هذا الرمز المميز مع كل طلب تقوم به على موقع الويب. لحسن الحظ ، تحتوي متصفحات الويب على آلية مضمنة لهذه الوظيفة بالضبط. والآلية هي ملفات تعريف الارتباط.
لهذا السبب ، عندما تحذف جميع ملفات تعريف الارتباط المخزنة في متصفحك ، سيتم تسجيل خروجك من جميع مواقع الويب التي قمت بتسجيل الدخول إليها مسبقًا.
يخبرنا هذا أن المتسللين والمهاجمين الضارين لا يحتاجون حتى إلى معرفة كلمة مرورك للتخلص من خرق كلمة المرور وانتحال شخصيتك. كل ما يحتاجون إليه هو وضع أيديهم على رمز الجلسة الخاص بك ، ويمكنهم تسجيل الدخول مباشرة إلى موقعك.
كما في المثال السابق لخرق كلمة مرور WordPress ، سترى أنه يمكن الآن الوصول إلى نفس المعلومات المتطابقة للمهاجم الذي يستخدم Wireshark.
بعد ذلك ، باستخدام امتداد متصفح مجاني تمامًا مثل Cookie-Editor ، سيتمكن المخترق من استخدام قيمة ملف تعريف الارتباط الذي سرقوه في متصفح الويب الخاص بهم والبدء في التنقل في لوحة تحكم مسؤول WordPress الخاصة بك. ولن يأتي أي شيء جيد من ذلك لنفسك أو لموقعك على الويب.
كيف تحمي نفسك من خرق كلمة المرور
ضع في اعتبارك أن بعض أنواع هجمات اختراق كلمات المرور هي جهد ضئيل للغاية بالنسبة للمخترق الماهر. وهذا ينطبق بشكل خاص على الشبكات العامة أو غير المؤمنة بشكل جيد ، مثل مواقع WiFi العامة.
لحسن الحظ ، فإن الحفاظ على حماية موقع WordPress الخاص بك من انتهاكات كلمة المرور أمر بسيط للغاية. وهو أمر يحتاج كل مالك موقع WordPress مسؤول إلى التركيز عليه على الفور لتجنب هجوم قد يؤدي إلى تدمير موقع الويب الخاص بك بالكامل.
أولاً وقبل كل شيء ، تأكد من تمكين وفرض HTTPS على أي وجميع مواقع WordPress التي تديرها. يعد هذا مطلبًا مطلقًا لأي نوع من مواقع WordPress ، سواء كانت صغيرة أو كبيرة - حتى إذا لم يتم منح المستخدمين إذنًا لتسجيل الدخول إلى الموقع.
ببساطة ، يقوم HTTPS بتشفير كل حركة المرور بين المتصفحات وخادم موقعك. إذا حاول المهاجم قراءة محتويات حركة المرور المشفرة باستخدام HTTPS ، فسينتهي به الأمر فقط إلى رؤية نص مشوه ومشفر لا معنى له.
وستكون كلمات مرورك آمنة.
بالطبع ، ستحتاج إلى الحصول على شهادة أمان SSL لتتمكن من فرض HTTPS على موقعك. اليوم ، يقدم العديد من مضيفي WordPress شهادات SSL مجانية ، مما يجعلها سهلة.
استخدام البرنامج المساعد iThemes Security Pro لتجنب خرق كلمة المرور على موقع WordPress الخاص بك
على غرار جميع تطبيقات مواقع الويب الأخرى التي تحتوي على نماذج تسجيل الدخول ، يرسل نظام إدارة محتوى WordPress أسماء المستخدمين وكلمات المرور ضمن طلب HTTP عندما تقوم أنت أو مستخدم آخر بتسجيل الدخول. وكما تعلم على الأرجح ، فإن HTTP ليس بروتوكولًا مشفرًا.
هذا يعني أنه إذا كنت لا تقوم بتشغيل موقعك بأمان باستخدام HTTPS ، فإن جميع الاتصالات بين المستخدمين وخادم الويب الخاص بك مفتوحة للتنصت من المتسللين والمهاجمين الضارين.
يمكن للقراصنة بعد ذلك اعتراض ، ثم تعديل ، حركة مرور HTTP (غير المشفرة) لموقع WordPress الخاص بك. وبالطبع ، فإن أثمن المعلومات التي سيبحث عنها المتسلل هي بيانات اعتماد تسجيل الدخول الخاصة بمسؤول الموقع ، بما في ذلك كلمة المرور الخاصة بك. لهذا السبب من المهم جدًا استخدام HTTPS دائمًا لموقع WordPress الخاص بك. إليك دليل سريع حول ما تعنيه HTTP مقابل HTTPS.
إذا كان لديك موقع WordPress على الويب ، فإن أحد أفضل خطوط دفاعك هو المكون الإضافي iThemes Security Pro. يعد iThemes Security مكونًا إضافيًا قويًا للأمان في WordPress مع ميزات مصممة لتأمين حسابات المستخدمين وتقوية WordPress.
على سبيل المثال ، ميزة متطلبات كلمة المرور في iThemes Security Pro ليست فقط سياسة كلمة المرور الخاصة بك ولكن أيضًا أداة فرض كلمة المرور الخاصة بك.
باستخدام ميزة متطلبات كلمة المرور ، ستتمكن بسهولة من إجبار أعضاء أي مجموعة مستخدمي WordPress داخل لوحة القيادة على:
- استخدم كلمات مرور قوية
- اختر الوقت المخصص لانتهاء صلاحية كلمات المرور وإعادة تعيينها بواسطة المستخدمين داخل كل مجموعة
- رفض كلمات المرور التي تم اختراقها (وهذا يجبر المستخدمين على استخدام كلمات المرور التي لم تظهر في أي خروقات لكلمات المرور يتم تعقبها بواسطة Have I Been Pwned)
- فرض تغيير كلمة المرور على مستوى الموقع بالكامل لضمان امتثال كل شخص على الموقع لسياسة كلمة المرور القوية الجديدة التي تنفذها.
ستعمل ميزة متطلبات كلمة مرور iThemes Security Pro على تأمين بيانات اعتماد تسجيل الدخول إلى WordPress الخاصة بك ضد هجمات اختراق كلمة المرور التي ناقشناها للتو في هذا الدليل ، وغير ذلك الكثير.
في الواقع ، إنها مجموعة أمان WordPress كاملة لا ينبغي أن يكون بدون مالك موقع WordPress إذا كان تأمين موقعك ضد جميع أنواع الهجمات الضارة أمرًا مهمًا بالنسبة لك.
بالإضافة إلى ذلك ، يمنحك القدرة على فرض سياسة كلمة المرور الخاصة بك بنقرة زر بسيطة. الحقيقة هي أن معظم الناس يفضلون السير في الطريق الأقل مقاومة. من خلال إزالة خيار استخدام كلمات مرور ضعيفة أو مخترقة ، فأنت تساعد نفسك وكل من يستخدم موقعك لحماية حساباتهم بشكل كامل من الضرر الناجم عن خرق كلمة المرور.
احتياطات إضافية بشأن كلمة المرور يجب اتخاذها
على الرغم من عدم وجود شك في أنك بحاجة إلى تمكين HTTPS على الفور على موقع WordPress الخاص بك ، ثم تثبيت مجموعة أمان لحمايتها من هجمات اختراق كلمة المرور ، إلا أن هناك أيضًا بعض الإجراءات الإضافية التي ستحتاج إلى اتخاذها والتي تتعلق بأمان WordPress والصلابة:
- أضف المصادقة الثنائية (المصادقة الثنائية) لتعزيز أمان آلية مصادقة موقع WordPress الخاص بك. سيساعدك المكون الإضافي iThemes Security Pro في ذلك.
- قم بالحد من محاولات تسجيل الدخول الفاشلة على موقعك للمساعدة في إحباط محاولات القرصنة مثل هجمات التخمين بكلمة المرور وهجمات DDoS باستخدام حماية القوة الغاشمة لـ iThemes Security.
- قم بتشغيل تسجيل الأمان لمساعدتك في مراقبة أي وصول غير مصرح به إلى لوحة تحكم مسؤول WordPress.
- تأكد من تنشيط الكشف عن تغيير الملف على موقع WordPress الخاص بك لاكتشاف أي تغييرات غير مصرح بها أو مشبوهة في الملفات.
الخلاصة: تجنب خرق كلمة المرور على موقع WordPress الخاص بك
يعد اختراق كلمة المرور بنجاح أحد أكثر الأشياء المدمرة التي يمكن أن تحدث لمالك موقع WordPress. وحتى أكبر مواقع الويب في العالم ليست محصنة ضد مخاطرها.
بعد دراسة هذا الدليل ، أصبح لديك الآن الأدوات اللازمة لتوظيفها على موقعك والتي ستساعدك على إبعادك عن هذه الضربة المدمرة.
وبمساعدة الأدوات المناسبة ، كما تمت مناقشته هنا ، ستكون في طريقك إلى تشغيل موقع WordPress أكثر أمانًا.
أفضل مكون إضافي لأمن WordPress لتأمين وحماية WordPress
يشغل WordPress حاليًا أكثر من 40٪ من جميع مواقع الويب ، لذا فقد أصبح هدفًا سهلاً للمتسللين ذوي النوايا الخبيثة. يزيل المكون الإضافي iThemes Security Pro التخمين من أمان WordPress لتسهيل حماية موقع WordPress الخاص بك وحمايته. يشبه الأمر وجود خبير أمان بدوام كامل بين الموظفين الذين يراقبون ويحمون موقع WordPress الخاص بك باستمرار.
تكتب كريستين دروسًا تعليمية لمساعدة مستخدمي WordPress منذ عام 2011. بصفتها مديرة التسويق هنا في iThemes ، فهي مكرسة لمساعدتك في العثور على أفضل الطرق لإنشاء مواقع WordPress فعالة وإدارتها وصيانتها. تستمتع كريستين أيضًا بكتابة اليوميات (تحقق من مشروعها الجانبي ، The Transformation Year !) ، والمشي لمسافات طويلة والتخييم ، والتمارين الرياضية ، والطهي ، والمغامرات اليومية مع عائلتها ، على أمل أن تعيش حياة أكثر حاضرًا.