كيفية منع محاولات تسجيل الدخول الفاشلة على ووردبريس
نشرت: 2021-10-26يمكن أن تحدث عمليات تسجيل الدخول الفاشلة لعدة أسباب. في كثير من الأحيان ، يكون ذلك ببساطة نتيجة نسيان المستخدم لكلمة المرور الخاصة به. إنه يحدث لأفضل منا حتى لا نحكم عليه بقسوة. ومع ذلك ، في بعض الأحيان ، قد يحدث شيء أكثر خطورة - يحاول شخص ما الاقتحام.
فن استكشاف أخطاء عمليات تسجيل الدخول الفاشلة وإصلاحها
مثل جميع مشكلات WordPress الأخرى ، فإن استكشاف الأخطاء وإصلاحها (ويعرف أيضًا باسم الوصول إلى أسفل الأشياء) هو الخطوة الأولى التي يتعين علينا القيام بها. سيساعدنا هذا في التأكد من أننا نتعامل مع المشكلة الفعلية وليس أعراضها. لحسن الحظ ، هناك طريقة سهلة لبدء هذه العملية - انظر إلى البيانات. في الأساس ، يجب أن ترى أحد شيئين:
- اسم مستخدم خاطئ ومجموعات كلمات مرور خاطئة
يمكن أن تحدث تركيبات خاطئة لاسم المستخدم وكلمة المرور لأحد سببين. يحاول شخص ما أو شيء ما تخمين تركيبة اسم مستخدم / كلمة مرور للوصول ، أو أنه هجوم مستهدف. في حالة الخيار الأول ، يعد هذا أمرًا شائعًا جدًا. بخلاف ذلك ، قد يكون هجومًا مستهدفًا على موقع الويب الخاص بك إما للوصول أو زيادة التحميل على موقع الويب الخاص بك (DoS / DDoS).
- اسم المستخدم الصحيح ومجموعات كلمة المرور الخاطئة
يمكن أن تعني مجموعات اسم المستخدم الصحيحة وكلمات المرور الخاطئة أحد أمرين. إما أنها حالة حقيقية لنسيان شخص ما كلمة المرور الخاصة به ، أو أن شخصًا ما اكتشف اسم مستخدم فعليًا مسجلًا على WordPress الخاص بك ويحاول الآن تخمين كلمة المرور.
شيء آخر يجب أن تتذكره هو التردد. عادة ما يكون عدد كبير من المحاولات في فترة قصيرة علامة على هجوم آلي. من ناحية أخرى ، يعد الجدول الزمني البطيء وغير المنتظم علامة منبهة لشخص لم يشرب قهوته بعد.
مخاطر العديد من محاولات تسجيل الدخول الفاشلة
هجمات التخمين بكلمات المرور منتشرة بشكل كبير. تشير محاولات تسجيل الدخول الفاشلة إلى WordPress كثيرة جدًا إلى هذه الأنواع من الهجمات. بدون طريقة لإدارة هذا ، قد تترك موقعك مفتوحًا للهجمات والاضطرابات. لحسن الحظ ، فإن إدارة هذه المخاطر سهلة للغاية وتتطلب القليل من الجهد الإداري.
لا يقدم WordPress أي وظائف للحد أو اتخاذ إجراءات مراوغة عندما تكون هناك محاولات تسجيل دخول فاشلة. يمكن للمستخدم الاستمرار في محاولة الغثيان حتى يحصل عليها بالشكل الصحيح. بينما يمكن القول بأن منح الأشخاص فرصًا إضافية هو الشيء الأخلاقي الذي يجب القيام به ، فإن فرض قيود وضوابط يمكن أن يقطع شوطًا طويلاً في ضمان أمان وسلامة موقع WordPress الخاص بك.
كيفية منع محاولات تسجيل الدخول الفاشلة على ووردبريس
يعد تنفيذ سياسة تسجيل الدخول الفاشلة في WordPress أسهل مما يبدو. هناك خياران أساسيان للاختيار من بينها ، وسنناقشهما الآن.
الحد من عمليات تسجيل الدخول الفاشلة يدويًا
إذا كنت تتطلع إلى الحد من عمليات تسجيل الدخول الفاشلة في WordPress بدون مكون إضافي ، فيمكنك تعديل ملف function.php للقالب النشط وإضافة الكود ذي الصلة. هناك عدة طرق لإضافة كود مخصص إلى مواقع WordPress ؛ ومع ذلك ، يتطلب هذا فهمًا جيدًا لـ PHP وكيفية عمل WordPress.
قم بتثبيت البرنامج المساعد
هناك خيار آخر وأكثر عملية - استخدم مكونًا إضافيًا. تأتي المكونات الإضافية في جميع الأشكال والأحجام ، بما في ذلك المكونات الإضافية التي تحد فقط من محاولات تسجيل الدخول والمكونات الإضافية التي تسمح لك بفرض سياسة أمان لكلمة المرور على WordPress لمزيد من التحكم والأمان بشكل أكثر إحكامًا.
WPassword هو أحد مكونات WordPress الإضافية. إنه يمنح المسؤولين تحكمًا أكبر في كيفية استخدام كلمات المرور وإدارتها على مواقع WordPress الخاصة بهم. يتضمن القدرة على إعداد سياسة تتعامل صراحة مع محاولات تسجيل الدخول الفاشلة ، من بين ميزاتها العديدة الأخرى.
أشياء أخرى للنظر فيها
أحد الخيارات الأخرى الجديرة بالذكر هو اختبار CAPTCHA. تعد المكونات الإضافية مثل Advanced noCaptcha و invisible Captcha رائعة في مساعدتك على إيقاف الهجمات الآلية. نظرًا لأنه يلزم إكمال اختبار CAPTCHA قبل إجراء محاولة تسجيل ، فإن الروبوتات التي تقف وراء هذه الهجمات تفشل في الاختبار ولن تقوم بمحاولة تسجيل دخول واحدة.
هناك خيار آخر يميل إلى الظهور في المحادثات حول سياسات تسجيل الدخول الفاشلة وهو حظر عناوين IP. من خلال هذا الخيار ، يتم وضع عنوان IP المخالف في القائمة السوداء ، مما يمنعه من الوصول إلى موقع الويب الخاص بك في المقام الأول. في حين أن هذا صحيح من الناحية الفنية ، يمكن للممثل الخبيث المستمر ببساطة استخدام عنوان IP مختلف - وهو ما يمكنه القيام به بسهولة. لهذا السبب ، غالبًا ما ينتهي الأمر بإستراتيجية حظر عناوين IP إلى كونها لعبة قط وفأر.
أحد الخيارات الأفضل هو استخدام CDN (شبكة توصيل المحتوى) والسماح لهم بالتعامل مع حظر عناوين IP المخالفة. يمكن أن يوفر لك هذا الوقت الثمين ، والذي يمكنك استثماره في أشياء منتجة.
كيفية تصميم سياسة تسجيل دخول فاشلة إلى WordPress
قبل أن نبدأ في فرض سياسة تسجيل دخول فاشلة على موقع WordPress ، هناك بعض الأشياء التي نحتاج إلى التفكير فيها. مثل جميع المشكلات الأخرى المتعلقة بالأمان ، تعاني إدارة محاولات تسجيل الدخول الفاشلة من مفارقة الأمان / قابلية الاستخدام. كلما كان الشيء أكثر أمانًا ، قل قابليته للاستخدام. العكس صحيح بنفس القدر. يعد عدم السماح لأي شخص بتسجيل الدخول آمنًا للغاية ولكن يصعب استخدامه. يمكن أن يؤدي منح المستخدمين فرصًا غير محدودة لتسجيل الدخول إلى تعريض الأمان للخطر ولكنه يزيد من قابلية الاستخدام.
ما تحتاج إلى فهمه هو مقدار الفسحة التي ترغب في منحها للمستخدمين. تقليديا ، يُنظر إلى ثلاث محاولات على أنها كافية ومعقولة. يختلف البعض مع هذه الفكرة ويضعون الحد الأقصى المسموح به لمحاولات تسجيل الدخول في عشر محاولات. في كلتا الحالتين ، لا يعد تقديم محاولات تسجيل دخول غير محدودة استراتيجية جيدة ويمكن أن يكون له تداعيات سلبية.
وحقيقة الأمر أنه لا توجد إجابة صحيحة أو خاطئة. ثلاثة هو رقم آمن ، لكنه سيزيد النفقات الإدارية. قد يكون لعشرة منها نفقات إدارية أقل ولكنها تنطوي على مخاطر أكبر.
على هذا النحو ، قد ترغب في البدء بتحديد عدد محاولات تسجيل الدخول إلى ثلاث محاولات ثم تقييم الموقف. عند استخدام WPassword ، من السهل جدًا تغيير هذا الرقم. على هذا النحو ، يمكنك بسهولة تكييف السياسة مع المستخدمين والظروف الخاصة بك.
سيكون من الأفضل أن تفكر أيضًا في ما يحدث عندما يتم قفل الحساب. هل يجب فتح الحساب تلقائيًا بعد فترة زمنية مُعدة مسبقًا ، أم يجب على المسؤول إلغاء قفله يدويًا؟ يخضع هذا السؤال لنفس المشكلة كما كان من قبل: عليك أن تقرر بين سهولة الاستخدام والأمان. هناك جانب أساسي آخر قد يؤثر على هذا الجزء من السياسة وهو موقع المستخدمين. إذا كان الأشخاص يسجلون الدخول من الجانب الآخر من العالم ، فهل أنت سعيد بالاستيقاظ في الثانية صباحًا لفتح حساب؟ وإذا لم يكن الأمر كذلك ، فما المدة التي يجب أن ينتظرها المستخدم قبل أن يتمكن من تسجيل الدخول مرة أخرى؟ هل سيؤثر هذا على إنتاجيتهم أو أرباحك النهائية؟
اختيار المكونات الإضافية (والسياسة) الصحيحة لإدارة عمليات تسجيل الدخول الفاشلة إلى WordPress
بمجرد أن تفهم الشكل الذي تريد أن تبدو عليه كلمة المرور وسياسة تسجيل الدخول الفاشلة ، يجب أن تبدأ العمل على التنفيذ. ذكرنا سابقًا WPassword كمرشح رئيسي. يوفر العديد من خيارات التكوين ، مما يتيح لك مساحة كبيرة عند تكوين وتنفيذ سياسة كلمة المرور الخاصة بك.
بمجرد تمكين سياسة تسجيل الدخول الفاشلة لـ WordPress ، يمكنك اختيار عدد المحاولات التي قام بها المستخدمون قبل قفل حسابهم. يمكنك أيضًا تحديد كيفية إلغاء قفله وما إذا كنت تريد إجبار المستخدمين على تغيير كلمات المرور الخاصة بهم أم لا ، كما هو موضح أدناه.
الخطوة 1: قم بتثبيت وتنشيط WPassword
يعد تثبيت WPassword أمرًا سهلاً. يمكنك تنزيل المكون الإضافي لأمان كلمة المرور مباشرة من موقع WP White Security على الويب ثم تحميله على موقع WordPress الخاص بك.
بمجرد تثبيت المكون الإضافي ، انقر فوق المكونات الإضافية من القائمة الجانبية لـ WordPress ، وحدد موقع المكون الإضافي ، وانقر فوق تنشيط . سيؤدي هذا إلى إضافة خيار قائمة جديد يسمى سياسات كلمة المرور ، والتي تحتاج إلى النقر فوقها.
الخطوة 2: تفعيل سياسة عمليات تسجيل الدخول الفاشلة
حدد مربع الاختيار بجوار تمكين سياسات تسجيل الدخول الفاشلة للحد من محاولات تسجيل الدخول الفاشلة على موقع WordPress الخاص بك. أدخل عدد محاولات تسجيل الدخول الفاشلة قبل قفل المستخدم ، مع اعتبار 3-5 محاولات بشكل عام بداية جيدة.
تتضمن خيارات التكوين الأخرى ما يحدث بمجرد قفل الحساب وما إذا كان المستخدمون المحظورون مطالبين بإعادة تعيين كلمة المرور الخاصة بهم عند إلغاء الحظر. راجع مقالة قاعدة المعارف الخاصة بسياسة تسجيل الدخول الفاشلة في WordPress للحصول على مزيد من المعلومات.
الخطوة 3: اتخاذ تدابير أمنية إضافية
اختبار CAPTCHA
لقد تطرقنا أيضًا إلى CAPTCHA - الاختبار الشامل الموجود في العديد من عمليات تسجيل الدخول والأشكال المصممة للسماح للبشر بالمرور أثناء إيقاف الروبوتات وغيرها من أشكال الهجمات الآلية. تجعل المكونات الإضافية مثل Advanced no Captcha و Invisible Captcha تنفيذ مثل هذه الاختبارات أمرًا سهلاً للغاية مع توفير التوافق الشامل والدعم للإصدارات المختلفة.
توثيق ذو عاملين
لزيادة أمان عمليات تسجيل الدخول ، يجب توفر المصادقة ذات العاملين. من خلال هذه العملية ، يحتاج المستخدمون إلى المصادقة مرة ثانية عن طريق إدخال رمز مرور لمرة واحدة يتم توفيره من خلال هواتفهم الذكية. من خلال استخدام المصادقة الثنائية (2FA) ، والتي يمكنك القيام بها بسهولة من خلال المكونات الإضافية مثل WP 2FA ، يمكنك التأكد من أنه حتى في حالة اختراق كلمات المرور ، فلن يتمكن الشخص من تسجيل الدخول ، ما لم يكن الهاتف مرتبطًا بحساب المستخدم هذا.
الخطوة 4: المضي قدمًا (اختياري)
مع وجود كلمة المرور وسياسات تسجيل الدخول الفاشلة و CAPTCHA والمصادقة الثنائية في مكانها الصحيح ، يجب أن تكون مغطى جيدًا.
ومع ذلك ، إذا كان موقع الويب الخاص بك لا يزال يواجه عددًا كبيرًا من محاولات تسجيل الدخول الفاشلة ، فيجب أن تفكر في استخدام خدمة CDN. قد ترغب في التحدث إلى مزود استضافة الويب الخاص بك لمساعدتك في تنفيذ حل مناسب للهجمات واسعة النطاق.
يتطلب أمان كلمة مرور WordPress منهج 360
كما رأينا في جميع أنحاء المقالة ، هناك عدة عوامل يجب أخذها في الاعتبار عند تنفيذ سياسة كلمة المرور. بينما يعد حظر عمليات تسجيل الدخول الفاشلة إلى WordPress خطوة أولى جيدة (وخطوة ضرورية في ذلك) ، فمن خلال اتباع نهج 360 ، يمكنك أن تكون أكثر أمانًا. لا يساعدك هذا فقط في تغطية جميع القواعد الخاصة بك ، ولكن يمكن أن يساعدك أيضًا في إلهام المزيد من الثقة في موقع WordPress الخاص بك.
ينظر نهج 360 درجة في عدة عوامل ، بما في ذلك المكونات الإضافية والسمات ، والاستضافة ، و TLS ، و WordPress core ، وغيرها. بهذه الطريقة ، يمكنك التأكد من أن أمان WordPress الخاص بك في حالة جيدة.