5 قواعد بسيطة لأمان تسجيل الدخول إلى WordPress

نشرت: 2022-07-12

يجب أن تتضمن إستراتيجية أمان WordPress الناجحة خطوات لتقوية تسجيل الدخول إلى WordPress. في هذا المنشور ، نغطي القواعد الخمس البسيطة لتحسين أمان تسجيل الدخول إلى WordPress.

إن الشيء العظيم في WordPress هو كيف يجعل إنشاء موقع ويب متاحًا لأي شخص تقريبًا. ولكن مع إمكانية الوصول هذه تأتي القدرة على التنبؤ. يعرف أي شخص لديه خبرة في العمل مع WordPress مكان إجراء التغييرات على الموقع: عبر منطقة wp-admin. إنهم يعرفون حتى أين يجب أن يذهبوا للوصول إلى wp-admin ، صفحة wp-login.php.

افتراضيًا ، يكون عنوان URL لتسجيل الدخول إلى WordPress هو نفسه لكل موقع من مواقع WordPress ، ولا يتطلب أي أذونات خاصة للوصول إليه. هذا هو السبب في أن صفحة تسجيل الدخول إلى WordPress هي الجزء الأكثر هجومًا - وربما عرضة للخطر - من أي موقع WordPress.

لسوء الحظ ، فإن إنشاء روبوت يتجول عبر الإنترنت مرتكبًا هجمات القوة الغاشمة لا يتطلب مهارة كبيرة ، ويمكن لأي متسلل على مستوى المبتدئين إنشاء واحد. نظرًا لأن الهجمات على صفحة تسجيل الدخول إلى WordPress بها عائق دخول منخفض ، فإن أمان تسجيل الدخول إلى WordPress أمر بالغ الأهمية لتأمين أي موقع WordPress.

باتباع هذه القواعد واستخدام أفضل ممارسات الأمان في WordPress ، يمكنك تجنب التعرض لأخطاء تسجيل دخول المستخدم الشائعة.

1. استخدم كلمات مرور قوية

هناك الكثير من المعلومات المربكة والمتناقضة حول أفضل ممارسات أمان كلمة المرور على الإنترنت. في محاولة لإزالة هذا الالتباس ، دعنا نكسر أساسيات كيفية استخدام كلمة مرور قوية في تحسين أمان WordPress الخاص بك.

عند إنشاء كلمة مرور ، فإن العنصر الأول الذي تريد التفكير فيه هو طول كلمة المرور. توضح القائمة أدناه الوقت المقدر الذي يستغرقه اختراق كلمة المرور باستخدام معالج i5 رباعي النواة.

ستستغرق 7 أحرف 0.29 مللي ثانية للتصدع.
8 أحرف سوف تستغرق 5 ساعات للتصدع.
9 أحرف ستستغرق 5 أيام للتصدع.
10 أحرف ستستغرق 4 أشهر للتصدع
11 حرفًا سيستغرق عقدًا واحدًا للتصدع
12 حرفًا ستستغرق قرنين للتصدع.

كما ترى ، فإن إضافة حرف واحد إلى كلمة المرور الخاصة بك يمكن أن يزيد بشكل كبير من أمان تسجيل الدخول الخاص بك.

كلمة مرور تتكون من 12 حرفًا على الأقل وعشوائية وتتضمن مجموعة كبيرة من الأحرف مثل " ISt8XXa! 28X3 " ستجعل من الصعب جدًا اختراقها.

لسوء الحظ ، يستفيد بعض المتسللين من وحدات معالجة الرسومات (GPU) ووحدات المعالجة المركزية (CPU) الأقوى لتقليل مقدار الوقت اللازم لاختراق كلمات المرور. لذلك لتقوية عمليات تسجيل الدخول الخاصة بك ، ضع في اعتبارك أيضًا إنتروبيا كلمة المرور الخاصة بك. كلما زادت إنتروبيا كلمة المرور ، زادت صعوبة اختراق كلمة المرور.

على سبيل المثال ، بناءً على متطلبات الطول فقط ، تتكون كلمة المرور مثل "abcdefghijkl" من 12 حرفًا ، وهو أمر رائع ويجب أن يستغرق 200 عام حتى يتم كسره. ومع ذلك ، نظرًا لأن كلمة المرور تستخدم سلاسل أحرف متسلسلة ، فإنها تجعل كلمة المرور أكثر قابلية للتنبؤ بها مقارنة بكلمة مرور مثل "rfybolaawtpm" التي تحتوي على أحرف عشوائية.

تقلل الأحرف العشوائية من إمكانية التنبؤ وتزيد من قوة كلمة المرور. لكن كلتا كلمتي المرور هاتين تشتركان في شيء واحد يؤدي في النهاية إلى تقليل إنتروبيا كلمة المرور. يستخدم كلاهما أحرفًا صغيرة فقط ، مما يحد من مجموعة الأحرف المحتملة إلى 26 حرفًا. ولهذا السبب من الضروري تضمين أحرف أبجدية رقمية وأحرف كبيرة وأحرف ASCII شائعة لزيادة مجموعة الأحرف اللازمة لاختراق كلمة المرور إلى 92.

نصيحة: استخدم مدير كلمات المرور مثل LastPass لإنشاء كلمات المرور وتخزينها بأمان بسهولة.

نصيحة: على الأقل ، يجب أن تطلب من المستخدمين الذين يمكنهم إجراء تعديلات على WordPress استخدام كلمات مرور قوية. سيساعد استخدام مكون إضافي للأمان في WordPress مثل iThemes Security Pro لإجبار المستخدمين المتميزين على استخدام كلمات مرور قوية على زيادة أمان تسجيل الدخول إلى WordPress.

2. استخدم كلمة مرور فريدة لكل حساب

من أفضل الممارسات الأخرى للأمان عبر الإنترنت استخدام كلمات مرور فريدة لكل حساب وكل تسجيل دخول إلى موقع الويب لديك. هذا مهم للغاية ، سنقوله مرة أخرى: يجب أن تستخدم كلمة مرور مختلفة لكل موقع.

لماذا إعادة استخدام كلمات المرور مهمة للغاية؟ إذا كنت تستخدم نفس كلمة المرور لكل موقع وتم اختراق أحد هذه المواقع ، فأنت تستخدم الآن كلمة مرور مخترقة لكل حساب في كل موقع. يمكن للقراصنة استخدام مقالب البيانات لكلمات المرور المخترقة المقترنة بعنوان بريدك الإلكتروني أو اسم المستخدم للوصول إلى حساباتك. من الأفضل عدم المخاطرة.

كلما زاد عدد المستخدمين الذين يعيدون استخدام كلمات المرور ، كلما كان أمان تسجيل الدخول إلى WordPress أضعف.

في قائمة جمعتها Cybernews ، كانت كلمة المرور الأكثر شيوعًا في عام 2022 هي 123456. أمان تسجيل الدخول إلى WordPress لموقعك قوي فقط مثل أضعف رابط ، لذا كن استباقيًا مع متطلبات كلمة مرور قوية.

نصيحة: حماية WordPress من كلمات المرور المخترقة

يمكنك حماية WordPress من كلمات المرور المخترقة باستخدام مكون إضافي مثل iThemes Security Pro. يستفيد iThemes Security Pro من HaveIBeenPwned API لاكتشاف ما إذا كانت كلمة المرور قد ظهرت في خرق البيانات أم لا.

نصيحة: شجع المستخدمين على تغيير كلمات المرور بشكل متكرر

تتيح لك ميزات متطلبات كلمة المرور في iThemes Security إجبار جميع المستخدمين لديك على تغيير كلمة المرور الخاصة بهم في المرة التالية التي يسجلون فيها الدخول. إن إجبار المستخدمين على إنشاء كلمة مرور جديدة ، يسمح للجميع بالبدء من جديد باستخدام كلمة مرور قوية وغير منقوصة ، مما سيزيد من تسجيل دخولك إلى WordPress الأمان.

نصيحة: استخدم مدير كلمات المرور

في النهاية ، يمكن أن يساعدك استخدام مدير كلمات المرور في تتبع عمليات تسجيل الدخول وكلمات المرور الفريدة. بمساعدة مدير كلمات المرور ، لن تضطر إلى تذكر كلمات المرور الخاصة بك.

3. الحد من محاولات تسجيل الدخول

بشكل افتراضي ، لا يوجد أي شيء مضمّن في WordPress للحد من عدد محاولات تسجيل الدخول الفاشلة التي يمكن لشخص ما القيام بها. بدون حد لعدد محاولات تسجيل الدخول الفاشلة التي يمكن للمهاجم القيام بها ، يمكنهم الاستمرار في تجربة عدد لا نهائي من أسماء المستخدمين وكلمات المرور حتى تنجح.

قم بزيادة أمان تسجيل الدخول إلى WordPress عن طريق تثبيت مكون إضافي للأمان في WordPress مثل iThemes Security Pro للحد من عدد محاولات تسجيل الدخول الفاشلة. تمنحك ميزة الحماية من القوة الغاشمة لـ iThemes Security Pro WordPress القدرة على تعيين عدد محاولات تسجيل الدخول الفاشلة المسموح بها قبل قفل اسم المستخدم أو IP. سيعطل القفل مؤقتًا قدرة المهاجم على إجراء محاولات تسجيل الدخول. بمجرد حظر المهاجمين ثلاث مرات ، سيتم منعهم حتى من مشاهدة الموقع. ملاحظة: عند تحديد مدى صرامة القواعد التي تريدها لمحاولات تسجيل الدخول الفاشلة ، ضع في اعتبارك المستخدمين الفعليين لموقعك. إذا جعلت قواعد الإغلاق لا ترحم ، فإنك تخاطر بإغلاق المستخدمين الحقيقيين عن غير قصد.

4. الحد من محاولات المصادقة الخارجية لكل طلب

هناك طرق أخرى لتسجيل الدخول إلى WordPress إلى جانب استخدام نموذج تسجيل الدخول. باستخدام XML-RPC ، يمكن للمهاجم إجراء المئات من محاولات اسم المستخدم وكلمة المرور في طلب HTTP واحد. تسمح طريقة تضخيم القوة الغاشمة للمهاجمين بإجراء الآلاف من محاولات اسم المستخدم وكلمة المرور باستخدام XML-RPC في عدد قليل من طلبات HTTP. عندما تعرف أن بإمكان المهاجم استخدام تفريغ قاعدة البيانات كنقطة بداية وإجراء آلاف التخمينات لكل طلب ، فهذا يجعل أهمية أمان تسجيل الدخول إلى WordPress أكثر وضوحًا. باستخدام إعدادات WordPress Tweaks الخاصة بـ iThemes Security Pro ، يمكنك حظر محاولات مصادقة متعددة لكل طلب XML-RPC. سيؤدي تحديد عدد محاولات اسم المستخدم وكلمة المرور إلى محاولة واحدة لكل طلب إلى قطع شوط طويل في تأمين تسجيل الدخول إلى WordPress الخاص بك.

بالإضافة إلى ذلك ، عند تطوير خطة أمان تسجيل الدخول إلى WordPress ، من المهم أن تدرك أن WordPress Rest API تضيف طرقًا إضافية لمصادقة مستخدم WordPress. مصادقة ملفات تعريف الارتباط هي إحدى طرق المصادقة عندما تقوم بتسجيل الدخول إلى WordPress يقوم تلقائيًا بتخزين ملف تعريف ارتباط حتى تتمكن المكونات الإضافية والسمات من أداء وظيفة نيابة عنك. ستستفيد مصادقة ملفات تعريف الارتباط من الحماية التي أضفتها إلى ملف wp-login.php.

5. استخدم المصادقة الثنائية

لقد قمت بحفظ أفضل طريقة لزيادة أمان تسجيل الدخول إلى WordPress لآخر مرة: مصادقة WordPress ذات العاملين. تتطلب المصادقة ذات العاملين رمزًا إضافيًا مع اسم مستخدم وكلمة مرور WordPress لتسجيل الدخول.

هناك العديد من طرق المصادقة الثنائية ، ولكن لا يتم إنشاء جميع الطرق على قدم المساواة. إذا كان بإمكانك تجنب استخدام الرسائل القصيرة للمصادقة ذات العاملين. لم يعد المعهد الوطني للمعايير والتكنولوجيا يوصي باستخدام الرسائل القصيرة لإرسال واستقبال رموز المصادقة.

باستخدام مكون أمان WordPress الإضافي ، مثل iThemes Security Pro ، يجب عليك تمكين إما البريد الإلكتروني أو طريقة تطبيق الهاتف المحمول ذات العاملين.

فقط لاحظ أن العديد من المواقع تطلب منك استخدام عنوان بريد إلكتروني كاسم مستخدم. إذا اخترق أحد المهاجمين أحد هذه المواقع ، فستكون الخطوة التالية هي محاولة تسجيل الدخول إلى حسابات البريد الإلكتروني باستخدام عناوين البريد الإلكتروني الجديدة وكلمات المرور التي سرقوها. إذا كان أحد المستخدمين أو العملاء لديك يعيد استخدام كلمات المرور المخترقة على كل موقع ، فسيتم اختراق حساب البريد الإلكتروني الخاص بهم ، بالإضافة إلى رموز البريد الإلكتروني ذات العاملين. ستفعل طريقة تطبيق الجوّال ذات العاملين أكثر من غيرها لزيادة أمان تسجيل الدخول إلى WordPress. سيتم إرسال رمز المصادقة الإضافي المطلوب لتسجيل الدخول إلى هاتف المستخدم. لذلك ، حتى إذا كان المهاجم لديه حق الوصول إلى بيانات اعتماد WordPress والبريد الإلكتروني ، فلن تكون هناك طريقة لتسجيل الدخول.

الخلاصة: قائمة تدقيق بسيطة لأمان تسجيل الدخول إلى WordPress

يجب أن يكون أمان تسجيل الدخول إلى WordPress أولوية قصوى في كل موقع. الآن بعد أن عرفت كيفية زيادة أمان تسجيل الدخول على موقعك ، يمكنك الاستفادة من إستراتيجية منع الاختراق الفعالة هذه.

1. استخدم كلمات مرور قوية
2. استخدم كلمات مرور فريدة لكل حساب
3. الحد من محاولات تسجيل الدخول
4. الحد من محاولات المصادقة
5. استخدم المصادقة الثنائية

احصل على المحتوى الإضافي: دليل لأمان WordPress

انقر هنا

أفضل مكون إضافي لأمن WordPress لتأمين وحماية WordPress

يشغل WordPress حاليًا أكثر من 40٪ من جميع مواقع الويب ، لذا فقد أصبح هدفًا سهلاً للمتسللين ذوي النوايا الخبيثة. يزيل المكون الإضافي iThemes Security Pro التخمين من أمان WordPress لتسهيل حماية موقع WordPress الخاص بك وحمايته. يشبه الأمر وجود خبير أمان بدوام كامل بين الموظفين الذين يراقبون ويحمون موقع WordPress الخاص بك باستمرار.

احصل على iThemes Security Pro

كريستين رايت

تكتب كريستين دروسًا تعليمية لمساعدة مستخدمي WordPress منذ عام 2011. بصفتها مديرة التسويق هنا في iThemes ، فهي مكرسة لمساعدتك في العثور على أفضل الطرق لإنشاء مواقع WordPress فعالة وإدارتها وصيانتها. تستمتع كريستين أيضًا بكتابة اليوميات (تحقق من مشروعها الجانبي ، The Transformation Year !) ، والمشي لمسافات طويلة والتخييم ، والتمارين الرياضية ، والطهي ، والمغامرات اليومية مع عائلتها ، على أمل أن تعيش حياة أكثر حاضرًا.