حاول مخترقون إلي الدخول إلي موقعكم عبر تخمين كلمة مرور ووردبريس الخاص بكم. يمكن لمستخدمي ووردبريس إختبار كلمات مرور مختلفة للدخول دون أي تقييد. يسمي هذا الإجراء إلي هجوم القوة الغاشمة. نحاول في هذا البرمج التعليمي إلي دراسة الحد من عدد محاولات تسجيل الدخول إلى ووردبريس .
لماذا يجب علينا الحد من عدد محاولات تسجيل الدخول إلى ووردبريس ؟
يعد ووردبريس أشهر نظام إدارة المحتوي في عالم الويب. يستخدم حوالي 20 في المئة جميع مواقع الويب من ووردبريس لإنشاء المحتوي.
الظن الرائج هو أن يكون لدي ووردبريس إجراءات أمنية مشددة. هذا ليس ظن خطأ. كذلك يمكن القول أن يكون إجراءات أمنية مشددة أحد من أسباب إشتهار ووردبريس. بسبب مفتوح المصدر هذا البرمج يعمل الكثير من المطورين عليها لإزالة المشاكل الأمنية فيها.
إذا إستخدم ووردبريس صحيحاً أمنها مضمون. بالطبع يمكن زيادة الأمن من خلال إضافة. يمكنك إنشاء طبقة أمنية كثيرة لإدخال مخترقين إلي ووردبريس من خلال إضافة مجانة Login LockDown.
هل يضرر موقعكم في مواجهة حملات القوة الغاشمة؟
يستخدم المخترقين من الأساليب المختلفة لإدخال إلي مواقع ووردبريس. يشتهر إحدي من هذه الأساليب إلي القوة الغاشمة.
يحدث هجوم القوة الغاشمة عندما يحاول مخترق إلي الإدخال إلي لوحة معلومات ووردبريس عبر تخمين كلمة المرور. عادة، يحاول المخترقون إلي تخمين زمن كلمة مرور ووردبريس الخاص بكم في أسرع وقت عبر برمج. لقد حان الوقت للمتسلل لتخمين كلمة المرور للوصول إلى لوحة معلومات WordPress.
يكون القوة الغاشمة إحدي من الأسباب لأفضلية تغيير رمز إفتراضي ووردبريس. يبدأ هجوم الغوة الغاشمة مع كلمة مرور 12345 أو qwerty عادتاً. من الأسف، يستخدم الكثير من مستخدمي ووردبريس من كلمة مرور بسيطة.
تعليم الحد من عدد المحاولات لإدخال إلي ووردبريس
يمكن تقييد عدد المحاولات للإدخال إلي ووردبريس من خلال إضافة Login LockDown. تقدّم هذه الإضافة بيان الحالة من جميع IP مستخدمين للإدخال. إذا قام IP إلي إدخال كلمة المرور الخاطئة بمرات عديدة فإنه يمنع عن إدخالها تلقائياً. بالطبع يجري هذا التقييد في فترة مؤقتة.
إعدادات إضافة Login LockDown
إنتقل إلي قسم الإضافات و قسم زيادة لتثبيت Login LockDown. إبحث هنا عن إسم الإضافة و إنقر على خيار قم بتثبيت حالياً. أو يمكنك تنزيل الإضافة عبر موقع ووردبريس و قوموا بتثبيت Login LockDown عبر طريقة تثبيت الإضافة من خلال الملفّ الضغط.
إنتقل إلي Setting و ثمّ Login LockDown للقيام إلي إعدادات الإضافة بعد تثبيت و تفعيل الإضافة.
إفتراضياً، تحظر هذه الإضافة لمدة 60 دقيقة أي IP فشل في تسجيل الدخول ثلاث مرات في دقيقة واحدة. يمكن ضبط كل هذه الأوقات. يمكنك تحديد عدد إدخالات غير ناجحة في قسم Max Login Retries. يمكنك زديادة أو تقليل مدة 5 دقائق في قسم Retry Time Period Restriction.
لاتقوم الإضافة إلي عمل عندما من حاول إلي الإدخال إلي موقع مع إسم مستخدم لا يجد في الموقع. يمكن تغيير هذه الإعدادات في قسم Lockout Invalid Username.
إذا قاموا بإدخال إسم مستخدم admin مع كلمة المرور الخاطئة في ووردبريس. تعرض رسالة ERROR: The password you entered for the username admin is incorrect. كما هذه الرسالة كانت مفيدة لكم فإنه مفيدة للمخترقين كذلك. قاموا في قسم Mask Login Errors إلي تحديد عدم عرض هذا النموذج من الإرشادات لأي شخص.
في المرحلة الأخيرة، تعرض في صفحة إدخال المستخدمين رسالة على أساس إستخدام هذه الإضافة في الحد من عدد المحاولات للإدخال إلي ووردبريس. يمكن ضبط عرض هذه الرسالة أو عدم عرضها كذلك.
تعليم فك الحساب المغلق في ووردبريس
نحقق في هذا القسم من كيفية الحساب المغلق في ووردبريس. لاحظ أنه يمكن أن يختلف أسلوب فك الحساب المغلق وفقاً لنموذج الإضافة. ولكن يكون لدي العديد من الإضافات نظام إستعادة الحساب المغلق.
الطريقة الأولي: إستعادة الحساب يدوياً
إنتقل إلي Setting و إنقر هناك على Login LockDown من خلال لوحة معلومات رئيسية ووردبريس. إنقر في النافذة المفتوحة على علامة التبويب Activity. يدلّ الرقم الموجود بين القوسين على عدد الحسابات المغلقة.
تلاحظ في هذا القسم قائمة من الحاسابات المغفلة. يمكنك فك الحساب المغلق عبر إختيار أي IP و النقر على Release Selected.
تعد هذه الطريقة أسهل أسلوب لفك الحساب. يمكنك في ظروف تضطرون إلي القيام إلي هذا العمل من خلال سي بانيل. إذا يمكنك الوصول إلي سي بانيل فتستطيع إستخدام الطريقة التالية أيضاً.
الطريقة الثانية: من خلال سي بانيل
يجعل معلومات مستخدم الخاص بكم من خلال الإستضافة الخاص بكم. بالطبع تذكر أن وجود IP مطلوب لفك الحساب المغلق من خلال هذه الطريقة. من الأفضل الحصول على النسخ الإحتياطي من موقع الويب الخاص بكم. تستطيع إستعادة موقع الويب الخاص بكم إلي حالته الأولي إذا قمت بإدخال الرمز الخاطئ عبر ملف النسخ الإحتياطي.
إنتقل إلي سي بانيل و إنقر هناك على phpMyAdmin. إنتقل إلي علامة تبويب SQL. الآن أدخل الشفرة المكتوبة في التالي في هذا القسم. هذا الرمز يعتبر مسودة عامة من شئ يجب عليكم كتابته:
update wp_lockdowns set release_date=”Year-Month-Day Time” where lockdown_IP=”<IP address>”;
أدخل في قسم Year-Month-Day Time التأريخ مثل النموذج. (أدخل تأريخ اليوم):
2018-12-25
قم بإدخال الساعة مثل النموذج (قم بإدخال ساعة نفس اليوم):
6:00 PM EST
أيضاً، يجب عليكم إدخال عنوان IP صحيح في قسم IP address.
إضافة Login LockDown أو WordFFence Security
سواء إستخدمنا الإضافة WordFence Security أو Login LockDown و لا يمكن القول على وجه اليقين. يعتبر الإضافة WordFence Security أداة لإدارة الموقع. و مع ذلك، تم تصميم LoginLock Down خصيصاً لمنع هجمات القوة الغاشمة.
لا يكون أي تداخل بين هذين إضافتين. يمكنك إستخدام إضافتين في الوقت الواحد. إستخدام إضافتين يؤثر على زيادة الأمن في موقعكم.
الأساليب الآخري للحفاظ على أمن الموقع
هجمات القوة الغاشمة ليست هي المشكلة الأمنية الوحيدة التي تقلقكم. يجب عليكم مراعاة بما يلي من أجل سلامة موقع ووردبريس الخاص بكم:
- إستخدم من أحدث إصدارات ووردبريس دائماً.
- قم بإستبدال إسم المستخدم الإفتراضي من admin إلي الإسم الآخر.
- لا تستخدم الرموز البسيطة. حاول إلي إختيار الرموز المناسبة لموقعكم.
- قم بتغيير أول بادئات قاعدة البيانات.
