أمان تسجيل الدخول إلى WordPress: 5 خطوات سهلة لتأمين صفحة تسجيل الدخول الخاصة بك
نشرت: 2021-10-20هل تتساءل عما إذا كان يجب أن تقلق بشأن أمان تسجيل الدخول إلى WordPress؟
WordPress هو نظام إدارة المحتوى الأكثر شيوعًا في العالم لأنه من السهل جدًا إنشاء موقع ويب به. على الرغم من أنه CMS مجاني ، إلا أن هناك ثمنًا يجب دفعه. WordPress يمكن التنبؤ به للغاية ، مما يجعله هدفًا سهلاً في بعض الأحيان.
خذ ، على سبيل المثال ، صفحة تسجيل الدخول.
يحتوي كل موقع ويب WordPress على نفس صفحة تسجيل الدخول (/wp-admin.com أو /wp-login.php). اجمع بين إمكانية التنبؤ والميل البشري لاستخدام بيانات اعتماد ضعيفة ، وستصبح الصفحة هدفًا مغرًا للمتسللين.
يقول خبراء الأمن أن صفحة تسجيل الدخول هي أكثر الصفحات عرضة للخطر على موقع الويب. كل يوم ، ينشر المتسللون الروبوتات لتنفيذ هجمات القوة الغاشمة على تلك الصفحة. من خلال اكتشاف بيانات اعتماد تسجيل الدخول الخاصة بك ، يمكنهم بسهولة الوصول إلى نظام إدارة المحتوى الخاص بك. لذلك ، يجب أن تفعل كل ما في وسعك لحمايتها من هؤلاء الضيوف غير المدعوين.
في هذه المقالة ، سنعرض لك خمس طرق متقدمة لتحسين أمان تسجيل الدخول إلى WordPress ومنع الاختراق.
كيفية تأمين صفحة تسجيل الدخول إلى WordPress في عام 2022
هناك الكثير من النصائح السيئة في مجال الأمن السيبراني. يهدف معظمها إلى دفع الناس إلى الخوف وجعلهم يستسلموا للخيارات القهرية. بدلاً من إضافة الضوضاء ، في هذه المقالة ، سنعرض لك الطرق التي تعمل بالفعل. هؤلاء يكونون:
- تغيير عنوان URL لصفحة تسجيل الدخول
- تنفيذ المصادقة ذات العاملين
- الحد من محاولات تسجيل الدخول الفاشلة
- منع اكتشاف اسم المستخدم
- استخدام تسجيل الخروج التلقائي
يجب أن تكون قد لاحظت أننا لم نقم بتضمين فرض كلمات مرور قوية وتثبيت شهادات SSL. هذا لأنه معطى. نأمل أن تكون قد استخدمت بالفعل. راجع أدلةنا الأخرى حول كيفية القيام بذلك.
ملاحظة: لتنفيذ الإجراءات التي ذكرناها أدناه ، ستحتاج إلى تثبيت مكون إضافي أو اثنين. ونحن نعلم أنه حتى أفضل المكونات الإضافية يمكن أن تتسبب في حدوث عطل. لذلك قم بعمل نسخة احتياطية من موقع الويب الخاص بك قبل المتابعة.
الآن ، لنبدأ:
1. قم بتغيير عنوان URL لصفحة تسجيل الدخول
كما قلنا في بداية المقال ، تبدو صفحة تسجيل الدخول الافتراضية إلى WordPress كما يلي:
-
www.website.com/wp-admin/ -
www.website.com/wp-login.php/
يعرفه الجميع ، بما في ذلك المتسللين الذين يصممون روبوتات تستهدف صفحات تسجيل الدخول إلى WordPress. ونظرًا لأن 59٪ من الأمريكيين [1] يستخدمون كلمات مرور ضعيفة ، فمن السهل جدًا اختراق موقع ويب عن طريق الضغط الغاشم على صفحة تسجيل الدخول .
تتمثل إحدى طرق حماية صفحة تسجيل الدخول الخاصة بك في تغيير عنوان URL.
يعد إنشاء عنوان URL مخصص لصفحة تسجيل الدخول أمرًا سهلاً. هناك عدد من المكونات الإضافية المتاحة التي تتيح لك القيام بذلك ببضع نقرات.
سنستخدم المكون الإضافي WPS Hide Login لتوضيح العملية ، ولكن إذا كنت تفضل أيًا من المكونات الإضافية الأخرى ، فانتقل إلى الأمام مباشرةً. ستكون الخطوات سهلة وسريعة بنفس القدر.
كيفية تغيير عنوان URL الخاص بتسجيل الدخول إلى WordPress
قم بتثبيت وتنشيط WPS إخفاء تسجيل الدخول. انتقل إلى الإعداد ← إخفاء WPS تسجيل الدخول .
قم بالتمرير لأسفل في الجزء السفلي من الصفحة ، وأدخل عنوان URL الجديد في قسم عنوان URL لتسجيل الدخول ، واضغط على حفظ التغييرات .
حاول تسجيل الدخول بعنوان URL الجديد. لا تنس مشاركتها مع زملائك في الفريق.
إذا كنت بحاجة إلى مساعدة ، فإليك دليلنا المخصص: كيفية تغيير عنوان URL لصفحة تسجيل الدخول إلى WordPress.
2. تنفيذ المصادقة ذات العاملين
يجب أن تكون قد صادفت المصادقة ذات العاملين أثناء استخدام Facebook و Gmail. ترسل الخدمات عادةً رمزًا فريدًا إلى رقم هاتفك المحمول المسجل كلما حاولت تسجيل الدخول إلى حسابك. يتم تنفيذ هذا الإجراء الأمني للتأكد من أن صاحب الحساب فقط يمكنه الوصول إليه. حتى إذا تمكن المتسللون من وضع أيديهم على بيانات الاعتماد الخاصة بك ، فلا توجد طريقة يمكنهم من خلالها سرقة الرمز الفريد المرسل إلى رقم هاتفك المحمول المسجل.
يمكن أيضًا تطبيق المصادقة ذات العاملين على موقع WordPress الخاص بك. ستضيف طبقة من الأمان إلى صفحة تسجيل الدخول. كل ما عليك فعله هو تثبيت أي من المكونات الإضافية التالية:
- أداة مصادقة Google من miniOrange
- Google Authenticator - المصادقة الثنائية (2FA)
- WP 2FA بواسطة WP White Security
يعد إعداد مكون إضافي للمصادقة الثنائية أمرًا سهلاً للغاية. سنستخدم أداة مصادقة Google من miniOrange لتظهر لك عملية الإعداد.
كيفية تنفيذ المصادقة ذات العاملين
قم بتثبيت أداة مصادقة Google الخاصة بـ miniOrange على صفحة تسجيل الدخول إلى WordPress الخاصة بك. بمجرد تنشيط المكون الإضافي ، تظهر أداة الإعداد. اختر الخيار الأول ، أي Google Authenticator .
بعد ذلك ، قم بتنزيل تطبيق Google Authenticator على هاتفك الذكي. افتح التطبيق وامسح رمز الاستجابة السريعة ضوئيًا .
يُنشئ التطبيق رمزًا . أدخله في أداة الإعداد واضغط على حفظ .
2FA WordPress أمان تسجيل الدخول نشط الآن على صفحة تسجيل الدخول الخاصة بك.
3. الحد من محاولات تسجيل الدخول الفاشلة
يسمح WordPress لمستخدميه بمحاولات تسجيل غير محدودة. قد يبدو هذا غير ضار ، ولكن بصراحة ، إنها ثغرة أمنية صارخة.
تمكّن محاولات تسجيل الدخول غير المحدودة المتسللين من تنفيذ هجمات القوة الغاشمة. في هذا النوع من الهجوم ، ينشر المتسللون روبوتات للعثور على المجموعة الصحيحة من اسم المستخدم وكلمة المرور. تفشل الروبوتات عدة مرات قبل اكتشاف أوراق الاعتماد الصحيحة. واحدة من أكثر الطرق فعالية لمواجهة هجمات الروبوت هي الحد من محاولات تسجيل الدخول.
ستساعدك المكونات الإضافية أدناه على القيام بذلك:
- الحد من محاولات تسجيل الدخول المعاد تحميلها
- WPS Limit Login
- محاولات تسجيل الحد الفسفور الابيض بواسطة Arshid
كيفية الحد من محاولات تسجيل الدخول الفاشلة
قم بتثبيت البرنامج المساعد ثم انتقل إلى الحد من محاولات تسجيل الدخول -> الإعدادات -> التطبيق المحلي . هنا يمكنك تعيين عدد مرات السماح بمحاولات تسجيل الدخول على موقع الويب الخاص بك. وإلى متى سيظل شخص ما مغلقًا بعد عدد محاولات تسجيل الدخول المذكورة.
4. منع اكتشاف اسم المستخدم
عادة ، يعتبر اسم المستخدم أقل أهمية من كلمة المرور. إنه سجل متاح للجمهور ، ولهذا نفترض أنه يجب أن يكون ذا قيمة منخفضة. غير صحيح.
اسم المستخدم يشكل نصف بيانات الاعتماد الخاصة بك. يجب أن يكون محميًا ، تمامًا مثل كلمة المرور.
على موقع WordPress على الويب ، ستجد أسماء المستخدمين معروضة في المنشورات ومحفوظات المؤلف. لحسن الحظ ، هناك طريقة لتعطيلهما.
كيفية تعطيل أرشيف المؤلف
يمكن القيام بذلك بمساعدة أي مكون إضافي لتحسين محركات البحث. في البرنامج التعليمي أدناه ، نستخدم Yoast SEO لإظهاره.
انتقل إلى SEO → Search Appearance → Archives ثم قم بتعطيل أرشيفات المؤلف. اضغط على حفظ التغييرات .
كيفية تغيير اسم العرض
يظهر اسم العرض في المقالات والتعليقات المنشورة. افتراضيًا ، يكون اسم العرض واسم المستخدم (الاسم الذي تستخدمه لتسجيل الدخول) هو نفسه. لمنع اكتشاف اسم المستخدم ، يمكنك تغيير اسم العرض إلى اسم آخر.
انتقل إلى المستخدمون ← الملف الشخصي ← اللقب . لا يمكنك تغيير اسم العرض مباشرة. بدلاً من ذلك ، قم بتغيير اللقب. ثم حدد اللقب الجديد من القائمة المنسدلة أدناه.
5. تسجيل الخروج التلقائي
تسجيل الدخول التلقائي يحمي مواقع الويب من المتلصصين. عندما يغادر المستخدمون الجلسات دون مراقبة ، تنهي عمليات تسجيل الخروج التلقائي الجلسة ، مما يحمي موقع الويب.
سلوك WordPress الافتراضي هو تسجيل خروج المستخدم بعد 48 ساعة من انتهاء صلاحية ملف تعريف ارتباط جلسة تسجيل الدخول. وإذا حدد المستخدم مربع "تذكرني" ، فستظل مسجلاً للدخول لمدة 14 يومًا. لإنهاء الجلسات بسبب القليل من وقت الخمول ، تحتاج إلى تثبيت مكون إضافي منفصل.
تساعدك المكونات الإضافية أدناه على تسجيل الخروج التلقائي لإنهاء جلسات المستخدم الخاملة:
- تسجيل خروج غير نشط
- أمان iThemes
كيفية تمكين تسجيل الخروج التلقائي
قم بتنشيط المكون الإضافي ثم انتقل إلى الإعدادات → Inactive Logout → Basic Management . اضبط الساعة على مهلة الخمول. هناك خيارات للمهلة المستندة إلى الدور أيضًا. تحقق من ذلك إذا كنت ترغب في ذلك.
الخلاصة بشأن أمان تسجيل الدخول إلى WordPress
كل مجموعة؟ عظيم! قبل أن تغادر هذه الصفحة ، نصيحة أخيرة: تحسين أمان تسجيل الدخول إلى WordPress يأخذك خطوة أقرب إلى تأمين موقع الويب بالكامل ، وهذا هو الهدف النهائي!
على الرغم من أنك نفذت تدابير لمنع المتسللين من التسلل إلى موقع الويب الخاص بك ، فلا يزال بإمكان المتسللين الوصول من خلال السمات والمكونات الإضافية الضعيفة. لذلك ، حافظ على موقعك محدثًا على مدار الساعة.
لمزيد من تأمين موقع الويب الخاص بك ، نوصي بشدة باتخاذ جميع التدابير الأمنية التي يغطيها هذا الدليل: 10 نصائح أمان رئيسية في WordPress.
إذا كانت لديك أي أسئلة حول كيفية التعامل مع أمان تسجيل الدخول إلى WordPress ، فأخبرنا بذلك في التعليقات أدناه.