هل أنت قلق من أن المتسللين قد يقتحمون موقعك؟
بشكل افتراضي ، يتيح لك WordPress تجربة عدد غير محدود من أسماء المستخدمين وكلمات المرور لتسجيل الدخول إلى موقعك.
على الرغم من أن هذا يمنحك تجربة تسجيل دخول أفضل ، إلا أنه يمنح المتسللين أيضًا فرصة لاقتحام موقعك باستخدام “هجمات القوة الغاشمة” حيث يقومون بآلاف المحاولات لتخمين بيانات اعتماد تسجيل الدخول الخاصة بك.
في هذا المنشور ، سنوضح لك كيفية تقييد محاولات تسجيل الدخول على موقعك لمنع المتسللين من الوصول إليه.
لكن أولاً ، دعنا نوضح ماهية هجمات bruce Force ولماذا تعتبر مشكلة خطيرة.
ما هو بالضبط هجوم القوة الغاشمة؟
يقوم العديد من الأشخاص على الإنترنت بتعيين أسماء مستخدمين مشتركة وكلمات مرور ضعيفة باعتبارها بيانات اعتماد تسجيل الدخول الخاصة بهم. يختارون بيانات اعتماد يسهل تذكرها ويستغرقون أقل جهد في كتابتها.
بالنسبة لأسماء المستخدمين ، فإن أكثرها شيوعًا هي “admin” أو الاسم الفعلي للمستخدم. وتميل كلمات المرور إلى أن تكون “123456” أو “qwerty”.
يدرك المتسللون هذا الأمر جيدًا ، ويقومون ببرمجة برامج الروبوت للعثور على صفحة تسجيل الدخول إلى موقعك ثم تجربة قائمة طويلة من بيانات الاعتماد شائعة الاستخدام ومجموعات مختلفة منها.
هذه الروبوتات قادرة على محاولة مئات المجموعات في غضون ثوانٍ. وعندما يخمنون الموقع الصحيح ، فإنهم يقتحمون موقعك ويتسببون في أضرار جسيمة.
أفضل طريقة لمنع هجمات القوة الغاشمة هذه هي الحد من محاولات تسجيل الدخول على موقعك. لذلك عندما يقوم المستخدم بإدخال بيانات اعتماد غير صحيحة ، على سبيل المثال 3 أو 5 مرات ، يتم حظره.
سيحتاج المستخدمون إلى النقر فوق خيار “Lost your password” لاستعادة كلمة المرور الخاصة بهم.
بعد قولي هذا ، فإن الحد من محاولات تسجيل الدخول لا يكفي عندما يتعلق الأمر بحظر المتسللين والتهديدات الأخرى.
تحتاج إلى استخدام حل أمني شامل يحمي موقع الويب الخاص بك تمامًا من مثل هذه الهجمات. يتضمن ذلك حماية CAPTCHA والمصادقة الثنائية وحماية جدار الحماية وقائمة حظر IP.
مع هذا الفهم الأفضل لهجمات القوة الغاشمة ، فلنبدأ في حماية موقعك.
الحد من محاولات تسجيل الدخول على موقع WordPress الخاص بك
أفضل طريقة للحد من محاولات تسجيل الدخول وحماية موقعك هي باستخدام Sucuri . إنه حل أمني شامل يأتي مع جميع التدابير الأمنية التي تحتاجها لحماية موقعك.
و Sucuri تطبيق ويب جدار حماية بالكشف عن المتصفحات وهمية والسير سيئة وبعد ذلك تلقائيا كتل لهم.
وله محرك ارتباط قوي يعمل على إيقاف محاولات القوة الغاشمة دون التأثير على مستخدمي موقع الويب الخاص بك.
وإليك كيفية قيام Sucuri بحظر هجمات القوة الغاشمة على موقعك:
- الحد من محاولات تسجيل الدخول – سيحصل المستخدمون على أقصى عدد من المحاولات لإدخال بيانات الاعتماد الصحيحة قبل أن يُطلب منهم إعادة تعيين كلمة المرور الخاصة بهم
- اكتشاف التوقيع – يتحقق Sucuri من الأنماط المعروفة للمتسللين والبرامج الضارة ويحظرهم قبل وصولهم إلى موقعك.
- حظر الروبوتات والمسح الضوئي – يحدد ويحظر الأدوات الآلية وروبوتات القوة الغاشمة التي تهاجم موقعك.
- 2 عامل المصادقة – يمكنك إضافة طبقة أمان إضافية على موقعك تتطلب من المستخدمين توفير كلمة مرور لمرة واحدة يتم إنشاؤها في الوقت الفعلي.
- CAPTCHA ورموز المرور – يتيح لك إضافة حماية CAPTCHA إلى صفحة تسجيل الدخول الخاصة بك ، لذلك لن تتمكن برامج الروبوت من تمرير مصادقة تسجيل الدخول الخاصة بك. أو يمكنك حتى أن تطلب من المستخدمين إدخال رمز مرور ثابت.
- الحجب الجغرافي – إذا اكتشف جدار الحماية Sucuri أن معظم محاولات القوة الغاشمة تأتي من موقع معين ، فيمكنك حظر الزائرين من نطاقات IP هذه أو حتى منع بلد بأكمله من الوصول إلى موقعك.
- السماح بالقائمة – يمكنك أيضًا حظر كل مستخدم من صفحة تسجيل الدخول الخاصة بك وإدراج عناوين IP لفريقك الموثوق فقط في القائمة البيضاء.
الآن ، لنقم بإعداد Sucuri على موقعك لتنفيذ محاولات تسجيل دخول محدودة وإجراءات وقائية أخرى.
الخطوة 1: تثبيت وتنشيط Sucuri
لدى Sucuri ماسح ضوئي مجاني للأمان متاح في مستودع WordPress.
نوصي بتثبيت وتفعيل هذا المكون الإضافي على موقعك أولاً. سيسمح لك ذلك بالوصول إلى إعدادات الأمان وتشغيلها مباشرةً من لوحة معلومات WordPress الخاصة بك.
للوصول إلى جدار الحماية القوي الذي سيحمي موقع الويب الخاص بك من هجمات القوة الغاشمة ، ستحتاج إلى التسجيل للحصول على إصدار Pro .
نوصي باستخدام خطة Pro التي تكلف 299 دولارًا سنويًا. يمنحك الوصول إلى جميع الميزات التي ستحتاج إليها ليس فقط لمنع هجمات القوة الغاشمة ولكن الاختراقات الأخرى مثل حقن البرامج الضارة وهجمات DDoS.
بمجرد التسجيل وإنشاء حساب مع Sucuri ، يمكنك البدء.
الخطوة 2: تمكين Sucuri Security Scanner
من لوحة معلومات WordPress الخاصة بك ، انتقل إلى علامة التبويب Sucuri »لوحة المعلومات .
في هذه الصفحة ، ستحتاج إلى إدخال مفتاح API الخاص بك. للقيام بذلك ، انقر فوق الزر “إنشاء مفتاح واجهة برمجة التطبيقات” .
سيؤدي هذا إلى فتح نافذة منبثقة حيث يتم ملء موقع WordPress والبريد الإلكتروني للمسؤول مسبقًا. يمكنك تغييره إذا أردت.
ثم حدد المربعات للموافقة على شروط الخدمة وسياسة الخصوصية. وحدد زر “إرسال” لإنشاء مفتاح API.
سترى نافذة منبثقة تفيد بأن موقعك قد تم تسجيله بنجاح. يمكنك التوجه إلى لوحة القيادة Sucuri.
مع ذلك ، يحتوي موقعك على ماسح أمان نشط على موقعك. سيُظهر لك ما إذا كان موقعك نظيفًا أم لا ، وما إذا كنت مدرجًا في أي قوائم حظر.
الخطوة 3: تفعيل Sucuri Security Firewall
لتمكين جدار الحماية Sucuri ، انتقل إلى علامة التبويب Sucuri »جدار الحماية (WAF) في لوحة معلومات WordPress الخاصة بك.
هنا ، ستحتاج إلى إدخال مفتاح API الخاص بك.
يمكنك العثور على هذا المفتاح في حسابك على موقع Sucuri الإلكتروني ضمن علامة التبويب الإعدادات »واجهة برمجة التطبيقات .
انسخ المفتاح وأدخله في لوحة معلومات WordPress الخاصة بك واحفظ إعداداتك. وهذا كل شيء! تم تمكين جدار الحماية الخاص بك.
الخطوة 4: تعديل إعدادات DNS
الآن ستحتاج إلى توجيه حركة المرور الخاصة بك إلى جدار الحماية Sucuri حتى يتمكن من التحقق منه وتصفية العناصر السيئة. بعد القيام بذلك ، سيتم توجيه حركة المرور إلى خادم استضافة الويب الخاص بك.
لإعداد هذا ، انتقل إلى الإعدادات » علامة التبويب عام في لوحة معلومات Sucuri.
أولاً ، سترى الخيار الأسهل وهو التكامل التلقائي . إذا كانت لديك تفاصيل تسجيل الدخول الخاصة باستضافة الويب ، فيمكنك استخدام هذا الخيار.
ما عليك سوى تحديد استضافة “cPanel” أو “Plesk”. يستخدم معظم مضيفي الويب cPanel ، ولكن يمكنك التحقق من فريق دعم مضيفك إذا لم تكن متأكدًا من أي واحد تريد استخدامه.
ستحتاج إلى تقديم تفاصيل تسجيل دخول الاستضافة الخاصة بك وسيتم دمجها تلقائيًا.
إذا لم ينجح هذا الأمر بالنسبة لك ، في نفس الصفحة ، سترى خيارات لاستخدام خوادم DNS الخاصة بـ Sucuri أو يمكنك تكوين خوادم DNS الخاصة بك يدويًا.
اتبع الإرشادات المقدمة وقم بتحديث عنوان IP للسجل “أ” لموقعك.
إذا كنت لا تفهم ما يعنيه أي من هذا ، فلا تقلق. يمكنك الاتصال بمضيف الويب الخاص بك أو مسجل المجال وسيقومون بإرشادك خلاله. أو يمكنك أيضًا رفع تذكرة مع Sucuri ، وسيساعدك فريقهم في تغيير سجلات DNS.
بمجرد الانتهاء ، سيتم توجيه حركة المرور الخاصة بك أولاً إلى جدار الحماية الخاص بـ Sucuri ثم العودة إلى خوادم استضافة WordPress الخاصة بك.
يمكن أن تستغرق التغييرات التي تم إجراؤها على نظام أسماء النطاقات ما يصل إلى 48 ساعة حتى تنعكس ، ولكنها تحدث عادةً في غضون ساعات قليلة.
الخطوة 5: مراقبة موقعك
سيحمي جدار الحماية Sucuri موقعك ويمنع أي هجمات من قبل المتسللين والروبوتات الضارة. وسيقدم لك تقارير على لوحة المعلومات الخاصة به مثل الهجمات المحظورة ، ومتوسط حركة المرور في الساعة ، وحركة المرور حسب البلد.
يجب عليك استخدام هذه التقارير لمراقبة أمان موقعك والبقاء على اطلاع دائم على الهجمات الفاشلة.
الخطوة 6: إضافة عناوين IP للمستخدم إلى القائمة البيضاء (اختياري)
في حالة رغبتك في حظر جميع عناوين IP من الوصول إلى لوحة الإدارة والسماح لفريقك أو المستخدمين المصرح لهم فقط ، يمكنك القيام بذلك ضمن علامة التبويب التحكم في الوصول .
هنا ، يمكنك إضافة جميع عناوين IP التي تريد إدراجها في القائمة البيضاء. بعد ذلك ، قم بالتبديل إلى علامة التبويب الأمان .
سترى خيارًا لتمكين “لوحة المشرف مقيدة بعناوين IP المدرجة في القائمة البيضاء فقط” .
حدد هذا المربع واحفظ خيارات الأمان الخاصة بك. الآن يمكن فقط لعناوين IP المدرجة في القائمة البيضاء الوصول إلى صفحة تسجيل الدخول الخاصة بك.
وهذا كل شيء! سيقوم Sucuri تلقائيًا بتطبيق حماية تسجيل الدخول إلى موقعك. وليس هذا فقط ، فسيتم حماية موقعك من جميع أنواع البرامج الضارة والهجمات.