يأتي رابط تسجيل الدخول إلى أي موقع ووردبريس بصورة افتراضية عامًّا ومعروفًا للجميع، حيث يكون على الشكل: (www.DomainName.com/wpadmin). ولكن لم قد يكون رابط صفحة الدخول عامل قلق بالنسبة لك؟ ولم يجب عليك التفكير في تغيير رابط الدخول للوردبريس وإضافة أداة Captcha إليه؟
في الواقع يمكن أن يشكّل الإبقاء على رابط تسجيل الدخول كما هو خطورةً محتملة على أمان موقعك، فليس من الجيد سهولة توقع صفحة تسجيل الدخول وكذلك زيادة محاولات اختراق تلك الصفحة التي تعتبر بوابة إلى كافة إعدادات موقعك، لذلك سنشرح لك تأمين هذه الصفحة عن طريق تغيير ذلك الرابط الافتراضية وإضافة خاصية التحقق الآلي (reCAPTCHA).
لماذا تغيير رابط صفحة تسجيل الدخول؟
إن كنت تريد زيادة درجة الأمان وحماية موقع الووردبريس الخاص بك فإحدى أهم الطرق لتحقيق ذلك هي تعديل رابط صفحة تسجيل الدخول وجعله مُتاحًا فقط للأعضاء أو المشرفين في الموقع. تخصيص رابط الصفحة ليكون متاحًا فقط لأشخاص معينين فقط من شأنه أن يحمي موقعك من أي محاولة قرصنة أو دخول غير مصرّح به، والذي قد يؤثر على سرعة موقعك وأداءه، أو حتى على أمان الموقع ويعرّض بيانات المستخدمين للخطر.
من أشهر الهجمات التي تتعرض لها مواقع الووردبريس هي هجمات brute force attack، والتي تتضمن سلسلة من محاولات توقع حسابات تسجيل الدخول من خلال تلك الصفحة الرئيسية بهدف اختراق الموقع وسرقة بياناته أو حتى حجب بيانات الموقع والمستخدمين، وبالتالي فإن تغييرك لهذا الرابط الافتراضي يُفشِل كافة تلك المحاولات.
يمكننا توضيح أن الآلية التي يتّبعها معظم القراصنة أثناء محاولة اختراق موقعك عبر رابط تسجيل الدخول العام، وذلك من خلال الخطوات التالية:
الوصول إلى رابط الموقع الأساسي: www.Example.com
تحديد إذا ما كان الموقع قد تم تصميمه وتطويره باستخدام الووردبريس أم منصة أخرى، وذلك عن طريق إحدى الأدوات أو عبر التحقق من بعض الملفات المعروفة والتي تكون داخل ووردبريس، مثل /wp-content و /wp-includes وغيرها.
التأكد من أن الموقع تم تصميمه عبر منصة الووردبريس، يكون من السهل توقع صفحة تسجيل الدخول إلى لوحة التحكم الافتراضية إذا لم يكن قد تم تغييرها، وهي /wp-admin.
بعد الوصول إلى صفحة تسجيل الدخول يبدأ المقرصنون بتخمين اسم المستخدم وكلمة المرور، ويكون ذلك سهلًا للغاية في حال كانت بيانات تسجيل الدخول هي البيانات الإفتراضية واسم المستخدم هو Admin، وبالطبع إن كنت على أدنى دراية بكيفية تصميم موقع على الووردبريس فلن تبقي على كلمة السر تلك كما هي.
بعد تخمين اسم المستخدم وكلمة المرور ونجاحهم في الدخول إلى لوحة تحكم الموقع، يمكنهم إلحاق الضرر بالكثير من ملفات الموقع وبيانات مستخدميه.
بعد هذا الاستعراض السريع لأبرز الأخطار التي قد يتعرض لها موقعك من خلال رابط تسجيل الدخول العام، وأهمية تغيير ذلك الرابط في تأمين موقعك، وكذلك نفس الأمر في إضافة نظام التحقق البشري reCAPTCHA في صفحة تسجيل الدخول، وهذا ما سنشرحه في السطور القادمة.
تغيير رابط تسجيل الدخول إلى لوحة تحكم الووردبريس /wp-admin
دعنا الآن نستعرض إحدى الطرق لتغيير رابط صفحة تسجيل الدخول إلى لوحة تحكم الووردبريس باستخدام إحدى الإضافات سهلة الاستخدام، وهي إضافة WPS Hide Login والتي تساعدك في تغيير الرابط من داخل لوحة التحكم.
في البداية سنقوم بتنصيب الإضافة من خلال لوحة تحكم الووردبريس، ثم الذهاب إلى: إضافات << أضف جديد، وكتابة اسم الإضافة في مربع البحث ثم تنصيب وتفعيل الإضافة بالخطوات المعروفة لتنصيب إضافة جديدة.
ثم بعد تنصيب وتثبيت الإضافة على موقعك يمكنك الدخول إلى صفحة الإعدادات الخاصة بالإضافة المدمجة داخل لوحة تحكم الووردبريس، أسفل تبويبة (إعدادات)، لتجد تبويبة (WPS Hide Login) لترى لوحة تحكم الإضافة بالشكل التالي:
كما هو موضّح في الصورة ستجد خيار (رابط تسجيل الدخول) ، والذي تستطيع تعديله ليكون رابط تسجيل الدخول المخصص لموقعك. إذا قمت بكتابة LOGIN سيكون رابط تسجيل الدخول: www.DomainName.com/login .
بعد تعديل هذا الخيار وتأكيد التعديل، لن تتمكّن من تسجيل الدخول إلى موقع الووردبريس عبر الرابط المعتاد: site.com/wp-admin، بل سيظهر لك صفحة خطأ 404 وتستطيع الدخول عبر الرابط الجديد الذي خصصته في هذه الخطوة.
تغيير رابط تسجيل الدخول من خلال wp-login.php
في الطريقة السابقة قمنا بتغيير رابط تسجيل الدخول إلى لوحة تحكم الووردبريس باستخدام إحدى الإضافات بحيث لن تكون مضطرًا إلى تعديل الأكواد البرمجية الخاصة بموقعك من أجل عمل تلك المهمة، ولكن يمكنك في الخطوة التالية تنفيذ نفس المهمة بطريقة يدوية دون استخدام أية إضافات.
الجدير بالذكر أن خطوات التعديل اليدوي لرابط تسجيل الدخول تجريها الإضافات تلقائيًّا، لذا عمليًّا ما سنقوم به الآن هو إجراء نفس الخطوات السابقة ولكن بشكل يدوي، وذلك لأن البعض يفضّل تفادي تنصيب المزيد من الإضافات على مواقعهم حتى لا تؤثر على أداء الموقع.
ملحوظة: ننصحك بأخذ نسخة احتياطية من موقعك قبل تنفيذ الخطوة المقبلة، وذلك تفاديًا من حدوث أي ضرر في عمل التعديل بشكلٍ خاطئ.
والآن سننتقل إلى لوحة التحكم الخاصة باستضافة موقعك (Cpanel)، ثم قم بالدخول إلى تبويبة “مدير الملفات”، بهدف استعراض كافة الملفات الخاصة بالموقع، والتي من ضمنها الملف البرمجي المسؤول عن عملية تسجيل الدخول إلى الووردبريس.
بعد الدخول إلى مدير الملفات ستجد ملف wp-login.php وهو موجود تحت مسار public_html داخل مدير الملفات:
بعد وصولك إلى ملف wp-login.php يمكنك النقر على الملف بيمين الماوس، ثم النقر على خيار (Edit) لكي يفتح لك صفحة التعديل على الملف والتي ستظهر فيها كافة الأكواد البرمجية الخاصة بعملية تسجيل الدخول إلى الووردبريس، من ضمنا الرابط المحدد الذي يمكنك تسجيل الدخول عبره.
ستظهر أمامك محتوى الصفحة كما في الصورة التالية:
قم بنسخ الكود الخاص بملف wp-login.php بشكل كامل، واحرص على أن تقوم بتظليل واختيار كافة محتوى الملف ونسخه، لتقوم بلصقه في ملف جديد.
سننشئ هذا الملف الجديد من داخل لوحة التحكم في مدير الملفات ستقوم بإنشاء ملفًا جديدًا وتسميته بأي اسم تريد (مع ملاحظة أن هذا الاسم سيكون عنوان تسجيل الدخول الجديد إلى لوحة تحكم الووردبريس في موقعك). على سبيل المثال ستقوم بإعطاء هذا الملف اسم private.php:
بعد إنشاء الملف قم بفتحه، ثم ضع الكود الذي نسخته مسبقًا من ملف wp-login.php كما هو.
ثم في داخل ملف private.php الجديد قم بالبحث عن عبارة (wp-login.php)، واستبدلها في كافة مواضعها بالعبارة private.php. بحيث استبدالها في كافة المواضع ويمكنك عمل بحث عن الكلمة في الملف عن طريق الضغط على زر CTRL+F ومن ثم كتابة العبارة.
ثم بعد استبدالك عبارة wp-login.php بعبارة private.php داخل ملف private.php نفسه، أصبح الملف البرمجي المسؤول عن عملية تسجيل الدخول إلى لوحة تحكم الووردبريس الخاص بموقعك هو private.php.
وفي الخطوة الأخيرة الآن قم بحذف ملف wp-login.php من داخل مدير الملفات الخاص بموقعك. وبذلك سيصبح رابط تسجيل الدخول إلى لوحة تحكم موقعك الووردبريس بإسم الصفحة الجديدة private.php، فعلى سبيل المثال ستجد أن رابط تسجيل الدخول الجديد أصبح: www.example.com/private.php
ولاحظ أن روابط تسجيل الدخول القديمة سيتم حذفها تلقائيًّا، مثل رابط /wp-admin؛ وبالتالي ستكون الطريقة الوحيدة لتسجيل الدخول هي عبر الرابط الجديد /private.php .
وبذلك تكون قد قمت بتغيير رابط تسجيل الدخول إلى الووردبريس بنفسك وبخطوات ليست معقدة بالشكل الكبير، ودون الحاجة إلى تنصيب أي إضافات خارجية للقيام بذلك.
تفعيل نظام التحقق البشري لعمليات تسجيل الدخول reCAPTCHA
بعد أن تعرفنا على طريقة تغيير رابط تسجيل الدخول إلى الووردبريس، الآن سنتعرف على كيفية زيادة مستوى أمان عمليات تسجيل الدخول التي تتم على موقعك، وذلك بإضافة نظام التحقق الشهير المعروف باسم ” الكابتشا” إلى صفحة تسجيل الدخول.
في البداية سنقوم بتنصيب وتفعيل إضافة Advanced captcha، حيث تساعد هذه الإضافة أصحاب مواقع الووردبريس على تفعيل نظام التحقق من عمليات تسجيل الدخول عبر نظام التأكد الشهير “reCaptcha”، وهو نظام يتحقق من أن عملية تسجيل الدخول هي بالفعل عملية تسجيل دخول بشرية موثوقة وليست من برامج الهجمات التي يتم استخدامها لإرسال عدد كبير من محاولات تسجيل الدخول على الموقع بهدف اختراقه.
ثم بعد تنصيب وتفعيل الإضافة، يمكنك الدخول إلى الإعدادات الخاصة بها من داخل لوحة تحكم الووردبريس ستجد أسفل تبويبة (الإعدادات) ستجد الإعدادات الخاصة بإضافة (Advanced Captcha) كما في الصورة:
كما تلاحظ في صفحة الإعدادات يوجد خياران أساسيان، وهما:
كود تفعيل نظام الكابتشا Site key وأيضًا Secret Key، وسنشرح فيما يلي كيفية الحصول على تلك الأكواد.
أما الخيار الثاني فيتيح لك إمكانية اختيار الصفحات التي ترغب في تفعيل نظام التحقق Captcha عليه، يمكنك اختيار تفعيل النظام على صفحة تسجيل الدخول Login وكذلك تسجيل العضويات الجديدة Registration على سبيل المثال.
سنقوم الآن بالحصول على أكواد التفعيل التي تطلبها الإضافة، والتي يمكنك الحصول عليها بسهولة وبشكل مجاني من خلال الخدمة التي توفرها جوجل من خلال الذهاب إلى منصة Google Captcha، لتظهر لك صفحة الخدمة ولتختار v3 Admin Console
للحصول على الكود يجب عليك الضغط على رابط الدخول إلى صفحة إعداد كود الكابتشا الخاص بموقعك، والتي تظهر لك كما في الصورة التالية:
ستظهر أمامك بعض الحقول التي يجب عليك ملؤها لكي تحصل على كود تفعيل نظام التحقق Captcha على موقعك، وإليك توضيح لتلك الحقول المطلوبة:
Lable، والذي يمكنك كتابة اسم موقعك
Recaptcha type وفيه يمكنك تحديد الإصدار الخاص بالكابتشا الذي تريد تفعيله، ولكن ننصحك باختيار reCAPTCHA v3
Domain وفيه تقوم بكتابة الدومين الخاص بموقعك مباشرة بدون www أو http، على سبيل المثال الدومين: example.com
Owner وفيه يمكنك إضافة أشخاص آخرين لإدارة حساب Captcha الخاص بموقعك والسماح لهم بالإطلاع على أكواد التفعيل الخاص به والتعديل عليها أيضًا، إذا كنت تعمل مع فريق عمل
بعد الإنتهاء من ملء كافة البيانات المطلوبة، تقوم بقبول شروط وبنود الخدمة، وبعدها ستظهر لك صفحة تحتوي على الأكواد Keys لتفعيل الكابتشا على موقعك:
كل ما يجب عليك القيام به الآن هو نسخ تلك الأكواد ولصقها في المكان المخصص لها داخل صفحة الإعدادات الخاصة بالإضافة كما في الصورة التالية:
بعد لصق كود التفعيل بنجاح، يمكنك الآن تجربة صفحة تسجيل الدخول أو أي من الصفحات التي قمت بتفعيل نظام التحقق Captcha عليها. الصورة التالية توضح ظهور مربع التحقق Captcha في صفحة تسجيل الدخول أسفل الحقول المخصصة لبيانات تسجيل الدخول.
وبالتالي قد تعرفنا على كيفية تأمين ابط تسجيل الدخول إلى الموقع وذلك بتغيير الامتداد الافتراضي /wp-admin وكذلك إضافة خاصية التحقق البشري بشكل يساعد على تحسين أمان وسلامة بيانات موقعك والمستخدمين وإفشال العديد من محاولة الاقتراق العشوائية.
Comments