كيف تحمي حسابك على مدوّنة ووردبريس باستعمال الاستيثاق الثنائي 2FA
مقدمة
إن الأمن هو واحد من أهم الجوانب لتشغيل موقع ووردبريس. العديد منا يظنون أن القراصنة لن يحاولوا قرصنة مواقعنا، لكن في الواقع محاولات القراصنة تسجيل الدخول إلى حسابك أمر يحدث بشكل مُتكرّر.
في هذا الدرس، سنتعلم كيف نضيف طبقة حماية إضافية لعملية تسجيل الدخول في ووردبريس: الاستيثاق الثنائي. واحد من أهم التطورات في عالم الأمن الإلكتروني.
الاستيثاق الثنائي أو "two-factor authentication " يتضمن خطوتين عند تسجيل الدخول إلى موقع أو نظام ما:
هنالك طرق مختلفة للحصول على OTP :
في حين أن الأنظمة ذات المخاطرة العالية مثل البنوك و الحسابات التجارية تستعمل الرسائل النصية لأجل المعاملات الحساسة، نحن سنستعمل تطبيق هاتف مجاني ويحقق التوازن الأمثل بين التوافر العالي، تكلفة الإنجاز و سهولة الاستخدام.
بالإضافة إلى إدخال اسم المستخدم و كلمة المرور، سوف تحتاج أيضا إلى كود يتم توليده عبر تطبيق هاتف لتسجيل الدخول. هذا يعني أنه حتى لو تم الوصول إلى كلمة السرّ الخاصة بك، فإنّ القراصنة لن يتمكنوا من الدخول إلى مدوّنتك دون هاتفك.
في هذه الخطوة، سنتعلم كيفية تنصيب إضافةGoogle Authenticator
إن أسهل طريقة لتنصيب الأدوات هي عبر لوحة تحكم ووردبريس. سجل الدخول إلى لوحة تحكم ووردبريس الآن.
اتبع الخطوات المذكورة أدناه لأجل تنصيب سلس:
FreeOTP هو تطبيق مفتوح المصدر و يدعم الاستيثاق الثنائي لنظام ببروتوكولات OTP. بمعنى آخر، إنه بديل لـ Google Authenticator. سنستعمل هذا التطبيق لننشئ الـ OTP لتسجيل الدخول إلى موقع ووردبريس.
تتولى مهمة تطوير تطبيق FreeOTP شركة RedHat وتوفّره على كل من أندرويد و iOS. هذه بعض الروابط للحصول على التطبيق وعلى المشروع الرسمي.
في لوحة تحكم ووردبريس. اذهب إلى صفحة ملفك الشخصي الموجودة في Users > Your Profile. حدد القسم الفرعي المسمى Google Authenticator Settings.
فلنأخذ نظرة على خيارات الإعدادات المختلفة للأدوات:
اضغط على رمز شيفرة الـ QR في التطبيق. احمل هاتفك لتصور شيفرة الـ QR التي يجب الآن أن تكون ظاهرة على شاشة حاسوبك.
يجب أن ترى مباشرة مدخلًا لـ FreeOTP مع النص الذي أدخلته في الـ Description. هذا يؤكد أننا قد ربطنا مدوّنتك بتطبيق FreeOTP بنجاح.
حفظ التغييرات: و في النهاية، يجب علينا حفظ التغييرات التي قمنا بها للآن. اذهب إلى أسفل الصفحة و اضغط على Update Profile .
قم بتسجيل الخروج من مدوّنتك، ثم سجل الدخول مجددا. يجب أن تتحصل على نفس شاشة تسجيل الدخول بالإضافة إلى خانة Google Authenticator code .
افتح تطبيق FreeOTP على هاتفك. اضغط على زر WordPress لتنشئ كلمة مرور جديدة ذات الاستخدام الواحد.
أكتب الكود التي تحصلت عليها في الخانة المخصصة لذلك. يجب الآن أن تتمكن من الدخول إلى WordPress.
كل ما يجب عليك فعله هو تعطيل إضافة Google Authenticator .
ادخل إلى خادومك (عبر FTP مثلًا أو عبر SSH) و ادخل إلى مُجلّد الإضافات.
/var/www/html/wp-content/plugins/
غير اسم مجلد google-authenticator إلى أي اسم آخر مثلdeactivate-plug-google-authenticator
هذا سيعطل عمل الأداة لأن WordPress لن يتمكن من إيجاد مُجلّد الإضافة.
بعد ذلك سجل الدخول إلى WordPress كالعادة. هذه المرة لن يطالب بكلمة المرور الإضافية، فقط كلمة المرور العادية.
حين تتمكن من الوصول إلى إدارة لوحة تحكم ووردبريس، و تكون قد استرجعت جهازك القديم أو تحصلت على واحد جديد مع تطبيق FreeOTP مُنصّب عليه. ستحتاج إلى أن تُفعّل الإضافة مجددا.
إذا كنت تستعمل جهازك القديم، فهذا يجب أن يكون كل ما تحتاج. يمكنك إتباع الخطوة الرابعة مجددا لتختبر عملية تسجيل الدخول. أو ربما ستحتاج إلى الذهاب إلى WP Dashboard > Plugins > Installed Plugins و تفعيل الإضافة مُجدّدًا
اذهب إلى الملف الشخصي، في Users > Your Profile و ابحث عن القسم الفرعي لإعدادات Google Authenticator.
إذا كنت تستخدم جهازا جديدا هذه المرة، اضغط على Create new secret. سيتم إنشاء شيفرة QR جديدة والقديمة سيتم إلغاؤها. قم بتصوير الشيفرة الجديدة على جهازك، هذه نفس العملية التي قمنا بها عندما فعلنا الاستيثاق الثنائي وربطناه بتطبيق FreeOTP كما ذكرنا في الخطوة الثالثة.
و مع ذلك، يمكنك إلغاء تفعيل الاستيثاق الثنائي إلى حين إيجاد هاتفك. بعد تحديد الخيار المخصص لذلك، تأكد من حفظك للتغييرات بالضغط على زر Update Profile
مقدمة
إن الأمن هو واحد من أهم الجوانب لتشغيل موقع ووردبريس. العديد منا يظنون أن القراصنة لن يحاولوا قرصنة مواقعنا، لكن في الواقع محاولات القراصنة تسجيل الدخول إلى حسابك أمر يحدث بشكل مُتكرّر.
في هذا الدرس، سنتعلم كيف نضيف طبقة حماية إضافية لعملية تسجيل الدخول في ووردبريس: الاستيثاق الثنائي. واحد من أهم التطورات في عالم الأمن الإلكتروني.
الاستيثاق الثنائي أو "two-factor authentication " يتضمن خطوتين عند تسجيل الدخول إلى موقع أو نظام ما:
- اسم المستخدم و كلمة المرور.
- كود مؤقت، يتم توليده بشكل عشوائي (عبارة عن كود تنتهي صلاحيته بعد فترة محددة) تدعى كلمة المرور أحادية الاستخدام أو "one-time password" (OTP).
هنالك طرق مختلفة للحصول على OTP :
- رسالة نصية.
- اتصال هاتفي.
- بريد إلكتروني.
- عبر تطبيق على الهاتف.
في حين أن الأنظمة ذات المخاطرة العالية مثل البنوك و الحسابات التجارية تستعمل الرسائل النصية لأجل المعاملات الحساسة، نحن سنستعمل تطبيق هاتف مجاني ويحقق التوازن الأمثل بين التوافر العالي، تكلفة الإنجاز و سهولة الاستخدام.
الأهداف
بعد تنصيب وتفعيل الاستيثاق الثنائي سيكون لعملية تسجيل الدخول إلى WordPress أمان أكثر.بالإضافة إلى إدخال اسم المستخدم و كلمة المرور، سوف تحتاج أيضا إلى كود يتم توليده عبر تطبيق هاتف لتسجيل الدخول. هذا يعني أنه حتى لو تم الوصول إلى كلمة السرّ الخاصة بك، فإنّ القراصنة لن يتمكنوا من الدخول إلى مدوّنتك دون هاتفك.
الخطوة الأولى- تنصيب إضافةAuthenticator
في هذه الخطوة، سنتعلم كيفية تنصيب إضافةGoogle Authenticator
إن أسهل طريقة لتنصيب الأدوات هي عبر لوحة تحكم ووردبريس. سجل الدخول إلى لوحة تحكم ووردبريس الآن.
اتبع الخطوات المذكورة أدناه لأجل تنصيب سلس:
- في لوحة التحكم، اذهب إلى Plugins > Add New.
- في المساحة المخصصة للبحث، اكتب google authenticator.
- قم بتنصيب الأداة Google Authenticator التي طوّرها Henrik Schack.
- حينما ينتهي التنصيب، انقر على رابط تفعيل الأداة.
الخطوة الثانية- تحميل تطبيق FreeOTP
في هذه الخطوة سنقوم بتحميل تطبيق FreeOTP على الهاتف.FreeOTP هو تطبيق مفتوح المصدر و يدعم الاستيثاق الثنائي لنظام ببروتوكولات OTP. بمعنى آخر، إنه بديل لـ Google Authenticator. سنستعمل هذا التطبيق لننشئ الـ OTP لتسجيل الدخول إلى موقع ووردبريس.
تتولى مهمة تطوير تطبيق FreeOTP شركة RedHat وتوفّره على كل من أندرويد و iOS. هذه بعض الروابط للحصول على التطبيق وعلى المشروع الرسمي.
- Google PlayiTunes Store
- موقع التطبيق
الخطوة الثالثة- تفعيل أداة المصادقة في ملفك الشخصي
في هذه الخطوة سنفعل الإضافة على حساب المُدير Admin و سوف نقوم بتعديلها لتعمل مع تطبيق FreeOTP.في لوحة تحكم ووردبريس. اذهب إلى صفحة ملفك الشخصي الموجودة في Users > Your Profile. حدد القسم الفرعي المسمى Google Authenticator Settings.
فلنأخذ نظرة على خيارات الإعدادات المختلفة للأدوات:
- Active: استعمل هذا الخيار لتفعيل الأداة.
- Relaxed: هذا الخيار يرفع حدود الوقت من 10 ثوان إلى 4 دقائق لإدخال الـ OTP. فعّل هذا الخيار إذا كنت تواجه صعوبات في نسخ الـ OTP في الوقت المحدد.
- Description: ادخل اسما (من الأفضل أن يكون اسم مدونتك). سيعرض ذلك في تطبيق FreeOTP في هاتفك.
- Show/Hide QR Code: اضغط على هذا الزر لتظهر شيفرة الـ QR.
الاتصال بتطبيق FreeOTP
افتح تطبيق FreeOTP على هاتفك.اضغط على رمز شيفرة الـ QR في التطبيق. احمل هاتفك لتصور شيفرة الـ QR التي يجب الآن أن تكون ظاهرة على شاشة حاسوبك.
يجب أن ترى مباشرة مدخلًا لـ FreeOTP مع النص الذي أدخلته في الـ Description. هذا يؤكد أننا قد ربطنا مدوّنتك بتطبيق FreeOTP بنجاح.
حفظ التغييرات: و في النهاية، يجب علينا حفظ التغييرات التي قمنا بها للآن. اذهب إلى أسفل الصفحة و اضغط على Update Profile .
الخطوة الرابعة- اختبر تسجيل الدخول
في هذه الخطوة، سنتحقق ما إذا كان الاستيثاق الثنائي مفعلًا.قم بتسجيل الخروج من مدوّنتك، ثم سجل الدخول مجددا. يجب أن تتحصل على نفس شاشة تسجيل الدخول بالإضافة إلى خانة Google Authenticator code .
افتح تطبيق FreeOTP على هاتفك. اضغط على زر WordPress لتنشئ كلمة مرور جديدة ذات الاستخدام الواحد.
أكتب الكود التي تحصلت عليها في الخانة المخصصة لذلك. يجب الآن أن تتمكن من الدخول إلى WordPress.
تفعيل الاستيثاق الثنائي لمستخدمين آخرين
يمكنك (ويستحسن) تفعيل الاستيثاق الثنائي لباقي المُستخدمين على مدوّنتك. فقط تأكد بأنهم يمتلكون تطبيق FreeOTP في هواتفهم حين تقوم بإعدادهاسترجاع الحساب
إذا فقدت هاتفك فلن تتمكن من الدّخول إلى موقعك. هذا أكبر عيب في تنفيذ الاستيثاق الثنائي. لحسن الحظ، لدينا طريقة غاية في البساطة لحل هذا المشكل.كل ما يجب عليك فعله هو تعطيل إضافة Google Authenticator .
ادخل إلى خادومك (عبر FTP مثلًا أو عبر SSH) و ادخل إلى مُجلّد الإضافات.
/var/www/html/wp-content/plugins/
غير اسم مجلد google-authenticator إلى أي اسم آخر مثلdeactivate-plug-google-authenticator
هذا سيعطل عمل الأداة لأن WordPress لن يتمكن من إيجاد مُجلّد الإضافة.
بعد ذلك سجل الدخول إلى WordPress كالعادة. هذه المرة لن يطالب بكلمة المرور الإضافية، فقط كلمة المرور العادية.
حين تتمكن من الوصول إلى إدارة لوحة تحكم ووردبريس، و تكون قد استرجعت جهازك القديم أو تحصلت على واحد جديد مع تطبيق FreeOTP مُنصّب عليه. ستحتاج إلى أن تُفعّل الإضافة مجددا.
إذا كنت تستعمل جهازك القديم، فهذا يجب أن يكون كل ما تحتاج. يمكنك إتباع الخطوة الرابعة مجددا لتختبر عملية تسجيل الدخول. أو ربما ستحتاج إلى الذهاب إلى WP Dashboard > Plugins > Installed Plugins و تفعيل الإضافة مُجدّدًا
اذهب إلى الملف الشخصي، في Users > Your Profile و ابحث عن القسم الفرعي لإعدادات Google Authenticator.
إذا كنت تستخدم جهازا جديدا هذه المرة، اضغط على Create new secret. سيتم إنشاء شيفرة QR جديدة والقديمة سيتم إلغاؤها. قم بتصوير الشيفرة الجديدة على جهازك، هذه نفس العملية التي قمنا بها عندما فعلنا الاستيثاق الثنائي وربطناه بتطبيق FreeOTP كما ذكرنا في الخطوة الثالثة.
و مع ذلك، يمكنك إلغاء تفعيل الاستيثاق الثنائي إلى حين إيجاد هاتفك. بعد تحديد الخيار المخصص لذلك، تأكد من حفظك للتغييرات بالضغط على زر Update Profile