إخفاء الباب لا يكفي إذا كانت المفاتيح ضعيفة ومحاولات الدخول بلا حدود.
صفحة تسجيل الدخول في WordPress هدف دائم لمحاولات التخمين والتصيد. الدليل الرسمي يركز على كلمات مرور قوية، مدير كلمات مرور، تفعيل 2FA، واستخدام rate limiting على مستوى الحافة أو الخادم. تغيير رابط wp-login قد يساعد في تقليل الضوضاء، لكنه لا يغني عن الضوابط الأساسية.
ما الأولوية؟
ابدأ بحسابات المدير. كل حساب مدير يجب أن يملك كلمة مرور فريدة و2FA. الحسابات القديمة أو المشتركة أو التي لا يعرف مالكها هي خطر أكبر من آلاف محاولات فاشلة على wp-login.
بعد ذلك طبّق rate limiting أو حماية على مستوى WAF أو الخادم. الهدف ليس منع كل محاولة، بل منع التجربة السريعة والمتكررة التي تتحول إلى اختراق عملي.
ماذا تراقب؟
راقب إنشاء مستخدمين جدد بصلاحية مدير، تغييرات البريد لحساب مدير، محاولات دخول كثيرة من نفس المصدر، ونجاح دخول غير معتاد. هذه الإشارات تكشف المشكلة قبل أن تتحول إلى ملفات خبيثة أو رسائل بريد مزعجة.
لو تدير مواقع كثيرة، اجعل التقرير مختصرًا: عدد محاولات الدخول، حسابات المدير الجديدة، المواقع بلا 2FA، وأي تغيير حساس خلال آخر يوم أو أسبوع.
Checklist استضافة
- فعّل 2FA لكل حساب مدير مهم.
- امنع مشاركة حساب مدير بين أكثر من شخص.
- استخدم rate limiting على login وxmlrpc عند الحاجة.
- راجع حسابات المدير القديمة شهريًا.
- راقب تغيير البريد أو كلمة المرور لحسابات حساسة.
- احتفظ بسجل مختصر لأي نجاح دخول غير معتاد.
لا تبالغ في الحلول السطحية
إعادة تسمية رابط الدخول أو إضافة CAPTCHA وحدها لا تعالج كلمة مرور مسربة أو حساب مدير مهمل. هذه أدوات مساعدة، لكن الأساس هو هوية قوية، قيود على المحاولات، ومراقبة التغييرات.
الحماية الجيدة لا يجب أن تعطل فريق المحتوى. اختبر أي إضافة حماية على موقع واحد أولًا، ثم طبقها تدريجيًا مع خطة رجوع واضحة لو أثرت على الدخول أو النماذج.
إشارات تستحق تنبيهًا فوريًا
ليس كل فشل دخول يستحق إنذارًا. المواقع الكبيرة قد ترى محاولات كثيرة كل يوم. لكن هناك إشارات أخطر: إنشاء حساب مدير جديد، تسجيل دخول ناجح من دولة غير معتادة، تغيير بريد حساب المدير، تفعيل إضافة غير معروفة، أو ظهور ملف PHP داخل مجلد uploads.
عند بناء نظام مراقبة، اجعل التنبيه يفرق بين ضوضاء عادية وخطر حقيقي. تقرير أسبوعي لحسابات المدير القديمة والمواقع بدون 2FA قد يكون أكثر قيمة من مئات رسائل "محاولة دخول فاشلة".
كيف يتحول المقال إلى خطة تشغيل؟
هذا المقال جزء من محور حماية WordPress. يجب أن يرتبط بمقالات التحديثات، مراقبة supply chain، ومراجعة حسابات المدير. بهذه الطريقة يحصل صاحب الموقع على مسار واضح: ابدأ بالدخول، ثم الإضافات، ثم مراقبة الملفات، ثم خطة الاستجابة.
خطة أسبوع أول
ابدأ بموقع واحد عالي الأهمية. احصر حسابات المدير، أزل الحسابات القديمة بعد موافقة مالك الموقع، فعّل 2FA، ثم راقب الدخول لمدة أسبوع. لا تطبق كل الإضافات الأمنية على كل المواقع دفعة واحدة، لأن أي تعارض قد يعطل فريق المحتوى.
في اليوم الثاني راجع xmlrpc وwp-login في سجلات الخادم أو إضافة الحماية. إن كانت هناك محاولات كثيرة جدًا، طبّق rate limit مدروسًا. في نهاية الأسبوع أخرج تقريرًا مختصرًا: مواقع بلا 2FA، حسابات مدير تحتاج مراجعة، ومحاولات دخول ناجحة غير معتادة.
أسئلة شائعة
هل إخفاء wp-login حل كاف؟ لا. قد يقلل الضوضاء، لكنه لا يعوض كلمة مرور ضعيفة أو غياب 2FA.
هل CAPTCHA ضروري دائمًا؟ ليس دائمًا. استخدمه عندما لا يعطل المستخدمين الحقيقيين، وادمجه مع rate limit ومراقبة الحسابات.
ما أهم تنبيه؟ إنشاء حساب مدير جديد أو نجاح دخول غير معتاد أهم من عدد ضخم من المحاولات الفاشلة.
المصادر
- WordPress Developer Resources: Logging In.
- WordPress Developer Resources: Brute Force Attacks.
- WordPress Developer Resources: Hardening WordPress.
هل دخول WordPress عندك محمي ومراقب؟
نراجع حسابات المدير، 2FA، محاولات الدخول، وتنبيهات الاستضافة قبل أن يتحول الضعف إلى اختراق.
اطلب مراجعة الموقع