قبل فترة تلقيت اتصالًا عاجلًا من أحد العملاء أخبرني فيه أن موقعه الووردبريس قد اخترق، حيث دخل أحدهم إليه بواسطة حساب المدير ونشر روابط مزعجة وغير لائقة، فبدأت الفحص الأمني فورًا، ولم تكن هناك أي ثغرات واضحة في الإضافات أو القالب.
لكن بعد فحص سجلات الدخول، لاحظت أن عملية الدخول الخاصة بالمخترق قد نجحت من المحاولات الأولى، فلم يكن هناك هجوم تخمين عنيف (Brute Force)، فسألت العميل عن كلمة المرور التي يستخدمها، وبعد فحصها في موقع haveibeenpwned تبين أنها مسربة وموجودة في قواعد بيانات التسريبات العامة بالرغم من أنها معقدة.
لهذا لا يكفي أن تكون كلمة المرور التي نستخدمها في مواقع ووردبريس معقدة، بل لا بد أن تكون أيضًا غير مكشوفة في أي عمليات تسريب للبيانات على الإنترنت، ولذلك استخدمت إضافة Passwords Evolved في موقع العميل لمنع تكرار هذا الأمر عبر منع استخدام كلمات مرور مسربة وهنا أشاركك تجربة استخدام الإضافة.
لماذا من المهم منع استخدام كلمات مرور مسربة في موقعك؟
القصة السابقة توضح الخطر الأكبر، فالاعتماد الأعمى على قواعد التعقيد يفرض على المستخدمين أو فريق العمل استخدام رموز وأرقام، لكن هذا لا يمنعهم من استخدام كلمات مرور مسربة.
فمثلًا يمكن أن يستخدم أحد كلمة مرور واحدة في كل حساباته، وإذا كانت تلك الكلمة قد سربت من أحد المواقع، سيكون من السهل على المخترقين تخمينها في موقعك، وبالتالي يمكنهم الوصول إلى حسابه، فالمخترقون اليوم لا يخمنون كلمات المرور بلا أي قواعد، بل يعتمدون على قوائم جاهزة من التسريبات.
ولهذا فإذا كان مستخدم في موقعك يستعمل كلمة مرور مسربة، فهي مسألة وقت قبل أن يتم اختراق حسابه، وبالطبع أي اختراق يتم في موقعك يؤثر على سمعته وعلى تحقيق الهدف من بنائه، سواء أكان الربح أو غير ذلك.
اقرأ أيضًا: أفضل 16 ممارسات حماية للووردبريس من المخترقين
ما هي إضافة Passwords Evolved وكيف تعمل؟
Passwords Evolved هي إضافة مجانية لووردبريس هدفها فحص أي كلمة مرور جديدة ومقارنتها بقاعدة بيانات ضخمة لكلمات مرور تم تسريبها سابقًا، تمتاز بأنها تتعامل مع الخصوصية بشكل احترافي، فلا ترسل كلمة المرور إلى سيرفر خارجي لفحصها، فذلك ممارسة غير آمنة.
عندما يقوم أي مستخدم بإنشاء حساب جديد أو تغيير كلمة مروره أو حتى محاولة تسجيل الدخول، ترسل الإضافة أول 5 أحرف من نسخة آمنة من كلمة المرور تسمى تجزئة كلمة المرور أو الـ hash إلى خدمة Have I been pwned التي تحتوي على قاعدة بيانات بكل كلمات المرور المسربة في الاختراقات الكبرى، وتجلب الإضافة كافة تجزئات كلمات المرور التي تبدأ بهذه الأحرف لتقارنها محليًا بما يضمن عدم كشف كلمة المرور لأي طرف ثالث.
فإذا كان هناك أي تطابق مع كلمة مرور مسربة، فإن الإضافة تمنع استخدام كلمة المرور تلك، وتطلب من المستخدم إدخال كلمة أخرى.
خطوات منع استخدام كلمات مرور مسربة في ووردبريس
لتفعيل منع استخدام كلمات مرور مسربة في الموقع اتبعت الخطوات التالية:
تثبيت وتفعيل الإضافة
في لوحة تحكم ووردبريس توجهت إلى إضافات > أضف إضافة جديدة (Add Plugin)، ثم أدخلت اسم الإضافة في مربع البحث (Passwords Evolved)، ونقرت على زر تنصيب الآن (Install Now) الخاص بها، ثم فعلتها بالنقر على زر التفعيل (Activate).
اقرأ أيضًا: تنصيب إضافات الووردبريس المجانية والمدفوعة
تحديد أدوار المستخدمين
بعد التفعيل مباشرة، توجهت إلى الإعدادات > Passwords Evolved، ثم حددت أدوار المستخدمين الذين أريد أن أفرض عليهم استخدام كلمات مرور غير مسربة، والأفضل اختيار جميع الأدوار لذلك اخترتها ثم نقرت على زر حفظ التغييرات (Save Changes).
اقرأ أيضًا: أدوار وصلاحيات الأعضاء في موقع ووردبريس ومتجر ووكومرس
التأكد من عمل الإضافة
للتأكد من عمل الإضافة بشكل صحيح توجهت إلى الأعضاء > أضف عضوًا جديدًا (Add User) ثم أثناء إضافة بيانات العضو الجديد أدخلت كلمة مرور، فظهر لي فحص قوة كلمة المرور وفحص تسريبها، وبالتالي تأكدت أن الإضافة تعمل.
بهذا سيتم منع المستخدمين من استخدام كلمات مرور مسربة، إذ ستظهر رسالة واضحة عند محاولة الحفظ واستخدام كلمة مرور مسربة مفادها أن كلمة المرور ظهرت في تسريب بيانات، ولا يمكن استخدامها.
بهذا وفرت للعميل حلًا يسمح بالتوازن المثالي بين تجربة المستخدم الجيدة والأمان العالي، ونقلت مستوى الحماية في موقعه من مجرد رد فعل إلى إجراء استباقي ضروري.
ختامًا تثبت هذه التجربة أن الاعتماد على تعقيد كلمة المرور وحدها لا يكفي، فقوائم التسريبات أصبحت متاحة للجميع، ولهذا فإن استخدام إضافة مثل Passwords Evolved أصبح يعد خطوة أساسية لتأمين أي موقع ووردبريس وحماية مستخدميه.
