تجربتي في التصدي لمحاولات تخمين كلمة المرور، في ووردبريس.

مرحبا بكم متابعي مدونتي الأعزاء، وأهلا بالمطورين والمهتمين بتطوير المواقع، ومن لديهم مواقع صغيرة تعمل على ووردبريس.
لقد تحدثت في تدوينة سابقة، حول حماية مواقع ووردبريس، وأهم الإضافات التي نحتاج إليها. اليوم سأخبركم عن تجربتي في التصدي، لنوع معروف من محاولات الاختراق، والذي يعرف ب Brute-force attack ، أو هجمات القوة الغاشمة.
ويعرف هذا النوع من الهجوم، بأنه نوع من المحاولات العشوائية لتجربة عدد كبير من كلمات السر لمحاولة الوصول لكلمة السر الحقيقية، غالبا يتم تنفيذ هذا النوع من الهجمات آليا، وهي من الهجمات التي لا يستهان بها.
منذ عدة أيام، يتعرض أحد المواقع التي أشرف عليها لمحاولات متكررة لتخمين كلمة المرور بشكل عجيب. حسب السجل، كان يحاول بشكل سريع، وكل مرة يجرب اسم مستخدم وكلمة مرور مختلفة.
أول خطوة قمت بها، غيرت كلمة السر، ثم قمت بتثبيت صورة التحقق (reCAPTCHA)، لكن للأسف الإنسان أو الآلة هذا لا يتوقف عن المحاولة، ليل نهار.
ثم قمت بعد ذلك، بتثبيت إضافة لتقييد عدد محاولات تسجيل الدخول الخاطئة. ساعدت هذه الإضافة في تقليل المحاولات، لكنه ينتظر حتى ينتهي الوقت المخصص ثم يحاول مجددا، لدرجة أنني لم أتمكن من الدخول بسبب محاولاته الكثيرة جدا.
اليوم صباحا، قمت بتغيير رابط تسجيل الدخول الافتراضي، على أمل التقليل من محاولات تسجيل الدخول، كما عملت على زيادة الوقت اللازم لتسجيل الدخول مرة أخرى في حالة إدخال كلمة السر 3 مرات بشكل خاطئ.
أعتقد أن فكرة تقييد محاولات تسجيل الدخول المتكررة، ساعدتني كثيرا على التقليل من إمكانية اختراق الموقع، كون هذا النوع من الهجوم يعتمد بشكل أساسي على تخمين عدد كبير من كلمات السر، حتى الوصول للكلمة الصحيحة، وهذا في الأحوال العادية يأخذ وقت طويل جدا لكلمات المرور المعقدة، فما بالك لو كانت عدد المحاولات المسموح بها 3 مثلا، وبعد ذلك عليك الانتظار ساعة مثلا لإعادة المحاولة. سيكون الأمر بالغ الصعوبة.
الآن وبعد هذه التجربة، سأضيف كل الإجراءات التي قمت بها لحماية هذا الموقع، لكافة المواقع التي أعمل عليها، والتي سأعمل عليها في المستقبل إن شاء الله.
تقبلوا خالص التحية والتقدير.