البحث في الموقع

مقدمة إن الأمن هو واحد من أهم الجوانب لتشغيل موقع ووردبريس. العديد منا يظنون أن القراصنة لن يحاولوا قرصنة مواقعنا، لكن في الواقع محاولات القراصنة تسجيل الدخول إلى حسابك أمر يحدث بشكل مُتكرّر. في هذا الدرس، سنتعلم كيف نضيف طبقة حماية إضافية لعملية تسجيل الدخول في ووردبريس: الاستيثاق الثنائي. واحد من أهم التطورات في عالم الأمن الإلكتروني. الاستيثاق الثنائي أو "two-factor authentication " يتضمن خطوتين عند تسجيل الدخول إلى موقع أو نظام ما: اسم المستخدم و كلمة المرور. كود مؤقت، يتم توليده بشكل عشوائي (عبارة عن كود تنتهي صلاحيته بعد فترة محددة) تدعى كلمة المرور أحادية الاستخدام أو "one-time password" (OTP). هنالك طرق مختلفة للحصول على OTP : رسالة نصية. اتصال هاتفي. بريد إلكتروني. عبر تطبيق على الهاتف. في حين أن الأنظمة ذات المخاطرة العالية مثل البنوك و الحسابات التجارية تستعمل الرسائل النصية لأجل المعاملات الحساسة، نحن سنستعمل تطبيق هاتف مجاني ويحقق التوازن الأمثل بين التوافر العالي، تكلفة الإنجاز و سهولة الاستخدام. الأهداف بعد تنصيب وتفعيل الاستيثاق الثنائي سيكون لعملية تسجيل الدخول إلى WordPress أمان أكثر. بالإضافة إلى إدخال اسم المستخدم و كلمة المرور، سوف تحتاج أيضا إلى كود يتم توليده عبر تطبيق هاتف لتسجيل الدخول. هذا يعني أنه حتى لو تم الوصول إلى كلمة السرّ الخاصة بك، فإنّ القراصنة لن يتمكنوا من الدخول إلى مدوّنتك دون هاتفك. الخطوة الأولى- تنصيب إضافةAuthenticator في هذه الخطوة، سنتعلم كيفية تنصيب إضافةGoogle Authenticator إن أسهل طريقة لتنصيب الأدوات هي عبر لوحة تحكم ووردبريس. سجل الدخول إلى لوحة تحكم ووردبريس الآن. اتبع الخطوات المذكورة أدناه لأجل تنصيب سلس: في لوحة التحكم، اذهب إلى Plugins > Add New. في المساحة المخصصة للبحث، اكتب google authenticator. قم بتنصيب الأداة Google Authenticator التي طوّرها Henrik Schack. حينما ينتهي التنصيب، انقر على رابط تفعيل الأداة. الخطوة الثانية- تحميل تطبيق FreeOTP في هذه الخطوة سنقوم بتحميل تطبيق FreeOTP على الهاتف. FreeOTP هو تطبيق مفتوح المصدر و يدعم الاستيثاق الثنائي لنظام ببروتوكولات OTP. بمعنى آخر، إنه بديل لـ Google Authenticator. سنستعمل هذا التطبيق لننشئ الـ OTP لتسجيل الدخول إلى موقع ووردبريس. تتولى مهمة تطوير تطبيق FreeOTP شركة RedHat وتوفّره على كل من أندرويد و iOS. هذه بعض الروابط للحصول على التطبيق وعلى المشروع الرسمي. Google PlayiTunes Store موقع التطبيق الخطوة الثالثة- تفعيل أداة المصادقة في ملفك الشخصي في هذه الخطوة سنفعل الإضافة على حساب المُدير Admin و سوف نقوم بتعديلها لتعمل مع تطبيق FreeOTP. في لوحة تحكم ووردبريس. اذهب إلى صفحة ملفك الشخصي الموجودة في Users > Your Profile. حدد القسم الفرعي المسمى Google Authenticator Settings. فلنأخذ نظرة على خيارات الإعدادات المختلفة للأدوات: Active: استعمل هذا الخيار لتفعيل الأداة. Relaxed: هذا الخيار يرفع حدود الوقت من 10 ثوان إلى 4 دقائق لإدخال الـ OTP. فعّل هذا الخيار إذا كنت تواجه صعوبات في نسخ الـ OTP في الوقت المحدد. Description: ادخل اسما (من الأفضل أن يكون اسم مدونتك). سيعرض ذلك في تطبيق FreeOTP في هاتفك. Show/Hide QR Code: اضغط على هذا الزر لتظهر شيفرة الـ QR. الاتصال بتطبيق FreeOTP افتح تطبيق FreeOTP على هاتفك. اضغط على رمز شيفرة الـ QR في التطبيق. احمل هاتفك لتصور شيفرة الـ QR التي يجب الآن أن تكون ظاهرة على شاشة حاسوبك. يجب أن ترى مباشرة مدخلًا لـ FreeOTP مع النص الذي أدخلته في الـ Description. هذا يؤكد أننا قد ربطنا مدوّنتك بتطبيق FreeOTP بنجاح. حفظ التغييرات: و في النهاية، يجب علينا حفظ التغييرات التي قمنا بها للآن. اذهب إلى أسفل الصفحة و اضغط على Update Profile . الخطوة الرابعة- اختبر تسجيل الدخول في هذه الخطوة، سنتحقق ما إذا كان الاستيثاق الثنائي مفعلًا. قم بتسجيل الخروج من مدوّنتك، ثم سجل الدخول مجددا. يجب أن تتحصل على نفس شاشة تسجيل الدخول بالإضافة إلى خانة Google Authenticator code . افتح تطبيق FreeOTP على هاتفك. اضغط على زر WordPress لتنشئ كلمة مرور جديدة ذات الاستخدام الواحد. أكتب الكود التي تحصلت عليها في الخانة المخصصة لذلك. يجب الآن أن تتمكن من الدخول إلى WordPress. تفعيل الاستيثاق الثنائي لمستخدمين آخرين يمكنك (ويستحسن) تفعيل الاستيثاق الثنائي لباقي المُستخدمين على مدوّنتك. فقط تأكد بأنهم يمتلكون تطبيق FreeOTP في هواتفهم حين تقوم بإعداده استرجاع الحساب إذا فقدت هاتفك فلن تتمكن من الدّخول إلى موقعك. هذا أكبر عيب في تنفيذ الاستيثاق الثنائي. لحسن الحظ، لدينا طريقة غاية في البساطة لحل هذا المشكل. كل ما يجب عليك فعله هو تعطيل إضافة Google Authenticator . ادخل إلى خادومك (عبر FTP مثلًا أو عبر SSH) و ادخل إلى مُجلّد الإضافات. /var/www/html/wp-content/plugins/ غير اسم مجلد google-authenticator إلى أي اسم آخر مثلdeactivate-plug-google-authenticator هذا سيعطل عمل الأداة لأن WordPress لن يتمكن من إيجاد مُجلّد الإضافة. بعد ذلك سجل الدخول إلى WordPress كالعادة. هذه المرة لن يطالب بكلمة المرور الإضافية، فقط كلمة المرور العادية. حين تتمكن من الوصول إلى إدارة لوحة تحكم ووردبريس، و تكون قد استرجعت جهازك القديم أو تحصلت على واحد جديد مع تطبيق FreeOTP مُنصّب عليه. ستحتاج إلى أن تُفعّل الإضافة مجددا. إذا كنت تستعمل جهازك القديم، فهذا يجب أن يكون كل ما تحتاج. يمكنك إتباع الخطوة الرابعة مجددا لتختبر عملية تسجيل الدخول. أو ربما ستحتاج إلى الذهاب إلى WP Dashboard > Plugins > Installed Plugins و تفعيل الإضافة مُجدّدًا اذهب إلى الملف الشخصي، في Users > Your Profile و ابحث عن القسم الفرعي لإعدادات Google Authenticator. إذا كنت تستخدم جهازا جديدا هذه المرة، اضغط على Create new secret. سيتم إنشاء شيفرة QR جديدة والقديمة سيتم إلغاؤها. قم بتصوير الشيفرة الجديدة على جهازك، هذه نفس العملية التي قمنا بها عندما فعلنا الاستيثاق الثنائي وربطناه بتطبيق FreeOTP كما ذكرنا في الخطوة الثالثة. و مع ذلك، يمكنك إلغاء تفعيل الاستيثاق الثنائي إلى حين إيجاد هاتفك. بعد تحديد الخيار المخصص لذلك، تأكد من حفظك للتغييرات بالضغط على زر Update Profile خاتمة: الاستيثاق الثنائي هو بمثابة خطوة ممتازة لتعزيز أمن موقع ووردبريس الخاص بك. الآن، حتى لو حصل أحدهم على كلمة السّر الخاصة بك، لن يتمكن من تسجيل الدخول إلى حسابك دون كود OTP. و تقنية الاسترجاع مفيدة عندما تضيع هاتفك. ترجمة -وبتصرّف- للمقال How To Protect Your WordPress Account Login with Two-Factor Authentication on Ubuntu 14.04

تحدّثنا في دروسٍ سابقة عن برنامج إدارة المشاريع Trello، بما في ذلك إنشاء حساب وشرح آلية سير العمل ضمنه، إدارة البطاقات والخصائص المتعلقة بها، تنسيق النصوص وإجراء عمليات البحث، وأخيرًا تلميحات لزيادة الإنتاجية بما في ذلك اختصارات لوحة المفاتيح، تقنيات السحب والإفلات وغيرها. في هذا الدرس سنتحدّث عن الميزات الإدارية في Trello، ونقصد بذلك ضبط وتوزيع صلاحيات التعليق والتصويت على الأعضاء والمستخدمين الآخرين، وتفعيل ميزة التحقق بخطوتين لرفع مستوى الحماية الخاصة بحسابات العمل. الصلاحيات في Trello لضبط وتعديل إعدادات الوصول وصلاحيات الأعضاء لأحد الألواح في Trello ينبغي أولًا الضغط على زر القائمة الرئيسية Show Menu ثم More ومنها نختار Settings. يملك مدير اللوح board admin فقط الصلاحيات الكاملة بما في ذلك توزيع وضبط صلاحيات باقي الأعضاء والأفراد الآخرين. أنواع المستخدمين يمكننا تمييز خمسة أنواع مختلفة من المستخدمين عندما نأتي للحديث عن الصلاحيات ضمن لوحٍ ما: المستخدم الافتراضي Virtual: وهو شخص وُجّهت له دعوة الانضمام إلى اللوح لكنه لم يُؤكّد حسابه بعد، تظهر الصورة الشخصية له بلون رمادي في زاوية أعضاء اللوح. مستخدمو اللوح Board Members: ينضم المستخدم رسميًا إلى اللوح بعد تأكيد حسابه، ويُسمى مستخدم عادي normal member. المُشاهدون Observers: المُشاهد هو عضو يملك صلاحيات القراءة فقط ضمن اللوح. أعضاء الفريق Team Members: يُمكن إسناد اللوح إلى فريق كامل. يُسمى العضو الذي ينتمي لهذا الفريق بعضو الفريق. مدير اللوح Board Admin: وهو الشخص الذي يُمكنه أن يفعل أي شيء ضمن اللوح، ويملك الصلاحيات الكاملة ضمنه. بناءً على ما سبق يمكن تحديد صلاحيات التعليق على البطاقات، ومن يملك حقّ التصويت ضمنها، بالأسلوب التالي: ينبغي أولًا التوجّه إلى قائمة اللوح Show Menu ثم More ومنها نختار Settings لنضغط على Commenting permissions حيث ستكون أمامنا الخيارات التالية: Disabled يُعطل إمكانية التعليق على جميع أنواع المستخدمين. Members تحصر صلاحية التعليق بمدير اللوح والأعضاء العاديون. Members and Observers تُضاف فئة المُشاهدون إلى مدير اللوح والأعضاء العاديون فيما يتعلق بإمكانية التعليق. Team members تسمح لكل من المدير، الأعضاء العاديون، المشاهدون، وأعضاء الفريق بالتعليق على البطاقات. Public members وتعني السماح لأي شخص يملك حساب على Trello بالتعليق ضمن البطاقة. يمكن بنفس الأسلوب ضبط صلاحيات مَن يحقّ له التصويت على البطاقات، فمن قائمة اللوح نختار Show Menu ثم Power-ups، وأخيرًا نضغط على زر المُسنن بجوار Voting لتظهر لنا قائمة مشابهة بما سبق. الاستيثاق الثنائي (تفعيل التحقق بخطوتين) Two Factor Authentication لزيادة أمان حسابك في Trello يمكن تفعيل طبقة إضافية للتحقّق من هويّتك؛ فعلاوةً على طلب كلمة المرور (وهي طبقة الأمان الأولى)، يُمكن ضبط Trello ليُرسل إلى هاتفك النقّال كلمة سر مؤلفة من عدّة أرقام عند محاولة تسجيل الدخول من جهاز جديد، يُطلب إدخال كلمة السّر هذه قبل متابعة عملية التسجيل (وهذه طبقة الأمان الثانية). بهذه الطريقة تتلافى خطر الوصول إلى معلوماتك ومشاريعك وأعمالك في حال تم تخمين كلمة المرور الخاصة بحسابك، أو تمّ الوصول إليها بأيٍ شكلٍ كان؛ حيث سيُرسل Trello كلمة سر جديدة إلى هاتفك أنت مما يعيق عملية الاختراق ويعطيك تنبيهًا على ضرورة تعديل كلمة السرّ. تُعرف هذه العملية باسم الاستيثاق الثنائيTwo Factor Authentication. ورغم ميزتها السابقة في تحسين مستوى الحماية، إلا أنّه لن يكون بإمكانك استعادة الوصول إلى حسابك (في حال حدوث مشاكل ما) بمجرّد طلب "استعادة كلمة المرور" كما هو عليه الحال مع الحسابات التي لا تستخدم هذه الميزة، لذا يُوصى بشدّة بتوليد رموز أمان احتياطية لاستخدامها عند حدوث مشاكل في تسجيل الدخول، وحفظها في مكان آمن تمامًا. لتفعيل ميزة الاستيثاق الثنائي ينبغي عليك أولًا زيارة هذا الرابط، وتسجيل دخولك مجددًا إلى Trello، بعد ذلك سيطلب منك البرنامج إدخال رقم هاتفك، ليرسل عليه كلمة سر كنوع من التجربة. أدخل الرقم الذي سيصلك برسالة SMS في الخانة المخصصة له وأخيرًا اضغط على الزر الأخضر الكبير للتفعيل. حذف حسابك على Trello يُمكن بسهولة حذف حسابك الخاص على Trello بالتوجّه إلى هذا الرابط، والنقر على زر «Premanently delete your account for ever» والموجود في آخر الصفحة بلون رمادي. سيُرسل لك البرنامج رسالة تأكيد على بريدك الإلكتروني، ويُحذف حسابك بالكامل بالضغط على الرابط الذي تتضمنه الرسالة. أما في حال كنتَ مُديرًا لأحد الألواح التي تتضمن عددًا من الأعضاء والمستخدمين فينبغي عليك تنفيذ أحد الخيارين التاليين قبل حذف حسابك: إسناد الصلاحيات الإدارية لأحد الأعضاء. أو حذف جميع الأعضاء من اللوح بما في ذلك أعضاء الفريق.