جلوگیری از حملات بروت فورس در وردپرس [قسمت – ششم]

برای جلوگیری از حملات بروت فورس در وردپرس راه های مختلفی در سطح اینترنت ذکر شده است ولی در این مقاله ما بهترین و ساده ترین راه را به شما معرفی خواهیم کرد.
ما در قسمت ششم از دوره‌ی آموزش امنیت وردپرس هستیم و در این قسمت می‌خواهیم به یکی از حملات رایج در وردپرس بپردازیم.

حمله بورت فورس در وردپرس چیست؟

حملات brute force در وردپرس به حملاتی گفته می شود که هکر با امتحان کردن تعداد زیادی نام کاربری و رمزعبور در صفحه لاگین سایت، قصد نفوذ به سایت را دارد تا با این حرکت بتوانند نام کاربری و رمزعبور ادمین سایت را بدست بیاورند.

معمولات هکرها برای بدست آوردن نام کاربری و رمز عبور سایت این کار را بصورت دستی انجام نمی دهند و ازطریق نرم افزارهای خاصی به این کار می پردازند.

اگر ما بعنوان مدیر سایت جلوی این حرکت هکرها را نگیریم دیر یا زود سایت ما هم هک خواهد شد، اصلا این حملات را ساده در نظر نگیرید.

سایت ترمینت مورد هجوم حملات brute force قرار گرفت

جالب هست بدونید که سایت ترمینت در هفته‌ی قبل مورد حمله بورت فورس قرار گرفته بود که با تدابیر امنیتی که اتخاذ کردیم و در این مقاله آموزشی به شما خواهیم گفت توانستیم جلوی این حملات را بگیریم حدود ۱۵۸۱ حمله در یک روز دفع شد بدون هیچ گونه مشکل امنیتی سایت به کار خودش ادامه داد.

چرا حملات حمله brute force وردپرس رایج است؟

 

حملات بروت فورس در وردپرس به کرات انجام می‌شود و چون همه چیز وردپرس مشخص هست، مثل آدرس صفحه لاگین و همه خبر دارند که صفحه لاگین وردپرس wp-login است و اینکه مدیران خیلی زیاد هستند که هنوز از پسوردها و نام کاربری مناسب بر روی سایت خود استفاده نمی‌کنند و این ویژگی‌های باعث شده است تا هکرها به حملات بروت فورس در وردپرس روی بیاورند.

اما چه کار کنیم که سایت وردپرسی ما در برابر حملات بورت فورس در امان باشد.

راهکارهای عملی برای جلوگیری از حملات brute force در وردپرس

1. مخفی کردن نام کاربری در سایت‌های وردپرسی
2. انتخاب پسورد قوی
3. استفاده از پلاگین Limit Login Attempts Reloaded
4. ویرایش فایل htaccess

۱- لطفا به هکرها برای بدست آوردن نام کاربری در وردپرس کمک نکنید!!!

فرض کنید، هکری که می‌خواهد به سایت شما حمله کند نام کاربری سایت را بداند، چقدر کار برای نفوذ هکر راحت خواهد شد!!! جالبه بدانید که بدست آوردن نام کاربری در سایت‌های وردپرسی بسیار آسان است، ما در مقاله مخفی کردن نام نویسنده در وردپرس به شما آموزش دادیم که چطور هکر می‌تواند نام کاربری سایت را بدست بیاورد و راهکاری را ارائه داده‌ایم که جلوی این نفوذ گرفته شود، حتما این مقاله را مطالعه بفرمایید.

۲- لطفا از نام کاربری قوی و مناسب استفاده کنید

اکثر مدیران سایت‌های وردپرسی از پسورد قوی در سایت‌هایشان استفاده نمی‌کنند به همین خاطر هکرها دوست دارند که بیشتر به سایت‌های وردپرسی نفوذ کنند، ما در مقاله‌ی روش انتخاب پسورد برای وردپرس راهکاری را ارائه کردیم که علاوه بر انتخاب یک پسورد قوی به‌راحتی می‌توانید آن را حفظ کنید، در واقع به شما الگوریتمی را معرفی کردیم تا با استفاده از این الگوریتم بتوانید پسوردهای ایمن و فراموش ناشدنی را برای خود انتخاب کنید.

۳- استفاده از پلاگین Limit Login Attempts Reloaded

یکی از راه‌های جلوگیری از حملات بورت فورس، محدود کردند تعداد دفعات ورود به پنل مدیریت وردپرس است. با این کار، هکرها را نا امید خواهید کرد. مثلا اگر کاربری سه بار رمز ورود خود را به اشتباه تایپ کرد به مدت نیم ساعت حق ورود به وردپرس را نخواهد داشت حتی اگر رمز ورود و نام کاربری را در این مدت درست وارد کرده باشد.

اگر نکته‌ای که در مقاله‌ی نکته‌ی امنیتی که هر مدیر وردپرسی باید آن‌را بداند  بیان شده است را رعایت نکنید هکرها به راحتی می‌فهمند که نام کاربری را اشتباه وارد کردند یا پسورد را، پس حتما این مقاله را مطالعه بفرمایید و راهکار گفته شده را عملی کنید.

افزونه Limit Login Attempts Reloaded را حدود یک میلیون نفر نصب و فعال سازی کرده‌اند.

بعد از نصب و فعال سازی افزونه به قسمت تنظیمات Limit Login Attempt بروید.

کل تحریم: دیدن کاربرانی که از طرف پلاگین مسدود شده‌اند.

اجازه retries: در اینجا تعداد دفعات تلاش برای ورود به سایت را تعیین می‌کنید که در این مثال روی ۴ می‌باشد، یعنی کاربر چهار بار حق دارد رمز یا نام کاربری خود را اشتباه وارد کند، اگر تعداد دفعات به حد نصاب برسد حتی اگر رمز صحیح هم وارد شود کار نخواهد کرد.

دقیقه تحریم: تا چه مدت کاربری حق ورود به پیشخوان را ندارد، بعنوان مثال اگر کاربر چهار بار تلاش کرد که وارد سایت شود ولی ناموفق بود به مدت بیست دقیقه کاربر را بن می‌کند و اجازه ورود به سایت را ندارد.

افزایش زمان تحریم برای بن شدگان: اگر کاربر چهار بار بن شد در بار چهارم، این بار به جای بیست دقیقه، ۲۴ ساعت بن خواهد شد.

آگاهی از تحریم: کاربرانی که محدود شدند از طریق ایمیل به مدیر سایت گزارش داده می‌شود.

لیست سیاه و لیست سفید: با استفاده از آی‌پی یا نام کاربری می‌توانید لیست سفید یا سیاه درست کنید، لیست سفید یعنی فقط و فقط کاربرانی که IP یا نام کاربری آنها در کارد مربوطه درج شده است حق دارند وارد سایت شوند، و کاربرانی که نباید هرگز وارد سایت شوند داخل لیست سیاه قرار می‌گیرند.

نکته: برای به دست آوردن IP خود کافی است، کلمه IP را در گوگل سرچ کنید

۴- ویرایش فایل htaccess

وارد سی‌پنل سایت شود بروید قسمت فایل منیجر وارد پوشه public_html شوید در پوشه به دنبال فایل htaccess بگردید، بعد از پیدا کردن این فایل را ویرایش کنید

و کد زیر را در انتهای این فایل قرار دهید:

<Files wp-login.php>
order deny,allow
deny from all
allow from <YOUR IP>
</Files>

در قسمت your_ip می‌بایست ip خودتون را وارد کنید، این کد میگه هیچ کسی حق ورود به سایت را نداره جزء این ip که درج شده است، برای سایت‌هایی که نیاز به عضویت کاربر ندارند مفید می‌باشد.
با تنظیم این کد از این پس فقط ip های تعریف شده در سایت حق ورود دارند.

نکته: اگر این فایل را پیدا نکردید به احتمال زیاد پنهان شده است در سی پنل سمت راست بالای صفحه روی Setting کلیک کنید پنجره ای باز خواهد شد، تیک گزینه Show Hidden Files (dotfiles) را بزنید و حالا یک بار دیگر فایل را جستجو نمایید:

این قسمت از دوره آموزش امنیت وردپرس به پایان می‌رسد لطفاً همین الان سایت خود را در برابر حملات بورت فورس ایمن کنید، اگر سوالی بود در نظرات برای ما بنویسید.

راستی می‌توانید در کانال تلگرامی ما عضو شوید.

شما می‌توانید قسمت های قبلی دوره آموزش امنیت وردپرس را با کلیک بر روی لینک‌های زیر مشاهده کنید:

آموزش امنیت وردپرس بدون دانش امنیتی [قسمت – اول]

روش انتخاب پسورد برای وردپرس در ۵ قدم[قسمت – دوم]

تغییر نام کاربری در وردپرس قدم به قدم – [قسمت – سوم]

بالا بردن امنیت سایت با مخفی کردن نام نویسنده در وردپرس – [قسمت – چهارم]

نکته‌ی امنیتی که هر مدیر وردپرسی باید آن‌را بداند [قسمت – پنجم]