برای جلوگیری از حملات بروت فورس در وردپرس راه های مختلفی در سطح اینترنت ذکر شده است ولی در این مقاله ما بهترین و ساده ترین راه را به شما معرفی خواهیم کرد.
ما در قسمت ششم از دورهی آموزش امنیت وردپرس هستیم و در این قسمت میخواهیم به یکی از حملات رایج در وردپرس بپردازیم.
حمله بورت فورس در وردپرس چیست؟
حملات brute force در وردپرس به حملاتی گفته می شود که هکر با امتحان کردن تعداد زیادی نام کاربری و رمزعبور در صفحه لاگین سایت، قصد نفوذ به سایت را دارد تا با این حرکت بتوانند نام کاربری و رمزعبور ادمین سایت را بدست بیاورند.
معمولات هکرها برای بدست آوردن نام کاربری و رمز عبور سایت این کار را بصورت دستی انجام نمی دهند و ازطریق نرم افزارهای خاصی به این کار می پردازند.
اگر ما بعنوان مدیر سایت جلوی این حرکت هکرها را نگیریم دیر یا زود سایت ما هم هک خواهد شد، اصلا این حملات را ساده در نظر نگیرید.
سایت ترمینت مورد هجوم حملات brute force قرار گرفت
جالب هست بدونید که سایت ترمینت در هفتهی قبل مورد حمله بورت فورس قرار گرفته بود که با تدابیر امنیتی که اتخاذ کردیم و در این مقاله آموزشی به شما خواهیم گفت توانستیم جلوی این حملات را بگیریم حدود ۱۵۸۱ حمله در یک روز دفع شد بدون هیچ گونه مشکل امنیتی سایت به کار خودش ادامه داد.
چرا حملات حمله brute force وردپرس رایج است؟
حملات بروت فورس در وردپرس به کرات انجام میشود و چون همه چیز وردپرس مشخص هست، مثل آدرس صفحه لاگین و همه خبر دارند که صفحه لاگین وردپرس wp-login است و اینکه مدیران خیلی زیاد هستند که هنوز از پسوردها و نام کاربری مناسب بر روی سایت خود استفاده نمیکنند و این ویژگیهای باعث شده است تا هکرها به حملات بروت فورس در وردپرس روی بیاورند.
اما چه کار کنیم که سایت وردپرسی ما در برابر حملات بورت فورس در امان باشد.
راهکارهای عملی برای جلوگیری از حملات brute force در وردپرس
- مخفی کردن نام کاربری در سایتهای وردپرسی
- انتخاب پسورد قوی
- استفاده از پلاگین Limit Login Attempts Reloaded
- ویرایش فایل htaccess
۱- لطفا به هکرها برای بدست آوردن نام کاربری در وردپرس کمک نکنید!!!
فرض کنید، هکری که میخواهد به سایت شما حمله کند نام کاربری سایت را بداند، چقدر کار برای نفوذ هکر راحت خواهد شد!!! جالبه بدانید که بدست آوردن نام کاربری در سایتهای وردپرسی بسیار آسان است، ما در مقاله مخفی کردن نام نویسنده در وردپرس به شما آموزش دادیم که چطور هکر میتواند نام کاربری سایت را بدست بیاورد و راهکاری را ارائه دادهایم که جلوی این نفوذ گرفته شود، حتما این مقاله را مطالعه بفرمایید.
۲- لطفا از نام کاربری قوی و مناسب استفاده کنید
اکثر مدیران سایتهای وردپرسی از پسورد قوی در سایتهایشان استفاده نمیکنند به همین خاطر هکرها دوست دارند که بیشتر به سایتهای وردپرسی نفوذ کنند، ما در مقالهی روش انتخاب پسورد برای وردپرس راهکاری را ارائه کردیم که علاوه بر انتخاب یک پسورد قوی بهراحتی میتوانید آن را حفظ کنید، در واقع به شما الگوریتمی را معرفی کردیم تا با استفاده از این الگوریتم بتوانید پسوردهای ایمن و فراموش ناشدنی را برای خود انتخاب کنید.
۳- استفاده از پلاگین Limit Login Attempts Reloaded
یکی از راههای جلوگیری از حملات بورت فورس، محدود کردند تعداد دفعات ورود به پنل مدیریت وردپرس است. با این کار، هکرها را نا امید خواهید کرد. مثلا اگر کاربری سه بار رمز ورود خود را به اشتباه تایپ کرد به مدت نیم ساعت حق ورود به وردپرس را نخواهد داشت حتی اگر رمز ورود و نام کاربری را در این مدت درست وارد کرده باشد.
اگر نکتهای که در مقالهی نکتهی امنیتی که هر مدیر وردپرسی باید آنرا بداند بیان شده است را رعایت نکنید هکرها به راحتی میفهمند که نام کاربری را اشتباه وارد کردند یا پسورد را، پس حتما این مقاله را مطالعه بفرمایید و راهکار گفته شده را عملی کنید.
افزونه Limit Login Attempts Reloaded را حدود یک میلیون نفر نصب و فعال سازی کردهاند.
بعد از نصب و فعال سازی افزونه به قسمت تنظیمات Limit Login Attempt بروید.
کل تحریم: دیدن کاربرانی که از طرف پلاگین مسدود شدهاند.
اجازه retries: در اینجا تعداد دفعات تلاش برای ورود به سایت را تعیین میکنید که در این مثال روی ۴ میباشد، یعنی کاربر چهار بار حق دارد رمز یا نام کاربری خود را اشتباه وارد کند، اگر تعداد دفعات به حد نصاب برسد حتی اگر رمز صحیح هم وارد شود کار نخواهد کرد.
دقیقه تحریم: تا چه مدت کاربری حق ورود به پیشخوان را ندارد، بعنوان مثال اگر کاربر چهار بار تلاش کرد که وارد سایت شود ولی ناموفق بود به مدت بیست دقیقه کاربر را بن میکند و اجازه ورود به سایت را ندارد.
افزایش زمان تحریم برای بن شدگان: اگر کاربر چهار بار بن شد در بار چهارم، این بار به جای بیست دقیقه، ۲۴ ساعت بن خواهد شد.
آگاهی از تحریم: کاربرانی که محدود شدند از طریق ایمیل به مدیر سایت گزارش داده میشود.
لیست سیاه و لیست سفید: با استفاده از آیپی یا نام کاربری میتوانید لیست سفید یا سیاه درست کنید، لیست سفید یعنی فقط و فقط کاربرانی که IP یا نام کاربری آنها در کارد مربوطه درج شده است حق دارند وارد سایت شوند، و کاربرانی که نباید هرگز وارد سایت شوند داخل لیست سیاه قرار میگیرند.
نکته: برای به دست آوردن IP خود کافی است، کلمه IP را در گوگل سرچ کنید
۴- ویرایش فایل htaccess
وارد سیپنل سایت شود بروید قسمت فایل منیجر وارد پوشه public_html شوید در پوشه به دنبال فایل htaccess بگردید، بعد از پیدا کردن این فایل را ویرایش کنید
و کد زیر را در انتهای این فایل قرار دهید:
<Files wp-login.php> order deny,allow deny from all allow from <YOUR IP> </Files>
در قسمت your_ip میبایست ip خودتون را وارد کنید، این کد میگه هیچ کسی حق ورود به سایت را نداره جزء این ip که درج شده است، برای سایتهایی که نیاز به عضویت کاربر ندارند مفید میباشد.
با تنظیم این کد از این پس فقط ip های تعریف شده در سایت حق ورود دارند.
نکته: اگر این فایل را پیدا نکردید به احتمال زیاد پنهان شده است در سی پنل سمت راست بالای صفحه روی Setting کلیک کنید پنجره ای باز خواهد شد، تیک گزینه Show Hidden Files (dotfiles) را بزنید و حالا یک بار دیگر فایل را جستجو نمایید:
این قسمت از دوره آموزش امنیت وردپرس به پایان میرسد لطفاً همین الان سایت خود را در برابر حملات بورت فورس ایمن کنید، اگر سوالی بود در نظرات برای ما بنویسید.
راستی میتوانید در کانال تلگرامی ما عضو شوید.
شما میتوانید قسمت های قبلی دوره آموزش امنیت وردپرس را با کلیک بر روی لینکهای زیر مشاهده کنید:
آموزش امنیت وردپرس بدون دانش امنیتی [قسمت – اول]
روش انتخاب پسورد برای وردپرس در ۵ قدم[قسمت – دوم]
تغییر نام کاربری در وردپرس قدم به قدم – [قسمت – سوم]
بالا بردن امنیت سایت با مخفی کردن نام نویسنده در وردپرس – [قسمت – چهارم]
نکتهی امنیتی که هر مدیر وردپرسی باید آنرا بداند [قسمت – پنجم]