[ad_1]
آموزش روش قفل کردن صفحه ورود به سیستم وردپرس : چرا باید صفحه ورود به سیستم را در وردپرس قفل کنیم؟ جوابش ساده است! چون اگر این کار را نکنید ممکن است روزی متوجه شوید که سایت شما هک شده است. شما نمیدانید که سایتتان را چه کسی هک کرده است (حتی ممکن است پیامی هم مبنی بر هک شدن سیستم به شما داده نشود)
شاید دانشجویی که از درسهای روزمره خسته شده است به سیستم شما دستبرد زده است شاید هم یک مجرم اینترنتی که قصد سرقت دادههای مالی شما را دارد، این کار را کرده است!
با ما همراه باشید تا روش قفل کردن صفحه ورود به سیستم وردپرس را فرا بگیرد و ضرورت اینکار را در یابید.
اگر از سایت خود بک آپ تهیه کرده باشید، کار سختی برای ریکاوری نخواهید داشت.
ممکن است در زمانی که سایت شما هک شده، افراد کمی به سایت شما سر زده باشند. ولی میتوان با قطعیت گفت افرادی که در آن زمان از سایت شما بازدید کردهاند و متوجه مشکل سایتتان شدهاند، دیگر هرگز به سایت شما سر نمیزنند. از نظر آنها سایت شما غیر قابل اطمینان است.
حمله به صفحه لاگین سایت یکی از شایعترین حملات هکری است و به آن حمله جستجوی فراگیر (Brute Force Attack) میگویند.
اگر کاری برای جلوگیری از این مسئله انجام ندادهاید، دیر یا زود شما هم هک میشوید. خوشبختانه راههای بسیار سادهای برای جلوگیری از هک شدن وجود دارند. این کارها هیچ هزینهای ندارند، فقط لازم است چند دقیقه وقت صرفشان کنید.
حمله جستجوی فراگیر
حمله جستجوی فراگیر، صفحه ورود (login) وردپرس به آدرس http://domain/wp-login.php را هدف قرار میدهد. همه میدانند که شما از همین طریق وارد وردپرس میشوید، بنابراین این هدف سادهای برای هکرها است.
قاعدتا نام کاربری و کلمه عبور باید جلوی هکرها از ورود به سایت شما را بگیرند، ولی بعضی وقتها نمیتوانند سد راه هکرها شوند.
میتوان حدس زد که بیشتر افراد از کلمه admin برای نام کاربری استفاده میکنند. بنابراین هکرها یک قدم به جلو میافتند. دومین نام کاربری پر طرفدار، هشت حرف اول نام سایت است.
اگر نام کاربری شما همینهایی باشد که در بالا گفتیم، سارقین سایت شما تا نیمه راه رفتهاند. نیمه دوم راه، حمله جستجوی فراگیر میباشد. در اینجا یک برنامه کامپیوتری وارد عمل میشود. یک اسکریپت کامپیوتری میتواند با سرعت بسیار زیادی کلمات ورود مختلف را امتحان کند.
این برنامه صدها هزار کلمه عبور مختلف را امتحان میکند تا در نهایت وارد سایت شما شود. این برنامه هیچ وقفهای ندارد و مرتبا کلمات و ترکیبهای مختلف را امتحان میکند. وردپرس هم جلوی آن را نمیگیرد و اجازه میدهد تا برنامه به هر تعداد که لازم باشد، کلمات عبور مختلف را تست کند.
در اینجا ممکن است امیدوارانه با خود بگویید «تعداد زیادی سایت وجود دارد و احتمال اینکه هکر به فکر دستبرد به سایت کوچک من باشد، کم است.» مسئله این است که هکرها برای دستبرد به هر سایتی تلاش خواهند کرد. تعداد زیادی هکر به شکل سازماندهی شده از باتنتها (Botnets) ( که از صدها کامپیوتر متصل به هم تشکیل شده است ) برای نفوذ به هزاران سایت استفاده میکنند.
در ابتدای سال ۲۰۱۹ شرکت امنیتی Bruteprotect که این فعالیتهای مجرمانه را رصد میکند، گزارشی در مورد یکی از همین حملات ارائه داد که تا کنون سابقه نداشته. این مسئله یک اتفاق نادر نیست، بلکه هر روز پیش میآید. در ادامه روش های قفل کردن صفحه ورود به سیستم وردپرس را ذکر می کنیم:
-
در را به روی هکرها ببندید
ابزارهای زیادی برای حفاظت از فایلهای PHP در اینترنت پیدا میشود. کار این ابزارها ساخت کلمات عبور رمزگذاری شده و اصلاح فایل htaccess. است. البته استفاده از این ابزارها کمی پیچیده است.
خوشبختانه راه سادهتری که احتیاجی هم به کد نوشتن ندارد، وجود دارد. در واقع با انجام دو کار میتوان جلوی حمله جستجوی فراگیر را قبل از شروع آن گرفت.
اول از همه نام admin را عوض کنید. دقت کنید که این نام (نام کاربری) با آن نامی که برای بازدیدکنندگان سایت (در قسمت بیوگرافی) نمایش داده میشود، متفاوت است. این نامی است که شما از آن برای ورود استفاده میکنید.
برای نام کاربری از اسم سایت یا اسم خودتان استفاده نکنید. از کلمات یا حروفی استفاده کنید که حدس زدن آن برای هکرها آسان نباشد. در اینجا باید از هشت حرف یا عدد استفاده کنید. نامی را به کار ببرید که برای شما خاص و قابل حفظ کردن باشد.
حالا باید کلمه عبور را انتخاب کنید. بهترین انتخاب ترکیب تصادفی و بینظم اعداد، حروف بزرگ و کوچک و نشانههای خاص است. بهتر است کلمه عبور بیش از ۱۲ کاراکتر داشته باشد. در اینترنت ابزارهایی مانند passwords generator برای ساخت کلمه عبور وجود دارد. کلمه عبور شما ممکن است چیزی شبیه به (e<C&5G#tTQgt_Q) باشد. نه اینکه قابل شکستن نباشد، ولی شکستن آن بسیار بسیار سخت است.
در آخر با نام کاربری و کلمه عبور جدید وارد شوید و حتما کاربر قدیمی (old user) را دلیت کنید. توجه داشته باشید که اگر نام کاربری و کلمه عبور جدید شما ضعیف باشد، باز در معرض خطر هکرها خواهید بود.
البته در سرویس های نت افراز در صورتی که رمز عبور وردپرس را ضعیف انتخاب کنید فایروال اجازه ورود نمی دهد و می بایست حتما یک رمز عبور قوی و حداقل ۸ کاراکتری در نظر بگیرید.
-
حتی اجازه ندهید هکرها در بزنند
دومین کاری که باید انجام دهید این است که افزونه Limit Login Attempts Reloaded را نصب کنید.
روند کاری حمله جستجوی فراگیر را میتوان اینگونه توصیف کرد که در آن هکرها آنقدر در میزنند تا کسی جوابشان را بدهد. افزونه Limit Login Attempts Reloaded جلوی در زدنهای مداوم یک IP را میگیرد. اگر تعداد دفعات ممکن برای امتحان کردن کلمه عبور را روی ۴ تنظیم کنید. برنامه کامپیوتری بار پنجم نمیتواند کلمه عبور جدیدش را امتحان کند. (حدس زدن عبارتی به پیچیدگی e<C&5G#tTQgt_Q در چهار بار تلاش واقعا سخت است.)
افزونه Limit Login Attempts Reloaded قابلیتهای دیگری هم دارد که در زیر به آنها اشاره میکنیم.
بعد از نصب و فعال کردن افزونه به قسمت Settings > Limit Login Attempts بروید و تعداد دفعات ممکن برای امتحان کردن کلمه عبور را مانند شکل زیر تنظیم کنید.
در شکل بالا، Total Lockouts تعداد دفعاتی را که هکرها برای راهیابی به سایت شما اقدام کردهاند (و موفق نشدهاند) نشان میدهد.
- Allowed retries : تعداد دفعات ممکن برای یک IP برای امتحان کردن کلمه عبور با Allowed retries مشخص میشود. اگر این عدد روی ۴ تنظیم شود خوب است. چون یک انسان هم ممکن است ۳ بار اشتباه کند. لازم است که این عدد بالای ۱ یا ۲ باشد. مخصوصا اگر وبسایت شما توسط چند نفر اداره میشود.
- Minutes lockout : مدت زمانی که یک IP قفل میشود با Minutes lockout مشخص میشود. میتوانید این زمان را روی forever تنظیم کنید. ولی این کار توصیه نمیشود. (خطاهای انسانی را در نظر بگیرید.) تنظیم این مقدار روی ۲۰-۳۰ دقیقه خوب است.
- Lockouts increase : در حملات جستجوی فراگیر برنامه کامپیوتری بعد از قفل شدن دوباره به سر وقت سایت شما میآید. Lockouts increase به برنامه کامپیوتری هک میگوید: «از آنجایی که شما قبلا قفل شدهاید، این بار زمان قفل شدن شما را افزایش میدهیم.»
- Hours until retries : زمانی را نشان میدهد که بعد از آن همه چیز به حالت اول برگشته و مردم میتوانند برای ورود به سایت (مثل اول) تلاش کنند.
آپشنهای دیگر مربوط به تنظیمات حرفهای است و در ادامه به آنها میپردازیم.
Site connection : ممکن است شما اتصال مستقیم داشته باشد. در یک مجموعه پروکسی معمولا کل مجموعه را در بر میگیرد. در این صورت شما احتمالا با سکیوریتی سر و کار نخواهید داشت.
Handle cookie login : این قسمت به کوکیهای ادمین ربط دارد که با هر بار ورود موفق به سایت ایجاد میشود. اگر دلیل خاصی ندارید، در این قسمت گزینه Yes را انتخاب کنید.
Notify on lockout : کسانی که سعی در شکستن رمز شما داشتهاند را از طریق پیام (log) یا ایمیل به شما اطلاع میدهد.
اگر دوست داشته باشید میتوانید از دوستان یا همکاران خود بخواهید تا برای ورود به سایت شما تلاش کنند. در این صورت از کارایی این افزونه اطمینان پیدا خواهید کرد.
-
URL صفحه ورود وردپرس را تغییر دهید
این کار به طور چشمگیری تعداد حملات هکرها را کاهش میدهد البته افزونه خوبی به نام WPS Hide Login برای انجام این کار وجود دارد.
WPS Hide Login افزونه سبکی است که به شما اجازه میدهد URL صفحه ورود خود را به هر شکلی که خواستید تغییر دهید.
خلاصه
در این مقاله چند گام ساده برای جلوگیری از تهدید حملات جستجوی فراگیر را توضیح دادیم. از این به بعد مسئله حملات جستجوی فراگیر را دست کم نگیرید و نام کاربری و کلمه عبور خود را تغییر دهید. بعد از آن افزونه WPS Hide Login را نصب کرده و URL خود را هم عوض کنید. اینها راههای خوبی برای قفل کردن صفحه ورود وردپرس شما هستند.
منبع: Kinsta
امیدواریم که از مقاله آموزش روش قفل کردن صفحه ورود به سیستم وردپرس خوشتان آمده باشد.
لطفا نظر خودتان را با ما در بخش نظرات به اشتراک بگذارید
شاد باشید.
[ad_2]