یکشنبه, ۲۴ تیر, ۱۴۰۳

آموزش روش قفل کردن صفحه ورود به سیستم وردپرس

HOW TO LOCK WORDPRESS LOGIN PAGE

چرا باید صفحه ورود به سیستم را در وردپرس قفل کنیم؟ جوابش ساده است! چون اگر این کار را نکنید ممکن است روزی متوجه شوید که سایت شما هک شده است. شما نمی‌دانید که سایتتان را چه کسی هک کرده است (حتی ممکن است پیامی هم مبنی بر هک شدن سیستم به شما داده نشود)

شاید دانشجویی که از درس‌های روزمره خسته شده است به سیستم شما دستبرد زده است شاید هم یک مجرم اینترنتی که قصد سرقت داده‌های مالی شما را دارد، این کار را کرده است!

با ما در این نوشته از نت افراز بلاگ همراه باشید تا روش قفل کردن صفحه ورود به سیستم وردپرس را فرا بگیرد و ضرورت اینکار را در یابید.

اگر از سایت خود بک آپ تهیه کرده باشید، کار سختی برای ریکاوری نخواهید داشت.

ممکن است در زمانی که سایت شما هک شده، افراد کمی به سایت شما سر زده باشند. ولی می‌توان با قطعیت گفت افرادی که در آن زمان از سایت شما بازدید کرده‌اند و متوجه مشکل سایتتان شده‌اند، دیگر هرگز به سایت شما سر نمی‌زنند. از نظر آنها سایت شما غیر قابل اطمینان است.

حمله به صفحه لاگین سایت یکی از شایع‌ترین حملات هکری است و به آن حمله جستجوی فراگیر (Brute Force Attack) می‌گویند.

اگر کاری برای جلوگیری از این مسئله انجام نداده‌اید، دیر یا زود شما هم هک می‌شوید. خوشبختانه راه‌های بسیار ساده‌ای برای جلوگیری از هک شدن وجود دارند. این کارها هیچ هزینه‌ای ندارند، فقط لازم است چند دقیقه وقت صرفشان کنید.

حمله جستجوی فراگیر

حمله جستجوی فراگیر، صفحه ورود (login) وردپرس به آدرس http://domain/wp-login.php را هدف قرار می‌دهد. همه می‌دانند که شما از همین طریق وارد وردپرس می‌شوید، بنابراین این هدف ساده‌ای برای هکرها است.

قاعدتا نام کاربری و کلمه عبور باید جلوی هکرها از ورود به سایت شما را بگیرند، ولی بعضی وقت‌ها نمی‌توانند سد راه هکرها شوند.

می‌توان حدس زد که بیشتر افراد از کلمه admin برای نام کاربری استفاده می‌کنند. بنابراین هکرها یک قدم به جلو می‌افتند. دومین نام کاربری پر طرفدار، هشت حرف اول نام سایت است.

اگر نام کاربری شما همین‌هایی باشد که در بالا گفتیم، سارقین سایت شما تا نیمه راه رفته‌اند. نیمه دوم راه، حمله جستجوی فراگیر می‌باشد. در اینجا یک برنامه کامپیوتری وارد عمل می‌شود. یک اسکریپت کامپیوتری می‌تواند با سرعت بسیار زیادی کلمات ورود مختلف را امتحان کند.

این برنامه صدها هزار کلمه عبور مختلف را امتحان می‌کند تا در نهایت وارد سایت شما شود. این برنامه هیچ وقفه‌ای ندارد و مرتبا کلمات و ترکیب‌های مختلف را امتحان می‌کند. وردپرس هم جلوی آن را نمی‌گیرد و اجازه می‌دهد تا برنامه به هر تعداد که لازم باشد، کلمات عبور مختلف را تست کند.

در اینجا ممکن است امیدوارانه با خود بگویید «تعداد زیادی سایت وجود دارد و احتمال اینکه هکر به فکر دستبرد به سایت کوچک من باشد، کم است.» مسئله این است که هکرها برای دستبرد به هر سایتی تلاش خواهند کرد. تعداد زیادی هکر به شکل سازماندهی شده از بات‌نت‌ها (Botnets) ( که از صدها کامپیوتر متصل به هم تشکیل شده است ) برای نفوذ به هزاران سایت استفاده می‌کنند.

در ابتدای سال ۲۰۱۹ شرکت امنیتی Bruteprotect که این فعالیت‌های مجرمانه را رصد می‌کند، گزارشی در مورد یکی از همین حملات ارائه داد که تا کنون سابقه نداشته. این مسئله یک اتفاق نادر نیست، بلکه هر روز پیش می‌آید. در ادامه روش های قفل کردن صفحه ورود به سیستم وردپرس را ذکر می کنیم:

در را به روی هکرها ببندید

ابزارهای زیادی برای حفاظت از فایل‌های PHP در اینترنت پیدا می‌شود. کار این ابزارها ساخت کلمات عبور رمزگذاری شده و اصلاح فایل htaccess. است. البته استفاده از این ابزارها کمی پیچیده است.

خوشبختانه راه ساده‌تری که احتیاجی هم به کد نوشتن ندارد، وجود دارد. در واقع با انجام دو کار می‌توان جلوی حمله جستجوی فراگیر را قبل از شروع آن گرفت.

اول از همه نام admin را عوض کنید. دقت کنید که این نام (نام کاربری) با آن نامی که برای بازدیدکنندگان سایت (در قسمت بیوگرافی) نمایش داده می‌شود، متفاوت است. این نامی است که شما از آن برای ورود استفاده می‌کنید.

برای نام کاربری از اسم سایت یا اسم خودتان استفاده نکنید. از کلمات یا حروفی استفاده کنید که حدس زدن آن برای هکرها آسان نباشد. در اینجا باید از هشت حرف یا عدد استفاده کنید. نامی را به کار ببرید که برای شما خاص و قابل حفظ کردن باشد.

حالا باید کلمه عبور را انتخاب کنید. بهترین انتخاب ترکیب تصادفی و بی‌نظم اعداد، حروف بزرگ و کوچک و نشانه‌های خاص است. بهتر است کلمه عبور بیش از ۱۲ کاراکتر داشته باشد. در اینترنت ابزارهایی مانند passwords generator برای ساخت کلمه عبور وجود دارد. کلمه عبور شما ممکن است چیزی شبیه به (e<C&5G#tTQgt_Q) باشد. نه اینکه قابل شکستن نباشد، ولی شکستن آن بسیار بسیار سخت است.

در آخر با نام کاربری و کلمه عبور جدید وارد شوید و حتما کاربر قدیمی (old user) را دلیت کنید. توجه داشته باشید که اگر نام کاربری و کلمه عبور جدید شما ضعیف باشد، باز در معرض خطر هکرها خواهید بود.

البته در سرویس های نت افراز در صورتی که رمز عبور وردپرس را ضعیف انتخاب کنید فایروال اجازه ورود نمی دهد و می بایست حتما یک رمز عبور قوی و حداقل ۸ کاراکتری در نظر بگیرید.

حتی اجازه ندهید هکرها در بزنند

دومین کاری که باید انجام دهید این است که افزونه Limit Login Attempts Reloaded را نصب کنید.

روش قفل کردن صفحه ورود به سیستم وردپرس

روند کاری حمله جستجوی فراگیر را می‌توان اینگونه توصیف کرد که در آن هکرها آنقدر در می‌زنند تا کسی جوابشان را بدهد. افزونه Limit Login Attempts Reloaded جلوی در زدن‌های مداوم یک IP را می‌گیرد. اگر تعداد دفعات ممکن برای امتحان کردن کلمه عبور را روی ۴ تنظیم کنید. برنامه کامپیوتری بار پنجم نمی‌تواند کلمه عبور جدیدش را امتحان کند. (حدس زدن عبارتی به پیچیدگی e<C&5G#tTQgt_Q در چهار بار تلاش واقعا سخت است.)

افزونه Limit Login Attempts Reloaded قابلیت‌های دیگری هم دارد که در زیر به آنها اشاره می‌کنیم.

بعد از نصب و فعال کردن افزونه به قسمت Settings > Limit Login Attempts بروید و تعداد دفعات ممکن برای امتحان کردن کلمه عبور را مانند شکل زیر تنظیم کنید.

روش قفل کردن صفحه ورود به سیستم وردپرس

در شکل بالا، Total Lockouts تعداد دفعاتی را که هکرها برای راهیابی به سایت شما اقدام کرده‌اند (و موفق نشده‌اند) نشان می‌دهد.

  • Allowed retries : تعداد دفعات ممکن برای یک IP برای امتحان کردن کلمه عبور با Allowed retries مشخص می‌شود. اگر این عدد روی ۴ تنظیم شود خوب است. چون یک انسان هم ممکن است ۳ بار اشتباه کند. لازم است که این عدد بالای ۱ یا ۲ باشد. مخصوصا اگر وبسایت شما توسط چند نفر اداره می‌شود.
  • Minutes lockout : مدت زمانی که یک IP قفل می‌شود با Minutes lockout مشخص می‌شود. می‌توانید این زمان را روی forever تنظیم کنید. ولی این کار توصیه نمی‌شود. (خطاهای انسانی را در نظر بگیرید.) تنظیم این مقدار روی ۲۰-۳۰ دقیقه خوب است.
  • Lockouts increase : در حملات جستجوی فراگیر برنامه کامپیوتری بعد از قفل شدن دوباره به سر وقت سایت شما می‌آید. Lockouts increase به برنامه کامپیوتری هک می‌گوید: «از آنجایی که شما قبلا قفل شده‌اید، این بار زمان قفل شدن شما را افزایش می‌دهیم.»
  • Hours until retries : زمانی را نشان می‌دهد که بعد از آن همه چیز به حالت اول برگشته و مردم می‌توانند برای ورود به سایت (مثل اول) تلاش کنند.

آپشن‌های دیگر مربوط به تنظیمات حرفه‌ای است و در ادامه به آنها می‌پردازیم.

Site connection : ممکن است شما اتصال مستقیم داشته باشد. در یک مجموعه پروکسی معمولا کل مجموعه را در بر می‌گیرد. در این صورت شما احتمالا با سکیوریتی سر و کار نخواهید داشت.

Handle cookie login : این قسمت به کوکی‌های ادمین ربط دارد که با هر بار ورود موفق به سایت ایجاد می‌شود. اگر دلیل خاصی ندارید، در این قسمت گزینه Yes را انتخاب کنید.

Notify on lockout : کسانی که سعی در شکستن رمز شما داشته‌اند را از طریق پیام (log) یا ایمیل به شما اطلاع می‌دهد.

اگر دوست داشته باشید می‌توانید از دوستان یا همکاران خود بخواهید تا برای ورود به سایت شما تلاش کنند. در این صورت از کارایی این افزونه اطمینان پیدا خواهید کرد.

URL صفحه ورود وردپرس را تغییر دهید

این کار به طور چشم‌گیری تعداد حملات هکرها را کاهش می‌دهد البته افزونه خوبی به نام WPS Hide Login برای انجام این کار وجود دارد.

روش قفل کردن صفحه ورود به سیستم وردپرس

WPS Hide Login افزونه سبکی است که به شما اجازه می‌دهد URL صفحه ورود خود را به هر شکلی که خواستید تغییر دهید.

جمع بندی

در این مقاله چند گام ساده برای جلوگیری از تهدید حملات جستجوی فراگیر را توضیح دادیم. از این به بعد مسئله حملات جستجوی فراگیر را دست کم نگیرید و نام کاربری و کلمه عبور خود را تغییر دهید. بعد از آن افزونه  WPS Hide Login را نصب کرده و URL خود را هم عوض کنید. اینها راه‌های خوبی برای قفل کردن صفحه ورود وردپرس شما هستند.

منبع: Kinsta

امیدواریم که از مقاله آموزش روش قفل کردن صفحه ورود به سیستم وردپرس خوشتان آمده باشد.

لطفا نظر خودتان را با ما در بخش نظرات به اشتراک بگذارید

شاد و پیروز باشید.

https://www.netafraz.com/blog/learn-how-to-lock-your-wordpress-login-page/

در این نوشته میخوانید ...

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *