هکرها همواره در تلاش هستند تا با حدس رمز وردپرس شما، به سایت شما نفوذ کنند. کاربران وردپرس به طور پیشفرض میتوانند بدون هیچ محدودیتی رمزهای متفاوت برای ورود را امتحان کنند. به این کار حملهی بروت فورس میگویند. در این آموزش سعی داریم محدود کردن تلاش برای ورود به وردپرس را بررسی کنیم.
چرا باید تعداد تلاش برای ورود به وردپرس را محدود کنیم؟
وردپرس محبوبترین سیستم مدیریت محتوا در دنیای وب است. حدود ۲۰ درصد کل وبسایتها برای تولید محتوا از وردپرس استفاده میکنند.
تصور رایج این است که وردپرس امنیت پایینی دارد. این تصور اشتباه نیست. حتی میتوان گفت، امنیت بالا یکی از دلایل محبوبیت وردپرس است. به دلیل اینکه این پلتفرم متن باز است، بسیاری از توسعهدهندگان بر روی آن کار میکنند تا باگها و مشکلات امنیتی آن را برطرف کنند.
اگر از وردپرس به درستی استفاده شود، امنیت آن تضمین شده است. البته با استفاده از پلاگین هم میتوان امنیت آن را افزایش داد. با استفاده از پلاگین رایگان Login LockDown میتوان یک لایهی امنیتی بیشتر برای ورود هکرها به وردپرس ایجاد کنید.
آیا سایت شما در مقابل حملههای بروت فورس آسیب پذیر است؟
هکرها از روشهای مختلفی برای نفوذ به سایتهای وردپرسی استفاده میکنند. یکی از این تکنیکها به بروت فورس معروف است.
حمله بروت فورس زمانی است که یک هکر با حدس رمز تلاش کند که به داشبورد وردپرس وارد شود. معمولا هکرها با یک نرمافزار تلاش میکنند تا در سریعترین زمان رمز وردپرسی شما را حدس بزنند.
یکی از دلایلی که بهتر است شما رمز پیشفرض وردپرس را عوض کنید همین بروت فورس است. حمله بروت فورس معمولا با رمز 12345 یا qwerty شروع میشود. متاسفانه هنوز هم خیلی از کاربران وردپرس از رمز ورود ساده استفاده میکنند.
آموزش محدود کردن تعداد تلاش برای ورود به وردپرس
محدود کردن تعداد تلاش برای ورود به وردپرس با استفاده از پلاگین Login LockDown امکانپذیر است. این پلاگین از کلیهی IPهای کاربران برای ورود، صورت وضعیت تهیه میکند. اگر یک IP، در بازهی زمانی کوتاه، چندین بار رمز اشتباه وارد کند، به طور خودکار از ورود آن جلوگیری میشود. البته این محدودیت در بازهی زمانی موقتی اعمال میشود.
تنظیمات پلاگین Login LockDown
برای نصب Login LockDown به بخش افزونهها و سپس افزون بروید. از آنجا نام پلاگین را جستجو کنید و روی گزینه هماکنون نصب کن کلیک کنید. یا اینکه میتوانید پلاگین را از سایت وردپرس دانلود کنید و از روش نصب پلاگین از طریق فایل زیپ، Login LockDown را نصب کنید.


بعد از نصب و فعالسازی پلاگین، به Setting و از آنجا به Login LockDown بروید تا تنظیمات پلاگین را انجام دهید.


به طور پیشفرض، این پلاگین هر IP را که در مدت زمان ۵ دقیقه، سه بار ورود ناموفق داشته باشد برای 60 دقیقه مسدود میکند. تمامی این زمانها قابل تنظیم هستند. در بخش Max Login Retries میتوانید تعداد ورودهای ناموفق را تعیین کنید. در قسمت Retry Time Period Restriction میتوانید مدت زمان 5 دقیقه را بیشتر را کمتر کنید.


پلاگین در مواقعی که کسی سعی دارد با نام کاربری که در سایت موجود نیست وارد شود، کار خاصی انجام نمیدهد. در قسمت Lockout Invalid Username میتوانید این تنظیمات را عوض کنید.


اگر نام کاربری admin را با رمز اشتباه در وردپرس وارد کنید، پیغام ERROR: The password you entered for the username admin is incorrect نمایش داده میشود. این پیام همانطور که برای شما مفید است، برای هکرها هم مفید است. در قسمت Mask Login Errors تعیین میکنید که این نوع از راهنماییها برای کسی نمایش داده نشود.
در نهایت در صفحهی ورود کاربران، به آنها پیامی مبنی بر استفاده از این پلاگین در محدود کردن تعداد تلاش برای ورود به وردپرس نمایش داده میشود. نمایش یا عدم نمایش این پیام نیز قابل تنظیم است.
آموزش بازگشایی اکانت قفل شده وردپرس
در این قسمت نحوهی بازگشایی اکانت قفل شدهی وردپرس را بررسی میکنیم. باید توجه داشته باشید که بسته به نوع پلاگین، ممکن است روش بازگشایی قفل متفاوت باشد، اما بیشتر پلاگینها در خود یک سیستم بازگشایی دارند.
روش اول: بازگشایی اکانت به صورت دستی


از داشبورد اصلی وردپرس به Setting و از آنجا روی Login LockDown کلیک کنید. در پنجرهی باز شده روی تب Activity کلیک کنید. عدد داخل پرانتز نشاندهندهی تعداد اکانتهای قفل شده است.
در این بخش لیستی از اکانتهای قفل شده را مشاهده میکنید. با انتخاب هر IP و کلیک روی Release Selected میتوانید اکانت قفل شده را باز کنید.
این روش سادهترین راه برای بازگشایی اکانت بود. در شرایطی ممکن است مجبور باشید از طریق سی پنل این کار را انجام دهید. در صورتی که به سی پنل دسترسی دارید از روش بعدی میتوانید از روش بعدی هم استفاده کنید.
روش دوم: از طریق سی پنل
اطلاعات کاربری شما از طریق هاست شما در اختیارتان قرار میگیرد. البته فراموش نکنید که برای بازگشایی اکانت قفل شده از این راه هم باید IP مورد نظر را داشته باشید. بهتر است که از وبسایت خود یک بکاپ داشته باشید. با بکاپ گیری، در صورت ورود کد اشتباه، میتوانید وبسایت خود را به حالت قبل برگردانید.


به سی پنل بروید از آن جا روی phpMyAdmin کلیک کنید. به تب SQL بروید. حال در این قسمت، کد نوشته شده در زیر را وارد کنید. این کد، یک پیشنمایش کلی از چیزی است که باید بنویسید:


update wp_lockdowns set release_date=”Year-Month-Day Time” where lockdown_IP=”<IP address>”;
در قسمت Year-Month-Day Time تاریخ را مانند نمونه وارد کنید(تاریخ روز را وارد کنید):
2018-12-25
ساعت را هم مانند نمونه وارد کنید(ساعت همان روز وارد کنید):
6:00 PM EST
همچنین باید آدرس IP صحیح را در قسمت IP address وارد کنید.
پلاگین Login LockDown یا WordFFence Security
اینکه از پلاگین WordFence Security استفاده کنیم یا Login LockDown، باید گفت که نمیتوان نظر قطعی داد. پلاگین WordFence Security یک ابزار کامل برای مدیریت سایت است. این درحالی است که LoginLock Down، به طور ویژه برای جلوگیری از حملات بروتفورس طراحی شده است.
هیچ تداخلی بین این دو پلاگین وجود ندارد. میتوانید از هر دو همزمان استفاده کنید. استفاده از هر دو پلاگین در افزایش امنیت سایت شما موثر است.
راههای دیگر برای حفظ امنیت سایت
حملات بروت فورس تنها مشکل امنیتی نیست که باید نگران آن باشید. برای امنیت سایت وردپرسی خود بهتر است موارد زیر را رعایت کنید:
- همواره از جدیدترین نسخهی وردپرس استفاده کنید.
- نام کاربری پیشفرض را از admin به نام دیگری تغییر دهید.
- از رمزهای ضعیف استفاده نکنید. سعی کنید رمزهای مناسب برای سایت خود انتخاب کنید.
- پیشوندهای اولیهی دیتابیس را تغییر دهید.