آموزش محدود کردن تعداد تلاش برای ورود به وردپرس

هکرها همواره در تلاش هستند تا با حدس رمز وردپرس شما، به سایت شما نفوذ کنند. کاربران وردپرس به طور پیش‌فرض می‌توانند بدون هیچ محدودیتی رمزهای متفاوت برای ورود را امتحان کنند. به این کار حمله‌ی بروت فورس می‌گویند. در این آموزش سعی داریم محدود کردن تلاش برای ورود به وردپرس را بررسی کنیم.  

چرا باید تعداد تلاش برای ورود به وردپرس را محدود کنیم؟

وردپرس محبوب‌ترین سیستم مدیریت محتوا در دنیای وب است. حدود ۲۰ درصد کل وب‌سایت‌ها برای تولید محتوا از وردپرس استفاده می‌کنند.

تصور رایج این است که وردپرس امنیت پایینی دارد. این تصور اشتباه نیست. حتی می‌توان گفت، امنیت بالا یکی از دلایل محبوبیت وردپرس  است. به دلیل این‌که این پلتفرم متن باز است، بسیاری از توسعه‌دهندگان بر روی آن کار می‌کنند تا باگ‌ها و مشکلات امنیتی آن را برطرف کنند.

اگر از وردپرس به درستی استفاده شود، امنیت آن تضمین شده است. البته با استفاده از پلاگین هم می­توان امنیت آن را افزایش داد. با استفاده از پلاگین رایگان Login LockDown می‌توان یک لایه‌ی امنیتی بیشتر برای ورود هکر‌ها به وردپرس ایجاد کنید.

آیا سایت شما در مقابل حمله‌های بروت فورس آسیب پذیر است؟

هکرها از روش‌های مختلفی برای نفوذ به سایت‌های وردپرسی استفاده می‌کنند. یکی از این تکنیک‌ها به بروت فورس معروف است.

حمله بروت فورس زمانی است که یک هکر با حدس رمز تلاش کند که به داشبورد وردپرس وارد شود. معمولا هکرها با یک نرم‌افزار تلاش می‌کنند تا در سریع‌ترین زمان رمز وردپرسی شما را حدس بزنند.

یکی از دلایلی که بهتر است شما رمز پیشفرض وردپرس را عوض کنید همین بروت فورس است. حمله بروت فورس معمولا با رمز 12345 یا qwerty شروع می‌شود. متاسفانه هنوز هم خیلی از کاربران وردپرس از رمز ورود ساده استفاده می‌کنند.

آموزش محدود کردن تعداد تلاش برای ورود به وردپرس

 محدود کردن تعداد تلاش برای ورود به وردپرس با استفاده از پلاگین Login LockDown امکان‌پذیر است. این پلاگین از کلیه‌‌ی IPهای کاربران برای ورود، صورت وضعیت تهیه می‌کند. اگر یک IP، در بازه‌ی زمانی کوتاه، چندین بار رمز اشتباه وارد کند، به طور خودکار از ورود آن جلوگیری می‌شود. البته این محدودیت در بازه‌ی زمانی موقتی اعمال می‌شود.

تنظیمات پلاگین Login LockDown

برای نصب Login LockDown به بخش افزونه‌ها و سپس افزون بروید. از آنجا نام پلاگین را جستجو کنید و روی گزینه هم‌اکنون نصب کن کلیک کنید. یا اینکه می‌توانید پلاگین را از سایت وردپرس دانلود کنید و از روش نصب پلاگین از طریق فایل زیپ، Login LockDown را نصب کنید.

بعد از نصب و فعال‌سازی پلاگین، به Setting و از آنجا به Login LockDown بروید تا تنظیمات پلاگین را انجام دهید.

به طور پیش‌فرض، این پلاگین هر  IP را که در مدت زمان ۵ دقیقه، سه بار ورود ناموفق داشته باشد برای 60 دقیقه مسدود می‌کند. تمامی این زمان‌ها قابل تنظیم هستند. در بخش Max Login Retries می‌توانید تعداد ورودهای ناموفق را تعیین کنید. در قسمت Retry Time Period Restriction می‌توانید مدت زمان 5 دقیقه را بیشتر را کمتر کنید.

 پلاگین در مواقعی که کسی سعی دارد با نام کاربری که در سایت موجود نیست وارد شود، کار خاصی انجام نمی‌دهد. در قسمت Lockout Invalid  Username می‌توانید این تنظیمات را عوض کنید.

اگر نام کاربری admin را با رمز اشتباه در وردپرس وارد کنید، پیغام ERROR: The password you entered for the username admin is incorrect نمایش داده می‌شود. این پیام همان‌طور که برای شما مفید است، برای هکرها هم مفید است. در قسمت Mask Login Errors تعیین می‌کنید که این نوع از راهنمایی‌ها برای کسی نمایش داده نشود.

در نهایت در صفحه‌ی ورود کاربران، به آنها پیامی مبنی بر استفاده از این پلاگین در محدود کردن تعداد تلاش برای ورود به وردپرس نمایش داده می‌شود. نمایش یا عدم نمایش این پیام نیز قابل تنظیم است.

آموزش بازگشایی اکانت قفل شده وردپرس

در این قسمت نحوه‌ی بازگشایی اکانت قفل شده‌ی وردپرس را بررسی می‌کنیم. باید توجه داشته باشید که بسته به نوع پلاگین، ممکن است روش بازگشایی قفل متفاوت باشد، اما بیشتر پلاگین‌ها در خود یک سیستم بازگشایی دارند.

روش اول: بازگشایی اکانت به صورت دستی

از داشبورد اصلی وردپرس به Setting و از آنجا روی Login LockDown کلیک کنید. در پنجره‌ی باز شده روی تب Activity کلیک کنید. عدد داخل پرانتز نشان‌دهنده‌ی تعداد اکانت‌های قفل شده است.

در این بخش لیستی از اکانت‌های قفل شده را مشاهده می‌کنید. با انتخاب هر IP و کلیک روی Release Selected می‌توانید اکانت قفل شده را باز کنید.

این روش ساده‌ترین راه برای بازگشایی اکانت بود. در شرایطی ممکن است مجبور باشید از طریق سی پنل این کار را انجام دهید. در صورتی که به سی پنل دسترسی دارید از روش بعدی می‌توانید از روش بعدی هم استفاده کنید.

روش دوم: از طریق سی پنل

اطلاعات کاربری شما از طریق هاست شما در اختیارتان قرار می‌گیرد. البته فراموش نکنید که برای بازگشایی اکانت قفل شده از این راه هم باید IP مورد نظر را داشته باشید. بهتر است که از وب‌سایت خود یک بکاپ داشته باشید. با بکاپ گیری، در صورت ورود کد اشتباه، می‌توانید وب‌سایت خود را به حالت قبل برگردانید.

به سی پنل بروید از آن جا روی phpMyAdmin کلیک کنید. به تب SQL بروید. حال در این قسمت، کد نوشته شده در زیر را وارد کنید. این کد، یک پیش‌نمایش کلی از چیزی است که باید بنویسید:

update wp_lockdowns set release_date=”Year-Month-Day Time” where lockdown_IP=”<IP address>”;

در قسمت Year-Month-Day Time تاریخ را مانند نمونه وارد کنید(تاریخ روز را وارد کنید):

 2018-12-25

ساعت را هم مانند نمونه وارد کنید(ساعت همان روز وارد کنید):

6:00 PM EST

همچنین باید آدرس IP صحیح را در قسمت IP address وارد کنید.

پلاگین Login LockDown یا WordFFence Security

اینکه از پلاگین WordFence Security استفاده کنیم یا Login LockDown، باید گفت که نمی‌توان نظر قطعی داد. پلاگین WordFence Security یک ابزار کامل برای مدیریت سایت است. این درحالی است که LoginLock Down، به طور ویژه برای جلوگیری از حملات بروت‌فورس طراحی شده است.

هیچ تداخلی بین این دو پلاگین وجود ندارد. می‌توانید از هر دو همزمان استفاده کنید. استفاده از هر دو پلاگین در افزایش امنیت سایت شما موثر است.

راه‌های دیگر برای حفظ امنیت سایت

حملات بروت فورس تنها مشکل امنیتی نیست که باید نگران آن باشید. برای امنیت سایت وردپرسی خود بهتر است موارد زیر را رعایت کنید:

• همواره از جدیدترین نسخه‌ی وردپرس استفاده کنید.
• نام کاربری پیشفرض را از admin به نام دیگری تغییر دهید.
• از رمزهای ضعیف استفاده نکنید. سعی کنید رمزهای مناسب برای سایت خود انتخاب کنید.
• پیشوندهای اولیه‌ی دیتابیس را تغییر دهید.