آیا میدانستید یکی از ناجوانمردانهترین حملات، حملات سایبری به شکلهای گوناگون است؟ به خصوص گونهای از این حملات که در آن شخصی به طور مداوم سعی میکند رمز ورود شما را حدس بزند تا بتواند وارد سایت و مدیریت آن شود. اگرچه وردپرس خود یک سیستم عامل مطمئن است، این باعث نمیشود سایت شما از این حملات مصون باشد. یکی از رایجترین هکها، هکهایی توسط انسان یا رباتهایی هستند که سعی میکنند تا با استفاده از نام کاربری و رمزعبورهای مختلف، راه خود را از طریق صفحه ورود به سیستم، باز کنید. برای جلوگیری از موفقیت آنها و محدودیت در ورود به وردپرس، میتوانید از افزونه Limit Login Attempts Reloaded استفاده کنید.
محدودیت در ورود به وردپرس
آنچه در این مقاله به اختصار خواهید خواند:
- چرا باید تلاش برای ورود به وردپرس را محدود کرد؟
- افزونه Limit Login Attempts Reloaded
- تنظیمات لازم و نحوه استفاده از افزونه Limit Login Attempts Reloaded
- امنیت سایت و انتخاب رمزهای قوی
همانطور که گفته شد وردپرس محافظت داخلی در برابر این نوع حملات را ندارد. به طور پیش فرض، وردپرس به شما امکان میدهد تا تعداد نامحدود رمز را امتحان کنید، این امر باعث میشود تا هکرها راحتتر به وبسایتها دسترسی پیدا کنند. امروز در این مقاله شما میآموزید که چگونه میتوانید به راحتی با استفاده از افزونه Limit Login Attempts Reloaded، تلاش برای ورود به سایت را در وردپرس محدود کنید.
چرا باید تلاش برای ورود به وردپرس را محدود کرد؟
از آنجایی که وردپرس به کاربران اجازه میدهد تعداد نامحدودی از رمزهای ورود به سیستم را به صورت نادرست وارد کنند، هیچ چیزی مانع از رویکرد این آزمون و خطا نمیشود. با این حال، اگر تصور میکنید شخصی در واقع این اطلاعات و رمزها را یک به یک وارد میکند، به شدت اشتباه هستید.
خوب است بدانید هکرها از اسکریپتهایی استفاده میکنند که به آنها اجازه میدهد خیلی سریع، این رمز عبورها را به سیستم را وارد کنند. اینگونه به صورت چشمگیری احتمال موفقیت آنها را افزایش مییابد زیرا در مدت زمان کمی، شانس بیشتری برای یافتن رمز کسب میکنند. اما برای مصون ماندن از این حملات، یک راه حل ساده وجود دارد و آن هم این است که تلاشهای ورود به سیستم را محدود کنید.
شاید کاربر رمز عبور خود را فراموش کرده یا به طور تصادفی یک یا دو بار اطلاعات خود را نادرست وارد کند، ولی مطمئنا به آزمایشهای نامحدود احتیاجی ندارد. به عنوان مثال، در وبسایتهای بانکی بسیار معمول است که تلاش برای ورود به سایت را به دلیل ارزش دادهها، به 3 بار محدود میکنند.
با این حال، ممکن است از شما سؤال شود که آیا این یک اقدام ضروری برای همه کاربران وردپرس است یا خیر. بهتر است بدانید همه تکنیکهای امنیتی برای تمام وبسایتها مناسب نیستند، بلکه مزایا و اشکالاتی بالقوه خود را دارند. اول بیایید به مزایای این کار نگاهی بیندازیم:
- این کار مانع از این میشود که انسانها و رباتهای خودکار قادر به آزمایش صدها نام کاربری و یا رمز عبور باشند تا بتوانند وارد سایت شوند.
- بسته شدن موقت اغلب برای جلوگیری از حمله کافی است، زیرا هکر یا ربات به راحتی به سمت هدف احتمالی بعدی حرکت میکند.
- بیشتر کاربران شما فقط به یک بار تلاش برای ورود به سایت نیاز خواهند داشت یا در صورت فراموش کردن رمز خود مجبور به استفاده مکرر شوند.
- در یک نظرسنجی در سال 2016 از Wordfence، این نوع حملات، دومین نوع شناخته شده از حملات سایبری شناخته شده است، که این خود دلیلی خوبی برای استفاده از یک افزونه است.
از طرف دیگر، موارد منفی این کار عبارتند از:
- افزودن این افزونه به سایت برای صاحبان سایتها نیاز به داشتن سایتی با تعداد افزونه کمتر جهت سبک سازی سایت دارند؛ یک عیب به شمار میرود.
- کاربران با اعتبار سایت شما که رمزهای عبور خود را فراموش کرده باشند، هنوز هم میتوانند قفل شوند که این یک نقص محسوب میشود.
اشکال دوم را میتوان از چند طریق کاهش داد که در ادامه میتوانید آن را بخوانید.
افزونه Limit Login Attempts Reloaded
Limit Login Attempts Reloaded یک افزونه بسیار محبوب با بیش از 1 میلیون نصب فعال است. این افزونه به شما امکان میدهد تعداد ورودهایی را که میخواهید یک بازدیدکننده داشته باشد را محدود کنید. پس، از بیش از این تعداد محدود شده، آدرس IP آنها برای مدت زمان قابل تنظیم، ممنوع الورود میشوند و امکان استفاده مجدد پیدا نمیکنند. خوب است بدانید استفاده از این افزونه ساده اما بسیار مؤثر است.
ویژگیهای افزونه
- محدود کردن تعداد تلاشهای امتحان مجدد برای ورود به سیستم
- اطلاع رسانی به کاربر در مورد تعداد تلاش مجدد برای ورود یا زمان باقیمانده برای استفاده و ورود به سایت
- ورود به سیستم و اطلاع رسانی با ایمیل به صورت کاملا اختیاری
- سازگاری با فایروال وبسایت
- حفاظت از درگاه XMLRPC
- حافظت از صفحه ورود به سیستم ووکامرس
- سازگاری چند سایت با تنظیمات MU
- سازگار با GDPR که با فعال شدن این ویژگی، تمام IP های وارد شده دچار خرابی میشوند
- پشتیبانی از IP اصلی(Cloudflare ، Sucuri و غیره)
- قابلیت دسترسی به بخش افزونهها در سایت
- قابلیت حذف افزونه Limit Login Attempts
- قابلیت نصب افزونه Limit Login Attempts Reloaded
تنظیمات لازم و نحوه استفاده از افزونه
پس از نصب و فعالسازی افزونه Limit Login Attempts Reloaded، در پنل مدیریت وردپرس خود، روی تنظیمات یا Settings کلیک کرده و گزینه Limit Login Attempts را انتخاب کنید.
با این کار، صفحه تنظیمات افزونه به نمایش در میآید.
در ابتدا سراغ قسمت “Setting”میرویم. در این قسمت چند گزینه وجود دارد. گزینه اول باعث میشود GDPR افزونه کامپایل گردد، پس تیک مربوط به آن را بزنید چرا که این گزینه اطمینان لازم را برای اینکه این افزونه با GDPR سازگاری دارد را به شما میدهد.
لازم به ذکر است که انتخاب این گزینه به معنای سازگاری وبسایت شما با GDPR نیست، این بدان معناست که این افزونه هیچ قانونی را نقض نمیکند.
در زیر این گزینه، شما میتوانید تنظیمات مختلفی از جمله تعداد تست و آزمون مجاز، مقدار زمانی که نشان دهنده خروج شما از سیستم است، میزان زمان لازم برای قفل شدن و مانع از ورود دوباره و موارد دیگر است که شما میتوانید آنها را تنظیم کنید. این تنظیمات دقیقاً چگونگی عملکرد افزونه را بیان میکند. در اکثر وبسایتها قبل از اینکه قفل شوند، کاربر میتواند بین 3 تا 5 بار تلاش کنند. میانگین زمان ماندگاری اولین قفل بین 20 دقیقه تا 1 ساعت است.
این تنظیمات را مطابق با نیاز وبسایت خود تنظیم کنید و به یاد داشته باشید که هر زمان که بخواهید قابل تغییر هستند.
تب آخر یعنی “Dashboard” است که اگر آن را باز کنید چند باکس با متن Blacklist و Whitelist را پیدا خواهید کرد. در اینجا میتوانید آدرسهای IP یا Usernames هایی را مسدود کنید یا از انسداد آنها جلوگیری کنید. در این تب که در مورد محدودیتهای اعمال شده میباشد که نشان میدهد چند مورد دچار این محدودیتها هستند و یک لیست از آنها به شما نشان داده میشود. همانطور که میبینید در این اینجا فعلا محدودیتی وجود ندارد.
اگر کاربری را به لیست سفید اضافه کنید، آنها میتوانند هر چند مدت و هر باری که دوست دارند وارد سایت شما شوند و دیگر نیازی به نگرانی از قفل شدن آن نخواهید داشت. از طرفی دیگر اضافه کردن کسی به لیست سیاه، آنها را برای همیشه قفل میکند. اگر میبینید فعالیت مشکوک زیادی از یک یا چند آدرس IP خاص وجود دارد، گزینه دوم بسیار مفید است. فراموش نکنید که هنگام انجام تنظیمات، تغییرات خود را در این صفحه ذخیره کنید. این تنها کاری است که شما باید انجام دهید تا تلاش برای ورود به سایت در وردپرس محدود شود!
به عنوان مثال، میتوانید نام کاربری خود را در لیست سفید و یک حساب یا یک نام کاربری مزاحم یا دیگری که شناخته شده است را در لیست سیاه وارد کنید. هنگامی که از تغییرات خود راضی شدید، روی دکمه ذخیره حتما کلیک کنید.
خب برای اینکه مطمئن شویم که این افزونه به درستی کار میکند، کد کاربری را که در لیست سیاه قرار دادیم را امتحان کردیم که نتیجه کار به این صورت است:
همانطور که در تنظیمات زده بودیم، کاربر 4 بار میتواند تلاش کند که در این مثال با وارد کردن بار اول و ایجاد خطا، 3 بار دیگر اجازه تلاش دارد. پس این افزونه به خوبی تلاش برای ورود به سایت را محدود کرده است.
امنیت سایت و انتخاب رمزهای قوی
در حالی که این افزونه روش خوبی برای جلوگیری از تلاش هکرها برای حدس زدن رمز عبور است و میتواند برخی از مشکلات را حل کند، اما تمام آن را حل نمیکند. نکته مهم دیگری که باید در نظر بگیرید، قدرت رمزهای عبوری شما است. متأسفانه صرف نظر از اینکه اطلاعاتی در مورد خطر انتخاب رمزعبور ساده در اینترنت وجود دارد، مردم هنوز مواردی مانند “123456” را برای رمز عبور انتخاب میکنند و این واقعاً کاری پرخطر است. این یک مشکل بزرگتر از تلاشهای نامحدود ورود به سیستم است. زیرا که این کار به هکر اجازه میدهد تا رایجترین رمزهای عبور را در یک اسکریپت بارگذاری کرده و با سهولت به یک حساب کاربری وارد شود. پس حدس زدن رمز ورود خود را برای هکرها آسان نکنید. برای امنیت وبسایت خود از رمزهای عبور قوی استفاده کنید.
هکرها و تلاش برای ورود به سایت وردپرسی
این ایده که وبسایت در هر زمان 100٪ ایمن است، یک ایده کاملاً مسخره است. وردپرس محبوبترین پلتفرم برای ساخت وبسایت در جهان است، بنابراین، به عنوان یکی از اهداف بسیاری از هکرها در نظر گرفته میشود. در حالی که این سیستم عامل، پایدار و فاقد آسیب پذیریهای اساسی است، هکرها هنوز هم میتوانند به وبسایت شما دسترسی پیدا کنند و اطلاعات ارزشمندی را از شما بدزدند. پس همیشه اطمینان حاصل کنید که امنیت وبسایت شما برقرار باشد. یکی از این راهها ایجاد محدودیت در ورود به وردپرس است.