- 1,191 بازدید
- بدون نظر
همواره هکرها در تلاش هستند با دست به دامان شدن هر روشی در سایتها نفوذ کنند که یکی از این راهها استفاده از حملات brute force هست که با استفاده از این روش هکر سعی میکنه با حملات پی در پی در سایت وارد بشه. این نوع حملات در وردپرس هم راه پیدا کردن که با همین نام حملات brute force وردپرس میشناسیم. در این روش هکر سعی میکنه با استفاده از راهکارهایی نام کاربری و رمز عبور ورود به وردپرس را حدس بزنه و بعد از اینکه تونست به ترتیب یک یا هر دو این اطلاعات را به دست بیاره در سایت نفوذ بکنه. اما چون این روش طوری نیست که به صورت دستی انجام بگیره هکر سعی میکنه با استفاده از رباتهای نرم افزاری حملات بروت فورس در وردپرس را انجام بده.
در این آموزش از ایکس اسکریپت قصد دارم در رابطه با حملات بروت فورس در وردپرس صحبت کنم که با استفاده از راهکارهایی میتونید اقدام به جلوگیری از حملات بروت فورس وردپرس کرده و از نفوذ در سایت جلوگیری کنید. پس اگر شما هم بر اساس تغییراتی که در هاست به وجود اومده و یا با مشکلاتی مواجه شدید که فکر میکنید شخصی قصد نفوذ در سایت را داره بدون لحظهای درنگ و هر چه زودتر از راهکارهای زیر برای جلوگیری از نفوذ به سایت استفاده کنید.
حملات brute force وردپرس چیست؟
همه ما نیاز به داشتن سایتی ایمن هستیم که تا جای ممکن امنیت کسب و کار خودمون و در راس اون امنیت کاربرانی که در سایت ما فعالیت دارند را هم تامین کنیم. اگر قرار باشه با سادهترین راهکارها هر بیگانهای قصد نفوذ در سایت و اعمال کارهای خرابکارانه در وردپرس داشته باشه پس چه لزومی داره اصلا اطلاعات حیاتی خودمون و کاربران را در یک سیستمی که به امنیتش توجه نمیکنیم قرار بدیم؟ با دیدن این مقاله شاید این سوال براتون پیش بیاد که اصلا Brute Force چیست؟ اگر حملات بروت فورس در وردپرس به وجود بیاد چه خطراتی سایت ما را تهدید میکنه؟ چه راههایی برای جلوگیری از حملات بروت فورس در وردپرس وجود داره؟
همونطور که در بالا اشاره کردم در حمله بروت فورس در هر سیستم هکر سعی میکنه قبل از هر کاری صفحه ورود به مدیریت وردپرسرا به دست بیاره و از اونجایی که معمولا همه ما از صفحه پیشفرض ورود وردپرس استفاده میکنیم و اقدام به تغییر آدرس صفحه ورود در وردپرس نکردیم یکی از مراحل برای نفوذ در سایت را طی خواهد کرد. بعد از این مرحله حالا سعی میکنه با استفاده از نرم افزارهایی که مختص تست انواع رمز و نام کاربری هستند در سایت نفوذ بکنه تا در نهایت با استفاده از رمز و نام کاربری که نتیجه داد وارد سایت بشه و به اصطلاح بعد از هک وردپرس کارهایی که برای خرابکاری و تغییرات در سایت داره را انجام بده. بنابراین اینجاست که توجه به امنیت وردپرس مهم میشه و حتما باید از انواع راهکارهایی که برای افزایش امنیت در وردپرس وجود داره استفاده کنیم.
جلوگیری از حملات brute force در وردپرس
حالا که با حملات بروت فورس در وردپرس آشنا شدید در ادامه به معرفی راهکارهایی که برای جلوگیری از این حملات میتونید در وردپرس استفاده کنید میپردازم. حتما شما هم متوجه شدید که این حملات مربوط به صفحه ورود در وردپرس هستند و به بخشهای دیگه در وردپرس ارتباطی ندارند. بنابراین باید از انواع راهکارهایی که برای افزایش امنیت صفحه ورود وردپرس مورد استفاده قرار میگیره استفاده کنید که در ادامه به معرفی کلیه راههای جلوگیری از حملات brute force وردپرس میپردازم.
1. تغییر آدرس ورود به وردپرس
ورود در وردپرس به صورت پیش فرض با رفتن به آدرسهای wp-admin و wp-login.php که با اضافه کردن به انتهای دامنه استفاده میشه امکان پذیر است. بنابراین در اکثر سایتها از همین دو آدرس برای ورود به وردپرس استفاده میشه و مدیران سایتها اقدام به تغییر آدرس صفحه ورود در وردپرس نمیکنند. این راهکار بهترین و سادهترین چیزی هست که با استفاده از اون حتی میتونید به صورت کلی و بدون نیاز به استفاده کردن از سایر راهکارها از حملات بروت فورس در وردپرس جلوگیری کنید. البته به شرطی که آدرسی که برای ورود به پیشخوان وردپرس استفاده میکنید ساده نباشه و به راحتی قابل حدس زدن توسط افراد دیگه هم نباشه.
2. استفاده از رمز عبور قوی در وردپرس
اولین راهکاری که باید برای جلوگیری از هک وردپرس با استفاده از حملات بروت فورس انجام بدین استفاده از رمز عبور قوی در وردپرس هست. حتما شما هم در هر ماه میشنوید که چندین هزار از اکانت کاربران در سایت X به دلیل استفاده از رمزهای عبور ساده و متداول لو رفت. معمولا کاربران به اولین راهکاری که با امنیت وردپرس در ارتباط مستقیم هست جلوگیری میکنن و با استفاده از رمز عبور ساده در وردپرس باعث هک وردپرس و متضرر شدن خسارات جبران ناپذیر در سایت میشن. بنابراین سعی کنید همیشه از یک رمز عبور قوی که با ترفند مختلف اونو ساخته باشید استفاده کنید.
رمز مورد استفاده شما باید ترکیبی از اعداد، حروف بزرگ، حروف کوچک، کاراکترهای خاص و حتی کاراکتر فاصله باشه و برای اینکه رمز رو هم فراموش نکنید میتونید از ترفندهایی برای ساخت رمز استفاده کنید. به عنوان مثال میتونید از رمزگذاری به روش symmetric key cryptography استفاده کنید. در این روش سعی میشه سه حرف قبلی یک حرف مورد استفاده قرار بگیره. به عنوان مثال فرض کنید که شما رمز ورود به وردپرس را روی کلمه xscript میخواین تعیین کنید. با استفاده از این روش که به رمزگذاری سزار هم معروف هست باید سه حرف قبلی هر کاراکتر را وارد کنید. در این صورت برای xscript بعد از رمزگذاری به این روش من باید از jfwyxkcx استفاده کنم. اما میتونم یک ترکیب دیگه برای این رمز هم به کار ببرم که قدرت اونو بیشتر کنم، به عنوان مثال میتونم از معادل حروفی که با اعداد یا عبارت دیگه میتونه یکسان باشه استفاده کنم. مثلا در این نمونه میشه به جای حرف C از عدد معادل اون یعنی 30 استفاده کرد. یا اینکه حروف اول و آخر رمز را با کاراکترهای بزرگ نوشت و از یک کاراکتر فاصله هم در اون استفاده کرد. که در این صورت رمز من میتونه به شکل Jfwyxk3 0X باشه که هم از حروف بزرگ و کوچک، هم کاراکتر فاصله و هم معادل حروف استفاده کردم.
3. استفاده از کپچا در صفحه ورود وردپرس
چون حملات بروت فورس توسط نرم افزارها صورت میگیره بنابراین استفاده از کپچا میتونه تاثیر خیلی خوبی روی امنیت وردپرس داشته باشه. به دلیل اینکه هوش مصنوعی پیشرفتهای در این روش وجود نداره که قادر به خوندن تصاویر و یا پر کردن فیلد کپچا باشه، پس قادر به عبور از مرحله کپچا نیست و سایت به این روش قابل هک نیست.
4. محدود کردن تعداد دفعات ورود در وردپرس
پیش از این به معرفی افزونهای برای محدود کردن تعداد دفعات تلاش برای ورود در وردپرس پرداختم که امکان محدود کردن برای ورود در وردپرس را به شما خواهد داد. در حالت پیش فرض هر چند بار که بخواین میتونید نام کاربری و رمز عبور مختلف را در صفحه ورود وردپرس برای لاگین کردن در وردپرس تست کنید. این مورد یک کاستی وردپرس به حساب میاد که دست هکرها را برای هک وردپرس با استفاده از حملات brute force وردپرس بازتر میزاره. اما راهکارهایی مثل استفاده از افزونه وجود داره که میتونید با استفاده از افزونه اقدام به محدود کردن تعداد دفعات تلاش برای ورود در وردپرس بکنید.
5. استفاده از تایید هویت دو مرحلهای در وردپرس
استفاده از تایید هویت دو مرحلهای این روزها در بسیاری از وبسایتها رواج پیدا کرده که در ابتدا شبکههای اجتماعی رو به این کار آوردند. در روش تایید هویت دو مرحلهای در وردپرس بعد از اینکه نام کاربری و رمز ورود را وارد میکنید، ابتدا بررسی میشه که آیا رمز و نام کاربری وارد شده برای ورود در وردپرس درست هست یا نه؟ حالا اگر درست بود، فیلد دیگهای نمایش داده میشه که در اون کد تایید هویت دو مرحلهای که با برنامههای تایید هویت دو مرحلهای یا افزونه تایید هویت دو مرحلهای که میتونید روی گوشی هوشمند نصب کنید یا اینکه از طریق ایمیل و اساماس دریافت کنید درخواست خواهد شد. تا زمانی که این کد را که در برنامه تایید هویت دو مرحلهای نمایش داده میشه یا اینکه از طریق ایمیل و اساماس دریافت میکنید را وارد نکنید، قادر به ورود در وردپرس نخواهید بود.
6. استفاده از افزونههای امنیتی وردپرس
یکی دیگه از راههایی که میتونید از حملات brute force وردپرس جلوگیری کنید استفاده از افزونههای امنیتی در وردپرس هست که امکان افزایش امنیت در وردپرس را با استفاده از روشهای گوناگون در اختیارتون قرار میده. برای این مورد میتونید از افزونههایی مثل Wordfence Security در وردپرس استفاده کرده و امنیت وردپرس را افزایش بدین. یکی دیگه از افزونههای وردپرس هم که این امکان رو بهتون میدهافزونه iThemes Security وردپرس هست که میتونید از راهکارهای امنیتی این افزونه مثل تغییر مدیریت وردپرس، بک آپ گیری خودکار از دیتابیس وردپرس و… استفاده کنید.
امیدوارم این آموزش هم مورد توجه و پسند شما قرار گرفته باشه و با استفاده از این راهکارهایی که معرفی کردم از حملات brute force در وردپرس جلوگیری کنید. در صورتی که در رابطه با این آموزش و نحوه جلوگیری از حملات بروت فورس در وردپرس سوال یا مشکلی داشتید در بخش دیدگاهها اعلام کنید تا در کوتاهترین زمان ممکن پاسخگوی شما باشم. همچنین میتونید راهکارهای دیگهای هم که خودتون برای جلوگیری کردن از حملات brute force وردپرس میشناسید معرفی کنید تا به این مقاله اضافه کنم.