نسخه اصلی

جلوگیری از حملات Brute Force در وردپرس

حملات Brute Force در وردپرس می‌تواند مشکل بزرگی برای کسب و کارها باشد. اگر متوجه شده‌اید که صفحه مدیریت شما با سیل تلاش‌های ناموفق برای ورود مواجه است، احتمالا از خود می‌پرسید که چگونه می‌توانید آن را متوقف کنید و اگر این هنوز برای شما اتفاق نیفتاده است، باید آگاه باشید. یک حمله brute force موفقیت آمیز می‌تواند به مجموعه ای از چیزهای بد منجر شود، از جمله حساب‌های وردپرس هک شده، تخریب وب سایت و آلودگی‌های بدافزار و…

خوشبختانه، راه‌های زیادی برای جلوگیری از حملات Brute Force در وردپرس یا حداقل کاهش تاثیر آن‌ها وجود دارد. برخی از آنها با نصب پیشفرض وردپرس امکان پذیر است، در حالی که برخی دیگر با افزونه های خاص کار می‌کنند. در این مطلب، ما به برخی از بهترین راه‌ها برای جلوگیری و کاهش حملات brute force و همچنین اطلاعات کلی در مورد موضوع اشاره خواهیم کرد.

حملات Brute Force در وردپرس چیست؟

حمله بروت فورس روشی است که بازیگران بد برای دسترسی به وب‌سایت وردپرس از آن استفاده می‌کنند. آنها این کار را با آزمایش سیستماتیک تعداد زیادی از ترکیب‌های رمز عبور/نام کاربری، اغلب با استفاده از اسکریپت‌ها یا ربات‌های خودکار انجام می‌دهند.

در یک حمله brute force، بازیگران بد اغلب اسکریپت‌های خودکاری را به کار می‌گیرند که در وب به دنبال صفحات ورود به وب‌سایت وردپرس می‌خزند. وقتی ربات یکی را پیدا کرد، تعداد زیادی ترکیب نام کاربری و رمز عبور را آزمایش می‌کند و سعی می کند درست را حدس بزند.

انواع حملات بروت فورس

حملات Brute Force به اشکال مختلفی از جمله.

  • حملات brute force ساده –ناکارآمدترین حملات brute force هستند زیرا تمام ترکیبات ممکن را یک به یک انجام می‌دهند. بدان معناست که معمولا برای حدس زدن موفقیت آمیز رمز عبور نسبت به انواع دیگر، تلاش‌های بسیار بیشتری انجام می‌شود.
  • حملات دیکشنری – حملات دیکشنری یک نسخه هوشمندتر هستند. بازیگران بد از لیست‌های طولانی از رمزهای عبور رایج استفاده و هر یک از آنها را به نوبه خود امتحان می‌کنند، اغلب شامل کلمات رایج از فرهنگ لغت و انواع آنها، به عنوان مثال، با اعداد اصلاح شده. لیست لغت نامه‌ها را می توان به صورت آنلاین پیدا کرد و بنابراین، این روزها، این حملات هوشمندانه تر بروت فورس رایج‌تر است.
  • پر کردن اعتبار – در این شکل پیچیده از حملات brute force، مجرمان سایبری از ترکیب نام کاربری و رمز عبور دزدیده شده به دست آمده از نقض داده‌های گذشته در سایر پلتفرم‌ها استفاده می‌کنند. ربات‌های خودکار این ترکیب‌ها را در وب سایت‌های مختلف وردپرس آزمایش می‌کنند. از آنجایی که مردم تمایل دارند از رمزهای عبور در پلتفرم‌های مختلف استفاده مجدد کنند، این می‌تواند بسیار موثر باشد. به همین دلیل است که بهترین شیوه‌های امنیتی بر عدم استفاده مجدد از رمزهای عبوری که در حساب‌های دیگر استفاده می‌کنید اصرار دارند.
  • حملات brute force معکوس – در یک حمله معکوس، مهاجمان به جای امتحان کردن هزاران کلمه عبور در مقابل یک نام کاربری شناخته شده، یک رمز عبور مشترک یا لیستی از رمزهای عبور را در مقابل چندین نام کاربری حدس زده یا شمارش شده امتحان می‌کنند.

آیا وردپرس محافظت از حمله brute force دارد؟

متاسفانه به صورت خارج از جعبه، حفاظت از brute force در وردپرس راهکار بسیار کمی وجود دارد. به‌طور پیش‌فرض، وردپرس امکان تلاش‌های نامحدود برای ورود به سیستم را می‌دهد، بنابراین ربات‌ها آزادند تا هر تعداد تلاش برای ورود به سیستم را که می‌خواهند انجام دهند، با این فرض که به روش‌های دیگری مسدود نشده‌اند.
همچنین چندین جنبه از وردپرس وجود دارد که آن را به یک هدف مشترک برای این حملات تبدیل می‌کند. مهمترین مورد این است که به طور پیش فرض، صفحه ورود همیشه در همان URL قرار دارد. این بدان معناست که یافتن آن و اجرای یک اسکریپت بی‌رحمانه بر روی آن برای هر کسی بسیار آسان است.
همچنین، نام کاربری پیش فرض برای مدیر همیشه admin است. این بدان معناست که اگر به تنظیمات پیش‌فرض پایبند هستید، بازیگران بد نیازی به هدر دادن زمان برای حدس زدن نام کاربری شما ندارند.

جنبه هایی از نصب پیش فرض وردپرس وجود دارد که آن را به یک هدف آسان تر تبدیل می‌کند. با این حال، با تغییر چند تنظیمات و نصب افزونه مناسب، می توانید به راحتی این موارد را کاهش دهید.

در واقع، می‌توانید صفحه یا فرآیند ورود به وردپرس را به حدی سخت کنید که موفقیت آمیز بودن یک حمله brute force بسیار سخت شود. در ادامه نحوه انجام این کار را توضیح خواهیم داد!

چگونه می‌توان از حملات brute force جلوگیری کرد؟

تغییرات و کنترل‌های مختلفی در تنظیمات وجود دارد که می تواند برای جلوگیری از حملات brute force وردپرس اعمال شود. برخی از این موارد حتی می‌توانند به تنهایی تاثیر زیادی داشته باشند. با این حال، همیشه ایده خوبی است که چندین کنترل را پیاده سازی کنید تا واقعا بهترین نتایج را به دست آورید. چیزهایی اتفاق می‌افتد: یک عملکرد ممکن است به طور موقت از کار بیفتد یا یک برنامه‌نویس به‌طور تصادفی تنظیماتی را تغییر دهد. با لایه‌بندی چندین کنترل، می‌توانید از ایجاد مشکل در یک نقطه شکست در آینده جلوگیری کنید.

با محدود کردن تعداد تلاش‌های ناموفق برای ورود به سیستم، می‌توانید از بسیاری از انواع حملات brute force که بر شکستن رمز عبور برای کاربران تکی متکی هستند جلوگیری کنید.

آدرس ورود (url) را تغییر دهید

ماهیت استاندارد شده وردپرس ضرر و فایده آن است. یادگیری آن بسیار آسان است و راه اندازی یک وب سایت وردپرس جدید زمانی که به پلتفرم عادت کردید سریع است. اما هر نصب وردپرس در ابتدا به همین ترتیب تنظیم می‌شود، که نفوذ را برای هر کسی آسان‌تر می‌کند، مخصوصاً با ابزارهای خودکار.

به‌طور پیش‌فرض، صفحه ورود به وردپرس همیشه در همان URL قرار دارد که yourwebsite.com/wp-login.php است. برای بازیگران بد آسان است که این URL ها را اسکن کنند و به آنها اهداف زیادی برای حملات brute force می دهد. نه تنها این، بلکه ماهیت استاندارد شده نیز ایجاد یک ربات برای فرم ورود WP را آسان می کند، که می تواند در تمام صفحات ورود به سیستم که پیدا می کنند استفاده شود.

تغییر URL ورود به سیستم یک راه عالی برای مبهم کردن نقطه ورود مهاجمان است. اکثر بازیگران بد و ربات‌هایشان فقط به دنبال اهداف آسان هستند، ممکن است چند URL بدیهی دیگر مانند /login را امتحان کنند، اما اگر نتوانند صفحه ورود به وردپرس را پیدا کنند، به سرعت حرکت می‌کنند. به هر حال، میلیون‌ها سایت وردپرسی وجود دارد.
تغییر URL ورود به وردپرس می‌تواند به جلوگیری از کشف صفحه ورود توسط خزنده‌های اصلی کمک کند و به طور بالقوه تعداد حملات brute force را کاهش می‌دهد.

در حال حاضر، این به دور از اشتباه است. در حملات هدفمندتر که در آن یک بازیگر بد علاقه خاصی به سایت شما دارد، آنها می توانند اسکن سایت را انجام دهند تا صفحه ورود شما را کشف کنند. بنابراین برای متوقف کردن یک مهاجم متعهد تر کار بسیار کمی انجام می شود. با این حال، برای حملات brute force که از اسکریپتی برای جستجوی URL های پیش فرض ورود به وردپرس استفاده می کنند، این یک کنترل امنیتی بسیار خوب برای پیاده سازی است.

رمزگذاری دایرکتوری مدیریت وردپرس (Password protect)

تغییر URL ورود به سیستم به تنهایی همیشه به اندازه کافی خوب نیست تا افراد را از رسیدن به صفحه ورود باز دارد. با استفاده از اسکن سایت یا روش‌های مشابه، یک ربات یا فرد مصمم معمولا همچنان می‌تواند صفحه ورود شما را پیدا کند.
به عنوان یک لایه حفاظتی اضافی، امکان محافظت با رمز عبور دایرکتوری مدیریت وجود دارد. از هر کسی که به صفحات مدیریت وردپرس شما، از جمله صفحه ورود به سیستم شما می‌رود، خواسته می‌شود قبل از اینکه حتی سعی کنند با یک حساب وارد سیستم شوند، یک رمز عبور وارد کنند.
این بدان معناست که یک بازیگر بد ابتدا باید این رمز عبور را بشکند قبل از اینکه حتی بتواند یک حمله brute force در فرم ورود واقعی انجام دهد.

نام کاربری پیش فرض وردپرس را تغییر دهید

گام سریع دیگری که می‌توانید بردارید این است که نام کاربری پیش فرض ادمین را تغییر دهید. به‌طور پیش‌فرض، همه مدیران اصلی وردپرس دارای نام کاربری admin هستند که به این معنی است که اگر از نام کاربری پیش‌فرض استفاده می‌کنید، بازیگران بد مجبور نیستند نام کاربری را حدس بزنند.
تغییر این نام کاربری به چیزی کمتر قابل پیش بینی می تواند اثربخشی برخی از حملات brute force خودکار را کاهش دهد. با این حال، این امر باعث توقف اکثر حملات brute force مانند برخی دیگر از کنترل های ذکر شده در این لیست نمی شود. با این وجود، انجام این کار می تواند ارزشمند باشد، به خصوص برای حساب های مهم با مجوزهای زیاد، مانند حساب سرپرست شما.

از رمزهای عبور قوی استفاده و اجرا کنید

یکی از مهم ترین راه ها برای دور نگه داشتن بازیگران بد این است که مطمئن شوید کاربران سایت وردپرس شما از رمزهای عبور قوی استفاده می کنند. شما می توانید با اعمال سیاست های رمز عبور قوی به این امر دست یابید. رمزهای عبور قوی مانع از تلاش بازیگران بد نمی شود، اما احتمال دسترسی آنها به حساب های شما را کاهش می دهد.
گذرواژه‌های ضعیف به این معنی است که حملات brute force با احتمال بیشتری به موفقیت می‌رسند، زیرا می‌توان آن‌ها را به راحتی حدس زد و شکستن آن‌ها آسان‌تر از رمزهای عبور طولانی‌تر و پیچیده است.

یک رمز عبور قوی معمولا:

  • بیش از 12 کاراکتر طول دارد – هر چه طولانی تر، بهتر.
  • شامل ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص (@، #، $، و غیره)
  • شامل کلمات یا عبارات به راحتی قابل حدس زدن نیست (رمز عبور، p@ssw0rd، 1234، qwerty، و غیره)

با مجبور کردن کاربران خود به استفاده از رمزهای عبور قوی، خطر بروت فورس بازیگران بد را به شدت کاهش می‌دهید.

MelaPress Login Security به شما این امکان را می‌دهد که حداقل مورد نیاز رمز عبور را تنظیم کرده و از رمزهای عبور قوی استفاده کنید. همچنین می توانید کاربران را تشویق یا از آنها بخواهید که رمزهای عبور خود را به طور مرتب به روز کنند.

احراز هویت دو مرحله‌ای را اضافه کنید

افزودن احراز هویت دو مرحله ای یا 2FA به وردپرس یکی از موثرترین اقداماتی است که می‌توانید برای جلوگیری از حملات موفق brute force انجام دهید.

2FA با الزام کاربران به ارائه دو شکل احراز هویت قبل از دسترسی به حساب های خود، یک لایه امنیتی اضافی اضافه می‌کند. اولین عامل رمز عبور حساب آنهاست که ثابت می‌ماند. با این حال، یک عامل دوم اضافه شده است، به این معنی که تنها شکستن رمز عبور برای دسترسی یک بازیگر بد به یک حساب کافی نیست.

این فاکتور دوم معمولا یک کد موقت در یک برنامه احراز هویت مانند Google Authenticator یا حتی کدی است که به ایمیل آنها یا از طریق متن ارسال می شود. فقط با وارد کردن کد صحیح می توان به حساب کاربری دسترسی پیدا کرد.

پیاده سازی 2FA در سایت وردپرس خود با استفاده از افزونه WP 2FA به طرز شگفت آوری آسان است. این به شما امکان می دهد چندین روش 2FA را انتخاب کنید و در عرض چند دقیقه قابل تنظیم است!

geoblock مناطق خاص

Geoblocking می تواند یک راه موثر برای جلوگیری از حملات brute force باشد، به خصوص اگر متوجه شدید که حملات از مناطق خاصی انجام می‌شود. این به شما امکان می دهد از تلاش برای ورود به سیستم از کشورهایی که افراد نباید از آنجا وارد سیستم شوند جلوگیری کنید.

به عنوان مثال، اگر مدیریان، توسعه دهندگان و کاربران شما همگی در ایران هستند، نباید هیچ تلاشی برای ورود از چین یا مثلا کوبا انجام شود. با راه اندازی geoblocking برای جلوگیری از تلاش برای ورود به این مناطق، می‌توانید از تلاش افراد یا ربات‌ها برای ورود از آدرس های IP در این مناطق جلوگیری کنید.

به خاطر داشته باشید که این کار با شناسایی آدرس IP ترافیک ورودی کار می‌کند. این اشتباه نیست زیرا آدرس‌های IP را می توان جعل کرد و از VPN‌ها می توان برای پنهان کردن کشور مبدا استفاده کرد. با این وجود، می تواند بخشی از ترافیک مخربی که از این مناطق دریافت می کنید را مسدود کند.

طبق یک مطالعه توسط CyberProof، کشورهایی که در سال 2021 بیشترین حملات سایبری را داشتند، چین، ایالات متحده، برزیل، هند و آلمان بودند. در مطالعه دیگری چین، ایالات متحده، هند، کره جنوبی و برزیل به عنوان پنج کشور برتر اشاره کرد.

این معمولا به این دلیل نیست که حملات در واقع در این کشورها منش می‌گیرند، بلکه به دلیل تعداد زیادی از دستگاه‌های در معرض خطر، مانند کامپیوترها و دستگاه‌های اینترنت اشیا، است که برای راه‌اندازی آنها استفاده می‌شود. با مسدود کردن این مکان‌ها، آن دستگاه‌ها را از انجام تلاش‌های ورود به سیستم جلوگیری می‌کند و انجام یک حمله brute force در مقیاس را دشوارتر می‌کند.

لیست سیاه و سفید IP

هر کامپیوتری که به وب سایت شما دسترسی پیدا می‌کند شناسه مخصوص به خود را دارد، یک آدرس IP. از طریق لیست سیاه و سفید، می توانید از دسترسی IP های خاصی به صفحه ورود خود (یا کل وب سایت وردپرس خود) جلوگیری کنید یا از ورود همه IP های لیست سفید به جز خاص جلوگیری کنید.
دو راه برای این کار وجود دارد. اولین رویکرد، قرار دادن IP های مخرب شناخته شده در لیست سیاه است. لیست‌های سیاه آدرس IP وجود دارد، و برخی از آنها همراه با افزونه های امنیتی هستند. این می تواند به جلوگیری از برخی تلاش های مخرب ورود به سیستم کمک کند. با این حال، تمام آدرس های IP بالقوه ای که ممکن است بازیگران بد استفاده کنند را پوشش نمی دهد. این امر تا حدودی اثربخشی آن را محدود می کند.
رویکرد دوم، ایمن‌تر اما محدودتر، شامل مسدود کردن همه IPها و اجازه ورود فقط به افراد مورد اعتماد است. به این حالت لیست سفید می‌گویند. اگر یک سایت وردپرسی دارید که به هر کاربری اجازه ایجاد حساب کاربری می‌دهد، این کار نمی‌کند. و هرچه کاربران و ویرایشگرهای مورد اعتماد بیشتری داشته باشید، اجرای این کار سخت‌تر می‌شود، زیرا باید هر آدرس IP را که استفاده می‌کنند در لیست سفید قرار دهید. همانطور که گفته شد، اگر به درستی اجرا شود بسیار امن است، با توجه به اینکه کاربران فقط می توانند از IP شخصی خود وارد شوند.

قرار دادن آدرس‌های IP در لیست سفید تنها در صورتی کار می کند که کاربران از یک آدرس IP ثابت وارد شوند. اگر آنها از IP داینامیک، پروکسی موبایل یا موارد مشابه استفاده کنند، این کار نمی کند زیرا آدرس IP آنها ممکن است خیلی اوقات تغییر کند.

نقش‌ها و خط مشی‌های کاربر را تنظیم کنید

هنگام ایجاد نقش‌های کاربر وردپرس و تخصیص مجوزها، باید از اصل کمترین امتیاز (principle of least privilege) پیروی کنید. هر فرد فقط باید به آنچه برای انجام کار خود نیاز دارد دسترسی داشته باشد.

به عنوان مثال، به جای اختصاص دادن نقش ویرایشگر به یکی از نویسندگان محتوای جدید خود، که به آنها امکان حذف و ویرایش هر پست در سایت وردپرس را می دهد، به جای آن نقش نویسنده را در نظر بگیرید، که فقط به آنها اجازه می دهد پست های خود را مدیریت کنند. .
به این ترتیب، اگر یک حمله brute force در این حساب موفق شود، آنها به هیچ مجوز اضافی دسترسی نخواهند داشت که در غیر این صورت نمی توانستند. هرچه کاربران کمتری با دسترسی مدیریتی یا ویرایشی داشته باشند، اهداف کمتری می توانند مورد سوء استفاده قرار گیرند، و آسیب کمتری ممکن است به یک حساب در معرض خطر وارد کند.
علاوه بر تنظیم نقش‌های کاربر از پیش تعریف شده وردپرس، می توانید نقش ها و مجوزهای سفارشی را نیز با استفاده از یک افزونه ایجاد کنید. فقط مطمئن شوید که هر نقشی را که ایجاد می کنید به طور کامل آزمایش کنید و مطمئن شوید که کارمندان شما می توانند کار خود را به درستی انجام دهند.

هاست وردپرس با وب سرور محبوب لایت اسپید و کش لایت اسپید باعث می‌شود تا سرعت لود فوق العاده‌ای را تجربه کنید.

با خرید هاست وردپرس کانفیگ حرفه‌ای و نظارت بر سرور به صورت پیوسته توسط تیم فنی پارسدِو انجام خواهد شد.

از WAF برای مسدود کردن ربات‌های بد استفاده کنید

فایروال اپلیکیشن وب یا WAF یکی از موثرترین راه‌ها برای خاموش کردن تهدیدات است .نه فقط حملات brute force، بلکه انواع دیگر بدافزارها و سوء استفاده‌هایی که بازیگران بد ممکن است به وب‌سایت شما بیاورند.
یک WAF بین وب سایت و ترافیک ورودی قرار می‌گیرد، درخواست‌های HTTP را فیلتر و مانیتور می‌کند تا ترافیک مخرب را قبل از رسیدن به سرور شما شناسایی و مسدود کند. علاوه بر مسدود کردن لیست IP‌های مخرب شناخته شده، بسیاری از WAF‌ها از الگوریتم‌های پیشرفته و هوش مصنوعی برای شناسایی فعالیت های مخرب و خاموش کردن آن در زمان واقعی استفاده می‌کنند.

WAF از طریق پلاگین‌های امنیتی و همچنین از طریق CDN‌هایی مانند Cloudflare در دسترس هستند.
چگونه با استفاده از Melapress Login Security از حملات brute force جلوگیری کنیم
بسیاری از راه حل‌های بالا را نمی‌توان در نصب پیشفرض وردپرس انجام داد. سایر موارد ممکن است، اما نیاز به تغییر فایل های سرور دارند و ممکن است انجام آن دشوار باشد. ساده ترین راه برای پیاده سازی بسیاری از این کنترل‌ها استفاده از افزونه امنیتی وردپرس است.

برای این راهنما، ما از نسخه پریمیوم پلاگین امنیت ورود به سیستم Melapress خود به همراه برخی از افزونه‌های دیگر که ارائه می‌دهیم، برای مواردی مانند 2FA استفاده خواهیم کرد. این پلاگین های قدرتمند می‌توانند همه کارهای ذکر شده در بالا و بیشتر را انجام دهند، بنابراین کاندیدای عالی هستند.

مرحله 1. Melapress Login Security را نصب کنید

ابتدا باید Melapress Login Security را نصب کنید. اگر می‌خواهید ابتدا افزونه را امتحان کنید، یک نسخه رایگان در دسترس است. می توانید این را از طریق افزونه ها > افزودن جدید از پیشخوان وردپرس خود نصب کنید.

با این حال، ما از نسخه پریمیوم برای این نوشته وبلاگ استفاده خواهیم کرد. پس از خرید نسخه پریمیوم Melapress Login Security، می توانید با ورود به حساب کاربری خود، دانلود افزونه پرمیوم و آپلود آن از طریق دکمه آپلود افزونه در افزونه ها > افزودن جدید، آن را نصب و فعال کنید.

مرحله 2. سیاست های امنیتی ورود را تنظیم کنید

با نصب افزونه، باید یک بخش امنیت ورود جدید را در داشبورد مدیریت خود مشاهده کنید. روی آن کلیک کنید تا به مسیر امنیت ورود به Login Security > Login Security Policies بروید. برای شروع روی علامت تیک کنار Enable login security policies کلیک کنید.

اکنون باید تنظیمات بیشتری ظاهر شود. اینجاست که می‌توانید خط‌مشی‌های ورود را فعال کنید، در اینجا یک نمای کلی از کارهایی که می‌توانید انجام دهید آمده است.

در سرفصل Password policies ، می توانید رمزهای عبور قوی را اعمال کنید و از ایجاد رمزهایی به راحتی قابل حدس زدن توسط کاربران جلوگیری کنید. شما همچنین می‌توانید:

  • حداقل محدودیت کاراکتر را تنظیم کنید،
  • انقضای رمز عبور را فعال کنید
  • جلوگیری از استفاده مجدد از رمز عبور
  • بازنشانی رمز عبور در اولین ورود
  • غیرفعال کردن ارسال لینک بازنشانی رمز عبور
محدود کردن تلاش برای ورود

محدود کردن تلاش‌های ورود به سیستم، همان چیزی را که حملات brute force برای شکستن ورود به سیستم وردپرس به آن وابسته است، از بین می‌برد. با فعال کردن این خط‌مشی، Melpress Login Security به‌طور خودکار کاربران را پس از چندین بار تلاش برای ورود ناموفق مسدود می‌کند. می‌توانید دوره زمانی را که پس از آن می‌توانند دوباره وارد سیستم شوند، پیکربندی کنید، و حتی تا زمانی که یک سرپرست به صورت دستی آنها را از حالت انسداد خارج نکند، از تلاش برای ورود بیشتر جلوگیری کنید.
این افزونه شامل بسیاری از سیاست‌های دیگر است که در بالا پوشش داده نشده‌اند و به شما کمک می‌کنند از حملات brute-force به وب‌سایت خود جلوگیری کنید. این موارد عبارتند از:

  • کاربران غیرفعال را غیرفعال کنید
  • سیاست‌های جلسه را فعال کنید
  • سوالات امنیتی را اضافه کنید
  • زمان ورود کاربران را محدود کنید
  • محدود کردن آدرس‌های IP که کاربران می‌توانند از آن‌ها وارد شوند

از آنجایی که خط‌مشی‌ها مستقل از یکدیگر کار می‌کنند، می‌توانید آن‌هایی را که می‌خواهید انتخاب و انتخاب کنید، این اطمینان را می‌دهد که می‌توانید بین امنیت و سهولت دسترسی کاربران خود تعادل برقرار کنید.

فراموش نکنید که پس از پایان کار روی Save Changes کلیک کنید.

همه نقش‌ها برابر نیستند، و ممکن است بخواهید در مقایسه با افرادی که مجوزهای کمتری دارند، خط‌مشی‌های محدودکننده‌تری برای مدیران تنظیم کنید. به دنبال برگه Role-based policies در بالا بگردید و آن را نگه دارید تا نقشی را که می خواهید تنظیمات ویژه ای برای آن تنظیم کنید انتخاب کنید.

سپس تیک گزینه Inherit login security policies را بردارید و لیست تنظیمات سفارشی خود را تنظیم کنید. یا Do not enforce password & login policies را برای این نقش اعمال نکنید تا این نقش از این خط مشی ها مستثنی شود را انتخاب کنید.

مرحله 3. صفحه ورود را سخت کنید

در مرحله بعد، بیایید با تغییر URL، محدود کردن دسترسی از طریق IP و راه‌اندازی geoblocking، مقداری سخت‌سازی اضافی به صفحه ورود خود اضافه کنیم. همه اینها را می توان از Login Security > Login page hardening فعال کرد.

تغییر URL ورود ساده است. فقط محل ورود جدید را در کادر Login page URL وارد کنید. همچنین می‌توانید یک تغییر مسیر را در کادر Old login page URL redirect به سیستم قدیمی راه‌اندازی کنید، تا کاربران در صفحه 404 قرار نگیرند.

از طرف دیگر، برای محدود کردن دسترسی به صفحه ورود با آدرس IP، تنها کاری که باید انجام دهید این است که IP ها را به لیست مجاز اضافه کنید. می‌توانید کاربران را از آدرس های IP محدود شده به هر صفحه‌ای که انتخاب می کنید هدایت کنید. اگر آدرس IP شما تغییر کند، می توانید یک بای پس را به عنوان یک تنظیم مجدد تنظیم کنید.

در مورد geoblocking، این مورد توسط IPLocate.io انجام می شود، بنابراین باید به آنجا بروید و یک کلید API دریافت کنید. اگر روزانه 1000 درخواست یا کمتر را برای وب سایت خود رسیدگی می کنید، استفاده از این سرویس کاملا رایگان است.

پس از ثبت نام و وارد کردن کلید API خود در Login Security > Settings > Integrations، می توانید به Login Security > Login page hardening برگردید و geoblocking را راه اندازی کنید. شما می توانید مناطق خاصی را مسدود کنید یا فقط IP از آنها را مجاز کنید.

مرحله 4. احراز هویت دو مرحله ای را تنظیم کنید

2FA یک راه عالی برای جلوگیری از ربات‌های ناخواسته است و ما می‌توانیم از یکی دیگر از افزونه‌های خود برای این کار استفاده کنیم: WordPress 2FA. این همچنین یک نسخه رایگان دارد که می توانید امتحان کنید، اما ما نسخه پریمیوم را در زیر نشان خواهیم داد.

می‌توانید WordPress 2FA را به همان روش امنیت ورود به سیستم Melapress نصب و فعال کنید، یا نسخه پریمیوم را خریداری کنید و فایل فشرده‌ای را که دریافت می‌کنید از طریق Plugins > Add New بارگذاری کنید، یا نسخه رایگان را در همان صفحه جستجو کنید.
پس از نصب آن، به بخش ناوبری جدید بروید: این افزونه دارای یک ویزارد راه اندازی است که شما را از طریق پیکربندی اولیه افزونه راهنمایی می‌کند. یا به WP 2FA > 2FA Policies بروید. اولین کاری که باید انجام دهید این است که Enforce 2FA را روی همه کاربران یا کاربران و نقش‌های خاص روشن کنید. همچنین می‌توانید نقش‌ها یا کاربران خاصی را به جای آن حذف کنید.

سپس می‌توانید به خط‌مشی‌های 2FA بروید، که به شما امکان می‌دهد سرویس احراز هویت دو مرحله‌ای را که می‌خواهید استفاده کنید راه‌اندازی کنید. گزینه‌های موجود شامل برنامه‌های 2FA، پوش نوتیفیکیشن، ادغام‌های YubiKey و بسیاری دیگر می‌شود. در اینجا، می‌توانید هر یک از تنظیمات دیگری را که افزونه ارائه می‌دهد، از جمله دوره مهلت راه‌اندازی، دستگاه‌های مورد اعتماد و بسیاری دیگر را پیکربندی کنید. برخی از برنامه‌های احراز هویت 2FA پشتیبانی شده عبارتند از Google Authenticator، Microsoft Authenticator، Authy، Twilio و Lastpass.

مرحله 5. CAPTCHA را به فرم‌ها اضافه کنید

راه دیگر برای جلوگیری از حملات brute force خودکار انجام شده توسط ربات‌ها، درخواست CAPTCHA است. اینها ممکن است برای همه کاربران یا در پاسخ به ترافیک مشکوک ظاهر شوند، پس از آن از کاربر خواسته می‌شود یک معما را حل کند یا روی یک دکمه کلیک کند. رفتار غیرمعمول، مانند کلیک فوری روی دکمه یا حل نشدن پازل، از ارسال فرم جلوگیری می کند.

ربات‌ها بسیار پیچیده شده‌اند و برخی می‌توانند فرم‌های CAPTCHA را حل کرده یا دور بزنند، اما بسیاری از آنها گیر می‌کنند و مجبور می‌شوند ادامه دهند.
CAPTCHA 4WP یکی دیگر از افزونه های امنیتی وردپرس توسط Melapress است و می تواند درخواست‌های CAPTCHA را نه تنها به فرم های معمولی شما، بلکه به صفحات ورود نیز اضافه کند.
پس از نصب و فعال کردن افزونه ممتاز یا رایگان CAPTCHA 4WP، به مسیر CAPTCHA 4WP > CAPTCHA Configuration بروید. برای شروع روی دکمه آبی Configure CAPTCHA integration کلیک کنید.

از شما خواسته می‌شود که از بین چندین نوع مختلف CAPTCHA انتخاب کنید، از جمله چک باکس I’m not a robot یا نوعی که فقط در ترافیک مشکوک به اسپم فعال می‌شود. همچنین باید کلید CAPTCHA خود را برای سرویسی که انتخاب می‌کنید، که رایگان است، وارد کنید.

بعد از اینکه همه چیز تنظیم شد، می‌توانید تنظیمات CAPTCHA خود را تنظیم کنید، مانند تعیین میزان سخت‌گیری امتیاز CAPTCHA یا اینکه اسکریپت‌های CAPTCHA در چه صفحاتی بارگیری می‌شوند.

در مرحله بعد، باید به CAPTCHA 4WP > Form Placements مراجعه کنید. مطمئن شوید که حداقل فرم ورود بررسی شده است. همچنین ممکن است بخواهید آن را برای سایر صفحات وردپرس، صفحات ورود به سیستم ووکامرس یا سایر افزونه‌های فرم فعال کنید.

در نهایت، CAPTCHA 4WP > Settings ممکن است چند گزینه داشته باشد که می‌خواهید فعال کنید، مانند نمایش یک CAPTCHA پس از تعداد معینی از تلاش‌های ناموفق برای ورود به سیستم.

مرحله 6. یک گزارش فعالیت وردپرس را نصب کنید

در نهایت، می‌توانید با نصب گزارش فعالیت و مراقبت دقیق از رفتارهای مشکوک، به شناسایی حملات brute force کمک کنید. بدون افزونه گزارش فعالیت مانند WP Activity Log، شما به طور کامل قادر به نظارت بر ترافیک ورودی و کارهایی که کاربران در سایت خود انجام می‌دهند، نیستید.
پس از نصب WP Activity Log، می‌توانید مشاهده‌گر گزارش را برای یک نمای کلی از فعالیت جدید بررسی کنید، که می‌توانید آن‌ها را بر اساس کاربر و IP مرتب کنید تا تهدیدات احتمالی را محدود کنید.
همچنین می‌توانید اعلان‌های سفارشی را تنظیم کنید تا بتوانید هر زمان که اتفاق هشداردهنده‌ای رخ می‌دهد، هشدارهای ایمیل یا پیامک دریافت کنید، در کنار ایجاد گزارش‌های دقیق از هر چیزی که در وب‌سایت شما در حال انجام است.

حملات بروت فورس را قبل از وقوع متوقف کنید

حملات Brute Force در وردپرس خودکار متاسفانه متداول است و اگر قبلا این کار را نکرده اید، احتمالا در نهایت خودتان مورد حمله قرار خواهید گرفت. اقدامات پیشگیرانه در حفاظت از ورود به سیستم brute force وردپرس از نفوذ این ربات های بد به وب سایت شما، سرقت اعتبار شما و تخریب کار شما جلوگیری می کند.
از آنجایی که وردپرس در زمینه محافظت از نیروی brute force چندانی ندارد، احتمالا به یک افزونه برای مدیریت این موضوع نیاز خواهید داشت و Melapress Login Security ابزاری برای این کار است. تقریبا هر چیزی که برای متوقف کردن حملات brute force نیاز دارید در این افزونه تعبیه شده است.

وبلاگ پارسدِو © 1403 — کپی و انتشار مطالب تنها با ذکر منبع و لینک مجاز است. بازگشت به بالا