بازگشت به بالا

ارسال پیام در واتس اپ

ارسال تیکت پشتیبانی

SabaHost Small Loding

در حال بررسی ...

اطلاعات دامنه

کپی کردن اطلاعات در حافظه

https://saba.host/license
https://saba.host/blog/brute-force-attacking

حملات brute force در وردپرس و جلوگیری از آن

حملات brute force در وردپرس

چنانچه شما هم از کاربران فعال در دنیای اینترنت هستید و یا صاحب سایت فروشگاهی یا وبلاگ شخصی هستید حتما نام حملات brute force را تا به حال شنیده اید و تا حدودی هم میدانید که این حملات بسیار خطرناک و مخرب هستند و در بسیاری از موارد کارایی سرور هدف را کاملا مختل می کنند و باعث ایجاد مشکل روی سایت یا سرور هدف می شوند.

چنانچه شما مدیر یک وب سایت هستید یا اطلاعات مهمی در اپلیکیشن ها یا سایتهای بزرگ دارید ، مطالعه این مقاله برای شما لازم و ضروری است . چراکه با شناخت این روشهای هک شما آگاهی بالاتری از این موارد خواهید داشت و می توانید وب سایت امن تری داشته باشید.

در این مقاله قصد داریم تا ابتدا بررسی کنیم که این حملات به چه صورت هستند و سپس به بررسی مشکلاتی که این حملات برای وب سایت های وردپرس ایجاد می کنند بپردازیم.

حمله brute force چیست؟

در ابتدا باید به این مورد بپردازیم که حمله بروت فورس چیست و چگونه امنیت سایت و اطلاعات شما را به خطر خواهد انداخت. این حمله یکی از رایج ترین حملات برای به دست آوردن یوزر و پسورد در صفحات لاگین وب سایتها می باشد و به این صورت انجام می شود که با ارسال و تست یوزرنیم و پسوردهای مختلف هکر تمامی عبارتهای ممکن برای لاگین به صفحه مدیریت سایت یا صفحه ایمیل را پشت سر هم بررسی می کند تا در نهایت امکان ورود و دسترسی را به دست آورد.

این مدل حملات عموما روی سیستم های مدیریت محتوا مثل وردپرس ، جوملا یا روی سرویسهای در بستر وب مثل سرویس FTP  یا  SSH صورت می گیرند. انجام این حملات به این صورت خواهد بود که هکر لیستی از پسوردهای رایجی که طی سالهای اخیر مورد استفاده بسیاری از کاربران در سطح اینترنت قرار گرفته است را روی وب سایت قربانی بررسی و تست خواهد کرد و تا زمانی که موفق به پیدا کردن رمز عبور مربوطه نشده باشد عملیات brute force را متوقف نخواهد کرد.

راهکارهای جلوگیری از حملات بروت فورس

ساده ترین و ابتدایی ترین راهکار برای جلوگیری از رخ دادن چنین مشکلاتی ، تنظیم کردن پسورد قوی برای پنل کاربری و اکانتهایی است که در سایتهای مختلف ایجاد می کنید. برای مثال اگر شما هم از سرویس gmail استفاده می کنید حتما پسورد پیچیده روی اکانت تان ایجاد نمایید. بسیاری از پسوردها هستند که در بین کاربران اینترنتی رایج است و افراد مختلف و هکرها میتوانند به اکانت شما لاگین کنند.

توجه داشته باشید که پسورد ایمیل شما در دنیای دیجیتال خیلی مهم است. در بسیاری از وب سایتهایی که شما عضو آنها هستید و اطلاعات مهمی داخل آن سایت دارید ، با داشتن دسترسی به اکانت ایمیلتان امکان بازیابی پسوردتان وجود دارد ! در واقع اگر یک هکر یا فرد سودجو به پسورد ایمیلتان دسترسی پیدا کند به راحتی میتواند به سایتهایی که شما در آنها اکانت دارید مراجعه کند و پسورد کاربری شما را ریست کند و به پنل کاربریتان در آن سایت وارد شود.

روش دیگر که بسیار روش مناسبی است و به کمک آن میتوانید جلوی این حملات را از طریق وب سرور خود بگیرید تنظیم کردن rule یا قانون در فایل .htaccess در هاست وردپرس شما می باشد. برای این مورد ابتدا باید به هاست وردپرس خود لاگین کنید و سپس به بخش file manager در هاست بروید و وارد پوشه public_html در هاست خود شوید و از این بخش روی فایل .htaccess خود راست کلیک و آنرا edit کنید. اگر این فایل را در هاست وردپرس خود مشاهده نمی کنید مطابق این لینک آموزشی ( آموزش نمایش .htaccess که قبلا نوشتم ) اقدام نمایید.

چنانچه محلی که در آن حضور دارید ( خانه یا محل کارتان ) IP استاتیک یا ثابت دارد ، می توانید صرفا آی پی اینترنتی خود را با کمک این روش در فایل .htaccess مجاز نمایید تا فقط از طریق آن آی پی بتوانید وارد صفحه /wp-admin شوید. روشی که خدمت تان اعلام می شود تاثیر بسیار مثبتی روی امنیت سایت شما دارد و باعث می شود تا هکرها یا سایر کاربران نتوانند به صفحه ورود مدیریت وردپرس شما دسترسی داشته باشند.

پس از وارد شدن به صفحه هاست وردپرس باید فایل htaccess خود را ویرایش نمایید و دستورات زیر را در فایل .htaccess خود وارد نمایید :

<Files wp-login.php>

order deny,allow

deny from all

allow from <YOUR IP>

</Files>

توجه نمایید به جای عبارت <YOUR IP> باید آدرس آی پی مدنظرتان را وارد نمایید.

این دستور را باید دقیقا بعد از دستور زیر وارد نمایید :

RewriteEngine On

RewriteBase /

تصویر ضمیمه شده را مشاهده کنید . می توانید مطابق آن فایل .htaccess خود را ویرایش نمایید تا تنظیم دسترسی برایتان اعمال شود.

[caption id="attachment_11802" width="605"]حملات bruteforce [/caption]

توجه کنید این روش علاوه بروب سایتهای وردپرسی می تواند برای هر سایتی که با کمک وب سرور آپاچی میزبانی می شود کارایی داشته باشد. صرفا کمی دستور آن متفاوت خواهد بود که باید آنرا ویرایش نمایید. در سایتهای وردپرسی برای ورود به پنل مدیریت وردپرس , فایل wp-login.php فراخوانی می شود و به همین در rule که بالاتر درج شده است , نام فایل نوشته شده است.

امیدواریم تا با مطالعه کردن این مقاله بتوانید سایت وردپرس امن تری داشته باشید و شما را در امن کردن وب سایت تان یاری کرده باشیم.