چرا این موضوع انتخاب شده است؟
وردپرس یکی از محبوبترین سایت سازهای جهان می باشد که سالیانه کاربران زیادی در نقاط مختلف جهان با این نرم افزار اقدام به ساختن سایت های خود می نمایند . این مورد باعث علاقه مندی هکرها به حمله به این سایت ها بدلیل یکسان بودن محتوا و کد این سایت ها می گردد. اخیرا گزارشات زیادی از زیاد شدن حملات brute force بروی سرورها بوده است. جلوگیری از حملات Brute force بروی مدیریت وردپرس
بدین دلیل هکرها علاقه زیادی به هک کردن ، اشغال پهنای باند و یا دسترسی به این سایت ها دارند.
حمله brute force چیست؟
یکی از متدهای اصلی دریافت اطلاعات ورودی یک سایت استفاده از حملات BRUTE FORCE می باشد. در اصل دلیل انتخاب این نام این می باشند که این افراد این نوع حمله را آشکارا انجام می دهند و آنرا مخفی نمی نمایند. این دقیقا همانند حمله با شات گان از روبرو می ماند !!!!!
این مورد براحتی به سرور حمله کرده و بدنبال اطلاعات لاگین و یا نام کاربری و کلمه عبور سایت وردپرس می باشد. هکرهای اکثرا از کامپیوترهای آلوده دیگری برای این حملات استفاده می نمایند . تصاویر زیر نمایشگر این می باشد که چگونه این ترافیک با ترافیک حمله مخلوط شده و قابل تشخیص نمی باشد. همچنین حمله ممکن است تنها از یک مکان نشات گرفته باشد. اما در کل نحوه حمله از طریق تکرارهای مختلف کلمات عبور برای ورود می باشد. همچنین این هکرها می توانند با این کار منابع زیادی از سرور را نیز مشغول نمایند.
جلوگیری از حملات Brute force
از زمانیکه وردپرس بعنوان یک راه حل تنها برای وبلاگ ها شناخته نمی شود دیگر تنها یک کاربر در قسمت مدیریت این سایت ها فعالیت نمی نماید و کاربران زیادی دسترسی به قسمت مدیریت هر سایت خواهند داشت .برای این منظور هر چند وقت یکبار اقدام به تعویض پسوردها و مشاهده نمودن لیست کاربران برای اطمینان از عدم وجود کاربر بیرونی در سایت خو دبنمایید. بخصوص کاربرانی که بعنوان مدیر به سایت شما اضافه شده اند. همچنین برای جلوگیری از ورود غیر مجاز هکرها امکان نوشتن دیدگاه یا کامنت برای کاربران غیر عضو را بردارید.
از راه حل های زیر استفاده نمایید :
ورود به فایل WP-LOGIN.PHP را با گزاشتن پسورد اولیه طبق آموزش محدود نمایید.
ورود ودسترسی به WP-LOGIN.PHP را توسط آموزش توسط ادرس های IP خاصی قرار دهید.
پلاگینی نصب نمایید که امکان ورود پسورد اشتباه بیشتر از 5 بار را به کاربر ندهد
کدهای زیر قسمتی از متدهایی که برای جلوگیری از دسترسی ها در فایل HTACCESS ایجاد می شوند را نمایش می دهد.
در روش زیر از کاربر قبل از ورود به صفحه لاگین مجددا پسورد امنیتی خواهد خواست .
کدهای زیر را در فایل HTACCESS وارد نمایید.
<FilesMatch ".wp-login.php$"> AuthName "WordPress" AuthType Basic AuthUserFile /home/username/.htpasswd Require valid-user </FilesMatch>
قطعه کد زیر اقدام به محدود کردن آدرسهای IP خاصی برای ورود به سایت خواهد نمود .
قطعه کد را در فایل .htaccess موجود در WP-admin وارد نمایید.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Admin Access Only" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Admin 1 IP address allow from xx.xx.xx.xxx # whitelist Admin 2 IP address allow from xx.xx.xx.xxx </LIMIT>