نحوه متوقف کردن حملات Brute Force در وردپرس
سرفصل های مقاله
محبوبیت وردپرس نه تنها وبلاگ نویسان بلکه هکرها را نیز به خود جلب می کند. نصب وردپرس برای ارسال اسپم ، تنظیم فیشینگ یا انجام حملات دیگر نیز انجام می گیرد. در حالی که حملات پیچیده بسیاری بر علیه وردپرس وجود دارد ، هکرها اغلب از یک حمله ساده با رمزعبور brute force استفاده می کنند. در این حملات ، بات نت سعی می کند رمزعبور ادمین شما را حدس بزند.
شما ممکن است فکر کنید که چنین حملاتی شکست می خورد ، اما آن ها از یکی از ضعیف ترین لینک در زنجیره امنیتی سوءاستفاده می کنند: یعنی شما.
مردم رمزهای عبور پیچیده را دوست ندارند. در نتیجه رمزهای عبور ساده استفاده می شوند. حتی اگر خط مشی رمز عبور خوبی دارید و از ابزارهای مدیریت رمز عبور استفاده می کنید ، کلمات عبور ساده از بین می روند.
با افزودن یک لایه امنیتی بیشتر به سیستم های خود ، می توانید حملات brute force را متوقف کنید.
در ادامه با ما در شتابان هاست همراه باشید.
حملات را brute force با HTTP AUTH متوقف کنید:
وردپرس در واقع یک لیست عالی از نکات سخت افزاری وردپرس دارد. برخی از این موارد پیچیده هستند و نیاز به تغییر سطح سرور یا کد دارند. با این حال ، در تجربه من حملات brute-force و XSS علیه وردپرس تاکتیک های سوء استفاده معمولی است. به سادگی با مسدود کردن دسترسی به مناطق ورود به سیستم و ادمین با استفاده از تأیید هویت HTTP ، می توانید یک لایه امنیتی بیشتر اضافه کنید.
شما احتمالاً قبلاً با HTTP AUTH آشنا هستید. بسیاری از افراد به سادگی به عنوان رمز محافظت از دایرکتوری یا سایتی با .htaccess از آن استفاده می کنند. از نظر فنی ، وقتی این بخشنامه ها را به .htacess اضافه می کنید ، می توانید ابزارهای تأیید هویت HTTP را که در سرور وب Apache نصب شده است ، فعال کنید.
با تنظیم یک htaccess برای محدود کردن دسترسی به توابع ورود به وردپرس ، می توانید بیشتر حملات brute-force را متوقف کنید.
تنظیم HTTP AUTH:
من توصیه می کنم دسترسی به wp-login.php را محدود کنید تا brute-force وردپرس را متوقف کنید.
شما می توانید با تنظیم محافظت از رمز عبور htaccess این کار را به راحتی انجام دهید.
آموزش های زیادی در رابطه با نحوه تنظیم فایل های htaccess و تولید فایل های رمز عبور به صورت آنلاین وجود دارد. Plesk ، cPanel و سایر سیستمها معمولاً این ویژگی را در کنترل پنل خود دارند. بنابراین می خواهم فرض کنم شما می دانید که چگونه htaccess را تنظیم کنید و یک فایل htpasswd تنظیم کنید.
همچنین ، توصیه می کنم برای htaccess و وبلاگ خود از نام های کاربری و رمزعبورهای مختلف استفاده کنید.
پس از تنظیم پرونده رمز عبور خود ، باید موارد زیر را به پرونده htaccess خود اضافه کنید:
# Protect wp-login<Files wp-login.php>AuthUserFile ~/.htpasswdAuthName “Private access”AuthType Basicrequire user mysecretuser</Files>قبل از ورود به وردپرس ، این تنظیمات باعث افزوده شدن یک پاپ آپ HTTP می شود.
برای گذر از این کادر باید نام کاربری و رمز عبوری را که تنظیم کرده اید در پرونده htpasswd خود وارد کنید. پس از ورود به اینجا ، سپس صفحه عادی ورود به سیستم وردپرس را مشاهده خواهید کرد.
توجه داشته باشید که نام کاربری و رمزهای عبور استفاده شده در پرونده های htaccess شما هیچ ارتباطی با موارد استفاده شده در وردپرس ندارد. اگر چندین وبلاگ نگار دارید ، می توانید برای مرحله تأیید هویت HTTP از یک نام کاربری و رمزعبور استفاده کنید و بعد از آن بخواهید که وبلاگ نویسان از جزئیات دسترسی خود برای ورود به وردپرس استفاده کنند.
چگونه با این کار حملات brute-force متوقف می شود:
حملات Brute force علیه وردپرس معمولاً نام کاربری و رمزعبور را مستقیماً در اسکریپت wp-login.php ارسال می کنید. می توانید با چک کردن لاگ های مربوط به این موضوع را به راحتی مشاهده کنید:
۱۱۴٫۳۷٫۹۱٫۳۳ - - [۱۶/Jan/2014:02:08:13 -0700] "POST /wp-login.php HTTP/1.1" 302 4477 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 7.1; Trident/5.0)"۱۱۴٫۳۷٫۹۱٫۳۳ - - [۱۶/Jan/2014:02:08:15 -0700] "POST /wp-login.php HTTP/1.1" 302 4479 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 7.1; Trident/5.0)"۱۱۴٫۳۷٫۹۱٫۳۳ - - [۱۶/Jan/2014:02:08:15 -0700] "POST /wp-login.php HTTP/1.1" 302 4487 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)"۱۱۴٫۳۷٫۹۱٫۳۳ - - [۱۶/Jan/2014:02:08:15 -0700] "POST /wp-login.php HTTP/1.1" 302 4643 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)"در این مثال ، آدرس IP 114.37.91.33 بارها و بارها سعی در ورود به وردپرس دارد.
با اضافه کردن تأیید هویت HTTP ، حمله را مسدود می کنید. درخواست POST فوق تنها درصورتی موفق می شود که نام کاربری و رمز عبور HTTP AUTH را حدس بزنند.
شما ممکن است بپرسید ، “خوب ، آیا آنها نمی توانند سعی کنند HTTP AUTH را نیز حدس بزنند؟ بله آنها میتوانند. اما اکثر بات نت ها برای انجام این کار تنظیم نشده اند. همچنین برای این نوع حمله ها انتقال به سرور دیگر برای آنها کارآمدتر است و سپس سعی در هک کردن دو رمز عبور خواهند داشت که سخت تر است.
چرا از یک افزونه امنیتی استفاده نکنیم؟
افزونه های امنیتی وردپرس بسیاری وجود دارد که تلاش می کنند به طور خودکار حملات Brute force را مسدود کنند. در حالی که ممکن است اینها کار کنند ، من معمولاً آنها را توصیه نمی کنم مگر اینکه مزایای قابل توجهی دیگر ارائه دهند.
- افزونه ها هنوز به کد PHP تکیه می کنند. محافظت فقط به اندازه کد مناسب است.
- حمله Brute force هنوز از طریق لایه PHP انجام می شود. در شرایط بالای حمله ، این می تواند باعث مشکلات شود.
- احتمال سوءاستفاده همزمان با روشهای تأیید هویت آپاچی و در وردپرس کم است.
اگر HTTP Auth را در صفحه ورود به سیستم پیاده سازی کنید ، در واقع می توانید Brute force شدید را به وردپرس مسدود کنید. در حالی که نگرانی های امنیتی زیادی وجود دارد ، نمی توانید نگران حمله Brute force وردپرس باشید.
امیدوارم این مقاله براتون مفید بوده باشه.
ما رو تو شتابان هاست دنبال کنید. 🙂
