مقابله با حملات Brute force به وردپرس با Login Lockdown
Brute Force یکی از انواع حملات هکر ها برای بدست آوردن رمز های عبور است. در این روش هکر با استفاده از نرم افزار های مخصوص سعی می کند تمام عبارت های ممکن را چک کند.
مثلا فرض کنید رمز شما ali باشد. کامپیوتر شروع می کند رمز های ممکن را یکی یکی تست می کند. مثلآ اول شروع می کند تمام حروف را چک می کند بعد رمز های دو حرفی مثل aa,bb,cr,dd,gh,kl و بعد از چک کردن تمام احتمال های ممکن دو حرفی می رود سراغ حروف سه حرفی و همین طور ادامه می دهد تا به رمز شما می رسد. اگر تا به حال نمی دانستید از این به بعد می دانید که چرا همیشه توصیه می کنند رمز ها را ترکیبی از عدد و حروف بزرگ و کوچک انتخاب کنید.
این روش آن قدر که برای پیدا کردن رمز های آفلاین موثر است برای پیدا کردن رمز های آنلاین مثل سایت ها موثر نیست چون سرعت آن خیلی کاهش پیدا می کند. اما روش هایی مثل Dictionary Attack (تست کلمات هدف دار ، مثل اسم اشخاص ، مکان های مختلف و…) وجود دارند که شانس پیدا کردن رمز را بسیار زیاد می کنند.
چگونه این حملات را دفع کنیم؟
خیلی ساده ، کافیست تعداد دفعاتی که هر کس می تواند رمزی اشتباه وارد کند را محدود کنیم و این دقیقآ کاری است که افزونه Login Lockdown انجام می دهد. مثلآ می گوییم اگر کسی بیش از سه بار رمز اشتباه وارد کرد دسترسی اش به سایت را به مدت سه ساعت مسدود کن.
تنظیمات همان طور که می بینید بسیار ساده و گویا است:
نکته مهم: نسخه اصلی این افزونه در صفحه ورود به وردپرس نوشته ای نمایش می دهد که مشخص می کند شما از این افزونه استفاده می کنید. این امنیت را به شدت کاهش می دهد. مثل این است که یک ماشین مدل بالا بخرید و نقشه فنی و تمام جزییات سیستم امنیتی آن را رویش بچسبانید.
من در حین فارسی سازی افزونه را ویرایش کردم تا آن متن را نمایش ندهد و وردپرس شما عادی جلوه کند.
وقتی نفوذگر متوجه نشود که شما از Login Lockdown استفاده می کنید احتمالآ چند رمز معمول مثل 123456 و یا admin را امتحان خواهد کرد. شما می توانید این افزونه را بسیار حساس تنظیم کنید که مثلآ بعد از دو بار امتحان اشتباه IP را مسدود کند. به این ترتیب می توانید رنج آی پی نفوذگر را بفهمید و آن رنج را به طور موقتی کاملآ مسدود کنید. آن وقت نفوذگر باید دنبال ISP های دیگر یا پروکسی یا *** و غیره باشد که کارش بسیار سخت و آزار دهنده خواهد شد.
لینک کوتاه : https://3zar.ir/?p=17317
تشکر ویژه
3>
سایت خوبی دارید
درود..سایت مفیدی دارید
وب سایت خیلی خوبی دارین
🙂
دست گلت درد نکنه 🙂
سلام و عرض ادب/ سال نو مبارک
من افزونه رو دانلود کردم ولی loginlockdown-fa کجاست؟ من ندیدم یا باید از جای جدید دانلودش کنم؟؟
سلام امیر جان.
همچنین شما.در مورد افزونه باید بگم شما نسخه جدید افزونه را از لینک زیر دریافت کنید:
[php]
http://wordpress.org/extend/plugins/simple-login-lockdown
[/php]
ممنون از جواب
سلام
دوست عزیر اگر افزونه را از لبنک دانلود نکنیم و از جستجوی آنلاین خود وردپرس استفاده کنیم و تصب کنیم مشکلی در روند کاری وردپرس یا افزونه پیش می آید؟؟
با تشکر
سلام
مسلما خیر !!