ایجاد محدودیت در ورود به وردپرس با افزونه Limit Login Attempts Reloaded

آیا می‌­دانستید یکی از ناجوان‌مردانه‌­ترین حملات، حملات سایبری به شکل­‌های گوناگون است؟ به خصوص گونه‌ای از این حملات که در آن شخصی به طور مداوم سعی می­‌کند رمز ورود شما را حدس بزند تا بتواند وارد سایت و مدیریت آن شود. اگرچه وردپرس خود یک سیستم عامل مطمئن است، این باعث نمی­‌شود سایت شما از  این حملات مصون باشد. یکی از رایج­‌ترین هک­‌ها، هک­‌هایی توسط انسان یا ربات­‌هایی هستند که سعی می‌­کنند تا با استفاده از نام کاربری و رمزعبورهای مختلف، راه خود را از طریق صفحه ورود به سیستم، باز کنید. برای جلوگیری از موفقیت آن‌­ها و محدودیت در ورود به وردپرس، می­‌توانید از افزونه Limit Login Attempts Reloaded استفاده کنید.

محدودیت در ورود به وردپرس

آنچه در این مقاله به اختصار خواهید خواند:

• چرا باید تلاش برای ورود به وردپرس را محدود کرد؟
• افزونه Limit Login Attempts Reloaded
• تنظیمات لازم و نحوه استفاده از افزونه Limit Login Attempts Reloaded
• امنیت سایت و انتخاب رمزهای قوی

همانطور که گفته شد وردپرس محافظت داخلی در برابر این نوع حملات را ندارد. به طور پیش فرض، وردپرس به شما امکان می­‌دهد تا تعداد نامحدود رمز را امتحان کنید، این امر باعث می‌­شود تا هکر­ها راحت­‌تر به وبسایت­‌ها دسترسی پیدا کنند. امروز در این مقاله شما می‌­آموزید که چگونه می­‌توانید به راحتی با استفاده از افزونه Limit Login Attempts Reloaded، تلاش برای ورود به سایت را در وردپرس محدود کنید.

چرا باید تلاش برای ورود به وردپرس را محدود کرد؟

از آنجایی که وردپرس به کاربران اجازه می­‌دهد تعداد نامحدودی از رمز­های ورود به سیستم را به صورت نادرست وارد کنند، هیچ چیزی مانع از رویکرد این آزمون و خطا نمی­‌شود. با این حال، اگر تصور می­‌کنید شخصی در واقع این اطلاعات و رمز­ها را یک به یک وارد می­‌کند، به شدت اشتباه هستید.

خوب است بدانید هکرها از اسکریپت­‌هایی استفاده می­‌کنند که به آن­ها اجازه می‌­دهد خیلی سریع، این رمز عبورها را به سیستم را وارد کنند. اینگونه به صورت چشمگیری احتمال موفقیت آن­ها را افزایش می­‌یابد زیرا در مدت زمان کمی، شانس بیشتری برای یافتن رمز کسب می­‌کنند. اما برای مصون ماندن از این حملات، یک راه حل ساده وجود دارد و آن هم این است که تلاش­‌های ورود به سیستم را محدود کنید.

شاید کاربر رمز عبور خود را فراموش کرده یا به طور تصادفی یک یا دو بار اطلاعات خود را نادرست وارد کند، ولی مطمئنا به آزمایش­‌های نامحدود احتیاجی ندارد. به عنوان مثال، در وبسایت­‌های بانکی بسیار معمول است که تلاش برای ورود به سایت را به دلیل ارزش داده­‌ها، به ۳ بار محدود می­‌کنند.

با این حال، ممکن است از شما سؤال شود که آیا این یک اقدام ضروری برای همه کاربران وردپرس است یا خیر. بهتر است بدانید همه تکنیک­‌های امنیتی برای تمام وبسایت­‌ها  مناسب نیستند، بلکه مزایا و اشکالاتی بالقوه خود را دارند. اول بیایید به مزایای این کار نگاهی بیندازیم:

• این کار مانع از این می‌­شود که انسان­‌ها و ربات­‌های خودکار قادر به آزمایش صدها نام کاربری و یا رمز عبور باشند تا بتوانند وارد سایت شوند.
• بسته شدن موقت اغلب برای جلوگیری از حمله کافی است، زیرا هکر یا ربات به راحتی به سمت هدف احتمالی بعدی حرکت می­‌کند.
• بیشتر کاربران شما فقط به یک بار تلاش برای ورود به سایت نیاز خواهند داشت یا در صورت فراموش کردن رمز خود مجبور به استفاده مکرر شوند.
• در یک نظرسنجی در سال ۲۰۱۶ از Wordfence، این نوع حملات، دومین نوع شناخته شده از حملات سایبری شناخته شده است، که این خود دلیلی خوبی برای استفاده از یک افزونه است.

از طرف دیگر، موارد منفی این کار عبارتند از:

• افزودن این افزونه به سایت برای صاحبان سایت‌­ها نیاز به داشتن سایتی با تعداد افزونه کمتر جهت سبک سازی سایت دارند؛ یک عیب به شمار می‌­رود.
• کاربران با اعتبار سایت شما که رمزهای عبور خود را فراموش کرده باشند، هنوز هم می­‌توانند قفل شوند که این یک نقص محسوب می­‌شود.

اشکال دوم را می‌توان از چند طریق کاهش داد که در ادامه می­‌توانید آن را بخوانید.

افزونه Limit Login Attempts Reloaded

Limit Login Attempts Reloaded یک افزونه بسیار محبوب با بیش از ۱ میلیون نصب فعال است. این افزونه به شما امکان می­‌دهد تعداد ورودهایی را که می­‌خواهید یک بازدیدکننده داشته باشد را محدود کنید. پس، از بیش از این تعداد محدود شده، آدرس IP آن­ها برای مدت زمان قابل تنظیم، ممنوع الورود می‌­شوند و امکان استفاده مجدد پیدا نمی­‌کنند. خوب است بدانید استفاده از این افزونه ساده اما بسیار مؤثر است.

ویژگی­‌های افزونه

• محدود کردن تعداد تلاش­‌های امتحان مجدد برای ورود به سیستم
• اطلاع رسانی به کاربر در مورد تعداد تلاش مجدد برای ورود یا زمان باقیمانده برای استفاده و ورود به سایت
• ورود به سیستم و اطلاع رسانی با ایمیل به صورت کاملا اختیاری
• سازگاری با فایروال وبسایت
• حفاظت از درگاه XMLRPC
• حافظت از صفحه ورود به سیستم ووکامرس
• سازگاری چند سایت با تنظیمات MU
• سازگار با GDPR که با فعال شدن این ویژگی، تمام IP های وارد شده دچار خرابی می­‌شوند
• پشتیبانی از IP اصلی(Cloudflare ، Sucuri و غیره)
• قابلیت دسترسی به بخش افزونه­‌ها در سایت
• قابلیت حذف افزونه Limit Login Attempts
• قابلیت نصب افزونه Limit Login Attempts Reloaded

تنظیمات لازم و نحوه استفاده از افزونه

پس از نصب و فعال­‌سازی افزونه Limit Login Attempts Reloaded، در پنل مدیریت وردپرس خود، روی تنظیمات یا Settings کلیک کرده و گزینه Limit Login Attempts را انتخاب کنید.

با این کار، صفحه تنظیمات افزونه به نمایش در می‌­آید.

در ابتدا سراغ قسمت “Setting”می­‌رویم.  در این قسمت چند گزینه وجود دارد. گزینه اول باعث می­‌شود GDPR افزونه کامپایل گردد، پس تیک مربوط به آن را بزنید چرا که این گزینه اطمینان لازم  را برای اینکه این افزونه با GDPR سازگاری دارد را به شما می‌­دهد.

لازم به ذکر است که انتخاب این گزینه به معنای سازگاری وبسایت شما با GDPR نیست، این بدان معناست که این افزونه هیچ قانونی را نقض نمی­‌کند.

در زیر این گزینه، شما می‌­توانید تنظیمات مختلفی از جمله تعداد تست و آزمون مجاز، مقدار زمانی که نشان دهنده خروج شما از سیستم است، میزان زمان لازم برای قفل شدن و مانع از ورود دوباره و موارد دیگر است که شما می‌­توانید آن­ها را تنظیم کنید. این تنظیمات دقیقاً چگونگی عملکرد افزونه را بیان می‌کند. در اکثر وبسایت­‌ها قبل از اینکه قفل شوند، کاربر می‌­تواند بین ۳ تا ۵ بار تلاش کنند. میانگین زمان ماندگاری اولین قفل بین ۲۰ دقیقه تا ۱ ساعت است.

این تنظیمات را مطابق با نیاز وبسایت خود تنظیم کنید و به یاد داشته باشید که هر زمان که بخواهید قابل تغییر هستند.

تب آخر یعنی “Dashboard” است که اگر آن را باز کنید چند باکس با متن Blacklist و Whitelist را پیدا خواهید کرد. در اینجا می‌­توانید آدرس‌­های IP یا Usernames هایی را مسدود کنید یا از انسداد آن­ها جلوگیری کنید. در این تب که در مورد محدودیت­‌های اعمال شده می­‌باشد که نشان می­‌دهد چند مورد دچار این محدودیت­‌ها هستند و یک لیست از آن­ها به شما نشان داده می­‌شود. همانطور که می­‌بینید در این اینجا فعلا محدودیتی وجود ندارد.

اگر کاربری را به لیست سفید اضافه کنید، آن­ها می‌­توانند هر چند مدت و هر باری که دوست دارند وارد سایت شما شوند و دیگر نیازی به نگرانی از قفل شدن آن نخواهید داشت. از طرفی دیگر اضافه کردن کسی به لیست سیاه، آن­ها را برای همیشه قفل می­‌کند. اگر می‌­بینید فعالیت مشکوک زیادی از یک یا چند آدرس IP خاص وجود دارد، گزینه دوم بسیار مفید است. فراموش نکنید که هنگام انجام تنظیمات، تغییرات خود را در این صفحه ذخیره کنید. این تنها کاری است که شما باید انجام دهید تا تلاش برای ورود به سایت در وردپرس محدود شود!

به عنوان مثال، می­‌توانید نام کاربری خود را در لیست سفید و یک حساب یا یک نام کاربری مزاحم یا دیگری که شناخته شده است را در لیست سیاه وارد کنید. هنگامی که از تغییرات خود راضی شدید، روی دکمه ذخیره حتما کلیک کنید.

خب برای اینکه مطمئن شویم که این افزونه به درستی کار می‌­کند، کد کاربری را که در لیست سیاه قرار دادیم را امتحان کردیم که نتیجه کار به این صورت است:

همانطور که در تنظیمات زده بودیم، کاربر ۴ بار می­تواند تلاش کند که در این مثال با وارد کردن بار اول و ایجاد خطا، ۳ بار دیگر اجازه تلاش دارد. پس این افزونه به خوبی تلاش برای ورود به سایت را محدود کرده است.

امنیت سایت و انتخاب رمزهای قوی

در حالی که این افزونه روش خوبی برای جلوگیری از تلاش هکرها برای حدس زدن رمز عبور است و می‌­تواند برخی از مشکلات را حل کند، اما تمام آن را حل نمی­‌کند. نکته مهم دیگری که باید در نظر بگیرید، قدرت رمزهای عبوری شما است. متأسفانه صرف نظر از اینکه اطلاعاتی در مورد خطر انتخاب رمزعبور ساده در اینترنت وجود دارد، مردم هنوز مواردی مانند “۱۲۳۴۵۶” را برای رمز عبور انتخاب می‌کنند و این واقعاً کاری پرخطر است. این یک مشکل بزرگتر از تلاش­های نامحدود ورود به سیستم است. زیرا که این کار به هکر اجازه می‌­دهد تا رایج­‌ترین رمزهای عبور را در یک اسکریپت بارگذاری کرده و با سهولت به یک حساب کاربری وارد شود. پس حدس زدن رمز ورود خود را برای هکرها آسان نکنید. برای امنیت وبسایت خود از رمزهای عبور قوی استفاده کنید.

هکرها و تلاش برای ورود به سایت وردپرسی

این ایده که وبسایت در هر زمان ۱۰۰٪ ایمن است، یک ایده کاملاً مسخره است. وردپرس محبوب­‌ترین پلتفرم برای ساخت وبسایت در جهان است، بنابراین، به عنوان یکی از اهداف بسیاری از هکرها در نظر گرفته می­‌شود. در حالی که این سیستم عامل، پایدار و فاقد آسیب پذیری­‌های اساسی است، هکرها هنوز هم می‌­توانند به وبسایت شما دسترسی پیدا کنند و اطلاعات ارزشمندی را از شما بدزدند. پس همیشه اطمینان حاصل کنید که امنیت وبسایت شما برقرار باشد. یکی از این راه‌­ها ایجاد محدودیت در ورود به وردپرس است.

نوشته ایجاد محدودیت در ورود به وردپرس با افزونه Limit Login Attempts Reloaded اولین بار در بیست اسکریپت. پدیدار شد.