دیروز در پست قبل چهارده ترفند مهم امنیتی وردپرس را با یکدیگر یاد گرفتیم. امروز نوبت ترفند پانزدهم است که قولش را داده بودم.

Brute Force چیه دیگه؟
Brute Force یکی از انواع حملات هکر ها برای بدست آوردن رمز های عبور است. در این روش هکر با استفاده از نرم افزار های مخصوص سعی می کند تمام عبارت های ممکن را چک کند. مثلا فرض کنید رمز شما ali باشد. کامپیوتر شروع می کند رمز های ممکن را یکی یکی تست می کند. مثلآ اول شروع می کند تمام حروف را چک می کند بعد رمز های دو حرفی مثل aa,bb,cr,dd,gh,kl و بعد از چک کردن تمام احتمال های ممکن دو حرفی می رود سراغ حروف سه حرفی و همین طور ادامه می دهد تا به رمز شما می رسد. اگر تا به حال نمی دانستید از این به بعد می دانید که چرا همیشه توصیه می کنند رمز ها را ترکیبی از عدد و حروف بزرگ و کوچک انتخاب کنید.

این روش آن قدر که برای پیدا کردن رمز های آفلاین موثر است برای پیدا کردن رمز های آنلاین مثل سایت ها موثر نیست چون سرعت آن خیلی کاهش پیدا می کند. اما روش هایی مثل Dictionary Attack (تست کلمات هدف دار ، مثل اسم اشخاص ، مکان های مختلف و…) وجود دارند که شانس پیدا کردن رمز را بسیار زیاد می کنند.

چگونه این حملات را دفع کنیم؟
خیلی ساده ، کافیست تعداد دفعاتی که هر کس می تواند رمزی اشتباه وارد کند را محدود کنیم و این دقیقآ کاری است که افزونه Login Lockdown انجام می دهد. مثلآ می گوییم اگر کسی بیش از سه بار رمز اشتباه وارد کرد دسترسی اش به سایت را به مدت سه ساعت مسدود کن.

من این افزونه را برای راحتی بیشتر شما فارسی سازی و به یک دلیل خیلی مهم کمی ویرایش کردم.
ابتدا نسخه فارسی و ویرایش شده افزونه Login Lockdown را از اینجا دریافت کنید و پوشه loginlockdown-fa را در پوشه plugins وردپرس بارگذاری کنید. (نام پوشه را عوض نکنید) سپس از قسمت افزونه ها آن را فعال کنید و از قسمت تنظیمات وارد بخش Login Lockdown شوید.
تنظیمات همان طور که می بینید بسیار ساده و گویا است:

نکته مهم: نسخه اصلی این افزونه در صفحه ورود به وردپرس نوشته ای نمایش می دهد که مشخص می کند شما از این افزونه استفاده می کنید. این امنیت را به شدت کاهش می دهد. مثل این است که یک ماشین مدل بالا بخرید و نقشه فنی و تمام جزییات سیستم امنیتی آن را رویش بچسبانید.
من در حین فارسی سازی افزونه را ویرایش کردم تا آن متن را نمایش ندهد و وردپرس شما عادی جلوه کند.

وقتی نفوذگر متوجه نشود که شما از Login Lockdown استفاده می کنید احتمالآ چند رمز معمول مثل 123456 و یا admin را امتحان خواهد کرد. شما می توانید این افزونه را بسیار حساس تنظیم کنید که مثلآ بعد از دو بار امتحان اشتباه IP را مسدود کند. به این ترتیب می توانید رنج آی پی نفوذگر را بفهمید و آن رنج را به طور موقتی کاملآ مسدود کنید. آن وقت نفوذگر باید دنبال ISP های دیگر یا پروکسی یا vpn و غیره باشد که کارش بسیار سخت و آزار دهنده خواهد شد.

امیدوارم از این ترفند های امنیتی لذت برده باشید.