افزونه قفل ورود. افزونه امنیتی Login LockDown وردپرس - حفاظت از هک

عصر بخیر، خوانندگان عزیز! امروز افزایش خواهیم داد امنیت وردپرس... وردپرس در حال حاضر به خوبی محافظت می شود، اما امنیت اضافی به ما آسیبی نمی رساند.

ابتدا اجازه دهید دسترسی به فایل های غیر ضروری را ببندیم. برای مثال آدرس را در مرورگر خود تایپ کنید your_blog / wp-contentو اگر یک صفحه سفید می بینید، همه چیز خوب است:

اگر لیستی از فایل ها دارید، باید موارد زیر را انجام دهید (حتی اگر صفحه سفید وجود دارد، بهتر است موارد زیر را انجام دهید):

امنیت در وردپرس با افزونه Login LockDown

همچنین با حدس زدن رمز عبور وبلاگ می توان وبلاگ شما را هک کرد. اگر رمز عبور بسیار سبکی تنظیم کنید، هکرها می توانند به راحتی با استفاده از اسکریپت های خاص به وبلاگ شما نفوذ کنند.

پیکربندی افزونه امنیتی Login LockDown

برای ورود به تنظیمات افزونه، باید بروید مدیریت وردپرس -> تنظیمات -> Login LockDown:


1. حداکثر تلاش مجدد برای ورود به سیستم- حداکثر تعداد تلاش برای وارد کردن رمز عبور.

2. تلاش مجدد محدودیت دوره زمانی (دقیقه)- تعداد دقیقه هایی که حداکثر تعداد تلاش برای تایپ رمز عبور در نظر گرفته می شود.

3. مدت زمان قفل کردن (دقیقه) -زمان مسدود کردن

یعنی اگر اعداد مانند تصویر بالا باقی بمانند، به این معنی است: اگر در عرض 5 دقیقه، رمز عبور 3 بار پشت سر هم اشتباه وارد شود، ادمین وردپرس به مدت 60 دقیقه مسدود می شود.

من تنظیمات افزونه Login LockDown را به طور پیش فرض ترک کردم، چیزی را لمس نکردم، زیرا آنها کاملاً برای من مناسب هستند.

شاید امروزه همه چیز در مورد امنیت در وردپرس (وردپرس) باشد. در درس های بعدی می بینمت!

P.s. فراموش نکنید، درس‌های تازه و مفید هر روز هفته منتشر می‌شوند، بنابراین حتماً در RSS مشترک شوید!

سلام به خوانندگان عزیز سایت وبلاگ! موضوع مقاله امروز: از وبلاگ وردپرس خود در برابر هک محافظت کنیدبا حدس زدن رمز ورود به پنل مدیریت. این روش نامیده می شود. این مشکل بسیار مرتبط است، زیرا متاسفانه موارد دسترسی غیرمجاز به مقدسات وبلاگ، یعنی کنترل پنل وردپرس، اصلا نادر نیست.

به طور کلی، موضوع امنیت وردپرس بسیار گسترده است و فقط محدود نیست و قبلاً در مورد آن نوشتم. اگر مهاجمان به پنل مدیریت وبلاگ دسترسی پیدا کنند، عواقب بسیار ناراحت کننده تری (حتی نمی خواهم تصور کنم) ممکن است رخ دهد. وظیفه ما این است که تمام تلاش خود را برای جلوگیری از این اتفاق انجام دهیم. و امروز فقط در مورد یکی از راههای تقویت حفاظت از وبلاگ شما صحبت خواهم کرد. با افزونه امنیتی وردپرس آشنا شوید Login LockDown.

محافظت از ناحیه مدیریت وردپرس در برابر هک با افزونه Login LockDown

ساده ترین راه برای هک کردن سایت، یافتن نام کاربری و رمز عبور برای ورود به کنترل پنل است. باید بگویم که بسیاری از وبلاگ نویسان خودشان با خروج از لاگین پیش فرض، کار یک کرکر را 50% آسان تر می کنند. و سپس تنها کاری که او باید انجام دهد این است که رمز عبور را پیدا کند.

آیا نام کاربری را تغییر داده اید یا هنوز نام ادمین را دارید؟ اگر نه، فورا این کار را انجام دهید. مقاله من ""، شاید در این مورد به شما کمک کند.

مطمئن شوید، بلافاصله پس از نصب موتور، رمز عبور را به رمز عبور ایمن تر تغییر دهید (با استفاده از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص حدود 20 کاراکتر می سازیم). این را می توان مستقیماً از پنل مدیریت با رفتن به منوی "کاربران" - "نمایه شما" انجام داد. رمز عبور جدید را دو بار وارد کنید و با فشردن دکمه ” تغییرات را ذخیره کنید بروزرسانی پروفایل". رمز عبور خود را به صورت دوره ای تغییر دهید و از آن در سایت های دیگر استفاده نکنید.

با چنین اقدامات ساده ای کار را برای کراکرها پیچیده خواهیم کرد. اما بیایید بگوییم که آنها سرسخت بودند و با استفاده از برنامه های ویژه برای حدس زدن رمز عبور، از تلاش دست نکشیدند. و در اینجا افزونه حفاظتی برای Login LockDown وردپرس آمده است.

پلاگین Login LockDown چگونه کار می کند

این افزونه زمان دقیق و آدرس IP را که از آن تلاش ناموفق برای ورود به پنل مدیریت وبلاگ انجام شده است، ثبت می کند. هنگامی که تعداد معینی تلاش ناموفق در یک بازه زمانی مشخص انجام شود، افزونه دسترسی به سایت را برای مدت زمان مشخصی مسدود می کند. پیام نمایش داده می شود:

«خطا: متأسفیم، اما این محدوده IP به دلیل تلاش‌های زیاد برای ورود ناموفق مسدود شد. لطفاً بعداً دوباره امتحان کنید.»

علاوه بر این، لیستی از تمام آدرس های IP مسدود شده و امکان رفع انسداد آنها در تنظیمات افزونه را خواهید داشت. بیایید آنها را با جزئیات بیشتری در نظر بگیریم.

نصب و پیکربندی افزونه امنیتی Login LockDown

افزونه را نصب و فعال کنید. نصب این افزونه را به عنوان مثال در مقاله "" به طور مفصل شرح دادم. بنابراین، بدون هیچ مقدمه ای، بیایید مستقیماً به تنظیمات بروید.

به منوی "گزینه ها" بروید - "Login LockDown".

شکل تنظیمات پیش فرض را نشان می دهد. شما می توانید آنها را به دلخواه تغییر دهید. در زیر منظور هر یک از نکات را شرح می دهم و نظرات خود را بیان می کنم:

• 1. حداکثر تلاش مجدد برای ورود به سیستم- حداکثر تعداد تلاش برای ورود به پنل مدیریت وبلاگ. به نظر من شرط بندی بیشتر از سه منطقی نیست.
• 2. تلاش مجدد محدودیت دوره زمانی (دقیقه)- دوره زمانی در چند دقیقه برای تلاش مجدد. حتی برای رسیدن به مرز کانادا، نه برای وارد کردن رمز، پنج دقیقه کافی است.
• 3. مدت زمان قفل کردن (دقیقه)- مدت زمانی بر حسب دقیقه که دسترسی به پنل مدیریت وردپرس مسدود شده است. می توانید 60 دقیقه زمان بگذارید، یا می توانید بیشتر نصب کنید.
• 4. قفل کردن نام های کاربری نامعتبر- آیا باید ورود نادرست را در نظر گرفت؟ این مورد را علامت گذاری می کنیم و افزونه علاوه بر رمز عبور، نام اشتباه املایی را نیز در نظر می گیرد. محافظت اضافی از وبلاگ هرگز زائد نیست.
• 5. خطاهای ورود ماسک- پوشاندن خطاهای ورود داده های نادرست. ما آن را علامت گذاری می کنیم، و سپس کراکر نمی داند که اقدامات او تحت کنترل است (او متوجه تفاوتی نشد).
• 6. در حال حاضر قفل شده است- لیست آدرس های IP مسدود شده فعلی و زمان تا رفع انسداد در اینجا نمایش داده می شود. بیشتر در این مورد در زیر.

پس از انجام تنظیمات افزونه امنیتی Login LockDown، روی دکمه «به‌روزرسانی تنظیمات» کلیک کنید تا تغییرات اعمال شوند.

برای وضوح، رمزگشایی می‌کنم که وقتی می‌خواهید یک وبلاگ را هک کنید چه اتفاقی می‌افتد، اگر تنظیمات، به عنوان مثال، به طور پیش‌فرض، مانند تصویر بالا باشد. اگر رمز عبور بیش از 3 بار با فاصله زمانی 5 دقیقه اشتباه وارد شود، دسترسی برای ورود به پنل مدیریت به مدت 60 دقیقه مسدود می شود.

اکنون به لیست آدرس های IP بازگردید. نمی‌دانم چه زمانی ممکن است به آن نیاز داشته باشید، اما شما می‌توانید آدرس IP را که از بین رفته است، رفع انسداد کنید. برای انجام این کار، این کادر را علامت بزنید و روی "Release Selected" کلیک کنید. اگر شما تنها کسی نباشید که به وبلاگ دسترسی دارید، احتمالا منطقی است. برای مثال، چندین نویسنده یا یک فریلنسر باید چیزی را تغییر دهد.

یک جزئیات دیگر اگر متوجه شدید، در اولین اسکرین شات می بینید که در زیر فرم ورود در پنل مدیریت، هشداری در مورد محافظت توسط افزونه Login LockDown نمایش داده می شود. اگر افزونه را به درستی نصب کرده اید و کار می کند باید ظاهر شود. اما در این صورت معنای بند 5 از بین می رود، زیرا از قبل در مورد محافظت به مهاجم هشدار داده می شود. بیایید این کتیبه را برداریم.

ما به منوی "Plugins" - "Editor" می رویم. افزونه امنیتی ما را از لیست کشویی در بالا سمت راست انتخاب کنید و روی "انتخاب" کلیک کنید. در فایل پیدا کنید login-lockdown / loginlockdown.phpاین خط (تصویر زیر را ببینید) و همه چیز بین نقل قول را حذف کنید. روی "به روز رسانی فایل" کلیک کنید و به صفحه ورود بروید. کتیبه باید ناپدید شود.

به هشدار در صفحه ویرایش توجه کنید. قبل از هر گونه تغییر، افزونه را غیرفعال کرده و دوباره فعال کنید. امیدوارم قبل از هر گونه ویرایش فایل ها، نیاز به کپی برداری از آنها داشته باشید، نیازی به یادآوری نیست.

اکنون افزونه امنیتی Login LockDown وردپرسبه مهاجم اجازه نمی دهد با حدس زدن رمز عبور وارد پنل مدیریت شود. البته این تضمینی برای محافظت 100% وردپرس در برابر هک و سایر مزاحمت ها نیست. اما هر شکلی از دفاع از وبلاگ، آجر به آجر در مقابل دشمن خواهد ساخت. هر چه این دیوار بالاتر باشد، شب ها آرام تر می خوابید.

لازم به یادآوری است که توجه به امنیت وبلاگ شما نباید کمتر از نوشتن محتوای منحصر به فرد و تبلیغ آن در موتورهای جستجو باشد. در مقالات بعدی بیش از یک بار به این موضوع باز خواهم گشت. در به روز رسانی وبلاگ مشترک شوید تا همیشه در جریان باشید. به زودی میبینمت!

در قسمت اول به شما خواهم گفت که چگونه با استفاده از حدس زدن رمز عبور از وبلاگ خود در برابر هک محافظت کنید. مهمتر از همه، یک رمز عبور ساده تنظیم نکنید و از همان رمز عبور در منابع دیگر استفاده نکنید. این افزونه همچنین به محافظت در برابر حدس زدن رمز عبور کمک می کند.

نصب و پیکربندی افزونه Login LockDown

این افزونه دسترسی به لاگین و رمز عبور توسط IP را برای مدتی مسدود می کند، در صورتی که چندین تلاش ناموفق وجود داشته باشد. شما می توانید تعداد تلاش ها و زمان مسدود کردن را خودتان تنظیم کنید.

برای نصب باید افزونه را دانلود کنید. آن را در پوشه / plugins باز کنید و آن را فعال کنید.

برای پیکربندی افزونه، به "Options" بروید -> "پنجره زیر ظاهر می شود:

حداکثر تلاش مجدد برای ورود به سیستم- این حداکثر تعداد تلاش برای ورود است، من فکر می کنم سه کافی است.

تلاش مجدد محدودیت دوره زمانی (دقیقه)- مقدار زمان بین تلاش ها، 15 دقیقه وقت دارم.

مدت زمان قفل کردن (دقیقه)- تعداد دقیقه هایی که فرم ورود به سیستم در صورت ورود اطلاعات نادرست برای حداکثر تعداد تلاش مسدود شده است، 15 دقیقه زمان دارم.

قفل کردن نام های کاربری نامعتبر- آیا باید ورود نادرست را در نظر گرفت.

خطاهای ورود ماسک- خطاهای ورود داده را پنهان کنیم یا خیر.

در بخش Currently قفل شده استلیستی از IP های مسدود شده نمایش داده می شود.

اگر افزونه به طور معمول نصب شده باشد، فرم ورود به سیستم محافظت شده توسط Login LockDown در فرم ورود و ورود رمز عبور نمایش داده می شود.

امنیت وب سایت اولویت اصلی در توسعه پروژه های وب است و امنیت وردپرس نیز از این قاعده مستثنی نیست. تلاش برای دسترسی غیرمجاز به مدیریت وبلاگ یک مورد است، اگرچه گسترده نیست، اما در زندگی یک مدیر وب سایت اتفاق می افتد ...

برای محافظت از وب سایت خود در برابر هک کردن brute-force، با انتخاب داده های ورودی، می توانید دسترسی به پنل مدیریتی را محدود کنید. برای انجام این کار، می‌توانید اولویت را فقط برای آدرس‌های IP قابل اعتماد بگذارید یا محدودیتی برای تعداد خطاهای مجوز تعیین کنید.

یک ابزار محبوب برای وبلاگ نویسان در مبارزه با استخدام یک افزونه رایگان است - Login LockDown. این افزونه بسیار تخصصی با هدف ردیابی تلاش‌های مجوز، یعنی ورود به کنسول وردپرس است.
یکی از ویژگی های این افزونه انعطاف پذیری تنظیمات است که به مدیر اجازه می دهد هر تلاش برای ورود به سیستم را به تعویق بیاندازد، به تعداد مشخصی محدود شود و سپس مهاجم (آدرس IP او) را برای مدت طولانی مسدود کند!

نصب و فعال سازی

می توانید پس از دانلود بایگانی با افزونه، افزونه را با استفاده از دسترسی FTP نصب کنید - https://wordpress.org/plugins/login-lockdown/
یا به بخش "افزونه ها" در پنل مدیریت بروید، روی آیتم "افزودن جدید" در بالا کلیک کنید، سپس نام را در نوار جستجو وارد کنید و کلید "Enter" را فشار دهید. اولین نتیجه را تنظیم کنید و سپس آن را فعال کنید.

تنظیمات افزونه

همانطور که قبلا ذکر شد، گزینه های LoginLockDown بسیار کم هستند و فقط پارامترهای عملکردی را نشان می دهند. پس از فعال‌سازی، افزونه با مقادیر پیش‌فرض ترجیح داده شده توسط اکثر کاربران شروع به کار می‌کند.
در پانل، بخش "تنظیمات" را گسترش دهید، جایی که مورد "Login LockDown" را پیدا خواهید کرد، کلیک کنید و به صفحه تنظیمات بروید " ورود به سیستم گزینه های LockDown»:

1. حداکثر تلاش مجدد برای ورود - تعداد تلاش های مجوز که پس از آن آدرس مسدود می شود. به طور پیش فرض 3 است (ما توصیه نمی کنیم بیش از 5 تلاش را تنظیم کنید).
2. محدودیت دوره زمانی مجدد (دقیقه) - تعداد دقیقه بین تلاش برای ورود به سیستم، به طور پیش فرض 2 دقیقه است (بهتر است آن را کوتاه کنید تا کاربر بتواند به زودی دوباره وارد سیستم شود).
3. Lockout Length (دقیقه) - تعداد دقیقه های مسدود کردن آدرس IP، به طور پیش فرض 120 (2 ساعت) است، که با سطح مناسب شدت ممکن است افزایش یابد.
4. Lockout نام کاربری نامعتبر است؟ - گزینه ای برای غیرفعال کردن توابع پلاگین برای نام های ثبت نشده (ورود). ما آن را به صلاحدید خود روشن می کنیم، زیرا انتخاب یک جفت ورود و رمز عبور ناموجود خطرناک نیست.
5. خطاهای ورود ماسک؟ - گزینه ای برای غیرفعال کردن خطاهای مجوز. نام کاربری یا رمز عبور نامعتبر از کاربر خواسته نمی شود.
6. پیوند اعتبار نشان داده شود؟ - گزینه نمایش پیوند به وب سایت خارج از سایت افزونه (تبلیغات توسعه دهندگان Login LockDown). به طور پیش فرض نمایش داده می شود، برای غیرفعال کردن آن، روی کادر سوم کلیک کنید.
7. به روز رسانی تنظیمات - دکمه به روز رسانی تنظیمات، در انتها کلیک کنید تا تغییرات ایجاد شده ذخیره شود.
8. Currently Locked Out - منطقه ای با لیستی از آدرس های مسدود شده. امکان پاک کردن IP برای افراد مورد اعتمادی که به پنل مدیریت دسترسی ندارند، وجود دارد.

به جای حرف آخر

بنابراین، می‌توانید دسترسی به قسمت مدیریت وردپرس را بدون توجه به انتخاب خودکار یا دستی محدود کنید. افزونه Login LockDown به صورت دوره ای به روز می شود که نشان دهنده سازگاری با نسخه های فعلی CMS است.

وردپرس امروزه محبوب ترین سیستم مدیریت محتوا است. و واضح است که چرا: سهولت استفاده و سفارشی سازی، بسیاری از افزونه ها، رایگان. اما در عین حال توجه زیادی از سوی مجرمان سایبری وجود دارد. وب سایت های Wordptess اغلب مورد هدف حملات قرار می گیرند. دلایل هک یک سایت متفاوت است، به طور دقیق تر، دلیل یکی است - پول، رویکردهای مختلف. یکی از راه های هک یک سایت، از جمله در وردپرس، brute force یا به زبان روسی - روش brute force - این است که آنها سعی می کنند با حدس زدن نام کاربری و رمز عبور به سایت دسترسی پیدا کنند.

همه کاربران وردپرس می دانند که ورود به پنل مدیریت سایت در site.com/wp-login.php یا site.com/wp-admin قرار دارد که به هر حال از آن به اولین پنل منتقل خواهید شد. مهاجمان نیز از آن خبر دارند. بنابراین، اگر در محافظت از پنل مدیریت غیرمسئول باشید، احتمال هک شدن سایت شما به میزان قابل توجهی افزایش می یابد. چگونه می توانید از افرادی که نیازی به ورود به پنل مدیریت ندارند جلوگیری کنید؟

اولین و رایج ترین، اما نه کمتر مهم، انتخاب یک رمز عبور قوی و تغییر ورود استاندارد است.

مورد دوم نصب پلاگین های ویژه برای محافظت از ناحیه مدیریت است.

مورد سوم راه اندازی rcdirects و ویرایش دستی فایل های وردپرس است.

و همچنین، در حال حاضر اکثر خدمات میزبانی، به نوبه خود، از پنل مدیریت محافظت می کنند.

در این مقاله می خواهم در مورد افزونه Login Lockdown صحبت کنم که به محافظت از پنل مدیریت سایت وردپرس شما در برابر حدس زدن رمز عبور کمک می کند.

پلاگین چگونه کار می کند؟ هنگامی که شخصی سعی می کند وارد پنل مدیریت شما شود و داده ها، لاگین یا رمز عبور را به اشتباه وارد کند، تعداد معینی بار در یک بازه زمانی معین - Login LockDown آدرس IP را که تلاش برای دسترسی به آن برای مدت معینی انجام شده است مسدود می کند. .

در حال نصب افزونه

می توانید افزونه را از طریق مدیر داخلی وردپرس نصب کنید. برای انجام این کار، در کنترل پنل باید به آن بروید Plugins-> Add New.

نام افزونه را در قسمت جستجو وارد کنید.

در نتایج جستجو، یک افزونه را انتخاب کنید و روی نصب کلیک کنید.

پس از نصب Login LockDown، باید بلافاصله آن را فعال کنید.

اکنون می توانید به پیکربندی افزونه ادامه دهید.

قابل اعتماد و متخصص تنظیمات-> Login LockDown

افزونه تنظیمات زیادی ندارد. اجازه دهید به طور خلاصه به آنها بپردازیم.

• حداکثر تلاش مجدد برای ورود به سیستم- حداکثر تعداد تلاش پیش فرض 3 است، به این معنی که پس از سه بار تلاش ناموفق برای احراز هویت، دسترسی از این IP مسدود می شود.
• تلاش مجدد محدودیت دوره زمانی (دقیقه)- مدت زمانی بر حسب دقیقه که تلاش های ناموفق برای ورود شمارش می شود. به طور پیش فرض 5 است. یعنی اگر در عرض پنج دقیقه 3 بار رمز عبور اشتباه وارد شود، مسدود شدن اتفاق می افتد.
• مدت زمان قفل کردن (دقیقه)- مدت زمانی که IP مشکوک مسدود شده است. پیش فرض 60 دقیقه است.
• Lockout نام کاربری نامعتبر است؟- آیا باید ورود اشتباه را بشمارم؟ به طور پیش فرض غیرفعال است. اگر عملکرد غیرفعال باشد، افزونه ورودی ورود نادرست را محاسبه نخواهد کرد. یعنی از نظر تئوری، اگر مهاجم رمز عبور را از پنل مدیریت بداند، می‌تواند هر چند بار که بخواهد ورود را به صورت brute-force انجام دهد.
• خطاهای ورود ماسک؟- خطاهای ورود را بپوشانید؟ به طور پیش فرض غیرفعال است. اگر عملکرد غیرفعال باشد، پس از وارد کردن داده های نادرست، پیامی ظاهر می شود که به شما اطلاع می دهد دقیقاً چه چیزی اشتباه وارد شده است - ورود یا رمز عبور.

هنگامی که این تابع فعال است، پیام دقیقاً محل خطا را مشخص نمی کند.

• پیوند اعتبار نشان داده شود؟- نمایش پیوند به Login LockDown. شما می توانید انتخاب کنید که پیوندی به سایت افزونه نشان داده شود، پیوندی اما با برچسب nofollow نشان داده شود یا پیوندی نشان داده نشود.
• در حال حاضر قفل شده است- لیست IP های مسدود شده و زمان تا رفع انسداد همچنین می توانید IP را در اینجا رفع انسداد کنید.

Login LockDown به این معناست. پس از تغییر تنظیمات، آنها را ذخیره کنید و اکنون وبلاگ شما کمی امن تر خواهد شد.