حمله رباط ها یا مشکل افزونه Limit Login Attempts

[سیدرضا بازیار 257]

من افزونه Limit Login Attempts رو روی سایتم نصب کردم و صفحه آدمین رو قفل کردم. اما حالا وارد پنل که شدم متوجه شدم بیش از 100 آی پی به دلیل وارد کردن رمز اشتباه, مسدود شدن

http://wpu.ir/sr7mq

مشکل این افزونه چیه؟

[استاد اعظم 900]

احتمالا رباط هستند ، اگر آدرس صفحه ورود wp-login.php را عوض کنید تا صفحه مخفی بشه تعداد آی پی های بلاک شده به صفر میرسه

[سیدرضا بازیار 257]

اما من wp-admin رو قفل کردم

wp-login رو هم قفل کنم یا انتقال بدم؟

[استاد اعظم 900]

احتیاجی به قفل کردن نیست ، باید آدرسش را تغییر بدید ، این لینک را دنبال کنید : جلسه سوم امنیت وردپرس

[سیدرضا بازیار 257]

من تا اونجا که اطلاع دارم کار wp-admin و wp-login یکیه

پس قفل کردن wp-admin بخ تنهایی فایده نداره

چرا این همه تاکید دارن که wp-admin قفل بشه در حالی که wp-login در دسترس قرار داره؟

[One 77]

دوست عزیز wp-login صفحه ورود به سایت است و wp-admin صفحه مدیریت سایت

[سیدرضا بازیار 257]

اما مدیر سایت از طریق صفحه wp-login هم میتونه وارد سایت بشه

[Black_Sky 6349]

ببینید اگر شخصی هستید که ثبت نام و... ندارید

میتونید سطح دسترسی اون به کمترین حالت ممکنه و حتی 0 قرار بدید

wp-admin هم میتونید قفل کنید

در ضمن کافیه یک شرط ساده هم قرار بدید حالا با کپچا و یا سوال که خودتون قرار داده باشید

اینطوری میتونید جلوی این مسایل بگیرید

[One 77]

مدیر هم میتونه از wp-login وارد بشه کاملا درسته اما کاربران نیز باید از این قسمت وارد سایت بشوند و فقط کسانی به wp-admin دسترسی دارند که یوزر و رمزی را که قرار دادید داشته باشند

[سیدرضا بازیار 257]

مدیر هم میتونه از wp-login وارد بشه کاملا درسته اما کاربران نیز باید از این قسمت وارد سایت بشوند و فقط کسانی به wp-admin دسترسی دارند که یوزر و رمزی را که قرار دادید داشته باشند

اگه wp-admin قفل بشه و wp-login باز باشه, مثل این میمونه که هیچ کاری رو نکرده باشیم

چون هکر به هر حال با یکی از این رو راه وارد میشه

پس نتیجه میگیریم قفل کردن wp-admin بیهوده بوده!!!

پس حالا من میخوام wp-admin رو مثلا به admin تغییر بدم و سپس اون رو قفل کنم

wp-login رو هم به login تغییر بدم

سپس توی هر دو کد کپچا بزارم و تعداد ورود رو روی 3 بار بزارم. (اگه کاربر 3 بار پسورد رو اشتباه بزنه, نیم ساعت مسدود بشه)

اگه ممکنه لینک آموزش تغییر این دو پوشه رو به صورت دستی برام بزارید

تغییر مسیر این دو فایل مشکلی ایجاد نمیکنه؟

[استاد اعظم 900]

شما لطف کنید از این نتیجه گیری ها نکنید و به صحبت اساتید دقت کنید تا متوجه بشید

[Black_Sky 6349]

ببینید شما اگر هر تغییری هم بدید با روزرسانی بعدی وردپرس به حالت اول برمیگرده و چون وردپرس اتوماتیک آپدیت میکنه احتمال اینکه اصلا متوجه نشید هم بسیار هست

درضمن بهترین پست بخوانید و بعد تصمیم بگیرید

[سیدرضا بازیار 257]

دوست دارم از تجربه شما استفاده کنم

من wp-admin رو قفل کردم و توی اون کپچا گذاشتم و دفعات ورود رو هم محدود کردم

حالا بهترین کاری که میتونم با wp-login کنم چیه؟

[استاد اعظم 900]

اینه که آدرسش را تغیبیر بدین ، مثلا کاربر بجای وارد کردن site.com/wp-login.php یه آدرس دیگه ای را وارد کنه و طوری تنظیم بشه وقتی site.com/wp-admin وارد شد کاربر به صفحه ورود ریدایرکت نشه

[سیدرضا بازیار 257]

ببینید شما اگر هر تغییری هم بدید با روزرسانی بعدی وردپرس به حالت اول برمیگرده و چون وردپرس اتوماتیک آپدیت میکنه احتمال اینکه اصلا متوجه نشید هم بسیار هست

اینه که آدرسش را تغیبیر بدین ، مثلا کاربر بجای وارد کردن site.com/wp-login.php یه آدرس دیگه ای را وارد کنه و طوری تنظیم بشه وقتی site.com/wp-admin وارد شد کاربر به صفحه ورود ریدایرکت نشه

پس تغییر آدرس wp-login در آپدیت از بین میره...

من وری پوشه wp-admin پسورد گذاشتم. چطوری میتونم اون رو ریدایرکت کنم؟

[استاد اعظم 900]

کاری که شما باید بکنید بعد از هر آپدیت دوباره آدرس اون را تغییر بدین ، امنیت همینه دیگه همین جور علکی نیست که !

برای تغییرش باید یک تابع را در فایل general-template.php درون پوشه wp-include مورد ویرایش قرار بدید که بهتره قسمت سوم آموزش امنیت وردپرس را ملاحظه کنید تا متوجه شوید : ارتقا امنیت وردپرس