با دایرکت ادمین 1.47 از هک وردپرس به روش brute force اسوده باشید!
باسلام
همان طور که میدانید چند روز است که نسخه ی جدید دایرکت ادمین رونمایی شده و ویژگی هایی همچون نمایش وضعیت دسترسی php , cgi , ssl در لیست کاربر و قابلیت محدود سازی ایمیل برای هر اکانت ایمیل از طریق دسترسی کاربری نیز با خود داشت.
یکی از ویژگی هایی دیگر مقاومت در برابر حملات brute force روی فایل wp-login که یک فایل کلیدی در وردپرس برای لاگین است میباشد.
این ویژگی که به صورت رسمی نیز ارائه شده امکان شناسایی و بستن ای پی هکر را به مدیر سرور میدهد . تنضیمات این سیستم دارای 3 حالت خاموش ، روشن برای کاربران که به صورت دستی تعیین میشوند ، روشن برای همه ی کاربران ، میباشد.
روش کار این سیستم به این صورت است که کلیه ی درخواست های متود post که روی فایل wp-login انجام میشود را بررسی کرده و اگر از طرف یک ای پی تعداد زیادی درخواست انجام شود ای پی شخص بلاک میشود
باید توجه داشت که اگر شما روزانه با یک ای پی زیاد login و logout کنید ممکن است که این سیستم شما شک کند و شما را نیز هکر حساب کند اگر این طور است میتوانید این قابلیت را خاموش کنید و یا روی حالت دستی بگذارید.
علت ان است که درواقع اپاچی توانایی تشخیص لاگین های موفق از ناموفق را نداشته و به همین دلیل مجموع لاگین ها را حساب میکند که امیدواریم برای این مورد نیز تیم دایرکت ادمین فکری بکند!
برای روشن کردن این قابلیت کافی است که به بخش تنظیمات مدیر در دایرکت ادمین رفته و در ان جا بخشی برای تنظیم حملات وردپرس مشاهده خواهید کرد لازم به ذکر است که این بخش تنها در قالب هایی موجود است که از نسخه ی 1.47 پشتیبانی میکنند (برای مثال قالب کپری که در گوگل کد قرار دارد پشتیبانی نمیکند در مورد قالب پولی ان خبر ندارم) درصورتی که از قالب های متفرقه استفاده میکنید ولی تمایل به روشن کردن این سرویس جالب دارید میتوانید به قالب های اصلی دایرکت سوئچ کنید و تغییرات را اعمال کنید و دوباره به قالب مورد نظر خود برگردید
البته 2 راه دیگر نیز وجود دارد یکی تغییر در فایل کانفیگ دایرکت ادمین و دیگری تغییر در پوسته که درصورت نیاز در مورد این دو نیز توضیح خواهم داد
باتشکر از این که از این تاپیک بازدید کردید
به امید موفقیت هرچه بیشتر دوستان
ارادتمد شما
مهدی تمدن
========================================
اپدیت : 18 jun:
با بروز رسانی 1.48.1 دایرکت ادمین مشکل تشخیص لاگین صحیح از بروت فورس حل گردید و این سیستم دقیق تر شد اطلاعات بیشتر در این تاپیک :
http://www.webhostingtalk.ir/showthread.php?t=144088
پاسخ با نقل قول