حمله به سایت با ای پی های مختلف با کلمه admin

hz361 · جون 3, 2020, 9:57ق.ظ

سلام از دیروز تا الان حداقل ساعتی ده با با ip های مختلف با کلمه admin می خوان وارد سایتم بشن که توسط افزونه iThemes این خطا ایمیل می شه ممنون می شم اگر کسی از دوستان در این مورد اطلاعاتی داره راهنمایی کنه؟
(اینم اضافه کنم نام کاربری مدیریت من admin نیست فقط یک شناسه با این نام ساختم با دسترسی مشترک که یک رمز 40 رقمی بهش دادم )

خطا که توسط افزونه iThemes ایمیل می شه

888889

Meysam_Kiani · جون 3, 2020, 10:53ق.ظ

سلام، دوستان دیگر تجربه بسیار زیادتری از بنده دارن مثل @Hosein و @Angel و @arta و سایرین
ولی خدمتتون عرض کنم وقتی شما نام کاربری یک سایت رو بتونید به دست بیارید حتی اگه تمام افزونه های امنیتی ، نصب تمام پروتکل امنیتی و … رو هم انجام بدید بالا 60 درصد کار رو برای هکرا راحت کردید.
چون هک یک رمز بسته به سخت افزار یک هکر داره هستند سیستم هایی که یک پسورد 256 کارکتری رو در عرض نیم ساعت کرک میکنن و بعضی از سیستم ها هم هستند پسورد 1234 رو سه روز زمان میبره که کرکش کنن.
الان شاید خوشحال باشید که سیستم امنیتی شما کاربران رو مسدود کرده ولی اگه قصد هک کردن سایت شما رو داشته باشن خیلی سریع با نرم افزارهایی که میتونه در ثانیه ای پی کاربران رو عوض کنه اقدام به هک شما کنند. این افرادی هم که دیدید اومدن یا قصد تست امنیتی سایت رو داشتن یا افراد مبتدی بودن.
تصمیم گیرنده نهایی شما هستید بنده باشم هیچ وقت کلمه admin رو داخل دیتابیسم قرار نمیدم چون ریسک بسیار بالایی داره حتی اگه پسورد 40 کارکتری هم براش بزارید.

Angel · جون 3, 2020, 10:58ق.ظ

سلام ، حرف های میثم کاملا درسته ، از سمتی یک چیز رو اضافه کنم که لینک ورود به مدیریت رو کامل عوض کن و ترجیحا از ورود دومرحله ای هم استفاده کن تا درگیری برای این مسائل نداشته باشی

mohammad · جون 3, 2020, 12:19ب.ظ

سلام
این موارد تو رودپرس به شدت زیاد هست ، تا الان شاید مشاهده نکردید بخاطر عدم وجود اینجور پلاگین ها هست ، روزانه رو خیلی از سایت ها این اتفاقات میفته.

موارد زیر رو انجام بدید
1 - admin رو کامل تغییر بدید ، بزارید مثلا (modir) ( بهتره از لغات انگلیسی استفاده نکنید )
2- یه کپچا هم اضافه کنید به فرم لاگین
3- به گفته ندا جان هم لینک ورود رو کامل تغییر بدید.

موفق باشید

hz361 · جون 3, 2020, 2:22ب.ظ

سلام ممنون از نظری که دادید من کلمه admin فقط به این خاطر دادم که کاربر معمولی نتونه به همین اسم ثبت نام کنه - نهایت کسی هم بتونه با این نام کاربری هم وارد سایت بشه به عنوان یک مشتری وارد شده و هیچ گونه دسترسی به سایت نداره - من بیشتر تعجب می کنم واقعا کسی می خواد وارد سایتم به این عنوان بشه ؟
صبح تا الان با ای پی های مختلف بیشتر از 40 بار خطا امده سیستم کپچا و دومرحله ای همه اینها رعایت کردم حتی کسی هم بخواد با admin وارد بشه سریع سایت قفل می کنه من بیشتر از این می ترسم سایت های رقیب بخوان این کارها را بکنند - و در آخر شما با این توضیحاتی که دادم پیشنهاد می کنید کلمه ادمین از نام کاربری که دسترسی زیادی نداره حذف کنم ؟
باتشکر از وقتی که گذاشتید

honarvar · جون 3, 2020, 3:59ب.ظ

سلام

من بیشتر تعجب می کنم واقعا کسی می خواد وارد سایتم به این عنوان بشه ؟

اصلا تعجب نکنید، بعضی کشور ها مسابقاتی برگذار میشه و به کسانی که تعداد سایت بیشتری هک کنن پاداش داده میشه و کلی قوانین دیگه که دارن …

فقط عوض کردن آدرس ورود یا رمز قوی کافی نیست و چندین روش باید صورت بگیره تا بشه 99% امنیت یک سایت رو تامین کرد.
شما با انجام اون کارها فقط کار هکر رو سخت تر میکنید.
اگه خیلی براتون مهم هست بهتر هست سایتتون رو بدید دست یک امنیت کار تا ابتدا باگ یابی کنه و ببینه اگه پلاگین هاتون مشکل امنیتی دارن، ابتدا اونارو برطرف کنن، رمز ها رو دیکد کنن، با اضافه کردن چندین دستور به فایل های اجرایی سایتتون جلوی هک شدن از روش بک دور رو بگیره (برخی سایتای بزرگ ایران با این روش هک شدن) و …
اینطوری میتونید یک سایت خیلی قوی داشته باشید و خیالتون تا حد زیادی راحت باشه

es010 · جون 3, 2020, 7:24ب.ظ

سلام دوست عزیز

خیلی از درخواست ها توسط xml-rpc انجام میشه، اگر بهش نیاز ندارید، میتونید غیرفعال کنید.

البته که نام کاربری ادمین اصلا مناسب نیست و پیشنهاد میدم تغییرش بدید!

اگر میخواهید کاربرانتون نتونن با این نام کاربری ثبت نام کنند، ساده ترین کار اینه که یک کاربر با نام کاربری admin و حداقل دسترسی و گذرواژه قوی بسازید تا کسی نتونه مجدد با این نام کاربری ثبت نام کنه.

موفق باشید

honarvar · جون 3, 2020, 7:36ب.ظ

دوستان لطفا دقت کنید، ایشون نام کاربری admin رو برای کاربر مشترک باز کردن تا کسی نتونه ازش استفاده کنه.

@hz361 دوست خوبم یک افزونه برات معرفی می کنم که محدودیت تعریف می کنه برای کاربر در تعداد دفعات ورود. (آموزش فارسی رو هم لینکشو قرار میدم)

صفحه افزونه
https://wordpress.org/plugins/limit-login-attempts-reloaded/

صفحه آموزش فارسی
https://ledamin.com/limit-login-attempts-reloaded/

قبلا با این آموزش و افزونه روی یک سایت به خوبی تست کردیم و جواب داده

hz361 · جون 3, 2020, 7:44ب.ظ

ممنون از وقتی که گذاشتید و راهنمایی جهت این گزینه xml-rpc

در مورد دسترسی admin طبق توضیحاتی که دادم دقیقا همین کارو کردم سطع دسترسیشو با یک نام کاربری ساده انتخاب کردم .

hz361 · جون 3, 2020, 7:48ب.ظ

ممنون ولی من از افزونه iThemes جهت امنیت استفاده می کنم الانم یک گزینه به نام admin داره به محض اینکه کسی با این نام بخواد وارد سایت بشه به صورت خودکار از دسترس خارجش می کنه
به نظرتون با این افزونه iThemes که روی سایتم نصبه لازمه این افزونه های که شما معرفی کردی نصب کنم ؟

honarvar · جون 4, 2020, 5:36ق.ظ

عمکرد این افزونه متفاوته
مثلا تنظیم می کنید هر کس بیش از 3 بار رمز رو اشتباه زد، تا نیم ساعت نتونه لاگین بشه حتی اگه رمز درست رو دفعه چهارم بزنه

filevatan · جون 4, 2020, 6:04ق.ظ

سلام

من خیلی وقته تمام قسمت های لاگین و ثبت نام و حتی ارسال دیدگاه رو کپچا گوگل گذاشتم. آدرس پیشخوان رو هم خیلی سخت کردم.
اما هر روز یک پیام از iThemes pro میاد گزارش 24 ساعت گذشته ، همیشه هم نوشته آی پی های مسدود شده سعی کردند با نام کاربری admin وارد بشن. چطوری ممکنه؟ آدرس پیشخوان رو پیدا کردن و کپچا رو هم دور میزنن؟

matlabi.ir · جون 5, 2020, 12:59ب.ظ

برای من هم همین اتفاق میفته. جدی نگیرید.
وقتی احراز هویت دوعامل دارید و ریکپچا گوگل و آدرس ورود رو تغییر دادین دیگه نگران نباشید.
افزونه آیتمز واقعا عالیه. به فکر افزونه دیگری نباشید که سایتتونو الکی سنگین می کنید.
افزونه ها و قالب آپدیت باشه و این افزونه رو درست کانفیگ کرده باشید. کافیه.
اس اس ال هم تاثیر داره

Meysam_Kiani · جون 5, 2020, 3:50ب.ظ

سلام دوست عزیز وقتتون بخیر؛
به نظر من بهتره سیستم ثبت نام رو روی حالت پیشفرض قرار بدید یعنی ایمیل طرف بشه نام کاربریش و اتوماتیک براش یک رمز درست بشه.
تیکه همه می‌توانند ثبت نام کنند رو داخل پیشخوان بخش تنظیمات غیرفعال کنید.
سعی کنید تمام کاربران رو اگه ووکامرس دارید به صفحه ثبت نام ووکامرس ببرید اگرهم ندارید که می‌تونید از افزونه ثبت نام استفاده کنید که مسیرش دست شماست.
اخرین پیشنهاد من به شما اینکه روی پوشه wp admin هم پسورد بزارید رمزش رو هم خیلی پیچیده درنظر بگیرید و توی فواصل زمانی مثلا ماهانه رمز و پسورد رو تغییر بدید. اگرم خواستید مسیر ورود رو تغییر بدید اون بخش رو هم ماهانه عوض کنید.
توی پروفیل سایت هم معمولا اسم و نام‌کاربری رو میزنه بهتره اون بخش رو هم غیرفعال کنید.
شاید یکم پیچیده یا خسته کننده باشه ولی شاید تا ۷۰ درصد امینت سایتتون دست خودتون هستش و پیشنهاد آخرم اینکه اگه از نرم افزار امنیتی استفاده میکنید کلا سمت نسخه رایگان نرید اگرم میخوایید نسخه اصلی رو نصب کنید از مرجع خارجیش دانلود کنید و استفاده کنید. اگه نسخه کرک(نال) شده رو دارید نبودنش بهتر از بودنشه.

hz361 · جون 11, 2020, 11:41ب.ظ

از تمام کسانی که در این بخش کمک کردن و پاسخ های درستی هم دادند تشکر می کنم من برای این مشکل که خوشبختانه برطرف شد شاید کسای دیگه این مشکل را داشتند بتونه کمک کنه از افزونه All In One WP Security & Firewall استفاده کردم
و برای اموزشهاشم از سایت اسرار وردپرس تشکر می کنم که در سایت و پیج اینستا گرامی آموزشهاشم به صورت کامل هست
باتشکر از سون هاست