WordPress saytingizni har xil hujumlardan qanday himoya qilish kerak

Brute-force hujumlari WordPress foydalanuvchilari uchun haqiqiy va juda dahshatli xavf tug’diradi. Ushbu hujumlar turli xil qo’pol kuch usullariga tayanadi. Agar kimdir sizning foydalanuvchi nomingiz va parolingizni aniqlay olsa, saytingiz buzilgan bo’lishi mumkin yoki uning barcha tarkibi darhol o’chiriladi. Agar siz ham elektron pochtangizga kirish huquqini yo’qotib qo’ysangiz, veb-saytingizni tiklash uchun o’z hisobingizga qaytolmaysiz.
Saytingizni blokirovka qilish va uni potentsial hujumlarga nisbatan ko’proq chidamli qilishning bir necha yo’li mavjud.

Hisobingizga kirish huquqini yo’qotguncha kutishdan ko’ra, hozir xavfsizlik choralarini ko’rish yaxshiroqdir. To’g’ri taktika yordamida muvaffaqiyatli qo’pol hujumlar to’xtatilishi yoki aksariyat urinishlarning oldi olinishi mumkin.

Qo’rqinchli hujum nima?

Birovning akkauntini buzish uchun ko’plab usullar mavjud: veb-saytdagi zaiflikni topish, kimdir parolidan voz kechish uchun aldash yoki kompyuterga keylogger o’rnatish va ma’lumotlarni o’g’irlash. Muammo shundaki, bu harakatlarning barchasi qimmat.

Buning o’rniga, tajovuzkorlar odatda ancha sodda usulga murojaat qilishadi: taxmin qilish. Va u qanchalik samarali bo’lishi mumkinligiga hayron qolasiz; ko’p odamlar taxmin qilish juda oson bo’lgan foydalanuvchi nomlari va parollariga ega.

WordPress saytingizni qo'pol hujumlardan qanday himoya qilish kerak


Taxmin qilish zerikarli jarayon, shuning uchun tajovuzkorlar odatda bir soniyada yuzlab kombinatsiyalarni taxmin qila oladigan avtomatlashtirilgan dasturlardan foydalanadilar. Ushbu dasturlar umumiy parollar ro’yxati orqali ishga tushiriladi. Agar urinish muvaffaqiyatsiz tugasa, ular to’g’ri echim topmaguncha, so’zlar, harflar va belgilarning tasodifiy birikmalariga o’tadilar yoki murojaat qilishadi. Zaif parolni 29 millisekunddan ozroq vaqt ichida sindirish mumkin .

Shafqatsiz kuch hujumlari va parolni o’g’irlashning boshqa shakllari o’rtasidagi muhim farq shundaki, ular josuslarga qarshi dastur, ijtimoiy muhandislik yoki saytingizdagi zaifliklarni manipulyatsiya qilishni o’z ichiga olmaydi. Qo’lda yoki dastur yordamida ular foydalanuvchi nomlari va parollarini buzib bo’lguncha kuch ishlatishga harakat qilishadi.

WordPressni himoyasiz qiladigan narsa nima?

WordPress barcha veb-saytlarning 37,6% tomonidan quvvatlanadi . Bu ko’p jihatdan foydali narsa – faol jamoatchilik uni eng qulay CMS-ga aylantiradi. Afsuski, bu uning hamma joyda tarqalishidan foydalanishni istagan tajovuzkorlarga taqdim etadi.

WordPress-dagi xavfsizlik zaifliklari universaldir – ular ishlaydigan barcha veb-saytlarga tegishli. Tizimdagi bitta mayda teshik millionlab odamlarga ta’sir qilishi mumkin. Faqat tajovuzkorlar foydalanuvchi nomi va parolni taxmin qilishlari kerak, va ular barcha tarkibga kirish huquqiga ega.

Odatiy bo’lib, WordPress bir nechta xavfsizlik nuqsonlariga ega:

  • Administratorning kirish ekrani har doim bir joyda bo’ladi.
  • Eski WordPress o’rnatmalarida standart «admin» foydalanuvchi nomi ishlatilgan, ya’ni xakerlar faqat sizning parolingizni taxmin qilishlari kerak edi.
  • Har kim istaganicha kirishga urinishi mumkin.
  • Agar sizning hisobingizga yangi IP-manzildan kimdir kirsa, siz xabarnoma olmaysiz va buning uchun kod talab qilinmaydi.
  • Bir nechta administrator foydalanuvchilari sizning orqa qismingizni buzish va narsalarni buzish uchun bir nechta potentsial usullarni anglatadi.
  • WordPress sukut bo’yicha xavfsizlik devori bilan ta’minlanmaydi. Ko’pchilik bunga muhtojligini hatto bilmaydi.

Siz qilishingiz kerak bo’lgan narsa – siz WordPress-dan foydalanayotganligingizni aniqlash (bu ahamiyatsiz emas: WordPress-ni belgilaydigan sayt mavjud ) va siz ushbu zaifliklarning har qanday qurboni bo’lishingiz mumkin.

WordPress saytingizni qo’pol hujumlardan himoya qilish

WordPress-dan foydalanish sizga xakerlar tomonidan qo’shimcha tekshiruv o’tkazishi mumkin, ammo siz butunlay himoyasiz emassiz. Platformada sizni himoya qilish uchun ba’zi xavfsizlik choralari mavjud. Bir nechta qo’shimcha qadamlarni bajaring, shunda siz ushbu hujumlarning asosiy qismini engib o’tasiz.

Biror kishining sizning hisobingizga kirishga qaror qilishiga to’sqinlik qilish qiyin, chunki ular bu hiyla-nayranglarning barchasini allaqachon bilishadi. Ular chiqish yo’lini topmasliklariga kafolat yo’q. Ammo biror narsa qilish hech narsa qilmaslikdan yaxshiroqdir va ko’pchilik xakerlar har qanday muhim to’siqqa duch kelganda voz kechishadi.

1. Kuchli foydalanuvchi nomi va paroldan foydalaning

Hacklarning 81% o’g’irlangan yoki zaif parollardan foydalanadi. Ular eng keng tarqalgan hisobga olish ma’lumotlarini sinab ko’rishadi va osonroq maqsadga o’tishadi.

Kuchli foydalanuvchi nomi va parol ko’plab hujumlarni to’xtatadi. Ularni tanlash uchun bir nechta maslahatlar:

  • Uzunligi kamida 6 ta belgidan iborat bo’lib, ideal holda 15 dan oshadi, shuncha uzunroq bo’ladi.
  • Katta va kichik harflar, raqamlar va belgilar aralashmasidan foydalaning.
  • Bir nechta veb-saytlarda bir xil parolni ishlatmang – agar ulardan biri buzib tashlansa, ikkinchisi ham o’z taqdiriga duch kelishi mumkin.
  • «Parol», «abc123», «qwerty» yoki oddiy so’zlar kabi oddiy parollardan saqlaning. «User», «username» yoki «admin» kabi foydalanuvchi nomlaridan saqlaning.
  • Ismingiz, manzilingiz va hatto chorva molingizning ismi kabi shaxsiy ma’lumotlarni kiritmang. Bu tajovuzkorlarning sinab ko’rishi mumkin bo’lgan birinchi narsa bo’ladi.
  • Gibberish parollarini eslash qiyin, ammo xavfsiz. Kuzatish uchun parol menejeridan foydalanishga harakat qiling.

Parolingizni o’zgartirish uchun Foydalanuvchilar> Profilingiz sahifasiga o’ting . Pastga o’ting va Parol yaratish- ni bosing . Siz saqlashingiz yoki yangisini kiritishingiz va keyin Profilni yangilash tugmachasini bosishingiz mumkin .

WordPress saytingizni qo'pol hujumlardan qanday himoya qilish kerak


Afsuski, standart foydalanuvchi nomingizni o’zgartirish mumkin emas. Agar xavfsizroq bo’lishini istasangiz, foydalanuvchi nomini o’zgartiruvchi plaginini sinab ko’rishingiz   yoki yangi administrator yaratishingiz va eskisini o’chirishingiz mumkin. Shuningdek, phpMyAdmin yordamida to’g’ridan-to’g’ri ma’lumotlar bazasida nomni o’zgartirishingiz mumkin.

2. Boshqa foydalanuvchilarning xavfsiz qayd yozuvlari

Sizning administrator hisob qaydnomangiz blokirovka qilish uchun juda muhim bo’lsa-da, bu yagona kirish emas. Agar tahrirlash huquqiga ega bo’lgan boshqa foydalanuvchi buzilgan bo’lsa, saytingiz o’chirilishi yoki buzilishi mumkin.

Foydalanuvchilarning biron bir parolini tekshirishning iloji yo’q, chunki WordPress ularni shifrlaydi. Ammo ularni xavfsizligini ta’minlash uchun ularni o’zingiz o’zgartirishingiz mumkin.

Faqat foydalanuvchilar> barcha foydalanuvchilar bo’limiga o’ting   va o’zgartirmoqchi bo’lgan qayd yozuvini toping. Parol yaratish uchun pastga o’ting  . O’zingiz kiring yoki WordPress yaratadigan tasodifiy foydalaning. Foydalanuvchiga ularning eski hisobga olish ma’lumotlari ishlamasligi to’g’risida ishonch hosil qiling.

Shunga qaramay, foydalanuvchi nomini o’zgartirish ma’lumotlar bazasini yoki plaginini tahrir qilmasdan mumkin emas. Agar siz ushbu usullarsiz uni o’zgartirmoqchi bo’lsangiz, yangi foydalanuvchi hisobini yarating va eskisini o’chirib tashlang. Uning maqolalarini yangi hisobingizga o’tkazganingizga ishonch hosil qiling.

WordPress saytingizni qo'pol hujumlardan qanday himoya qilish kerak

Shuningdek qarang:

WordPress biznes veb-saytingizni qanday xavfsiz saqlash kerak .

3. Xavfsizlik devorini o’rnating

Xavfsizlik devori bo’lmagan har qanday sayt nafaqat qo’pol hujumlarga, balki sizning xavfsizligingizdagi teshiklardan foydalanadigan boshqa xakerlik hujumlariga ham qarshi turadi.

Xavfsizlik devori o’z-o’zidan qo’pollik bilan qilingan hujumlarni to’liq to’xtata olmaydi, ammo zararli trafikni aniqlay oladi va shuningdek shubhali IP-manzillarni blokirovka qilish vositalarini taqdim etadi. Boshqa foydali funktsiyalar orasida kuchli parollar, CAPTCHA-lar qo’shilishi va odatda xakerlik hodisalarida qatnashadigan mamlakatlar uchun geo-blokirovka bo’lishi mumkin.

Shuningdek, u shubhali faoliyat bilan bog’liqligi ma’lum bo’lgan IP-manzillarning qora ro’yxatiga ega bo’lishi mumkin. Veb-xavfsizlik devori dasturini o’rnatish hujumlar soniga katta ta’sir ko’rsatishi mumkin.

WordPress saytingizni qo'pol hujumlardan qanday himoya qilish kerak

Wordfence xavfsizlik devori bilan ta’minlangan va qo’pol kuch hujumlaridan himoya qila oladigan taniqli xavfsizlik plaginidir .Sucuri – bu yana bir ajoyib variant, garchi uning xavfsizlik devori bepul emas.All In One WP Security & Firewall / 100% bepul va qo’pol himoya qilish va boshqa ko’plab xususiyatlarga ega.

4. Ikki faktorli autentifikatsiyani yoqing (2FA)

Kuchli parol sizning eng yaxshi himoya vositangiz bo’lsa va xavfsizlik devori xavfsizlikning eng yaxshi vositasi bo’lsa-da, ikki faktorli autentifikatsiyani amalga oshirish hisobni yo’qotishdan himoya qilishning navbatdagi muhim bosqichidir.

2FA tizimga kirish uchun qo’shimcha qadam qo’shiladi. Bitta variant: faqat xavfsizlik masalasida savol beradi. Bu yordam berishi mumkin bo’lsa-da, eng yaxshi echim kodni elektron pochta yoki telefoningizga yuborishdir. Kodsiz hech kim kira olmaydi.

WordPress saytingizni qo'pol hujumlardan qanday himoya qilish kerak


Boshqa qurilmadan, masalan, telefondan foydalanish qattiq majburlashning oldini olishning eng yaxshi usuli hisoblanadi. Sizga yuborilgan kodni oling va agar sizning telefoningizda zararli dastur mavjud bo’lmasa yoki kimdir sizning telefoningizni jismonan egallamagan bo’lsa, sizning hisob qaydnomangiz juda xavfsizdir.

Ammo, boshqa har qanday himoya qilish usuli kabi, bu 100% ishonchli emas. Ba’zida 2FA orqali o’tish uchun serverni boshqarish usullari mavjud va siz har doim ijtimoiy muhandislik qurboniga aylanib qolishingiz mumkin.

Har safar tizimga kirganingizda elektron pochtangizni ochishingiz yoki telefoningizga qarashingiz bezovtalanishi mumkin. Ammo foydasi bu engil noqulaylikdan ustunroq.

Boshqa xavfsizlik xususiyatlari qatori, Wordfence plaginida ikki faktorli autentifikatsiya mavjud. Agar siz biroz ko’proq diqqatni jalb qilmoqchi bo’lsangiz , mashhur 2FA yoki Two-Factor ilovasi bilan ishlaydigan Google Authenticator-ni sinab ko’ring .

5. Kirish urinishlarini cheklash

Shafqatsiz hujumlar o’nlab, hatto yuzlab foydalanuvchi nomlari va parol birikmalarini iloji boricha tezroq sinab ko’rish qobiliyatiga tayanadi. Toza WordPress o’rnatishda buni to’xtatadigan yagona narsa – bu sizning serveringiz hajmi.

Kirish urinishlarini cheklash orqali ketma-ket bir necha marta noto’g’ri parol ishlatgan har kim bloklanadi. Agar tajovuzkorlar bir necha bor urinib ko’rsalar, to’g’ri taxmin qilish ehtimoli juda kichik.

WordPress saytingizni qo'pol hujumlardan qanday himoya qilish kerak


Kamchilik: Agar o’zingizning parolingizni unutgan bo’lsangiz, u sizni tishlaydi va bu qonuniy foydalanuvchilarni bezovta qiladi. Muayyan IP-dan shubhali xatti-harakatni sezganingizda, har doim kamroq blokirovka qilish va xavfsizlikni kuchaytirish bilan kamroq qattiq sozlamalarga ega bo’lishingiz mumkin.Kirish urinishlarini qayta yuklash  va  WP-ni cheklash bilan kirish urinishlari o’z vazifalarini yaxshi bajaradi. Ushbu plaginlar ishonchli emas. Agar xakerlar VPN-dan foydalanayotgan bo’lsa, ularning IP-manzillarini qayta o’rnatayotgan bo’lsa yoki bir nechta IP-manzillar bilan hujum qiladigan dasturdan foydalansa, uni osongina chetlab o’tishlari mumkin. Shuning uchun xavfsizlikning bir necha qatlamlarini qo’shish muhimdir.

6. Kirish sahifasini yashirish

WordPress bilan bog’liq katta muammo shundaki, kirish sahifasini topish va parolni buzish skriptini bajarishni boshlash juda oson. Faqat kiritish  / Kirish, / administratorlarni  yoki  /wp-login.php  har qanday WordPress sayt URL va tezkor bir kirish olasiz.

Joylashuvning o’zgarishi barchani alday olmaydi, chunki uni aniqlashning boshqa usullari mavjud, ammo u bir nechta hujumlarni to’xtatishi yoki kechiktirishi mumkin.WPS Hide Login sizga kirish sahifasining URL manzilini shunchaki o’zgartirishga imkon beradi. Hech kim odatdagi kirish sahifalariga kira olmaydi. Vaqtinchalik echimlar mavjud bo’lganda, kirish sahifasini o’zgartirish ko’pgina xakerlik urinishlariga chek qo’yadi.

7. WordPress-ni yangilang

2018 yilda WordPress xakerlarining 44 foizi eskirgan dasturiy ta’minotdan foydalanishda yuz berdi. Brute-force hujumlari odatda bunday zaifliklardan foydalanmaydi, ammo WordPress-ni yangilab turish qanchalik muhimligini eslatib o’tish kerak.  Hozir asboblar paneli> Yangilanishlar-ga o’ting va WordPress-ning so’nggi versiyasidan foydalanganingizga ishonch hosil qiling.

WordPress saytingizni qo'pol hujumlardan qanday himoya qilish kerak


Shuningdek, saytingizning zaxira nusxasini qo’lda yoki UpdraftPlus singari plagin yordamida ishlatishingiz  kerak . Agar kimdir tizimga kira olsa, u maqolalar va sahifalarni o’chirib tashlashi, keraksiz rasmlar va matnlarni kiritish orqali o’zgartirishlari yoki hatto zararli kodlarni mavzuingizga kiritishi mumkin.

Zaxira nusxasi bilan siz shunchaki tugmani bosib, hamma narsani normal holatga qaytarishingiz mumkin. Bunday nusxasiz barcha saytni qo’lda ko’rib chiqishingiz va ular buzishi mumkin bo’lgan narsalarni tuzatishingiz kerak bo’ladi. O’chirilgan narsa abadiy yo’qoladi.

WordPress-dagi qo’pol hujumlarni to’xtatish

Agar saytingiz buzilgan bo’lsa, tiklash jarayoni bir necha kun yoki haftani talab qilishi mumkin. Hujumchilar maqolalarni o’chirib tashlashlari, foydalanuvchilarni yo’q qilishi, uy sahifangizni buzishi yoki zararli dasturlarni saytingizga kiritishi mumkin, bu juda qiyin. Agar sizning elektron pochtangiz buzilgan bo’lsa, siz hamma narsani yo’qotishingiz mumkin.

Yaxshi parol yaratish bu buzilishning oldini olishning eng yaxshi usuli, ammo tizimga kirishni blokirovka qilish uchun boshqa texnik usullar mavjud. Xavfsizlik plaginini yoki xavfsizlik devorini o’rnatish, ikki faktorli autentifikatsiyani yoqish va kirish urinishlarini cheklash sizga qo’pol kuch hujumidan omon qolish yoki umuman oldini olish uchun eng yaxshi imkoniyatni beradi.

Endi sizning hikoyangizni izohlarda tinglaylik: WordPress saytingiz buzilganmi? Nima bo’ldi va qanday qilib qayta kirishga muvaffaq bo’ldingiz?

Manba: torquemag.io

Behruzbek Hamidov

Blogger,Psixolog,Web-dasturchi,Seo mutaxasis

Fikr bildirish

Email manzilingiz chop etilmaydi. Majburiy bandlar * bilan belgilangan

Next Post

WordPressdagi rasmlarga qanday qilib avtomatik ravishda alt matn qo'shiladi

Sesh Sen 22 , 2020
Agar siz WordPress saytingizning SEO-ni takomillashtirishni va ekran o’quvchilaridan foydalangan holda saytni tashrif buyuruvchilarga yanada qulayroq qilishni istasangiz, tarkibdagi barcha rasmlarga alt matn qo’shishingiz kerak. Biroq, alt matnni qo’shish juda ko’p vaqtni oladi, ayniqsa matnda rasmlar ko’p bo’lganda. Bepul plagin asosida taklif qilingan usul ushbu muntazam harakatlarni unutishni yoki shunchaki o’tkazib […]