דף הבית » סקירת תוספים

תוספים: להגביל ניסיונות התחברות

29 ביולי 2012 | מאת רמי | 11 תגובות | תגיות: , , , ,

לוורדפרס יש מערכת ניהול משתמשים מתקדמת מאוד אך ניתן לשדרג אותה עוד קצת. היום נציג תוסף המוסיף שכבת הגנה נוספת על מערכת רישום המשתמשים של וורדפרס על ידי הגבלת מספר ניסיונות ההתחברות למערכת.

אבטחת וורדפרס

אבטחת וורדפרס

הבעיה

הפופולאריות של וורדפרס ונתח השוק שלה הפך אותה למטרה נוחה לאקרים המנסים לאתר אתרים לא מאובטחים על מנת להשתלט עליהם. אחת השיטות הפשוטות ביותר היא ניחוש סיסמאות של משתמשים רשומים. הפעולה מתבצעת על ידי הפעלת בוט/סקריפט המזין סיסמאות מתוך מאגר של מיליוני שילובים אפשריים או מתוך מאגרים של סיסמאות פופולאריות מתוך אתרים שנפרצו בעבר.

הפתרון

מחקרים מראים שקשה לשנות הרגלים של אנשים. חינוך המשתמשים לשימוש בסיסמאות חזקות סופו להיכשל כי אנשים לא זוכרים סיסמאות מורכבות. אם כך, הפתרון המתבקש הוא פתרון טכנולוגי. והדרך היעילה ביותר לעשות זאת היא לחסום את הבוטים או להקשות על עבודתם. הדרך האפקטיביות ביותר לעשות זאת היא הגבלת מספר ניסיונות ההתחברות לאתר.

הכירו את התוסף Limit Login Attempts המגביל את מספר הפעמים שניתן לטעות בהזנת סיסמאות שגויות. התוסף מאפשר להגדיר את מספר ניסיונות ההתחברות הכושלים ואת משך הזמן בו ננעל האתר בפני אותו המשתמש (לפי כתובת IP ועוגיות דפדפן). נעילות מרובות מאפשרות חסימת IP למספר שעות. אתרים המהווים יעד קבוע להתקפות יכולים לקבל התראות למייל על נעילות IP מרובות בזמן ההתקפה, על מנת להפעיל שכבות הגנה נוספות.

עמוד ההגדרת להגבלת ניסיונות ההתחברות

עמוד ההגדרת להגבלת ניסיונות ההתחברות

ברמת ה-User Interface בתוסף ההתחברות, התוסף מתריעה בפני המשתמש על מספר ניסיונות ההתחברות שנותרו לו, ואם המשתמש חרג ממספר הניסיונות המקסימלי מוצגת התראה המציגה את הזמן שנותר לשחרור הנעילה.

ברמת הרישום, קיים מעקב אחר מספר הנעילות הכולל ורשימה של כתובות ה-IP הנעולות, כמה פעמים ה-IP ננעל ולאיזה משתמש ניסו לפרוץ. מידע זה זמין לבעל האתר בכל רגע נתון בעמוד ניהול התוסף.

עברית

התוסף לא מגיע עם תמיכה עברית, אבל ההגדרות די מובנות גם באנגלית. אני תרגמתי את כל המחרוזות ושלחתי אותן ליוצר התוסף, בשאיפה שבשדרוג הבא תהיה תמיכה מובנית בעברית. למי שלא רוצה לחכות, ניתן להוריד מכאן את קבצי התרגום, ולהעתיק אותם לספריה של התוסף.

לסיכום

מניסיוני האישי אני יכול להגיד לספר שעד שלא רואים את כמות כתובות ה-IP הנעולות, לא מבינים כמה סקריפטים אוטומטיים ישנם ברשת וכמה קריטי התוסף הזה לאבטחת האתר. כבר תקופה ארוכה אני מתקין את התוסף הזה בכל אתר עליו אני עובד, זהו אחד מתוספי החובה שלי. ממליץ לכולם.

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

11 תגובות »

  • מדיה פורטל כותב :

    היי רמי, רק רציתי לציין שהפונקציה הזאת מובנית בתוסף האבטחה המעולה Better WP Security.

    ממליץ בחום!

  • דידי כותב :

    רמי,
    המלצה חשובה.
    התוסף הזה יכול למנוע הרבה כאב ראש אם במקרה מישהו החליט לפרוץ למערכת וורדפרס שלכם.
    תודה רבה, אני התקנתי.

    דידי

  • רמי כותב :

    כיום מרבית תוספי אבטחה לוורדפרס משלבים את הפונקציונליות הזו בפתרון הכולל שלהם. באתרים קטנים/בינוניים ניתן להשתמש בפתרון כולל כמו Better WP Security ודומיו. אבל באתרים מורכבים יותר עם תנועה גדולה, צריך להתקין רכיב רכיב ולהתאים את הפתרון לאתר ולהתחשב בהיבטים נוספים כמו צריכת זיכרון ועוד. לכן תוספים בסיסיים כמו Limit Login Attempts מתאים יותר.

  • Ariel כותב :

    רמי, אם כבר באתרים גדולים משתמשים כמה שפחות בתוספים – ויותר בפיתוח עצמאי, ודואגים ליצירת עמודי כניסה שונים מהמקובל ועוד כהנה וכהנה הגדרות שמעלימות את מבנה הלינקים בניהול ובלוגין..

    דווקא לאתרים בינוניים זה יכול להתאים.
    בהתקקנה האחרונה שלי של התוסף Better WP Security הוא יצר לי המון בעיות תאימות עם תוספים אחרים. לכן לדעתי הוא יותר מתאים לאתרים קטנים שלא משתמשים ביותר מידי הרחבות למערכת.

  • חתול כותב :

    פתרון טוב יותר הוא לשנות את כתובת ההתחברות למערכת הניהול.
    התוסף LockerPress מאפשר את שינוי הכתובת ובנוסף גם מאפשר להגביל ניסיונות התחברות.

  • פיימן כותב :

    רמי שלום
    התוסף הזה אכן תוסף חזק מאוד אבל יש בעיה בלהשתמש בשיטה הזו .
    זה יכול גם לשמש ככלי להתקפות DOS כאשר תוקף פשוט יטעה בכוונה 3 פעמים וינעל את אפשרות החיבור ממשתמשים אמיתיים.
    (כל פעם עם IP מזוייף אחר)

  • רמי כותב :

    פיימן, העליתי נקודה יפה.
    אבל כמו תמיד, לצד היתרונות יש גם חסרונות.
    לדעתי, במקרה זה, היתרונות עולים על כל החסרונות.

  • יוסי כותב :

    היי רמי, אחלה תוסף!
    יש לך במקרה את הקבצי תרגום של התוסף לעברית ?

  • יוסי כותב :

    היי רמי, לא שמתי לב שפרסמת קישור לקבצי תרגום ועכשיו שמתי לב.
    תודה.

  • רמי כותב :

    🙂

  • קובי כותב :

    היי רמי
    באמת אחלה תוסף עושה את העבודה שלו
    רק הוא נעל לי את הגישה לאתר שלי
    כן כן טעיתי בסיסמה
    יש דרך לשחרר את הנעילה?
    תודה מראש

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>