جلوگیری از حملات بروت فورس (Brute Force) در موبیتس

یکی از مسائل مهمی که در سیستم های ورود با کد تایید وجود دارد، جلوگیری از حملات بروت فورس توسط کاربران مخرب می باشد.

حمله بروت فورس به حمله ای گفته می شود که مهاجم تعداد کدهای تایید زیادی را میزند تا بالاخره یک کدام از آن ها درست در بیاید.

فرض کنید اگر شماره موبایل شما به عنوان مدیر سایت را داشته باشد (مثلا از طریق صفحه تماس با ما بگیرد یا شما را بشناسد)، و شماره شما در حساب کاربری مدیر وجود داشته باشد. مهاجم ابتدا آن را وارد می کند و سپس با استفاده از نرم افزارهای هک، تعداد کدهای تایید مکرری را ارسال می نماید و منتظر پاسخ وردپرس می شود.

اگر یکی از این کدهای تایید درست باشد، کوکی ورود برای مهاجم برگردانده می شود و بدین معناست که مهاجم با اکانت مدیر سایت وارد پنل مدیریت شده و کل پنل را در اختیار می گیرد.

لذا دو نکته مهم در استفاده از سیستم های ورود با کد تایید وجود دارد.

اول اینکه هیچ وقت برای کاربرانی که مدیر سایت هستند، در هیچ کجای اطلاعاتش، شماره موبایل نزارید. مخصوصا نام کاربری و شماره موبایل متا.

شما با جستجو در جدول کاربران و در صورت امکان جستجو در دیتابیس، شماره خودتان را جستجو کنید و از جداول users و usermeta بردارید.

نکته دوم تنظیمی در موبیتس قرار داده شده است که اگر فرد مخرب تعداد کدهای زیادی را تست نماید بلاک می شود و دیگر نمی تواند با آن شماره موبایل لاگین نماید.

این تنظیم در تب عمومی موبیتس وجود دارد و نام آن “تعداد کدهای تایید اشتباه برای بلاک شدن کاربر (در دقیقه)” می باشد. حتما این تنظیم را مقدار دهی کنید مثلا عدد 3 یا 5 یا هر عددی که مدنظر دارید ولی تعدادش کم باشد تا مشکل ایجاد نشود.

رعایت این دو نکته تا حدود زیادی مانع حملات بروت فورس (Brute Force) در سیستم های کد تایید مانند موبیتس میشود.