حفاظت از سایت وردپرس در برابر حمله Brute Force

آیا می‌خواهید از سایت وردپرسی خود در برابر حملات Brute Force محافظت کنید ؟ این حملات می‌تواند موجب کندی در وب سایت شما شود , آن را غیرقابل‌ دسترس سازد و حتی رمزهای عبور شما را حذف کند تا بدافزار در وب سایت شما نصب بشود . در این مقاله , ما به شما نشان خواهیم داد که چگونه از یک سایت وردپرسی در برابر حملات Brute Force محافظت کنید .

حمله ی Brute Force چیست ؟

حمله ی Brute Force یک روش برای هک اطلاعات ورودی است . در آن از تکنیک‌های آزمون و خطا برای شکستن سد ورود به یک وب سایت , یک شبکه یا یک سیستم کامپیوتری استفاده می‌کند .

هکرها از نرم‌افزاری خودکار , برای ارسال تعداد زیادی از درخواست‌ها به سیستم هدف استفاده می‌کنند . با هر درخواست , این نرم‌افزار سعی می‌کند اطلاعات مورد نیاز برای دستیابی به دسترسی هایی مانند رمزهای عبور و یا پین کد را حدس بزند .

چنین ابزارهایی همچنین می‌توانند خود را با استفاده از آدرس‌های IP و مکان‌های متفاوتی پنهان کنند . این موضوع باعث سخت‌تر شدن کار حفاظت در سیستم مورد نظر برای شناسایی و مسدود کردن این فعالیت‌های مشکوک می‌شود .

حمله ی Brute Force موفق می‌تواند به هکرها اجازه ی دسترسی به ناحیه ی ادمینی در وب سایت شما را بدهد . آن‌ها می‌توانند به طور پنهانی بدافزار نصب کنند , اطلاعات کاربر را سرقت کنند و یا همه چیز را در سایت شما حذف کنند .

حتی حمله ی Brute Force ناموفق , با ارسال درخواست‌های زیاد به وردپرس می تواند آن را کند کرده و حتی در آن اختلال ایجاد کند و با این کار خسارت زیادی را به بار بیاورد .

بر این اساس , اجازه دهید نگاهی به نحوه ی حفاظت از سایت وردپرسی در مقابل حملات Brute Force بیندازیم .

مرحله ۱ . نصب یک افزونه ی فایروال ( Firewall ) در وردپرس

حملات Brute Force , تعداد زیادی درخواست را بر روی سرورهای شما اعمال می‌کنند . حتی آن‌هایی که ناموفق هستند می‌توانند وب سایت شما را کند کرده و یا به طور کامل سرور شما را مختل کنند . به همین دلیل است که مسدود کردن آن‌ها قبل از رسیدن به سرور شما , مهم است .

برای انجام این کار , شما به راه‌حلی مانند استفاده از یک فایروال در وب سایت خود نیاز خواهید داشت . دیوارآتش یا فایروال , ترافیک را خراب می‌کند و مانع دستیابی به سایت شما می‌شود .

حفاظت از سایت وردپرس در برابر حمله Brute Force

دو نوع فایروال وب سایت وجود دارد که می‌توانید از آن‌ها استفاده کنید .

Application Level Firewall یا دیوارآتش سطح کاربردی

این افزونه های دیوار آتش زمانی که در سرور شما نصب شوند , ترافیک را قبل از بارگذاری کدهای اسکریپت بیشتر در وردپرس , بررسی می‌کند . این روش به اندازه ی کافی موثر نیست , چون یک حمله ی Brute Force می‌تواند بر بارگذاری در سرور شما تاثیر بگذارد .

DNS Level Website Firewall یا دیوارآتش سطح DNS

این دیوارآتش , ترافیک وب سایت شما را از طریق سرورهای پراکسی ابری ( cloud proxy servers ) هدایت می‌کند . این کار به آن‌ها اجازه می‌دهد تا ترافیک حقیقی را به سرور میزبان وب شما بفرستند , در حالی که سرعت و عملکرد وردپرس را افزایش می‌دهد .

برای این موضوع می توان از افزونه ی cloudflare استفاده کرد که امکانات رایگان مفیدی برای امنیت سایت شما دارد . با این افزونه , از آنجا که یک فایروال وب سایت سطح DNS است , تمام ترافیک وب سایت شما از طریق proxy عبور می‌کند در حالی که ترافیک بد فیلتر شده‌ است .

مرحله ۲ . نصب آپدیت های وردپرس

حمله های brute force , به طور فعال آسیب‌پذیری‌های شناخته‌شده در نسخه‌های قدیمی‌تر وردپرس , پلاگین های محبوب وردپرس و یا تم‌ها را مورد هدف قرار می‌دهند .

هسته ی وردپرس و اغلب افزونه های محبوب در وردپرس , تنها منبع باز و آسیب‌پذیر آشکار هستند که اغلب با یک به روز رسانی به سرعت ایمن می‌شوند . به این ترتیب , اگر شما به روز رسانی ها را نصب نکنید , وب سایت تان را در برابر این تهدیدات قدیمی آسیب‌پذیر خواهید کرد .

به سادگی به صفحه ی آپدیت ها در پیشخوان خود بروید تا به روزرسانی های موجود را چک کنید . این قسمت همه ی به روز رسانی ‌های هسته , افزونه ها و تم‌ها را نشان خواهد داد .

حفاظت از سایت وردپرس در برابر حمله Brute Force

مرحله ۳ . راهنمای مدیریت حفاظت از وردپرس

بیشتر حملات brute force بر روی یک سایت وردپرسی در تلاشند تا به منطقه ی مدیریت وردپرس دسترسی پیدا کنند . برای افزایش امنیت , شما می‌توانید از شاخه ی مدیریت وردپرس در سطح سرور , محافظت رمز را اضافه کنید . این کار دسترسی غیر مجاز به ناحیه ی مدیریت وردپرس را مسدود می‌کند .

به سادگی وارد کنترل پنل ( cPanel ) هاست خود , برای سایت وردپرسی مورد نظرتان بشوید . سپس در بخش پرونده‌ها ( Files ) , بر روی آیکون Directory Privacy که برای راهنمای حریم خصوصی است , کلیک کنید .

توجه : ممکن است تصویر زیر دقیقا شبیه به پنل کنترلی شما نباشد , ولی قسمت فایل ها و سایر قسمت های مورد بحث , در هر پنلی وجود دارد !

حفاظت از سایت وردپرس در برابر حمله Brute Force

 

سپس , باید پوشه ی wp-admin را پیدا کنید و بر روی نام پوشه کلیک کنید .

 

حفاظت از سایت وردپرس در برابر حمله Brute Force

 

سپس cPanel از شما می خواهد که نام پوشه ی محدود شده , نام کاربری و رمز عبوری را ارائه دهید . پس از ورود این اطلاعات روی دکمه ی save کلیک کنید تا تنظیمات شما ذخیره شود .

 

حفاظت از سایت وردپرس در برابر حمله Brute Force

شاخه ی مدیریت وردپرس حالا رمز عبور دارد . زمانی که از ناحیه مدیریت وردپرس دیدن می‌کنید , یک قسمت جدید برای ورود به سیستم خواهید دید .

اگر شما به یک خطای ۴۰۴ یا خطای too many redirects برخورد کردید , باید کد نوشته شده در خط زیر را به فایل htaccess. در وردپرس خود اضافه کنید . برای آشنایی با فایل htaccess. , مقاله ی کاربردی ما درباره ی این فایل وردپرس را در هر آنچه درباره ی htaccess در وردپرس باید بدانید ! بخوانید .

 

ErrorDocument 401 default

مرحله ۴ . اضافه کردن تایید هویت دو فاکتوری به وردپرس

تایید اعتبار دو مرحله ای , یک لایه ی امنیتی اضافی را به صفحه ی ورود به سیستم در وردپرس اضافه می‌کند . کاربران به تلفن‌های همراه خود برای دریافت کد عبور در ورود به سیستم و دسترسی به منطقه ی مدیریت وردپرس نیاز خواهند داشت . اضافه کردن اعتبار سنجی دوفاکتوری کار هکرها را برای دسترسی به ناحیه ی مدیریت سخت‌تر خواهد کرد , حتی اگر آن ها قادر به هک گذرواژه ی وردپرس شما باشند .

حفاظت از سایت وردپرس در برابر حمله Brute Force

مرحله ۵ . استفاده از گذرواژه‌های قوی و منحصر به فرد

گذرواژه‌ها کلیدهای دسترسی به سایت وردپرسی هستند . شما باید از کلمه ی عبور قوی و منحصر به فرد برای تمام اکانت های خودتان استفاده کنید . گذرواژه ی قوی ترکیبی از اعداد , حروف و نویسه‌های خاص است . این مهم است که از رمزهای عبور قوی برای نه تنها حساب کاربری در وردپرس , بلکه برای FTP , پنل کنترل میزبان وب و پایگاه‌داده وردپرس استفاده کنید .

اغلب می‌پرسند که چگونه تمامی این گذرواژه‌های منحصر به فرد را به یاد آوریم ؟ برای این مسئله برنامه‌های مدیریت گذرواژه ی عالی وجود دارند که دسترسی به گذرواژه ی شما را به طور خودکار ذخیره کرده و به طور خودکار نیز آن‌ها را برای شما پر می‌کنند .

مرحله ۶ . از کار انداختن مرور شاخه ( Directory )

به صورت پیش‌فرض , زمانی که کارگزار وب شما یک فایل شاخص ( مثل index.php یا index.html ) را پیدا نمی‌کند  , به طور خودکار یک صفحه ی شاخص را نمایش می‌دهد که محتوای دایرکتوری را نشان می‌دهد .

حفاظت از سایت وردپرس در برابر حمله Brute Force

در طی یک حمله ی brute force , هکرها می‌توانند از مرور دایرکتوری برای جستجوی فایل‌های آسیب‌پذیر استفاده کنند . برای رفع این مشکل , باید کد نوشته شده در خط زیر را در پایین فایل htaccess. در وردپرس قرار دهید .

Options -Indexes

مرحله ۷ . از کار انداختن اجرای فایل PHP در پوشه‌های ویژه وردپرس

هکرها ممکن است بخواهند یک اسکریپت PHP را در فولدرهای شما نصب کرده و اجرا کنند . از آنجایی که وردپرس عمدتا در PHP نوشته شده‌است , نمی‌توانید همه ی پوشه‌های وردپرس را غیرفعال کنید . با این حال , برخی از پوشه‌ها وجود دارند که به کدنوشته ی PHP نیازی ندارند . به عنوان مثال فولدرهای آپلودی که در wp-content/uploads/ واقع شده‌ است .

شما می‌توانید به طور ایمن اجرای PHP را در پوشه ی uploads , که یک مکان مشترک برای هکرها است تا از آن برای پنهان کردن فایل‌های backdoor استفاده کنند , غیرفعال کنید .

ابتدا , باید یک ویرایشگر متن مانند Notepad را روی کامپیوتر خود باز کنید و کد زیر را بنویسید :

<Files *.php>
deny from all
</Files>

 

سپس این فایل را مانند htaccess. ذخیره کرده و در آدرس wp-content/uploads/folders/ در وب سایت خود که از یک FTP client استفاده می کند , آپلود کنید .

مرحله ۸ . نصب و راه‌اندازی یک افزونه ی بک آپ گیری در وردپرس

حفاظت از سایت وردپرس در برابر حمله Brute Force

بک آپ ها ابزار بسیار مهمی در قسمت امنیتی وردپرس شما هستند . اگر همه چیز از دست برود , آن ها به شما اجازه خواهند داد که به راحتی وب سایت خود را بازیابی کنید . اغلب شرکت‌های میزبان وردپرس گزینه‌های پشتیبانی محدودی دارند . با این حال , این پشتیبانی تضمین نمی‌شود و شما تنها مسئول تصمیم‌گیری برای پشتیبانی از وب سایت خود هستید .

چندین افزونه ی پشتیبانی از وردپرس وجود دارد که به شما این امکان را می‌دهد تا به صورت اتوماتیک از وب سایت خود پشتیبان تهیه کنید . ما استفاده از UpdraftPlus را توصیه می‌کنیم . این افزونه ساده است و به شما اجازه می‌دهد که به سرعت یک پشتیبان اتوماتیک راه‌اندازی کرده و آن‌ بک آپ ها را در مکان‌هایی مانند گوگل درایو , Dropbox , آمازون S۳ و… ذخیره کنید .

حرف پایانی

تمام نکات ذکر شده در بالا به شما کمک خواهند کرد تا از سایت وردپرسی خود در مقابل حملات brute force محافظت کنید . اُمیدواریم که این مقاله به شما کمک کند تا همه ی این روش ها را یاد بگیرید و بدانید که چطور از سایت وردپرسی خود در مقابل حملات brute force محافظت کنید . اگر این مقاله را دوست داشتید , لطفا آن را به دوستان خود نیز معرفی کنید . ممنونیم .

بدون نظر

دیدگاهتان را بنویسید