آیا میخواهید از سایت وردپرسی خود در برابر حملات Brute Force محافظت کنید ؟ این حملات میتواند موجب کندی در وب سایت شما شود , آن را غیرقابل دسترس سازد و حتی رمزهای عبور شما را حذف کند تا بدافزار در وب سایت شما نصب بشود . در این مقاله , ما به شما نشان خواهیم داد که چگونه از یک سایت وردپرسی در برابر حملات Brute Force محافظت کنید .
حمله ی Brute Force چیست ؟
حمله ی Brute Force یک روش برای هک اطلاعات ورودی است . در آن از تکنیکهای آزمون و خطا برای شکستن سد ورود به یک وب سایت , یک شبکه یا یک سیستم کامپیوتری استفاده میکند .
هکرها از نرمافزاری خودکار , برای ارسال تعداد زیادی از درخواستها به سیستم هدف استفاده میکنند . با هر درخواست , این نرمافزار سعی میکند اطلاعات مورد نیاز برای دستیابی به دسترسی هایی مانند رمزهای عبور و یا پین کد را حدس بزند .
چنین ابزارهایی همچنین میتوانند خود را با استفاده از آدرسهای IP و مکانهای متفاوتی پنهان کنند . این موضوع باعث سختتر شدن کار حفاظت در سیستم مورد نظر برای شناسایی و مسدود کردن این فعالیتهای مشکوک میشود .
حمله ی Brute Force موفق میتواند به هکرها اجازه ی دسترسی به ناحیه ی ادمینی در وب سایت شما را بدهد . آنها میتوانند به طور پنهانی بدافزار نصب کنند , اطلاعات کاربر را سرقت کنند و یا همه چیز را در سایت شما حذف کنند .
حتی حمله ی Brute Force ناموفق , با ارسال درخواستهای زیاد به وردپرس می تواند آن را کند کرده و حتی در آن اختلال ایجاد کند و با این کار خسارت زیادی را به بار بیاورد .
بر این اساس , اجازه دهید نگاهی به نحوه ی حفاظت از سایت وردپرسی در مقابل حملات Brute Force بیندازیم .
مرحله ۱ . نصب یک افزونه ی فایروال ( Firewall ) در وردپرس
حملات Brute Force , تعداد زیادی درخواست را بر روی سرورهای شما اعمال میکنند . حتی آنهایی که ناموفق هستند میتوانند وب سایت شما را کند کرده و یا به طور کامل سرور شما را مختل کنند . به همین دلیل است که مسدود کردن آنها قبل از رسیدن به سرور شما , مهم است .
برای انجام این کار , شما به راهحلی مانند استفاده از یک فایروال در وب سایت خود نیاز خواهید داشت . دیوارآتش یا فایروال , ترافیک را خراب میکند و مانع دستیابی به سایت شما میشود .
دو نوع فایروال وب سایت وجود دارد که میتوانید از آنها استفاده کنید .
Application Level Firewall یا دیوارآتش سطح کاربردی
این افزونه های دیوار آتش زمانی که در سرور شما نصب شوند , ترافیک را قبل از بارگذاری کدهای اسکریپت بیشتر در وردپرس , بررسی میکند . این روش به اندازه ی کافی موثر نیست , چون یک حمله ی Brute Force میتواند بر بارگذاری در سرور شما تاثیر بگذارد .
DNS Level Website Firewall یا دیوارآتش سطح DNS
این دیوارآتش , ترافیک وب سایت شما را از طریق سرورهای پراکسی ابری ( cloud proxy servers ) هدایت میکند . این کار به آنها اجازه میدهد تا ترافیک حقیقی را به سرور میزبان وب شما بفرستند , در حالی که سرعت و عملکرد وردپرس را افزایش میدهد .
برای این موضوع می توان از افزونه ی cloudflare استفاده کرد که امکانات رایگان مفیدی برای امنیت سایت شما دارد . با این افزونه , از آنجا که یک فایروال وب سایت سطح DNS است , تمام ترافیک وب سایت شما از طریق proxy عبور میکند در حالی که ترافیک بد فیلتر شده است .
مرحله ۲ . نصب آپدیت های وردپرس
حمله های brute force , به طور فعال آسیبپذیریهای شناختهشده در نسخههای قدیمیتر وردپرس , پلاگین های محبوب وردپرس و یا تمها را مورد هدف قرار میدهند .
هسته ی وردپرس و اغلب افزونه های محبوب در وردپرس , تنها منبع باز و آسیبپذیر آشکار هستند که اغلب با یک به روز رسانی به سرعت ایمن میشوند . به این ترتیب , اگر شما به روز رسانی ها را نصب نکنید , وب سایت تان را در برابر این تهدیدات قدیمی آسیبپذیر خواهید کرد .
به سادگی به صفحه ی آپدیت ها در پیشخوان خود بروید تا به روزرسانی های موجود را چک کنید . این قسمت همه ی به روز رسانی های هسته , افزونه ها و تمها را نشان خواهد داد .
مرحله ۳ . راهنمای مدیریت حفاظت از وردپرس
بیشتر حملات brute force بر روی یک سایت وردپرسی در تلاشند تا به منطقه ی مدیریت وردپرس دسترسی پیدا کنند . برای افزایش امنیت , شما میتوانید از شاخه ی مدیریت وردپرس در سطح سرور , محافظت رمز را اضافه کنید . این کار دسترسی غیر مجاز به ناحیه ی مدیریت وردپرس را مسدود میکند .
به سادگی وارد کنترل پنل ( cPanel ) هاست خود , برای سایت وردپرسی مورد نظرتان بشوید . سپس در بخش پروندهها ( Files ) , بر روی آیکون Directory Privacy که برای راهنمای حریم خصوصی است , کلیک کنید .
توجه : ممکن است تصویر زیر دقیقا شبیه به پنل کنترلی شما نباشد , ولی قسمت فایل ها و سایر قسمت های مورد بحث , در هر پنلی وجود دارد !
سپس , باید پوشه ی wp-admin را پیدا کنید و بر روی نام پوشه کلیک کنید .
سپس cPanel از شما می خواهد که نام پوشه ی محدود شده , نام کاربری و رمز عبوری را ارائه دهید . پس از ورود این اطلاعات روی دکمه ی save کلیک کنید تا تنظیمات شما ذخیره شود .
شاخه ی مدیریت وردپرس حالا رمز عبور دارد . زمانی که از ناحیه مدیریت وردپرس دیدن میکنید , یک قسمت جدید برای ورود به سیستم خواهید دید .
اگر شما به یک خطای ۴۰۴ یا خطای too many redirects برخورد کردید , باید کد نوشته شده در خط زیر را به فایل htaccess. در وردپرس خود اضافه کنید . برای آشنایی با فایل htaccess. , مقاله ی کاربردی ما درباره ی این فایل وردپرس را در هر آنچه درباره ی htaccess در وردپرس باید بدانید ! بخوانید .
ErrorDocument 401 default
مرحله ۴ . اضافه کردن تایید هویت دو فاکتوری به وردپرس
تایید اعتبار دو مرحله ای , یک لایه ی امنیتی اضافی را به صفحه ی ورود به سیستم در وردپرس اضافه میکند . کاربران به تلفنهای همراه خود برای دریافت کد عبور در ورود به سیستم و دسترسی به منطقه ی مدیریت وردپرس نیاز خواهند داشت . اضافه کردن اعتبار سنجی دوفاکتوری کار هکرها را برای دسترسی به ناحیه ی مدیریت سختتر خواهد کرد , حتی اگر آن ها قادر به هک گذرواژه ی وردپرس شما باشند .
مرحله ۵ . استفاده از گذرواژههای قوی و منحصر به فرد
گذرواژهها کلیدهای دسترسی به سایت وردپرسی هستند . شما باید از کلمه ی عبور قوی و منحصر به فرد برای تمام اکانت های خودتان استفاده کنید . گذرواژه ی قوی ترکیبی از اعداد , حروف و نویسههای خاص است . این مهم است که از رمزهای عبور قوی برای نه تنها حساب کاربری در وردپرس , بلکه برای FTP , پنل کنترل میزبان وب و پایگاهداده وردپرس استفاده کنید .
اغلب میپرسند که چگونه تمامی این گذرواژههای منحصر به فرد را به یاد آوریم ؟ برای این مسئله برنامههای مدیریت گذرواژه ی عالی وجود دارند که دسترسی به گذرواژه ی شما را به طور خودکار ذخیره کرده و به طور خودکار نیز آنها را برای شما پر میکنند .
مرحله ۶ . از کار انداختن مرور شاخه ( Directory )
به صورت پیشفرض , زمانی که کارگزار وب شما یک فایل شاخص ( مثل index.php یا index.html ) را پیدا نمیکند , به طور خودکار یک صفحه ی شاخص را نمایش میدهد که محتوای دایرکتوری را نشان میدهد .
در طی یک حمله ی brute force , هکرها میتوانند از مرور دایرکتوری برای جستجوی فایلهای آسیبپذیر استفاده کنند . برای رفع این مشکل , باید کد نوشته شده در خط زیر را در پایین فایل htaccess. در وردپرس قرار دهید .
Options -Indexes
مرحله ۷ . از کار انداختن اجرای فایل PHP در پوشههای ویژه وردپرس
هکرها ممکن است بخواهند یک اسکریپت PHP را در فولدرهای شما نصب کرده و اجرا کنند . از آنجایی که وردپرس عمدتا در PHP نوشته شدهاست , نمیتوانید همه ی پوشههای وردپرس را غیرفعال کنید . با این حال , برخی از پوشهها وجود دارند که به کدنوشته ی PHP نیازی ندارند . به عنوان مثال فولدرهای آپلودی که در wp-content/uploads/ واقع شده است .
شما میتوانید به طور ایمن اجرای PHP را در پوشه ی uploads , که یک مکان مشترک برای هکرها است تا از آن برای پنهان کردن فایلهای backdoor استفاده کنند , غیرفعال کنید .
ابتدا , باید یک ویرایشگر متن مانند Notepad را روی کامپیوتر خود باز کنید و کد زیر را بنویسید :
<Files *.php> deny from all </Files>
سپس این فایل را مانند htaccess. ذخیره کرده و در آدرس wp-content/uploads/folders/ در وب سایت خود که از یک FTP client استفاده می کند , آپلود کنید .
مرحله ۸ . نصب و راهاندازی یک افزونه ی بک آپ گیری در وردپرس
بک آپ ها ابزار بسیار مهمی در قسمت امنیتی وردپرس شما هستند . اگر همه چیز از دست برود , آن ها به شما اجازه خواهند داد که به راحتی وب سایت خود را بازیابی کنید . اغلب شرکتهای میزبان وردپرس گزینههای پشتیبانی محدودی دارند . با این حال , این پشتیبانی تضمین نمیشود و شما تنها مسئول تصمیمگیری برای پشتیبانی از وب سایت خود هستید .
چندین افزونه ی پشتیبانی از وردپرس وجود دارد که به شما این امکان را میدهد تا به صورت اتوماتیک از وب سایت خود پشتیبان تهیه کنید . ما استفاده از UpdraftPlus را توصیه میکنیم . این افزونه ساده است و به شما اجازه میدهد که به سرعت یک پشتیبان اتوماتیک راهاندازی کرده و آن بک آپ ها را در مکانهایی مانند گوگل درایو , Dropbox , آمازون S۳ و… ذخیره کنید .
حرف پایانی
تمام نکات ذکر شده در بالا به شما کمک خواهند کرد تا از سایت وردپرسی خود در مقابل حملات brute force محافظت کنید . اُمیدواریم که این مقاله به شما کمک کند تا همه ی این روش ها را یاد بگیرید و بدانید که چطور از سایت وردپرسی خود در مقابل حملات brute force محافظت کنید . اگر این مقاله را دوست داشتید , لطفا آن را به دوستان خود نیز معرفی کنید . ممنونیم .
بدون نظر