طراحی سایت

نحوه محافظت از سایت وردپرسی در مقابل حملات Brute Force

15 آگوست

 

حمله Brute Force یکی از متدهای متداول هک کردن است که در آن از تکنیک‌های سعی و خطا برای ورود به یک وب‌سایت، کامپیوتر و یا سیستم شبکه‌ای استفاده می‌شود.

هکرها از نرم افزارهای مخصوص استفاده کرده تا با کمک آن تعداد درخواست‌های بالایی را به سمت سرور ارسال کنند. نرم افزار با هر درخواست، سعی به حدس زدن اطلاعات مورد نیاز مانند رمز عبور و یا Pin Code برای ورود به سیستم می‌کند.

همچنین این ابزارها به هکر کمک می‌کنند تا هویت خود را از طریق تغییر دادن آی‌پی مخفی نگه داشته و موقعیت مکانی آن‌ها مشخص نشود. به علاوه، این امر باعث می‌شود که سیستم هدف گرفته شده نتواند آی‌پی حمله کننده را مسدود کند.

یک حمله Brute Force موفق، به هکر دسترسی Admin به وب‌سایت شما را خواهد داد. هکر با دسترسی کامل به وب‌سایت می‌تواند اقدام به نصب بدافزار روی وب‌سایت کرده و یا کلیه اطلاعات آن را از بین ببرد.

حتی حملات ناموفق Brute Force هم می‌توانند به سرور لطمه بزنند. ارسال درخواست‌های زیاد و همزمان به سمت سرور سرعت آن را به شدت پایین خواهد آورد و یا حتی می‌تواند آن را به طور کل از دسترس خارج کند.

برای جلوگیری از این حملات می‌توانید اقدامات پیشگیرانه زیر را در پیش بگیرید:

 گام اول: پلاگین فایروال وردپرس نصب کنید

حملات Brute Force فشار زیادی به سرور وارد می‌کنند و حتی ممکن است باعث از دسترس خارج شدن سرور شوند. به همین دلیل خیلی مهم است که این حملات قبل از رسیدن به سرور دفع شوند.

برای این کار احتیاج به یک فایروال برای وب‌سایت دارید. یک فایروال مناسب می‌تواند جلوی ترافیک‌های ناخواسته را گرفته و آن‌ها را دفع کند.

فایروال‌های وب‌سایت معمولا به دو دسته تقسیم می‌شوند:

 ۱- فایروال سطح سایت

این پلاگین‌ها ترافیکی که به سرور می‌رسد را قبل از لود شدن اسکریپت‌های وردپرس بررسی می‌کنند. این نوع پلاگین به اندازه کافی کارآمد نیست چون با وجود اینکه ترافیک روی خود سایت تاثیر نمی‌گذارد ولی تاثیر آن روی سرور همچنان وجود خواهد داشت.

پيشنهاد سیتی سایت: امنیت وردپرس – سیتی سایت

  ۲- فایروال سطح DNS

این فایروال‌ها، ترافیکی که به سمت سایت می‌آید را ابتدا از سرورهای پروکسی خود عبور می‌دهند. این کار باعث می‌شود که سرورهای پروکسی ترافیک‌های عادی را شناسایی کرده و فقط اجازه رسیدن ترافیک‌های عادی به سمت سایت شما را بدهند و باعث عملکرد بهتر و کارآمدتر سایت وردپرسی شما شود.

 

معروف ترین و معتبرترین پلاگین فایروال وردپرس WordFence می‌باشد.

 

گام دوم: آپدیت‌های وردپرس را نصب کنید

برخی از حملات معمول Brute Force نقاط ضعف شناخته شده در ورژن‌های قدیمی وردپرس، پلاگین‌های وردپرس و یا پوسته‌ها را هدف قرار می‌دهند.

هسته وردپرس و اکثر پلاگین‌های محبوب آن، متن باز (Open Source)‌ بوده و نقاط ضعف یا حفره‌های امنیتی آن معمولا سریعاْ شناخته می‌شوند و از طریق ارائه آپدیت رفع می‌شوند. ولی اگر اقدام به بروزرسانی این موارد نکنید، سایت شما در معرض حملات قرار خواهد گرفت. آپدیت کردن آن بسیار آسان است.
از طریق صفحه مدیریت وردپرس وارد بخش پیشخوان > بروز رسانی‌ها شوید. این صفحه تمامی آپدیت‌های موجود برای هسته وردپرس، افزونه‌ها و پوسته‌ها را نمایش می‌دهد.

محافظت از سایت وردپرسی - نصب آپدیت‌های وردپرس

 

گام سوم: دایرکتوری صفحه مدیریت وردپرس را امن کنید

اکثر حملات Brute Force بر روی سایت‌ها وردپرسی با هدف دسترسی پیدا کردن به صفحه مدیریت آن انجام می‌شود. برای افزایش امنیت دایرکتوری وردپرس می‌توانید برای ورود به آن رمز عبور تعریف کنید.

با اضافه کردن این مورد به دایرکتوری‌ صفحه مدیریت وردپرس، از دسترسی غیرمجاز به این صفحه جلوگیری می‌شود و امکان انجام حملات Brute Force به مراتب دشوارتر خواهد شد.

مثلا برای انجام این کار روی کنترل پنل هاست cPanel مراحل زیر را طی کنید:

 

  1. ابتدا وارد Cpanel شوید.
  2. سپس روی گزینه Directory Privacy کلیک کنید.
  3. وارد پوشه public_html شوید.
    محافظت از سایت وردپرسی - بروت فروس
  4. روی گزینه wp-admin کلیک کنید.محافظت از سایت وردپرسی - برطرف کردن حملات سایت وردپرسی
  5. از طریق این صفحه می‌توانید نام کاربری و رمز عبور برای دایرکتوری انتخاب کنید

 

حال در زمان وارد شدن به صفحه مدیریت وردپرس با پیغام زیر روبرو می‌شوید.

محافظت از سایت وردپرسی - حملات بروت فورس

 

اگر ارور ۴۰۴ مشاهده می‌کنید، باید خط زیر را به فایل .htaccess اضافه کنید.

 

ErrorDocument 401 default

 

هم چنین می‌توانید راه حل دوم را تست کنید. در فایل .htacess کد زیر را:‌

 

RewriteRule . /index.php [L]

 

با خط زیر جایگزین کنید:

RewriteRule ./ /index.php [L]

 

گام چهارم: تایید دو مرحله‌ای را در وردپرس فعال کنید

تایید دو مرحله‌ای یک لایه امنیتی دیگر را در زمان ورود به صفحه مدیریت سایت وردپرسی اضافه می‌کند.

در زمان ورود به صفحه مدیریت وردپرس باید موبایل خود را همراه داشته باشید تا کد یکبار مصرفی که برای شما ارسال می‌شود را در صفحه ورود وارد کنید.

فعال کردن تایید دو مرحله ای کار را برای هکرها سخت‌تر می‌کند. زیرا در صورت دسترسی به رمز عبور شما، همچنان نیاز به کد مرحله دوم خواهند داشت.

 

گام پنجم: رمز عبور منحصربفرد و دشوار انتخاب کنید

انتخاب یک رمز عبور مناسب می‌تواند از بسیاری از حملات بروت فورس جلوگیری کند. شما باید حتما از رمزهای عبور پیچیده و منحصربفرد برای تمام حساب‌های خود استفاده کنید. رمز عبور قوی رمزی است که ترکیبی از اعداد، حروف و علائم باشد.

توجه داشته باشید که استفاده از رمز عبور پیچیده فقط منحصر به صفحه مدیریت وردپرس نمی‌باشد بلکه باید رمز حساب FTP ، کنترل پنل هاست، و دیتابیس وردپرس نیز از پیچیدگی مناسبی برخوردار باشند.

ممکن است این سوال برای افراد پیش بیاید که چگونه می‌توانند این تعداد رمز عبور پیچیده را به خاطر بسپارند؟ راه حل ساده است زیرا افزونه‌ها و برنامه‌های زیادی برای این کار وجود دارد. مثلا افزونه Lastpass برای کروم و یا نرم افزار Keepass برای ویندوز، لینوکس و مک تعبیه شده‌اند.

 

گام ششم: Directory Browsing را غیر فعال کنید

به صورت پیش‌فرض، زمانی که وب سرور نتواند فایل index را پیدا کند، (مثلا index.php و index.html) محتویات دایرکتوری اصلی سایت شما را نمایش می‌دهد. در زمان حملات Brute Force، هکرها می‌توانند از این قابلیت استفاده کنند و فایل‌هایی که ممکن است نقاط ضعف و یا حفره‌های امنیتی دارند را شناسایی کنند. برای جلوگیری از این مورد، خط زیر را به فایل htacess سایت وردپرسی خود اضافه کنید:

 

Options -Indexes

 

نکته: این مورد به صورت پیش‌فرض بر روی تمام سرورهای وب‌رمز فعال است.

 

گام هفتم: قابلیت اجرای فایل PHP را در برخی از فولدرهای وردپرس غیر فعال کنید

ممکن است هکرها بخواهند اسکریپت‌های PHP را روی سایت شما نصب کرده و اجرا کنند. با توجه به اینکه وردپرس با PHP نوشته شده است، شما نمی‌توانید قابلیت اجرا فایل‌های PHP را به طور کلی حذف کنید. ولی می‌توانید از اجرای فایل‌های PHP در برخی از فولدرها جلوگیری کنید. مثلا دایرکتوری /wp-content/uploads نیازی به فایل‌ها با قابلیت اجرایی ندارد پس می‌توانید جلوی این کار را بگیرید.

 

برای اینکار ابتدا کد زیر را در قالب فایل text ذخیره کنید:

deny from all

 

سپس این فایل را با نام .htaccess در دایرکتوری /wp-content/uploads/ آپلود کنید.

 

گام هشتم: افزونه بک‌آپ وردپرس نصب کنید

بک‌آپ مهمترین ابزار برای امنیت سایت وردپرسی شما می‎باشد. اگر تمامی اقدامات امنیتی مذکور موفقیت آمیز نباشند، بک‌آپ‌های به روز این قابلیت را می‌دهند که سایت خود را به راحتی بازگردانید.

 

اکثر شرکت‌های میزبانی هاست وردپرس از جمله وب‌رمز به صورت اتوماتیک و در بازه‌های زمانی مشخص از سایت شما بک‌آپ می‌گیرند ولی همیشه وظیفه بک‌آپ‌گیری سایت بر عهده خود شما است.

 

برای بک‌آپ‌گیری اتوماتیک از سایت وردپرسی، افزونه‌های مختلفی وجود دارد. همانند UpdraftPlus و یا ‌BackUpWordPress. همچنین می‌توانید از طریق هاست سایت خود اقدام به گرفتن بک‌آپ کنید.

 

تمامی نکات ذکر شده به شما کمک می‌کنند تا سایت وردپرس خود را در برابر حملات بروت فورس مقاوم کنید. امیدواریم که این مقاله کمکی در جهت بهبود ایمنی سایت شما کرده باشد.

 

همچنین وب‌رمز هاست وردپرس ارائه می‌دهد که به طور خاص برای سایت‌های وردپرسی بهینه شده و تنظیمات امنیتی مورد نیاز بر روی آن انجام شده است.

 

تدوین و گردآوری: علی فروغی

 

برچسب ها :

بعدی شناخت مشتری بر مبنای فاکتورهای ارزش و رضایتمندی
Back to list
قبلی چرا باید تمرکز برروی کلمات کلیدی طولانی یا کلمات کلیدی Long Tail  بگذاریم؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *