وردپرس یکی از محبوب ترین سیستم های مدیریت محتوا در جهان است که میلیون ها وب سایت را در سراسر اینترنت نیرو میدهد. در این مطلب به این سوال میپردازیم که چگونه از وردپرس در برابر حملات Brute Force محافظت کنیم؟
با این حال، با محبوبیت آن، خطر هدف قرار گرفتن توسط هکرهایی که به دنبال سوء استفاده از آسیبپذیریهای سیستم هستند، همراه است. یکی از روشهای متداول هکرها حمله brute force است که در آن سعی میکنند اعتبار ورود شما را با استفاده از چندین ترکیب نام کاربری و رمز عبور حدس بزنند.
برای محافظت از سایت وردپرس خود در برابر چنین حملاتی، مهم است که اقدامات پیشگیرانه ای را برای ایمن سازی وب سایت خود انجام دهید. در این مقاله، مراحلی را که میتوانید برای محافظت از سایت وردپرس خود در برابر حملات brute force و ایمن نگه داشتن وبسایت خود انجام دهید، راهنمایی میکنیم.
حمله Brute Force چیست؟
حمله brute force یک روش هک است که برای دسترسی غیرمجاز به وب سایت، شبکه یا سیستم کامپیوتری به آزمون و خطا متکی است.
رایج ترین شکل حمله brute force شامل حدس زدن مکرر رمزهای عبور با استفاده از نرم افزار خودکار است. هکرها از این ابزارها برای آزمایش چندین ترکیب ورود استفاده میکنند تا به وب سایت شما نفوذ کنند.
این ابزارهای هک میتوانند با استفاده از آدرسهای IP و مکانهای مختلف، فعالیت خود را پنهان کنند و شناسایی و مسدود کردن رفتارهای مشکوک را به چالش بکشند.
یک حمله brute force موفق میتواند به هکرها اجازه دهد تا به قسمت مدیریت وب سایت شما نفوذ کنند. سپس آنها میتوانند بدافزار معرفی کنند، داده های کاربر را بدزدند و به طور بالقوه تمام محتوای سایت شما را از بین ببرند.
حتی حملات brute force ناموفق نیز میتواند با غلبه بر سرورهای میزبان وردپرس شما با تعداد بیش از حد درخواست ها، مشکلاتی ایجاد کند که منجر به کندی یا خرابی وب سایت شود.
با در نظر گرفتن این موضوع، بیایید بررسی کنیم که چگونه از سایت وردپرس خود در برابر حملات brute force محافظت کنیم. در این مطلب مراحل را بیان خواهیم کرد:
1. از افزونه فایروال وردپرس استفاده کنید
حملات Brute Force میتواند بار بزرگی بر سرورهای شما وارد کند، حتی اگر ناموفق باشند. آنها میتوانند سرعت وب سایت شما را کاهش دهند یا حتی سرور شما را خراب کنند. به همین دلیل بسیار مهم است که از ورود آنها به سرور شما در وهله اول جلوگیری کنید.
برای رسیدن به این هدف، به یک راه حل فایروال وب سایت نیاز دارید. فایروال به عنوان فیلتری عمل میکند که ترافیک مخرب را از دسترسی به سایت شما مسدود میکند.
فایروال وب سایت
دو نوع اصلی فایروال سایت موجود است:
– فایروال های سطح برنامه: ترافیک را پس از رسیدن به سرور شما، اما قبل از بارگیری بیشتر اسکریپت های وردپرس، تجزیه و تحلیل میکنند. با این حال، این روش ممکن است به آن اندازه موثر نباشد، زیرا یک حمله brute-force همچنان میتواند بر بار سرور شما تأثیر بگذارد.
– فایروال های وب سایت سطح DNS: ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت میکنند. این به آنها امکان میدهد فقط ترافیک قانونی را به سرور میزبانی وب اصلی شما ارسال کنند و در نتیجه سرعت و عملکرد وردپرس شما را افزایش دهند.
ما به شدت توصیه میکنیم از Sucuri، که در صنعت در امنیت سایت و فایروال وردپرس پیشتاز است استفاده کنید. با فایروال وب سایت در سطح DNS، تمام ترافیک وب سایت شما از طریق پروکسی آنها هدایت میشود، بطوری که که هر گونه ترافیک مخرب فیلتر میشود.
2. آپدیت هسته وردپرس
حملات Brute Force اغلب از آسیبپذیریهای نسخههای قدیمی وردپرس و همچنین افزونهها و تمهای محبوب سوءاستفاده میکنند.
از آنجایی که وردپرس و افزونه های آن منبع باز هستند، معمولاً مسائل امنیتی به سرعت با به روز رسانی ها برطرف میشوند. غفلت از نصب این به روز رسانی ها میتواند وب سایت شما را در معرض تهدیدات بالقوه قرار دهد.
برای محافظت از خود، مرتباً بهروزرسانیها را در صفحه داشبورد » بهروزرسانیها در ناحیه مدیریت وردپرس بررسی کنید. در اینجا، میتوانید هر بهروزرسانی موجود برای هسته، افزونهها و تمهای وردپرس خود را مشاهده و نصب کنید.
3. از دایرکتوری ادمین وردپرس محافظت کنید
برای محافظت از وردپرس در برابر حملات brute force، مهم است که دسترسی به قسمت مدیریت وردپرس را ایمن کنید.
یکی از راههای انجام این کار، افزودن password protection به دایرکتوری wp-admin وردپرس در سطح سرور است. این لایه امنیتی اضافه شده از ورود کاربران غیرمجاز به قسمت مدیریت سایت جلوگیری میکند.
برای اجرای این اقدام امنیتی، به کنترل پنل سی پنل بروید و به گزینه «Directory Privacy» در قسمت Files بروید. از آنجا، میتوانید password protection را برای دایرکتوری wp-admin تنظیم کنید، و اطمینان حاصل کنید که فقط کاربران مجاز میتوانند به این قسمت حساس سایت دسترسی داشته باشند.
در مرحله بعد، باید پوشه wp-admin را پیدا کنید. سپس روی دکمه «Edit» آن کلیک کنید.
در صفحه بعد میتوانید تنظیمات امنیتی پوشه را تنظیم کنید.
ابتدا باید کادر “Password protect this directory” را تیک بزنید. در مرحله بعد، میتوانید یک نام برای دایرکتوری محافظت شده وارد کنید.
سپس از شما خواسته میشود نام کاربری و رمز عبور را وارد کنید.
هر زمان که بخواهید به این دایرکتوری دسترسی داشته باشید، از شما این اطلاعات خواسته میشود.
پس از وارد کردن این اطلاعات، روی دکمه “save” کلیک کنید تا تنظیمات شما ذخیره شود.
دایرکتوری wp-admin وردپرس شما اکنون با رمز عبور محافظت میشود.
هنگامی که از بخش مدیریت وردپرس خود بازدید میکنید، یک اعلان ورود جدید را مشاهده خواهید کرد.
اگر با خطای 404 مواجه شدید یا با پیغام too many redirects مواجه شدید، باید خط زیر را به فایل htaccess وردپرس خود اضافه کنید:
ErrorDocument 401 default
4. افزودن احراز هویت دو مرحله ای به وردپرس
یکپارچه سازی احراز هویت دو مرحله ای یک لایه امنیتی اضافی به سیستم ورود به وردپرس شما اضافه میکند. کاربران موظفند برای دسترسی به پنل مدیریت وردپرس، علاوه بر اطلاعات ورود به سیستم معمولی، رمز عبور یک بار مصرفی را که روی گوشی تولید میشود، وارد کنند.
با فعال کردن احراز هویت دو مرحله ای، نفوذ به سایت شما برای عوامل مخرب چالش برانگیزتر میشود، حتی اگر موفق شوند رمز عبور وردپرس شما را به خطر بیندازند.
5. از رمزهای عبور منحصر به فرد و قوی استفاده کنید
تضمین امنیت سایت وردپرس یا فروشگاه تجارت الکترونیک شما شامل استفاده از رمزهای عبور قوی و منحصر به فرد برای همه حساب ها است.
رمزهای عبور قوی باید از ترکیبی از اعداد، حروف و کاراکترهای خاص تشکیل شده باشد تا در برابر حملات brute force محافظت شود.
بسیار مهم است که این عمل را نه تنها برای حساب های کاربری وردپرس، بلکه برای مشتریان FTP، کنترل پنل های میزبانی وب و پایگاه های داده وردپرس نیز اعمال کنید.
برای سادهسازی مدیریت چند رمز عبور، استفاده از برنامههای مدیریت رمز عبور میتواند به طور ایمن اطلاعات ورود به سیستم را ذخیره کرده و بهطور خودکار تکمیل کند.
این میتواند به اطمینان از استفاده از رمزهای عبور قوی در همه حساب ها بدون نیاز به حفظ کردن هر یک به صورت جداگانه کمک کند و یک لایه حفاظتی اضافی در برابر نقض احتمالی امنیتی اضافه کند.
6. غیرفعالسازی Directory Browsing
بهطور پیشفرض، زمانی که سرور وب شما نمیتواند فایل ایندکسی (مانند index.php یا index.html) پیدا کند، بهطور خودکار صفحه دایرکتوری را نمایش میدهد که محتویات دایرکتوری را نشان میدهد.
در طول یک حمله brute force، هکرها میتوانند از مرور دایرکتوری مانند این پوشه بالا، برای جستجوی فایل های آسیب پذیر استفاده کنند. برای رفع این مشکل، باید خط زیر را در پایین فایل htaccess وردپرس خود اضافه کنید:
Options -Indexes
7. اجرای فایل PHP را در پوشه های خاص غیرفعال کنید
هکرها سایت های وردپرس را هدف قرار میدهند تا اسکریپت های PHP را در پوشه های وب سایت نصب و اجرا کنند. از آنجایی که وردپرس عمدتاً با PHP نوشته شده است، غیرفعال کردن کامل آن در همه پوشه ها امکان پذیر نیست.
با این حال، پوشههای خاصی، مانند پوشه آپلود در /wp-content/uploads، به اسکریپتهای PHP نیاز ندارند و میتوانند اجرای PHP را برای محافظت در برابر حملات غیرفعال کنند.
با غیرفعال کردن اجرای PHP در پوشه آپلود، میتوانید از استفاده هکرها برای مخفی کردن فایلهای درپشتی مضر جلوگیری کنید.
برای انجام این کار، یک ویرایشگر متن مانند Notepad را در رایانه خود باز کنید و کد ارائه شده را که به ایمن کردن سایت وردپرس شما در برابر حملات brute force کمک میکند، قرار دهید.
<Files *.php>
deny from all
</Files>
اکنون، این فایل را بهعنوان htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشههای /wp-content/uploads/ وبسایت خود آپلود کنید.
8. یک افزونه بکاپ وردپرس نصب کنید
پشتیبان گیری یک جزء ضروری برای محافظت از سایت وردپرس شما در برابر حملات brute force است. در صورتی که سایت شما به خطر بیفتد، داشتن نسخه های پشتیبان به راحتی در دسترس به شما این امکان را میدهد که به راحتی آن را به حالت قبلی خود بازگردانید.
در حالی که بسیاری از شرکتهای میزبان گزینههای پشتیبانگیری محدودی را ارائه میدهند، مهم است که مسئولیت ایجاد و ذخیره نسخههای پشتیبان خود را با استفاده از ابزارهایی مانند افزونه پشتیبانگیری وردپرس Duplicator، ذخیره کنید.
این ابزارها به شما این امکان میدهند بکاپ گیری خودکار را برنامهریزی کنید و آنها را از راه دور در پلتفرمهایی مانند Google Drive و Dropbox ذخیره کنید، اهمیت دارد.
علاوه بر استفاده از افزونههای پشتیبانگیری مانند Duplicator، پیروی از اقدامات امنیتی جامعی که در منابعی مانند راهنمای امنیتی نهایی وردپرس برای مبتدیان ذکر شده است نیز بسیار مهم است.
با اجرای این استراتژیها، میتوانید از سایت خود در برابر حملات brute force و سایر تهدیدات امنیتی محافظت کنید و از حفاظت مداوم از محتوا و دادههای ارزشمند خود اطمینان حاصل کنید.
جمع بندی
محافظت از سایت وردپرس شما در برابر حملات brute force برای حفظ امنیت و یکپارچگی وب سایت شما ضروری است. با پیروی از راهنمای گام به گام ذکر شده در این آموزش، میتوانید خطر دسترسی غیرمجاز و آسیب احتمالی به سایت خود را به میزان قابل توجهی کاهش دهید.
پیاده سازی رمزهای عبور قوی، محدود کردن تلاش برای ورود به سیستم، استفاده از افزونه های امنیتی و به روز نگه داشتن نصب وردپرس تنها چند استراتژی ساده و در عین حال موثر هستند که میتوانند به محافظت از سایت شما در برابر حملات مخرب کمک کنند.
مهم است که هنگام محافظت از سایت وردپرس خود هوشیار و فعال باشید، زیرا تهدیدات سایبری به طور مداوم در حال توسعه و پیچیده تر شدن هستند.
با انجام اقدامات احتیاطی لازم و مطلع ماندن از آخرین اقدامات امنیتی، میتوانید بهتر در برابر حملات وحشیانه و سایر انواع تهدیدات سایبری دفاع کنید. به یاد داشته باشید که امنیت وب سایت شما در نهایت مسئولیت شماست، بنابراین مهم است که امنیت را در اولویت قرار دهید و اقدامات لازم برای حفظ امنیت سایت وردپرس خود را انجام دهید.
سوالات متداول
1. حمله brute force چیست؟
حمله brute force روشی است که توسط هکرها برای دسترسی به یک وب سایت با استفاده از چندین ترکیب مختلف از نام کاربری و رمز عبور تا زمانی که نام کاربری صحیح را پیدا کنند استفاده میکنند.
2. چگونه میتوانید از سایت وردپرس خود در برابر حملات brute force محافظت کنید؟
شما میتوانید با استفاده از گذرواژه های قوی و منحصر به فرد، محدود کردن تلاش برای ورود به سیستم، استفاده از یک افزونه امنیتی مانند Wordfence یا Sucuri و فعال کردن احراز هویت دو مرحله ای، سایت وردپرس خود را از حملات brute force محافظت کنید.
3. چرا محافظت از سایت خود در برابر حملات brute force مهم است؟
حملات Brute Force میتواند منجر به دسترسی غیرمجاز به وب سایت شما شود، به طور بالقوه اطلاعات حساس را به خطر بیندازد یا به سایت شما آسیب برساند. محافظت از سایت شما در برابر حملات brute force به اطمینان از امنیت و یکپارچگی وب سایت و داده های آن کمک میکند.
