نحوه محافظت از سایت وردپرس در برابر حملات Brute Force
نحوه محافظت از سایت وردپرس در برابر حملات Brute Force
آیا می خواهید با نحوه محافظت از سایت وردپرس در برابر حملات Brute Force آشنا شوید؟ این حملات می تواند سرعت وب سایت شما را کم کند، آن را غیرقابل دسترسی کند و حتی رمزهای عبور شما را برای نصب بدافزار در وب سایت شما شکست دهد.
در این پست، ما به شما نشان خواهیم داد که چگونه از سایت وردپرس خود در برابر حملات brute force محافظت کنید.
Brute Force Attack چیست؟
Brute Force Attack یک روش هک است که با استفاده از تکنیک های آزمایش و خطا می تواند به وب سایت ، شبکه یا سیستم رایانه ای نفوذ کند.
هکرها از نرم افزار خودکار برای ارسال تعداد زیادی درخواست به سیستم هدف استفاده می کنند. با هر درخواست ، این نرم افزار سعی می کند اطلاعات مورد نیاز برای دسترسی ، مانند رمزهای عبور یا پین کد را حدس بزند.
این ابزارها همچنین می توانند با استفاده از آدرسها و مکانهای مختلف IP خود را پنهان کنند ، که شناسایی و مسدود کردن این فعالیتهای مشکوک را برای سیستم هدف دشوار می کند.
یک حمله موفقیت آمیز بی رحمانه می تواند به هکرها اجازه دسترسی به منطقه مدیر وب سایت شما را بدهد. آنها می توانند درپشتی ، بدافزار را نصب کنند ، اطلاعات کاربر را بدزدند و همه چیز را در سایت شما حذف کنند.
حتی حملات بی رحمانه نیرو نیز می تواند با ارسال درخواست های زیادی که باعث کند شدن سرورهای میزبانی وردپرس و حتی خراب شدن آنها می شود ، ویرانی ایجاد کند.
با این اوصاف ، بیایید نگاهی به نحوه محافظت از سایت وردپرس خود در برابر حملات بی رحمانه بیندازیم.
مرحله ۱. افزونه Firewall WordPress را نصب کنید
حملات Brute Force بار زیادی را به سرورهای شما وارد می کند. حتی موارد ناموفق نیز می توانند سرعت وب سایت شما را کم کرده و یا سرور را کاملاً خراب کنند. به همین دلیل مهم است که قبل از ورود به سرور شما آنها را مسدود کنید.
برای انجام این کار ، شما به یک راه حل فایروال وب سایت نیاز دارید. فایروال میزان جابجایی نامناسب را فیلتر کرده و از دسترسی آن به سایت شما جلوگیری می کند.
دو نوع فایروال وب سایت وجود دارد که می توانید از آنها استفاده کنید.
Application Level Firewall - این افزونه های فایروال پس از اینکه به سرور شما رسید اما قبل از بارگذاری اکثر اسکریپت های وردپرس ، میزان بازدید را بررسی می کنند. این روش به همان اندازه کارآمد نیست زیرا حمله brute force هنوز هم می تواند روی بار سرور شما تأثیر بگذارد.
DNS Level Website Firewall - این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پراکسی ابر خود هدایت می کنند. این به آنها امکان می دهد تا در حالی که سرعت و عملکرد وردپرس را تقویت می کنند ، ترافیک اصلی را به سرور اصلی میزبانی وب شما ارسال کنند.
ما توصیه می کنیم از Sucuri استفاده کنید. این رهبر صنعت در امنیت وب سایت و بهترین فایروال وردپرس در بازار است. از آنجا که این یک فایروال وب سایت در سطح DNS است ، به این معنی است که تمام ترافیک وب سایت شما از طریق پروکسی آنها عبور می کند در جایی که ترافیک بد فیلتر می شود.
مرحله ۲. به روزرسانی های وردپرس را نصب کنید
برخی از حملات معمول وحشیانه آسیب پذیری های شناخته شده در نسخه های قدیمی وردپرس ، افزونه های محبوب وردپرس یا مضامین را به طور فعال هدف قرار می دهند.
هسته وردپرس و محبوب ترین افزونه های وردپرس منبع باز هستند و آسیب پذیری ها اغلب با به روزرسانی خیلی سریع برطرف می شوند. با این وجود اگر موفق به نصب به روزرسانی نشوید ، وب سایت خود را در برابر آن تهدیدهای قدیمی آسیب پذیر می کنید.
برای بررسی به روزرسانی های موجود ، به سادگی به صفحه داشبورد »صفحه به روزرسانی ها در قسمت مدیریت وردپرس بروید. این صفحه تمام به روزرسانی ها را برای هسته ، افزونه ها و مضامین وردپرس شما نشان می دهد.
مرحله ۳. از دایرکتوری مدیریت وردپرس محافظت کنید
بیشتر حملات بی رحمانه به یک سایت وردپرس در تلاشند تا به قسمت مدیریت وردپرس دسترسی پیدا کنند. می توانید حفاظت از رمز عبور را در فهرست سرپرست وردپرس خود در سطح سرور اضافه کنید. با این کار دسترسی غیرمجاز به قسمت مدیریت وردپرس شما مسدود می شود.
به سادگی به صفحه کنترل میزبانی وردپرس خود (cPanel) وارد شوید و بر روی نماد "Directory Privacy" در بخش Files کلیک کنید.
بعد ، باید پوشه wp-admin را پیدا کرده و روی نام پوشه کلیک کنید.
cPanel اکنون از شما می خواهد که نامی برای پوشه محدود شده ، نام کاربری و رمز ورود خود ارائه دهید. پس از وارد کردن این اطلاعات بر روی دکمه ذخیره کلیک کنید تا تنظیمات شما ذخیره شود.
فهرست مدیریت وردپرس شما اکنون با رمز عبور محافظت شده است. هنگامی که از قسمت سرپرست وردپرس خود بازدید می کنید ، یک فرمان ورود جدید مشاهده خواهید کرد.
اگر با یک خطای ۴۰۴ یا خطای too many redirects (ریدایرکت های بیش از حد) مواجه شدید، باید خط زیر را به پرونده htaccess. وردپرس خود اضافه کنید.
ErrorDocument 401 default
مرحله ۴. احراز هویت دو عاملی را در وردپرس اضافه کنید
احراز هویت دو عاملی یک لایه امنیتی اضافی به صفحه ورود وردپرس شما اضافه می کند. اساسا ، کاربران برای دسترسی به منطقه مدیر وردپرس به تلفن های خود برای تولید رمز عبور یکبار مصرف همراه با اعتبار ورود به سیستم نیاز دارند.
افزودن احراز هویت دو عاملی دسترسی هکرها را حتی در صورت رمزگشایی رمز وردپرس شما دشوار خواهد کرد.
مرحله ۵. از رمزهای عبور قوی و منحصر به فرد استفاده کنید
گذرواژه ها کلید دستیابی به سایت وردپرس شما هستند. شما باید برای کل حساب های خود از رمزهای عبور منحصر به فرد استفاده کنید. رمز عبور قوی ترکیبی از اعداد ، حروف و کاراکترهای خاص است.
مهم این است که شما نه تنها برای حساب های کاربری وردپرس بلکه برای FTP ، کنترل پنل میزبانی وب و پایگاه داده وردپرس خود از رمزهای عبور قوی استفاده کنید.
بیشتر مبتدیان از ما می پرسند که چگونه همه این رمزهای عبور منحصر به فرد را بخاطر بسپاریم؟ خوب ، نیازی نیست برنامه های مدیریت رمز عبور بسیار خوبی در دسترس هستند که با اطمینان رمزهای ورود شما را ذخیره می کنند و به طور خودکار آنها را برای شما پر می کنند.
مرحله ۶. directory browsing را غیرفعال کنید
به طور پیش فرض، هنگامی که وب سرور شما یک پرونده فهرست پیدا نمی کند (به عنوان مثال فایلی مانند index.php یا index.html) ، به طور خودکار یک صفحه فهرست را نمایش می دهد که محتوای فهرست را نشان می دهد.
در هنگام حمله بی رحمانه ، هکرها می توانند از directory browsing استفاده کنند تا به دنبال فایل های آسیب پذیر باشند. برای رفع این مشکل ، باید خط زیر را در پایین فایل htaccess. وردپرس خود اضافه کنید.
Options -Indexes
مرحله ۷. اجرای پرونده PHP را در پوشه های خاص وردپرس غیرفعال کنید
ممکن است هکرها بخواهند یک اسکریپت PHP را در پوشه های وردپرس شما نصب و اجرا کنند. وردپرس به طور عمده در PHP نوشته شده است ، به این معنی که نمی توانید آن را در تمام پوشه های وردپرس غیرفعال کنید.
با این حال ، برخی از پوشه ها هستند که به هیچ اسکریپت PHP نیازی ندارند. به عنوان مثال ، پوشه بارگذاری وردپرس شما در / wp-content / uploads قرار دارد.
شما می توانید با خیال راحت اجرای PHP را در پوشه بارگذاری که مکانی رایج است که هکرها برای پنهان کردن پرونده های backdoor استفاده می کنند ، غیرفعال کنید.
ابتدا باید یک ویرایشگر متن مانند Notepad در رایانه خود باز کرده و کد زیر را جای گذاری کنید:
<Files *.php> deny from all </Files>
اکنون ، این فایل را به صورت .htaccess ذخیره کرده و با استفاده از سرویس گیرنده FTP آن را در / wp-content / uploads / پوشه ها در وب سایت خود بارگذاری کنید.
مرحله ۸. نصب و راه اندازی افزونه پشتیبان گیری وردپرس
پشتیبان گیری مهمترین ابزار در زمینه تامین امنیت وردپرس شماست. در صورت عدم موفقیت در سایر موارد ، تهیه نسخه پشتیبان به شما امکان می دهد وب سایت خود را به راحتی بازیابی کنید.
اکثر شرکت های میزبان وردپرس گزینه های پشتیبان گیری محدودی را ارائه می دهند. با این حال ، این نسخه های پشتیبان تضمین نمی شوند و شما تنها مسئولیت تهیه نسخه پشتیبان را دارید.
چندین افزونه پشتیبان گیری وردپرس عالی وجود دارد که به شما امکان می دهد بک آپ گیری خودکار را برنامه ریزی کنید.
ما توصیه می کنیم از UpdraftPlus استفاده کنید. این برنامه برای مبتدیان مناسب است و به شما امکان می دهد به سرعت پشتیبان گیری خودکار را تنظیم کرده و در مکان های از راه دور مانند Google Drive ، Dropbox ، Amazon S3 و غیره ذخیره کنید.
نحوه محافظت از سایت وردپرس در برابر حملات Brute Force
امیدواریم این مقاله به شما کمک کند یاد بگیرید چگونه از سایت وردپرس خود در برابر حملات brute force محافظت کنید.
توجه: برای رفع تمام مشکلات وب سایت های وردپرسی خود از جمله سایت های هک شده، کندی سرعت، سئو و بهینه سازی و ... می توانید با کارشناسان متخصص و با تجربه ما در سایت پشتیبان وردپرس ایرانی تماس بگیرید.