جلوگیری از حملات Brute Force وردپرس با Protection Against DDoS
حملهٔ DDoS به حملهای گفته میشود که درخواستهای زیادی به یک بخش یا صفحه از یک سایت داده میشود که باعث از دسترس خارج شدن کل سایت یا بخشی از آن میگردد. در اصل درخواستها به صورت کاذب زیاد است و باعث مختل شدن خدمات دهی سایت میگردد. طبق توضیحات قبلی سایت راجع به حملهٔ Brute Force هم توضیحاتی را ارائه دادیم و که به آزمون و خطاهای زیاد برای پیدا کردن رمزهای عبور اطلاع میگردد. برای اینکه جلوی حملات Brute Force را بگیریم، روش های مختلفی در سطوح گوناگون وجود دارد. یکی از این راهحلها افزونههای امنیتی وردپرس است.
افزونه Protection Against DDoS یکی از این افزونه ها است که برخلاف نامش، جلوی حملات Brute Force را می گیرد! یعنی اگر رباتهای زیادی روی سایت شما اقدام به تست رمز عبور و نام کاربری زیادی در صفحهٔ ورود یا جاهای دیگر میکنند، این افزونه به راحتی میتواند جلوی این کار را بگیرد و سایت شما را تا حد زیادی امن کند.
جدای از این موضوع که Brute Force بیشتر با رمزهای عبور ساده کار دست مدیر سایت میدهد، همین روش حمله به سایت به تنهایی سبب فشار روی میزبان و کاهش سرعت بارگذاری صفحات میشود. پس مهم است که تا میتوانیم از ترفندهایی استفاده کنیم که جلوی این حملات را تا حد زیادی بگیرد.
افزونه Protection Against DDoS جلوی دسترسیهای ناخواسته به بخشهای پر کاربرد و حساس وردپرس مثل xmlrpc و RSS را میگیرد. این بخشها مستعدترین قسمت ها برای حملات DDOS هستند. تا حدی که میتوان گفت بیش از ۵۰ درصد از حملات را به راحتی با یک ترفند خیلی ساده می گیرد.
روش کار Protection Against DDoS
افزونه به محض فعال شدن کار خودش را شروع می کند. یک ایدهٔ بسیار ساده پشت آن است! وقتی یک کاربر واقعی به صفحهٔ ورود دسترسی پیدا میکند، افزونه یک کوکیِ اعتبارسنجی برای این کاربر تنظیم میکند. زمانی که کاربر فرم ورود را ارسال میکند، افزونه بررسی میکند که کوکی وجود داشته باشد و اطلاعاتش صحیح باشد. اگر این چنین بود، کاربر میتواند وارد شود. در غیر این صورت کاربر خارج میگردد.
به این دلیل که رباتهای حملهکننده معمولاً به صفحهٔ ورود مستقیم دسترسی دارند، آنها کوکی را دریافت نمیکنند؛ پس از صفحه خارج انداخته میشوند. علاوه بر آن این بررسی قبل از اجرا شدن وردپرس، یعنی در سطح وب سرور، توسط سند htaccess انجام میشود. پس هیچ فشار اضافهای به سرور و سایت وارد نخواهد شد.
کوکیهای امنیتی کدگذاری شدند و کاملاً امن هستند و برای هر کاربر به صورت یکتا صادر میشوند. پس ربات ها قادر به سوء استفاده از آنها نخواهند بود. ساده و کاملاً موثر!
سازگاری Protection Against DDoS
افزونه Protection Against DDoS سازگاری کامل با دیگر افزونه های امنیتی دارد. همچنین با وردپرس چند سایته هم هماهنگ است. البته باید بدانید که اگر از یک افزونهٔ امنیتی دیگر که به صورت جامع کار امن کردن سایت تان را انجام میدهد استفاده میکنید، بهتر است بررسی کنید که خودش مقابله کننده با حملهٔ DDOS و Brute Force دارد یا خیر. اگر داشت دیگر نیازی نیست افزونه Protection Against DDoS را نصب کنید که خود باعث فشار بیشتر به سایت تان خواهد شد.
تنظیمات Protection Against DDoS
باید دقت داشته باشید که این افزونه روی هاستهایی کار میکند که امکان استفاده از سند htaccess را داشته باشند. در حال حاضر هم بیشتر هاستها چنین اند و باید قبل از خرید فضای میزبانی به این مورد دقت داشته باشید.
افزونه دارای یک صفحه تنظیمات هم هست که تصویر آن را در ادامه می بینید. دو گزینه اول مربوط به مسدود کردن دسترسی های غیر مجاز به xmlrpc و RSS است. در قسمت Allow Countries میتوانید مشخص کنید که از چه کشورهایی بتوانند سایت شما را ببینند. که در مواقعی که از یک کشور خاص حمله صورت می گیرد، این ابزار خیلی مفید خواهد بود.
از بخش Redirect to هم میتوانید تعیین کنید که کاربران غیر مجاز به کجا ارجاع داده شوند یا به کجا بیرون انداخته شوند!
جمع بندی
ما با افزونه های امنیتی وردپرس، به امنیت سایت مان خیلی میتوانیم اضافه کنیم. البته باید در انتخاب این افزونهها و تنظیمات آنها دقت کافی را داشته باشیم. یکی از این افزونهها Protection Against DDoS بود که برای جلوگیری از حملات Brute Force در وردپرس میتوانستیم طبق توضیحات طرح شده از آن استفاده کنیم. درست است که این گام خیلی مهم بود. اما هنوز کارهای زیادی مانده که میتوانید برای امن کردن سایتتان انجام دهید که در آموزش های دیگر بخش امنیت وردپرس در سایت WPTutorial.ir به آنها اشاره شده است.