حفاظت از سایت در برابر حمله Brute Force
حملههای بروتفورس میتوانند سرعت وبسایت شما را کاهش بدهند ، آن را از دسترس خارج کنند و حتی رمز عبورتان را هک کرده و بدافزار ها را روی سایتتان نصب و راهاندازی کنند. اگر صاحب یک وبسایت هستید ، باید از امنیت سایت خود در برابر این حملهها مطمئن شوید. در این مقاله ، ما به شما نشان خواهیم داد که چگونه میتوانید سایتتان را در برابر حملهی بروتفورس ایمن بسازید.
حمله بروت فورس (Brute Force) چیست؟
حملهی بروتفورس ، روشی از هک کردن است که از راههای آزمون و خطا برای شکستن قفل یک وبسایت ، شبکه یا یک سیستم رایانهای استفاده میکند.
هکرها از نرمافزارهایی استفاده میکنند که به صورت خودکار تعداد بسیار زیادی از درخواست را به سایت هدف ارسال میکنند. با هر درخواست ، نرمافزار تلاش میکند تا اطلاعات لازم برای دسترسی یافتن به وبسایت مانند رمزعبورها و پینکدها را حدس بزند و امتحان کند.
این ابزارها همچنین میتوانند با استفاده از آدرسهای آیپی مختلف و تغییر دادن شناسه مکانشان (IP)، خود را پنهان کرده و کار سیستم را برای پیدا کردن فعالیتهای مشکوک و مسدود کردن آنها بسیار سخت میکنند.
یک حملهی بروتفورس موفق میتواند دسترسی به سایت شما را برای یک هکر فراهم کند. آنها میتوانند بدافزارها را روی سایت نصب کرده ، اطلاعات کاربر را بدزدند و تمام محتوای وبسایت شما را حذف کنند.
حتی بروتفورسهای ناموفق نیز میتوانند خرابیهایی به بار بیاورند. آنها با فرستادن درخواستهای متمادی به وبسایت شما ، سرعت آن را کند کرده و باعث از بین رفتن سرعت سایت بشوند.
با روشهایی که در ادامه برایتان خواهیم گفت ، میتوانید تا حد زیادی وبسایتتان را از حملهی بروتفورس محفوظ نگه دارید.
قدم اول : یک افزونه دیوار آتش (Firewall) وردپرس نصب کنید
حملههای بروتفورس ، عملکرد وبسایتتان را با مشکلات زیادی مواجه خواهند کرد. همانطور که پیشتر گفته شد ، حملههای بروتفورس در صورت ناموفق بودنشان نیز سرعت وبسایت شما را کاهش داده و کاملا آن را به هم بریزند. برای همین ، شما باید پیش از رسیدن آنها به سرور سایتتان آنها را مسدود کرده و متوقفشان کنید.
برای این کار ، شما به یک دیوار آتش یا فایروال در سایت خود احتیاج خواهید داشت. دیوار آتش فعالیتهای بروتفورس را متوقف کرده و با مسدود کردنش ، اجازهی دسترسی به سایت را از او خواهد گرفت.
شما میتوانید یکی از دو نوع دیوار آتش را در وبسایت خود به کار بگیرید:
دیوار آتش سطح برنامه (Application Level Firewall) :
این افزونههای دیوار آتش هنگام رسیدن حمله و پیش از بالا آمدن اکثر محتوای وردپرس ، آن را بررسی میکنند. این راه خیلی به صرفه نیست ؛ زیرا حملهی بروتفورس همچنان میتواند به سرور سایت شما دسترسی داشته و روی آن تأثیرات مخرب به جا بگذارد.
دیوار آتش وبسایت سطح DNS (DNS Level Website Firewall) :
این دیوار آتش ترافیک سایت شما را به سمت پروکسیسرورهای خودشان هدایت میکنند. با این کار ، آنها ترافیکهای بروتفورسی را حذف کرده و با فرستادن ترافیک سالم به سرور اصلی سایت شما ، عملکرد سایت را بهینهسازی میکنند.
ما استفاده از افزونهی Sucuri را به شما پیشنهاد میکنیم که اکنون به عنوان بهترین افزونهی دیوار آتش وردپرس شناخته میشود. با توجه به سطح DNS بودن این افزونه ، دیوار آتش آن تمام ترافیک بروتفورسی سایت شما را حذف کرده و آن را از این گونه حملهها محافظت میکند.
قدم دوم : وردپرس خود را بروزرسانی کنید
بعضی از حملههای رایج بروتفورس به دلیل ضعف امنیتی نسخههای قدیمیتر وردپرس ، افزونهها و پوستههای آن با موفقیت انجام میشوند.
نرمافزار وردپرس و بیشتر افزونههای رایج آن ، منبع باز هستند و ضعفهای آنها معمولا به سرعت با یک بروزرسانی به نسخهی جدید رفع میشود. اگر نسخههای جدیدتر وردپرس را روی سایت خود بروزرسانی نکنید ، آنگاه آن را با ضعف خود در برابر حملهها رها کردهاید.
در مدیریت وردپرس به مسیر پیشخوان » بروزرسانی ها بروید تا از وضعیت نسخهی جدید مطلع شوید. این صفحه تمام بروزرسانیهای شما برای نرمافزار وردپرس ، پوستهها و افزونههای آن را نمایش خواهد داد.
قدم سوم : پوشه wp-admin را رمزگذاری کنید
مدیریت وردپرس سایت هستند. شما میتوانید با استفاده از رمز عبور ، حفاظت از مدیریت سایتتان را در سطح سرور انجام دهید. با این کار ، بدون رمز عبور تعیین شده توسط شما ، دسترسی مدیریت به شخص دیگری داده نخواهد شد و تلاشهایی که برای ورود غیرمجاز انجام میشوند ، مسدود خواهند شد.
به بخش مدیریت وردپرس سایت خود وارد شوید و به قسمت سیپنل ( cPanel) سایت مراجعه کنید و روی Directory Privacy زیر بخش Files کلیک کنید.
نکته : در تصویر ، تنظیمات Bluehost نمایش داده شده ، اما تنظیمات میزبانهای دیگر بسیار به این تصویر مشابه بوده و در آنها از اسامی یکسان استفاده شده است.
سپس ، باید پوشهی wp-admin را پیدا کرده و روی نام آن کلیک کنید.
اکنون ، سیپنل از شما میخواهد تا برای پوشهی محصور شده نام ، نام کاربری و رمز عبور ایجاد کنید. پس از وارد کردن این اطلاعات برای ذخیره کردن تغییرات خود روی دکمهی “ذخیره” (save) کلیک کنید.
بخش Directory وردپرس شما حالا با رمز عبور محافظت شده است. اکنون پس از ورود به بخش مدیریت سایت با قسمت ورود جدیدی مواجه خواهید شد.
برای اطلاعات بیشتر به آموزش گذاشتن پسورد روی پوشه wp-admin مراجعه کنید.
قدم چهارم : احراز هویت دوگانه را به وردپرس اضافه کنید
احراز هویت دوگانه به بخش ورود سایت وردپرس شما یک لایهی امنیتی اضافه میافزاید. برای ورود با این روش، کاربران باید کد یک بار مصرف فرستاده شده به تلفن همراهشان را به همراه نام کاربری و رمز عبور در سایت وارد کنند.
حتی اگر هکرها قادر باشند سایت شما را رمزگشایی کرده و به آن دسترسی پیدا کنند ، شما با افزودن احراز هویت دوگانه به ورود سایت، کار را برای آنها دشوارتر خواهید کرد.
قدم پنجم : از رمز عبورهای یکتا و قوی استفاده کنید
رمز عبورها کلید ورود به وبسایت شما هستند. شما باید برای تمام حسابهایتان پسووردهایی قوی و غیرقابل حدس به کار ببرید. یک رمز عبور قوی ، شامل اعداد ، نشانههای خاص و حروف میشود. نکتهی مهم این است که باید از این پسووردها برای مدیریت وردپرس ، FTP ، هاست سایت و پایگاهداده وردپرس استفاده کنید.
نیازی نیست که تمام رمز عبورهای سخت خود را حفظ کنید. نرم افزارهای فوقالعادهای برای مدیریت پسووردها ساخته شدهاند که با روشهای امن رمزهای شما را ذخیره کرده و به صورت خودکار هر رمز را در فرم مربوط به خودش وارد میکنند.
قدم ششم : Directory Browsing را غیرفعال کنید
هنگامی که وب سرور سایت شما یک فایل index (به طور مثال ، index.php یا index.html) را پیدا نمیکند ، به طور پیشفرض به صفحهای با محتوای بخش Directory راهنمایی میشود.
حین یک حملهی بروتفورس ، هکرها میتوانند از این موقعیت برای یافتن سندهای آسیبپذیر استفاده کنند. برای رفع این مشکل ، شما باید کد زیر را در پایین فایل .htaccess وردپرستان وارد کنید :
Options –Indexes
قدم هفتم : اجرای PHP را در پوشههای خاص وردپرس غیرفعال کنید
شاید هکر پس از دسترسی به سایت شما بخواهد یک کد PHP را در پوشه های وردپرستان نصب و اجرا کند. با توجه به این که وردپرس بر پایهی PHP نوشته شده است ، شما نمیتوانید اجرا کردن این کدها را در تمام پوشههای آن غیرفعال کنید.
با این وجود ، پوشههایی در وردپرس هستند که به کدهای PHP هیچ نیازی ندارند. برای مثال ، بخش بارگذاری وردپرس شما در مسیر /wp-content/uploads قرار دارد که برای هکرها ، قسمتی رایج به منظور اجرای کدهای مخرب است. شما میتوانید با حفظ امنیت ، اجرای کد PHP در این پوشه را متوقف کنید.
برای این کار ، ابتدا باید محلی را برای قرار دادن کد زیر در کامپیوتر خود باز کنید. مانند یک صفحهی Text Document. سپس ، کد زیر را در آن کپی کنید :
<Files *.php>
deny from all
</Files>
حالا ، این فایل را با نام .htaccess ذخیره کنید و با استفاده از مدیریت FTP Client آن را روی پوشههای /wp-admin/uploads آپلود کنید. مقالهی توقف اجرای PHP ما را ببینید.
قدم هشتم : افزونهای برای پشتیبان گیری از وردپرس نصب کنید
می توان بکاپها را مهمترین سلاح موجود در انبار مهمات امنیت وردپرس شما دانست. اگر تمام راههای دیگر با شکست مواجه شدند ، با استفاده از کمک نسخههای پشتیبان میتوانید وبسایت خود را بازگردانید.
اکثر هاستهای وردپرس ، گزینههای محدود برای بکاپ را پیشنهاد میدهند. این پشتیبانگیریها تضمین نشدهاند و صرفا خودتان مسئول بک آپ گرفتن از سایتتان هستید.
اما افزونههای خوبی برای بکاپ گرفتن از سایت وجود دارند که با آنها میتوانید برنامهریزی زمانی برای پشتیبانگیری خودکار از سایت انجام بدهید.
ما استفاده از افزونهی UpdraftPlus را به شما پیشنهاد میکنیم. این افزونه کارکرد آسانی دارد و با آن میتوانید به سرعت پشتیبانگیریهای خودکار را انجام داده و فایلهای بکاپ را در مکانهایی از جمله Google Drive ، Dropbox و Amazon S3 ذخیره کنید.
برای یادگیری کار با این افزونه از آموزش افزونه UpdraftPlus ما دیدن کنید.
جمع بندی
تمام نکاتی که گفته شد به شما کمک خواهند کرد تا سایت خود را در برابر حملههای بروتفورس محفوظ نگاه دارید. امیدواریم با این مقاله به شما در ایمن کردن سایت خود و محافظت بیشتر و مطمئنتر از آن کمک کرده باشیم. شاید مایل باشید از مقالهی ما در زمینهی جلوگیری از حملات بروت فورس به وردپرس نیز دیدن کنید.
امنیت وردپرس
بدون دیدگاه
بروت فورس وردپرس، جلوگیری از حملات brute force، حمله به سایت وردپرس