حفاظت از سایت در برابر حمله Brute Force

حمله‌های بروت‌فورس می‌توانند سرعت وبسایت شما را کاهش بدهند ، آن را از دسترس خارج کنند و حتی رمز عبورتان را هک کرده و بدافزار ها را روی سایت‌تان نصب و راه‌اندازی کنند. اگر صاحب یک وبسایت هستید ، باید از امنیت سایت خود در برابر این حمله‌ها مطمئن شوید. در این مقاله ، ما به شما نشان خواهیم داد که چگونه می‌توانید سایت‌تان را در برابر حمله‌ی بروت‌فورس ایمن بسازید.

حمله بروت فورس (Brute Force) چیست؟

حمله‌ی بروت‌فورس ، روشی از هک کردن است که از راه‌های آزمون و خطا برای شکستن قفل یک وبسایت ، شبکه یا یک سیستم رایانه‌ای استفاده می‌کند.

هکرها از نرم‌افزارهایی استفاده می‌کنند که به صورت خودکار تعداد بسیار زیادی از درخواست را به سایت هدف ارسال می‌کنند. با هر درخواست ، نرم‌افزار تلاش می‌کند تا اطلاعات لازم برای دسترسی یافتن به وبسایت مانند رمزعبورها و پین‌کدها را حدس بزند و امتحان کند.

این ابزارها همچنین می‌توانند با استفاده از آدرس‌های آی‌پی مختلف و تغییر دادن شناسه مکان‌شان (IP)، خود را پنهان کرده و کار سیستم را برای پیدا کردن فعالیت‌های مشکوک و مسدود کردن آن‌ها بسیار سخت می‌کنند.

یک حمله‌ی بروت‌فورس موفق می‌تواند دسترسی به سایت شما را برای یک هکر فراهم کند. آن‌ها می‌توانند بدافزارها را روی سایت نصب کرده ، اطلاعات کاربر را بدزدند و تمام محتوای وبسایت شما را حذف کنند.

حتی بروت‌فورس‌های ناموفق نیز می‌توانند خرابی‌هایی به بار بیاورند. آن‌ها با فرستادن درخواست‌های متمادی به وبسایت شما ، سرعت آن را کند کرده و باعث از بین رفتن سرعت سایت بشوند.

با روش‌هایی که در ادامه برای‌تان خواهیم گفت ، می‌توانید تا حد زیادی وبسایت‌تان را از حمله‌ی بروت‌فورس محفوظ نگه دارید.

قدم اول : یک افزونه دیوار آتش (Firewall) وردپرس نصب کنید

حمله‌های بروت‌فورس ، عملکرد وبسایت‌تان را با مشکلات زیادی مواجه خواهند کرد. همانطور که پیشتر گفته شد ، حمله‌های بروت‌فورس در صورت ناموفق بودن‌شان نیز سرعت وبسایت شما را کاهش داده و کاملا آن را به هم بریزند. برای همین ، شما باید پیش از رسیدن آن‌ها به سرور سایت‌تان آن‌ها را مسدود کرده و متوقف‌شان کنید.

برای این کار ، شما به یک دیوار آتش یا فایروال در سایت خود احتیاج خواهید داشت. دیوار آتش فعالیت‌های بروت‌فورس را متوقف کرده و با مسدود کردنش ، اجازه‌ی دسترسی به سایت را از او خواهد گرفت.

شما می‌توانید یکی از دو نوع دیوار آتش را در وبسایت خود به کار بگیرید:

دیوار آتش سطح برنامه (Application Level Firewall) :

این افزونه‌های دیوار آتش هنگام رسیدن حمله و پیش از بالا آمدن اکثر محتوای وردپرس ، آن را بررسی می‌کنند. این راه خیلی به صرفه نیست ؛ زیرا حمله‌ی بروت‌فورس همچنان می‌تواند به سرور سایت شما دسترسی داشته و روی آن تأثیرات مخرب به جا بگذارد.

دیوار آتش وبسایت سطح DNS (DNS Level Website Firewall) :

این دیوار آتش ترافیک سایت شما را به سمت پروکسی‌سرورهای خودشان هدایت می‌کنند. با این کار ، آن‌ها ترافیک‌های بروت‌فورسی را حذف کرده و با فرستادن ترافیک سالم به سرور اصلی سایت شما ، عملکرد سایت را بهینه‌سازی می‌کنند.

ما استفاده از افزونه‌ی Sucuri را به شما پیشنهاد می‌کنیم که اکنون به عنوان بهترین افزونه‌ی دیوار آتش وردپرس شناخته می‌شود. با توجه به سطح DNS بودن این افزونه ، دیوار آتش آن تمام ترافیک بروت‌فورسی سایت شما را حذف کرده و آن را از این گونه حمله‌ها محافظت می‌کند.

قدم دوم : وردپرس خود را بروزرسانی کنید

بعضی از حمله‌های رایج بروت‌فورس به دلیل ضعف امنیتی نسخه‌های قدیمی‌تر وردپرس ، افزونه‌ها و پوسته‌های آن با موفقیت انجام می‌شوند.

نرم‌افزار وردپرس و بیشتر افزونه‌های رایج آن ، منبع باز هستند و ضعف‌های آن‌ها معمولا به سرعت با یک بروزرسانی به نسخه‌ی جدید رفع می‌شود. اگر نسخه‌های جدیدتر وردپرس را روی سایت خود بروزرسانی نکنید ، آنگاه آن را با ضعف خود در برابر حمله‌ها رها کرده‌اید.

در مدیریت وردپرس به مسیر پیشخوان » بروزرسانی ها بروید تا از وضعیت نسخه‌ی جدید مطلع شوید. این صفحه تمام بروزرسانی‌های شما برای نرم‌افزار وردپرس ، پوسته‌ها و افزونه‌های آن را نمایش خواهد داد.

قدم سوم : پوشه wp-admin را رمزگذاری کنید

مدیریت وردپرس سایت هستند. شما می‌توانید با استفاده از رمز عبور ، حفاظت از مدیریت سایت‌تان را در سطح سرور انجام دهید. با این کار ، بدون رمز عبور تعیین شده توسط شما ، دسترسی مدیریت به شخص دیگری داده نخواهد شد و تلاش‌هایی که برای ورود غیرمجاز انجام می‌شوند ، مسدود خواهند شد.

به بخش مدیریت وردپرس سایت خود وارد شوید و به قسمت سی‌پنل ( cPanel) سایت مراجعه کنید و روی Directory Privacy زیر بخش Files کلیک کنید.

نکته : در تصویر ، تنظیمات Bluehost نمایش داده شده ، اما تنظیمات میزبان‌های دیگر بسیار به این تصویر مشابه بوده و در آنها از اسامی یکسان استفاده شده است.

سپس ، باید پوشه‌ی wp-admin را پیدا کرده و روی نام آن کلیک کنید.

اکنون ، سی‌پنل از شما می‌خواهد تا برای پوشه‌ی محصور شده نام ، نام کاربری و رمز عبور ایجاد کنید. پس از وارد کردن این اطلاعات برای ذخیره کردن تغییرات خود روی دکمه‌ی “ذخیره” (save) کلیک کنید.

بخش Directory وردپرس شما حالا با رمز عبور محافظت شده است. اکنون پس از ورود به بخش مدیریت سایت با قسمت ورود جدیدی مواجه خواهید شد.

برای اطلاعات بیشتر به آموزش گذاشتن پسورد روی پوشه wp-admin مراجعه کنید.

قدم چهارم : احراز هویت دوگانه را به وردپرس اضافه کنید

احراز هویت دوگانه به بخش ورود سایت وردپرس شما یک لایه‌ی امنیتی اضافه می‌افزاید. برای ورود با این روش، کاربران باید کد یک بار مصرف فرستاده شده به تلفن همراه‌شان را به همراه نام کاربری و رمز عبور در سایت وارد کنند.

حتی اگر هکرها قادر باشند سایت شما را رمزگشایی کرده و به آن دسترسی پیدا کنند ، شما با افزودن احراز هویت دوگانه به ورود سایت، کار را برای آن‌ها دشوارتر خواهید کرد.

قدم پنجم : از رمز عبورهای یکتا و قوی استفاده کنید

رمز عبورها کلید ورود به وبسایت شما هستند. شما باید برای تمام حساب‌هایتان پسووردهایی قوی و غیرقابل حدس به کار ببرید. یک رمز عبور قوی ، شامل اعداد ، نشانه‌های خاص و حروف می‌شود. نکته‌ی مهم این است که باید از این پسووردها برای مدیریت وردپرس ، FTP ، هاست سایت و پایگاه‌داده وردپرس استفاده کنید.

نیازی نیست که تمام رمز عبورهای سخت خود را حفظ کنید. نرم افزارهای فوق‌العاده‌ای برای مدیریت پسووردها ساخته شده‌اند که با روش‌های امن رمزهای شما را ذخیره کرده و به صورت خودکار هر رمز را در فرم مربوط به خودش وارد می‌کنند.

قدم ششم : Directory Browsing را غیرفعال کنید

هنگامی که وب سرور سایت شما یک فایل index (به طور مثال ، index.php یا index.html) را پیدا نمی‌کند ، به طور پیش‌فرض به صفحه‌ای با محتوای بخش Directory راهنمایی می‌شود.

حین یک حمله‌ی بروت‌فورس ، هکرها می‌توانند از این موقعیت برای یافتن سندهای آسیب‌پذیر استفاده کنند. برای رفع این مشکل ، شما باید کد زیر را در پایین فایل .htaccess وردپرس‌تان وارد کنید :

Options –Indexes

قدم هفتم : اجرای PHP را در پوشه‌های خاص وردپرس غیرفعال کنید

شاید هکر پس از دسترسی به سایت شما بخواهد یک کد PHP را در پوشه های وردپرس‌تان نصب و اجرا کند. با توجه به این که وردپرس بر پایه‌ی PHP نوشته شده است ، شما نمی‌توانید اجرا کردن این کدها را در تمام پوشه‌های آن غیرفعال کنید.

با این وجود ، پوشه‌هایی در وردپرس هستند که به کدهای PHP هیچ نیازی ندارند. برای مثال ، بخش بارگذاری وردپرس شما در مسیر /wp-content/uploads قرار دارد که برای هکرها ، قسمتی رایج به منظور اجرای کدهای مخرب است. شما می‌توانید با حفظ امنیت ، اجرای کد PHP در این پوشه را متوقف کنید.

برای این کار ، ابتدا باید محلی را برای قرار دادن کد زیر در کامپیوتر خود باز کنید. مانند یک صفحه‌ی Text Document. سپس ، کد زیر را در آن کپی کنید :

<Files *.php>
deny from all
</Files>

حالا ، این فایل را با نام .htaccess ذخیره کنید و با استفاده از مدیریت FTP Client آن را روی پوشه‌های /wp-admin/uploads آپلود کنید. مقاله‌ی توقف اجرای PHP ما را ببینید.

قدم هشتم : افزونه‌‌ای برای پشتیبان گیری از وردپرس نصب کنید

می توان بکاپ‌ها را مهم‌ترین سلاح موجود در انبار مهمات امنیت وردپرس شما دانست. اگر تمام راه‌های دیگر با شکست مواجه شدند ، با استفاده از کمک نسخه‌های پشتیبان می‌توانید وبسایت خود را بازگردانید.

اکثر هاست‌های وردپرس ، گزینه‌های محدود برای بکاپ را پیشنهاد می‌دهند. این پشتیبان‌گیری‌ها تضمین نشده‌اند و صرفا خودتان مسئول بک آپ گرفتن از سایت‌تان هستید.

اما افزونه‌های خوبی برای بکاپ گرفتن از سایت وجود دارند که با آن‌ها می‌توانید برنامه‌ریزی زمانی برای پشتیبان‌گیری خودکار از سایت انجام بدهید.

ما استفاده از افزونه‌ی UpdraftPlus را به شما پیشنهاد می‌کنیم. این افزونه کارکرد آسانی دارد و با آن می‌توانید به سرعت پشتیبان‌گیری‌های خودکار را انجام داده و فایل‌های بکاپ را در مکان‌هایی از جمله Google Drive ، Dropbox و Amazon S3 ذخیره کنید.

برای یادگیری کار با این افزونه از آموزش افزونه UpdraftPlus ما دیدن کنید.

جمع بندی

تمام نکاتی که گفته شد به شما کمک خواهند کرد تا سایت خود را در برابر حمله‌های بروت‌فورس محفوظ نگاه دارید. امیدواریم با این مقاله به شما در ایمن کردن سایت خود و محافظت بیشتر و مطمئن‌تر از آن کمک کرده باشیم. شاید مایل باشید از مقاله‌ی ما در زمینه‌ی جلوگیری از حملات بروت فورس به وردپرس نیز دیدن کنید.