حملات brute force می تواند سرعت وب سایت شما را کم کند ، آن را غیرقابل دسترسی کند و حتی رمزهای عبور شما را برای نصب بدافزار بر روی وب سایت شما شکست دهد. در این مقاله ، ما به شما نشان خواهیم داد که چگونه از سایت وردپرس خود در برابر حملات brute force محافظت کنید.
Brute Force Attack چیست؟
Brute Force Attack یک روش هک است که با استفاده از تکنیک های آزمایش و خطا می تواند به وب سایت ، شبکه یا سیستم رایانه ای نفوذ کند. هکرها از نرم افزار خودکار برای ارسال تعداد زیادی درخواست به سیستم هدف استفاده می کنند. با هر درخواست ، این نرم افزار سعی می کند اطلاعات مورد نیاز برای دستیابی ، مانند رمزهای عبور یا پین کد را حدس بزند. این ابزارها همچنین می توانند خود را با استفاده از آدرس ها و مکان های مختلف IP پنهان کنند ، که شناسایی و مسدود کردن این فعالیت های مشکوک را برای سیستم هدف دشوار می کند. حملات brute force می تواند به هکرها اجازه دسترسی به قسمت مدیریت وب سایت شما را بدهد . آنها می توانند درپشتی ، بدافزار نصب کنند ، اطلاعات کاربر را به سرقت ببرند و همه موارد موجود در سایت شما را حذف کنند. حتی حملات بی رحمانه نیرو نیز می تواند با ارسال درخواست های زیادی که باعث کند شدن سرورهای میزبانی وردپرس و حتی خراب شدن آنها می شود ، ویرانگر باشد. با این اوصاف ، بیایید نگاهی به چگونگی محافظت از سایت وردپرس خود در برابر حملات brute force بیاندازیم.مرحله 1. افزونه Firewall WordPress را نصب کنید
حملات Brute Force بار زیادی را به سرورهای شما وارد می کند. حتی موارد ناموفق نیز می توانند سرعت وب سایت شما را کم کرده و یا سرور را به طور کامل خراب کنند. به همین دلیل مهم است که قبل از ورود به سرور شما آنها را مسدود کنید. برای انجام این کار ، شما به یک راه حل فایروال وب سایت نیاز دارید. فایروال میزان جابجایی نامناسب را فیلتر کرده و از دسترسی آن به سایت شما جلوگیری می کند.
دو نوع فایروال وب سایت وجود دارد که می توانید از آنها در مقابل حملات Brute Force استفاده کنید.
Application Level Firewall - این افزونه های فایروال پس از اینکه به سرور شما رسید اما قبل از بارگذاری اکثر اسکریپت های وردپرس ، ترافیک را بررسی می کنند. این روش به همان اندازه کارآمد نیست زیرا حمله brute force هنوز هم می تواند بار سرور شما را تحت تأثیر قرار دهد.
فایروال وب سایت سطح DNS - این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کنند. این به آنها اجازه می دهد تا در حالی که به سرعت و عملکرد وردپرس شما کمک می کنند ، ترافیک اصلی را به سرور اصلی میزبانی وب شما ارسال کنند .
مرحله 2. به روزرسانی های وردپرس را نصب کنید
برخی از حملات Brute Force آسیب پذیری های شناخته شده در نسخه های قدیمی وردپرس ، افزونه های محبوب وردپرس یا مضامین را به طور فعال هدف قرار می دهند . هسته وردپرس و محبوب ترین افزونه های وردپرس منبع باز هستند و آسیب پذیری ها اغلب با به روزرسانی خیلی سریع برطرف می شوند. با این حال اگر موفق به نصب به روزرسانی نشوید ، وب سایت خود را در برابر آن تهدیدهای قدیمی آسیب پذیر می کنید. برای بررسی به روزرسانی های موجود ، به سادگی به Dashboard » Updates در قسمت مدیریت وردپرس بروید. این صفحه تمام به روزرسانی ها را برای هسته ، افزونه ها و مضامین وردپرس شما نشان می دهد.
مرحله 3. احراز هویت دو عاملی را در وردپرس اضافه کنید
احراز هویت دو عاملی یک لایه امنیتی اضافی به صفحه ورود وردپرس شما اضافه می کند. اساساً ، کاربران برای دسترسی به منطقه مدیر وردپرس به تلفن های خود برای تولید رمز عبور یکبار مصرف همراه با اعتبار ورود به سیستم نیاز دارند.
افزودن احراز هویت دو عاملی ، دسترسی به هکرها را حتی در صورت شکستن رمز عبور وردپرس شما دشوارتر خواهد کرد.
مرحله 4. از رمزهای عبور قوی و منحصر به فرد استفاده کنید
رمزهای عبور کلید دسترسی به سایت وردپرس شما هستند. شما باید برای کل حساب های خود از رمزهای عبور قوی و منحصر به فرد خود استفاده کنید. رمز ورود قوی ترکیبی از اعداد ، حروف و نویسه های خاص است. مهم این است که شما از رمزهای عبور نه تنها برای حساب های کاربری وردپرس بلکه برای FTP ، صفحه کنترل میزبانی وب و پایگاه داده وردپرس خود نیز استفاده کنید.مرحله 5. مرور فهرست را غیرفعال کنید
به طور پیش فرض ، هنگامی که وب سرور شما یک پرونده فهرست (یعنی فایلی مانند index.php یا index.html) پیدا نمی کند ، به طور خودکار صفحه فهرست را نمایش می دهد که محتوای فهرست را نشان می دهد.
در طی حملات Brute Force ، هکرها می توانند از فهرست فهرست استفاده کنند تا به دنبال فایل های آسیب پذیر باشند. برای رفع این مشکل ، باید خط زیر را در پایین فایل .htaccess وردپرس خود اضافه کنید.
Options -Indexes
مرحله 6. اجرای پرونده PHP را در پوشه های خاص وردپرس غیرفعال کنید
ممکن است هکرها بخواهند یک اسکریپت PHP را در پوشه های وردپرس شما نصب و اجرا کنند. وردپرس به طور عمده در PHP نوشته شده است ، به این معنی که نمی توانید آن را در تمام پوشه های وردپرس غیرفعال کنید. با این حال ، برخی از پوشه ها هستند که به هیچ اسکریپت PHP نیاز ندارند. به عنوان مثال ، پوشه بارگذاری وردپرس شما در / wp-content / uploads قرار دارد. شما می توانید با خیال راحت اجرای PHP را در پوشه بارگذاری که مکانی رایج است که هکرها برای پنهان کردن پرونده های درب پشتی استفاده می کنند ، غیرفعال کنید. ابتدا باید یک ویرایشگر متن مانند Notepad در رایانه خود باز کرده و کد زیر را جای گذاری کنید:<Files *.php>
deny from all
</Files>
مرحله 7. نصب و راه اندازی افزونه پشتیبان گیری وردپرس
پشتیبان گیری مهمترین ابزار در زرادخانه امنیتی وردپرس شماست. در صورت عدم موفقیت در سایر موارد ، تهیه نسخه پشتیبان به شما امکان می دهد وب سایت خود را به راحتی بازیابی کنید.
اکثر شرکت های میزبان وردپرس گزینه های پشتیبان گیری محدودی را ارائه می دهند. با این حال ، این نسخه های پشتیبان تضمین نمی شوند و شما فقط مسئولیت تهیه نسخه پشتیبان را دارید.
چندین افزونه پشتیبان گیری وردپرس عالی وجود دارد ، که به شما امکان می دهد پشتیبان گیری خودکار را انجام دهید.
تمام نکات ذکر شده در بالا به شما کمک می کند از سایت وردپرس خود در برابر حملات brute force محافظت کنید. برای تنظیمات امنیتی جامع تر ، باید از دستورالعمل های امنیت وردپرس برای مبتدیان پیروی کنید .
امیدواریم این مقاله به شما کمک کند یاد بگیرید چگونه از سایت وردپرس خود در برابر حملات brute force محافظت کنید.
