جلوگیری از حملات Brute Force در وردپرس

 حملات Brute Force می تواند سایت شما را کند بکنند، آن را غیر قابل دسترس کنند و حتی برای نصب نرم افزارهای مخرب در سایت شما، رمزهای عبور را هم پیداکنند. در این مقاله به شما نحوه جلوگیری از حملات Brute Force در وردپرس را نشان خواهیم داد.

حمله Brute Force چیست؟

حمله Brute Force یکی از روش های هک است که از تکنیک های سعی و خطا برای نفوذ به یک سایت، یک شبکه یا یک سیستم کامپیوتری استفاده می کند.

هکرها از نرم افزار خودکار برای ارسال تعداد زیادی درخواست به سیستم هدف استفاده می کنند. با هر درخواست، این نرم افزار تلاش می کند تا اطلاعات مورد نیاز برای دسترسی، مانند کلمه عبور یا کد پین را حدس بزند.

این ابزار همچنین می تواند با استفاده از آدرس های IP و مکان های مختلف، خود را مخفی کرده و باعث سخت شدن کار سیستم هدف برای شناسایی و جلوگیری از فعالیت های مشکوک شود. 

یک حمله Brute Force موفق می تواند به هکرها دسترسی به منطقه مدیریت سایت شما را بدهد. آنها می توانند backdoor، نرم افزارهای مخرب را نصب کنند، اطلاعات کاربر را سرقت کنند و همه اطلاعات سایت را حذف کنند.

حتی حملات Brute Force ناموفق می توانند بخاطر فرستادن درخواستهای زیاد، سرعت سرورهای میزبانی سایت شما را کاهش دهند و یا حتی آنها را خراب کنند.

به این ترتیب، بیایید نگاهی به چگونگی جلوگیری از حملات Brute Force در وردپرس بیاندازیم.

مرحله 1: نصب افزونه وردپرس فایروال برای جلوگیری از حملات Brute Force در وردپرس

Brute Force بار زیادی را به سرور سایت شما وارد می کند. حتی موارد ناموفق می تواند وب سایت شما را کند بکند یا سرور را کاملا خراب کند. به همین دلیل مهم است قبل از اینکه آنها به سرور شما حمله کنند، آنها را مسدود کنید.

برای انجام این کار، شما نیاز به فایروال سایت دارید. فایروال ترافیک بد را فیلتر می کند و از دسترسی به سایت شما جلوگیری می کند.

دو نوع فایروال سایت وجود دارد که می توانید آن را استفاده کنید.

Application Level Firewall – این نوع از افزونه های فایروال، ترافیک ورودی سرور را بررسی می کند اما قبل از بارگذاری بخش بیشتری از اسکریپت وردپرس. این روش کارآمد نیست، زیرا هنوز حمله Brute Force میتواند سرور شما را تحت تأثیر قرار دهد. ولی به هر حال سرویس ها و افزونه های رایگانی مثل افزونه Wordfence برای این کار وجود دارد.

[callout bg=”#81d742″]بهبود امنیت سایت برای مبتدیان با راه اندازی و تنظیم افزونه Wordfence[/callout]

DNS Level Web Firewall – این فایروال ترافیک ورودی سایت را به سرورهای پروکسی ابری خود هدایت می کند و  فقط ترافیک واقعی را به سرور میزبانی سایت شما ارسال می کند. این کار باعث افزایش سرعت و امنیت وردپرس می شود.

Sucuri یکی از بهترین هاست ولی باید هزینه کنید. البته Cloudflare هم این ویژگی را دارد نه در نسخه رایگان.

مرحله 2: به روز رسانی وردپرس

برخی از حملات Brute Force، آسیب پذیری های شناخته شده در نسخه های قدیمی تر وردپرس، افزونه های محبوب یا پوسته ها ی محبوب را هدف قرار می دهند.

هسته وردپرس و محبوب ترین افزونه های وردپرس منبع باز (Open Source) هستند و آسیب پذیری ها اغلب با به روز رسانی بسیار سریع ترمیم می شوند. اگر شما وردپرس، افزونه ها و پوسته های نسخه قدیمی را استفاده می کنید، سایت شما با حملات حمله Brute Force تهدید می شود.

برای به روز رسانی تمام موارد یادشده، می توانید بعد از ورود قسمت مدیریت وردپرس، از قسمت پیشخوان، روی به روز رسانی ها کلیک کنید.

مرحله 3: محافظت از دایرکتوری قسمت مدیریت وردپرس

بیشتر حملات Brute Force به یک سایت وردپرسی در تلاش برای دسترسی به منطقه مدیریت وردپرس هستند. می توانید از محافظت سطح سرور با رمزگذاری روی پوشه مدیریت وردپرس استفاده کنید.

برای این کار مراحل زیر را طی کنید:

1. وارد Cpanel شوید.
2. روی آیکن Directory Privacy  در قسمت Files کلیک کنید.
   
3. شما باید پوشه wp-admin را پیدا کرده و روی نام پوشه کلیک کنید.

برای واردشدن داخل هر پوشه روی آیکن پوشه   کلیک کنید و برای انتخاب پوشه موردنظر روی نام آن پوشه کلیک کنید.

یک نام برای پوشه، نام کاربری و رمز عبور و تکرار رمزعبور را واردکنید. پس از وارد کردن این اطلاعات روی دکمه ذخیره کلیک کنید تا تنظیمات ذخیره شود.

پوشه مدیریت وردپرس شما اکنون محافظت شده است. هنگامی که وارد آدرس مدیریت می شوید، از شما نام کاربری و رمزعبوری که مشخص کردید، واردکنید.

اگر پیام خطاهایی مثل 404  یا  too many redirect  و شبیه آن مشاهده کردید، باید خط زیر را به فایل htaccess. وردپرس خود اضافه کنید .

ErrorDocument 401 default

مرحله 4. اضافه کردن احراز هویت دو مرحله ای وردپرس

احراز هویت دو مرحله ای یک لایه امنیتی اضافی به صفحه ورود وردپرس اضافه می کند. اساسا، برای دسترسی به مدیریت وردپرس، به تلفن همراه خود برای دریافت کد تایید نیاز دارید.

با افزودن احراز هویت دو مرحله ای، حتی اگر هکرها بتوانند رمز عبور وردپرس را بدست آورند باز دسترسی هکرها سخت تر می شود.

افزونه های رایگان احراز هویت دو مرحله ای مثل Google Authenticator – WordPress Two Factor Authentication (2FA) و Two Factor Authentication وجود دارد.

مرحله 5. استفاده از رمزعبور قوی و منحصر به فرد

رمز عبور کلید دسترسی به سایت وردپرسی شماست. یک رمز عبور قوی ترکیبی از اعداد، حروف و کاراکترهای خاص است.

استفاده از کلمات عبور قوی هم برای حساب های کاربری وردپرس، همینطور برای FTP، پانل کنترل میزبانی وب و پایگاه داده وردپرس مهم است.

شاید بپرسید چطور همه این کلمات عبور را بخاطر بسپارید؟ خوب، شما لازم نیست این کار را بکنید؛ چون برنامه های مدیریت رمز عبور عالی وجود دارد که بصورت ایمن گذرواژه های شما را ذخیره می کند و به صورت خودکار آنها را در سایت و کادر مربوطه برای شما پر می کند.

برای کسب اطلاعات بیشتر، ابزارهای مدیریت رمزعبور سایت ها را ببینید .

مرحله 6. غیر فعال کردن Directory Browsing

به طور پیش فرض زمانی که وب سرور شما فایل index را پیدا نکند (یعنی یک فایل مانند index.php یا index.html)، به طور خودکار یک صفحه فهرست از محتویات پوشه را نشان می دهد.

هکرها در طول یک حمله Brute Force، می توانند از Directory Browsing برای جستجوی فایل های آسیب پذیر استفاده کنند. برای رفع این، شما باید خط زیر را در پایین فایل htaccess. وردپرس اضافه کنید.

Options -Indexes

مرحله 7. غیر فعال کردن اجرای فایل پی اچ پی(PHP File Execution) در پوشه های خاص وردپرس

هکرها ممکن است بخواهند یک اسکریپت PHP را در پوشه های وردپرس نصب و اجرا کنند. وردپرس به طور عمده با PHP نوشته شده است، این بدان معنی است که شما نمی توانید آن را در همه پوشه های وردپرس غیر فعال کنید.

با این حال، برخی از پوشه ها به هیچ اسکریپت PHP نیاز ندارند. برای مثال، پوشه ی  آپلود وردپرس در / wp-content / uploads قرار دارد.

شما می توانید با خیال راحت  اجرای فایل پی اچ پی(PHP File Execution) در پوشه uploads را غیر فعال کنید که یک هکر معمولی معمولا از آن برای مخفی کردن فایل های backdoor استفاده می کند.

اولا شما باید یک ویرایشگر متن مانند Notepad را روی رایانه خود بازکنید و کد زیر را وارد کنید:

<Files *.php>

deny from all

</Files>

در حال حاضر، این فایل را به عنوان htaccess. ذخیره کنید و آن را با استفاده از یک سرویس گیرنده FTP در wp-content / uploads / آپلود کنید.

مرحله 8. نصب و راه اندازی یک افزونه پشتیبان گیری وردپرس

پشتیبان گیری مهمترین ابزار برای امنیت سایت وردپرس شماست. اگر همه چیز با شکست مواجه شود، پشتیبان گیری به شما این امکان را می دهد که سایت خود را به آسانی بازگردانید.

اکثر شرکت های میزبانی گزینه های پشتیبان محدودی را ارائه می دهند. شما تنها مسئول پشتیبان گیری سایتتان هستید.

چندین افزونه پشتیبان گیری وجود دارد که به شما امکان می دهد تا پشتیبان گیری خودکار را برنامه ریزی کنید.

برای این کار استفاده از UpdraftPlus  را توصیه می کنیم. کار با این افزونه بسیار ساده است و به شما اجازه می دهد تا به سرعت پشتیبان گیری خودکار را راه اندازی کنید و حتی مکان ذخیره پشتیبان را  انتخاب کنید (گوگل درایو، Dropbox، آمازون S3، و …)