چگونه سایت وردپرسی‌مان را از حملات بروت فورس در امان نگه داریم؟

آیا می‌خواهید سایت وردپرسی خود را از حملات بروت فورس brute force در امان نگه دارید؟ آیا می‌دانید این حملات می‌توانند سرعت سایت شما را پایین آورده٬ آن را از دسترس خارج کرده و حتی رمزهای عبور شما را کرک کرده و بر روی سایت‌تان بدافزار نصب کنند؟ در این مقاله به شما می‌آموزیم که چگونه سایت خود را در برابر این حملات ایمن کنید.

حملات بروت فورس brute force  چیست؟

حمله‌ی بروت فورس یک روش هک است که طی آن با استفاده از روش آزمون و خطا به یک وبسایت٬ شبکه و یا سیستم کامپیوتر نفوذ پیدا می‌کند.

هکرها از یک نرم‌افزار اتوماسیون برای ارسال تعداد زیادی درخواست به سیستم هدف استفاده می‌کنند. با هر درخواست٬ این نرم‌افزارها تلاش می‌کنند اطلاعات مورد نیاز برای دسترسی به سیستم مانند رمز عبور و پین کدها را حدس بزنند.

این ابزارها همچنین می‌توانند با استفاده از آدرس‌های آی پی و محل‌های متفاوت خود را پنهان کنند تا کار را برای سیستم هدف در جهت مسدود کردن فعالیت‌های مشکوک‌شان سخت تر کنند.

یک حمله بروت فورس موفق می‌تواند به هکرها امکان دسترسی به محیط مدیریت وبسایت شما را بدهد. آنها می‌توانند درپشتی (backdoor) و بدافزار نصب کرده٬ اطلاعات کاربران را سرقت کرده و یا هر چیزی را بر سایت شما پاک کنند.

حتی حملات ناموفق بروت فورس می‌توانند به واسطه ارسال درخواست‌های بسیار زیاد٬ آسیب‌هایی از قبیل کند کردن سرورهای هاستینگ وبسایت شما و حتی کرش کردن آنها را موجب شوند.

حال با دانستن همه‌ی این نکات٬ بگذارید ببینیم که چطور می‌توانیم وبسایت وردپرسی‌مان را در برابر این گونه حملات ایمن کنیم.

مرحله ۱- یک فایروال قوی برای وردپرس نصب کنید

حملات بروت فورس می‌توانند موجب بارگذاری بیش از اندازه بر روی سرورهای شما شوند. حتی حملات ناموفق نیز می‌توانند موجب کندی بیش از اندازه وبسایت و یا کرش کردن کامل سرور شما شوند. به خاطر همین مهم است که قبل از دسترسی به سرور بتوانید جلوی آنها را بگیرید.

برای انجام این کار شما باید یک فایروال بر روی سایت‌تان نصب کنید. یک فایروال٬ ترافیک بد را فیلتر کرده و دسترسی آنها را به سایت شما قطع می‌کند.

دو نوع فایروال وجود دارد که می‌توانید از آنها استفاده کنید

فایروال سطح اپلیکیشن – این نوع افزونه‌های فایروال ترافیک شما را وقتی که به سرور رسیده مورد امتحان قرار می‌دهند اما قبل از بارگذاری اغلب اسکریپت‌های وردپرس از آن جلوگیری می‌کنند.

 فایروال وبسایت سطح DNS – این نوع فایروال ترافیک وبسایت شما را از طریق سرورهای پروکسی ابری خود مسیردهی می‌کنند. این به آنها اجازه می‌دهد که تنها ترافیک‌های هدفمند را به سمت سرورهای شما سوق دهند چنان که موجب سرعت عملکرد و کیفیت وبسایت شما نیز می‌گردند.

ما به شمت استفاده از سیستم قدرتمند سوکوری Sucuri را پیشنهاد می‌کنیم. این شرکت٬ سردمدار صنعت امنیت وبسایت است و بهترین فایروال وردپرس موجود در بازار را ارایه می‌دهد. از آنجا که این یک فایروال سطح DNS است بنابراین تمام ترافیک وبسایت شما از طریق پروکسی‌های آنها هدایت شده و می‌توانید مطمئن باشید که ترافیک بد را از شما دور می‌کند.

برای بهره‌مندی از این سیستم می‌توانید از افزونه قدرتمند iThemes Security استفاده کنید که از موتور Sucuri استفاده می‌کند و ماژول‌های ویژه‌ای برای جلوگیری از حملات بروت فورس تدارک دیده است.

مرحله ۲ – بروزرسانی‌های وردپرس را نصب کنید

برخی از حملات شناخته شده‌ی بروت فورس٬ به طور فعالی حفره‌های امنیتی نسخه‌های قدیمی وردپرس٬ افزونه‌ها و قالب‌های آن را نشانه می‌گیرند.

هسته وردپرس و اغلب افزونه‌های آن به صورت متن باز بوده و حفره‌های امنیتی آن معمولا به صورت مداوم و به سرعت توسط یک بروزرسانی برطرف می‌شود. هرچند اگر شما از بروزرسانی آنها صرفنظر کنید این حفره‌ها را در معرض تهدیدها قرار می‌دهید.

به راحتی به قسمت پیشخوان > بروزرسانی‌های وردپرس رفته و تمام بروزرسانی‌های موجود را انجام دهید. در صورتی که از افزونه‌های پولی استفاده می‌کنید در کمترین زمان ممکن٬ پس از انتشار بروزرسانی آنها را نصب کنید.

مرحله ۳ – از پوشه ادمین وردپرس محافظت کنید

بیشتر حملات بروت فورس در وردپرس٬ تلاش می‌کنند به محیط مدیریت وردپرس شما دسترسی پیدا کنند. شما می‌توانید محافظت از رمز عبور برای پوشه ادمین وردپرس را در سطح سرور اضافه کنید. این کار می‌تواند دسترسی غیرمجاز به محیط مدیریت وردپرس را مسدود کند.

برای این کار به راحتی از طریق کنترل پنل هاست (سی پنل) لاگین کرده و بر روی  Directory Privacy در قسمت Files کلیک کنید.

بعد٬ باید پوشه wp-admin را پیدا کرده و بر روی نام پوشه کلیک کنید.

حال سی پنل از شما می‌خواهد که یک نام٬ نام کاربری و رمز عبور برای پوشه محدود شده انتخاب کنید. بعد از وارد کردن اطلاعات٬ بر روی دکمه ذخیره کلیک کنید تا تغییرات ذخیره شوند.

حالا پوشه ادمین وردپرس شما با رمز محافظت شده است. شما اکنون در هنگام بازدید از محیط مدیریت وردپرس با پنجره لاگین مواجه می‌شوید.

اگر با پیغام خطای ۴۰۴ یا خطای too many redirects مواجه می‌شوید آن گاه باید تکه کد زیر را به فایل .htaccess اضافه کنید.

ErrorDocument 401 default

مرحله ۴ – افزودن تایید هویت دو مرحله‌ای به وردپرس

تایید هویت دو مرحله‌ای یک لایه امنیتی اضافی به صفحه ورود وردپرس اضافه می‌کند. در این حالت کاربران به موبایل‌شان نیاز دارند تا یک کد عبور یکبار مصرف در هنگام ورود به محیط مدیریت وردپرس برایشان تولید کند.

افزودن تایید دو مرحله‌ای کار را برای هکرها جهت دسترسی به سایت شما سخت‌تر می‌کند مخصوصا زمانی که به رمز عبور سایت شما دسترسی یافته باشند.

مرحله ۵ – استفاده از رمز عبور قدرتمند و یگانه

رمز عبور کلید دسترسی به سایت وردپرسی شماست. شما باید از رمزهای عبور قوی و یکتا برای تمام حساب‌های‌تان استفاده کنید. یک رمز قوی ترکیبی از اعداد٬ حروف و کاراکترهای ویژه است.

این مهم است که شما نه تنها برای حساب وردپرس٬ که برای FTP و کنترل پنل هاستینگ و دیتابیس وردپرس‌تان نیز از رمزهای قدرتمند استفاده کنید.

بسیاری از کاربران مبتدی از ما می‌پرسند که چگونه این هم رمز را حفظ کنند؟ خب لزومی به انجام این کار نیست. اکنون اپ های مدیریت پسور قدرتمندی وجود دارد که به صورت خودکار این کار را براتان انجام می دهند.

مرحله ۶ – غیرفعال کردن Directory Browsing

به طور پیشفرض وقتی وب سرور شما نتواند فایل ایندکس (index.php or یا index.html) را پیدا کند به طور خودکار یک برگه ایندکس که شامل محتوای پوشه مورد نظر است را نمایش می‌دهد.

در طی حملات بروت فورس٬ هکرها می توانند از این فهرست دایرکتوری برای جستجوی فایل‌های قابل نفوذ استفاده کنند. برای رفع این مشکل تکه کد زیر را به انتهای فایل .htaccess اضافه کنید.

Options -Indexes

مرحله ۷ – غیرفعال کردن اجرای فایل PHP برای پوشه‌های خاص وردپرس

هکرها ممکن است بخواهند یک اسکریپت PHP رو پوشه‌های وردپرس شما بارگذاری و اجرا کنند. وردپرس بر پایه PHP نوشته شده و این بدان معناست که نمی‌توانید آن را در تمام پوشه‌های وردپرس غیرفعال کنید.

در حالی که برخی از پوشه‌ها هستند که نیازی به اسکریپت‌های PHP ندارند. برای مثال پوشه آپلودهای وردپرس در /wp-content/uploads از این دسته است.

شما می‌توانی به سادگی اجرایPHP را در پوشه آپلودها که یکی از معمول‌ترین پوشه‌ها برای هکرهاست غیرفعال کنید.

برای این کار در ابتدا باید با یک برنامه ویرایشگر متن مثل نوت پد فایل جدیدی ایجاد کرده و کد زیر را در آن کپی کنید:

<Files *.php>
deny from all
</Files>

حال این فایل را با نام .htaccess ذخیره کرده و آن را در پوشه /wp-content/uploads/ از طریق کنترل پنل هاست و یا کلاینت FTP بارگذاری کنید.

مرحله ۸ – یک افزونه برای بکاپ‌گیری در سایت‌تان نصب کنید

بکاپ‌گیری مهم‌ترین ابزار جهت حفظ امنیت سایت شما به شمار می‌رود. اگر تمام مراحل قبلی شکست بخورد آن گاه تنها نکته اتکای شما بکاپ‌های خودکار است.

اکثر شرکت‌های هاستینگ وردپرس گزینه‌های محدودی برای بکاپ‌گیری پیشنهاد می‌دهند. معمولا هیچ ضمانتی با این بکاپ‌ها وجود ندارد و بهتر است خودتان دست به کار شوید.

وردپرس دارای افزونه‌های متعددی برای بکاپ‌گیری و مهاجرت است . اکثر این افزونه ها دارای امکان بکاپ گیری خودکار و زمان‌بندی و امکان ذخیره ابری هستند. توصیه ما استفاده از افزونه قدرتمند Backupbuddy است که به سادگی می‌توانید تنظیمات آن را برای بکاپ‌گیری خودکار روزانه انجام داده و فایل‌ها را نیز در حساب دراپ‌باکس٬ گوگل درایو و یا هاست خود ذخیره کنید و خیال‌تان از بابت از دست نرفتن اطلاعات سایت‌تان راحت باشد.

همان طور که می‌دانید چندی است مارکت فرشمی بسته‌ای تحت نام تجاری بسته سفید ارایه داده که شامل برترین افزونه‌های مربوط به سئو و امنیت می‌باشد. جهت صرفه‌جویی در هزینه‌ها و بهره‌مندی دایمی از برترین ضریب امنیت و کیفیت٬ توصیه می‌کنیم از این بسته استفاده کنید. این بسته دارای بروزرسانی‌های رایگان قدرتمندترین افزونه‌های امنیت و سئو می‌باشد که با یک‌بار خرید٬ به تمام افزونه‌های فعلی و آینده‌ی آن دسترسی خواهید داشت.

ضمنا مثل همیشه با خریداری لایسنس اختصاصی این افزونه٬ کانفیگ کامل امنیتی و بهینه‌سازی سئوی سایت شما٬ توسط کارشناسان فرشمی انجام شده و علاوه بر افزایش امنیت و ضمانت ایمنی سایت٬ کیفیت عملکرد٬ سرعت و سئوی بالای سایت شما نیز با پیکربندی حرفه‌ای تضمین می‌گردد.