در این قسمت از آموزش وردپرس قصد داریم در مورد حملات برت فورس (Brute Force) صحبت کنیم.

آیا می خواهید از سایت وردپرسی خود در مقابل حملات برت فورس محافظت کنید؟ این حملات می تواند سرعت سایت شما را کم یا سایت را از دسترس خارج کنند و حتی رمزهای عبور خود را برای نصب نرم افزارهای مخرب در وب سایت شما کپی کنند. در این مقاله ما به شما نحوه محافظت از سایت وردپرسی در مقابل حملات Brute Force نشان خواهیم داد.

حملات Brute Force چیست ؟

Brute Force یک روش هک است که از تکنیک های آزمایش و خطا برای شکستن یک وب سایت، یک شبکه یا یک سیستم کامپیوتری استفاده می کند.

هکرها از نرم افزار خودکار برای ارسال تعداد زیادی درخواست به سیستم هدف استفاده می کنند. با هر درخواست، این نرم افزار تلاش می کند تا اطلاعات مورد نیاز برای دسترسی، مانند کلمه عبور یا کد پین را حدس بزند.

این ابزار همچنین می تواند خود را با استفاده از آدرس های IP و مکان های مختلف مخفی کند، که باعث می شود تشخیص سیستم هدف برای شناسایی و جلوگیری از این فعالیت های مشکوک دشوار باشد.

یک حمله Brute Force موفق می تواند به هکرها دسترسی به پیشخوان مدیریت سایت شما را بدهد. آنها می توانند نرم افزارهای مخربی چون backdoor را نصب کنند، اطلاعات کاربر را سرقت کنند و همه چیز را در سایت حذف کنند!

حتی حملات برت فورس ناموفق میتوانند با فرستادن درخواستهای زیاد به سرورهای میزبانی وردپرس شما آن ها را از دسترس خارج کنند و حتی باعث بروز مشکلات جدی در آن ها شوند

به این ترتیب، بیایید نگاهی به چگونگی محافظت از سایت وردپرس خود در مقابل اینگونه حملات بیاندازیم.

مرحله 1: یک پلاگین فایروال وردپرس را نصب کنید

حملات Brute Force بارهای زیادی را روی سرورهای شما قرار می دهد. حتی موارد ناموفق می تواند وب سایت شما را کند(آهسته) کنند یا سرور را کاملا خراب کند.

برای انجام این کار، شما نیاز به یک راه حل فایروال وب سایت دارید. فایروال ترافیک بد را فیلتر می کند و از دسترسی به سایت شما جلوگیری می کند.

دو نوع فایروال وب سایت وجود دارد که می توانید آن را استفاده کنید.

Application Level Firewall – این افزونه های فایروال پس از رسیدن به سرور شما، قبل از بارگذاری، ترافیک اسکریپت های وردپرس را بررسی می کنند.

DNS Level Web Firewall – این فایروال مسیر وب سایت خود را از طریق سرورهای پروکسی ابر خود هدایت می کند. این کار اجازه می دهد تا آنها فقط ترافیک واقعی را به سرور میزبان اصلی خود ارسال کنند در حالی که به سرعت و سرعت وردپرس شما افزوده می شود.

توصیه می کنیم از Sucuri استفاده کنید زیرا رهبر صنعت در امنیت وب سایت و بهترین فایروال وردپرس در بازار است. از آنجا که این یک فایروال وب سایت سطح DNS است، به این معنی است که تمام ترافیک وبسایت شما از طریق پروکسی خود که در آن ترافیک بد است فیلتر شده است.

مرحله 2: وردپرس را آپدیت کنید

برخی از حملات برت فورس، نقاط آسیب پذیر شناخته شده در نسخه های قدیمی تر وردپرس، پلاگین های محبوب وردپرس یا پوسته ها را هدف قرار می دهند.

هسته وردپرس و محبوب ترین افزونه های وردپرس اوپن سورس (منبع باز) هستند و آسیب پذیری ها اغلب با به روز رسانی، بسیار سریع رفع می شوند.

برای به روز رسانی، به گزینه پیشخوان » به روز رسانی ها در قسمت مدیریت وردپرس بروید.

این صفحه تمام به روز رسانی های هسته وردپرس، پلاگین ها و تم ها را نشان می دهد.

به روز رسانی وردپرس

مرحله 3: از دایرکتوری مدیریت وردپرس محافظت کنید

بیشتر حمله ها به یک سایت وردپرس در حال تلاش برای دسترسی به مدیریت وردپرس هستند. شما میتوانید برای ورود به دایرکتوری وردپرس (wp-admin) خود از سمت سرور، رمز عبور قرار دهید

انجام این کار دسترسی غیر مجاز به مدیریت وردپرس شما را مسدود می کند.

آموزش انجام این کار به طور کامل در لینک زیر توضیح داده شده است که میتوانید مشاهده بفرمایید:

آموزش رمزگذاری روی فولدر wp-admin

مرحله 4: اضافه کردن تایید دو عامل در وردپرس

احراز هویت دو عاملی یک لایه امنیتی اضافی به صفحه ورود به وردپرس اضافه می کند. در این حالت، کاربران برای دسترسی به مدیریت وردپرس، به تلفن همراه خود و رمز یکبار مصرفی که برای آن ارسال میشود نیاز دارند

شناسایی دو عاملی

با افزودن احراز هویت دو عامل، کار برای هکر ها جهت نفوذ به سایت شما بسیار دشوار میشود

با استفاده از پلاگین Two Factor Authentication میتوانید اینکار را انجام دهید:

صفحه افزونه

مرحله 5: استفاده از کلمات عبور قوی منحصر به فرد

رمزهای عبور کلید دسترسی به سایت وردپرسی شماست. شما باید از کلمات کلیدی قوی برای همه حساب های خود استفاده کنید. رمز عبور قوی ترکیبی از اعداد، حروف و کاراکترهای خاص است.

مهم است که از کلمات عبور قوی برای حساب های کاربری وردپرس خود استفاده کنید، بلکه برای FTP، پانل کنترل میزبانی وب و پایگاه داده WordPress خود نیز استفاده کنید.

با استفاده از ابزار زیر که آنتی ویروس کسپرسکای در اختیار ما قرار داده است میتوانید قدرت رمز های عبور خود و مدت زمان هک شدن آن ها را بدست بیاورید:

password.kaspersky.com

مرحله 6: غیر فعال کردن مرورگر دایرکتوری

به طور پیش فرض زمانی که وب سرور شما فایل index را پیدا نکند (به عنوان مثال یک فایل مانند index.php یا index.html)، به طور خودکار یک صفحه فهرست را نشان می دهد که محتویات پوشه را نشان می دهد، مانند زیر:

هکرها در طول یک حمله Brute Force، می توانند از این دایرکتوری برای جستجوی فایل های آسیب پذیر استفاده کنند.

برای رفع این، شما باید خط زیر را در انتهای فایل .htaccess خود اضافه کنید.

مرحله 7: غیر فعال کردن اجرای فایل پی اچ پی در پوشه های خاص وردپرس

هکرها ممکن است بخواهند یک اسکریپت PHP را در پوشه های وردپرس نصب و اجرا کنند. وردپرس هم با PHP نوشته شده است، این بدان معنی است که شما نمی توانید آن را در همه پوشه های وردپرس غیر فعال کنید.

با این حال، برخی از پوشه ها به هیچ عنوان PHP نیاز ندارند. برای مثال، پوشه ی uploads که فایل ها درون آپلود میشوند هیچ نیازی به این موضوع ندارد.

شما می توانید با خیال راحت اجرای پی اچ پی را در پوشه آپلود غیر فعال کنید، ابتدا شما باید یک ویرایشگر متن مانند Notepad را روی سیستم (رایانه) خود نصب داشته باشید و کد زیر را در آن وارد کنید:

حال آن را با نام .htaccess ذخیره کنید و درون فولدر uploads (یا هر فولدر دیگر که میخواهید php درون آن اجرا نشود) آپلود کنید

مرحله 8: نصب و راه اندازی یک پلاگین پشتیبان گیری وردپرس

پشتیبان گیری مهمترین کار در امنیت وردپرس شماست. اگر همه چیز با شکست مواجه شود، پشتیبان گیری به شما این امکان را می دهد که وب سایت خود را به آسانی بازگردانید.

اکثر شرکت های میزبانی گزینه های پشتیبان گیری محدودی را ارائه می دهند. با این حال، این پشتیبان گیری تضمین نشده است، و شما تنها مسئول پشتیبان گیری خود هستید.

به کمک پلاگین های خوبی مانند BackupBuddy و UpdraftPlus میتوانید عملیات بکاپ گیری را خودتان به سادگی انجام دهید.