چگونه از سایت وردپرس خود در برابر حملات Brute Force محافظت کنیم (گام به گام)

آیا می خواهید از سایت وردپرس خود در برابر حملات brute force محافظت کنید؟

حمله بی رحمانه می تواند سرعت وب سایت شما را کند کند، آن را غیرقابل دسترس کند و حتی رمزهای عبور شما را برای نصب بدافزار در وب سایت شما شکست دهد.

در این مقاله از ایوسی، به شما نشان خواهیم داد که چگونه از سایت وردپرس خود در برابر حملات brute force محافظت کنید.

حمله Brute Force چیست؟

Brute Force Attack یک روش هک است که از آزمون و خطا برای نفوذ به یک وب سایت، یک شبکه یا یک سیستم کامپیوتری استفاده می کند.

رایج ترین نوع حمله brute force حدس زدن رمز عبور است. هکرها از نرم افزارهای خودکار برای حدس زدن اطلاعات ورود شما استفاده می کنند تا بتوانند به وب سایت شما دسترسی پیدا کنند.

این ابزارهای هک خودکار همچنین می توانند با استفاده از آدرس های IP و مکان های مختلف خود را پنهان کنند، که شناسایی و مسدود کردن فعالیت های مشکوک آنها را دشوارتر می کند.

یک حمله brute force موفقیت آمیز می تواند به هکرها امکان دسترسی به ناحیه مدیریت وب سایت شما را بدهد . آنها می توانند بدافزار نصب کنند، اطلاعات کاربر را بدزدند و همه چیز را در سایت شما حذف کنند.

حتی حملات brute force ناموفق می تواند با ارسال درخواست های بیش از حد به سرورهای میزبان وردپرس شما ویران کند، وب سایت شما را کاهش دهد یا حتی به طور کامل خراب کند.

برای مقابله با حملات brute force، بهترین راه این است که از رمز عبور های قوی و پیچیده استفاده کنید، از ابزار های امنیتی مثل فایروال ها و افزونه های امنیتی برای وب سایت خود استفاده کنید، و روی کنترل دسترسی ها و احراز هویت دقت کنید. همچنین می توانید از ابزارهای مانیتورینگ استفاده کنید تا فعالیت های مشکوک بررسی شوند و از ورود غیرمجاز به سیستم جلوگیری شود.

همانطور که گفته شد، بیایید نگاهی به نحوه محافظت از سایت وردپرس خود در برابر حملات brute force بیندازیم.

۱. افزونه فایروال وردپرس را نصب کنید

حملات Brute Force بار زیادی روی سرورهای شما وارد می کند. حتی موارد ناموفق نیز می توانند سرعت وب سایت شما را کاهش دهند یا سرور را به طور کامل خراب کنند. به همین دلیل مهم است که آنها را قبل از رسیدن به سرور خود مسدود کنید.

برای انجام این کار، به یک راه حل فایروال وب سایت نیاز دارید . فایروال ترافیک بد را فیلتر می کند و دسترسی آن را به سایت شما مسدود می کند.

دو نوع فایروال وب سایت وجود دارد که می توانید از آنها استفاده کنید.

فایروال سطح برنامه – این افزونه های فایروال، ترافیک را زمانی که به سرور شما می رسد، اما قبل از بارگیری اکثر اسکریپت های وردپرس بررسی می کنند. این روش چندان کارآمد نیست زیرا یک حمله brute force همچنان می تواند بر بار سرور شما تأثیر بگذارد.

فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پروکسی ابری خود هدایت می کنند. این به آنها اجازه می دهد تا فقط ترافیک واقعی را به سرور میزبانی وب اصلی شما ارسال کنند و در عین حال سرعت و عملکرد وردپرس شما را افزایش دهند .

توصیه می کنیم از Sucuri استفاده کنید. این پیشرو در صنعت امنیت وب سایت و بهترین فایروال وردپرس در بازار است. از آنجایی که این یک فایروال وب سایت سطح DNS است، به این معنی است که تمام ترافیک وب سایت شما از طریق پروکسی آنها می رود که در آن ترافیک بد فیلتر می شود.

ما از Sucuri در وب سایت خود استفاده می کنیم، و شما می توانید بررسی کامل Sucuri ما را برای کسب اطلاعات بیشتر بخوانید.

۲. به روز رسانی وردپرس را نصب کنید

برخی از حملات متداول brute force به طور فعال آسیب‌پذیری‌های شناخته شده در نسخه‌های قدیمی‌تر وردپرس، افزونه‌های محبوب وردپرس یا تم‌ها را هدف قرار می‌دهند.

هسته وردپرس و اکثر افزونه‌های محبوب وردپرس منبع باز هستند و آسیب‌پذیری‌ها اغلب خیلی سریع با به‌روزرسانی برطرف می‌شوند. با این حال، اگر نتوانید به روز رسانی ها را نصب کنید، وب سایت خود را در برابر تهدیدات قدیمی آسیب پذیر می کنید.

به سادگی به صفحه داشبورد » به‌روزرسانی‌ها در قسمت مدیریت وردپرس بروید تا به‌روزرسانی‌های موجود را بررسی کنید. این صفحه تمام به روز رسانی های هسته وردپرس، افزونه ها و تم ها را نشان می دهد.

برای جزئیات بیشتر، راهنمای ما در مورد نحوه به روز رسانی ایمن وردپرس و به روز رسانی صحیح افزونه های وردپرس را ببینید.

۳. از دایرکتوری مدیریت وردپرس محافظت کنید

اکثر حملات brute force در یک سایت وردپرس سعی در دسترسی به قسمت مدیریت وردپرس دارند. شما می توانید حفاظت از رمز عبور را در فهرست مدیریت وردپرس خود در سطح سرور اضافه کنید. این امر دسترسی غیرمجاز به بخش مدیریت وردپرس شما را مسدود می کند.

به سادگی وارد کنترل پنل میزبانی وردپرس (cPanel) خود شوید و بر روی آیکون ‘Directory Privacy’ در قسمت Files کلیک کنید.

توجه: ما از Bluehost در اسکرین شات خود استفاده می کنیم، اما تنظیمات مشابه در سایر شرکت های میزبان برتر و همچنین مانند SiteGround ، HostGator و یا هر میزبان هاست دیگری (حتی موارد داخلی کشورمان) و یا حتی پنل های مدیریت هاست دیگری همچون دایرکت ادمین موجود است.

در مرحله بعد، باید پوشه wp-admin را پیدا کرده و روی نام پوشه کلیک کنید.

اکنون cPanel از شما می خواهد که یک نام برای پوشه، نام کاربری و رمز عبور محدود شده ارائه دهید. پس از وارد کردن این اطلاعات بر روی دکمه ذخیره کلیک کنید تا تنظیمات شما ذخیره شود.

فهرست مدیریت وردپرس شما اکنون با رمز عبور محافظت می شود. هنگامی که از بخش مدیریت وردپرس خود بازدید می کنید، یک اعلان ورود جدید را مشاهده خواهید کرد.

اگر با خطای ۴۰۴ مواجه شدید یا با پیغام تغییر مسیرهای زیاد مواجه شدید، باید خط زیر را به فایل .htaccess وردپرس خود اضافه کنید .

ErrorDocument 401 default

برای جزئیات بیشتر، به مقاله ما در مورد نحوه محافظت از رمز عبور دایرکتوری مدیریت وردپرس مراجعه کنید.

۴. احراز هویت دو مرحله ای را در وردپرس اضافه کنید

احراز هویت دو مرحله ای یک لایه امنیتی اضافی به صفحه ورود به سیستم وردپرس شما اضافه می کند. کاربران برای دسترسی به بخش مدیریت وردپرس به تلفن های خود نیاز دارند تا یک رمز عبور یک بار مصرف به همراه اعتبار ورود به سیستم خود ایجاد کنند.

افزودن احراز هویت دو مرحله‌ای، دسترسی هکرها را سخت‌تر می‌کند، حتی اگر بتوانند رمز عبور وردپرس شما را بشکنند .

برای دستورالعمل های گام به گام دقیق، راهنمای ما در مورد نحوه افزودن احراز هویت دو مرحله ای در وردپرس را ببینید

۵. از رمزهای عبور منحصر به فرد و قوی استفاده کنید

رمزهای عبور کلید دسترسی به سایت وردپرس یا فروشگاه تجارت الکترونیک شما هستند. شما باید از رمزهای عبور قوی منحصر به فرد برای همه حساب های خود استفاده کنید. رمز عبور قوی ترکیبی از اعداد، حروف و کاراکترهای خاص است.

مهم است که از رمزهای عبور قوی نه تنها برای حساب های کاربری وردپرس خود، بلکه برای سرویس گیرنده FTP ، کنترل پنل میزبانی وب و پایگاه داده وردپرس خود استفاده کنید.

اکثر مبتدیان از ما می پرسند که چگونه همه این رمزهای عبور منحصر به فرد را به خاطر بسپاریم؟ خب نیازی نیست برنامه های مدیریت رمز عبور عالی در دسترس هستند که به طور ایمن رمزهای عبور شما را ذخیره می کنند و به طور خودکار آنها را برای شما پر می کنند.

برای کسب اطلاعات بیشتر، راهنمای مبتدیان ما را در مورد بهترین روش‌های مدیریت گذرواژه‌های وردپرس ببینید.

۶. مرور دایرکتوری را غیرفعال کنید

به‌طور پیش‌فرض، وقتی وب سرور شما فایل فهرستی (یعنی فایلی مانند index.php یا index.html) پیدا نمی‌کند، به‌طور خودکار صفحه فهرستی را نمایش می‌دهد که محتویات فهرست را نشان می‌دهد.

در طول یک حمله brute force، هکرها می توانند از مرور دایرکتوری برای جستجوی فایل های آسیب پذیر استفاده کنند. برای رفع این مشکل، باید خط زیر را در پایین فایل htaccess. WordPress خود با استفاده از یک سرویس FTP اضافه کنید.

Options -Indexes

برای جزئیات بیشتر، به مقاله ما در مورد نحوه غیرفعال کردن مرور دایرکتوری در وردپرس مراجعه کنید.

۷. اجرای فایل PHP را در پوشه های خاص وردپرس غیرفعال کنید

هکرها ممکن است بخواهند یک اسکریپت PHP را در پوشه های وردپرس شما نصب و اجرا کنند. وردپرس عمدتاً با PHP نوشته شده است، به این معنی که شما نمی توانید آن را در تمام پوشه های وردپرس غیرفعال کنید.

با این حال، برخی از پوشه ها هستند که به هیچ اسکریپت PHP نیاز ندارند. به عنوان مثال، پوشه آپلود وردپرس شما در /wp-content/uploads قرار دارد.

می‌توانید با خیال راحت اجرای PHP را در پوشه آپلود که محلی رایج هکرها برای مخفی کردن فایل‌های درب پشتی است، غیرفعال کنید.

ابتدا باید یک ویرایشگر متن مانند Notepad را در رایانه خود باز کنید و کد زیر را در آن قرار دهید:

<Files *.php>
deny from all
</Files>

اکنون، این فایل را به‌عنوان htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشه‌های /wp-content/uploads/ وب‌سایت خود آپلود کنید .

۸. یک افزونه پشتیبان وردپرس را نصب و راه اندازی کنید

پشتیبان گیری مهمترین ابزار در زرادخانه امنیتی وردپرس شماست. اگر همه چیز شکست خورد، پشتیبان گیری به شما این امکان را می دهد که به راحتی وب سایت خود را بازیابی کنید .

اکثر شرکت های میزبان وردپرس گزینه های محدودی برای پشتیبان گیری ارائه می دهند. با این حال، این نسخه های پشتیبان تضمین نمی شوند و شما تنها مسئول تهیه نسخه پشتیبان خود هستید.

چندین پلاگین بک آپ گیری وردپرس عالی وجود دارد که به شما امکان می دهد بک آپ گیری خودکار را برنامه ریزی کنید.

توصیه می کنیم از UpdraftPlus استفاده کنید . برای مبتدیان مناسب است و به شما اجازه می دهد تا به سرعت پشتیبان گیری خودکار را تنظیم کنید و آنها را در مکان های راه دور مانند Google Drive، Dropbox، Amazon S3 و غیره ذخیره کنید.

برای دستورالعمل های گام به گام، راهنمای ما را در مورد نحوه پشتیبان گیری و بازیابی سایت وردپرس خود با UpdraftPlus ببینید.

تمام نکات ذکر شده در بالا به شما کمک می کند از سایت وردپرس خود در برابر حملات brute-force محافظت کنید. برای راه اندازی امنیتی جامع تر، باید دستورالعمل های راهنمای امنیتی نهایی وردپرس ما برای مبتدیان را دنبال کنید.

امیدواریم این مقاله به شما کمک کند تا یاد بگیرید چگونه از سایت وردپرس خود در برابر حملات brute force محافظت کنید. همچنین ممکن است بخواهید به نحوه تعمیر یک سایت وردپرس هک شده و نحوه دریافت گواهینامه رایگان SSL برای وب سایت وردپرس نگاه کنید .

و بخوانید:

• حملات Brute Force وردپرس، و آنچه شما باید در مورد آن انجام دهید
• چگونه و چرا باید تلاش برای ورود به وردپرس را محدود کنید
• منطقه مدیریت در وردپرس چیست؟
• نحوه توقف و جلوگیری از حمله DDoS در وردپرس
• بهترین افزونه های امنیتی وردپرس برای قفل کردن تهدیدات مخرب