حملات Brute Force و روش های مقابله با آن در وردپرس

حملات Brute Force یک روش هک است که از آزمون و خطا برای شکستن رمزهای عبور، اعتبار ورود به سیستم و کلیدهای رمزگذاری استفاده می کند. این یک تاکتیک ساده و در عین حال قابل اعتماد برای دسترسی غیرمجاز به حساب های فردی و سیستم ها و شبکه های سازمان است. هکر چندین نام کاربری و رمز عبور را امتحان می کند، بدین گونه که طیف گسترده ای از ترکیب ها را استفاده می کند، تا زمانی که اطلاعات ورود صحیح را پیدا کند.

چیزی که حملات brute force را از سایر روش های هک متمایز می کند این است که حملات brute force از یک استراتژی فکری استفاده نمی کنند. آنها به سادگی سعی می کنند از ترکیب های مختلف کاراکترها استفاده کنند تا زمانی که ترکیب صحیح پیدا شود. این به نوعی مانند دزدی است که سعی می کند با تلاش برای هر ترکیب ممکن از اعداد تا زمانی که گاوصندوق باز شود، وارد یک گاوصندوق شود. همینقدر ساده و غیر پیچدگی 🙂

حملات Brute Force می توانند سرعت وب سایت شما را کاهش دهد، آن را غیرقابل دسترسی کند و حتی رمزهای عبور شما را برای نصب بدافزار در وب سایت شما بشکند.

شاید اولین راه حلی که برای این مشکل به ذهنتان میرسد این باشد که از رمز های قوی استفاده کنید، در صورتی که باز هم هکرها لینک های احراز هویت سایت شما را مورد هدف قرار می دهند، آنها تلاش می کنند اما موفق نمی شوند و اما این تلاش های نافرجام باعث بروز مشکلاتی مثل بالا رفتن لود سرور و کندی سرعت بارگذاری سایت شما خواهد شد.

پیشنهاد بررسی >>>> آموزش ساده تبدیل HTTP به HTTPS با گواهی SSL

1. محدود نمودن دسترسی به صفحات لاگین

جهت رفع و جلوگیری از چنین مشکلی توصیه می کنیم در فایل htaccess دسترسی به صفحات لاگین را به آدرس ip محدود کنید، در صورتی که از ip استاتیک استفاده می کنید، دسترسی را به ip استاتیک و در غیر اینصورت می توانید به محدوده رنج سرویس دهنده اینترنت خود، تعیین نمایید.

بعنوان مثال در صورتی که از وردپرس استفاده می کنید، تغییرات برای فایل htaccess به صورت زیر خواهد بود:

order deny,allow

allow from MYIP

allow from MYIP2

deny from all

</Files>

در کد فوق به جای MYIP و MYIP2 آدرس ip اینترنت خود را وارد نمایید.

2. نصب افزونه فایروال وردپرس

در ابتدا سایت خود را در برابر این حمله محافظت کنید و قبل از ورود آنها به سرور آنها را مسدود کنید و راه ورود شان را ببندید. برای این کار باید فایروال روی وب سایت خود راه اندازی کنید، فایروال ترافیک بد را فیلتر می کند و از دسترسی به سایت شما جلوگیری می کند. دو نوع فایروال وب سایت وجود دارد که می تونید از افزونه Application Level Firewall یا DNS Level Website Firewall استقاده کنید. در این رابطه آموزش افزایش امنیت وردپرس را ببینید.

پیشنهاد بررسی >>>> 7 نکته اصلی سئو فنی

3. استفاده از Captcha

کد تصویر امنیتی(captcha) قبل از ورود به سیستم یک راه قدرتمند برای کم کردن سرعت تلاش حملات Brute Force است و استفاده از آن را مخصوصا در زمانیکه امکان محدودیت ip ذکر شده وجود ندارد، توصیه می کنیم. استفاده از تصویر امنیتی به خصوص در سایت های ثبت نام به منظور کاهش میزان اسپم و ربات ها مفید می باشد.

برای جلوگیری از بروت فورس، یک پلاگین محبوب وردپرسی Catpcha Bank است که علاوه بر امکان محدود کردن تعداد لاگین ها، قابلیت درج کپچا برای کامنت ها، فرم های تماس و… را نیز دارا است.

4. غیرفعال سازی اجرای فایل PHP را در پوشه های خاص وردپرس

هکرها ممکن است بخواهند یک اسکریپت PHP را در پوشه های وردپرس شما نصب و اجرا کنند. همانطور که می دانید وردپرس با استفاده از زبان PHP نوشته شده است، این بدان معنا می باشد که شما نمی توانید آن را در تمام پوشه های وردپرس خود غیرفعال کنید. با این حال، بسیاری از پوشه ها هستند که به هیچ اسکریپت PHP نیاز ندارند. به عنوان مثال، پوشه آپلود وردپرس شما در /wp-content/uploads قرار دارد. شما می توانید با خیال راحت اجرای PHP را در پوشه آپلود که محلی رایج هکرها برای مخفی کردن فایل های درب پشتی است، غیرفعال کنید.

برای انجام اینکار، در ابتدا وارد یک ویرایشگر متن مانند نوت پد در رایانه خود شوید و سپس کد زیر را درون آن قرار دهید:

deny from all

</Files>

اکنون، این فایل را به‌عنوان htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشه‌های /wp-content/uploads/ وب ‌سایت خود آپلود نمائید.

پیشنهاد بررسی >>>> deep learning چیست و چه کاربردی در هوش مصنوعی دارد؟

5. افزودن تایید دو مرحله ای

با افزودن این مورد یک لایه امنیتی اضافی دارید. از این به بعد کار هکرها دشوار تر میشود، حتی اگر رمز ورود به پیشخوان را پیدا کنند، بدون وارد کردن این کد نمیتوانند وارد پیشخوان وردپرس شما شوند.

6. محافظت از دایرکتوری مدیریت وردپرس یا همان wp-admin

اکثر حملات brute force در یک سایت وردپرسی سعی در دسترسی به قسمت مدیریت وردپرس دارند. می ‌توانید حفاظت از رمز عبور را در فهرست مدیریت وردپرس خود در سطح سرور اضافه کنید. این موضوع دسترسی غیرمجاز به بخش مدیریت وردپرس شما را مسدود می کند. برای انجام اینکار در ابتدا وارد کنترل پنل هاست خود شوید و سپس از بخش “Files” روی گزینه “Directory Privacy” کلیک کنید. سپس پوشه “wp-admin” را پیدا و روی آن کلیک کنید. بعد از آن شما باید یک نام برای پوشه، نام کاربری و رمز عبور محدود شده ارائه دهید. در نهایت بعد از وارد کردن اطلاعات روی دکمه ذخیره تغییرات کلیک کنید. پس از آن مدیریت وردپرس شما با رمز عبور محافظت می شود. حال زمانی که از بخش مدیریت وردپرس خود بازدید می کنید، یک اعلان ورود جدید را مشاهده خواهید کرد.

در صورتی که با خطای 404 در این بخش مواجه شدید، باید کد زیر را به فایل htaccess خود اضافه نمائید:

ErrorDocument 401 default

پیشنهاد بررسی >>>> اهمیت به روز رسانی های وردپرس و افزونه ها در امنیت سایت

جمع بندی نهایی

امنیت وردپرس یک مسئله‌ی تک‌بعدی نیست، بلکه نیازمند لایه‌بندی چندگانه‌ی حفاظتی است. با ترکیب رمزهای قوی، احراز هویت دو مرحله‌ای، تغییر مسیر ورود، محدودسازی تلاش‌های لاگین و استفاده از فایروال، می‌توانید سطح امنیتی سایت خود را به‌طور چشمگیری افزایش دهید. همچنین، نظارت مداوم و به‌روزرسانی منظم، از ورود آسیب‌پذیری‌های جدید جلوگیری می‌کند.

در نهایت، به‌خاطر داشته باشید که پیشگیری همیشه بهتر از درمان است—یک سایت امن نه‌تنها از داده‌های شما محافظت می‌کند، بلکه اعتبار و عملکرد آن را نیز در بلندمدت تضمین خواهد کرد. با اجرای این راهکارها، می‌توانید با خیال راحت از حملات Brute Force در امان بمانید.

معرفی خدمات امنیتی >>>> امنیت سایت

چرا ما را انتخاب کنید؟

تیم متخصص در طراحی، سئو و پشتیبانی
پروژههای موفق با رضایت مشتریان
پشتیبانی تماموقت حتی پس از تحویل پروژه
قیمت رقابتی با کیفیت تضمینی

شرکت توسعه و فناوری امین پردازش با داشتن 7 سال سابقه فعالیت در حوزه وب و تکنولوژی میتواند با ارائه خدمات امنیتی خود از اسیب رسیدن به کسب و کار و وبسایت شما جلوگیری کند .