سایت برتر

۸ روش برای جلوگیری از حملات Brute Force در سایت وردپرسی

جلوگیری از حملات Brute Force

جلوگیری از حملات Brute Force

اگر می خواهید از سایت وردپرسی خود از حملات Brute Force محافظت کنید حتما این آموزش را تا آخر دنبال کنید. این حملات می تواند وب سایت شما را کند یا آاسته و غیر قابل دسترس کند و همجنین این حملات میتواند اطلاعات کاربری اعم از نام کاربری و رمز عبور پنل مدیریت وردپرس شما را در صفحات لاگین بدزدد.

Brute Force چیست؟

حملات Brute Force یک روش هک است که از تکنیک های آزمایش و خطا برای شکستن یک سایت، یک شبکه یا یک سیستم کامپیوتری استفاده می کند. (یعنی مخصوص شکستن رمز عبور است). هکرها با استفاده از نرم افزار خودکار تعداد زیادی درخواست به سیستم مورد نظرشون ارسال می‌کنند و تلاش می‌کنند کلمه عبور و نام کاربری پیشخوان وردپرس را حدس بزنند.
همچنین آنها می توانند backdoor، نرم افزارهای مخرب را نصب کنند، و اطلاعات کاربران ر را سرقت و تمامی مطالب را حذف کنند. اکنون مراحل زیر را انجام دهید و از سایت وردپرسی خود در مقابل این حملات و هکرها محافظت کنید.

1. نصب افزونه فایروال وردپرس

در ابتدا سایت خود را در برابر این حمله محافظت کنید و قبل از ورود آنها به سرور آنها را مسدود کنید و راه ورود شان را ببندید. برای این کار باید فایروال روی وب سایت خود راه اندازی کنید، فایروال ترافیک بد را فیلتر می کند و از دسترسی به سایت شما جلوگیری می کند. دو نوع فایروال وب سایت وجود دارد که می تونید از افزونه Application Level Firewall یا DNS Level Website Firewall استقاده کنید. در این رابطه آموزش افزایش امنیت وردپرس را ببینید.

2. به روز رسانی های وردپرس

این حملات نسخه های قدیمی قالب، افزونه و وردپرس را مورد هدف قرار میگیرند. استه وردپرس و افزونه های محبوب وردپرس منبع باز هستند و آسیب پذیری ها اغلب با به روز رسانی بسیار سریع فیکس می شوند. پس حتما به روز رسانی ها را به موقع انجام دهید و سایت خود را در برابر این جملات آسیپ پذیر و خشن محافظت کنید. برای به روز رسانی به بخش به روز رسانی ها در پیشخوان وردپرس برید و وردپرس، افزونه ها را آپدیت کنید.

3. محافظت از پوشه مدیریت وردپرس

هکرها و مخرب ها تمام تلاششون اینه که وارد پیشخوان وردپرس سایت شما شوند و اطلاعات شما را دستبرد بزنند و از آنها سوء استفاده کنند. پس بهترین کار اینه که جلو آنها را بگیریم و راهکاراهای امنیتی برای این قسمت به کار ببریم.

اکنون وارد پنل کاربری هاست خود شوید و در قسمت Files روی آیکون Directory Privacy کلیک کنید. دز این قسمت پوشه wp-admin را یافته و روی آن کلیک کنید. سپس، یک نام کاربری و رمز عبور جدید برای بخش ورود به پنل مدیریت وردپرس مشخص و ذخیره کنید. از این به بعد بخش پنل مدیذیت وردپرس امنه و باید حتما نام کاربری و رمز عبور مشخص شده را بزنید و وارد شوید.

directory protect

اگر با خطای 404 مواجه شدید کد زیر را به فایل htaccess قالب خود اضافه کنید.

ErrorDocument 401 default

4. افزودن احراز هویت دو مرحله‌ای در وردپرس

با افزودن این مورد یک لایه امنیتی اضافی را به صفحه ورود به پنل مدیریت وردپرس خود اضافه می کنید. از این به بعد کار هکرها دشوار تر میشود، حتی اگر رمز ورود به پیشخوان را پیدا کنند، بدون وارد کردن این کد نمیتونن وارد پیشخوان وردپرس شما شوند.

5. استفاده از کلمات عبور قوی و منحصر به فرد

رمزهای عبور کلید دسترسی به سایت وردپرسی شماست. به همین خاطر، شما باید از کلمات کلیدی قوی برای همه حساب های کاربری خود استفاده کنید. رمز عبور قوی ترکیبی از اعداد، حروف و کاراکترهای خاص است.

6. غیر فعال کردن لیست پوشه در مرورگر

به طور پیش فرض زمانی که وب سرور شما فایل index را پیدا نمی‌کند (به عنوان مثال یک فایل مانند index.php یا index.html)، به طور خودکار محدرات پوشه public-html هاست شما را نشان می دهد. هکرها در مدت زمان حمله Brute Force، می توانند از پوشه مرورگر برای جستجوی فایل های آسیب پذیر استفاده کنند. برای رفع این مشکل، شما باید کد زیر را به فایل وردپرس .htaccess خود اضافه کنید و آنها را از این کار منع کنید.

Options -Indexes

7. غیر فعال کردن اجرای فایل پی اچ پی در پوشه های خاص وردپرس

هکرها ممکن است بخواهند یک اسکریپت PHP را در پوشه های وردپرس خود نصب و اجرا کنند. وردپرس به طور عمده به زبان PHP نوشته شده است، این بدان معنی است که شما نمی تونید فایل های php را در همه پوشه های وردپرس غیر فعال کنید.

با این حال، برخی از پوشه ها به اسکریپت PHP نیاز ندارند و آنها در پوشه wp-content/ upload قرار میگیرند. حال کد زیر را ذخیره کرده و در پوشه wp-content/ upload آپلود کنید.

<Files *.php>
deny from all
</Files>

8. نصب و راه اندازی افزونه پشتیبان گیری وردپرس

پشتیبان گیری از سایت خود مهمترین کار برای حفظ امنیت سایت است. اگر فایلی و یا اطلاعاتی حذف شد میتونید با استفاذه از فایل پشتیبانی اطلاعات سایت خود را به صورت کامل باز گردانید.  پس حتما از هاست و سایت خود هفتگی یا روزانه بکاپ تهیه کنید.

موفق و پیروز باشید.

راستی! برای دریافت مطالب جدید در کانال تلگرام یا پیج اینستاگرام میهن وردپرس عضو شوید.

نظر شما در این‌باره چیست؟

  1. کاربر مهمان ۱۱ مهر ۱۳۹۷

    سلام،
    ممنون از اطلاعات کامل و مفیدتون
    کارتون حرف نداره
    متشکرم

  2. U5826 ۰۱ مهر ۱۳۹۷

    با سلام
    من برای توضیحات بخش جلوگیری از هک شدن طبق مسیر شما وارد پنل هاست خود شدم اما گزینه wp-admin درون اون نیست
    (اکنون پنل کاربری هاست خود شوید و در قسمت Files روی آیکون Directory Privacy کلیک کنید. دز این قسمت پوشه wp-admin را یافته و روی آن کلیک کنید.)
    در آنجا گزینه های
    / (Current Folder)
    New directory
    access-logs
    نام دیتا بیس من
    etc
    logs
    mail
    public_ftp
    public_html
    ssl
    tmp
    www
    هست . در کدام بخش میتوانم اون دستورات را وارد کنم
    با تشکر

  3. کاربر مهمان ۰۱ مهر ۱۳۹۷

    سلام
    یه سوال فنی
    پسوورد گذاشتن روی wp-admin. باعث میشه تموم پلاگینایی که از ajax استفاده میکنن همشون با اختلال مواجه بشن و تو هر مرحله پسورد بگیرن ، که چون کاربر پرسوورد نداره عملا از کار میوفتن

    راهکاری دارین براش؟

    • رضا حسینی راد رضا حسینی راد ۰۱ مهر ۱۳۹۷

      سلام از روش تغییر مسیر wp-admin استفاده کنید اگر این افزونه ها روی سایتتون هست

یک پیشنهاد خوب
اگر می‌خواهید وب‌سایت خود را اصولی مدیریت کنید، دوره جامع سایت برتر را از دست ندهید. اطلاعات بیشتر... ممنون. این پیام را ببند

اگر می‌خواهید وب‌سایت خود را اصولی مدیریت کنید، دوره جامع سایت برتر را از دست ندهید.

اطلاعات بیشتر...