جلوگیری از حملات DDoS در وردپرس

خب مسلماً همه شما از میزان محبوبیت سیستم مدیریت محتوای وردپرس باخبر هستید و میدانید که افراد زیادی از این سیستم به‌عنوان پلتفرم برای راه‌اندازی سایت خودشان استفاده می‌کنند. بدون شک یکی از مهم‌ترین دلایل کسانی که از وردپرس استفاده می‌کنند این است که کدهای وردپرس ایمن می‌باشد. برای جلوگیری از حملات DDos در وردپرس چه باید کرد؟

اما خب شما باید این نکته را بدانید که این کدهای ایمن از حملات مخرب DDOS جلوگیری نمی‌کند که این موضوع نیز مختص به وردپرس نیست و تمامی نرم‌افزارها این مشکل را دارند.

DDoS در وردپرس، تاثیرات بسیار مخربی بر روی سایت شما دارد و عملکرد سایت شما را با مشکل مواجه می کند و باعث کند شدن سایت شما شده و در نهایت نیز سایت شما را از دسترس کاربران خارج می سازد.

بنابراین شما باید از این حملات به سایت خود جلوگیری کنید و بتوانید با استفاده از یک راهکار بسیار مؤثر از این حملات برای همیشه از سایت خود محافظت کنید. بنابراین با این مقاله همراه باشید.

حملات DDoS چیست

خب قبل از اینکه بخواهیم با یک مشکل روبه‌رو شویم باید یک شناخت کامل از آن داشته باشید و شما هم باید برای جلوگیری از این حملات، اطلاعات کامل از آن داشته باشید.

DDoS یک سری از حملات بسیار مخرب سایبری است که هدف اصلی آن کند کردن و درنهایت تخریب کامل سایت شما می‌باشد. این نوع از حملات درواقع یکی از انواع حملات “DoS” یا همان حمله به سرور می‌باشد.

روند کار آن‌ها به این صورت است که یک سری ترافیک ورودی با حجم بسیار زیاد که عملاً غیرواقعی هستید را به سمت سایت شما روانه می‌کنند و تا جایی پیش می‌رود که سایت شما از کار بی‌افتد.

این نکته را در نظر بگیرید که هیچ سایتی نمی‌تواند از محفوظ بودن خود در برابر این حملات مطمئن باشد، فرقی ندارد شما یک سایت بزرگ را مدیریت می‌کنید یا یک وب‌سایت مبتدی، به‌هرحال ممکن است شما هدف این دسته از حملات مخرب قرار بگیرید؛ پس باید از آن جلوگیری کنید.

معمولاً این حملات با انگیزه‌های مختلفی صورت می‌گیرد، به‌عنوان‌مثال افرادی که به دنبال این هستند که یک نکته سیاسی ایجاد کنند، افرادی که درصدد باج‌گیری هستند و یا حتی در برخی مواقع افراد باهوشی دست به این کار می‌زنند که به دنبال ماجراجویی هستند.

DDoS در وردپرس چه مشکلاتی ایجاد می‌کند؟

از دسترس خارج شدن سایت شما ممکن است پیامدهای بسیار برای شما و سایتتان داشته باشد، تا جایی که ممکن است آینده شغلی شما به خطر افتد و شما شغل خود را از دست دهید؛ ازآنجایی‌که شما به سایت خود دسترسی نخواهید داشت مسلماً کاربران زیادی را از دست خواهید داد که درنهایت منجر به از دست رفتن کسب‌وکارتان خواهد شد.

همچنین شما ناچار باید یک هزینه‌ای را برای استخدام یک سری از افراد برای کاهش حملات و جلوگیری از آن‌ها در نظر بگیرید.

این مورد را در نظر داشته باشید که تجربه کاربری بدی که بازدیدکنندگان در طی این جریان تجربه می‌کند، با هیچ هزینه‌ای قابل جبران نیست و این نفوذ درواقع اسم برند شما را از بین خواهد برد.

آموزش جلوگیری از DDoS در وردپرس

روش‌هایی که در اینجا برای شما خواهیم گفت، کاربردی هستند و تا حد بسیار زیادی سایت شما را از شر حملات DDoS در وردپرس نجات خواهد داد. پس اگر به دنبال این هستید که از این حملات در سایت وردپرسی خود جلوگیری کنید، تمامی نکاتی که در این بخش آورده شده است را قدم‌به‌قدم رعایت کنید.

XML RPC را در وردپرس غیرفعال کنید

یکی از قابلیت‌های وردپرس که ممکن است با آن آشنایی داشته باشید XML RPC می‌باشد. شما برای اینکه بتوانید وردپرس خود را با یک برنامه شخص ثالث متصل کنید، به XML RPC نیاز دارید، ازاین‌رو غیرفعال کردن این مورد را تنها به افرادی پیشنهاد می‌کنیم که عملاً این قابلیت برای آن‌ها کارایی زیادی ندارد.

اگر بخواهیم با یک مثال این موضوع را برای شما بگوییم، می‌توان به مدیریت کردن وردپرس از طریق تلفن‌های هوشمند شما اشاره کرد، اگر شما از این قابلیت وردپرس بر روی تلفن همراه خود استفاده نمی‌کنید به شما پیشنهاد می‌کنیم آن را غیرفعال کنید تا بتوانید از حملات DDoS تا حدودی جلوگیری کنید.

برای این کار باید قطعه کد زیر را در فایل.htaccess سایت قرار دهید:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

REST API را غیرفعال کنید

یکی دیگر از روش‌هایی که می‌توانید برای جلوگیری از حملات DDoS در وردپرس به سایت شما مفید باشد، غیرفعال کردن REST API در سایت است. درواقع شما باید تا جایی که می‌توانید از هر عاملی که توانایی ایجاد تغییرات در سایت شما دارند را جلوگیری کنید؛ که یکی از مهم‌ترین آن‌ها موردی است که به آن اشاره شد.

درواقع ابزارها و افزونه‌های شخص ثالث از طریق این قابلیت وردپرس، به‌تمامی محتوا و داده‌های سایت شما دسترسی خواهند داشت، که این مورد به‌تنهایی می‌تواند عامل حمله به سایت شما را برای افراد فراهم سازد؛ بنابراین شما باید آن را غیرفعال کنید.

غیرفعال کردن REST API از طریق افزونه

شما برای غیرفعال کردن این قابلیت در وردپرس نیاز به افزونه دارید. Disable WP REST API یکی از بهترین افزونه‌هایی است که می‌تواند در این زمینه به شما کمک کند. کار این افزونه این است که REST API را برای کاربرانی که لاگین نیستند غیرفعال می‌کند.

این افزونه کاملاً رایگان است و شما می‌توانید آن را از طریق مخزن وردپرس خود دانلود و نصب نمایید. برای نصب این افزونه راهنمایی ما برای نصب افزونه در وردپرس را مشاهده نمایید.

فایروال سایت را فعال کنید

اگر سایت شما حملات جدی DDOS را تجربه می‌کند پس شما نیاز دارید که فایروال سایت خود را فعال نمایید. الگوریتمی که فایروال بر روی سایت شما اجرا می‌کند بسیار حرفه‌ای است و می‌تواند به‌راحتی تمامی ترافیک ورودی را بررسی کند و ورودی‌های مشکوک را تشخیص دهد و آن را مسدود می‌کند، به‌این‌ترتیب، این ورودی‌ها به سایت شما دسترسی نخواهند داشت و نمی‌توانند وارد سایت شوند.

برای این کار می‌توانید از کلودفلر استفاده کنید. درواقع شما با استفاده از کلودفلر یک دیوار دفاعی برای سایت خود ایجاد می‌کنید که هر تلاشی برای ورود به سایت شما اول به سرورهای این برنامه برخورد خواهد کرد و درنهایت سایت شما از حملات DDOS محفوظ خواهد ماند.

برای اینکه بتوانید CloudFlare را بر روی وردپرس خود نصب کنید، مقاله آموزشی نصب Cloudflare روی سایت و انجام تنظیمات آن را مشاهده نمایید. البته دقت داشته باشید که پس از نصب این نرم‌افزار باید به بخش Firewall بروید و یکی از سطوح امنیتی را که در اختیارتان قرار گرفته است، به نسبت میزان قوی بودن یا نبودن حملات DDOS، انتخاب کنید.

تفاوت حمله Brute Force و DDoS

همان‌طور که در بالا هم به آن اشاره کردیم، هدف اصلی حملات DDoS صرفاً خراب کردن عملکرد سایت به کمک کند کردن آن می‌باشد که درنهایت این کار به Down شدن یا غیرقابل‌دسترس شدن سایت منجر خواهد شد.

این در حالی است که Brute Force، عملکرد کاملاً متفاوتی دارد و قصد دارد با استفاده از یک سری رمز عبورهای تصادفی و ترکیبی به سایت شما نفوذ کند. اگر می‌خواهید از حملات Brute Force به سایت خود جلوگیری کنید می‌توانید یک سری راهکار را در پیش بگیرید. پیشنهاد می‌کنم مقاله ۸ روش برای جلوگیری از حملات Brute Force در سایت وردپرسی را مطالعه نمایید.

تشخیص نوع نفوذ به سایت

در برخی مواقع ممکن است این دو حمله شما را گمراه کنند و شما متوجه نشوید که کدام‌یک از این حملات در سایت شما رخ داده است. شما برای اینکه بتوانید با حملات سایت خود مقابله کنید، باید آن را به‌درستی تشخیص دهید.

برای اینکه بتوانید این دو حمله را از یکدیگر تشخیص دهید نیاز به افزونه دارید.

برای این کار می‌توانید از دو پلاگین All In One WP Security & Firewall و Sucuri استفاده کنید. این پلاگین‌های رایگان به‌راحتی به شما نشان خواهد داد که حملات سایت شما از نوع DDOS می‌باشد یا خیر.

برای اطلاعات یشتر در مورد افزونه All In One WP Security لطفا مقاله آموزشی بهترین افزونه امنیتی وردپرس – All In One WP Security را مشاهده نمایید.

تنظیمات افزونه Sucuri

بعدازاینکه افزونه Sucuri را بر روی سایت خود نصب و فعال کردید، یک گزینه به اسم همین افزونه به پیشخوان وردپرس شما اضافه خواهد شد که دارای چند زیرمجموعه است.

مطابق تصویر بالا، Last Logins را انتخاب کنید تا یک صفحه مشابه با تصویر برای شما باز شود.

از میان تب‌هایی که در بالای صفحه مشاهده می‌کنید، Failed Logins را انتخاب کنید تا تمامی تلاش‌هایی که برای ورود به سایت شما شده است را مشاهده نمایید. اگر در این بخش تعداد زیادی تلاش ناموفق را مشاهده کردید به این معنا است که سایت شما مورد حمله DDOS قرار گرفته است.

تنظیمات افزونه All In One WP Security

پس از نصب و فعال‌سازی افزونه، برای مشاهده تعداد کاربرانی که ورودی ناموفق به سایت شما داشته‌اند باید به پیشخوان» امنیت کامل وردپرس» ورود کاربران شوید.

با کلیک کردن بر روی گزینه‌های گفته شده، یک صفحه مشابه تصویر زیر مشاهده خواهید کرد:

حالا باید به تب “رکود ورودهای ناموفق” وارد شوید تا بتوانید تمامی تلاش‌های ناموفقی که به سایت شما وجود داشته است را مشاهده کنید.

وقتی DDOS اتفاق افتاد چه کاری کنیم؟

خب شما باید این نکته را در نظر بگیرید که باوجود همه مواردی که به آن اشاره شد، بازهم این امکان وجود دارد که سایت شما مورد این حملات قرار گیرد. البته شما این حملات را با استفاده از کارهایی که در بالا به آن اشاره شد بسیار کاهش خواهید داد، اما به‌صورت کلی این مواردی که در اینجا به شما خواهم گفت را باید سریعاً هنگام تشخیص DDOS انجام دهید.

اولین کاری که باید انجام دهید این است که گروه پشتیبانی خود را از این موضوع آگاه کنید، گروه پشتیبانی شما باید اطلاعات کافی از مشکل داشته باشند تا بتوانند پاسخگوی کاربرانی باشند که با شما برای رفع مشکل در تماس خواهند بود. مخصوصاً اگر سایت شما فروشگاهی باشد و کاربران بخواهند یک خرید را ثبت کنند باید بتوانید با آن‌ها همکاری لازم را به عمل بیاورید.

این حمله سایت شما را از دسترس کاربران خارج خواهد کرد، پس به کاربران خود این موضوع را توضیح دهید تا بتوانید از یک تجربه کاربری بد جلوگیری کنید. اگر شما بتوانید در این زمان با کاربر خود در این خصوص صحبت کنید می‌تواند اعتماد کاربران را جلب کنید و اعتبار برند خود را نیز محفوظ نگه دارید.

هاست شما ممکن است گزینه بعدی برای حمله باشد، پس شما باید سریعاً با پشتیبانی آن ارتباط برقرار کنید و آن‌ها را از این حمله آگاه کنید، تا در صورت امکان پشتیبانی هاست به شما برای رفع این مشکل کمک کند.

البته اگر از فایروال Sucuri نیز استفاده می‌کنید، باید به تنظیمات این افزونه بروید و تنظیمات را در حالت Paranoid قرار دهید.

نتیجه گیری

درست است که وردپرس با کدگذاری‌هایی ایمنی که دارد می‌تواند تا حد زیادی خیال شما را راحت کند، اما خب برخی اوقات شما باید با یک سری راهکار سایت خود را ایمن کنید و آن را از هر نوع خطر احتمالی حفظ کنید.

بنابراین اکیداً به شما پیشنهاد می‌کنیم راه‌حل‌هایی که در این مقاله به آن اشاره شد را دست‌کم نگیرید، چراکه حملات DDOS می‌تواند برای سایت شما بسیار خطرناک باشد و شما را با یک شکست جبران‌ناپذیر روبه‌رو کند.

موفق و پیروز باشید. 🙂

تیم تولید محتوا

ما در تیم تولید محتوای میهن وردپرس در تلاش هستیم تا بهترین مقالات آموزشی در زمینه وردپرس و کسب‌و‌کارهای اینترنتی را تهیه کنیم. صحت محتوای این صفحه توسط رضا راد بررسی خواهد شد.