وردپرس، سیستم مدیریت محتوای محبوبی است که در چندسال گذشته از سوی وبلاگ نویسان و وبمستران به دلیل کاربردی و گسترده بودنش مورد استقبال قرار گرفته است. وردپرس باتوجه به بروزرسانی های مستمری که توسط تیم Automattic برای آن ارائه می شود بازهم به صورت ذاتی از هوشمندی کافی برای جلوگیری از حملات مختلف هکرها به این پلتفرم محبوب برخوردار نیست. یکی از رایج ترین و ابتدایی ترین حملات به وبسایت های وردپرسی حمله ی “ورودِ زورکی” یا همان Brute Force است.
Brute Force چیست؟
حمله بروت فورس، روشی است که شخص/گروه مهاجم از آن برای گذر از فرم های رمزدار مانند فرم های لاگین، استفاده می کند. به این صورت که به وسیله یک ابزار برنامه نویسی شده، با استفاده از دیکشنری های و الگوریتم های حدس نام کاربری و پسورد، با امتحان حداکثر ترکیبات ممکن، اقدام به ورود به سایت می کند.
دقت داشته باشید که از مجموع کل حملات سایبری، 43درصد مربوط به کسب و کارهای کوچک است که به دلایل مختلفی مثل بالا بودن هزینه، از بهبود مستمر امنیت وب سایت های خود غافل می مانند.
آیا حمله Brute Force همچنان توسط هکرها مورد استفاده قرار می گیرد؟
پاسخ بله است، طبق گزارش مدیرعامل WordFence در 18 دسامبر سال گذشته 14 میلیون حمله بروت فورس در ساعت بر روی وبسایت ها اتفاق افتاده که در نوع خودش بی نظیر است.
همچنین پس از آن اتفاق 1.4میلیارد نام کاربری و پسورد معتبر در دارک وب به فروش رسید که مرتبط با حمله ی ذکر شده بود.
چگونه از حمله Brute Force جلوگیری کنیم؟
نکات پایه در جلوگیری از حمله Brute Force
- از نام کاربری admin استفاده نکنید(پیشنهاد می کنم البته حتی در نام کاربری نیز از علائم و کاراکترهای خاص استفاده کنید)
- آدرس wp-login که برای ورود به سایت از آن استفاده می شود را تغییر دهید(چون همه به آن دسترسی دارند)
- این که از وردپرس استفاده می کنید را مخفی نگه دارید، با استفاده از افزونه ی Hide My WP می توانید این کار را انجام دهید.
- از یک پسورد قوی تر استفاده کنید. موارد زیر را انجام ندهید
- از عبارات معنی دار مثل نام واقعی خودتان، نام کاربری و یا نام شرکت یا نام سایت در پسورد استفاده نکنید.
- از یک عبارت معنی دارِ ثبت شده نیز استفاده نکنید(کلمات موجود در دیکشنری ها)
- از یک پسورد کوتاه استفاده نکنید
- از پسوردهای فقط عددی یا فقط حروف استفاده نکنید(ترکیب کنید)
- تعداد تلاش های ناموفق برای ورود به سایت را محدود کنید.
- برای مثال، اگر 3 بار کسی با نام کاربری یا پسورد اشتباه خواست وارد سایت شود، دسترسی آن بسته شود.
- از Captcha استفاده کنید.
- کپچا یا همان کدهای درهم ریخته و محاسباتی که برای انسان قابل تشخیص است را در صفحات لاگین به کار ببرید. برای این کار می توانید از افزونه ی Google re-Captcha استفاده نمایید.
- از احراز هویت چند مرحله ای استفاده کنید. این قابلیت به شما این امکان را می دهد در صورت لو رفتن پسورد باز هم از ورود به سایت جلوگیری کنید. افزونه های مرتبط با این نوع احراز هویت نیز در مخزن وردپرس موجود هستند
- دسترسی به پوشه های wp-login.php و پوشه wp-admin را به وسیله پسورد گذاری با استفاده از وب سرور محدود کنید.
- از قالب ها و افزونه های معتبر و سایت های معتبر برای دریافت آن ها استفاده کنید.
- تعداد افزونه های نصب شده تان را در حداقل تعداد ممکن نگه دارید تا بتوانید آن ها را به موقع به روزرسانی کنید.
- همه افزونه ها به طور مداوم به روزرسانی کنید.
- از افزونه های امنیتی مثل Wordfence استفاده کنید. این افزونه شامل یک نوع فایروال و اسکنر بدافزار نیز می باشد که مخصوص سیستم وردپرس طراحی شده است. نسخه رایگان این افزونه نیز در دسترس است.
- از وب سایت خود بکاپ داشته باشید.
- وردپرس را همیشه به آخرین نسخه به روزرسانی کنید، حفره های امنیتی شناخته شده در به روزرسانی ها رفع می شوند.
- از یک هاستینگ معتبر و دارای سیستم لاگ فعال استفاده کنید تا همه اتفاقاتی که روی سایت شما می افتند رصد شوند.
تکنیک های پیچیده تر برای جلوگیری از حمله Brute Force
- دسترسی به پوشه ی wp-admin را با IP خاص مسدود کنید. جهت انجام این کار نیاز به فایل .htaccess خواهید داشت و بایستی آن را ویرایش کنید. نحوه انجام این تنظیمات در مستندات رسمی وردپرس در این لینک آمده است. دقت داشته باشید که بسته به نوع سروری که دارید تنظیمات متفاوتی نیز بایستی انجام دهید.
- IP های مشکوک را بلاک کنید. به آی پی های خاص و مجاز امکان دسترسی به صفحه لاگین را بدهید. این کار به صورت دستی و با استفاده از افزونه های امنیتی قابل انجام است.
- ربات ها و اسکنرها را بلاک کنید. با استفاده از ابزارهای امنیتی مثل WordFence از دسترسی ربات های اسکنر و بازدید کننده ی مخرب از سایت محافظت کنید.
- دسترسی را در سطح کشور محدود کنید. اغلب حملات بروت فورس از سوی یک سری کشور خاص رخ می دهند. اگر کسب و کار شما در آن کشور مطرح نیست می توانید کل ترافیک ورودی از آن کشور را مسدود کنید.
- از نصب اسکریپت ها و افزونه های مختلف و زیاد جلوگیری کنید. دقت داشته باشید که تعداد بالای افزونه ها و اسکریپت ها ممکن است باعث تجمیع رخنه های امنیتی مختلف بر روی سایت شما شود.
همین الان که شما در حال خواندن این مقاله هستید هزاران سایت در حال هک شدن هستند، بنابراین همین امروز به بالابردن امنیت سایت تان بپردازید تا فردای روزگار نوبت هک شدن و از دست رفتن اعتبار و زحمت چند ساله تان نشود.
اگر در زمینه تنظیمات و پیکربندی های امنیتی از دانش فنی کافی برخوردار نیستید نگران نباشید، می توانید از طریق این لینک، این پیکربندی مهم را به گروه شرق وب بسپارید.