جلوگیری از حملات DDoS در وردپرس
خب مسلماً همه شما از میزان محبوبیت سیستم مدیریت محتوای وردپرس باخبر هستید و میدانید که افراد زیادی از این سیستم بهعنوان پلتفرم برای راهاندازی سایت خودشان استفاده میکنند. بدون شک یکی از مهمترین دلایل کسانی که از وردپرس استفاده میکنند این است که کدهای وردپرس ایمن میباشد. برای جلوگیری از حملات DDos در وردپرس چه باید کرد؟
اما خب شما باید این نکته را بدانید که این کدهای ایمن از حملات مخرب DDOS جلوگیری نمیکند که این موضوع نیز مختص به وردپرس نیست و تمامی نرمافزارها این مشکل را دارند.
DDoS در وردپرس، تاثیرات بسیار مخربی بر روی سایت شما دارد و عملکرد سایت شما را با مشکل مواجه می کند و باعث کند شدن سایت شما شده و در نهایت نیز سایت شما را از دسترس کاربران خارج می سازد.
بنابراین شما باید از این حملات به سایت خودتان جلوگیری کنید و بتوانید با استفاده از یک راهکار بسیار مؤثر از این حملات برای همیشه از سایت خود محافظت کنید. بنابراین با این مقاله همراه باشید.
حملات DDoS چیست
خب قبل از اینکه بخواهیم با یک مشکل روبهرو شویم باید یک شناخت کامل از آن داشته باشید و شما هم باید برای جلوگیری از این حملات، اطلاعات کامل از آن داشته باشید.
DDoS یک سری از حملات بسیار مخرب سایبری است که هدف اصلی آن کند کردن و درنهایت تخریب کامل سایت شما میباشد. این نوع از حملات درواقع یکی از انواع حملات “DoS” یا همان حمله به سرور میباشد.
روند کار آنها به این صورت است که یک سری ترافیک ورودی با حجم بسیار زیاد که عملاً غیرواقعی هستید را به سمت سایت شما روانه میکنند و تا جایی پیش میرود که سایت شما از کار بیافتد.
این نکته را در نظر بگیرید که هیچ سایتی نمیتواند از محفوظ بودن خود در برابر این حملات مطمئن باشد، فرقی ندارد شما یک سایت بزرگ را مدیریت میکنید یا یک وبسایت مبتدی، بههرحال ممکن است شما هدف این دسته از حملات مخرب قرار بگیرید؛ پس باید از آن جلوگیری کنید.
معمولاً این حملات با انگیزههای مختلفی صورت میگیرد، بهعنوانمثال افرادی که به دنبال این هستند که یک نکته سیاسی ایجاد کنند، افرادی که درصدد باجگیری هستند و یا حتی در برخی مواقع افراد باهوشی دست به این کار میزنند که به دنبال ماجراجویی هستند.
DDoS در وردپرس چه مشکلاتی ایجاد میکند؟
از دسترس خارج شدن سایت شما ممکن است پیامدهای بسیار برای شما و سایتتان داشته باشد، تا جایی که ممکن است آینده شغلی شما به خطر افتد و شما شغل خود را از دست بدهید؛ ازآنجاییکه شما به سایت خود دسترسی نخواهید داشت مسلماً کاربران زیادی را از دست خواهید داد که درنهایت منجر به از دست رفتن کسبوکارتان خواهد شد.
همچنین شما ناچار باید یک هزینهای را برای استخدام یک سری از افراد برای کاهش حملات و جلوگیری از آنها در نظر بگیرید.
این مورد را در نظر داشته باشید که تجربه کاربری بدی که بازدیدکنندگان در طی این جریان تجربه میکند، با هیچ هزینهای قابل جبران نیست و این نفوذ درواقع اسم برند شما را از بین خواهد برد.
آموزش جلوگیری از DDoS در وردپرس
روشهایی که در اینجا برای شما خواهیم گفت، کاربردی هستند و تا حد بسیار زیادی سایت شما را از شر حملات DDoS در وردپرس نجات خواهد داد. پس اگر به دنبال این هستید که از این حملات در سایت وردپرسی خود جلوگیری کنید، تمامی نکاتی که در این بخش آورده شده است را قدمبهقدم رعایت کنید.
XML RPC را در وردپرس غیرفعال کنید
یکی از قابلیتهای وردپرس که ممکن است با آن آشنایی داشته باشید XML RPC میباشد. شما برای اینکه بتوانید وردپرس خودتان را با یک برنامه شخص ثالث متصل کنید، به XML RPC نیاز دارید، ازاینرو غیرفعال کردن این مورد را تنها به افرادی پیشنهاد میکنیم که عملاً این قابلیت برای آنها کارایی زیادی ندارد.
اگر بخواهیم با یک مثال این موضوع را برای شما بگوییم، میتوان به مدیریت کردن وردپرس از طریق تلفنهای هوشمند شما اشاره کرد، اگر شما از این قابلیت وردپرس بر روی تلفن همراه خود استفاده نمیکنید به شما پیشنهاد میکنیم آن را غیرفعال کنید تا بتوانید از حملات DDoS تا حدودی جلوگیری کنید.
برای این کار باید قطعه کد زیر را در فایل.htaccess سایت قرار دهید:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>
REST API را غیرفعال کنید
یکی دیگر از روشهایی که میتوانید برای جلوگیری از حملات DDoS در وردپرس به سایت شما مفید باشد، غیرفعال کردن REST API در سایت است. درواقع شما باید تا جایی که میتوانید از هر عاملی که توانایی ایجاد تغییرات در سایت شما دارند را جلوگیری کنید؛ که یکی از مهمترین آنها موردی است که به آن اشاره شد.
درواقع ابزارها و افزونههای شخص ثالث از طریق این قابلیت وردپرس، بهتمامی محتوا و دادههای سایت شما دسترسی خواهند داشت، که این مورد بهتنهایی میتواند عامل حمله به سایت شما را برای افراد فراهم سازد؛ بنابراین شما باید آن را غیرفعال کنید.
غیرفعال کردن REST API از طریق افزونه
شما برای غیرفعال کردن این قابلیت در وردپرس نیاز به افزونه دارید. Disable WP REST API یکی از بهترین افزونههایی است که میتواند در این زمینه به شما کمک کند. کار این افزونه این است که REST API را برای کاربرانی که لاگین نیستند غیرفعال میکند.
این افزونه کاملاً رایگان است و شما میتوانید آن را از طریق مخزن وردپرس خود دانلود و نصب نمایید. برای نصب این افزونه راهنمایی ما برای نصب افزونه در وردپرس را مشاهده نمایید.
فایروال سایت را فعال کنید
اگر سایت شما حملات جدی DDOS را تجربه میکند پس شما نیاز دارید که فایروال سایت خود را فعال نمایید. الگوریتمی که فایروال بر روی سایت شما اجرا میکند بسیار حرفهای است و میتواند بهراحتی تمامی ترافیک ورودی را بررسی کند و ورودیهای مشکوک را تشخیص دهد و آن را مسدود میکند، بهاینترتیب، این ورودیها به سایت شما دسترسی نخواهند داشت و نمیتوانند وارد سایت شوند.
برای این کار میتوانید از کلودفلر استفاده کنید. درواقع شما با استفاده از کلودفلر یک دیوار دفاعی برای سایت خود ایجاد میکنید که هر تلاشی برای ورود به سایت شما اول به سرورهای این برنامه برخورد خواهد کرد و درنهایت سایت شما از حملات DDOS محفوظ خواهد ماند.
برای اینکه بتوانید CloudFlare را بر روی وردپرس خود نصب کنید، مقاله آموزشی نصب Cloudflare روی سایت و انجام تنظیمات آن را مشاهده نمایید. البته دقت داشته باشید که پس از نصب این نرمافزار باید به بخش Firewall بروید و یکی از سطوح امنیتی را که در اختیارتان قرار گرفته است، به نسبت میزان قوی بودن یا نبودن حملات DDOS، انتخاب کنید.
تفاوت حمله Brute Force و DDoS
همانطور که در بالا هم به آن اشاره کردیم، هدف اصلی حملات DDoS صرفاً خراب کردن عملکرد سایت به کمک کند کردن آن میباشد که درنهایت این کار به Down شدن یا غیرقابلدسترس شدن سایت منجر خواهد شد.
این در حالی است که Brute Force، عملکرد کاملاً متفاوتی دارد و قصد دارد با استفاده از یک سری رمز عبورهای تصادفی و ترکیبی به سایت شما نفوذ کند. اگر میخواهید از حملات Brute Force به سایت خود جلوگیری کنید میتوانید یک سری راهکار را در پیش بگیرید. پیشنهاد میکنم مقاله ۸ روش برای جلوگیری از حملات Brute Force در سایت وردپرسی را مطالعه نمایید.
تشخیص نوع نفوذ به سایت
در برخی مواقع ممکن است این دو حمله شما را گمراه کنند و شما متوجه نشوید که کدامیک از این حملات در سایت شما رخ داده است. شما برای اینکه بتوانید با حملات سایت خود مقابله کنید، باید آن را بهدرستی تشخیص دهید.
برای اینکه بتوانید این دو حمله را از یکدیگر تشخیص دهید نیاز به افزونه دارید.
برای این کار میتوانید از دو پلاگین All In One WP Security & Firewall و Sucuri استفاده کنید. این پلاگینهای رایگان بهراحتی به شما نشان خواهد داد که حملات سایت شما از نوع DDOS میباشد یا خیر.
برای اطلاعات یشتر در مورد افزونه All In One WP Security لطفا مقاله آموزشی بهترین افزونه امنیتی وردپرس – All In One WP Security را مشاهده نمایید.
تنظیمات افزونه Sucuri
بعدازاینکه افزونه Sucuri را بر روی سایت خود نصب و فعال کردید، یک گزینه به اسم همین افزونه به پیشخوان وردپرس شما اضافه خواهد شد که دارای چند زیرمجموعه است.
مطابق تصویر بالا، Last Logins را انتخاب کنید تا یک صفحه مشابه با تصویر برای شما باز شود.
از میان تبهایی که در بالای صفحه مشاهده میکنید، Failed Logins را انتخاب کنید تا تمامی تلاشهایی که برای ورود به سایت شما شده است را مشاهده نمایید. اگر در این بخش تعداد زیادی تلاش ناموفق را مشاهده کردید به این معنا است که سایت شما مورد حمله DDOS قرار گرفته است.
تنظیمات افزونه All In One WP Security
پس از نصب و فعالسازی افزونه، برای مشاهده تعداد کاربرانی که ورودی ناموفق به سایت شما داشتهاند باید به پیشخوان» امنیت کامل وردپرس» ورود کاربران شوید.
با کلیک کردن بر روی گزینههای گفته شده، یک صفحه مشابه تصویر زیر مشاهده خواهید کرد:
حالا باید به تب “رکود ورودهای ناموفق” وارد شوید تا بتوانید تمامی تلاشهای ناموفقی که به سایت شما وجود داشته است را مشاهده کنید.
وقتی DDOS اتفاق افتاد چیکار کنیم؟
خب شما باید این نکته را در نظر بگیرید که باوجود همه مواردی که به آن اشاره شد، بازهم این امکان وجود دارد که سایت شما مورد این حملات قرار گیرد. البته شما این حملات را با استفاده از کارهایی که در بالا به آن اشاره شد بسیار کاهش خواهید داد، اما بهصورت کلی این مواردی که در اینجا به شما خواهم گفت را باید سریعاً هنگام تشخیص DDOS انجام دهید.
اولین کاری که باید انجام دهید این است که گروه پشتیبانی خود را از این موضوع آگاه کنید، گروه پشتیبانی شما باید اطلاعات کافی از مشکل داشته باشند تا بتوانند پاسخگوی کاربرانی باشند که با شما برای رفع مشکل در تماس خواهند بود. مخصوصاً اگر سایت شما فروشگاهی باشد و کاربران بخواهند یک خرید را ثبت کنند باید بتوانید با آنها همکاری لازم را به عمل بیاورید.
این حمله سایت شما را از دسترس کاربران خارج خواهد کرد، پس به کاربران خود این موضوع را توضیح دهید تا بتوانید از یک تجربه کاربری بد جلوگیری کنید. اگر شما بتوانید در این زمان با کاربر خود در این خصوص صحبت کنید میتواند اعتماد کاربران را جلب کنید و اعتبار برند خود را نیز محفوظ نگه دارید.
هاست شما ممکن است گزینه بعدی برای حمله باشد، پس شما باید سریعاً با پشتیبانی آن ارتباط برقرار کنید و آنها را از این حمله آگاه کنید، تا در صورت امکان پشتیبانی هاست به شما برای رفع این مشکل کمک کند. البته اگر از فایروال Sucuri نیز استفاده میکنید، باید به تنظیمات این افزونه بروید و تنظیمات را در حالت Paranoid قرار دهید.
نتیجه گیری
درست است که وردپرس با کدگذاریهایی ایمنی که دارد میتواند تا حد زیادی خیال شما را راحت کند، اما خب برخی اوقات شما باید با یک سری راهکار سایت خود را ایمن کنید و آن را از هر نوع خطر احتمالی حفظ کنید.
بنابراین اکیداً به شما پیشنهاد میکنیم راهحلهایی که در این مقاله به آن اشاره شد را دستکم نگیرید، چراکه حملات DDOS میتواند برای سایت شما بسیار خطرناک باشد و شما را با یک شکست جبرانناپذیر روبهرو کند.
موفق و پیروز باشید. 🙂
نوشته جلوگیری از حملات DDoS در وردپرس اولین بار در بیست اسکریپت. پدیدار شد.