روش های متعددی برای افزایش ترافیک و هدایت کاربران هدف به وبسایت وجود دارد به عنوان مثال برخی با تکنیک های ایمیل مارکتیگ، برخی با فعالیت در شبکه های اجتماعی و برخی دیگر نیز بر پایه تولید محتوای اصولی در دراز مدت قادر هستند میزان بازدید و ترافیک وبسایت خود را به طرز چشمگیری افزایش دهند. بنابراین باید از سرویس هاست قدرتمند مثل هاست مخصوص وردپرس استفاده کنید تا پهنای باند بالایی به شما ارائه دهد. اما در این میان نیز افراد سودجو، رقبا و دشمنانی نیز در فضای اینترنتی پیدا می شوند که تمایلی به افزایش بازدید سایت شما ندارند بر همین اساس ممکن است سایت شمابه طور ناگهانی دچار حملاتی شود. در واقع هزاران درخواست همزمان به سمت سایت شما ارسال می شوند و این درخواست ها تا زمانی که سرور دیگر پاسخگو نباشد ادامه خواهند داشت. خرابی های این چنینی در نهایت منجر به از دسترس خارج شدن وبسایت شما خواهد شد. این اتفاق روزانه برای وبسایت های بسیار زیادی رخ می دهند بنابراین اگر قبل از رشد سایت تمهیداتی برای مقابله با مخاطرات و حملات احتمالی نداشته باشید در بازار قدرتمند کسب و کارهای آنلاین نیز جایگاهی نخواهید داشت و پیش از رشد منهدم می شوید. دقت داشته باشید به هیچ وجه نمی توان به صورت 100 درصد از حملات سایبری پیشگیری یا آن ها را کنترل کرد! در این مقاله از پایگاه دانش میزبان فا با 6 تکنیک کلیدی برای جلوگیری از حملات ddos در وردپرس با شما همراه هستیم.
خبر خوب این است که حملات DDOS هم مانند سایر حملات سایبری تا حدودی قابل کنترل و مقاومت هستند. در واقع می توان با یکسری اقدامات امنیتی این تهدیدات را به حداقل ترین سطح ممکن رساند. بنابراین قبل و حین رشد همواره به امنیت وبسایت خود اهمیت دهید چرا که بدون توجه به این مورد ادامه مسیر غیرممکن خواهد بود. توصیه می کنیم همین حالا دست به کار شوید. زمانی که مورد حمله قرار گیرید برای انجام این اقدامات دیر شده است!
موضوعاتی که در این مقاله آموزشی بررسی می کنیم به شرح زیر هستند:
دقت داشته باشید اگر مورد حملات سایبری قرار گرفتید و یا وبسایت شما هک شد باید در خصوص پاکسازی سایت اقدام نمایید و سطح امنیتی سایت خود را به صورت کاملا فورس ارتقاء دهید. برای این منظور می توانید از آموزش اقدامات پس از حملات DDOS در وردپرس کمک بگیرید. البته مجموعه های متعددی در خصوص امنیت و پاکسازی سایت در حال ارائه خدمات هستند که می توانید در این زمیه از آن ها مشورت بگیرید. توصیه می کنیم قبل از بروز حملات احتمالی در خصوص افزایش امنیت سایت خود گام بردارید تا به مشکلات آتی دچار نشده و مجبور به پرداخت هزینه های پاکسازی سایت نشوید.
نحوه جلوگیری از حمله دیداس
حتما با خود می گویید پشت پرده حمله ی دیداس چیست؟ و چه اتفاقاتی رخ می دهد؟ در هر حوزه ای که قدم می گذارید باید با مخاطرات آن نیز آشنا شوید فعالیت در دنیای اینترنتی مزیت بسیار خوبی بشمار می رود چرا که گسترده مخاطبان شما افزایش خواهد یافت اما در عوض دشمنان و رقبای شما نیز بیشتر خواهند شد و از حملات سایبری به دور نیستید. پس باید بدانید DDOS چیست؟ در این نوع حمله درخواست های زیادی به سمت سرور ارسال می گردد تا در نهایت سرور از توان مقابله بازایستد و داون شود. بدین ترتیب سایت قربانی از دسترس خارج می شود. اینکه سایت شما چقدر در برابر حملات مقاومت کند به تمهیدات امنیتی پیشگیرانه که اعمال کرده اید و توان سرور و تجهیزات امنیتی آن بستگی دارد.
بعد از حملات DDOS چه اتفاقی رخ می دهد؟
بسته به اینکه سایت شما مورد چه نوع حمله سایبری قرار گیرد، عواقب آن متفاوت خواهد بود اما همه این حملات با هدف تخریب و آسیب پذیر کردن وبسایت و با اهداف شوم صورت میگیرند. اصولا در حملات DDOS هدف درگیر کردن پهنای باند با ارسال حجم عظیمی از درخواست و بسته به سمت سیستم هدف است. در نتیجه ارسال این موارد، سرور در اثر عدم توانایی به مدیریت و پاسخگویی در خصوص ترافیک سرازیر شده بیش از ظرفیت داون می گردد. بر همین اساس ارائه دهنده خدمات هاستینگ در مواجه با چنین حملاتی می بایست در خصوص مقابله با حمله کننده اقدام نموده، در صورت امکان آیپی منطقه مسدود گردد یا اینکه وبسایت مورد حمله مسدود گردد تا خطر سایر وبسایت های روی سرور را نیز تهدید نکند بعد از پایین آمدن و توقف حملات سایت مجددا در دسترس قرار خواهد گرفت. اینکه ارائه دهنده خدمات هاست چه تمهیداتی برای چنین مواقعی در نظر گرفته باشد بسیار حائز اهمیت است.
فرض کنید در چنین شرایطی قرار بگیرید اگر سایت شما از امنیت لازم برخوردار نباشد با منهدم شدن کسب و کار و از دست رفتن سایت مواجه می شوید. شایان ذکر است سرورهای هاست ابری میزبان فا به تک سرور متکی نیستند و از لودبالانسرهای بسیار قدرتمند برای توزیع منابع و فایروال های سخت افزاری استفاده شده بنابراین امنیت این هاست ها در مقایسه با هاست های معمولی بسیار فراتر است.
مشاهده سرویس هاست ابری میزبان فا
در ادامه 6 اقدام امنیتی پیشگیرانه برای جلوگیری از حملات ddos در وردپرس را به شما معرفی خواهیم نمود. (این موارد باید قبل از حمله پیاده سازی شوند.)
1- غیر فعال کردن قابلیت XML RPC در وردپرس
یکی از مهم ترین اقدامات برای کاهش خسارات و جلوگیری از حملات ddos در وردپرس غیرفعال کردن Xml rpc است. حتما می پرسید Xml rpc چیست؟ زمانی که نسخه 3.5 وردپرس منتشر شد از قابلیتی به نام XML-RPC نیز رونمایی گردید که به واسطه آن انجام برخی امور ساده تر می شد اما از طرفی سطوح امنیتی را کاهش می داد چرا که ممکن بود پشت پرده فعالیت های شما، شخص ثالثی برای سوء استفاده در کمین باشد. این ویژگی برای پینگ بک و پیگیری امور بسیار مفید و کاربردی است اما از آنجایی که امنیت سایت را تحت الشعاع خود قرار می دهد اغلب افراد ترجیح می دهند آن را غیرفعال کنند. شایان ذکر است این قابلیت از نسخه 3.5 ببعد به صورت پیش فرض فعال بوده است.
فعال بودن XML-RPC آسیب پذیری های امنیتی در پی دارد و مهاجمین حملات DDoS می توانند از آنها سوء استفاده کنند پس توصیه می کنیم آن را غیرفعال کنید.
غیرفعال کردن قابلیت XML-RPC وردپرس
به منظور غیرفعال نمودن این قابلیت می بایست مراحل زیر را به ترتیب دنبال کنید:
- از طریق آموزش ورود به هاست سی پنل یا آموزش ورود به دایرکت ادمین وارد کنترل پنل خود شوید.
- در هاست خود فایل htaccess. را بیاید. روی آن راست کلیک کرده و گزینه Edit را انتخاب کنید. (این یک فایل مخفی است اگر آن را در هاست خود نمی بینید از آموزش نحوه مشاهده فایل های مخفی در سی پنل یا مشاهده فایل های مخفی در دایرکت ادمین کمک بگیرید.)
- سپس قطعه کد زیر را به آن اضافه کنید.
# Block WordPress xmlrpc.php requests
order deny,allow deny from all - در نهایت فایل را ذخیره کنید. اینکار موجب غیرفعال شدن قابلیت XML-RPC وردپرس خواهد شد.
اگر در این خصوص سوالی دارید می توانید راهنمای جامع افزایش امنیت سایت با غیرفعال کردن xml-rpc وردپرس را مطالعه نمایید در این آموزش گام گام قابلیت xml-rpc وردپرس به همراه نحوه غیرفعالسازی آن به صورت کامل تشریح شده است.
غیرفعالسازی REST API وردپرس
در راستای ارتقاء سطح امنیت وبسایت غیرفعال کردن REST API نیز هوشمندانه بشمار می رود. چرا که به نوبه خود کانال دیگری جهت دسترسی های غیر مجاز افراد و مجرمان سایبری است. یکی از ساده ترین روش ها برای غیرفعالسازی REST API استفاده از افزونه امنیتی WP Hide & Security Enhancer می باشد. این افزونه کاملا رایگان است و به تنظیمات و پیکربندی خاصی نیاز ندارد.
- ابتدا به کمک آموزش ورود به پیشخوان وردپرس وارد سایت خود شوید.
- افزونه Hide & Security Enhancer را به کمک آموزش نصب و فعالسازی افزونه در وردپرس راه اندازی نمایید.
- بعد از نصب و فعال کردن افزونه منویی تحت عنوان WP Hide به پیشخوان وردپرس شما اضافه خواهد شد. روی زیرمنوی Rewrite کلیک کنید.
- در صفحه باز شده روی سربرگ Jsoon Rest کلیک کنید. مطابق با تصویر زیر این گزینه را روی حالت yes قرار دهید.
بدین ترتیب ویژگی REST API وردپرس غیرفعال خواهد شد. در صورت نیاز به آن تنها کافیست مسیری که پشت گذراندید را مجددا طی کرده و گزینه ای که در مرحله 4 غیرفعال کردید را روی حالت no قرار دهید.
2- تمهیدات امنیتی و پشتیبانی سایت
از دیگر روش ها برای جلوگیری از حملات ddos در وردپرس این است که مقوله امنیت را به صورت کامل برون سپاری کنید. برخی کسب و کارها با توجه به اینکه در سطح وسیعی قرار دارند مقوله امنیت خود را برون سپاری می کنند. در واقع از یک مجموعه شخص ثالث کمک گرفته و تمام موارد امنیتی سایت خود را به این تیم می سپارند بدین ترتیب مجموعه وظیفه پشتیبانی از سایت شما را برعهده خواهد داشت و بروزرسانی ها، کشف باگ، بررسی کدها، فعالیت های مشکوک، کنترل حملات و… را مدیریت می کند. این مجموعه پشتیبان با ایجاد لایه های امنیتی میان سایت شما و فعالیت های مخرب از مخاطرات احتمالی پیشگیری می کنند. از جمله مواردی که مجموعه های پشتیبان برعهده دارند:
- محدود کردن دسترسی کاربران
- محدودیت آیپی ها
- فیلتر کردن ربات ها
- بررسی باگ های امنیتی
- بررسی فعالیت های مشکوک
- و…
مجموعه های مختلفی در این زمینه فعالیت دارند که با بررسی همه جانبه می توانید یکی از پلن های مقرون به صرفه و مناسب را انتخاب نموده و در خصوص موارد امنیتی از یک متخصص سطح بالا کمک بگیرید تا دچار مشکلات احتمالی نشوید.
3- استفاده از هاست با امنیت بالا
اهمیت انتخاب میزبان مناسب برای سایت بسیار اهمیت دارد چرا که بخش عظیمی از امنیت به سرور میزبان سایت برمی گردد اگر از سرورهای مستهلک و قدیمی با امنیت بسیار پایین استفاده کنید احتمال نفوذ مهاجمین به سایت شما چند برابر خواهد شد. این سرور می تواند به صورت کاملا مستقیم روی سرعت و عملکرد سایت شما تاثیر گذار باشد از طرفی نقش اساسی در امنیت توانایی شما در جلوگیری و مهار حملات DDoS خواهد داشت. یک انتخاب غلط می تواند وبسایت شما را در برابر تهدیدات و حملات سایبری بسیار آسیب پذیر کند.
اغلب افراد در هگام خرید هاست به هزینه آن اهمیت می دهند اما از مزایای دیگر همچون موارد امنیتی غافل هستند. در واقع اتخاب هاست امن یک نوع سرمایه گذاری ارزشمند برای وبسایت است. این امر به ویژه هنگامی صدق پیدا می کند که انتخاب یک طرح ارزان به ضررهای تجاری برای سایت منجر می شود. به همین منظور تشخیص زود هنگام حملات و مقابله با آن ها اهمیت می باید. برخی از ارائه دهندگان از ویژگی های خاص مانند فایروال های سخت افزاری استاده می کنند.
در سرویس های هاست ابری میزبان فا نیز از لود بالانسرها برای توزیع منابع و فایروال های سخت افزری استفاده شده است که قادر به دفع حملات می باشند. برای آشنایی بیشتر با نحوه عملکرد این نوع هاست می توانید ویدیو 11 ویژگی هاست ابری که باعث بهبود سئو می شود را مشاهده کنید.
4- استفاده از افزونه های امنیتی برای مقابله با حملات DDoS
افزونه ها موجب گسترش قابلیت های وردپرس می شوند هسته وردپرس دارای امنیت مطلوبی است و در فواصل زمانی کوتاه بروزرسانی می شود اما وجود یک افزونه امنیتی در کنار سایت خالی از لطف نیست. افزونه های امنیتی علاوه بر ساده سازی امور موجب تسریع در عملکرد، صرفه جویی در وقت و انرژی شما می شوند. از جمله کاربردهای افزونه های امنیتی برای جلوگیری از حملات ddos در وردپرس و همچنین بررسی آیپی های مشکوک می باشد. نصب یک افزونه امنیتی با رابط کاربری داخلی که امکان مدیریت آن از طریق پیشخوان وردپرس فراهم باشد و بتوانید آمار دقیقی از وضعیت سایت خود داشته باشید کار بسیار عاقلانه ایست.
افزونه امنیتی Wordfence از جمله پلاگین های محبوب و پرکاربردی است که برای حفاظت از وبسایت در برابر اعمال مخرب مورد استفاده قرار می گیرد.
از جمله مواردی که به صورت مداوم باید مورد بررسی قرار گیرند عبارتند از:
- تلاش های ناموفق برای ورود به سیستم
- URL های بد
- تشخیص IP هایی که قصد اعمال خرابکارانه دارند
- بررسی وضعیت سلامت سایت
- رفتارهای کاربران مشکوک
- بررسی درخواست ها
- و…
5- استفاده از cdn
همانطور که در مقاله های پیشین نیز به آن اشاره شد CDND یک شبکه توزیع محتوا است که اطلاعات مربوط به سایت را از نزدیک ترین سرور به موقعیت کاربر خوانده و برای بازدیدکننده ارسال می کند. از این قابلیت برای بهبود کارایی، سرعت و گاها افزایش امنیت استفاده می شود.
اما اینکه چطور یک سرویس CDN می تواند تا حدودی موجب جلوگیری از حملات ddos در وردپرسبه شود سوالیست که در مقاله cdn چیست؟ و چه کاربردی دارد؟ به آن پاسخ دادیم. کلودفلر و ابرآروان از جمله شبکه های توزیع محتوا هستند.
سرویس Cloudfare نیز یک لایه امنیتی به سایت شما اضافه می کند که تا حدودی منجر به کاهش حملات DDoS خواهد شد با اینکه این سرویس پلن های پرمیوم متنوعی ارائه کرده اما می توانید از طرح CDN Global آن به صورت رایگان استفاده کنید شایان ذکر است این سرویس با وردپرس سازگار است اما با توجه به اینکه در کشور ایران سروری ندارد ممکن است گاها سایت هایی که از کلودفلر استفاده می کنند با اختلال مواجه شوند برهمین اساس استفاده از یک CDN بومی مثل سرویس ابرآروان نیز انتخاب خوبی است.
6- بررسی و نظارت مداوم روی وبسایت
زمانی که از مقوله بسیار مهم امنیت صحبت می کنیم باید به این نکته دقت داشته باشید بهترین نوع حفاظت از سایت انجام اقدامات پیشگرانه برای کاهش ضریب خطر و به حداقل رساندن احتمالات و جلوگیری از حملات ddos در وردپرس است این کار را می توان با بررسی منظم سایت، نظارت دقیق و جامع عملی کرد. بررسی های مداوم میزان آگاهی و هوشیاری شما از وضعیت فعلی سایت را افزایش داده و آسیب پذیری سایتتان را به حداقل خواهد رساند. با نظارت روتین بر سایت و بررسی فعالیت های مشکوک قبل از اینکه دیر شود می توانید سایت خود را نجات دهید بعد از حمله ممکن است سایت شما دچار آسیب های جبران ناپذیری گردد. از جمله فعالیت هایی که می تونید انجام دهید عبارتند از:
- بروزرسانی منظم هسته وردپرس، افزونه ها و قالب
- نظارت و مانیتورینگ آپتایم
- بکاپ گیری های منظم
- بررسی وضعیت عملکرد سایت و سرعت
- اسکن مداوم سایت و حذف بدافزارها
انجام امور بالا ممکن است زمانبر باشند اما ضروری تلقی می شوند.
در این مقاله آموزشی 6 نکته امنیتی را معرفی کردیم که می تواند لایه های امنیتی خوبی را به سایت شما اضافه می کند:
- XMLR RPC و REST API وردپرس را غیرفعال کنید.
- تمهیدات امنیتی در نظر بگیرید.
- یک سرویس میزبانی امن مثل هاست ابری یا موارد قدرتمند انتخاب کنید.
- استفاده از سرویس های امنیتی مثل CDN
- استفاده از افزونه های امنیتی وردپرس
- مراقبت و بررسی منظم سایت
خرید هاست و دامنه و راه اندازی یک کسب و کار صرفا پایان راه نیست مراقبت همه جانبه از سایت بسیار اهمیت دارد و همواره باید هوشیار باشید که طیف عظیمی از خطرات و تهدیدهای امنیتی پیرامون شماست. اگر تجربه ای در زمینه پیشگیری از حملات DDoS دارید با ما و سایر کاربران به اشتراک بگذارید که چه اقدامات امنیتی در خصوص حملات سایبری انجام داده اید و چطور امنیت وبسایت خود را افزایش داید؟
بدون دیدگاه