حملات دیداس به سایت وردپرس شما می تواند سایت را متوقف کند و به مرور زمان آن را برای کاربران شما غیر قابل دسترس کند. آنها یک حمله معمولی هستند که در سایت های آسیب پذیر وردپرس ویران می کنند. اما یک خبر خوب وجود دارد اگر بدانید که چگونه آنها را متوقف کنید، می توان از حملات DDoS جلوگیری کرد. همانطور که خواهید دید، به خصوص با کمک CDN، افزونه های امنیتی همچون Defender و استفاده از هاست خوب، که انجام دادنشان کار چندان دشواری نیست می توانید از حملات DDoS به سایت خود جلوگیری کنید. ممکن است اقدامات احتیاطی زیادی در حال حاضر داشته باشید.
این نوع حملات در حال افزایش است. سیسکو پیش بینی می کند که حملات DDoS از آنچه در سال 2018 شاهد بودیم از 7.9 میلیون حمله دو برابر خواهد شد و تا سال 2023 به بیش از 15 میلیون حمله خواهد رسید. این مقاله یک رویکرد امنیتی چند لایه از یک سیستم است که به جلوگیری از حملات DDoS در سایت وردپرس شما کمک می کند. معمولاً افزایش ترافیک وب نتیجه مطلوبی برای برند شماست. با این حال، ممکن است پیش بینی نکنید که سرور سایت شما به طور ناگهانی توسط هزاران درخواست همزمان پر شده و باعث از کار افتادن آن شود. متأسفانه، این دقیقاً همان چیزی است که در هنگام انکار سرویس توزیع شده یا حمله «DDoS» به سایت وردپرسی اتفاق میافتد.
خوشبختانه، مانند بسیاری از تهدیدات امنیت سایبری، اقداماتی وجود دارد که می توانید برای به حداقل رساندن احتمال حمله DDoS به سایت وردپرس خود انجام دهید. اجرای یک طرح حفاظتی می تواند به متوقف کردن و جلوگیری از فلج کردن کسب و کار آنلاین شما توسط مجرمان اینترنتی کمک کند. در این پست توضیح خواهیم داد که حملات DDoS چیست و چگونه کار می کنند. سپس ما یک طرح هفت مرحله ای حفاظت از وردپرس DDoS را به شما ارائه می دهیم که می توانید از آن برای جلوگیری از حمله به سایت خود استفاده کنید.
حمله DDoS چیست؟
حمله DDoS به یک مشکل امنیتی اشاره دارد که در آن یک سایت با درخواست های جعلی در مدت زمان کوتاهی، معمولاً از طریق استفاده از ربات ها، بسیار شلوغ می شود می شود. بازدیدها از چندین منبع میآیند، و هدف این است که وبسایت مورد نظر را تحت تأثیر قرار داده و باعث از کار افتادن آن شود.
هزاران درخواست می توانند در یک لحظه انجام شوند. حمله DDoS در سال 2019 به Imperva را در نظر بگیرید که طی آن شبکه آن با 580 میلیون درخواست در ثانیه (PPS) دچار ضربه شد. این افزایش ناگهانی و غیرمنتظره در ترافیک ساختگی و فلج شدن سایت، آن را غیرقابل دسترس و آسیب پذیر می کند. این حملات می توانند یک وب سایت یا کل شبکه را هدف قرار دهند.
رایج ترین انواع حملات DDoS به سه دسته تقسیم می شوند:
- مبتنی بر حجم: متکی به تکرار یک افزایش شدید ترافیک است.
- پروتکل: از منابع سرور برای از کار انداختن سایت یا شبکه هدف سوء استفاده می کند.
- برنامه: یک حمله پیچیده تر که یک برنامه وب را هدف قرار می دهد.
روش ها و انگیزه های مختلفی برای انجام این نوع تهاجم وجود دارد. هکرها می توانند یک حمله DDoS را برای افزایش آسیب پذیری وب سایت وردپرس شما اجرا کنند. این می تواند یک حواس پرتی موثر باشد که نفوذ ناشناخته به سایت شما را آسان تر می کند.
با این حال، اغلب هدف عمدتاً شکستن سایت هدف است. به عنوان مثال، شخصی ممکن است یک حمله DDoS به یک رقیب انجام دهد. در حالی که این یک اقدام مخرب و افراطی است، بیسابقه نیست، بهویژه زمانی که تأثیر منفی خرابیها بر یک کسبوکار را در نظر بگیرید.
آسیبی که حملات DDos می تواند انجام دهد چیست؟
حملات DDoS زیبا نیستند، و می توانند ویرانگر باشند و در نتیجه آثار بدی از خود به جای بگذارند. اصلیترین کاری که میتوانند انجام دهند این است که یک سایت وردپرس را غیرقابل دسترس کنند یا عملکرد سایت را کاهش دهند. حمله DDoS می تواند باعث از دست دادن کسب و کار و تجربه کاربری ضعیف شود. بعلاوه، کاهش حمله با استخدام پشتیبانی یا سرویس امنیتی می تواند هزینه زیادی داشته باشد.
تفاوت بین حمله Brute Force در مقابل حمله DDoS
حتما شما نیز در مورد حمله brute-force شنیده اید. مانند DDoS، شکل دیگری از کمین در وب سایت شما است. با این حال، آنها هر دو متفاوت هستند. حمله brute-force یک روش آزمایش و خطا است که در آن هکرها سعی می کنند اعتبار یا داده های رمزگذاری شده (مثلاً رمزهای عبور) را از طریق تلاش بسیار گسترده برای حدس زدن درست حدس بزنند. این یکی از محبوب ترین حملات برای هک کردن سایت وردپرس در نظر گرفته می شود.
تفاوت اصلی بین DDoS و حمله brute-force هدف است. حملات DDoS وبسایتی را که قصد تخریب آن را دارند، تحت تأثیر قرار میدهند، جایی که یک حمله brute-force میخواهد دسترسی مدیریت را به دست آورد. هنگامی که یک هکر به آن دسترسی پیدا میکند، اغلب سعی میکند اطلاعات شخصی را بدزدد، کاربران را به وبسایتهای جعلی هدایت کند تا اطلاعات شخصی آنها را بدزدد، یا نرمافزار مخربی را برای آلوده کردن کاربران و کامپیوترهای آنان مدیران نصب کند.
وردپرس به طور پیشفرض اجازه ورود نامحدود را میدهد، بنابراین جلوگیری از حملات brute-force با محدود کردن تعداد تلاشهای کاربر بسیار مهم است. همانطور که خواهید دید، با کمک یک افزونه، مانند Defender، کارهای زیادی می توان در برابر حملات DDoS و brute-force انجام داد.
اهمیت ایجاد یک برنامه حفاظتی وردپرس DDoS
اثرات یک حمله DDoS می تواند برای کسب و کار شما مخرب باشد. بسیاری از خسارات ناشی از خرابی طولانی مدت و غیرمنتظره است. اگر سایت شما برای مدت طولانی در دسترس نباشد، به احتمال زیاد مقداری از تجارت را از دست خواهید داد. مشتریان نمی توانند به سایت شما دسترسی پیدا کنند و ممکن است خطای 502 را ببینند. این بدان معناست که شما فروش از طریق سایت خود یا سایر تبدیلهای پیش رو همچون دریافت ایمیل و شماره تماس کاربران را از دست میدهید.
عدم دسترسی طولانیمدت همچنین میتواند به رتبهبندی و بهینهسازی موتور جستجو (SEO) سایت شما ضربه بزند. با کاهش دیده شدن در گوگل، باید سختتر برای جذب مخاطبان تلاش کنید و اعتبار سایت خود را بازسازی کنید.
علاوه بر این، یک حمله DDoS می تواند مشکلات هاست را به همراه داشته باشد. این امر به ویژه در صورتی صادق است که در یک هاست اشتراکی هستید، زیرا این نوع نقض امنیتی می تواند نه تنها سایت شما، بلکه سایر موارد روی سرور شما را نیز تحت تأثیر قرار دهد. همچنین، همانطور که قبلا ذکر کردیم، یک حادثه DDoS می تواند آسیب پذیری سایت شما را در برابر انواع دیگر حملات افزایش دهد. در حالی که با تلاش برای آنلاین کردن مجدد سایت خود حواس شما پرت می شود، تمرکز شما از سیستم های امنیتی شما منحرف می شود . این ممکن است نفوذ هکرها را بدون اینکه متوجه شوید آسان تر کند.
بهبودی پس از یک حمله می تواند به پول و زمان زیادی نیاز داشته باشد. در حالی که لزوماً نمی توانید از انجام یک حمله DDoS به سایت وردپرس خود توسط شخصی جلوگیری کنید، می توانید اقداماتی را برای به حداقل رساندن آسیب هایی که در صورت قربانی شدن یک حمله رخ می دهد انجام دهید.
چگونه از حمله DDoS به سایت وردپرس خود جلوگیری کنیم (7نکته کلیدی)
روش های مختلفی وجود دارد که می توانید برای محافظت از سایت وردپرس خود از آنها استفاده کنید ، مانند استفاده از افزونه های امنیتی و غیرفعال کردن برخی ویژگی ها. با یک برنامه حفاظتی مناسب، می توانید توانایی خود را برای پس زدن از یک حمله DDoS بهبود بخشید. در این بخش، هفت نکته برای پیشگیری از یک مورد را بررسی خواهیم کرد.
1. XML RPC و REST API را در وردپرس غیرفعال کنید
از زمان انتشار نسخه 3.5 وردپرس، شما این گزینه را دارید که XML-RPC را به طور پیش فرض فعال کنید. این ویژگی برای پینگ بک و ترک بک مفید است. با این حال، این یک ضرورت برای اکثر سایت ها نیست. این واقعاً فقط در صورتی لازم است که برای مدیریت سایت وردپرس خود به برنامه های تلفن همراه متکی باشید.
به خطر افتادن XML-RPC آسان است، به این معنی که آسیبپذیریهایی را که هکرها میتوانند در طول حملات DDoS از آنها سوء استفاده کنند، آشکار میکند. بنابراین توصیه می کنیم آن را غیرفعال کنید.
شما می توانید این کار را با ویرایش فایل .htaccess خود انجام دهید. آن را یا از طریق مدیر فایل اکانت هاست خود یا با استفاده از پروتکل انتقال فایل (FTP) و یک کلاینت FTP مانند FileZilla باز کنید. سپس قطعه کد زیر را قرار دهید:
# Block WordPress xmlrpc.php requests order deny,allow deny from all
در همین راستا، غیرفعال کردن REST API در وردپرس نیز هوشمندانه است. این کانال دیگری است که به برنامه های شخص ثالث (و به نوبه خود مجرمان سایبری) به سایت وردپرس شما دسترسی می دهد. ساده ترین راه برای غیرفعال کردن API وردپرس در سایت خود استفاده از WP Hide & Security Enhancer است.
استفاده از این افزونه رایگان است و نیازی به پیکربندی ندارد. پس از نصب و فعال کردن آن، می توانید REST API را با رفتن به WP Hide > JSON API غیرفعال کنید. همچنین می توانید از این افزونه برای غیرفعال کردن عملکرد XML-RPC استفاده کنید. این گزینه در تب XML-RPC قرار دارد.
2. یک WAF را در سایت خود نصب کنید
به احتمال زیاد اگر مدتی از وردپرس استفاده کرده اید، احتمالاً می دانید WAF چیست. به زبان ساده، این یک نوع نرم افزار امنیتی است که یک لایه حفاظتی بین سایت شما و ترافیک مخرب اضافه می کند. این می تواند با محدود کردن دسترسی کاربر و فیلتر کردن ربات ها از حملات DDoS جلوگیری کند.
در حالی که WAF های مختلفی برای کمک به محافظت از سایت وردپرس شما وجود دارد ، توصیه می کنیم از Sucuri استفاده کنید. WAF و سیستم جلوگیری از نفوذ (IPS) Sucuri به محافظت از سایتها در برابر حملات brute-force، بدافزارها و موارد دیگر کمک میکند. همچنین می تواند ترافیک مخرب را شناسایی کرده و انواع مختلفی از حملات DDoS را مسدود کند. Suruci طرح های مختلفی را برای انتخاب ارائه می دهد. همچنین برای سایتهایی که در حال حاضر تحت حمله هستند، «راهنمای فوری» دارد.
3. یک ارائه دهنده هاست ایمن انتخاب کنید
اهمیت هاست با کیفیت برای سایت وردپرسی شما قابل اغراق نیست. سرور شما بر سرعت و عملکرد سایت شما تأثیر می گذارد. با این حال، نقش مهمی در امنیت دارد و بر توانایی شما برای جلوگیری و بازیابی حمله DDoS تأثیر می گذارد.
یکی از نگرانی های بزرگی که مردم اغلب هنگام انتخاب هاست وب دارند، هزینه آن است. با این حال، وقتی نوبت به محافظت از سایت شما می رسد، سرمایه گذاری در میزبانی با کیفیت بسیار ارزشمند است. این به ویژه زمانی صادق است که در نظر داشته باشید که انتخاب یک پلن ارزان ممکن است به قیمت دارایی های حیاتی کسب و کار شما تمام شود.
با توجه به اثرات مخربی که یک حمله DDoS می تواند بر عملکرد و زمان آپدیت سایت شما داشته باشد، انتخاب یک ارائه دهنده هاست و برنامه ریزی مجهز برای شناسایی و مدیریت سیل عظیم ترافیک ضروری است. برخی از ارائه دهندگان مانند Kinsta و WP Engine دارای ویژگی های داخلی مانند فایروال های سخت افزاری و ادغام CDN هستند.
4. از CDN استفاده کنید
یک CDN سرورهای شبکه دیگری را فراهم می کند که با مدیریت بیشتر بار سرور به پشتیبانی از سایت وردپرس شما کمک می کند . اگرچه معمولاً در رابطه با بهینهسازی عملکرد به آن اشاره میشود، اما این ابزار میتواند برای امنیت نیز مفید باشد.
اساساً، CDN ها می توانند به جلوگیری از حملات DDoS با سخت تر کردن سرور شما کمک کنند. آنها همچنین می توانند به شناسایی الگوهای ترافیک غیرعادی کمک کنند و در برخی موارد به عنوان یک پروکسی معکوس عمل کنند. بسیاری از ارائه دهندگان خدمات CDN مختلف وجود دارد. با این حال، توصیه می کنیم با یکی از غول های این عرصه مانند Cloudfare بروید.
Cloudfare از یک رویکرد امنیتی لایهای استفاده میکند که میتواند به محافظت و کاهش DDoS کمک کند . در حالی که برنامه های پریمیوم متنوعی برای انتخاب دارد، می توانید از CDN جهانی به صورت رایگان استفاده کنید. مزیت دیگر این است که می توانید به راحتی آن را از طریق افزونه وردپرس مربوطه با وب سایت خود ادغام کنید.
5. یک افزونه حفاظت از DDoS وردپرس را دانلود کنید
پلاگین های امنیتی می توانند با ساده کردن بسیاری از کارهای دست و پا گیر در زمان و انرژی شما صرفه جویی کنند. برخی نیز دارای ویژگی هایی هستند که می تواند برای جلوگیری از حملات DDoS در سایت وردپرس شما ضروری باشد.
همانطور که در بالا ذکر کردیم، WAF ها می توانند برای محافظت از سایت شما فوق العاده مفید باشند. نصب یک افزونه امنیتی که دارای یک افزونه داخلی است، راهی سریع برای افزودن محافظت به نصب وردپرس شما است. علاوه بر این، عملکردهایی مانند محدودیتهای تلاش برای ورود به سیستم، URL بد و شناسایی آدرس IP مخرب، و مسدود کردن ربات همگی به کاهش حملات کمک میکنند. بنابراین، توصیه می کنیم یک افزونه حفاظتی وردپرس DDoS مانند Wordfence را دانلود کنید.
Wordfence می تواند تمام عملکردهای ذکر شده در بالا و موارد دیگر را انجام دهد. این افزونه امنیتی وردپرس همچنین شامل ابزارهایی برای نظارت بر ترافیک و بازدیدهای زنده و همچنین افزایش فعالیت است. شما می توانید بسیاری از ویژگی های افزونه را به صورت رایگان دانلود و استفاده کنید. با این حال، نسخه ممتازی را نیز ارائه میکند که دسترسی به مجموعه کامل ویژگیهای امنیتی، از جمله فید دفاع از تهدید را در زمان واقعی باز میکند.
6. نگهداری و نظارت وردپرس را در اولویت قرار دهید
وقتی نوبت به مدیریت وب سایت شما می رسد، گاهی اوقات بهترین نوع محافظت، پیشگیری است. در تلاش برای به حداقل رساندن احتمال حمله DDoS به سایت وردپرس خود، مهم است که نگهداری و نظارت منظم را در اولویت قرار دهید.
انجام تعمیر و نگهداری منظم برای سایت شما کمک می کند تا آن را در بهترین حالت نگه دارید و در نهایت تعداد آسیب پذیری های موجود برای نفوذگران را کاهش دهید. نظارت روتین می تواند به شما کمک کند قبل از اینکه فعالیت مشکوک را آسیب جدی وارد کند، آن را تشخیص دهید.
وظایف زیادی در نگهداری و نظارت صحیح وجود دارد ، از جمله:
- به روز رسانی های وردپرس، افزونه ها و تم ها. در مورد بهترین قالب های وردپرس و بهترین پلاگین های وردپرس در مقالاتی جداگانه صحبت شده است.
- نظارت بر زمان
- بکاپ گیری خودکار. بهترین پلاگین های بکاپ گیری را در این مقاله ببینید.
- بهینه سازی سرعت
- اسکن و حذف بدافزار
7. بلاک کردن IPهای مشکوک Rest API با یک افزونه
غیرفعال کردن REST API می تواند به حملات DDoS لایه برنامه کمک کند. حملات لایه برنامه یک نوع رفتار مخرب است که برای هدف قرار دادن لایه “بالایی سایت” در مدل OSI طراحی شده است. اینجا جایی است که درخواست های اینترنتی رایج (به عنوان مثال HTTP GET) رخ می دهد.
REST مخفف عبارت Representational State Transfer است. از درخواست های HTTP برای دسترسی و استفاده از داده ها استفاده می کند. این داده ها می توانند به انواع داده های GET، PUT، DELETE و POST عادت کنند که به به روز رسانی، خواندن، ایجاد و حذف عملیات مربوط به منابع اشاره دارد. API، در رابطه با وب سایت، کدی است که به دو نرم افزار اجازه می دهد تا با یکدیگر ارتباط برقرار کنند. API راه درستی را برای توسعهدهنده ارائه میکند تا برنامهای را بنویسد که از یک برنامه یا سیستم عامل درخواست خدمات میکند.
بنابراین، فناوری REST به طور کلی بر فناوری های مشابه ترجیح داده می شود. این به دلیل استفاده REST از پهنای باند کمتر است که در مقابل آن را برای استفاده کارآمد از اینترنت مناسب تر می کند. با غیرفعال کردن موقت REST API تا پایان حمله DDoS، میتوان به توقف آن کمک کرد. REST API می تواند توسط برخی از افزونه های فعال استفاده شود. حتی اگر هیچ پلاگینی وجود نداشته باشد، می توان آن را به طور کامل یا موقت غیرفعال کرد. افزونه ای مانند Disable REST API می تواند کمک کند.
استفاده از REST API در سایت وردپرس شما را برای کاربران احراز هویت غیرفعال می کند. پس از فعال کردن آن، REST API برای بازدیدکنندگان سایت شما غیر قابل دسترسی خواهد بود. مانند اقدامات احتیاطی پیشنهادی بدون افزونه Defender، به خاطر داشته باشید که غیرفعال کردن REST API فقط محافظت محدودی در برابر حملات DDoS ایجاد می کند. سایت وردپرس شما هنوز برای درخواست های HTTP معمولی باز است.
همچنین، غیرفعال کردن REST API (و XML-RPC) به جلوگیری از حمله DDoS ورودی کمک می کند و به جلوگیری از به خطر افتادن سایت شما و استفاده به عنوان یک بات نت برای تحریک یک حمله DDoS علیه سرورهای دیگر کمک می کند. فقط توجه داشته باشید که هنگام غیرفعال کردن REST API ممکن است خطراتی مانند اختلال در خدمات API وجود داشته باشد.
نتیجه گیری و پایان
با توجه به طیف گسترده ای از تهدیدات امنیتی که امروزه وجود دارد، ماندن در بالای همه آنها می تواند بسیار طاقت فرسا باشد. با این حال، با افزایش تعداد حملات DDoS هم از نظر فراوانی و هم از نظر شدت، مهم تر از همیشه است که مطمئن شوید از سایت وردپرس شما به درستی محافظت می شود.
نویسنده : بابک حیدریان
بابک حیدریان مهر. دانشجوی کارشناسی مترجمی زبان انگلیسی، محقق و متخصص SEO & Digital Marketing "زندگی ممکن است پُر از درد و رنج باشد، اما واکنشِ ماست که حرف آخر را میزند". فردیش نیچه