در این آموزش از سری آموزش های وردپرس حفاظت سایت وردپرس در برابر حملات DDoS همراه شما هستیم.
مطمعنا با حملات DDoS یا حملات انکار سرویس آشنایی دارید. حملات DDoS یا حملات انکار سرویس توزیع شده موضوع جدیدی نیست. در این حملات هکرها با ارسال حجم زیادی از درخواست ها به سرویس های وب سرور قربانی، موجب از دسترس خارج شدن این سرویس ها میشوند. حمله انکار سرویس توزیع شده روشی هست که هکر از سیستم ها یا شبکه هایی برای ارسال درخواست به قربانی استفاده میکند و باعث میشود سیستم قربانی قادر به پاسخ گویی به کاربران واقعی خود نباشد.
DDoS چگونه کار میکند؟
در طول حمله DDoS سرور یا شبکه هدف درخواست هایی را از سیستم های آسیب دیده دریافت میکند. تعداد درخواست ها خیلی زیاد میباشد بطوری که پهنای باند شبکه و یا منابع سرور پر میشود. این امر باعث کند شدن سرور شده و در برخی موارد موجب غیرقایل استفاده شدن سرور میشود. انواع مختلف حملات انکار سرویس وجود دارد که در مقالات آتی در مورد آنها بحث خواهیم کرد. در این مقاله به روش هایی برای حفاظت سایت وردپرس خود در برابر حملات DDoS پرداخته ایم.
حفاظت سایت وردپرس خود در برابر حملات DDoS
همانطور که میدانید وردپرس یکی از بهترین سیستم های مدیریت محتوا میباشد که توسط طیف وسیعی از توسعه دهندگان پشتیبانی میشود. مشکلی که وجود دارد است که این سیستم مدیریت محتوا مستعد آسیب پذیری هایی است و برخی از اکسپلویت ها توسط هکرها برای اعمال حملات DDoS استفاده میشوند. از آنجایی که وردپرس 28% محتوای وب را از آن خود کرده است به این دلیل هدف جذابی برای هکرها میباشد. گاهی اوقات سایت کاربران بدون اینکه خودشان اطلاع داشته باشند بعنوان zombie برای انجام حملات به سایر سایت ها مورد استفاده قرار میگیرند. بهترین کار برای کاهش تهدیدات حملات DDoS برطرف کردن آسیب پذیری های سایت وردپرس خود میباشد. مراحل زیر را برای حفاظت سایت وردپرس خود در برابر حملات DDoS طی نمایید.
گام اول: قابلیت XML-RPC را روی وردپرس غیرفعال نمایید.
این قابلیت بصورت پیشفرض از نسخه 3.5 وردپرس و نسخه های بعد از آن فعال میباشد و سرویس هایی مانند pingbacks و trackbacks را ارائه میدهد. از این قابلیت میتوان سوء استفاده کرده و درخواست های HTTP به به سایت هدف ارسال کرد. اگر هزاران سایت وردپرسی مورد سوء استفاده قرار گیرند و همزمان شروع به ارسال درخواست به سایت هدف نمایند، حمله DDoS لایه application خیلی بزرگ میتواند رخ دهد. برای جلوگیری از حملات DDoS از طریق pingbacks و trackbacks بهنر هست قابلیت XML-PRC را روی تمامی سایت های وردپرس خود غیرفعال نمایید. برای اینکار کدهای زیر را به فایل .htaccess خود اضافه نمایید:
START XML RPC BLOCKING#
Order Deny,Allow
Deny from all
FINISH XML RPC BLOCKING#
گام دوم: بصورت مرتب نسخه وردپرس خود را بروزرسانی نمایید.
توسعه دهندگان وردپرس بصورت مرتب بروزرسانی های امنیتی برای این سیستم مدیریت محتوا ارائه میدهند. مواردی که باید در سایت وردپرسی آپدیت شوند بصورت زیر میباشند:
فایل نصب وردپرس
قالبهای وردپرس
افزونه های وردپرس
نسخه PHP سرور
نسخه Apache
نسخه MySQL
نسخه سیستم عامل
سایر اسکریپت ها یا نرم افزارهایی که استفاده میکیند.
گام سوم: با شرکت هایت خود در ارتباط باشید.
باید با شرکت رائه دهنده هاست خود در مورد اینکه آیا سرورها و سخت افزارها با آخرین آپدیت ها بروزرسانی میشوند یا خیر و در مورد اقدامات امنیتی که این شرکت برای سرویس های خود فراهم میکند اطلاع داشته باشید. برخی از این خدمات و اقدامات امنیتی میتوانند بصورت زیر باشند:
دسترسی SSH و SFTP
فایروال لایه application
فایروال سیستم عامل
بکاپ های اتوماتیک
آی پی های اختصاصی
بروزرسانی و پتچ سیستم عامل و سرویس ها
آپدیت اپلیکیشن ها
گام چهارم: استفاده از افزونه های امنیتی
کانفیگ یک پلاگین امنیتی میتواند یک لایه دفاعی به سایت وردپرس شما اضافه کند. توصیه ما استفاده از افزونه WordFence میباشد که بصورت مرتب به مانیتور و جلوگیری از حملات DDoS بر روی سایت های وردپرس میپردازند. توجه داشته باشید که این افزونه های امنیتی میتوانند سایت شما را تحت تاثیر قرار دهند چون منابع زیادی برای مانیتور کردن تهدیدات امنیتی نیاز دارند.
امیدواریم از مطلب حفاظت سایت وردپرس در برابر حملات DDoS استفاده لازم را برده باشید.
کاربر گرامی شما میتوانید سؤالات مربوط به این آموزش را در بخش کامنتها عنوان کرده و در همین قسمت پاسخ خود را دریافت کنید.