آشنایی با حمله بروت فورس و روش های جلوگیری از آن

وردپرس یکی از بهترین و محبوب ترین سیستم های سایت ساز جهان است که امکان طراحی هر نوع وب سایتی را بدون نیاز به دانش کدنویسی به شما می دهد. از طرفی؛ به دلیل پرطرفدار بودن و همچنین منبع باز بودن آن همواره در معرض خطرات بسیار زیادی قرار دارد که یکی از رایج ترین آنها حملات Brute Force می باشد. این یکی از شایع ترین حملات برای وب سایت های وردپرسی است که اکثر سایت ها را تحت تاثیر قرار می دهد. حملات بروت فورس تلاش‌هایی برای هک حساب کاربری هستند که شامل همه چیز می‌شود، از مجرمان سایبری که رمزهای عبور تصادفی یا معمولی را حدس می ‌زنند تا استفاده از اعتبارنامه‌های قانونی کاربران لو رفته یا سرقت شده و… در هر صورت اگر می خواهید یک سایت امن داشته باشید، حتماً باید از این حمله در سایت خود جلوگیری نمائید. به همین منظور ما در این مطلب قصد داریم شما را با تعریف حمله بروت فورس چیست و روش های جلوگیری از حملات Brute Force آشنا کنیم. با ما همراه باشید.

حملات Brute Force چیست ؟

حمله بروت فورس یکی از روش های هک سایت است که افراد ناشناس از آزمون و خطا برای شکستن رمزهای عبور، اعتبارنامه‌های ورود و کلیدهای رمزگذاری استفاده می ‌کنند. این یک تاکتیک ساده و در عین حال قابل اعتماد برای دستیابی به دسترسی غیرمجاز به حساب‌های فردی و سیستم‌ها و شبکه‌های سازمان‌ها می باشد. در واقع؛ هکر چندین نام کاربری و رمز عبور را برای ورود به پنل شما امتحان می کند و اغلب از رایانه برای آزمایش طیف گسترده ای از ترکیبات استفاده می کند تا زمانی که اطلاعات ورود صحیح را پیدا نماید. همچنین هکرهایی که از ابزارها برای دستیابی به اطلاعات شما استفاده می کنند، اغلب به صورت خودکار قابلیت مخفی سازی آی پی را هم دارند که در این صورت تشخیص آنها بسیار سخت خواهد بود. یک حمله بروت فورس موفق می تواند این امکان را برای هکر فراهم کند تا به پنل مدیریتی شما دسترسی داشته باشد، سپس می تواند سایت شما را خراب کند، اطلاعات شما را به سرقت ببرد و بسیاری از کارهای دیگر.

از طرفی اگر حملات بروت فورس موفقیت آمیز نباشند، به دلیل اینکه درخواست های زیادی به سمت سرور میزبان شما ارسال می شود، می تواند باعث کاهش سرعت بارگذاری سایت و همچنین خراب شدن وب سایت شما شود. بنابراین برای جلوگیری از هر اتفاقی، بهتر است این حمله را جدی بگیرید و اجازه ندهید تا هکرها بتوانند به سایت شما نفوذ پیدا کنند. خوشبختانه روش های مختلفی وجود دارد که با تکیه بر آنها می توانید از سایت خود در برابر حملات بروت فورس جلوگیری کنید که در ادامه مطلب سعی می کنیم آنها را به شما عزیزان توضیح دهیم.

بیشتر بخوانید: چگونه آدرس سایت وردپرس خود را تغییر دهیم؟

انواع حملات Brute Force

انواع مختلفی از روش‌های حمله بروت فورس در سایت های وردپرسی وجود دارد که به مهاجمان اجازه دسترسی غیرمجاز و سرقت داده‌های کاربر را می ‌دهد.

– حملات ساده بروت فورس

یک حمله brute force ساده زمانی اتفاق می‌ افتد که یک هکر تلاش می‌کند تا اعتبار ورود کاربر را به صورت دستی و بدون استفاده از هیچ نرم‌افزاری حدس بزند. این معمولاً از طریق ترکیب رمزهای عبور استاندارد یا کدهای شماره شناسایی شخصی  رخ می دهد. در واقع، این حملات ساده شناخته می شوند، زیرا اکثر مردم از رمزهای عبور ضعیف ماننند: 1234 و… برای ورود به پنل خود استفاده می کنند و هکر می تواند خیلی ساده و سریع آن را حدس بزند.

– حملات دیکشنری

حمله دیکشنری شکلی اساسی از هک با نیروی بروت فورس است که در آن مهاجم هدفی را انتخاب و سپس رمزهای عبور احتمالی را با نام کاربری آن فرد آزمایش می ‌کند. روش حمله به خودی خود از نظر فنی یک حمله brute force محسوب نمی شود، اما می تواند نقش مهمی در فرآیند شکستن رمز عبور یک بازیگر بد بازی کند. این نوع حمله معمولاً زمان‌بر است و در مقایسه با روش‌های حمله جدیدتر و مؤثرتر، شانس موفقیت کمی دارد.

– حملات هیبریدی بروت فورس

حمله brute force ترکیبی زمانی است که یک هکر یک روش حمله فرهنگ لغت را با یک حمله بروت فورس ساده ترکیب می کند. با دانستن یک نام کاربری توسط هکر شروع و سپس یک حمله فرهنگ لغت و روش‌های ساده brute force را برای کشف ترکیب ورود به حساب کاربری انجام می‌دهد.

در واقع در این نوع حمله، در ابتدا مهاجم با فهرستی از کلمات بالقوه کار خود شروع می ‌کند، سپس با ترکیب حروف، حروف و اعداد آزمایش می ‌کنند تا در نهایت بتوانند رمز عبور صحیح را پیدا نمایند. این رویکرد به هکرها اجازه می دهد تا رمزهای عبوری را پیدا کنند که کلمات رایج یا محبوب را با اعداد، سال ها یا کاراکترهای تصادفی مانند “SanDiego123” یا “Rover2020” ترکیب می کنند.

– حملات بروت فورس معکوس

آنها از آن رمز عبور برای جستجوی اعتبار ورود منطبق با استفاده از لیست میلیون ها نام کاربری استفاده می کنند. هکرها همچنین ممکن است از رمز عبور ضعیفی که معمولاً استفاده می ‌شود، مانند «Password123» برای جستجو در پایگاه‌داده نام‌های کاربری مشابه استفاده کنند.

بیشتر بخوانید: 5 روش برای رفع خطای 401 در وردپرس و ارور 401 unauthorized

آموزش جلوگیری از حملات بروت فورس وردپرس

خوشبختانه روش های مختلفی وجود دارد که می توانید با استفاده از آنها از حملات بروت فورس در سایت خود جلوگیری کنید که در ادامه مطلب آنها را به شما توضیح می دهیم. همراه ما باشید.

1. نصب افزونه فایروال وردپرس
2. وردپرس و برنامه های خود را بروزرسانی کنید
3. محافظت از دایرکتوری مدیریت وردپرس
4. احراز هویت دو مرحله ای
5. از رمز عبور قوی و منحصربفرد استفاده کنید
6. غیرفعال سازی اجرای فایل PHP را در پوشه های خاص وردپرس
7. استفاده از افزونه های پشتیبان گیری در سایت
8. تلاش های ناموفق برای ورود را محدود کنید
9. از کپچا استفاده کنید

در ادامه توضیحاتی در خصوص هریک از این روش ها در اختیار شما قرار می دهیم. امیدوارم تا انتهای این آموزش مارو همراهی کنید.

1- نصب افزونه فایروال وردپرس | منظور از حملات Brute Force

یک حمله بروت فورس بار زیادی روی سرور شما وارد می کند که این می تواند علاوه بر کاهش سرعت سایت باعث از بین رفتن اطلاعات هم شود. به همین دلیل شما باید آنها را قبل از رسیدن به سرور خود مسدود کنید. برای انجام اینکار شما به یک افزونه فایروال وردپرس نیاز دارید. فایروال ترافیک مشکوک را فیلتر می کند و اجازه دسترسی آنها به سایت شما را نمی دهد.

به طور کلی انواع افزونه های فایروال وجود دارد که می توانید از آنها استفاده کنید. پیشنهاد ما به شما افزونه Sucuri می باشد. این افزونه یکی از بهترین افزونه های فایروال برای وردپرس می باشد که تاکنون ارائه شده است.

بیشتر بخوانید: آموزش نحوه رفع خطای انتشار ناموفق در وردپرس؛ 7 راه حل برای این مشکل 

2- وردپرس و برنامه های خود را بروزرسانی کنید | نحوه جلوگیری از حملات Brute Force

یکی دیگر از روش های جلوگیری از حملات Brute Force به وردپرس بروزرسانی مداوم وردپرس و افزونه و قالب ها می باشد. معمولاً حملات Brute Force بیشتر در نسخه های قدیمی اتفاق می افتد. هسته وردپرس و اکثر افزونه‌های محبوب وردپرس منبع باز هستند و آسیب ‌پذیری های آنها با به‌ روزرسانی کردن آنها برطرف می‌شوند. در ابتدا سعی کنید هسته وردپرس خود خود را بروزرسانی کنید و بعد از آن تمامی افزونه ها و قالب های خود را به اخرین نسخه ارتقاء دهید.

3- محافظت از دایرکتوری مدیریت وردپرس |طریقه جلوگیری از حملات Brute Force

اکثر حملات brute force در یک سایت وردپرسی سعی در دسترسی به قسمت مدیریت وردپرس دارند. می ‌توانید حفاظت از رمز عبور را در فهرست مدیریت وردپرس خود در سطح سرور اضافه کنید. این موضوع دسترسی غیرمجاز به بخش مدیریت وردپرس شما را مسدود می کند. برای انجام اینکار در ابتدا وارد کنترل پنل هاست خود شوید و سپس از بخش “Files” روی گزینه “Directory Privacy” کلیک کنید.

سپس پوشه “wp-admin” را پیدا و روی آن کلیک کنید.

بعد از آن شما باید یک نام برای پوشه، نام کاربری و رمز عبور محدود شده ارائه دهید. در نهایت بعد از وارد کردن اطلاعات روی دکمه ذخیره تغییرات کلیک کنید.

بیشتر بخوانید: آموزش تغییر رمز (پسورد) ورود به پیشخوان ادمین وردپرس

پس از آن مدیریت وردپرس شما با رمز عبور محافظت می شود. حال زمانی که از بخش مدیریت وردپرس خود بازدید می کنید، یک اعلان ورود جدید را مشاهده خواهید کرد.

نکته: در صورتی که با خطای 404 در این بخش مواجه شدید، باید کد زیر را به فایل htaccess خود اضافه نمائید:

ErrorDocument 401 default

بیشتر بخوانید: آموزش رفع مشکل به ‌روزرسانی دیگری در جریان است در وردپرس 

4- احراز هویت دو مرحله ای | حمله بروت فورس چیست

یکی دیگر از روش های محافظت از حملات Brute Force به وردپرس احراز هویت دو مرحله ای می باشد. احراز هویت دو مرحله ای یک لایه امنیتی اضافی را به صفحه ورود وردپرس شما اضافه می کند. کاربران برای دسترسی به بخش مدیریت وردپرس علاوه بر رمز عبور اصلی، به یک رمز عبور یکبار مصرف که برای گوشی موبایل آنها اس اس ام می شود نیاز دارند.

5- از رمز عبور قوی و منحصربفرد استفاده کنید | حملات Brute Force چیست

نماد رمز عبور قوی داشتن یک خط مشی رمز عبور قوی ساده ترین و مؤثرترین راه برای خنثی کردن یک حمله brute-force است. در واقع شما باید رمزی را انتخاب کنید که بسیار پیچیده و حدس زدن آن سخت باشد، اما در عین حال ساده باشد تا بتوانید آن را به خاط بسپارید. هنگام ایجاد رمز عبور می توانید از دستورالعمل های زیر استفاده کنید:

• از اطلاعات شخصی خود برای رمز عبور خود استفاده نکنید.از استفاده از تاریخ تولد، نام یا آدرس ایمیل خود برای رمز عبور خودداری کنید.
• از ترکیب رمزهای عبور منحصر به فرد ( عدد و حروف) برای هر یک از حساب های آنلاین خود استفاده کنید.
• از عبارات عبور طولانی که حاوی فاصله و کاراکترهای منحصر به فرد هستند استفاده کنید.
• اعداد، نمادها و حروف بزرگ و کوچک را در رمزهای عبور خود قرار دهید.
• رمز عبوری ایجاد کنید که بیش از شش کاراکتر باشد.در حالت ایده آل، پسوردها باید حداقل 15 کاراکتر داشته باشند.

بیشتر بخوانید: حملات DDoS چیست؛ راه های مقابله با انواع حملات دیداس

6- غیرفعال سازی اجرای فایل PHP را در پوشه های خاص وردپرس | روش های جلوگیری از حملات Brute Force

هکرها ممکن است بخواهند یک اسکریپت PHP را در پوشه های وردپرس شما نصب و اجرا کنند. همانطور که می دانید وردپرس با استفاده از زبان PHP نوشته شده است، این بدان معنا می باشد که شما نمی توانید آن را در تمام پوشه های وردپرس خود غیرفعال کنید. با این حال، بسیاری از پوشه ها هستند که به هیچ اسکریپت PHP نیاز ندارند. به عنوان مثال، پوشه آپلود وردپرس شما در /wp-content/uploads  قرار دارد. شما می توانید با خیال راحت اجرای PHP را در پوشه آپلود که محلی رایج هکرها برای مخفی کردن فایل های درب پشتی است، غیرفعال کنید.

برای انجام اینکار، در ابتدا وارد یک ویرایشگر متن مانند نوت پد در رایانه خود شوید و سپس کد زیر را درون آن قرار دهید:

<Files *.php>

deny from all

</Files>

اکنون، این فایل را به‌عنوان htaccess ذخیره کنید و با استفاده از یک سرویس گیرنده FTP در پوشه‌های  /wp-content/uploads/  وب ‌سایت خود آپلود نمائید.

بیشتر بخوانید: 4 روش برای حفاظت از رمز عبور پیشخوان وردپرس

7- استفاده از افزونه های پشتیبان گیری در سایت | آموزش جلوگیری از حملات بروت فورس وردپرس

یک راه برای افزایش امنیت و حفاظت ساده وردپرس در برابر حملات  Brute Force، راه اندازی افزونه پشتیبان گیری در سایت می باشد. پشتیبان گیری یکی از مهم ترین روش هایی است که از وب سایت شما در برابر انواع تهدیدات محافظت می کند. در واقع اگر شما یک نسخه پشتیبان کلی از اطلاعات خود تهیه کنید، بعد از هرگونه اتفاق ناگوار شما می توانید به سادگی سایت خود را به حالت اولیه برگردانید.

ساده ترین و بهترین روش برای تهیه پشتیبان، استفاده از یک افزونه وردپرس پشتیبان گیری می باشد. افزونه های زیادی در این خصوص ارائه شده که می توانید به دلخواه یکی از آنها را روی وردپرس خود فعال کنید.

8- تلاش های ناموفق برای ورود را محدود کنید | روش های جلوگیری از حملات Brute Force

محدودسازی تلاش های ناموفق برای ورود به سایت یک راه عالی برای جلوگیری از نفوذ هکرها در سایت محسوب می شود. شما می توانید تنظیم کنید که پس از چند بار اشتباه وارد کردن رمز، ورود به حساب مسدود شود. در واقع؛ تلاش‌های ورود به صورت پیش‌فرض در اکثر وب‌سایت‌ها، به خصوص اگر روی وردپرس اجرا می‌شوند، اجازه ورود نامحدود را می‌ دهند. اگر مدیر وب‌سایت هستید، می‌توانید از یک افزونه برای محدود کردن تلاش‌های ممکن برای ورود به سایت خود برای جلوگیری از حملات بروت فورس استفاده کنید. چنین افزونه هایی به شما این امکان را می دهند که تعداد لاگین هایی را که می خواهید بازدیدکنندگانتان داشته باشند را وارد نمائید. سپس به محض اینکه تعداد دفعات آنها بیشتر از حد مجاز شود، آدرس IP آنها برای مدت زمان قابل توجهی از سایت شما ممنوع خواهد شد.

9- از کپچا استفاده کنید | نحوه جلوگیری از حملات Brute Force

کپچا یکی دیگر از بهترین روش ها برای جلوگیری از انواع ربات و هرزنامه به سایت می باشد. شما می توانید با اضافه کردن این قابلیت در هنگام ورود به سایت، از انواع حملات جلوگیری نمائید.

بیشتر بخوانید: وقتی از ناحیه مدیریت وردپرس قفل شده اید چه کاری باید انجام دهید

سوالات متداول

بیشتر بخوانید: آموزش مقابله با حملات XMLRPC در وردپرس

جمع بندی: راه های پیشگیری از حملات بروت فورس

حملات  Brute Force از آن دسته از حملاتی است که می تواند باعث از بین رفتن اطلاعات و سایت شما شود. به همین منظور ما در این مطلب روش های محافظت از حملات Brute Force به وردپرس را به شما معرفی کردیم که می توانید به کمک آنها سایت خود را ایمن کنید. امیدوارم این مطلب مورد رضایت شما عزیزان قرار گرفته باشد.

منبع: wpbeginner