جلوگیری از حملات دیداس در وردپرس

سیستم مدیریت محتوای وردپرس محبوب‌ترین سیستم مدیریت محتوای جهان است که دارای کدنویسی امنی است. وردپرس هم همانند دیگر سیستم‌های مدیریت محتوا می‌تواند در برابر حملات، آسیب‌پذیر باشد.

در این مقاله قصد داریم تا حملات دیداس را بررسی و نحوه جلوگیری از آن را بررسی نماییم.

حملات دیداس چیست؟

حملات دیداس مخفف distributed denial of sercide است.

حمله دیداس نوعی حمله است که با استفاده از رایانه و دستگاه‌های مختلف برای ارسال یا درخواست یک سایت استفاده می‌شود.

هدف این نوع حملات کاهش سرعت سایت از طرق اشغال پهنای باند سایت و در آخر خرابی سایت است.

حتی بزرگ‌ترین شرکت‌های اینترنتی نیز در برابر حملات دیداس آسیب‌پذیر هستند.

برای مثال در سال 2018 سایت گیت هاب میزبان حمله دیداسی بود که 1.3 ترابایت در ثانیه ترافیک به سرور آنها ارسال می‌کرد.

دلایل رخ دادن حملات دیداس

انگیزه‌های زیادی در پشت پرده حملات دیداس است که برخی از آنها عبارت‌اند از:

• افرادی یا گروهی که با این حملات نظر سیاسی خود را بیان کنند.
• گروه‌هایی از یک منطقه یا یک کشور خاص که با انگیزه خاصی این حملات را می‌کنند.
• افرادی باهوش که فقط حوصله آنها سر رفته و قصد کنجکاوی دارند.
  و…

نحوه جلوگیری از حملات دیداس در وردپرس

بهترین ویژگی وردپرس انعطاف‌پذیری آن است.

وردپرس به افزونه‌ها و اشخاص ثالث اجازه می‌دهد تا با وب‌سایت شما ادغام شوند و ویژگی‌های جدیدی را به سایت شما اضافه می‌کنند.

وردپرس apiهای مختلفی را در اختیار برنامه‌نویسان قرار داده‌است.

این apiها ابزارهایی هستند که در آنها افزونه و خدمات شخص ثالث می‌تواند با وردپرس تعامل داشته باشند.

برخی از این apiها نیز می‌تواند در طول حمله دیداس با ارسال درخواست زیادی مورد سو استفاده قرار بگیرد.

به همین دلیل می‌توانید آنها را به راحتی غیرفعال کنید تا این درخواست‌ها به سرعت کاهش بیابد.

غیرفعال‌سازی xml prc

قابلیت xml-rpc به برنامه‌های شخص ثالث اجازه می‌دهد تا با وب‌سایت شما تعامل داشته باشند.

می‌توانید این قابلیت را با افزودن قطعه کد زیر به فایل .htaccess، اضافه کنید. (این را نیز در نظر داشته باشید که اگر از برنامه وردپرس در تلفن همراه خود استفاده می‌کنید به این قابلیت نیاز دارید و آن را غیرفعال نکنید):

# Block WordPress xmlrpc.php requests

>Files xmlrpc.php>

order deny,allow

deny from all

</Files>

غیرفعال‌سازی rest api

wordpress json rest api به افزونه‌ها و ابزارها امکان دسترسی به داده‌ها و به‌روزرسانی محتوا و حذف آنها را می‌دهد.

برای غیرفعال کردن این قابلیت کافیست تا افزونه disable wp rest api را نصب و فعال کنید و با یک کلیک rest api را برای همه کاربران ثبت نشده، غیرفعال کنید.

فعال‌سازی فایروال waf

غیرفعال کردن xml-rpc و rest api محافظ محدودی در برابر حملات دیداس است اما سایت شما هنوز هم در برابر درخواست‌های http آسیب‌پذیر است.

با شناسایی ipهای ربات‌ها و دستگاه‌های مشکوک، نسبت به مسدود کردن آنها برای خنثی کردن حملات دیداس کمک کنید.

ساده‌ترین راه برای مسدود کردن درخواست‌های مشکوک، فعال کردن فایروال برای وب‌سایت ها است.

برای فعال کردن فایروال می‌توانید از افزونه sucuri یا از cdnهایی مانند کلود فلیر استفاده نمایید.

با فعال کردن فایروال به عنوان یک پروکسی بین وب‌سایت شما و تمام ترافیک ورودی عمل می‌کند و مانع دسترسی درخواست‌های مشکوک و در آخر مسدود کردن آنها قبل از رسیدن به سرور شما استفاده می‌شود.

با تشکر از این که تا پایان آموزش “جلوگیری از حملات دیداس در وردپرس” همراه ما بودید.