اگر هیچ اقدامی برای محافظت از آن در برابر حملات DDoS انجام ندهید، تمام کار سختی که روی وبسایت وردپرس خود انجام میدهید، در یک ثانیه از بین میرود.
همه وب سایت های قابل دسترسی عمومی در برابر حملات DDoS آسیب پذیر هستند و سایت های مبتنی بر وردپرس نیز از این قاعده مستثنی نیستند. خوشبختانه وردپرس یک پلت فرم بسیار منعطف است و بنابراین از اقدامات حفاظتی موثر در برابر حملات پشتیبانی می کند. این فقط یک موضوع پیشگیری است: دفع حمله یا کاهش اثرات آن. شما باید قبل از وقوع آن اقدام کنید.
حمله DDoS چیست؟
مخفف کلمه Distributed Denial of Service، حمله DDoS یک اقدام تهاجمی هماهنگ است که توسط شبکه ای از رایانه ها یا دستگاه های در معرض خطر (یک بات نت) انجام می شود که به طور انبوه داده ها را به یک سرور (هدف) ارسال می کند یا از آن درخواست می کند. سیل درخواست ها ظرفیت سرور را تحت الشعاع قرار می دهد و سرعت آن را کاهش می دهد یا به دلیل کمبود منابع از کار می افتد.
آسیب احتمالی حمله DDoS
اگر وب سایت شما هدف حمله DDoS قرار گیرد، اتفاقات بد زیادی برای آن رخ می دهد.
مثلا:
- تجربه بازدیدکنندگان شما ممکن است تحت تأثیر منفی قرار گیرد. در بهترین حالت، پاسخ های سایت می تواند کند شود 🦥؛ در بدترین حالت، کل سایت خراب و غیر قابل دسترس خواهد بود.
- اگر وب سایت شما یک فروشگاه آنلاین است، می توانید فروش خود را از دست بدهید، و اگر فقط محتوا را ارائه می دهد، بازدیدکنندگان شما ممکن است به جای دیگری بروند تا به آنچه می خواهند برسند.
- شهرت وب سایت شما ممکن است به طور جدی کاهش یابد 📉، هم از نظر شهرت برند درک شده (یعنی شرکت شما جدی تلقی می شود) و هم از نظر اعتبار، ارتباط و اعتماد، که ستون های هر استراتژی سئو هستند.
- تعمیر آسیب ها برای شما هزینه دارد. هزینه به مدت زمان حمله بستگی دارد و محاسبه آن دشوار است زیرا باید عوارض جانبی زیادی را در نظر بگیرید، مانند تلاشهای پشتیبانی مشتری برای پاسخ به ادعای کاربران در مورد اختلال در سرویس یا استخدام یک سرویس امنیتی برای تمیز کردن وبسایت خود.
قربانیان حملات DDoS چه کسانی هستند؟
هر وب سایتی، صرف نظر از اندازه یا حجم آن، می تواند هدف حمله DDoS باشد.
وبسایتهایی با آسیبپذیریهای آشکار سادهترین اهداف هستند، اما یک حمله میتواند عمداً علیه هر وبسایت خاصی سازماندهی شود. این حمله ممکن است به دلایل ایدئولوژیک انجام شود (عملی به نام هکتیویسم). به عنوان مثال، بی اعتبار کردن سایتی که ایده های سیاسی یا مذهبی خاصی را تبلیغ می کند. یا باج گیری از صاحب وب سایت و درخواست باج. یا ممکن است صرفاً سرگرمی گروهی از افراد آگاه در فناوری باشد که می خواهند مهارت های خود را به رخ بکشند.
حمله همچنین می تواند استخدام شود: یک شرکت به گروهی از هکرها پول می دهد تا به طور خاص به رقبای خود حمله کنند. دلیل آن هرچه که باشد، نتیجه این است: هر صاحب وب سایتی باید اقدامات احتیاطی را برای جلوگیری از آسیب رساندن حمله DDoS به سایت خود انجام دهد. دشوار یا گران نیست، بنابراین هیچ دلیل واقعی برای انجام ندادن آن وجود ندارد.
نحوه نصب گوگل آنالیتیکس در وردپرس
چگونه از وردپرس خود در برابر حملات DDoS محافظت کنیم؟
دو اقدام امنیتی ضروری که باید برای محافظت از سایت وردپرس خود در برابر حملات DDoS انجام دهید:
یک راه حل خوب پشتیبان وردپرس دریافت کنید.
شروع به استفاده از یک راه حل امنیتی ضد DDoS مبتنی بر ابر مقرون به صرفه کنید.
راه حل پشتیبان چیزی است که شما باید به دلایل زیادی داشته باشید، نه فقط برای محافظت از DDoS. راهحلهای پشتیبانگیری رایگان و پولی زیادی در کاتالوگ افزونه وردپرس وجود دارد، بنابراین ما در حال حاضر عمیقتر به این موضوع نمیپردازیم. پس از حمله، اگر وب سایت شما آسیب ببیند، بازیابی آن با یک نسخه پشتیبان امن یک راه سریع برای برگرداندن آن به حالت عادی است.
از نظر راه حل های امنیتی ضد DDoS، باید از خود بپرسید که چقدر می خواهید آرامش داشته باشید و چقدر پول می خواهید برای آن بپردازید. اگر نمیخواهید چیزی بپردازید، باید خودتان به چند چیز رسیدگی کنید.
رویکرد 🧰 DIY
یکی از چیزهای مهم در مورد وردپرس این است که دارای معماری باز است که به برنامه های شخص ثالث اجازه می دهد تا با آن یکپارچه شوند و با آن تعامل داشته باشند. این امر با چندین API (رابط برنامه نویسی کاربردی) در دسترس برنامه نویسان به دست می آید. مشکل این است که آن API ها می توانند توسط یک حمله DDoS برای ارسال سیل درخواست ها مورد سوء استفاده قرار گیرند. بنابراین، اولین کاری که باید انجام دهید: یک API قابل بهره برداری به نام XML-RPC را غیرفعال کنید.
فقط در صورتی به XML-RPC نیاز دارید که وب سایت وردپرس شما با برنامه های شخص ثالث خارجی مانند برنامه وردپرس در دستگاه های تلفن همراه تعامل داشته باشد. اگر می توانید بدون آنها کار کنید، پس بهتر است XML-RPC را غیرفعال کنید. این کار را می توان به سادگی با ویرایش فایل .htaccess وب سایت خود برای جلوگیری از دسترسی به برنامه xmlrpc.php انجام داد. یا اگر فکر نمیکنید که تغییر فایلهای داخلی وبسایتتان توسط خودتان بیخطر باشد، میتوانید افزونهای تهیه کنید که این کار را برای شما انجام دهد.
پلاگین های ضد DDoS
چند افزونه امنیتی وردپرس وجود دارد که آسیب پذیری های دیگر وردپرس را برطرف می کند.
Protection Against DDoS – این افزونه به مشکلات عملکرد ناشی از brute force و حملات DDoS می پردازد. با انجام تمام بررسیها از طریق فایل htaccess، درخواستهای مخرب در سطح وب سرور را قبل از رسیدن به سایت وردپرس متوقف میکند.
همچنین آسیبپذیری XML-RPC را برطرف میکند و گزینههای پیکربندی آن به کاربران Cloudflare این امکان را میدهد که دسترسی به بازدیدکنندگان از کشورهای خاص را ممنوع کنند.
غیرفعال کردن WP REST API – WordPress REST API یکی دیگر از آسیبپذیریهای قابل بهرهبرداری CMS محبوب است. خوشبختانه با این افزونه فوق سبک می توان این آسیب پذیری را به راحتی برطرف کرد. این تنها از 22 خط کد – کمتر از 2 کیلوبایت – استفاده می کند و با غیرفعال کردن WP REST API برای بازدیدکنندگانی که به وردپرس وارد نشده اند کار می کند. پس از نصب و فعالسازی، اگر بازدیدکنندگانی که از سیستم خارج شدهاند درخواستهای JSON/REST را به وبسایت شما ارسال کنند، پیامی دریافت میکنند که نشان میدهد REST API به کاربران تأیید شده محدود شده است.
Pingback XML-RPC را غیرفعال کنید – با بیش از 80000 نصب و رتبه 4.5 ستاره. این افزونه تمام روش های قابل بهره برداری را از رابط XML-RPC حذف می کند. همچنین، X-Pingback را از هدرهای HTTP حذف می کند، که مانع از دسترسی ربات ها به فایل xmlrpc.php می شود.
سوئیت های امنیتی
اگر می خواهید به طور کامل DDoS و سایر نگرانی های امنیتی را فراموش کنید تا تمام تلاش خود را برای کسب و کار خود به کار ببرید، پس راه حلی می خواهید که همه پایه ها را پوشش دهد.
چنین راه حلی باید شامل موارد زیر باشد:
- فایروال برنامه وب فایروال بین وب سایت شما و اینترنت قرار می گیرد و ترافیک خصمانه را شناسایی می کند و آن را مسدود می کند.
- بسته آنتی ویروس وب سایت باید به صورت دوره ای و خودکار وب سایت شما را اسکن کند تا هر گونه اثر بدافزار را شناسایی کرده و آن را حذف کند.
- اسکن سرور برای هک های غیر عفونی، مانند تبلیغات بنری از سایت های ناشناس.
- ممیزی/نظارت سایت برای شناسایی هرگونه فعالیت مشکوک، مانند تغییرات فایل، پستهای جدید، کاربران جدید، تلاشهای ناموفق برای ورود به سیستم و موارد دیگر.
بیایید راه حل های زیر را که امنیت جامع سایت وردپرس را ارائه می دهند، بررسی کنیم.
سوکوری
Sucuri یک شرکت مشهور امنیت وب با تجربه زیادی در وب سایت های وردپرسی است.
لحظه ای که Sucuri را در سایت خود فعال می کنید، آنها یک فایروال پروکسی ابری بین وب سایت شما و اینترنت نصب می کنند و تمام ترافیک هدایت شده به سرور میزبان شما را فیلتر می کنند. فایروال فقط به بازدیدکنندگان قانونی اجازه می دهد تا به وب سایت وردپرس شما دسترسی پیدا کنند. به عنوان یک عارضه جانبی، وب سایت شما به لطف ابر Sucuri پاسخ سریع تری خواهد داشت و می توانید با کاهش حجم ترافیکی که سرور شما باید مدیریت کند، در هزینه میزبانی صرفه جویی کنید.
راه حل کامل Sucuri یک بسته آنتی ویروس را به مخلوط اضافه می کند که به طور منظم وب سایت شما را اسکن و نظارت می کند تا از انواع بدافزارها محافظت کند: قطعه های مخرب جاوا اسکریپت، تغییر مسیرهای مشکوک، تزریق کد و غیره.
همچنین بررسی می کند که سایت شما توسط خدمات ارزیابی شهرت در لیست سیاه قرار نگیرد. با مرور گزارش حسابرسی سایت، از هر اتفاقی که در وب سایت وردپرسی خود می افتد، از جمله کاربران جدید، تلاش های ناموفق برای ورود، تغییرات فایل و موارد دیگر مطلع خواهید شد.
برنامه های قیمت گذاری Sucuri حدود 199 دلار در سال برای یک سرویس اولیه شروع می شود – که چندان اساسی نیست، زیرا فقط چند ویژگی سازمانی ندارد. ویژگیهای ارائه شده بیش از توجیه قیمت هستند، اما اگر این برای متقاعد کردن شما کافی نیست، در نظر بگیرید که آنها یک سرویس پاکسازی بدافزار را به همراه حذف لیست سیاه ارائه میدهند.
اگر از وبسایت خود محافظت میکنید، بعید است که هرگز به این سرویس نیاز پیدا کنید، اما در نظر بگیرید که یک متخصص امنیتی میتواند به راحتی ۲۵۰ دلار در ساعت از شما برای حذف عفونت بدافزار از سایت شما دریافت کند.
Astra Security
Astra Security یکی از راه حل های امنیتی پیشرو وردپرس است. فایروال نقطه پایانی هوشمند Astra به طور یکپارچه بر روی وب سایت شما نصب می شود و در زمان واقعی از حملات DDoS لایه 7 و بیش از 100 نوع حمله دیگر محافظت می کند. این فایروال مجهز به اطلاعات یادگیری ماشینی، حملات شناخته شده، رفتار ربات ها و درخواست های مخرب را شناسایی می کند و با هر نوع حمله جدید تکامل می یابد. فایروال Astra فعال 24*7 از وب سایت شما بدون نقص محافظت می کند.
علاوه بر این، فایروال Astra بدون نیاز به تغییر DNS به خوبی روی سرور خود کار می کند.
اما این همه چیز نیست. بسته امنیتی Astra چیزهای بیشتری برای ارائه دارد. هر بسته امنیتی دارای WAF، اسکنر بدافزار، کشور و مسدود کننده IP و چندین ویژگی مفید دیگر است.
شروع به کار با Astra Security آسان است و کل فرآیند کمتر از 15 دقیقه طول می کشد. اینجوری کار میکند:
افزونه Astra Security را از مخزن وردپرس نصب کنید
یک حساب کاربری ایجاد کنید، یک طرح را انتخاب کنید و ثبت نام کنید
در نهایت، روی «اتصال به Astra» از باطن WP خود کلیک کنید
با این کار باطن WP شما به داشبورد Astra متصل می شود که چیزی شبیه به این است:
astra-stop-ddos
Cloudflare
Cloudflare از CDN عظیم خود (شبکه توزیع محتوا) برای محافظت از وب سایت وردپرس شما در برابر حملات DDoS استفاده می کند که علاوه بر ایمن سازی سایت شما را سریعتر می کند. با بیش از 200 مرکز داده توزیع شده در سرتاسر جهان، CDN به اندازه کافی بزرگ است که حتی قوی ترین حملات را جذب و منحرف کند، بنابراین نیازی نیست نگران پر شدن ظرفیت کاهش آن باشید.
یک رویکرد کاهش پیشگیرانه به Cloudflare این امکان را میدهد تا با استفاده از اطلاعات مشترک، که از تجزیه و تحلیل رفتاری امضاها و IPها در بیش از 20 میلیون وبسایت تهیه شده است، حملات را پیشبینی کند. این حفاظت، حملات لایه های 3، 4 و 7 را در لبه شناسایی و مسدود می کند و مانع از رسیدن آنها به وب سایت شما می شود.
همچنین، تمام پورتهای TCP در زیرساخت شما با استفاده از Spectrum برای ترافیک پراکسی از طریق مرکز داده Cloudflare محافظت میشوند.
این سرویس برای افراد و وب سایت های کوچک (غیر تجاری) رایگان است. این طرح رایگان شامل کاهش حملات DDoS، CDN جهانی و پشتیبانی از طریق ایمیل است. برنامههای پولی از 20 دلار در ماه شروع میشوند و فایروال برنامههای وب، تجزیه و تحلیل کش، بهینهسازی موبایل و سایر مزایا را اضافه میکنند.
برای وبسایتهای مهم تجاری، طرح سازمانی پشتیبانی از چت/تلفن 24x7x365، SLA 100% uptime، پشتیبانی مهندسی راهحلها، از جمله مزایای دیگر را اضافه میکند.
StackPath
یک شبکه جهانی با ظرفیت کل 65 ترابیت بر ثانیه به راه حل StackPath اجازه می دهد تا بزرگترین و پیچیده ترین حملات DDoS را کاهش دهد و به طیف گسترده ای از روش های حمله، از جمله سیل های HTTP، SYN و UDP رسیدگی کند. پلتفرم StackPath اطلاعات مربوط به حملات DDoS را به همراه مکانهای لبهاش جمعآوری و تجزیه و تحلیل میکند و به آن اجازه میدهد تا تمام تلاشهای مخرب را بدون توجه به اینکه از کجا آمدهاند، مسدود کند.
برای محافظت از وب سایت وردپرس شما در لایه شبکه، شبکه جهانی StackPath از تجهیزات شبکه ای استفاده می کند که در برابر حملات DDoS لایه های 3 و 4 در دستگاه محافظت می کند. در همین حال، یک فایروال برنامه کاربردی وب هوشمند با استفاده از تکنیکهای اعتبارسنجی منحصر به فرد جاوا اسکریپت که رباتهای خودکار را شناسایی و مسدود میکند و ارائه ابزارهای پیشرفته برای پیکربندی آستانههای DDoS متناسب با نیازهای خاص شما، حملات DDoS پیچیده لایه ۷ را در کمتر از یک ثانیه کاهش میدهد.
حفاظت DDoS StackPath بخشی از مجموعه خدمات لبه است که از 20 دلار در ماه شروع می شود و شامل CDN، WAF (فایروال برنامه وب)، DNS و خدمات نظارت است. این چهار سرویس را می توان به صورت جداگانه استخدام کرد و هر کدام 10 دلار در ماه هزینه دارند. مقیاس قیمت ها با توجه به حجم؛ به عنوان مثال، اگر به CDN 100 ترابایت در ماه و درخواست WAF 50 میلیون در ماه نیاز دارید، باید 2000 دلار در ماه بپردازید.
بدون بهانه!
اگر وب سایت شما خراب شد، یا در لیست سیاه قرار گرفت، یا شهرت خود را از دست داد، بهانه ندهید. شما تمام منابع را در اختیار دارید تا از خراب کردن سایت وردپرس محبوب شما توسط فاجعه جلوگیری کنید. اگر تا به حال این کار را انجام نداده اید، اقدام کنید و قبل از اینکه خیلی دیر شود کاری انجام دهید.
5 دیدگاه دربارهٔ «چگونه از وردپرس در برابر حملات DDoS محافظت کنیم؟»
خب…
سلام آقای پناهی رفیق فابریک قدیمی فکر کردم امین قبلی ولی طول مدت فهمیدم هم دوستان فیکت عوض شدن هم زن ذلیل شدی مث بقیه یک چیزی بهت بگم آرزو هاتون خاطرس… آینده اتون دست شهدای ایران زمین منطقه 2 تهرانه…
اصلا میدونی شهید کبکعلی منو کجاها برده چه گذشته ای برام ساخته جهان سوما…
فقط اینو بدون پاول دورف سازنده تلگرام تو سن پطرزبورگ روسیه از گذشته ایران زمین منطقه 2 شکست خورده چی فکر کردید…
آینده دسته گذشته ایران زمین منطقه 2 است…