چک لیست ایمن سازی مقدماتی WordPress Pingback DDOS Attack


ممکنه که حین کار کردن با وبسایت یا زمان ادیت کردن و یا نوشتن مقاله و یا بررسی صحت محصولاتتون و... با عدم لود و ارور های سرور روبه‌رو شده باشید.

و بعد از چک کردن سی پنل و بررسی منابعی که در اختیار دارید ، مواجه شدن با چنین تصویری دور از انتظار نیست.

در قدم اول بهترین کار استفاده از CDN معتبر مثل کلادفلر هستش. جدای از بحث کش و اپتیمایز کردن وبسایت و ذخیره سازی منابع و کاهش رکوست ها . کلاد فلر قابلیت دفع و ایمن سازی تا حدود بسیار بالایی رو داراست.

و در چنین شرایطی میتونید با فعال کردن Under Attack Mode تا زمان پایان حملات و تمامی ورودی ها رو از فیلتر یک چالش جاوا اسکریپت 5 ثانیه ای رد کنید. و خب تنها گزینه پیش روی شما هستش.

اما اگر از کلادفلر استفاده نکردید و وبسایت شما زیر حمله اگر قرار داره ، تنها چاره و اولین ورکاپ برای شما قبل از ساسپند شدن توسط هاستینگ .شاید تغییر موقت NS ها و از دسترس خارج کردن وبسایت باشه. که چنین حالتی در صورت تداوم میتونه به سئو سایت شما ضربه بدی وارد کنه.

اما خب بعد از این چالش و خلاص شدن ، باید حتما به فکر ایمن سازی بیشتر وبسایت و جلو گیری از این حملات باشید.

1- اگر از وردپرس استفاده میکنید ، حتما ‌آدرس لاگاین کردن پیش فرض که wp-admin هست را تغییر بدید.

البته اگر وبسایت شما کاربر محور میباشد و در لندینگ و یا منو بار قابلیت ورود چه به صورت پاپ ‌آپ و یا پیج ورود فعال است . برای تغییر ‌آدرس wp-admin اگر قصد استفاده از افزونه ای را دارید ، دقت داشته باشید که آدرس ورود از فانکشنی با نام admin_url() در وردپرس دریافت می شود .

پس از پلاگینی استفاده کنید که سازگاری کامل داشته باشد که درنتیجه تغییر ‌آدرس فرم ، ورود کاربران با تداخل روبرو نشود.

2- بر روی پوشه ادمین رمز قرار دهید.

3- بسیاری از دوستان بصورت پیشفرض از یوزرنیم admin استفاده میکنند. حتما به این مورد دقت و در صورت وجود در میان اکانت های تعریف شده ، تغییر دهید.

4-بعد از اوکی کردن یوزرنیم ، حتما سعی کنید از یک پسورد قدرتمند استفاده کنید. در حمله بورت فورث هکر بصورت مداوم اقدام به ورود میکند تا زمانی که رمز را حدث بزند. پس حتما بفکر ویژگی بازدارندگی باشید.

5- در فرم ورود سعی کنید که حتما از ریکپچا جهت ایجاد فیلتری قدرتمند و همچنین در فرم ثبت نام از فیلد مخفی honeypots بهره بگیرید.

6-اگر از CMS استفاده میکنید مانند وردپرس سعی کنید که از پیشوند روتین "wp_" برای جداول دیتا بیس استفاده نکرده و اگر در چنین است ; تغییر دهید.

در خصوص دیتابیس قبل از هر تغییر و یا فعالیتی ورکاپ اول خود را تهیه بکاپ در نظر بگیرید.

7- دسترسی و اجازه خواندن و نوشتن پوشه ها فایل های سیستمی وردپرستون رو حتما چک کنید.

به صورت پیشنهادی :

root directory : 0755

wp-includes/ : 0755

.htaccess : 0644
wp-admin/index.php : 0644

wp-admin/js/ : 0755

wp-content/themes/ : 0755

wp-content/plugins/ : 0755

wp-admin/ : 0755

wp-content/ : 0755

wp-config.php : 0640

و همچنین دسترسی به فایل‌های readme.html، license.txt و wp-config-sample.php که پیشفرض وردپرس هستند رو بهتره که بگیرید.

8- دسترسی به فایل xmlrpc.php را از طریق فایل اچ تی اکسس دی اکتیو کنید. و همچنین عملکردPingback از XMLRPC را غیر فعال نمایید.

WordPress Pingback DDOS Attack
WordPress Pingback DDOS Attack

دقت نظر داشته باشید افرادی که قصد ایجاد ‌آسیب به وبسایت وردپرسی شما را دارند، می‌توانند از آسیب‌پذیری های مختلف Pingback در XML-RPC API وردپرس استفاده کنند مانند :

1) حمله‌های رد سرویس (DoS)

2) هک کردن مسیریاب های داخلی.

3) اسکن پورت‌ها در شبکه‌های داخلی و جدای از بحث امنیتی این اقدام میتواند مقداری مصرف منابع هاست شما را کاهش دهد .

بسیاری از دوستان زمانی که از افزونه های ‌آمارگیر وردپرس استفاده میکنند ، بارها پرسش ‌آنها را در خصوص بازدید های بالای صفحات ایجکس فراگمنت و XML-RPC API دیده و شنیده‌ام. با غیر فعال سازی دسترسی به فایل xmlrpc.php بسیاری از مشکلات شما رفع خواهد شد.

در ابتدای این نوشته قصد ‌آموزش نداشته و در صدد نوشتن یک چک لیست بودم . اما خب به دلیل حساسیت این موضوع کد های مورد نیاز رو درج میکنم . جهت محدود سازی پینگ بک میتوانید قطعه کد های زیر را به فایل اچ تی اکسس خود اضافه کنید :

<Files xmlrpc.php>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
Order deny,allow
Deny from all
</IfModule>
</Files>


9- قطع دسترسی به debug.log

<Files debug.log>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
Order deny,allow
Deny from all
</IfModule>
</Files>

در صورت افزودن این قطعه کد به فایل .htaccess منبعد جهت دسترسی به فایل دیباگ.لوگ میتوانید از طریق خود سی‌پنل و یا ftp اقدام کنید.

و درنهایت شما میتوانید از افزونه های امنیتی و اتمپت لاگین ها استفاده کنید.