نحوه مسدود کردن، اسکرپرها، هکرها و هرزنامه ها با Wordfence

Wordfence یک افزونه امنیتی محبوب وردپرس است. از جمله ویژگی‌ها می‌توان به اسکنر نظارت بر فایل‌های هک‌شده و فایروال با قوانین به‌روزشده منظم اشاره کرد که فعالانه ربات‌های مخرب را مسدود می‌کند.

همچنین یک ویژگی مفید در این ابزار وجود دارد که قوانین فایروال قابل تنظیم توسط کاربر را در دسترس قرار می دهد که می تواند توانایی شما را برای مسدود کردن هکرها، خراش دهنده ها و هرزنامه ها افزایش دهد.

Scraper ها به خصوص دردسرساز هستند زیرا محتوای شما را کپی کرده و در جای دیگری منتشر می کنند.

استفاده از ابزاری مانند Wordfence می تواند به کاهش میزان محتوایی که اسکرپرها می توانند سرقت ادبی کنند کمک کند.

افزونه های امنیتی وردپرس و راه حل های SaaS زیادی وجود دارد که بسیار توصیه می شود، از جمله Sucuri Security و Cloudflare. Wordfence یکی از بسیاری از راه حل های امنیتی موجود است و این به شما بستگی دارد که بفهمید کدام یک در گردش کار شما راحت تر است.

Wordfence و راه حل های دیگر به خوبی به عنوان یک مجموعه آن عمل می کنند و راه حل آن را فراموش می کنند.

با این حال، در تجربه خود دریافتم که فایروال قابل پیکربندی کاربر در Wordfence به فرد این فرصت را می دهد تا قدرت چکش ربات را شماره گیری کند و واقعاً آن را به هکرها و خراش ها بچسباند.

اما قبل از اینکه فایروال را شماره گیری کنید، مهم است که بدانید این قوانین فایروال تا چه اندازه می تواند انجام شود و ما نیز به آن نگاهی خواهیم انداخت.

Wordfence امنیت وردپرس

بیش از 4 میلیون کاربر برای محافظت از سایت های وردپرس خود به Wordfence اعتماد دارند.

رفتار پیش‌فرض فایروال مسدود کردن ربات‌هایی است که صفحات زیادی را با سرعت زیاد می‌گیرند یا ربات‌ها و انسان‌هایی که فعالیت‌هایی را نشان می‌دهند که نشان دهنده قصد هک سایت هستند.

فایروال آدرس IP ربات سرکش را برای مدت زمان مشخصی مسدود می کند و پس از آن Wordfence بلوک را حذف می کند.

تنظیمات پیش فرض روی فایروال عالی کار می کند.

اما گاهی اوقات ربات‌ها هنوز از آن عبور می‌کنند و می‌توانند یک سایت را خراش دهند یا با خراش آهسته سایت، آن را از نظر آسیب‌پذیری بررسی کنند.

یک رویکرد رایج توسط هکرها این است که یک ربات را برای ضربه سریع به سایت تنظیم می کنند و زمانی که مسدود می شود به آدرس های IP دیگر و عوامل کاربر می چرخد، که باعث می شود یک فایروال فرآیند شناسایی را دوباره شروع کند.

اما این ربات‌ها همیشه به خوبی برنامه‌ریزی نمی‌شوند و همین امر باعث می‌شود بلاک کردن آن‌ها کارآمدتر از تنظیمات پیش‌فرض Wordfence آسان شود.

اطلاعات پس زمینه درباره قوانین فایروال Wordfence

امکان مسدودسازی کارآمد ربات با ابزارهای سطح سرور، چندین پلاگین و حتی با استفاده از یک فایل htaccess وجود دارد.

اما ویرایش یک فایل htaccess می تواند مشکل باشد زیرا قوانین سختگیرانه ای وجود دارد که باید از آنها پیروی کرد و یک اشتباه در فایل htaccess می تواند باعث از کار افتادن کل سایت شود.

استفاده از قوانین فایروال به سادگی یک راه ساده تر برای مسدود کردن ربات ها است.

چه چیزی را می توانید با Wordfence مسدود کنید؟

Wordfence به شما امکان می دهد قوانینی را برای مسدود کردن با توجه به هر یک از دلایل زیر ایجاد کنید:

  • محدوده آدرس IP
  • نام میزبان
  • عامل کاربر مرورگر
  • ارجاع دهنده

محدوده آدرس IP

آدرس IP به معنای آدرس IP سرور یا ISP است که ربات یا انسان از آن می آید.

نام میزبان

Hostname به معنای نام میزبان است. میزبان همیشه اعلام نمی شود، گاهی اوقات ربات/بازدیدکننده انسانی فقط یک آدرس IP را نمایش می دهد.

عامل کاربر مرورگر

معمولاً هر بازدید کننده سایت به سرور می گوید که از چه مرورگری استفاده می کند. Browser User Agent به معنای مرورگری است که بازدیدکننده می گوید از آن استفاده می کند. یک ربات می تواند بگوید که تقریباً هر مرورگری است، که گاهی اوقات برای فرار از شناسایی انجام می دهد.

ارجاع دهنده

این صفحه ای است که یک ربات یا انسان ظاهراً روی پیوندی از آن کلیک کرده است.

مسدود کردن الگوی سفارشی Wordfence

راه برای مسدود کردن ربات های بد با استفاده از هر یک از چهار متغیر بالا، با افزودن یک قانون سفارشی در ابزار انسداد الگوی سفارشی است.

در اینجا نحوه رسیدن به آن آمده است.

مرحله 1

روی لینک فایروال از منوی مدیریت سمت چپ در وردپرس کلیک کنید

Wordfence مرحله 1

گام 2

برگه با عنوان Blocking را انتخاب کنید

مرحله 2 حصار کلمه

مرحله 3

تب “الگوی سفارشی” را انتخاب کنید و یک قانون فایروال در فیلد مناسب ایجاد کنید. یکی از فیلدها با عنوان “Block Reason” نامگذاری شده است. از آن فیلد برای اضافه کردن یک عبارت توصیفی مانند نام میزبان، عامل کاربر یا هر چیز دیگری استفاده کنید. این به شما کمک می کند تا همه قوانینی را که ایجاد می کنید مرور کنید و بتوانید بر اساس نوع بلوک آنها مرتب کنید.

مرحله 3 حصار کلمه

مرحله 4

مرحله 4 حصار کلمه

مرحله 5

با کلیک کردن روی دکمه «مسدود کردن بازدیدکنندگان مطابق با این الگو» قانون خود را ایجاد کنید و کارتان تمام شد.

مرحله 5 حصار کلمه

قوانین Wordfence می توانند از ستاره استفاده کنند

به عنوان یک کارت وحشی

آیا باید آدرس های IP را با Wordfence مسدود کنید؟

Wordfence تنظیم قوانین فایروال را برای ناشر آسان می کند که به طور موثر ربات ها را مسدود می کند.

این یک نعمت است اما می تواند یک نفرین نیز باشد. به عنوان مثال، مسدود کردن دائمی هزاران آدرس IP با استفاده از فایروال Wordfence کارآمد نیست و احتمالاً استفاده صحیح از Wordfence نیست.

مسدود کردن موقت آدرس های IP خوب است. مسدود کردن دائم آدرس‌های IP احتمالاً مشکلی ندارد، زیرا همانطور که می‌دانم، استفاده از حافظه، می‌تواند نصب وردپرس شما را کند یا کند.

به طور کلی، مسدود کردن دائمی هزاران یا حتی میلیون ها آدرس IP به بهترین وجه با یک فایل htaccess. انجام می شود.

مسدود کردن نام میزبان با Wordfence

مسدود کردن نام میزبان با Wordfence می تواند راهی برای مسدود کردن هکرها، هرزنامه ها و اسکرپرها باشد. با کلیک کردن بر روی Wordfence > Tools می توانید گزارش ترافیک زنده Wordfence را مشاهده کنید.

این به شما بازدیدکنندگان ربات و انسان را نشان می دهد، از جمله ربات هایی که به طور خودکار توسط Wordfence مسدود شده اند.

همه بازدیدکنندگان سایت نام میزبان خود را نمایش نمی دهند. با این حال در برخی موارد آنها نام میزبان خود را نشان می دهند و این باعث می شود که کل میزبان وب مسدود شود.

به عنوان مثال، یک سایت، به هر دلیلی، سطوح DDOS ترافیک ربات را از یک میزبان جذب می کند. هیچ یک از سایت های دیگر من توجه این میزبان را جلب نمی کند، فقط همین یک سایت.

بین مارس 2020 و دسامبر 2021، یک سایت بیش از 250000 حمله دریافت کرد و هر یک از آنها توسط Wordfence مسدود شد.

واضح است که مسدود کردن ربات‌ها با نام میزبان می‌تواند مفید باشد اگر می‌خواهید میزبان ابری را مسدود کنید که چیزی جز هکرها و خراش‌ها ارسال نمی‌کند.

با این حال برخی از میزبان ها، مانند خدمات وب آمازون (AWS) هم ربات های بد و هم ربات های خوب را ارسال می کنند. مسدود کردن سرورهای AWS همچنین می تواند به طور ناخواسته ربات های خوب را مسدود کند.

بنابراین مهم است که بر ترافیک خود نظارت داشته باشید و کاملاً مطمئن باشید که مسدود کردن نام میزبان نتیجه معکوس نخواهد داشت.

از طرف دیگر، اگر از ترافیک روسیه یا چین استفاده نمی‌کنید، می‌توانید با ایجاد یک قانون فایروال با استفاده از قسمت نام میزبان، هکرها، خراش‌دهنده‌ها و هرزنامه‌ها را از این دو کشور مسدود کنید.

تنها کاری که باید انجام دهید این است که یک قانون ایجاد کنید که تمام نام های میزبانی که به .ru و .cn ختم می شوند را مسدود کند. این کار همه نام‌های میزبان روسی و چینی را که به .ru و .cn ختم می‌شوند مسدود می‌کند.

این همان چیزی است که در قسمت نام میزبان وارد می کنید:
*.ru

*.cn

این به معنای تشویق کسی به استفاده از Wordfence برای مسدود کردن ربات‌های روسی و چینی از طریق نام میزبان نیست. این فقط یک مثال برای نشان دادن نحوه انجام آن است.

مسدود کردن هکرها و اسکرپرها توسط کاربر

بسیاری از ربات های سرکش از عوامل قدیمی و قدیمی مرورگر استفاده می کنند.

پس از حمله روسیه به اوکراین، متوجه افزایش ربات‌های هک با استفاده از عامل کاربر کروم 90 (UA) از همان گروه میزبان‌های وب شدم. معمولاً ترافیک ربات در وب سایت های مختلف متفاوت است. بنابراین وقتی همه آنها در تمام سایت های من یکسان به نظر می رسیدند، این موضوع برجسته شد.

هر زمان که Wordfence به‌طور خودکار این ربات‌ها را به دلیل ضربه زدن سریع به سایت من مسدود می‌کرد، ربات‌ها آدرس IP را تغییر می‌دادند و بارها و بارها شروع به ضربه زدن به سایت‌ها می‌کردند.

بنابراین من تصمیم گرفتم این ربات ها را توسط عامل کاربر مرورگر آنها مسدود کنم (اغلب به سادگی UA نامیده می شود).

ابتدا وب سایت StatCounter را بررسی کردم تا مشخص کنم چند کاربر در سراسر جهان از Chrome 90 استفاده می کنند. طبق آمار StatCounter، سهم مرورگر Chrome 90 تا ژانویه 2022 به 0.09٪ از سهم بازار ایالات متحده رسیده است.

در زمان نگارش این مقاله، مرورگر کروم در نسخه 100 است. با توجه به اینکه کروم نسخه های مرورگر را به طور خودکار برای اکثریت قریب به اتفاق کاربران به روز می کند، جای تعجب نیست که استفاده از کروم 90 عملاً چیزی نیست، بنابراین بعید است که همه بازدیدکنندگان را با استفاده از عامل کاربر مرورگر Chrome 90 بازدید کننده از سایت شما توسط شخص واقعی و قانونی را مسدود نمی کند.

بنابراین من تشخیص دادم که مسدود کردن هر چیزی که در سایت من نشان داده می شود با عامل کاربر Chrome 90 بی خطر است.

با این حال، ابزارهای آنلاینی مانند GTMetrix و جستجوگر هدر سرور امنیتی وجود دارد که از عامل کاربر Chrome 90 استفاده می‌کند.

بنابراین اگر تمام نسخه‌های Chrome 90 را مسدود کنم (با استفاده از این قانون: *Chrome/90.*)، آن دو ابزار آنلاین را نیز مسدود می‌کنم.

راه دیگر این است که به انواع خاص کروم 90 مورد استفاده هکرها و ابزارهای آنلاین نگاه کنید.

Chrome/90.0.4430.212

GTMetrix و ابزار دیگر از این Chrome UA استفاده می کنند:

Chrome/90.0.4400.8
Chrome/90.0.4427.0
Chrome/90.0.4430.72
Chrome/90.0.4430.85
Chrome/90.0.4430.86
Chrome/90.0.4430.93

هکرها و اسکرپرها از این UAهای Chrome استفاده می کنند: بنابراین، اگر می خواهید به ابزارهای آنلاین اجازه دهید همچنان سایت شما را اسکن کنند، اما ربات های بد را نیز مسدود کنند، این یک راه حل است. مثال

*Chrome/90.0.4400.8*
*Chrome/90.0.4427.0*
*Chrome/90.0.4430.72*
*Chrome/90.0.4430.85*
*Chrome/90.0.4430.86*
*Chrome/90.0.4430.93*

نحوه انجام آن:

نحوه مسدود کردن Chrome/90.0.4430.93 به این صورت است:

چگونه کروم 90 را با Wordfence مسدود کنیم

هشدار درباره مسدود کردن عوامل کاربر

قبل از مسدود کردن Chrome 90، من مدام گزارش ترافیک Wordfence (قابل دسترسی در Wordfence > Tools) را بررسی می‌کردم تا مطمئن شوم که هیچ ربات قانونی مانند GTMetrix از Chrome 90 استفاده نمی‌کند و از آن عامل کاربر استفاده نمی‌کند.

به عنوان مثال، ممکن است نخواهید Chrome 96 را مسدود کنید زیرا برخی از ابزارهای Google از Chrome 96 به عنوان یک عامل کاربر استفاده می کنند.

همیشه تحقیق کنید که آیا ربات‌های قانونی از یک عامل کاربر یا نام میزبان خاصی استفاده می‌کنند یا خیر.

و راه آسان برای تحقیق با استفاده از Wordfence Traffic Log است.

گزارش ترافیک Wordfence

گزارش ترافیک Wordfence به شما در یک نگاه همه عوامل کاربری را نشان می دهد که تقریباً در زمان واقعی به سایت شما دسترسی دارند. گزارش ترافیک اطلاعاتی مانند عامل کاربر را نشان می‌دهد، نشان می‌دهد که بازدیدکننده یک ربات است یا یک انسان، آدرس IP، نام میزبان، صفحه‌ای که در حال دسترسی است و سایر اطلاعاتی را ارائه می‌دهد که به تعیین اینکه آیا بازدیدکننده قانونی است یا خیر، کمک می‌کند.

راه دسترسی به گزارش ترافیک با کلیک روی Wordfence > Tools است.

مسدود کردن نسخه های قدیمی مرورگر یک راه آسان برای مسدود کردن بسیاری از ربات های بد است. نسخه‌های کروم از سری‌های 80، 70، 60، 50، 30 و 40 در برخی سایت‌ها بسیار زیاد هستند. اینجا یک مثال

*Chrome/8*.*
*Chrome/7*.*
*Chrome/6*.*
*Chrome/5.0*
*Chrome/95.*
*Chrome/5*.*
*Chrome/3*.*
*Chrome/4*.*

نحوه مسدود کردن UA های قدیمی Chrome که توسط ربات های بد استفاده می شوند:

باز هم، موارد فوق تشویقی برای مسدود کردن ربات‌های بالا نیست.

دلیل استفاده از *Chrome/6*.* این است که با یک قانون می‌توانم کل سری Chrome 60 از نمایندگی‌های کاربر، Chrome 60، 61، 63 و غیره را بدون نوشتن هر ده عامل کاربر مسدود کنم.

من می توانم کل سری 60 را با یک قانون مسدود کنم. اینجوری سریال ده به بالا رو مسدود نکنید *Chrome/1*.*

زیرا این کار آخرین نسخه کروم، کروم 100 را نیز مسدود می کند. موارد فوق یک مثال

نحوه مسدود کردن ربات های بد با استفاده از عوامل کاربر کروم شرح داده شده. ربات های بد نیز از قدیمی و بازنشسته استفاده می کنند فایرفاکس عوامل کاربر مرورگر و برخی حتی نمایش داده می شوند درخواست های پایتون/

به عنوان یک عامل کاربر

هنگام ایجاد قوانین فایروال مراقب باشید

همیشه ابتدا تحقیقات خود را انجام دهید تا مشخص کنید از چه ربات‌های بدی در سایت‌های خود استفاده می‌کنند و مطمئن شوید که هیچ ربات یا بازدیدکننده‌ای قانونی از آن عوامل قدیمی و بازنشسته مرورگر استفاده نمی‌کند.

راه برای انجام تحقیقات شما این است که فایل‌های گزارش ترافیک یا گزارش‌های ترافیک Wordfence را بررسی کنید تا مشخص کنید کدام عامل‌های کاربری (یا نام میزبان) از ترافیک مخربی هستند که شما نمی‌خواهید.