WordPress sitenizi kaba kuvvet saldırılarına karşı korumak ister misiniz? Bu saldırılar, web sitenizi yavaşlatabilir, erişilemez hale getirebilir ve hatta web sitenize kötü amaçlı yazılım yüklemek için parolalarınızı kırabilir. Bu yazıda, WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınızı göstereceğiz.
Brute Force Attack nedir?
Brute Force Attack, bir web sitesine, ağa veya bilgisayar sistemine girmek için deneme yanılma tekniklerini kullanan bir bilgisayar korsanlığı yöntemidir.
Bilgisayar korsanları, hedef sisteme çok sayıda istek göndermek için otomatik yazılım kullanır. Bu yazılımlar, her istekte, parolalar veya pin kodları gibi erişim sağlamak için gereken bilgileri tahmin etmeye çalışır.
Bu araçlar ayrıca farklı IP adresleri ve konumları kullanarak kendilerini gizleyebilirler, bu da hedeflenen sistemin bu şüpheli etkinlikleri tanımlamasını ve engellemesini zorlaştırır.
Başarılı bir kaba kuvvet saldırısı, bilgisayar korsanlarının web sitenizin yönetici alanına erişmesini sağlayabilir. Arka kapı, kötü amaçlı yazılım yükleyebilir, kullanıcı bilgilerini çalabilir ve sitenizdeki her şeyi silebilirler.
Başarısız kaba kuvvet saldırıları bile, WordPress barındırma sunucularınızı yavaşlatan ve hatta onları çökerten çok fazla istek göndererek hasara yol açabilir.
Bununla birlikte, WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınıza bir göz atalım.
Adım 1. WordPress Güvenlik Duvarı Eklentisi Kurun
Kaba kuvvet saldırıları sunucularınıza çok fazla yük bindirir. Başarısız olanlar bile web sitenizi yavaşlatabilir veya sunucuyu tamamen çökertebilir. Bu nedenle, sunucunuza ulaşmadan onları engellemek önemlidir.
Bunu yapmak için bir web sitesi güvenlik duvarı çözümüne ihtiyacınız olacak. Güvenlik duvarı, kötü trafiği filtreler ve sitenize erişmesini engeller.
Kullanabileceğiniz iki tür web sitesi güvenlik duvarı vardır.
Uygulama Seviyesi Güvenlik Duvarı – Bu güvenlik duvarı eklentileri, trafiği sunucunuza ulaştığında, ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem o kadar verimli değildir çünkü kaba kuvvet saldırısı sunucu yükünüzü yine de etkileyebilir.
DNS Seviyesi Web Sitesi Güvenlik Duvarı – Bu güvenlik duvarı, web sitenizin trafiğini bulut proxy sunucuları üzerinden yönlendirir. Bu, WordPress hızınızı ve performansınızı artırırken yalnızca ana web barındırma sunucunuza gerçek trafik göndermelerine olanak tanır.
Sucuri kullanmanızı öneririz. Web sitesi güvenliğinde sektör lideri ve piyasadaki en iyi WordPress güvenlik duvarıdır. DNS düzeyinde bir web sitesi güvenlik duvarı olduğu için, tüm web sitesi trafiğinizin, kötü trafiğin filtrelendiği proxy’lerinden geçtiği anlamına gelir.
Sucuri’yi web sitemizde kullanıyoruz ve daha fazlasını öğrenmek için eksiksiz Sucuri incelememizi okuyabilirsiniz.
Adım 2. WordPress Güncellemelerini Yükleyin
Bazı yaygın kaba kuvvet saldırıları, WordPress’in eski sürümlerinde, popüler WordPress eklentilerinde veya temalarında bilinen güvenlik açıklarını aktif olarak hedef alır.
WordPress çekirdeği ve en popüler WordPress eklentileri açık kaynaklıdır ve güvenlik açıkları genellikle bir güncelleme ile çok hızlı bir şekilde giderilir. Ancak güncellemeleri yükleyemezseniz, web sitenizi bu eski tehditlere karşı savunmasız bırakırsınız.
Mevcut güncellemeleri kontrol etmek için WordPress yönetici alanındaki Kontrol Paneli »Güncellemeler sayfasına gidin. Bu sayfa, WordPress çekirdeğiniz, eklentileriniz ve temalarınız için tüm güncellemeleri gösterecektir.
Daha fazla ayrıntı için, WordPress eklentilerinin nasıl düzgün şekilde güncelleneceğine ilişkin kılavuzumuza bakın.
3. Adım. WordPress Yönetici Dizinini Koruyun
Bir WordPress sitesine yapılan çoğu kaba kuvvet saldırısı, WordPress yönetici alanına erişmeye çalışıyor. WordPress yönetici dizininize sunucu düzeyinde parola koruması ekleyebilirsiniz. Bu, WordPress yönetici alanınıza yetkisiz erişimi engeller.
WordPress barındırma kontrol panelinize (cPanel) giriş yapın ve Dosyalar bölümünün altındaki ‘Dizin Gizliliği’ simgesine tıklayın.
Not: Ekran görüntüsümüzde Bluehost kullanıyoruz, ancak benzer ayarlar diğer en iyi barındırma şirketlerinin yanı sıra SiteGround, HostGator vb.
Ardından, wp-admin klasörünü bulmanız ve klasör adına tıklamanız gerekir.
cPanel şimdi sizden kısıtlanmış klasör, kullanıcı adı ve şifre için bir isim vermenizi isteyecektir. Bu bilgileri girdikten sonra ayarlarınızı kaydetmek için kaydet düğmesine tıklayın.
WordPress yönetici dizininiz artık şifre korumalıdır. WordPress yönetici alanınızı ziyaret ettiğinizde yeni bir giriş istemi göreceksiniz.
Bir 404 hatasıyla karşılaşırsanız veya çok fazla yeniden yönlendirme mesajı hatası alırsanız, aşağıdaki satırı WordPress.htaccess dosyanıza eklemeniz gerekir.
ErrorDocument 401 default
Daha fazla ayrıntı için, WordPress yönetici dizininin nasıl parola ile korunacağına ilişkin makalemize bakın.
Adım 4. WordPress’e İki Faktörlü Kimlik Doğrulama Ekleme
İki Faktörlü kimlik doğrulama, WordPress giriş ekranınıza ek bir güvenlik katmanı ekler. Temel olarak, kullanıcıların WordPress yönetici alanına erişmek için telefonlarının giriş kimlik bilgileriyle birlikte tek seferlik bir parola oluşturması gerekir.
İki faktörlü kimlik doğrulama eklemek, bilgisayar korsanlarının WordPress şifrenizi kırabilecek olsalar bile erişim sağlamalarını zorlaştıracaktır.
Ayrıntılı adım adım talimatlar için, WordPress’te iki faktörlü kimlik doğrulamanın nasıl ekleneceğine ilişkin kılavuzumuza bakın.
Adım 5. Benzersiz Güçlü Parolalar Kullanın
Şifreler, WordPress sitenize erişim sağlamanın anahtarlarıdır. Tüm hesaplarınız için benzersiz güçlü parolalar kullanmanız gerekir. Güçlü bir parola, sayıların, harflerin ve özel karakterlerin birleşimidir.
Yalnızca WordPress kullanıcı hesaplarınız için değil, aynı zamanda FTP, web barındırma kontrol paneli ve WordPress veritabanınız için de güçlü parolalar kullanmanız önemlidir.
Yeni başlayanların çoğu bize tüm bu benzersiz şifreleri nasıl hatırlayacağımızı soruyor? Eh, gerek yok. Parolalarınızı güvenli bir şekilde saklayacak ve sizin için otomatik olarak dolduracak mükemmel parola yöneticisi uygulamaları mevcuttur.
Daha fazla bilgi edinmek için, WordPress için şifreleri yönetmenin en iyi yolu hakkındaki başlangıç kılavuzumuza bakın.
Adım 6. Dizin Taramayı Devre Dışı Bırakın
Varsayılan olarak, web sunucunuz bir dizin dosyası (yani, index.php veya index.html gibi bir dosya) bulamadığında, otomatik olarak dizinin içeriğini gösteren bir dizin sayfası görüntüler.
Bir kaba kuvvet saldırısı sırasında, bilgisayar korsanları savunmasız dosyaları aramak için dizin taramasını kullanabilir. Bunu düzeltmek için, WordPress .htaccess dosyanızın altına aşağıdaki satırı eklemeniz gerekir.
Options -Indexes
Daha fazla ayrıntı için, WordPress’te dizin taramasının nasıl devre dışı bırakılacağı hakkındaki makalemize bakın.
Adım 7. Belirli WordPress Klasörlerinde PHP Dosya Yürütmesini Devre Dışı Bırakın
Bilgisayar korsanları, WordPress klasörlerinize bir PHP betiği yüklemek ve yürütmek isteyebilir. WordPress esas olarak PHP ile yazılmıştır, bu da bunu tüm WordPress klasörlerinde devre dışı bırakamayacağınız anlamına gelir.
Bununla birlikte, herhangi bir PHP betiğine ihtiyaç duymayan bazı klasörler vardır. Örneğin, / wp-content / uploads konumunda bulunan WordPress klasörünüzü yükler.
Bilgisayar korsanlarının arka kapı dosyalarını gizlemek için kullandıkları yaygın bir yer olan karşıya yüklemeler klasöründe PHP yürütmesini güvenle devre dışı bırakabilirsiniz.
Öncelikle bilgisayarınızda Not Defteri gibi bir metin düzenleyici açmanız ve aşağıdaki kodu yapıştırmanız gerekir:
<Files *.php> deny from all </Files>
Şimdi, bu dosyayı .htaccess olarak kaydedin ve bir FTP istemcisi kullanarak web sitenizdeki / wp-content / uploads / klasörlerine yükleyin.
Adım 8. WordPress Yedekleme Eklentisini Kurun ve Kurun
Yedeklemeler, WordPress güvenlik cephaneliğinizdeki en önemli araçtır. Her şey başarısız olursa, yedeklemeler web sitenizi kolayca geri yüklemenize olanak tanır.
Çoğu WordPress barındırma şirketi sınırlı yedekleme seçenekleri sunar. Ancak, bu yedeklemeler garanti edilmez ve kendi yedeklemelerinizi yapmaktan yalnızca siz sorumlusunuz.
Otomatik yedeklemeleri planlamanıza izin veren birkaç harika WordPress yedekleme eklentisi vardır.
UpdraftPlus kullanmanızı öneririz. Yeni başlayanlar için uygundur ve otomatik yedeklemeleri hızlı bir şekilde kurmanıza ve bunları Google Drive, Dropbox, Amazon S3 ve daha fazlası gibi uzak konumlarda depolamanıza olanak tanır.
Adım adım talimatlar için, WordPress sitenizi UpdraftPlus ile nasıl yedekleyeceğiniz ve geri yükleyeceğinizle ilgili kılavuzumuza bakın.
Yukarıda belirtilen tüm ipuçları, WordPress sitenizi kaba kuvvet saldırılarına karşı korumanıza yardımcı olacaktır. Daha kapsamlı bir güvenlik kurulumu için, yeni başlayanlar için nihai WordPress güvenlik kılavuzumuzdaki talimatları izlemelisiniz.
Bu makalenin, WordPress sitenizi kaba kuvvet saldırılarına karşı nasıl koruyacağınızı öğrenmenize yardımcı olacağını umuyoruz. Ayrıca, WordPress’inizin saldırıya uğradığına ve saldırıya uğramış bir WordPress sitesinin nasıl düzeltileceğine dair işaretlere de bakmak isteyebilirsiniz.