WordPress, güçlü özellikler ve güvenli bir kod tabanı sunduğu için dünyanın en popüler web sitesi oluşturucularından biridir. Ancak bu, WordPress’i veya başka herhangi bir yazılımı internette yaygın olan kötü amaçlı DDoS saldırılarından korumaz.
DDoS saldırıları, web sitelerini yavaşlatabilir ve sonunda onları kullanıcılar tarafından erişilemez hale getirebilir. Bu saldırılar hem küçük hem de büyük web sitelerini hedef alabilir.
Şimdi, WordPress kullanan küçük bir işletme web sitesinin sınırlı kaynaklarla bu tür DDoS saldırılarını nasıl önleyebileceğini merak ediyor olabilirsiniz.
Bu kılavuzda, WordPress’e DDoS saldırısını nasıl etkili bir şekilde durdurup önleyeceğinizi göstereceğiz. Amacımız, web sitenizin güvenliğini tam bir profesyonel gibi bir DDoS saldırısına karşı nasıl yöneteceğinizi öğrenmenize yardımcı olmaktır.
DDoS Saldırısı nedir?
Dağıtılmış Hizmet Reddi saldırısının kısaltması olan DDoS saldırısı, bir WordPress barındırma sunucusundan veri göndermek veya istemek için güvenliği ihlal edilmiş bilgisayarları ve cihazları kullanan bir tür siber saldırıdır. Bu isteklerin amacı, hedeflenen sunucuyu yavaşlatmak ve sonunda çökertmektir.
DDoS saldırıları, gelişmiş bir DoS (Hizmet Reddi) saldırıları biçimidir. DoS saldırısından farklı olarak, farklı bölgelere yayılmış birden fazla güvenliği ihlal edilmiş makineden veya sunucudan yararlanırlar.
Bu güvenliği ihlal edilmiş makineler, bazen botnet olarak adlandırılan bir ağ oluşturur. Etkilenen her makine bir bot görevi görür ve hedeflenen sistem veya sunucuya saldırılar başlatır.
Bu, bir süre fark edilmemelerini ve engellenmeden önce maksimum hasara neden olmalarını sağlar.
En büyük internet şirketleri bile DDoS saldırılarına açıktır.
2018’de, popüler bir kod barındırma platformu olan GitHub, sunucularına saniyede 1,3 terabayt trafik gönderen büyük bir DDoS saldırısına tanık oldu.
DYN’ye (DNS servis sağlayıcısı) yapılan kötü şöhretli 2016 saldırısını da hatırlayabilirsiniz. Bu saldırı, Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit gibi birçok popüler web sitesini ve diğer binlerce web sitesini etkilediği için dünya çapında haber kapsamına girdi.
DDoS Saldırıları Neden Olur?
DDoS saldırılarının ardında birkaç neden vardır. Aşağıda yaygın olanlardan bazıları verilmiştir:
Brute Force Attack ile DDoS Attack arasındaki fark nedir?
Brute Force Attacks, genellikle bir sisteme yetkisiz erişim sağlamak için parolaları tahmin ederek veya rastgele kombinasyonları deneyerek bir sisteme girmeye çalışır.
DDoS saldırıları tamamen hedeflenen sistemi çökertmek ve onu erişilemez hale getirmek veya yavaşlatmak için kullanılır.
Ayrıntılar için, adım adım talimatlarla WordPress’te kaba kuvvet saldırılarının nasıl engelleneceğine ilişkin kılavuzumuza bakın.
DDoS saldırısı ne tür zararlara neden olabilir?
DDoS saldırıları bir web sitesini erişilemez hale getirebilir veya performansı düşürebilir. Bu, kötü kullanıcı deneyimine, iş kaybına neden olabilir ve saldırıyı hafifletmenin maliyeti binlerce dolar olabilir.
İşte bu maliyetlerin bir dökümü:
WordPress’te DDoS Saldırısı Nasıl Durdurulur ve Önlenir
DDoS saldırıları akıllıca gizlenebilir ve üstesinden gelinmesi zor olabilir. Bununla birlikte, bazı temel güvenlik en iyi uygulamalarıyla, DDoS saldırılarının WordPress web sitenizi etkilemesini önleyebilir ve kolayca durdurabilirsiniz.
İşte WordPress sitenizde DDoS saldırılarını önlemek ve durdurmak için atmanız gereken adımlar.
DDoS / Brute Force Attack Dikeylerini Kaldır
WordPress ile ilgili en iyi şey, oldukça esnek olmasıdır. WordPress, üçüncü taraf eklentilerin ve araçların web sitenize entegre olmasına ve yeni özellikler eklemesine izin verir.
Bunu yapmak için WordPress, programcılara çeşitli API’ler sunar. Bu API’ler, üçüncü taraf WordPress eklentilerinin ve hizmetlerinin WordPress ile etkileşime girebileceği yöntemlerdir.
Bununla birlikte, bu API’lerden bazıları bir DDoS saldırısı sırasında tonlarca istek gönderilerek de kullanılabilir. Bu istekleri azaltmak için bunları güvenle devre dışı bırakabilirsiniz.
WordPress’te XML RPC’yi devre dışı bırakın
XML-RPC, üçüncü taraf uygulamaların WordPress web sitenizle etkileşime girmesine izin verir. Örneğin, WordPress uygulamasını mobil cihazınızda kullanmak için XML-RPC’ye ihtiyacınız var.
Mobil uygulamayı kullanmayan kullanıcıların büyük çoğunluğuna benziyorsanız, XML-RPC’yi web sitenizin.htaccess dosyasına aşağıdaki kodu ekleyerek devre dışı bırakabilirsiniz.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>
Alternatif yöntemler için, WordPress’te XML-RPC’yi kolayca devre dışı bırakmaya ilişkin kılavuzumuza bakın.
WordPress’te REST API’yi devre dışı bırakın
WordPress JSON REST API, eklentilere ve araçlara WordPress verilerine erişme, içeriği güncelleme ve / veya hatta silme olanağı sağlar. WordPress’te REST API’yi nasıl devre dışı bırakabileceğiniz aşağıda açıklanmıştır.
Yapmanız gereken ilk şey, Disable WP Rest API eklentisini kurmak ve etkinleştirmektir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına dair adım adım kılavuzumuza bakın.
Eklenti kutudan çıkar çıkmaz çalışır ve oturum açmamış tüm kullanıcılar için REST API’yi devre dışı bırakır.
WAF’ı (Web Sitesi Uygulama Güvenlik Duvarı) etkinleştirin
REST API ve XML-RPC gibi saldırı vektörlerini devre dışı bırakmak, DDoS saldırılarına karşı sınırlı koruma sağlar. Web siteniz hala normal HTTP isteklerine karşı savunmasızdır.
Kötü makine IP’lerini yakalamaya çalışarak ve bunları manuel olarak engelleyerek küçük bir DOS saldırısını hafifletebilirsiniz, ancak bu yaklaşım büyük bir DDoS saldırısıyla uğraşırken çok etkili değildir.
Şüpheli istekleri engellemenin en kolay yolu, bir web sitesi uygulaması güvenlik duvarını etkinleştirmektir.
Bir web sitesi uygulaması güvenlik duvarı, web siteniz ile gelen tüm trafik arasında bir proxy görevi görür. Tüm şüpheli istekleri yakalamak ve web sitenizin sunucusuna ulaşmadan önce engellemek için akıllı algoritma kullanır.
En iyi WordPress güvenlik eklentisi ve web sitesi güvenlik duvarı olduğu için Sucuri’yi kullanmanızı öneririz. DNS düzeyinde çalışır, bu da web sitenize bir talepte bulunmadan önce bir DDoS saldırısını yakalayabilecekleri anlamına gelir.
Sucuri için fiyatlandırma, aylık 20 dolardan başlar (yıllık olarak ödenir).
Sucuri’yi Kreatif Ajans’da kullanıyoruz. Web sitemizdeki yüz binlerce saldırıyı engellemeye nasıl yardımcı olduklarına dair örnek olay incelememize bakın.
Alternatif olarak, Cloudflare’yi de kullanabilirsiniz. Ancak, Cloudflare’nin ücretsiz hizmeti yalnızca sınırlı DDoS koruması sağlar. Ayda yaklaşık 200 dolara mal olan 7. katman DDoS koruması için en azından iş planlarına kaydolmanız gerekir.
Ayrıntılı yan yana karşılaştırma için Sucuri ve Cloudflare hakkındaki makalemize bakın.
Not: Uygulama düzeyinde çalışan Web Sitesi Uygulama Güvenlik Duvarları (WAF), DDoS saldırısı sırasında daha az etkilidir. Web sunucunuza ulaştıktan sonra trafiği engellerler, bu nedenle genel web sitenizin performansını etkilemeye devam eder.
Brute Force mu yoksa DDoS Saldırısı mı olduğunu öğrenmek
Hem kaba kuvvet hem de DDoS saldırıları, sunucu kaynaklarını yoğun bir şekilde kullanır, bu da semptomlarının oldukça benzer göründüğü anlamına gelir. Web siteniz yavaşlayacak ve çökebilir.
Sucuri eklentisinin giriş raporlarına bakarak bunun kaba kuvvet saldırısı mı yoksa DDoS saldırısı mı olduğunu kolayca öğrenebilirsiniz.
Basitçe, ücretsiz Sucuri eklentisini kurun ve etkinleştirin ve ardından Sucuri Güvenliği »Son Girişler sayfasına gidin.
Çok sayıda rastgele oturum açma isteği görüyorsanız, bu, wp-admin’inizin kaba kuvvet saldırısı altında olduğu anlamına gelir. Bunu hafifletmek için, WordPress’te kaba kuvvet saldırılarının nasıl engelleneceğine ilişkin kılavuzumuzu görebilirsiniz.
DDoS Saldırısı Sırasında Yapılması Gerekenler
DDoS saldırıları, bir web uygulaması güvenlik duvarınız ve diğer korumalarınız olsa bile gerçekleşebilir. CloudFlare ve Sucuri gibi şirketler bu saldırılarla düzenli olarak ilgilenir ve çoğu zaman kolayca hafifletebilecekleri için bunu asla duymazsınız.
Ancak bazı durumlarda, bu saldırılar büyük olduğunda sizi yine de etkileyebilir. Bu durumda, DDoS saldırısı sırasında ve sonrasında ortaya çıkabilecek sorunları azaltmaya hazırlıklı olmak en iyisidir.
Aşağıda, bir DDoS saldırısının etkisini en aza indirmek için yapabileceğiniz birkaç şey bulunmaktadır.
1. Ekip üyelerinizi uyarın
Bir ekibiniz varsa, iş arkadaşlarınızı konu hakkında bilgilendirmeniz gerekir. Bu, müşteri destek sorgularına hazırlanmalarına, olası sorunlara dikkat etmelerine ve saldırı sırasında veya sonrasında yardım etmelerine yardımcı olacaktır.
2. Müşterileri rahatsızlık konusunda bilgilendirin
DDoS saldırısı, web sitenizdeki kullanıcı deneyimini etkileyebilir. Bir WooCommerce mağazası işletiyorsanız, müşterileriniz sipariş veremeyebilir veya hesaplarına giriş yapamayabilir.
Sosyal medya hesaplarınız üzerinden web sitenizin teknik sorunlar yaşadığını ve her şeyin yakında normale döneceğini duyurabilirsiniz.
Saldırı büyükse, müşterilerle iletişim kurmak ve sosyal medya güncellemelerinizi takip etmelerini istemek için e-posta pazarlama hizmetinizi de kullanabilirsiniz.
VIP müşterileriniz varsa, bireysel telefon görüşmeleri yapmak ve hizmetleri geri yüklemek için nasıl çalıştığınızı onlara bildirmek için iş telefonu hizmetinizi kullanmak isteyebilirsiniz.
Bu zor zamanlarda iletişim, markanızın itibarını güçlü tutmada büyük bir fark yaratır.
3. Barındırma ve Güvenlik Desteği ile iletişime geçin
WordPress barındırma sağlayıcınızla iletişime geçin. Tanık olabileceğiniz saldırı, sistemlerini hedef alan daha büyük bir saldırının parçası olabilir. Bu durumda, size durumla ilgili en son güncellemeleri sağlayabilirler.
Güvenlik Duvarı hizmetinizle iletişime geçin ve web sitenizin bir DDoS saldırısı altında olduğunu bildirin. Durumu daha da hızlı hafifletebilirler ve size daha fazla bilgi sağlayabilirler.
Sucuri gibi güvenlik duvarı sağlayıcılarında, ayarlarınızı Paranoid modda olacak şekilde ayarlayabilirsiniz, bu da birçok isteği engellemeye ve web sitenizi normal kullanıcılar için erişilebilir hale getirmeye yardımcı olur.
WordPress Web Sitenizi Güvende Tutmak
WordPress, kutudan çıktığında oldukça güvenlidir. Bununla birlikte, dünyanın en popüler web sitesi kurucusu olarak genellikle bilgisayar korsanları tarafından hedef alınır.
Neyse ki, daha da güvenli hale getirmek için web sitenize uygulayabileceğiniz birçok en iyi güvenlik uygulaması vardır.
Yeni başlayanlar için adım adım eksiksiz bir WordPress güvenlik kılavuzu derledik. Web sitenizi ve verilerini yaygın tehditlere karşı korumak için size en iyi WordPress güvenlik ayarlarında yol gösterecektir.
Bu makalenin, WordPress’te bir DDoS saldırısını nasıl engelleyeceğinizi ve önleyeceğinizi öğrenmenize yardımcı olacağını umuyoruz. En yaygın WordPress hataları ve bunların nasıl düzeltileceği hakkındaki kılavuzumuzu da görmek isteyebilirsiniz.