Skip to content Skip to left sidebar Skip to right sidebar Skip to footer

WordPress Sitemizi Brute Force Saldırılarından Nasıl Koruruz?

Abone Ol 

BRUTE FORCE ATTACK NEDIR?

Brute Force Attack bir web sitesine, bir ağa veya bir bilgisayar sistemine girmeye çalışmak için deneme / yanılma tekniğini kullanan, bir bilgisayar korsanı yöntemidir.

Bilgisayar korsanları, hedef sisteme çok sayıda istek göndermek için, bu otomatik yazılımı kullanır. Her bir talepte, bu yazılımlar şifre veya pin kodları gibi erişim kazanmak için gerekli bilgileri tahmin etmeye çalışır.

Bu araçlar, farklı IP adresleri ve konumları kullanarak kendilerini gizleyebilir ve bu da hedeflenen sistemin bu şüpheli etkinlikleri tespit etmesini ve engellemesini zorlaştırır.

Başarılı bir Brute Force saldırısı, bilgisayar korsanlarının web sitenizin yönetim alanına erişimini sağlayabilir. Backdoor gibi kötü amaçlı yazılım yükleyebilir, kullanıcı bilgilerini çalabilir ve sitenizdeki her şeyi silebilirler.

Başarısız Brute Force saldırıları bile, WordPress barındırma sunucularınızı yavaşlatan ve hatta çok fazla istek göndererek hasara yol açabilirler.

Şimdi, WordPress sitemizi Brute Force saldırılarından nasıl koruyacağımıza bakalım.

 

WORDPRESS GÜVENLIK DUVARI EKLENTISI YÜKLEME

Brute Force saldırıları sunucularınıza çok fazla yük bindirir. Başarısız olanlar bile web sitenizi yavaşlatabilir veya sunucuyu tamamen kilitleyebilir. Bu nedenle, sunucunuza ulaşmadan önce bunları engellemek önemlidir.

Bunu yapmak için bir web sitesi güvenlik duvarı çözümüne ihtiyacınız olacak. Bir güvenlik duvarı, kötü trafiği filtreler ve sitenize erişmesini engeller.

Kullanabileceğiniz iki tür web sitesi güvenlik duvarı vardır.

Uygulama Seviyesi Güvenlik Duvarı – Bu güvenlik duvarı eklentileri, sunucunuza ulaştığında ancak çoğu WordPress komut dosyasını yüklemeden önce trafiği inceler. Bu yöntem etkili değildir çünkü Brute Force saldırısı hala sunucu yükünüzü etkileyebilir.

DNS Düzeyi Web Sitesi Güvenlik Duvarı – Bu güvenlik duvarı web sitenizin trafiğini bulut proxy sunucularından geçirir. Bu, WordPress hızınıza ve performansınıza destek verirken ana web barındırma sunucunuza yalnızca gerçek trafik göndermelerini sağlar .

Örnek olarak Sucuri’yi kullanabilirsiniz. Web sitesi güvenliği ve güvenlik duvarı ile sektör lideridir. DNS düzeyinde bir web sitesi güvenlik duvarı olduğu için, web sitenizin trafiğinin tamamı, kötü trafiğin filtrelenmiş olduğu proxy’lerinden geçtiği anlamına gelir.

 

WORDPRESS GÜNCELLEMELERINI YÜKLEYIN

Bazı yaygın Brute Force saldırıları, WordPress’in eski sürümlerinde, popüler WordPress eklentilerinde veya temalarda bilinen güvenlik açıklarını aktif olarak hedefler.

WordPress çekirdeği ve en popüler WordPress eklentileri açık kaynak kodlulardır ve güvenlik açıkları genellikle bir güncelleme ile çok hızlı bir şekilde giderilir. Ancak güncellemeleri yüklemeyi başaramazsanız, web sitenizi bu eski tehditlere karşı savunmasız bırakırsınız.

Mevcut güncellemeleri kontrol etmek için sadece WordPress admin alanındaki Kontrol Paneli »Güncellemeler sayfasına gidin. Bu sayfa WordPress çekirdeğiniz, eklentileriniz ve temalarınız için tüm güncellemeleri gösterir.

 

WORDPRESS YÖNETICI DIZININI KORUYUN

WordPress sitesine yapılan Brute Force saldırıları, WordPress yönetici alanına erişmeye çalışır. WordPress yönetici dizininize sunucu düzeyinde şifre koruması ekleyebilirsiniz. Bu, WordPress yönetici alanınıza yetkisiz erişimi engeller.

WordPress barındırma kontrol panelinize (cPanel) giriş yapın ve Dosyalar bölümü altındaki ‘Dizin Gizliliği’ simgesini tıklayın. Ardından, wp-admin klasörünü bulmanız ve klasör adına tıklamanız gerekiyor.

cPanel artık sınırlı klasör, kullanıcı adı ve şifre için bir isim vermenizi isteyecektir. Bu bilgileri girdikten sonra, ayarlarınızı kaydetmek için kaydet düğmesine tıklayın.

WordPress yönetici dizininiz artık şifre korumalıdır. WordPress yönetici alanınızı ziyaret ettiğinizde giriş için şifre  istediğini göreceksiniz. Bir 404 hatası alırsanız, aşağıdaki satırı WordPress .htaccess dosyanıza eklemeniz gerekecek.

ErrorDocument 401 default

WORDPRESS’DE İKI FAKTÖRLÜ KIMLIK DOĞRULAMA EKLEME

İki Faktörlü kimlik doğrulama, WordPress giriş ekranınıza ek bir güvenlik katmanı ekler. Temelde, kullanıcıların WordPress yönetici alanına erişmek için giriş kimlik bilgileriyle birlikte bir kerelik bir şifre oluşturmak için telefonlarına ihtiyaçları olacaktır.

İki faktörlü kimlik doğrulaması eklemek, bilgisayar korsanlarının WordPress parolanıza erişim kazanmasını zorlaştıracaktır.

BENZERSIZ GÜÇLÜ ŞIFRELER KULLANIN

Şifreler, WordPress sitenize erişmenin anahtarıdır. Tüm hesaplarınız için benzersiz güçlü şifreler kullanmanız gerekir. Güçlü bir parola sayıların, harflerin ve özel karakterlerin birleşimidir.

Sadece WordPress kullanıcı hesaplarınız için değil, FTP, web hosting kontrol paneli ve WordPress veritabanınız için de güçlü şifreler kullanmanız önemlidir.

Yeni başlayanların çoğu, tüm bu benzersiz şifrelerin nasıl hatırlanacağını soruyor? Eh, gerek yok. Şifrelerinizi güvenli bir şekilde saklayabileceğiniz ve bunları sizin için otomatik olarak dolduran mükemmel bir şifre yöneticisi uygulaması illaki vardır.

DIZIN TARAYICISINI DEVRE DIŞI BIRAKIN

Varsayılan olarak, web sunucunuz bir dizin dosyası bulamadığında (örneğin, index.php veya index.html gibi bir dosya), otomatik olarak dizinin içeriğini gösteren bir dizin sayfası görüntüler.

Bir Brute Force saldırısı sırasında, hackerlar savunmasız dosyaları aramak için dizin taramasını kullanabilirler. Bunu düzeltmek için, WordPress .htaccess dosyanızın altına aşağıdaki satırı eklemeniz gerekir.

Options -Indexes

BELIRLI WORDPRESS KLASÖRLERINDE PHP DOSYA YÜRÜTME ÖZELLIĞINI DEVRE DIŞI BIRAKIN

Hackerlar, WordPress klasörlerinizde bir PHP betiği kurmak ve çalıştırmak isteyebilir. WordPress temel olarak PHP’de yazılmıştır, bu da tüm WordPress klasörlerinde bunu devre dışı bırakamayacağınız anlamına gelir.

Ancak, herhangi bir PHP betiğine ihtiyaç duymayan bazı klasörler vardır. Örneğin, WordPress’iniz / wp-content / uploads dizininde yer alır.

Bilgisayarınızda Not Defteri gibi bir metin düzenleyicisi açın ve aşağıdaki kodu yapıştırın:

<Files *.php>
deny from all
</Files>

Şimdi, bu dosyayı .htaccess olarak kaydedin ve bir FTP istemcisi kullanarak web sitenizdeki / wp-content / uploads / klasörlerine yükleyin.

WORDPRESS YEDEKLEME EKLENTISINI KUR VE YEDEKLE

Yedeklemeler, WordPress güvenlik cephanenizdeki en önemli araçlardır. Her şey başarısız olursa, yedeklemeler web sitenizi kolayca geri yüklemenizi sağlar.

Çoğu WordPress hosting şirketi sınırlı yedekleme seçeneği sunar. Ancak, bu yedeklemelerde garanti değildir ve kendi yedeklemelerinizi yapmaktan yalnızca siz sorumlusunuz.

Otomatik yedeklemeyi programlamanıza izin veren birkaç harika WordPress yedekleme eklentisi vardır.

Mesela UpdraftPlus kullanabilirsiniz. Yeni başlayanlar, hızlı bir şekilde otomatik yedeklemeler yapabilir ve bunları Google Drive, Dropbox, Amazon S3 ve daha fazlası gibi uzak konumlarda depolayabilirsiniz.

0 Yorum

Henüz yorum yok.

Yorum Bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

ajax-loader