Hacker'ların web sitelerine yetkisiz erişim sağlamak için kullandığı yaygın bir teknik 'Kaba Kuvvet' (Brute Force) olarak adlandırılır. Bu tekniği kullanarak, hacker'lar bir web sitesindeki güvenlik açıklarını taramak ve bunlardan herhangi birini sömürerek erişim sağlamak için tasarlanmış yazılımlar kullanırlar. Web sitelerimizin güvenliği için Sucuri kullanıyoruz çünkü kötü niyetli istekleri aktif olarak engelliyorlar. Bu kaba kuvvet botlarının sömürmeye çalıştığı yaygın bir giriş noktası, yazar taramaları çalıştırmaktır. Bu makalede, WordPress'te yazar taramalarını engelleyerek kaba kuvveti nasıl caydıracağınızı göstereceğiz.
Not: Limit Login Attempt ve Google Authenticator kullanıyorsanız, kaba kuvvet saldırılarına karşı oldukça iyi korunmuşsunuz demektir.
Öncelikle bu kaba kuvvet denemelerinin ne yapmaya çalıştığını anlayalım. İlk olarak blogunuzda bir kullanıcı adı veya yazar kimliği bulmaya çalışırlar. Genellikle WordPress'e giriş yapmak için kullanılan kullanıcı adı ve yazar adı aynıdır. Bir kullanıcı adı bulduklarında, bu bilmecenin %50'sini çözmüş olurlar. Şimdi çeşitli farklı şifre kombinasyonlarını deneyerek sitenize kaba kuvvet uygulayarak şifreyi kırmaya çalışırlar.
Web sitenizde yazar taramasını engellemek için bu kodu WordPress kök dizinindeki .htaccess dosyasına eklemeniz yeterlidir.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Bu, botların web sitenizde yazar taramaları çalıştırmasını engelleyecektir. Web sitenizin kullanıcıları yazar sayfalarına erişebilir, ancak botlar bunu yapamayacaktır.
Bu ipucunu faydalı bulduğunuzu umuyoruz. Bunun kaba kuvvet saldırılarını önlemediğini vurgulamak istiyoruz. Bu, bilgisayar korsanını caydırmak için atabileceğiniz yalnızca bir önleyici adımdır. Birisi sitenize saldırmak için çaresiz kaldığında, bunu yapmanın bir yolunu bulacaktır. Sucuri'yi kullanmanızı ve düzenli WordPress yedeklemeleri yapmanızı şiddetle tavsiye ederiz. Not: İşte Sucuri'yi kullanmamızın 5 nedeni: 5 neden.
Bu ipucu şu kişi tarafından gönderildi: Ian Armstrong
Julian
Merhaba. Yazar taramalarını engellemek için kullanılan kod bazı sayfalarda 404 hatasına neden oldu. Bu kodu .htaccess dosyamdan kaldırdıktan sonra sayfalar başarıyla yüklendi. Bu kodu 2 sitede de aynı sonuçlarla kullandım.
Bu öğreticinin 5 yıl önce yayınlandığını anlıyorum, lütfen güncellemeyi düşünebilir misiniz?
WPBeginner Desteği
Bu makaleyi gelecekte güncellemeyi kesinlikle inceleyeceğiz.
Yönetici
Sanskar
Bu, arama motorlarını ve Adsense tarayıcılarını da engelleyecek mi?
WPBeginner Desteği
Hayır, engellemeyecektir. Yalnızca bir bot sorgu dizesi kullanarak yazar URL'sine erişmeye çalışıyorsa engeller. Arama ve adsense tarayıcıları, sitenizdeki bağlantılara erişerek sayfaları tarar. Zaten güzel kalıcı bağlantılar kullanıyorsanız, yazar URL'lerinize arama motorları tarafından /author/Sanskar gibi bir bağlantıyla erişilebilir.
Yönetici
naw
merhaba
iis sunucusunda lütfen?
Mert Can
Merhaba,
Bu bağlantıyı nasıl engelleyebilirim? Birisi web sitemi hacklemeye çalışıyor.
http://example.com/?author=1
Teşekkürler,
lando
Merhaba wpbeginner,
Kodun çalıştığını nasıl doğrulayabilirim? Kodu .htaccess dosyamın en altına ekledim.
Teşekkürler
Francis
Güzel eğitim.
Jigar Doshi
really easy to add the htc access file.
thanks for the info, guys
Keith Davis
Bu bir için teşekkürler beyler
Nice ve kolayca .htaccess'e eklemek için.
Girişleri sınırlama eklentisini kullanıyorum ve yakın zamanda giriş panelinize bir GASP onay kutusu ekleyen Simple Firewall adlı harika bir eklenti buldum.
Sucuri'yi kullanma konusunda size katılıyorum – düşündüğünüzde oldukça ucuz ve birden fazla sitede kullanırsanız, site başına maliyeti daha da ucuz.
Zimbrul
Blog yazarı ve site yöneticisi için asla aynı kullanıcıyı kullanmam, çünkü yazar bağlantısı ve kullanıcı adı kolayca öğrenilebilir. Genellikle yönetici 22+ karakterli bir kullanıcı adı, 22+ karakterli bir şifre ve tahmin edilmesi çok zor bir e-posta adresine sahiptir. Bunu tahmin etmek yıllar alır. Ve ayrıca Limit login eklentisini de aldım… Google authenticator kullanmıyorum çünkü bu, WordPress mobil uygulamasıyla bir web sitesine giriş yapmamı engelliyor.
Rahul
Çok faydalı. Bu harika kod parçacığı için teşekkürler Ian ve WPBeginner.