WordPress web siteniz kaba kuvvet saldırılarına karşı savunmasız mı? Bu saldırılar yalnızca web sitenizi yavaşlatmakla ve erişimi zorlaştırmakla kalmaz, aynı zamanda bilgisayar korsanlarının şifrelerinizi kırmasına ve kötü amaçlı yazılım yüklemesine de olanak tanır. Bu, sitenize ve işinize ciddi zararlar verebilir.
WPBeginner olarak, sitemizi güvende tutmak için Sucuri ve Cloudflare gibi güvenlik araçlarına büyük ölçüde güveniyoruz. Sucuri bir keresinde bize 3 aylık bir süre boyunca 450.000 WordPress saldırısını engellememize yardımcı oldu.
Bu makalede, WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınızı göstereceğiz.
Kaba Kuvvet Saldırısı Nedir?
Kaba kuvvet saldırısı, bir web sitesine, ağa veya bilgisayar sistemine girmek için deneme yanılma yöntemini kullanan bir hackleme yöntemidir.
En yaygın kaba kuvvet saldırısı türü parola tahminidir. Bilgisayar korsanları, web sitenize erişebilmek için giriş bilgilerinizi tahmin etmeye devam etmek üzere otomatikleştirilmiş yazılımlar kullanır.
Bu otomatik hackleme araçları, farklı IP adresleri ve konumlar kullanarak kendilerini gizleyebilir, bu da şüpheli etkinlikleri belirlemeyi ve engellemeyi zorlaştırır.
Başarılı bir kaba kuvvet saldırısı, bilgisayar korsanlarının web sitenizin yönetici alanına erişmesini sağlayabilir. Kötü amaçlı yazılım yükleyebilir, kullanıcı bilgilerini çalabilir ve sitenizdeki her şeyi silebilirler.
Başarısız kaba kuvvet saldırıları bile, WordPress barındırma sunucularınıza çok fazla istek göndererek, web sitenizi yavaşlatarak veya hatta tamamen çökertip büyük hasara yol açabilir.
Bununla birlikte, WordPress web sitenizi kaba kuvvet saldırılarından nasıl koruyacağınıza bakalım. İzleyeceğimiz adımlar şunlardır:
- Bir WordPress Güvenlik Duvarı Eklentisi Yükleyin
- WordPress Güncellemelerini Yükleyin
- WordPress Yönetici Dizinini Koruyun
- WordPress'e İki Faktörlü Kimlik Doğrulama Ekleyin
- Benzersiz ve Güçlü Parolalar Kullanın
- Dizin Göz Atmayı Devre Dışı Bırak
- Belirli WordPress Klasörlerinde PHP Dosya Yürütmesini Devre Dışı Bırakma
- Bir WordPress Yedekleme Eklentisi Kurun ve Ayarlayın
1. Bir WordPress Güvenlik Duvarı Eklentisi Kurun
Kaba kuvvet saldırıları sunucularınıza çok fazla yük bindirir. Başarısız olanlar bile web sitenizi yavaşlatabilir veya sunucuyu tamamen çökertebilir. Bu nedenle, sunucunuza ulaşmadan önce onları engellemek önemlidir.
Bunu yapmak için bir web sitesi güvenlik duvarı çözümüne ihtiyacınız olacak. Güvenlik duvarı kötü trafiği filtreler ve sitenize erişmesini engeller.
Kullanabileceğiniz iki tür web sitesi güvenlik duvarı vardır:
- Uygulama Seviyesi Güvenlik Duvarları, sunucunuza ulaşan trafiği ancak çoğu WordPress betiği yüklenmeden önce inceler. Bu yöntem o kadar verimli değildir çünkü kaba kuvvet saldırısı sunucu yükünüzü hala etkileyebilir.
- DNS Seviyesi Web Sitesi Güvenlik Duvarları, web sitenizin trafiğini kendi bulut proxy sunucuları üzerinden yönlendirir. Bu, yalnızca gerçek trafiği ana web barındırma sunucunuza göndermelerine olanak tanırken, WordPress hızınıza ve performansınıza bir destek sağlar.
Sucuri kullanmanızı öneririz. Web sitesi güvenliğinde sektör lideridirler ve piyasadaki en iyi WordPress güvenlik duvarına sahiptirler. DNS düzeyinde bir web sitesi güvenlik duvarına sahip oldukları için, tüm web sitesi trafiğiniz kötü trafiğin filtrelendiği proxy'lerinden geçer.
Web sitemizde Sucuri kullanıyoruz ve daha fazla bilgi edinmek için tam Sucuri incelememizi okuyabilirsiniz.
2. WordPress Güncellemelerini Yükleyin
Bazı yaygın kaba kuvvet saldırıları, WordPress'in eski sürümlerindeki bilinen güvenlik açıklarını, popüler WordPress eklentilerini veya temalarını aktif olarak hedef alır.
WordPress çekirdeği ve en popüler WordPress eklentileri açık kaynaklıdır ve güvenlik açıkları genellikle bir güncellemeyle çok hızlı bir şekilde düzeltilir. Ancak, güncellemeleri yüklemeyi ihmal ederseniz, web sitenizi bu eski tehditlere karşı savunmasız bırakırsınız.
Mevcut güncellemeleri kontrol etmek için WordPress yönetici alanındaki Kontrol Paneli » Güncellemeler sayfasına gidin. Bu sayfa, WordPress çekirdeğiniz, eklentileriniz ve temalarınız için tüm güncellemeleri gösterecektir.
Daha fazla ayrıntı için, WordPress'i güvenli bir şekilde nasıl güncelleyeceğiniz ve WordPress eklentilerini doğru bir şekilde nasıl güncelleyeceğiniz hakkındaki kılavuzlarımıza bakın.
3. WordPress Yönetici Dizinini Koruyun
Bir WordPress sitesine yönelik kaba kuvvet saldırılarının çoğu, WordPress yönetici alanına erişmeye çalışır. Sunucu düzeyinde WordPress yönetici dizininize parola koruması ekleyebilirsiniz. Bu, WordPress yönetici alanınıza yetkisiz erişimi engelleyecektir.
WordPress hosting kontrol panelinize (cPanel) giriş yapın ve Dosyalar bölümündeki 'Dizin Gizliliği' simgesine tıklayın.
Not: Ekran görüntümüzde Bluehost kullanıyoruz, ancak benzer ayarlar HostGator gibi diğer üst düzey barındırma şirketlerinde de mevcuttur.
Ardından, wp-admin klasörünü bulmanız gerekir.
Bulduğunuzda, ‘Düzenle’ düğmesine tıklamalısınız.
Bir sonraki sayfada klasör için güvenlik ayarlarını yapabilirsiniz.
İlk olarak, 'Bu dizini parola ile koru' kutusunu işaretlemeniz gerekir. Ardından, korunan dizin için bir ad girebilirsiniz.
Ardından, bir kullanıcı adı ve parola sağlamanız istenecektir.
Bu dizine her erişmeye çalıştığınızda bu bilgiler sizden istenecektir.
Bu bilgileri girdikten sonra, ayarlarınızı kaydetmek için ‘Kaydet’ düğmesine tıklayın.
WordPress yönetici dizininiz artık parola ile korunmaktadır.
WordPress yönetici alanınızı ziyaret ettiğinizde yeni bir giriş istemi göreceksiniz.
Bir 404 hatası veya çok fazla yönlendirme hatası mesajı alırsanız, WordPress .htaccess dosyanıza aşağıdaki satırı eklemeniz gerekir:
ErrorDocument 401 default
Daha fazla ayrıntı için, WordPress yönetici dizinini parolayla koruma hakkındaki makalemize bakın.
4. WordPress'e İki Faktörlü Kimlik Doğrulama Ekleyin
İki faktörlü kimlik doğrulama, WordPress giriş ekranınıza ek bir güvenlik katmanı ekler. Kullanıcıların, WordPress yönetici alanına erişmek için oturum açma kimlik bilgilerinin yanı sıra tek kullanımlık bir kod oluşturmak için telefonlarına ihtiyaçları olacaktır.
İki faktörlü kimlik doğrulama eklemek, bilgisayar korsanlarının WordPress şifrenizi kırmayı başarsalar bile erişim sağlamalarını zorlaştıracaktır.
Ayrıntılı adım adım talimatlar için, WordPress'e iki faktörlü kimlik doğrulamanın nasıl ekleneceğine ilişkin kılavuzumuza bakın.
5. Benzersiz ve Güçlü Parolalar Kullanın
Parolalar, WordPress sitenize veya e-ticaret mağazanıza erişim sağlamanın anahtarlarıdır. Tüm hesaplarınız için benzersiz, güçlü parolalar kullanmanız gerekir. Güçlü bir parola, sayılar, harfler ve özel karakterlerin birleşimidir.
Yalnızca WordPress kullanıcı hesaplarınız için değil, aynı zamanda FTP istemciniz, web barındırma kontrol paneliniz ve WordPress veritabanınız için de güçlü şifreler kullanmanız önemlidir.
Birçok yeni başlayan bize tüm bu benzersiz şifreleri nasıl hatırlayacaklarını soruyor. Aslında buna gerek yok. Şifrelerinizi güvenli bir şekilde saklayacak ve sizin için otomatik olarak dolduracak harika şifre yöneticisi uygulamaları mevcut.
Daha fazla bilgi edinmek için WordPress'te şifreleri yönetmenin en iyi yolları hakkındaki başlangıç kılavuzumuza bakın.
6. Dizin Göz Atmayı Devre Dışı Bırakın
Varsayılan olarak, web sunucunuz bir dizin dosyası (index.php veya index.html gibi) bulamadığında, otomatik olarak dizinin içeriğini gösteren bir dizin sayfası görüntüler.
Kaba kuvvet saldırısı sırasında bilgisayar korsanları, savunmasız dosyaları aramak için dizin taramayı bu şekilde kullanabilirler. Bunu düzeltmek için, WordPress .htaccess dosyanızın en altına aşağıdaki satırı bir FTP hizmeti kullanarak eklemeniz gerekir:
Options -Indexes
Daha fazla ayrıntı için, WordPress'te dizin göz atmanın nasıl devre dışı bırakılacağına ilişkin makalemize bakın.
7. Belirli WordPress Klasörlerinde PHP Dosya Yürütmesini Devre Dışı Bırakın
Hackerlar, WordPress klasörlerinize bir PHP betiği yükleyip çalıştırmak isteyebilir. WordPress büyük ölçüde PHP ile yazılmıştır, bu da onu tüm WordPress klasörlerinde devre dışı bırakamayacağınız anlamına gelir.
Ancak, WordPress yüklemeler klasörünüz /wp-content/uploads gibi PHP betiği gerektirmeyen bazı klasörler vardır.
Yüklemeler klasöründe PHP yürütmesini güvenle devre dışı bırakabilirsiniz, burası bilgisayar korsanlarının arka kapı dosyalarını gizlemek için yaygın olarak kullandığı bir yerdir.
Öncelikle, bilgisayarınızda Not Defteri gibi bir metin düzenleyici açmanız ve aşağıdaki kodu yapıştırmanız gerekir:
<Files *.php>
deny from all
</Files>
Şimdi, bu dosyayı .htaccess olarak kaydedin ve bir FTP istemcisi kullanarak web sitenizdeki /wp-content/uploads/ klasörlerine yükleyin.
8. Bir WordPress Yedekleme Eklentisi Kurun ve Ayarlayın
Yedeklemeler, WordPress güvenlik cephaneliğinizdeki en önemli araçtır. Diğer her şey başarısız olursa, yedeklemeler web sitenizi kolayca geri yüklemenize olanak tanır.
Çoğu WordPress barındırma şirketi sınırlı yedekleme seçenekleri sunar. Ancak, bu yedeklemeler garanti edilmez ve kendi yedeklemelerinizi yapmak sizin sorumluluğunuzdadır.
Otomatik yedeklemeleri zamanlamanıza olanak tanıyan birkaç harika WordPress yedekleme eklentisi bulunmaktadır.
Duplicator kullanmanızı öneririz. Başlangıç dostudur ve Google Drive, Dropbox, Amazon S3, OneDrive ve daha fazlası gibi uzak konumlarda otomatik yedeklemeler ayarlamanıza ve saklamanıza olanak tanır.
Başlamak için kullanabileceğiniz ücretsiz bir Duplicator sürümü de mevcuttur.
WordPress sitenizi Duplicator ile nasıl yedekleyeceğiniz konusunda adım adım talimatlar için bu kılavuzu takip edebilirsiniz: WordPress sitenizi nasıl yedekleyeceğiniz.
Yukarıda belirtilen tüm ipuçları, WordPress sitenizi kaba kuvvet saldırılarına karşı korumanıza yardımcı olacaktır. Daha kapsamlı bir güvenlik kurulumu için, yeni başlayanlar için hazırladığımız kapsamlı WordPress güvenlik rehberimizdeki talimatları izlemelisiniz.
Bu makalenin WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınızı öğrenmenize yardımcı olduğunu umuyoruz. Ayrıca, hacklenmiş bir WordPress sitesini nasıl düzelteceğinize dair rehberimizi ve en iyi WordPress güvenlik duvarı eklentileri hakkındaki uzman seçimlerimizi de görmek isteyebilirsiniz.
Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi ayrıca Twitter ve Facebook'ta da bulabilirsiniz.
Olaf
Bunlar çok değerli ipuçları. Kaba kuvvet saldırısı çok tehlikeli olabilir, özellikle barındırma sağlayıcısının arka planda çözümleri yoksa ve her şeyden önce kullanıcılar basit ifadelerden oluşan zayıf parolalara sahipse. Şahsen, her şey her zaman parolayla başlar. Karakterler, semboller, sayılar… tek doğru kombinasyon budur. İsimler ve ifadeler en kötüsüdür. İnsanlar bunu anlarsa, parolalar en az sekiz karakter veya daha uzun olduğu sürece büyük ölçüde korunurlar. Ancak, insanlara bunu öğretmek zordur, çünkü hatırlayabilecekleri parolalar isterler. Bu yüzden parolalar için hafıza yardımcıları kullanmak iyidir. Anlamı olmayan ama hafıza yardımcıları aracılığıyla hatırladığım parolalar kullanıyorum. Ek bir güvenlik katmanı eklemek genel güvenliği yalnızca artırır ve iki faktörlü kimlik doğrulamayı en iyi ikinci katman olarak görüyorum. Bununla, ihlal olasılığı neredeyse minimuma iner.
Dayo Olobayo
WordPress sitenizi güvence altına almak için harika bir rehber! Ek olarak önereceğim bir ipucu, giriş denemelerinizi düzenli olarak izlemenizdir. Birçok güvenlik eklentisi, köken IP adresleri dahil olmak üzere giriş denemelerini izleyebileceğiniz ayrıntılı günlükler sunar. Bu, şüpheli etkinlikleri belirlemenize ve kötü amaçlı IP'leri potansiyel olarak engellemenize yardımcı olabilir.
Mrteesurez
Öneriniz için teşekkürler.
Oturum açma girişimlerinin IP adresini belirlemek için günlük ayrıntılarını kontrol ederdim. Ancak oturum açma girişimleri için doğrudan e-postaya bir bildirim alma yolu var mı?
Bunu yapan herhangi bir eklenti biliyor musunuz?
Dayo Olobayo
Limit Login Attempts Reloaded eklentisinin oturum açma denemeleri için e-posta bildirimleri gönderebildiğine inanıyorum. Kontrol edebilirsiniz.
Mrteesurez
Tamam, yanıtın için teşekkürler Dayo. Birden fazla web sitesindeki hata günlüğü denemelerini kontrol etmek için sık sık oturum açmak zor ve zaman alıcı, bu yüzden herhangi bir denemede e-posta almayı tercih ettim. Teşekkürler.
Jiří Vaněk
WordPress yönetiminin URL'sini değiştirme seçeneğini listeye dahil etmediğinizi fark ettim. Bunun bir nedeni var mı? Saldırıları önlemek için de çok iyi yöntemlerden biridir, çünkü saldırganlar web sitesinin yönetiminin URL'sini bilmeyecektir.
WPBeginner Desteği
Bunu önermiyoruz çünkü bu, eklentiler ve hata ayıklama ile sorunlara neden olabilir ve bir sitenin güvenliğine büyük ölçüde katkıda bulunmaz.
Yönetici
Jiří Vaněk
Sanırım bununla deneyiminiz var. Blogumda kullanıyorum ve tüm sitelerde hiç sorun yaşamadım. URL'yi değiştirmek, saldırganın URL'yi bilmemesiyle yönetimi daha güvenli hale getirebilir diye varsaydım, ancak tavsiyenizi alacağım.
Moinuddin Waheed
Bu, WordPress kullanıcıları için çok yaygın bir sorundur. Çoğu zaman web sitemizi veya blogumuzu korumaya çok az önem veririz veya hiç önem vermeyiz ve sonra bu tür bir şey olduğunda şikayet ederiz.
Ben 2017'de bu kaba kuvvet saldırısının kurbanı oldum ve o zamandan beri tam web sitemin yedeğini kullanmaya ve giriş yapmak için iki faktörlü kimlik doğrulamayı kullanmaya özen gösterdim.
Herhangi bir kötü amaçlı yazılım yüklenip yüklenmediğini veya kontrol panelimizin ele geçirilip geçirilmediğini belirleyebileceğimiz bir yol var mı?
WPBeginner Desteği
Aşağıdaki makalemizde önerdiğimiz tarayıcı seçeneklerinden bazılarını kullanabilirsiniz!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Yönetici
Moinuddin Waheed
Yanıtınız ve eğitim öneriniz için teşekkürler.
Başarılı bir WordPress web sitesi ajansı kurmak için bu rehberleri inceliyorum.
Danışanlarım için yapacağım web sitelerinin güvenlik açısından kusursuz olmasını sağlamak istiyorum.
Renuga
MERHABA,
Adım-3 yönetici koruması için, girişin yalnızca WP-yönetici alanında görünmesini istiyoruz ancak sitede de görünüyor. Bu nedenle, yalnızca WP-yönetici alanında nasıl görüneceği konusunda bize yardımcı olur musunuz?
WPBeginner Desteği
Widget alanınızda olduğunu kastediyorsanız, Görünüm>Widget'lar altında bir meta widget'ı kontrol etmek isteyebilirsiniz.
Yönetici
Dreamandu
Şu anda farklı IP'lerden kaba kuvvet saldırısı altındayım. Sitemi şu anda korumak için ne yapabilirim?
WPBeginner Desteği
Kaba kuvvet saldırısıyla mücadeleye başlamak için bu makaledeki yöntemlerden herhangi birini kullanabilirsiniz
Yönetici
Chidubem Ezenwa
Yine faydalı bir rehber. Teşekkürler beyler.