WordPress web siteniz kaba kuvvet saldırılarına karşı savunmasız mı? Bu saldırılar yalnızca web sitenizi yavaşlatmakla ve erişimi zorlaştırmakla kalmaz, aynı zamanda bilgisayar korsanlarının şifrelerinizi kırmasına ve kötü amaçlı yazılım yüklemesine de olanak tanır. Bu, sitenize ve işinize ciddi zararlar verebilir.
WPBeginner olarak sitemizi güvende tutmak için Sucuri ve Cloudflare gibi güvenlik araçlarına büyük ölçüde güveniyoruz. Sucuri bir keresinde 3 aylık bir süre zarfında 450.000 WordPress saldırısını engellememize yardımcı oldu.
Bu makalede, WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınızı göstereceğiz.
Kaba Kuvvet Saldırısı Nedir?
Kaba kuvvet saldırısı, bir web sitesine, ağa veya bilgisayar sistemine girmek için deneme yanılma yöntemini kullanan bir hackleme yöntemidir.
En yaygın kaba kuvvet saldırısı türü parola tahminidir. Bilgisayar korsanları, web sitenize erişebilmek için giriş bilgilerinizi tahmin etmeye devam etmek üzere otomatikleştirilmiş yazılımlar kullanır.
Bu otomatik hackleme araçları, farklı IP adresleri ve konumlar kullanarak kendilerini gizleyebilir, bu da şüpheli etkinlikleri belirlemeyi ve engellemeyi zorlaştırır.
Başarılı bir kaba kuvvet saldırısı, bilgisayar korsanlarının web sitenizin yönetici alanına erişmesini sağlayabilir. Kötü amaçlı yazılım yükleyebilir, kullanıcı bilgilerini çalabilir ve sitenizdeki her şeyi silebilirler.
Başarısız kaba kuvvet saldırıları bile, WordPress barındırma sunucularınıza çok fazla istek göndererek, web sitenizi yavaşlatarak veya hatta tamamen çökerterek yıkıma neden olabilir.
Bununla birlikte, WordPress web sitenizi kaba kuvvet saldırılarından nasıl koruyacağınıza bir göz atalım. İzleyeceğimiz adımlar şunlardır:
- Bir WordPress Güvenlik Duvarı Eklentisi Yükleyin
- WordPress Güncellemelerini Yükleyin
- WordPress Yönetici Dizinini Koruyun
- WordPress'e İki Faktörlü Kimlik Doğrulama Ekleyin
- Benzersiz ve Güçlü Parolalar Kullanın
- Dizin Göz Atmayı Devre Dışı Bırak
- Belirli WordPress Klasörlerinde PHP Dosya Yürütmesini Devre Dışı Bırakma
- Bir WordPress Yedekleme Eklentisi Kurun ve Ayarlayın
1. Bir WordPress Güvenlik Duvarı Eklentisi Kurun
Kaba kuvvet saldırıları sunucularınıza çok fazla yük bindirir. Başarısız olanlar bile web sitenizi yavaşlatabilir veya sunucuyu tamamen çökertebilir. Bu nedenle, sunucunuza ulaşmadan önce onları engellemek önemlidir.
Bunu yapmak için bir web sitesi güvenlik duvarı çözümüne ihtiyacınız olacak. Güvenlik duvarı kötü trafiği filtreler ve sitenize erişmesini engeller.
Kullanabileceğiniz iki tür web sitesi güvenlik duvarı vardır:
- Uygulama Seviyesi Güvenlik Duvarları, sunucunuza ulaşan trafiği ancak çoğu WordPress betiği yüklenmeden önce inceler. Bu yöntem o kadar verimli değildir çünkü kaba kuvvet saldırısı sunucu yükünüzü hala etkileyebilir.
- DNS Düzeyinde Web Sitesi Güvenlik Duvarları, web sitesi trafiğinizi bulut proxy sunucuları aracılığıyla yönlendirir. Bu, yalnızca gerçek trafiği ana web barındırma sunucunuza göndermelerine olanak tanırken, WordPress hız ve performansınıza da bir destek sağlar.
Sucuri kullanmanızı öneririz. Web sitesi güvenliğinde sektör lideri ve piyasadaki en iyi WordPress güvenlik duvarıdır. DNS düzeyinde bir web sitesi güvenlik duvarına sahip oldukları için, tüm web sitesi trafiğiniz kötü trafiğin filtrelendiği proxy'lerinden geçer.
Web sitemizde Sucuri kullanıyoruz ve daha fazla bilgi edinmek için tam Sucuri incelememizi okuyabilirsiniz.
2. WordPress Güncellemelerini Yükleyin
Bazı yaygın kaba kuvvet saldırıları, eski WordPress sürümlerindeki, popüler WordPress eklentilerindeki veya temalarındaki bilinen güvenlik açıklarını aktif olarak hedef alır.
WordPress çekirdeği ve en popüler WordPress eklentileri açık kaynaktır ve güvenlik açıkları genellikle bir güncellemeyle çok hızlı bir şekilde düzeltilir. Ancak, güncellemeleri yüklemeyi ihmal ederseniz, web sitenizi bu eski tehditlere karşı savunmasız bırakırsınız.
Mevcut güncellemeleri kontrol etmek için WordPress yönetici alanındaki Kontrol Paneli » Güncellemeler sayfasına gidin. Bu sayfa, WordPress çekirdeğiniz, eklentileriniz ve temalarınız için tüm güncellemeleri gösterecektir.
Daha fazla ayrıntı için, WordPress'i güvenli bir şekilde güncelleme ve WordPress eklentilerini doğru bir şekilde güncelleme hakkındaki kılavuzlarımıza bakın.
3. WordPress Yönetici Dizinini Koruyun
Bir WordPress sitesine yönelik kaba kuvvet saldırılarının çoğu, WordPress yönetici alanına erişmeye çalışır. Sunucu düzeyinde WordPress yönetici dizininize parola koruması ekleyebilirsiniz. Bu, WordPress yönetici alanınıza yetkisiz erişimi engelleyecektir.
WordPress hosting kontrol panelinize (cPanel) giriş yapın ve Dosyalar bölümündeki 'Dizin Gizliliği' simgesine tıklayın.
Not: Ekran görüntümüzde Bluehost kullanıyoruz, ancak benzer ayarlar HostGator gibi diğer üst düzey barındırma şirketlerinde de mevcuttur.
Ardından, wp-admin klasörünü bulmanız gerekir.
Bulduğunuzda, ‘Düzenle’ düğmesine tıklamalısınız.
Bir sonraki sayfada klasör için güvenlik ayarlarını yapabilirsiniz.
İlk olarak, 'Bu dizini parola ile koru' kutusunu işaretlemeniz gerekir. Ardından, korunan dizin için bir ad girebilirsiniz.
Ardından, bir kullanıcı adı ve parola sağlamanız istenecektir.
Bu dizine her erişmeye çalıştığınızda bu bilgiler sizden istenecektir.
Bu bilgileri girdikten sonra, ayarlarınızı kaydetmek için ‘Kaydet’ düğmesine tıklayın.
WordPress yönetici dizininiz artık parola ile korunmaktadır.
WordPress yönetici alanınızı ziyaret ettiğinizde yeni bir giriş istemi göreceksiniz.
Bir 404 hatası veya çok fazla yönlendirme hatası mesajıyla karşılaşırsanız, WordPress .htaccess dosyanıza aşağıdaki satırı eklemeniz gerekir:
ErrorDocument 401 default
Daha fazla ayrıntı için, WordPress yönetici dizinini şifreyle koruma hakkındaki makalemize bakın.
4. WordPress'e İki Faktörlü Kimlik Doğrulama Ekleyin
İki faktörlü kimlik doğrulama, WordPress giriş ekranınıza ek bir güvenlik katmanı ekler. Kullanıcıların, WordPress yönetici alanına erişmek için oturum açma kimlik bilgilerinin yanı sıra tek kullanımlık bir kod oluşturmak için telefonlarına ihtiyaçları olacaktır.
İki faktörlü kimlik doğrulama eklemek, bilgisayar korsanları WordPress parolanızı kırmayı başarsalar bile erişim sağlamalarını zorlaştıracaktır.
Ayrıntılı adım adım talimatlar için, WordPress'te iki faktörlü kimlik doğrulamanın nasıl ekleneceğine dair kılavuzumuza bakın.
5. Benzersiz ve Güçlü Parolalar Kullanın
Parolalar, WordPress sitenize veya e-ticaret mağazanıza erişim sağlamanın anahtarlarıdır. Tüm hesaplarınız için benzersiz, güçlü parolalar kullanmanız gerekir. Güçlü bir parola, sayılar, harfler ve özel karakterlerin birleşimidir.
Yalnızca WordPress kullanıcı hesaplarınız için değil, aynı zamanda FTP istemciniz, web barındırma kontrol paneliniz ve WordPress veritabanınız için de güçlü parolalar kullanmanız önemlidir.
Birçok yeni başlayan bize tüm bu benzersiz şifreleri nasıl hatırlayacaklarını soruyor. Aslında buna gerek yok. Şifrelerinizi güvenli bir şekilde saklayacak ve sizin için otomatik olarak dolduracak harika şifre yöneticisi uygulamaları mevcut.
Daha fazla bilgi edinmek için, WordPress için parolaları yönetmenin en iyi yolları hakkındaki başlangıç kılavuzumuza bakın.
6. Dizin Göz Atmayı Devre Dışı Bırakın
Varsayılan olarak, web sunucunuz bir dizin dosyası (index.php veya index.html gibi) bulamadığında, otomatik olarak dizinin içeriğini gösteren bir dizin sayfası görüntüler.
Bir kaba kuvvet saldırısı sırasında bilgisayar korsanları savunmasız dosyaları aramak için dizin taramasını bu şekilde kullanabilirler. Bunu düzeltmek için, bir FTP hizmeti kullanarak WordPress .htaccess dosyanızın altına aşağıdaki satırı eklemeniz gerekir:
Options -Indexes
Daha fazla ayrıntı için, WordPress'te dizin taramasını nasıl devre dışı bırakacağınıza dair makalemize bakın.
7. Belirli WordPress Klasörlerinde PHP Dosya Yürütmesini Devre Dışı Bırakın
Hackerlar, WordPress klasörlerinize bir PHP betiği yükleyip çalıştırmak isteyebilir. WordPress büyük ölçüde PHP ile yazılmıştır, bu da onu tüm WordPress klasörlerinde devre dışı bırakamayacağınız anlamına gelir.
Ancak, WordPress yüklemeler klasörünüz /wp-content/uploads gibi PHP betiği gerektirmeyen bazı klasörler vardır.
Bilgisayar korsanlarının arka kapı dosyalarını gizlemek için yaygın olarak kullandığı yükleme klasöründe PHP yürütmesini güvenli bir şekilde devre dışı bırakabilirsiniz.
Öncelikle, bilgisayarınızda Not Defteri gibi bir metin düzenleyici açmanız ve aşağıdaki kodu yapıştırmanız gerekir:
<Files *.php>
deny from all
</Files>
Şimdi, bu dosyayı .htaccess olarak kaydedin ve bir FTP istemcisi kullanarak web sitenizdeki /wp-content/uploads/ klasörlerine yükleyin.
8. Bir WordPress Yedekleme Eklentisi Kurun ve Ayarlayın
Yedeklemeler, WordPress güvenlik cephaneliğinizdeki en önemli araçtır. Diğer her şey başarısız olursa, yedeklemeler web sitenizi kolayca geri yüklemenize olanak tanır.
Çoğu WordPress barındırma şirketi sınırlı yedekleme seçenekleri sunar. Ancak, bu yedeklemeler garanti edilmez ve kendi yedeklerinizi almaktan yalnızca siz sorumlusunuz.
Otomatik yedeklemeleri zamanlamanıza olanak tanıyan birkaç harika WordPress yedekleme eklentisi vardır.
Kullanmanızı öneririz Duplicator. Yeni başlayanlar için uygundur ve otomatik yedeklemeleri hızlı bir şekilde ayarlamanıza ve Google Drive, Dropbox, Amazon S3, One Drive ve daha fazlası gibi uzak konumlarda saklamanıza olanak tanır.
Başlamak için kullanabileceğiniz ücretsiz bir Duplicator sürümü de vardır.
Adım adım talimatlar için, Duplicator ile WordPress sitenizi nasıl yedekleyeceğiniz konusundaki bu kılavuzu takip edebilirsiniz.
Yukarıda belirtilen tüm ipuçları, WordPress sitenizi kaba kuvvet saldırılarına karşı korumanıza yardımcı olacaktır. Daha kapsamlı bir güvenlik kurulumu için, yeni başlayanlar için kapsamlı WordPress güvenlik kılavuzumuzdaki talimatları izlemelisiniz.
Umarız bu makale, WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınızı öğrenmenize yardımcı olmuştur. Ayrıca, hacklenmiş bir WordPress sitesini nasıl düzelteceğiniz konusundaki kılavuzumuzu ve en iyi WordPress güvenlik duvarı eklentileri hakkındaki uzman seçimlerimizi de görmek isteyebilirsiniz.
Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi ayrıca Twitter ve Facebook'ta da bulabilirsiniz.
Olaf
Bunlar çok değerli ipuçları. Kaba kuvvet saldırısı çok tehlikeli olabilir, özellikle barındırma sağlayıcısının arka planda çözümleri yoksa ve her şeyden önce kullanıcılar basit ifadelerden oluşan zayıf parolalara sahipse. Şahsen, her şey her zaman parolayla başlar. Karakterler, semboller, sayılar… tek doğru kombinasyon budur. İsimler ve ifadeler en kötüsüdür. İnsanlar bunu anlarsa, parolalar en az sekiz karakter veya daha uzun olduğu sürece büyük ölçüde korunurlar. Ancak, insanlara bunu öğretmek zordur, çünkü hatırlayabilecekleri parolalar isterler. Bu yüzden parolalar için hafıza yardımcıları kullanmak iyidir. Anlamı olmayan ama hafıza yardımcıları aracılığıyla hatırladığım parolalar kullanıyorum. Ek bir güvenlik katmanı eklemek genel güvenliği yalnızca artırır ve iki faktörlü kimlik doğrulamayı en iyi ikinci katman olarak görüyorum. Bununla, ihlal olasılığı neredeyse minimuma iner.
Dayo Olobayo
WordPress sitenizi güvence altına almak için harika bir rehber! Ek olarak önereceğim bir ipucu, giriş denemelerinizi düzenli olarak izlemenizdir. Birçok güvenlik eklentisi, köken IP adresleri dahil olmak üzere giriş denemelerini izleyebileceğiniz ayrıntılı günlükler sunar. Bu, şüpheli etkinlikleri belirlemenize ve kötü amaçlı IP'leri potansiyel olarak engellemenize yardımcı olabilir.
Mrteesurez
Öneriniz için teşekkürler.
Oturum açma girişimlerinin IP adresini belirlemek için günlük ayrıntılarını kontrol ederdim. Ancak oturum açma girişimleri için doğrudan e-postaya bir bildirim alma yolu var mı?
Bunu yapan herhangi bir eklenti biliyor musunuz?
Dayo Olobayo
Limit Login Attempts Reloaded eklentisinin oturum açma denemeleri için e-posta bildirimleri gönderebildiğine inanıyorum. Kontrol edebilirsiniz.
Mrteesurez
Tamam, yanıtın için teşekkürler Dayo. Birden fazla web sitesindeki hata günlüğü denemelerini kontrol etmek için sık sık oturum açmak zor ve zaman alıcı, bu yüzden herhangi bir denemede e-posta almayı tercih ettim. Teşekkürler.
Jiří Vaněk
WordPress yönetiminin URL'sini değiştirme seçeneğini listeye dahil etmediğinizi fark ettim. Bunun bir nedeni var mı? Saldırıları önlemek için de çok iyi yöntemlerden biridir, çünkü saldırganlar web sitesinin yönetiminin URL'sini bilmeyecektir.
WPBeginner Desteği
Bunu önermiyoruz çünkü bu, eklentiler ve hata ayıklama ile sorunlara neden olabilir ve bir sitenin güvenliğine büyük ölçüde katkıda bulunmaz.
Yönetici
Jiří Vaněk
Sanırım bununla deneyiminiz var. Blogumda kullanıyorum ve tüm sitelerde hiç sorun yaşamadım. URL'yi değiştirmek, saldırganın URL'yi bilmemesiyle yönetimi daha güvenli hale getirebilir diye varsaydım, ancak tavsiyenizi alacağım.
Moinuddin Waheed
Bu, WordPress kullanıcıları için çok yaygın bir sorundur. Çoğu zaman web sitemizi veya blogumuzu korumaya çok az önem veririz veya hiç önem vermeyiz ve sonra bu tür bir şey olduğunda şikayet ederiz.
Ben 2017'de bu kaba kuvvet saldırısının kurbanı oldum ve o zamandan beri tam web sitemin yedeğini kullanmaya ve giriş yapmak için iki faktörlü kimlik doğrulamayı kullanmaya özen gösterdim.
Herhangi bir kötü amaçlı yazılım yüklenip yüklenmediğini veya kontrol panelimizin ele geçirilip geçirilmediğini belirleyebileceğimiz bir yol var mı?
WPBeginner Desteği
Aşağıdaki makalemizde önerdiğimiz tarayıcı seçeneklerinden bazılarını kullanabilirsiniz!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Yönetici
Moinuddin Waheed
Yanıtınız ve eğitim öneriniz için teşekkürler.
Başarılı bir WordPress web sitesi ajansı kurmak için bu rehberleri inceliyorum.
Danışanlarım için yapacağım web sitelerinin güvenlik açısından kusursuz olmasını sağlamak istiyorum.
Renuga
MERHABA,
Adım-3 yönetici koruması için, girişin yalnızca WP-yönetici alanında görünmesini istiyoruz ancak sitede de görünüyor. Bu nedenle, yalnızca WP-yönetici alanında nasıl görüneceği konusunda bize yardımcı olur musunuz?
WPBeginner Desteği
Widget alanınızda olduğunu kastediyorsanız, Görünüm>Widget'lar altında bir meta widget'ı kontrol etmek isteyebilirsiniz.
Yönetici
Dreamandu
Şu anda farklı IP'lerden kaba kuvvet saldırısı altındayım. Sitemi şu anda korumak için ne yapabilirim?
WPBeginner Desteği
Kaba kuvvet saldırısıyla mücadeleye başlamak için bu makaledeki yöntemlerden herhangi birini kullanabilirsiniz
Yönetici
Chidubem Ezenwa
Yine faydalı bir rehber. Teşekkürler beyler.