WordPress Web Sitenizi Kaba Kuvvet Saldırılarından Nasıl Korursunuz?

Bilgisayar korsanlığı saldırıları son yıllarda daha sık hale geldi ve web sitesi güvenliğini her web yöneticisinin en önemli endişelerinden biri haline getirdiler. […]

9 Ocak 2024
Eğitim
11 min read

Bilgisayar korsanlığı saldırıları son yıllarda daha sık hale geldi ve web sitesi güvenliğini her web yöneticisinin en önemli endişelerinden biri haline getirdiler. WordPress’in en çok kullanılan içerik yönetimi platformu olması, WordPress web sitelerinin bu saldırıların en yaygın kurbanları olduğu anlamına gelir.

WordPress her zaman keşfettiği güvenlik açıklarını yamalayarak güvenliğini artırmaya çalışırken, kaba kuvvet saldırılarına karşı her zaman mücadele etmiştir. Bunun nedeni WordPress’in hepimizin aşina olduğu tek bir oturum açma ekranına sahip olmasıdır. Fakat bu, kaba kuvvet saldırganlarına karşı güvenliğinizin WordPress kimlik bilgileriniz kadar güçlü olduğu anlamına gelir.

Bu yazıda, web sitenizin güvenliğini nasıl artıracağınızı ve WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınızı açıklayacağız. Ek olarak önerdiğimiz güvenlik yöntemlerinin önemini tam olarak anlayabilmeniz için bu saldırıların ne olduğunu ele alacağız. Belirli bir güvenlik önerisine geçmek isterseniz, bunu aşağıdaki bağlantıları kullanarak yapabilirsiniz:

  • WordPress giriş URL’sini değiştirme

  • Güçlü ve benzersiz kimlik bilgileri kullanma

  • Giriş denemelerini sınırlama

  • İki faktörlü kimlik doğrulama ekleme

  • HTTP kimlik doğrulaması ekleme

  • Güvenlik eklentilerini kullanma

  • WordPress’i güncelleme

  • Güvenlik duvarı kullanma

  • Düzenli olarak web sitenizin yedeğini almak ve kötü amaçlı yazılım taraması yapmak

  • IP’leri engelleme

Kaba kuvvet saldırılarının ne olduğunu anlamak

Basitçe söylemek gerekirse, kaba kuvvet saldırıları, belirli bir web sitesine veya ağa girmenin bir yolu olarak deneme yanılma yöntemine dayanan bir bilgisayar korsanlığı saldırısı türüdür. Daha kesin olarak, bilgisayar korsanları, web sitesine erişmenin bir yolu olarak oturum açma kullanıcı adınızı ve şifrenizi kapsamlı bir şekilde tahmin etmeye başvurur.

Bu sıkıcı ve hatta anlamsız görünse de, bundan çok uzaktır. WordPress, başarısız oturum açma girişimlerini sınırlamak için herhangi bir varsayılan yol içermediğinden, bilgisayar korsanları tahmin sürecini otomatikleştirebilir ve birkaç saniye içinde on binlerce ortak şifreyi geçebilir. Bu yüzden zayıf olarak kabul edilen bir şifre kullanıyorsanız, web siteniz kaba kuvvete maruz kalmaktan birkaç saniye uzakta olabilir.

Bilgisayar korsanları web sitenizin arka ucuna erişim sağladıktan sonra kötü amaçlı yazılım yükleyebilir, değerli bilgileri çalabilir, web sitenize erişiminizi engelleyebilir veya sitenizi silebilir. Öte yandan, içeri girmeseler bile, sunucunuza yönelik yüksek sıklıkta HTTP istekleri sitenizi ciddi şekilde yavaşlatabilir, hatta sitenizi çökertebilir. Bu yüzden birden fazla yöntem kullanarak kaba kuvvet saldırılarıyla mücadele etmek önemlidir. Bu durum bilgisayar korsanlarının web sitenize verebileceği herhangi bir zarardan kaçınmanıza veya bunları ortadan kaldırmanıza olanak tanır. Şimdi bu yöntemlerin neler olduğuna bir göz atalım.

WordPress web sitenizi kaba kuvvet saldırılarından nasıl korursunuz?

Alabileceğiniz çok sayıda güvenlik önlemi olmasına rağmen, bu yazıda yalnızca en önemli on tanesini ele almaya karar verdik. Bu yöntemlerin çoğu özel kod kullanılarak uygulanabilir, fakat bu makaleyi yeni başlayanlar için daha kolay hale getirmeyi ve herkesin erişebileceği alternatifler sunmayı seçtik. Bu yüzden mümkün olan her yöntem için uygun WordPress eklentileri sunmaya çalıştık. Ayrıca kaba kuvvet saldırılarına karşı mükemmel güvenlik elde edilemese de, listemizdeki yöntemlerin kullanılması web sitenizi olabildiğince güvenli hale getireceğini de belirtmekte fayda var. Öyleyse başlayalım.

WordPress giriş URL’sini değiştirme

WordPress web sitelerinin sık sık kaba kuvvet saldırılarına maruz kalmasının en büyük nedenlerinden biri, varsayılan dosya ve klasör yapılarının (ve oturum açma işleminden hangi dosyanın sorumlu olduğu) iyi bilinmesidir. Püf Nokta: bir WordPress sitesinin varsayılan giriş URL’sine kolayca erişilebilir. Bu durum kimlik bilgilerinizi kaba kuvvet saldırılarına karşı tek koruma biçimi haline getirir. Bu yüzden bu saldırılara karşı ekstra bir koruma katmanı eklemenin en belirgin yolu, varsayılan WordPress oturum açma URL’sini değiştirmektir. Bunu özel kodla veya uygun bir WordPress eklentisiyle gerçekleştirebilirsiniz.

WP Hide Login adlı bir eklenti kullanarak varsayılan WordPress giriş URL’sini nasıl değiştireceğinizi göstermeyi seçtik. Bu durum özellikle oturum açma ve yeniden yönlendirme URL’lerini değiştirmek için yapılmış çok hafif bir eklentidir. Eklenti sayfasında belirtildiği gibi, bu, herhangi bir WordPress çekirdek dosyasını değiştirmeyecek veya .htaccess dosyalarına yeniden yazma kuralları eklemeyecektir. Bunun yerine, sayfa isteklerini yakalayarak çalışır. Nasıl kullanıldığına bir göz atalım.

Eklentiyi yükledikten sonra, Ayarlar > Genel’e gidin ve WPS Girişi Gizle alt bölümünü bulacağınız sayfanın en altına doğru ilerleyin.

Giriş URL'si

Bu bölümde, hem giriş hem de yönlendirme URL’sini, yani ilgili sonlarını değiştirebilirsiniz. Kaba kuvvet saldırılarına karşı bir güvenlik önlemi olarak, giriş URL’sini varsayılan girişten başka bir şeye değiştirmek yeterlidir. Bunu yaptıktan sonra, giriş URL’nizi değiştirmek için Değişiklikleri Kaydet düğmesine basın.

URL değişikliğini tamamladıktan sonra oturumunuzun açık kalacağını lütfen unutmayın. Fakat oturumu kapatıp varsayılan WordPress oturum açma URL’sine (web sitenizin-url’si/oturum açma, web sitenizin-url’si/wp-admin veya web sitenizin-url’si/wp-login.php) erişerek tekrar oturum açmayı denerseniz ), bunun yerine bir 404 ekranı göreceksiniz. Fakat daha önce yönlendirme URL’sini de değiştirdiyseniz, bunun yerine bunun için seçtiğiniz sayfayı görürsünüz.

Sisteme giriş hatası

Bununla kaba kuvvet saldırılarına karşı önlem almanın ilk ve en önemli adımını tamamladınız.

Bu bölümü bitirmeden önce bir ipucu paylaşmak istedik; kontrol panelinize erişiminiz kesilirse ve yeni giriş URL’nizin ne olduğunu unutursanız endişelenmeyin. WP Hide Login eklentisini FTP aracılığıyla devre dışı bırakmak, WordPress oturum açma URL’sini varsayılan değerine sıfırlayacaktır. Bunu nasıl yapacağınızı öğrenmek için, WP-Admin kilitlendiğinde eklentileri devre dışı bırakma hakkındaki makalemize bakın.

Güçlü ve benzersiz kimlik bilgileri kullanma

Web sitenizin kaba kuvvet saldırılarına karşı güvenliğini artırmanın en etkili yollarından biri, güçlü ve benzersiz WordPress kimlik bilgileri kullanmaktır. Bu durum benzersiz kullanıcı adlarının ve daha da önemlisi daha uzun ve kırılması daha zor parolaların kullanılmasını içerir.

Her şeyden önce, yönetici hesabınız için varsayılan WordPress kullanıcı adını (admin) kullanmamalısınız. Bu yüzden site yöneticisi iseniz, kullanıcı adınızı değiştirmeyi düşünmelisiniz. Bu durum doğrudan sitenin veritabanı içinde yapılabilir. Alternatif olarak, yönetici ayrıcalıklarına sahip yeni bir kullanıcı eklemek ve ona benzersiz bir ad vermek için Kullanıcılar bölümündeki uygun pano seçeneğini kullanabilirsiniz. Bunu yaptıktan sonra, yönetici kullanıcı adına sahip diğer yönetici hesabını sildiğinizden emin olun. Tüm içeriği yeni oluşturduğunuz yönetici hesabınızla ilişkilendirmeyi unutmayın.

Kullanıcıları Sil

Parola gelince, daha az güvenli parolalarınızı daha karmaşık olanlarla değiştirerek gücünü artırmalısınız. Bu durum küçük ve büyük harfler, sayılar ve özel simgeler (& _ } ! gibi) içeren daha uzun parolaların kullanılmasını içerir. Ayrıca mevcut kelime dağarcığını (örn. şifre) veya doğrudan kişisel hayatınızla ilgili kelimeleri (aile üyesinin adı, doğum tarihi, evcil hayvanın adı vb.) ve ayrıca mevcut klavye kalıplarını (örn. qwerty veya 123456) kullanmaktan kaçının. Bariz nedenlerden dolayı, aynı kimlik bilgilerini farklı uygulamalarda kullanmaktan da kaçınmalısınız. Yeterince karmaşık parolalar oluşturmak zor olabileceğinden, size yardımcı olabilecek güçlü parola oluşturucu gibi online araçlar vardır.

Son olarak parolalarınızın çalınma veya sizin onları unutup kontrol panelinizde kilitlenme olasılığını azaltmak için nasıl sakladığınızı iyileştirmelisiniz. Bu konuda size yardımcı olacak birkaç teknolojik araç da bulunmaktadır. Bu amaçla, parolanızı güçlendirdikten sonra uygun bir parola yöneticisi bulmanızı öneririz.

Giriş denemelerini sınırlama

Daha önce de belirttiğimiz gibi, WordPress oturum açma girişimlerini sınırlamak için herhangi bir varsayılan mekanizma sunmaz. Bu durum WordPress sitelerini bilgisayar korsanlarının kaba kuvvet saldırıları için daha çekici hedefler haline getirir. WordPress ilk birkaç parolayı engellemeye çalışmadan on binlerce olası parolayı hızlı bir şekilde test etmek için komut dosyaları ve botlar kullanabilirler. Bu kalıcılık, güçlü, karmaşık parolalar için bile tehlike arz eder.

Bu yüzden devreye almanız gereken bir sonraki güvenlik katmanı, başarısız oturum açma girişimlerinin sayısını sınırlamaktır. Buna, bu sınırı aşan IP adresinin geçici olarak engellenmesi eşlik etmelidir. Bu durum belirli bir süre için, yanlış kimlik bilgileriyle oturum açmaya çalışan herkesin web sitesine erişimini engelleyecektir. Püf Nokta: bu, bilgisayar korsanlarının yollarını kaba kuvvetle kullanma çabalarını önemli ölçüde daha fazla zaman alıcı hale getirecektir. Dahası, artık pratik olmayacağı için onları daha fazla kaba kuvvet saldırısı yapmaktan caydırabilir.

Limit Login Attempts Reloaded gibi bir eklenti kullanarak WordPress’te oturum açma denemelerini sınırlayabilirsiniz. Özellikleri, maksimum giriş denemesi sayısını ve tüm girişimler başarısız olursa yasağın süresini yapılandırmayı içerir. Ayrıca engellenen girişimlerin günlüğe kaydedilmesine ve kara liste özelliklerine sahiptir, bu da kimin oturum açmaya çalıştığını takip etmenize ve kaba kuvvet saldırılarını deneyenleri kara listeye almanıza olanak tanır.

Bu eklenti aynı zamanda, yanlışlıkla kilitlenme durumunda size yardımcı olabilecek bir güvenli liste özelliği içerir. Bu yüzden meşru bir kullanıcı bir yazım hatası yaparsa veya kimlik bilgilerini yanlış hatırlarsa, yanlışlıkla kilitlenen herkesin yasağını kaldırabilirsiniz. Bunlar, Limit Login Attempts Reloaded eklentisinin kaba kuvvet saldırılarına karşı ek bir koruma katmanı uygulama önerimiz olmasının nedenlerinden bazılarıdır. Bu eklentiyi yükleme ve kullanma hakkında daha fazla bilgi edinmek için giriş denemelerini sınırlama hakkındaki makalemizi incelemenizi öneririz.

İki faktörlü kimlik doğrulama ekleme

İki faktörlü kimlik doğrulama eklemek, sitenizin arka ucunu bilgisayar korsanlarından korumanın başka bir harika yoludur. Adından da anlaşılacağı gibi, iki faktörlü kimlik doğrulama, ikinci bir kimlik testi ekleyerek ek bir güvenlik katmanı oluşturur. Örneğin bu, kullanıcılara SMS veya e-posta yoluyla gönderilen bir doğrulama kodunu içerebilir. Daha sonra oturum açmaya çalışan herkesin de bu kodlara erişmesi gerekecek ve bu da güvenlik ihlalini önemli ölçüde zorlaştıracaktır. Tıpkı önceki yöntem gibi, bu da uygun bir WordPress eklentisi kullanılarak uygulanabilir. Bununla ilgili daha fazla bilgiyi iki faktörlü kimlik doğrulama ekleme hakkındaki makalemizde bulabilirsiniz.

HTTP kimlik doğrulaması ekleme

HTTP kimlik doğrulaması, oturum açma sayfanıza sunucu düzeyinde bir koruma katmanı eklemenin başka bir yoludur. Bununla, bir kullanıcı oturum açma ekranınıza her erişmeye çalıştığında, ayrı kimlik bilgileriyle yeni bir oturum açma formu görünecektir. Ve kullanıcılara, yalnızca oturum açma formuna uygun kimlik doğrulama bilgilerini doğru bir şekilde girdikten sonra WordPress oturum açma ekranına erişim verilecektir.

Bu ek HTTP kimlik doğrulamasını barındırma kontrol panelinizden etkinleştirebilirsiniz. Bizim için bu cPanel’di. Farklı bir kontrol paneli kullanıyorsanız, barındırma sağlayıcınızdan eşdeğer talimatlar istemeniz gerekir. Bununla birlikte HTTP kimlik doğrulamasının nasıl etkinleştirilebileceğine bir göz atalım.

İlk olarak cPanel kimlik bilgilerinizi kullanarak cPanel’de oturum açın ve Dosyalar bölümünde bulunan Dizin Gizliliği seçeneğine tıklayın.

cPanel Dosya Dizini Gizliliği

Bir sonraki pencerede, web sitenizin dizinini bulun ve üzerine tıklayın. Daha sonra genellikle public_html olarak adlandırılan kök WordPress alt dizininize gidin. İçinde üç klasör göreceksiniz: wp-admin, wp-content ve wp-includes. Giriş ekranını korumak istediğimiz için wp-admin dizinini private yapacağız. Bu yüzden gizlilik ayarlarını değiştirmek için wp-admin klasörünün yanındaki Düzenle düğmesine tıklayın.

cPanel Dizini Gizliliği WP Yönetici Düzenleme

Bir sonraki ekranda, korunacak dizinin adını da görüntüleyecek olan Bu dizini parola ile koru seçeneğinin yanındaki onay kutusunu işaretleyin. Sağ Düzenle düğmesine tıkladıysanız, wp-admin klasörü seçili olarak gösterilen klasör olacaktır. Bu değişikliği onaylamak için aşağıdaki Kaydet düğmesine basın.

cPanel Şifre Koruması

Kısa bir süre sonra, erişim izinlerinin değiştirildiğini belirten bir başarı mesajı göreceksiniz. Önceki ekrana dönmek için Geri bağlantısına basın. Orada, bu kurulumun bir kullanıcı oluşturmanız gereken ikinci bölümünü göreceksiniz. Bunu yapmak için, seçtiğiniz bir kullanıcı adını ve şifreyi girin…

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Birlikte Büyüyen Bir İş Kurma Fırsatı!

İş birliği yaparak, işinizi yalnızca bir adım öteye taşıyoruz. Daha detaylı bilgi isterseniz mail adresinizi bize iletebilirsiniz.

  • Arin Yazılım © 2014 – 2024 · Tüm hakları saklıdır
Bize Ulaşın