WordPress Sitenizi Brute Force Saldırılarından Nasıl Korursunuz?

WordPress sitenizi kaba kuvvet saldırılarına karşı korumak mı istiyorsunuz?

Bir kaba kuvvet saldırısı web sitenizi yavaşlatabilir, erişilemez hale getirebilir ve hatta web sitenize kötü amaçlı yazılım yüklemek için şifrelerinizi kırabilir.

Bu makalede, WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınızı göstereceğiz.

Kaba Kuvvet Saldırısı Nedir?

Kaba kuvvet saldırısı, bir web sitesine, bir ağa veya bir bilgisayar sistemine girmek için deneme yanılma yöntemini kullanan bir bilgisayar korsanlığı yöntemidir.

En yaygın kaba kuvvet saldırısı türü şifre tahminidir. Bilgisayar korsanları, web sitenize erişim sağlayabilmek için giriş bilgilerinizi tahmin etmeye devam eden otomatik bir yazılım kullanırlar.

Bu otomatik bilgisayar korsanlığı araçları ayrıca farklı IP adresleri ve konumlar kullanarak kendilerini gizleyebilir, bu da şüpheli faaliyetlerin tespit edilmesini ve engellenmesini zorlaştırır.

Başarılı bir kaba kuvvet saldırısı, bilgisayar korsanlarına web sitenizin yönetici alanına erişim sağlayabilir. Kötü amaçlı yazılım yükleyebilir, kullanıcı bilgilerini çalabilir ve sitenizdeki her şeyi silebilirler.

Başarısız kaba kuvvet saldırıları bile WordPress barındırma sunucularınıza çok fazla istek göndererek, web sitenizi yavaşlatarak veya hatta tamamen çökerterek hasara yol açabilir.

Bununla birlikte, WordPress web sitenizi brute-force saldırılarından nasıl koruyacağınıza bir göz atalım. İşte izleyeceğimiz adımlar:

1. WordPress Güvenlik Duvarı Eklentisi Yükleyin

Kaba kuvvet saldırıları sunucularınıza çok fazla yük bindirir. Başarısız olanlar bile web sitenizi yavaşlatabilir veya sunucuyu tamamen çökertebilir. Bu yüzden sunucunuza ulaşmadan önce onları engellemek önemlidir.

Bunu yapmak için bir web sitesi güvenlik duvarı çözümüne ihtiyacınız olacak. Bir güvenlik duvarı kötü trafiği filtreler ve sitenize erişmesini engeller.

Kullanabileceğiniz iki tür web sitesi güvenlik duvarı vardır:

• Uygulama Seviyesi Güvenlik Duvarları trafiği sunucunuza ulaştığında ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem o kadar verimli değildir çünkü bir kaba kuvvet saldırısı sunucu yükünüzü hala etkileyebilir.
• DNS Seviyesi Web Sitesi Güvenlik Duvarları, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, WordPress hızınızı ve performansınızı artırırken ana web barındırma sunucunuza yalnızca gerçek trafik göndermelerini sağlar.

Sucuri kullanmanızı öneririz. Web sitesi güvenliğinde endüstri lideridirler ve piyasadaki en iyi WordPress güvenlik duvarıdırlar. DNS seviyesinde bir web sitesi güvenlik duvarına sahip olduklarından, bu, tüm web sitesi trafiğinizin kötü trafiğin filtrelendiği proxy’lerinden geçtiği anlamına gelir.

Web sitemizde Sucuri kullanıyoruz ve daha fazla bilgi edinmek için Sucuri incelememizin tamamını okuyabilirsiniz.

2. WordPress Güncellemelerini Yükleyin

Bazı yaygın kaba kuvvet saldırıları, WordPress’in eski sürümlerindeki, popüler WordPress eklentilerindeki veya temalarındaki bilinen güvenlik açıklarını aktif olarak hedef alır.

WordPress çekirdeği ve en popüler WordPress eklentileri açık kaynaklıdır ve güvenlik açıkları genellikle bir güncelleme ile çok hızlı bir şekilde giderilir. Ancak, güncellemeleri yüklemezseniz, web sitenizi bu eski tehditlere karşı savunmasız bırakırsınız.

Mevcut güncellemeleri kontrol etmek için WordPress yönetici alanındaki Dashboard ” Updates sayfasına gitmeniz yeterlidir. Bu sayfa WordPress çekirdeğiniz, eklentileriniz ve temalarınız için tüm güncellemeleri gösterecektir.

Daha fazla ayrıntı için WordPress’i güvenli bir şekilde güncelleme ve WordPress eklentilerini düzgün bir şekilde güncelleme kılavuzlarımıza bakın.

3. WordPress Yönetici Dizinini Koruyun

Bir WordPress sitesine yapılan kaba kuvvet saldırılarının çoğu WordPress yönetici alanına erişmeye çalışmaktadır. WordPress yönetici dizininize sunucu düzeyinde parola koruması ekleyebilirsiniz. Bu, WordPress yönetici alanınıza yetkisiz erişimi engelleyecektir.

WordPress hosting kontrol panelinizde (cPanel) oturum açın ve Dosyalar bölümünün altındaki ‘Dizin Gizliliği’ simgesine tıklayın.

Not: Ekran görüntümüzde Bluehost kullanıyoruz, ancak benzer ayarlar HostGator gibi diğer en iyi hosting şirketlerinde de mevcuttur.

Ardından, wp-admin klasörünü bulmanız gerekir.

Bulduğunuzda, ‘Düzenle’ düğmesine tıklamalısınız.

Sonraki sayfada klasör için güvenlik ayarlarını yapabilirsiniz.

İlk olarak, ‘Bu dizini parola ile koru’ kutusunu işaretlemeniz gerekir. Ardından, korunan dizin için bir ad girebilirsiniz.

Ardından, bir kullanıcı adı ve şifre girmeniz istenecektir.

Bu dizine her erişmeye çalıştığınızda sizden bu bilgiler istenecektir.

Bu bilgileri girdikten sonra, ayarlarınızı kaydetmek için ‘Kaydet’ düğmesine tıklayın.

WordPress yönetici dizininiz artık parola korumalıdır.

WordPress yönetici alanınızı ziyaret ettiğinizde yeni bir oturum açma istemi göreceksiniz.

404 hatasıyla veya çok fazla yönlendirme mesajıyla karşılaşırsanız, WordPress .htaccess dosyanıza aşağıdaki satırı eklemeniz gerekir:

ErrorDocument 401 default

Daha fazla ayrıntı için WordPress yönetici dizinini parola ile koruma hakkındaki makalemize bakın.

4. WordPress’e İki Faktörlü Kimlik Doğrulama Ekleme

İki faktörlü kimlik doğrulama, WordPress giriş ekranınıza ek bir güvenlik katmanı ekler. Kullanıcıların WordPress yönetici alanına erişmek için oturum açma kimlik bilgileriyle birlikte tek seferlik bir parola oluşturmak için telefonlarına ihtiyaçları olacaktır.

İki faktörlü kimlik doğrulama eklemek, bilgisayar korsanlarının WordPress şifrenizi kırabilseler bile erişim elde etmelerini zorlaştıracaktır.

Adım adım ayrıntılı talimatlar için WordPress’te iki faktörlü kimlik doğrulamanın nasıl ekleneceğine ilişkin kılavuzumuza bakın.

5. Benzersiz ve Güçlü Parolalar Kullanın

Parolalar, WordPress sitenize veya e-ticaret mağazanıza erişim sağlamanın anahtarıdır. Tüm hesaplarınız için benzersiz, güçlü parolalar kullanmanız gerekir. Güçlü bir parola sayılar, harfler ve özel karakterlerin birleşiminden oluşur.

Yalnızca WordPress kullanıcı hesaplarınız için değil, FTP istemciniz, web barındırma kontrol paneliniz ve WordPress veritabanınız için de güçlü parolalar kullanmanız önemlidir.

Yeni başlayan birçok kişi bize tüm bu benzersiz şifreleri nasıl hatırlayacağını soruyor. Buna gerek yok. Şifrelerinizi güvenli bir şekilde saklayacak ve sizin için otomatik olarak dolduracak mükemmel şifre yöneticisi uygulamaları mevcuttur.

Daha fazla bilgi edinmek için WordPress için parolaları yönetmenin en iyi yolları hakkındaki yeni başlayanlar kılavuzumuza bakın.

6. Dizin Taramayı Devre Dışı Bırak

Varsayılan olarak, web sunucunuz bir dizin dosyası (index.php veya index.html gibi) bulamadığında, otomatik olarak dizinin içeriğini gösteren bir dizin sayfası görüntüler.

Bir kaba kuvvet saldırısı sırasında, bilgisayar korsanları savunmasız dosyaları aramak için bu şekilde dizin taraması kullanabilir. Bunu düzeltmek için, bir FTP hizmeti kullanarak WordPress .htaccess dosyanızın en altına aşağıdaki satırı eklemeniz gerekir:

Options -Indexes

Daha fazla ayrıntı için WordPress’te dizin taramayı devre dışı bırakma hakkındaki makalemize bakın.

7. Belirli WordPress Klasörlerinde PHP Dosyası Yürütmeyi Devre Dışı Bırakın

Bilgisayar korsanları WordPress klasörlerinize bir PHP betiği yüklemek ve çalıştırmak isteyebilir. WordPress temel olarak PHP ile yazılmıştır, bu da tüm WordPress klasörlerinde bunu devre dışı bırakamayacağınız anlamına gelir.

Ancak, /wp-content/uploads adresinde bulunan WordPress uploads klasörünüz gibi herhangi bir PHP betiğine ihtiyaç duymayan bazı klasörler vardır.

Bilgisayar korsanlarının arka kapı dosyalarını gizlemek için kullandıkları yaygın bir yer olan uploads klasöründe PHP yürütmesini güvenli bir şekilde devre dışı bırakabilirsiniz.

Öncelikle, bilgisayarınızda Not Defteri gibi bir metin düzenleyici açmanız ve aşağıdaki kodu yapıştırmanız gerekir:

<Files *.php>
deny from all
</Files>

Şimdi, bu dosyayı .htaccess olarak kaydedin ve bir FTP istemcisi kullanarak web sitenizdeki /wp-content/uploads/ klasörlerine yükleyin.

8. Bir WordPress Yedekleme Eklentisi Kurun ve Ayarlayın

Yedeklemeler WordPress güvenlik cephaneliğinizdeki en önemli araçtır. Her şey başarısız olursa, yedeklemeler web sitenizi kolayca geri yüklemenizi sağlayacaktır.

Çoğu WordPress barındırma şirketi sınırlı yedekleme seçenekleri sunar. Ancak, bu yedeklemeler garanti edilmez ve kendi yedeklemelerinizi yapmaktan yalnızca siz sorumlu olursunuz.

Otomatik yedeklemeler planlamanıza olanak tanıyan birkaç harika WordPress yedekleme eklentisi vardır.

Duplicator kullanmanızı öneririz. Yeni başlayanlara uygundur ve otomatik yedeklemeleri hızlı bir şekilde kurmanıza ve bunları Google Drive, Dropbox, Amazon S3, One Drive ve daha fazlası gibi uzak konumlarda saklamanıza olanak tanır.

Duplicator ‘ın başlangıç için kullanabileceğiniz ücretsiz bir sürümü de var.

Adım adım talimatlar için WordPress sitenizi Duplicator ile nasıl yedekleyeceğinize dair bu kılavuzu takip edebilirsiniz.

Yukarıda belirtilen tüm ipuçları WordPress sitenizi kaba kuvvet saldırılarına karşı korumanıza yardımcı olacaktır. Daha kapsamlı bir güvenlik kurulumu için, yeni başlayanlar için nihai WordPress güvenlik kılavuzumuzdaki talimatları izlemelisiniz.

Umarız bu makale WordPress sitenizi kaba kuvvet saldırılarına karşı nasıl koruyacağınızı öğrenmenize yardımcı olmuştur. Ayrıca saldırıya uğramış bir WordPress sitesinin nasıl düzeltileceğine ilişkin kılavuzumuza ve en iyi WordPress sürükle-bırak sayfa oluşturucuları için uzman seçimlerimize de göz atmak isteyebilirsiniz.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.