WordPress sitenizi kaba kuvvet saldırılarına karşı korumak mı istiyorsunuz?
Bir kaba kuvvet saldırısı web sitenizi yavaşlatabilir, erişilemez hale getirebilir ve hatta web sitenize kötü amaçlı yazılım yüklemek için şifrelerinizi kırabilir.
Bu makalede, WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınızı göstereceğiz.
Kaba Kuvvet Saldırısı Nedir?
Kaba kuvvet saldırısı, bir web sitesine, bir ağa veya bir bilgisayar sistemine girmek için deneme yanılma yöntemini kullanan bir bilgisayar korsanlığı yöntemidir.
En yaygın kaba kuvvet saldırısı türü şifre tahminidir. Bilgisayar korsanları, web sitenize erişim sağlayabilmek için giriş bilgilerinizi tahmin etmeye devam eden otomatik bir yazılım kullanırlar.
Bu otomatik bilgisayar korsanlığı araçları ayrıca farklı IP adresleri ve konumlar kullanarak kendilerini gizleyebilir, bu da şüpheli faaliyetlerin tespit edilmesini ve engellenmesini zorlaştırır.
Başarılı bir kaba kuvvet saldırısı, bilgisayar korsanlarına web sitenizin yönetici alanına erişim sağlayabilir. Kötü amaçlı yazılım yükleyebilir, kullanıcı bilgilerini çalabilir ve sitenizdeki her şeyi silebilirler.
Başarısız kaba kuvvet saldırıları bile WordPress barındırma sunucularınıza çok fazla istek göndererek, web sitenizi yavaşlatarak veya hatta tamamen çökerterek hasara yol açabilir.
Bununla birlikte, WordPress web sitenizi brute-force saldırılarından nasıl koruyacağınıza bir göz atalım. İşte izleyeceğimiz adımlar:
1. WordPress Güvenlik Duvarı Eklentisi Yükleyin
Kaba kuvvet saldırıları sunucularınıza çok fazla yük bindirir. Başarısız olanlar bile web sitenizi yavaşlatabilir veya sunucuyu tamamen çökertebilir. Bu yüzden sunucunuza ulaşmadan önce onları engellemek önemlidir.
Bunu yapmak için bir web sitesi güvenlik duvarı çözümüne ihtiyacınız olacak. Bir güvenlik duvarı kötü trafiği filtreler ve sitenize erişmesini engeller.
Kullanabileceğiniz iki tür web sitesi güvenlik duvarı vardır:
- Uygulama Seviyesi Güvenlik Duvarları trafiği sunucunuza ulaştığında ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem o kadar verimli değildir çünkü bir kaba kuvvet saldırısı sunucu yükünüzü hala etkileyebilir.
- DNS Seviyesi Web Sitesi Güvenlik Duvarları, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, WordPress hızınızı ve performansınızı artırırken ana web barındırma sunucunuza yalnızca gerçek trafik göndermelerini sağlar.
Sucuri kullanmanızı öneririz. Web sitesi güvenliğinde endüstri lideridirler ve piyasadaki en iyi WordPress güvenlik duvarıdırlar. DNS seviyesinde bir web sitesi güvenlik duvarına sahip olduklarından, bu, tüm web sitesi trafiğinizin kötü trafiğin filtrelendiği proxy’lerinden geçtiği anlamına gelir.
Web sitemizde Sucuri kullanıyoruz ve daha fazla bilgi edinmek için Sucuri incelememizin tamamını okuyabilirsiniz.
2. WordPress Güncellemelerini Yükleyin
Bazı yaygın kaba kuvvet saldırıları, WordPress’in eski sürümlerindeki, popüler WordPress eklentilerindeki veya temalarındaki bilinen güvenlik açıklarını aktif olarak hedef alır.
WordPress çekirdeği ve en popüler WordPress eklentileri açık kaynaklıdır ve güvenlik açıkları genellikle bir güncelleme ile çok hızlı bir şekilde giderilir. Ancak, güncellemeleri yüklemezseniz, web sitenizi bu eski tehditlere karşı savunmasız bırakırsınız.
Mevcut güncellemeleri kontrol etmek için WordPress yönetici alanındaki Dashboard ” Updates sayfasına gitmeniz yeterlidir. Bu sayfa WordPress çekirdeğiniz, eklentileriniz ve temalarınız için tüm güncellemeleri gösterecektir.
Daha fazla ayrıntı için WordPress’i güvenli bir şekilde güncelleme ve WordPress eklentilerini düzgün bir şekilde güncelleme kılavuzlarımıza bakın.
3. WordPress Yönetici Dizinini Koruyun
Bir WordPress sitesine yapılan kaba kuvvet saldırılarının çoğu WordPress yönetici alanına erişmeye çalışmaktadır. WordPress yönetici dizininize sunucu düzeyinde parola koruması ekleyebilirsiniz. Bu, WordPress yönetici alanınıza yetkisiz erişimi engelleyecektir.
WordPress hosting kontrol panelinizde (cPanel) oturum açın ve Dosyalar bölümünün altındaki ‘Dizin Gizliliği’ simgesine tıklayın.
Not: Ekran görüntümüzde Bluehost kullanıyoruz, ancak benzer ayarlar HostGator gibi diğer en iyi hosting şirketlerinde de mevcuttur.
Ardından, wp-admin klasörünü bulmanız gerekir.
Bulduğunuzda, ‘Düzenle’ düğmesine tıklamalısınız.
Sonraki sayfada klasör için güvenlik ayarlarını yapabilirsiniz.
İlk olarak, ‘Bu dizini parola ile koru’ kutusunu işaretlemeniz gerekir. Ardından, korunan dizin için bir ad girebilirsiniz.
Ardından, bir kullanıcı adı ve şifre girmeniz istenecektir.
Bu dizine her erişmeye çalıştığınızda sizden bu bilgiler istenecektir.
Bu bilgileri girdikten sonra, ayarlarınızı kaydetmek için ‘Kaydet’ düğmesine tıklayın.
WordPress yönetici dizininiz artık parola korumalıdır.
WordPress yönetici alanınızı ziyaret ettiğinizde yeni bir oturum açma istemi göreceksiniz.
404 hatasıyla veya çok fazla yönlendirme mesajıyla karşılaşırsanız, WordPress .htaccess dosyanıza aşağıdaki satırı eklemeniz gerekir:
ErrorDocument 401 default
Daha fazla ayrıntı için WordPress yönetici dizinini parola ile koruma hakkındaki makalemize bakın.
4. WordPress’e İki Faktörlü Kimlik Doğrulama Ekleme
İki faktörlü kimlik doğrulama, WordPress giriş ekranınıza ek bir güvenlik katmanı ekler. Kullanıcıların WordPress yönetici alanına erişmek için oturum açma kimlik bilgileriyle birlikte tek seferlik bir parola oluşturmak için telefonlarına ihtiyaçları olacaktır.
İki faktörlü kimlik doğrulama eklemek, bilgisayar korsanlarının WordPress şifrenizi kırabilseler bile erişim elde etmelerini zorlaştıracaktır.
Adım adım ayrıntılı talimatlar için WordPress’te iki faktörlü kimlik doğrulamanın nasıl ekleneceğine ilişkin kılavuzumuza bakın.
5. Benzersiz ve Güçlü Parolalar Kullanın
Parolalar, WordPress sitenize veya e-ticaret mağazanıza erişim sağlamanın anahtarıdır. Tüm hesaplarınız için benzersiz, güçlü parolalar kullanmanız gerekir. Güçlü bir parola sayılar, harfler ve özel karakterlerin birleşiminden oluşur.
Yalnızca WordPress kullanıcı hesaplarınız için değil, FTP istemciniz, web barındırma kontrol paneliniz ve WordPress veritabanınız için de güçlü parolalar kullanmanız önemlidir.
Yeni başlayan birçok kişi bize tüm bu benzersiz şifreleri nasıl hatırlayacağını soruyor. Buna gerek yok. Şifrelerinizi güvenli bir şekilde saklayacak ve sizin için otomatik olarak dolduracak mükemmel şifre yöneticisi uygulamaları mevcuttur.
Daha fazla bilgi edinmek için WordPress için parolaları yönetmenin en iyi yolları hakkındaki yeni başlayanlar kılavuzumuza bakın.
6. Dizin Taramayı Devre Dışı Bırak
Varsayılan olarak, web sunucunuz bir dizin dosyası (index.php veya index.html gibi) bulamadığında, otomatik olarak dizinin içeriğini gösteren bir dizin sayfası görüntüler.
Bir kaba kuvvet saldırısı sırasında, bilgisayar korsanları savunmasız dosyaları aramak için bu şekilde dizin taraması kullanabilir. Bunu düzeltmek için, bir FTP hizmeti kullanarak WordPress .htaccess dosyanızın en altına aşağıdaki satırı eklemeniz gerekir:
Options -Indexes
Daha fazla ayrıntı için WordPress’te dizin taramayı devre dışı bırakma hakkındaki makalemize bakın.
7. Belirli WordPress Klasörlerinde PHP Dosyası Yürütmeyi Devre Dışı Bırakın
Bilgisayar korsanları WordPress klasörlerinize bir PHP betiği yüklemek ve çalıştırmak isteyebilir. WordPress temel olarak PHP ile yazılmıştır, bu da tüm WordPress klasörlerinde bunu devre dışı bırakamayacağınız anlamına gelir.
Ancak, /wp-content/uploads adresinde bulunan WordPress uploads klasörünüz gibi herhangi bir PHP betiğine ihtiyaç duymayan bazı klasörler vardır.
Bilgisayar korsanlarının arka kapı dosyalarını gizlemek için kullandıkları yaygın bir yer olan uploads klasöründe PHP yürütmesini güvenli bir şekilde devre dışı bırakabilirsiniz.
Öncelikle, bilgisayarınızda Not Defteri gibi bir metin düzenleyici açmanız ve aşağıdaki kodu yapıştırmanız gerekir:
<Files *.php>
deny from all
</Files>
Şimdi, bu dosyayı .htaccess olarak kaydedin ve bir FTP istemcisi kullanarak web sitenizdeki /wp-content/uploads/ klasörlerine yükleyin.
8. Bir WordPress Yedekleme Eklentisi Kurun ve Ayarlayın
Yedeklemeler WordPress güvenlik cephaneliğinizdeki en önemli araçtır. Her şey başarısız olursa, yedeklemeler web sitenizi kolayca geri yüklemenizi sağlayacaktır.
Çoğu WordPress barındırma şirketi sınırlı yedekleme seçenekleri sunar. Ancak, bu yedeklemeler garanti edilmez ve kendi yedeklemelerinizi yapmaktan yalnızca siz sorumlu olursunuz.
Otomatik yedeklemeler planlamanıza olanak tanıyan birkaç harika WordPress yedekleme eklentisi vardır.
Duplicator kullanmanızı öneririz. Yeni başlayanlara uygundur ve otomatik yedeklemeleri hızlı bir şekilde kurmanıza ve bunları Google Drive, Dropbox, Amazon S3, One Drive ve daha fazlası gibi uzak konumlarda saklamanıza olanak tanır.
Duplicator ‘ın başlangıç için kullanabileceğiniz ücretsiz bir sürümü de var.
Adım adım talimatlar için WordPress sitenizi Duplicator ile nasıl yedekleyeceğinize dair bu kılavuzu takip edebilirsiniz.
Yukarıda belirtilen tüm ipuçları WordPress sitenizi kaba kuvvet saldırılarına karşı korumanıza yardımcı olacaktır. Daha kapsamlı bir güvenlik kurulumu için, yeni başlayanlar için nihai WordPress güvenlik kılavuzumuzdaki talimatları izlemelisiniz.
Umarız bu makale WordPress sitenizi kaba kuvvet saldırılarına karşı nasıl koruyacağınızı öğrenmenize yardımcı olmuştur. Ayrıca saldırıya uğramış bir WordPress sitesinin nasıl düzeltileceğine ilişkin kılavuzumuza ve en iyi WordPress sürükle-bırak sayfa oluşturucuları için uzman seçimlerimize de göz atmak isteyebilirsiniz.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk says
I noticed that you didn’t include the option to change the URL of the WordPress administration in the list. Is there a reason for that? It’s also one of the very good methods to prevent attacks, as attackers won’t know the URL of the website’s administration.
WPBeginner Support says
We do not recommend that as that can cause problems with plugins and debugging and does not add greatly to the security of a site.
Yönetici
Jiří Vaněk says
Well, you probably have experience with this. I use it on my blog and have never had a problem on all sites. I assumed that changing the URL might make the administration more secure by not knowing the URL for the attacker, but I’ll take your advice.
Moinuddin Waheed says
This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?
WPBeginner Support says
You can use some of the scanner options that we recommend in our article below!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Yönetici
Moinuddin Waheed says
Thanks for the reply and tutorial recommendation.
I am exploring these guides so as to make a successful wordpress websites agency.
I want to make sure that the websites that I make for my clients should be foolproof of security.
Renuga says
HI,
For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.
WPBeginner Support says
If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets
Yönetici
Dreamandu says
I am under the brute force attack right now from different IPs. What can I do to protect my site right now?
WPBeginner Support says
You can use any of the methods in this article to start combating the brute force attack
Yönetici
Chidubem Ezenwa says
Yet another helpful guide. Thanks guys.