WordPress, güçlü özellikler ve güvenli bir kod tabanı sunduğu için dünyanın en popüler web sitesi oluşturucularından biridir. Ancak bu popülerlik onu DDoS saldırıları için bir hedef haline getirmektedir.
Hackerlar DDoS saldırılarını web sitelerini yavaşlatmak ve kullanıcılar için erişilemez hale getirmek için kullanırlar. Bu saldırılar hem küçük hem de büyük web sitelerini hedef alabilir. Bir DDoS saldırısının sonuçları ağır olabilir; gelir kaybı, itibar zedelenmesi ve ziyaretçilerin hayal kırıklığına uğramasıyla sonuçlanabilir.
WPBeginner bu saldırıların birçoğunun hedefi oldu ve riski en aza indirmek ve web sitemizi güvende tutmak için nasıl adımlar atacağımızı öğrendik. WordPress kullanan küçük bir işletme web sitesinin sınırlı kaynaklarla bu tür DDoS saldırılarını nasıl önleyebileceğini merak ediyor olabilirsiniz.
Bu kılavuz size WordPress’te DDoS saldırılarını nasıl önleyeceğinizi ve durduracağınızı göstererek web sitenizin güvenliğini saldırılara karşı tam bir profesyonel gibi yönetmenizi sağlayacak.
DDoS Saldırısı Nedir?
DDoS (Distributed Denial of Service), bir WordPress barındırma sunucusundan veri göndermek veya talep etmek için güvenliği ihlal edilmiş bilgisayarları ve cihazları kullanan bir siber saldırı türüdür. Bu taleplerin amacı hedeflenen sunucuyu yavaşlatmak ve sonunda çökertmektir.
DDoS saldırıları DoS (Denial of Service) saldırılarından evrimleşmiştir. Bir DoS saldırısından farklı olarak, farklı bölgelere yayılmış birçok tehlikeye atılmış makine veya sunucudan yararlanırlar.
Bu tehlikeye atılmış makineler bazen botnet olarak adlandırılan bir ağ oluşturur. Etkilenen her makine bir bot gibi davranır ve hedeflenen sisteme veya sunucuya saldırılar başlatır. Bu, bir süre fark edilmemelerini ve engellenmeden önce maksimum hasara neden olmalarını sağlar.
En büyük internet şirketleri bile DDoS saldırılarına karşı savunmasızdır.
2018 yılında, popüler bir kod barındırma platformu olan GitHub, sunucularına saniyede 1,3 terabayt trafik gönderen büyük bir DDoS saldırısına tanık oldu.
2016’da DYN’e (bir DNS hizmet sağlayıcısı) yapılan meşhur saldırıyı da hatırlayabilirsiniz. Bu saldırı Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit ve binlerce diğer web sitesi gibi birçok popüler web sitesini etkilediği için dünya çapında haberlere konu olmuştu.
DDoS SSS
İşte DDoS saldırıları hakkında sıkça sorulan soruların bazı yanıtları.
DDoS Saldırıları Neden Olur?
DDoS saldırılarının arkasında çeşitli motivasyonlar vardır. İşte bazı yaygın olanlar:
- Teknik açıdan bilgili ve canı sıkılan insanlar bunu maceralı buluyor
- Siyasi bir amaç güden kişi ve gruplar
- Belirli bir ülke veya bölgedeki web sitelerini ve hizmetleri hedefleyen gruplar
- Belirli bir işletmeye veya hizmet sağlayıcıya maddi zarar vermek amacıyla hedefli saldırılar
- Fidye parası toplamak için şantaj
Kaba Kuvvet Saldırısı ile DDoS Saldırısı Arasındaki Fark Nedir?
Kaba kuvvet saldırıları, parolaları tahmin ederek veya rastgele kombinasyonlar deneyerek bir sisteme yetkisiz erişim elde etmeye çalışır.
DDoS saldırıları tamamen hedeflenen sistemi çökertmek, yavaşlatmak veya erişilemez hale getirmek için kullanılır.
Daha fazla ayrıntı için WordPress’te kaba kuvvet saldırılarının nasıl engelleneceğine ilişkin kılavuzumuza bakın.
DDoS Saldırısı Ne Gibi Zararlara Neden Olabilir?
DDoS saldırıları bir web sitesinin performansını düşürebilir veya erişilemez hale getirebilir. Bu da kötü bir kullanıcı deneyimine, iş kaybına ve binlerce doları bulabilen saldırıyı hafifletme maliyetlerine neden olur.
İşte bu maliyetlerin bir dökümü:
- Web sitesine erişilememesi nedeniyle iş kaybı
- Hizmet kesintisiyle ilgili soruları yanıtlamak için müşteri desteği maliyeti
- Güvenlik hizmetleri veya desteği kiralayarak saldırıyı hafifletmenin maliyeti
- En büyük maliyet kötü kullanıcı deneyimi ve marka itibarıdır
WordPress’te DDoS Saldırılarını Nasıl Durdurabilir ve Önleyebilirim?
DDoS saldırıları akıllıca gizlenebilir ve başa çıkması zor olabilir. Ancak, bazı temel güvenlik uygulamaları ile DDoS saldırılarının WordPress web sitenizi etkilemesini önleyebilir ve kolayca durdurabilirsiniz.
İşte sitenize yönelik DDoS saldırılarını önlemek ve durdurmak için atmanız gereken adımlar:
DDoS / Kaba Kuvvet Saldırısı Dikeylerini Kaldırın
WordPress ile ilgili en iyi şey son derece esnek olmasıdır. WordPress, üçüncü taraf eklentilerin ve araçların web sitenize entegre olmasına ve yeni özellikler eklemesine izin verir.
Bunu yapmak için WordPress, programcıların kullanımına çeşitli API’ler sunar. Bu API’ler, üçüncü taraf WordPress eklentilerinin ve hizmetlerinin WordPress ile etkileşime girebileceği yöntemlerdir.
Ancak bu API’lerden bazıları bir DDoS saldırısı sırasında tonlarca istek gönderilerek istismar edilebilir. Bu istekleri azaltmak için bunları güvenli bir şekilde devre dışı bırakabilirsiniz.
WordPress’te XML RPC’yi devre dışı bırakma
XML-RPC, üçüncü taraf uygulamaların WordPress web sitenizle etkileşime girmesini sağlar. Örneğin, mobil cihazınızda WordPress uygulamasını kullanmak için XML-RPC’ye ihtiyacınız vardır.
Web sitelerini çalıştırmak için mobil uygulamayı kullanmayan kullanıcıların büyük çoğunluğu gibiyseniz, sitenizin .htaccess dosyasına aşağıdaki kodu ekleyerek XML-RPC’yi devre dışı bırakabilirsiniz:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Alternatif yöntemler için WordPress’te XML-RPC’nin nasıl kolayca devre dışı bırakılacağına ilişkin kılavuzumuza bakın.
WordPress’te REST API’yi Devre Dışı Bırakma
WordPress JSON REST API, eklentilerin ve araçların WordPress verilerine erişmesine, içeriği güncellemesine ve/veya hatta silmesine olanak tanır. WordPress’te REST API’yi nasıl devre dışı bırakabileceğiniz aşağıda açıklanmıştır.
WPCode eklentisini kullanmanızı öneririz. Bu, REST API’yi yalnızca birkaç tıklamayla devre dışı bırakmanızı sağlayacak en iyi kod parçacıkları eklentisidir.
Daha fazla bilgi için lütfen WordPress’te JSON REST API’nin nasıl devre dışı bırakılacağına ilişkin kılavuzumuza bakın.
Alternatif olarak, WP Rest API eklentisini devre dışı bırakabilirsiniz. Eklenti kutudan çıkar çıkmaz çalışır ve oturum açmamış tüm kullanıcılar için REST API’yi devre dışı bırakır.
Bir WAF (Web Sitesi Uygulama Güvenlik Duvarı) etkinleştirin
REST API ve XML-RPC gibi saldırı vektörlerini devre dışı bırakmak DDoS saldırılarına karşı sınırlı koruma sağlar. Web siteniz hala normal HTTP isteklerine karşı savunmasızdır.
Kötü makine IP’lerini yakalamaya çalışarak ve bunları manuel olarak engelleyerek küçük bir DDoS saldırısını hafifletebilirsiniz, ancak bu yaklaşım büyük bir saldırıyla uğraşırken daha az etkilidir.
Şüpheli istekleri engellemenin en kolay yolu bir web sitesi uygulama güvenlik duvarını etkinleştirmektir.
Bir web sitesi uygulaması güvenlik duvarı, web siteniz ile gelen tüm trafik arasında bir proxy görevi görür. Tüm şüpheli istekleri yakalamak ve web sitesi sunucunuza ulaşmadan önce engellemek için akıllı bir algoritma kullanır.
En iyi WordPress güvenlik eklentisi ve web sitesi güvenlik duvarı olduğu için Sucuri kullanmanızı öneririz. DNS seviyesinde çalışır, bu da bir DDoS saldırısını web sitenize bir istekte bulunmadan önce yakalayabileceği anlamına gelir.
Sucuri için fiyatlandırma yıllık 199,99$’dan başlıyor.
WPBeginner’da Sucuri kullanıyoruz. Web sitemize yapılan yüz binlerce saldırıyı engellemeye nasıl yardımcı olduklarına dair vaka çalışmamıza bakın.
Alternatif olarak Cloudflare kullanabilirsiniz. Ancak Cloudflare’in ücretsiz hizmeti yalnızca sınırlı DDoS koruması sağlar. Katman 7 DDoS koruması için en azından iş planlarına kaydolmanız gerekir, bu da aylık yaklaşık 200 ABD doları tutarındadır.
Ayrıntılı bir yan yana karşılaştırma için Sucuri vs. Cloudflare makalemize bakın.
Not: Uygulama düzeyinde çalışan Web Sitesi Uygulama Güvenlik Duvarları (WAF’lar) DDoS saldırısı sırasında daha az etkilidir. Trafiği web sunucunuza ulaştıktan sonra engellerler, bu nedenle genel web sitesi performansınızı etkilemeye devam eder.
Kaba Kuvvet veya DDoS Saldırısı Olup Olmadığını Belirleyin
Hem kaba kuvvet hem de DDoS saldırıları sunucu kaynaklarını yoğun bir şekilde kullanır, bu da belirtilerinin oldukça benzer olduğu anlamına gelir. Web siteniz yavaşlar ve çökebilir.
Sucuri eklentisinin giriş raporlarına bakarak bunun bir kaba kuvvet saldırısı mı yoksa bir DDoS saldırısı mı olduğunu kolayca öğrenebilirsiniz.
Ücretsiz Sucuri eklentisini kurun ve etkinleştirin ve ardından Sucuri Security ” Son Girişler sayfasına gidin.
Çok sayıda rastgele giriş isteği görüyorsanız, bu wp-admin’inizin bir kaba kuvvet saldırısı altında olduğu anlamına gelir. Bunu durdurmak için WordPress’te kaba kuvvet saldırılarının nasıl engelleneceğine ilişkin kılavuzumuza bakabilirsiniz.
DDoS Saldırısı Sırasında Yapılması Gerekenler
DDoS saldırıları, bir web uygulaması güvenlik duvarınız ve diğer korumalarınız olsa bile gerçekleşebilir. CloudFlare ve Sucuri gibi şirketler bu saldırılarla düzenli olarak uğraşırlar ve çoğu zaman bunları kolayca azaltabildikleri için asla duymazsınız.
Ancak bazı durumlarda, bu saldırılar büyük olduğunda, yine de sizi etkileyebilir. Bu durumda, DDoS saldırısı sırasında ve sonrasında ortaya çıkabilecek sorunları hafifletmek için hazırlıklı olmak en iyisidir.
Aşağıda bir DDoS saldırısının etkisini en aza indirmek için yapabileceğiniz birkaç şey yer almaktadır.
1. Ekip Üyelerinizi Uyarın
Eğer bir ekibiniz varsa, iş arkadaşlarınızı konu hakkında bilgilendirmeniz gerekir.
Bu, müşteri destek sorgularına hazırlanmalarına, olası sorunlara dikkat etmelerine ve saldırı sırasında veya sonrasında yardımcı olmalarına yardımcı olacaktır.
2. Müşterileri Rahatsızlık Hakkında Bilgilendirin
Bir DDoS saldırısı web sitenizdeki kullanıcı deneyimini etkileyebilir. Bir WooCommerce mağazası işletiyorsanız, müşterileriniz sipariş veremeyebilir veya hesaplarına giriş yapamayabilir.
Sosyal medya hesaplarınız üzerinden web sitenizin teknik sorunlar yaşadığını ve her şeyin yakında normale döneceğini duyurabilirsiniz.
Saldırı büyükse, müşterilerinizle iletişim kurmak için e-posta pazarlama hizmetinizi de kullanabilir ve onlardan sosyal medya güncellemelerinizi takip etmelerini isteyebilirsiniz.
VIP müşterileriniz varsa, bireysel telefon görüşmeleri yapmak ve hizmetleri eski haline getirmek için nasıl çalıştığınızı onlara bildirmek için iş telefonu hizmetinizi kullanmak isteyebilirsiniz.
Bu zor zamanlarda iletişim, markanızın itibarını güçlü tutma konusunda büyük bir fark yaratır.
3. Hosting ve Güvenlik Desteği ile İletişime Geçin
WordPress barındırma sağlayıcınızla iletişime geçin. Sitenize yapılan saldırı, sistemlerini hedef alan daha büyük bir saldırının parçası olabilir. Bu durumda, size durumla ilgili en son güncellemeleri sağlayabileceklerdir.
Güvenlik duvarı hizmetinizle iletişime geçin ve web sitenizin bir DDoS saldırısı altında olduğunu bildirin. Durumu daha da hızlı bir şekilde hafifletebilir ve size daha fazla bilgi sağlayabilirler.
Sucuri gibi güvenlik duvarı sağlayıcıları ile ayarlarınızı ‘Paranoid Mod’ olarak da ayarlayabilirsiniz, bu da birçok isteği engellemeye ve web sitenizi normal kullanıcılar için erişilebilir hale getirmeye yardımcı olur.
WordPress Web Sitenizi Nasıl Güvende Tutabilirsiniz?
WordPress kutudan çıktığı haliyle oldukça güvenlidir. Ancak, dünyanın en popüler web sitesi oluşturucusu olarak, genellikle bilgisayar korsanları tarafından hedef alınmaktadır.
Neyse ki, web sitenizi daha da güvenli hale getirmek için uygulayabileceğiniz birçok en iyi güvenlik uygulaması vardır.
Yeni başlayanlar için adım adım eksiksiz bir WordPress güvenlik kılavuzu derledik. Web sitenizi ve verilerini yaygın tehditlere karşı korumak için en iyi WordPress güvenlik ayarlarında size yol gösterecektir.
WordPress güvenliğinizi artırmakla ilgili diğer bazı makaleleri de görmek isteyebilirsiniz:
- WordPress Güvenlik Denetimi Nasıl Yapılır (Eksiksiz Kontrol Listesi)
- Sitenizi Korumak için En İyi WordPress Güvenlik Eklentileri (Karşılaştırmalı)
- Kötü Amaçlı Yazılımları ve Hack’leri Tespit Etmek için En İyi WordPress Güvenlik Tarayıcıları
- WordPress Sitenizi Potansiyel Olarak Kötü Amaçlı Kodlara Karşı Tarama
- WordPress Sitelerinin Hacklenmesinin En Önemli Nedenleri (ve Nasıl Önlenir)
- WordPress Sitenizi Brute Force Saldırılarından Nasıl Korursunuz?
- Saldırıya Uğramış Bir WordPress Sitesindeki Arka Kapı Nasıl Bulunur ve Düzeltilir
- Güvenlik Denetim Günlükleri ile WordPress’te Kullanıcı Etkinliği Nasıl İzlenir?
- WordPress’te HTTP Güvenlik Başlıkları Nasıl Eklenir (Başlangıç Kılavuzu)
Umarız bu makale WordPress’te DDoS saldırısını nasıl engelleyeceğinizi ve önleyeceğinizi öğrenmenize yardımcı olmuştur. Ayrıca WordPress SQL enjeksiyon saldırılarının nasıl önleneceğine ilişkin kılavuzumuzu ve düzenli olarak gerçekleştirilmesi gereken önemli WordPress bakım görevlerine ilişkin temel kontrol listemizi de görmek isteyebilirsiniz.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Mrteesurez
Helpful article, I have learnt and understood what DDoS attack is and how to stop and prevent them on website but how can a some say whether it’s a brutal force or DDoS attack when he has not been using any firewall plugin ?
WPBeginner Support
Your hosting provider can help narrow down what type of attack was affecting your site.
Yönetici
Jiří Vaněk
Currently, I dare to say that an excellent and free protection against DDoS attacks is Cloudflare. The DNS A record is hidden behind a proxy DNS, so the attack is mostly directed not at the target server but at the Cloudflare server. Cloudflare then effectively filters out the DDoS attack. For me, currently one of the best solutions available.
Prabuddh
Disable XML RPC in WordPress Code is wrong,
The code ends with but you ended with which gives an error, Please solve this.
Thanks
WPBeginner Support
We di bit see your recommendations in your comment but we did find a typo and it should be fixed
Yönetici
Mohamad EL-Wakeel
great articles, but would you make one as comparison between
DDoS Attack & Brute Force Attack, and how to detect both.
Thanks.