WordPress Brute Force Saldırılarını Önlemenin 8 Yolu

Web'deki sitelerin dörtte biri tarafından güvenilen WordPress, en popüler içerik yönetim sistemlerinden biri olarak kabul edilir. Siteniz WordPress'te mi çalışıyor? Kuşkusuz, bu siteler bilgisayar korsanları ve siber suçlar için cazip hedefler haline geldi.

Uyanık ol! Kötü insanlar ve botlar, eski eklentilerin güvenlik açıkları, yetersiz web barındırma veya eski çekirdek ve tema sürümleri vb. aracılığıyla web sitenize saldırabilir. Bu güvenlik risklerinin yanı sıra, en yaygın ve en yaygın olarak görülen kaba kuvvet saldırılarına da ekstra dikkat etmelisiniz. tehlikeli güvenlik açıkları kaynağı.

Diğer bilgisayar korsanları yazılımdaki güvenlik açıklarına odaklanırken, kaba kuvvet saldırganları sitenize zayıf parolalar aracılığıyla erişmeyi amaçlar.

Tehdidi bulmak ve bu devasa içerik yönetim sistemini güvende tutmak WordPress geliştiricilerinin ve güvenlik araştırmacılarının işidir. Ancak, aynı anda uğraşmaları gereken birçok yön ve sorun vardır. Bu nedenle WordPress site sahiplerinin inisiyatif alması ve web sitelerini de güvence altına alması gerekiyor.

Bu makalede, WordPress sitenizi kaba kuvvet saldırılarından kurtarmanın 8 yolunda size yol göstereceğiz. Başlamadan önce, bazı temel bilgileri aradan çıkaralım.

• Kaba kuvvet saldırısı nedir?
• Kaba kuvvet saldırıları nasıl durdurulur
  • Tüm kullanıcı hesapları için güçlü şifreler belirleyin
  • WordPress'te oturum açma girişimlerini sınırlayın
  • WordPress giriş sayfasına bir CAPTCHA ekleyin
  • WordPress sürümlerinin, eklentilerinin ve temalarının güncellemelerini yükleyin
  • Güvenlik duvarı eklentisi ekleyin
  • 2 faktörlü kimlik doğrulamayı ayarla
  • WordPress yönetici dizininizi koruyun
  • IP ile wp-login.php'ye erişimi sınırlayın

WordPress Brute Force Saldırısı Nedir?

Kaba kuvvet kırma olarak da bilinen WordPress kaba kuvvet saldırısı, web sitenize erişmek için otomatik bir aracın parola deneme yanılma yöntemini ifade eder.

Bilgisayar korsanları, WordPress panonuza erişmek için kaba kuvvet saldırısı kullanabilir. Yönetici alanına indikten sonra verilerinizi çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta sitenizdeki her şeyi kolaylıkla silebilirler.

Aslında, bilgisayar korsanlarının veya botların her şifreyi denemesi ve test etmesi gerektiğinden, bu bilgisayar korsanlığı hilesi bazen zaman alıcı olarak kabul edilir. Parola ne kadar karmaşıksa, doğru girişi girmeleri o kadar uzun sürer.

Kaba kuvvet saldırı türleri

Hibrit Saldırılar (sözlük saldırısı) ve Kimlik Bilgileri Doldurma (kimlik bilgisi geri dönüşümü) dahil olmak üzere 2 ana kaba kuvvet saldırısı türü vardır.

1. Hibrit Saldırı

Hibrit, basit bir işlemle yapılan yaygın bir kaba kuvvet saldırısıdır. Botlar, bir şifre sözlüğünde listelenen tüm olası şifreleri dener. Önce sık kullanılanlarla başlayacaklar ve daha sonra daha uzun olanları deneyecekler. Parolanız “parola”, “p4ssw0rd” veya “123456” gibi görünüyorsa, bir kaba kuvvet botu onu saniyeler içinde kırar.

2. Kimlik Bilgileri Doldurma

Başka bir kaba kuvvet saldırısı türü, sitenize erişmek için diğer veri depolarındaki kullanıcı adlarını ve parolaları yeniden kullanma yöntemini ifade eden kimlik bilgisi doldurma veya kimlik bilgisi geri dönüşümüdür.

Bu yöntem, kullanıcının birden fazla platform veya ağda aynı adı ve parolayı girme alışkanlığına dayanır. Yakın zamanda yapılan bir araştırma, insanların %80'inin şifrelerini neredeyse çevrimiçi platformlarda yeniden kullandığını kanıtlıyor. Parolayı zahmetsizce hatırlayabilseler de, bu, veri ihlaline karşı bir güvenlik açığı oluşturur.

Sitenizin saldırıya uğradığını nasıl anlarsınız

Botlar, WordPress yöneticinize olası tüm kullanıcı adlarını ve şifreleri art arda girdiğinden, günlüğünüzü kontrol ederek bunu kolayca tanıyabilirsiniz. Bu, bir web sitesine kaba kuvvet saldırısı örneğidir:

 116.110.100.209 - - [30/Eylül/2019:07:31:20 -0700] "POST /wp-login.php HTTP/1.1" 302 4477 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) "
116.110.100.209 - - [30/Eylül/2019:07:31:22 -0700] "POST /wp-login.php HTTP/1.1" 302 4479 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) "
116.110.100.209 - - [30/Eylül/2019:07:31:25 -0700] "POST /wp-login.php HTTP/1.1" 302 4487 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) "
116.110.100.209 - - [30/Eylül/2019:07:31:29 -0700] "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6"

116.110.100.209 IP adresinin WordPress kontrol panelinize giriş yapmaya çalıştığı açıktır.

WordPress Brute Force Saldırısı Nasıl Durdurulur

#1 Tüm Kullanıcı Hesapları için Güçlü Parolalar Belirleyin

WordPress sitenize girmek için saldırganların bir kullanıcı adı ve şifre gerektiren bir yönetici giriş ekranından geçmesi gerekir. Botların diğer veri depolarından kullanılan şifreleri tahmin edememesi veya geri dönüştürememesi için her hesabın benzersiz ve güçlü bir şifreye ihtiyacı vardır.

Güçlü bir parola oluşturmak göz korkutucu bir görev gibi görünüyor. Güçlü bir parola, harflerden (hem büyük hem de küçük harf) oluşan en az 8 karakter ve “!”, “$”, “?” gibi özel karakterler içermelidir.

Ayrıca şifreleriniz tahmin edilebilir bir şifre olmamalıdır. Parolanızı özel bilgilerle veya kız arkadaşınız, evcil hayvanınız ve kendi adınız gibi size yakın birinin adıyla belirlemeyin. Çok güçlü bir parola örneği, gerekli tüm öğeleri birleştiren [e-posta korumalı] 'dır: küçük harfler, büyük harfler, sayılar, özel karakterler; ve 8'den fazla karaktere sahiptir.

Tahmin edilmesi zor şifreleri hatırlamanız bazen zor olduğu için bunları not alabilir veya şifre yönetimi uygulamalarında saklayabilirsiniz.

#2 WordPress'te Giriş Denemelerini Sınırlayın

Bu yöntem, kısa bir süre içinde kullanıcı başına WordPress panonuza çok fazla yanlış parola girilmesine izin vermez. Oturum açma girişimi iznine başlamak için Login LockDown eklentisini yüklemeniz gerekir. Eklenti, her başarısız oturum açma girişiminin IP adresini kaydeder ve belirli bir süre içindeki başarısız deneme sayısı ayarladığınızdan daha fazlaysa, geçici olarak engeller.

İlk olarak, WordPress gezinme menünüzde Eklentiler → Yeni Ekle'ye gidin, anahtar kelime kutusunda Login LockDown'ı arayın. Ardından, Yükle ve Etkinleştir düğmelerine tıklayın.

Kurulumun ardından eklenti, WordPress kontrol panelindeki Ayarlar sayfanıza hemen eklenir. Bazı temel ayarları yapmak için Login LockDown'a tıklayın.

• Max Login Retries , bir IP adresinin engelleneceği “Yeniden Deneme Süresi Kısıtlaması” dahilinde başarısız oturum açma girişimlerinin sayısını tanımlar. Varsayılan olarak 3 katıdır.
• Yeniden Deneme Süresi Kısıtlaması (dakika), bir Kilitleme gerçekleşmeden önce başarısız oturum açma girişimlerine izin verilen süreyi tanımlar.
• Kilitleme Süresi (dakika), eklentinin maksimum oturum açma denemelerinden sonra kullanıcıları geçici olarak engelleyeceği süreyi sunar. Eklenti, varsayılan olarak 5 dakika içinde 3 başarısız oturum açma girişiminden sonra 1 saat içinde bir IP'yi kilitler.
• Geçersiz Kullanıcı Adlarını Kilitle seçeneği, kullanıcıların varsayılan olarak geçersiz kullanıcı adlarını denemesine izin vermez.
• Giriş Hatalarını Maskele özelliği, kullanıcıların web sitesine neden giriş yapamadıklarını bilmelerini sağlar. Sebepler şunlar olabilir: geçersiz bir kullanıcı adı girmişler veya doğru kullanıcı adını ama yanlış şifreyi yazmışlar. Seçeneği değiştirerek bu özelliği devre dışı bırakabilirsiniz.

Değişikliklerinizi kaydetmek için Ayarları Güncelle'ye tıklamayı unutmayın.

#3 WordPress Giriş sayfasına bir CAPTCHA ekleyin

Kaba kuvvet saldırılarından etkili bir şekilde kaçınmanın bir başka yolu, WordPress giriş ekranınızda bir captcha uygulamaktır. Bir Captcha'yı manuel olarak eklemeniz mümkün olsa da, bir Captcha eklentisi kurmanız şiddetle tavsiye edilir/dikkate alınmalıdır. Ayrıca temanın function.php dosyasında yapılan değişiklikleri de azaltır.

WordPress deposunda bulunan çok sayıda captcha eklentisi arasında Advanced noCaptcha & Invisible Captcha, yönetici alanınıza botlardan ve otomatik komut dosyalarından erişimi reddetmek için etkili olduğunu kanıtlıyor.

Giriş Kilitleme eklentisine benzer şekilde, Gelişmiş noCaptcha ve Görünmez Captcha, yüklendikten sonra WordPress kenar çubuğunun Ayarlar bölümüne otomatik olarak eklenecektir.

v2 Ben robot değilim onay kutusu , v2 görünmez veya v3 dahil olmak üzere reCaptcha'nın herhangi bir sürümünü seçebilirsiniz. Bunun da ötesinde, captcha'yı görüntüleyebileceğiniz farklı formlar vardır, örneğin Kayıt formu, Kayıp Parola formu veya WooCommerce Checkout formu. Giriş sayfalarına odaklandığımız için, Etkin Formlar seçeneğinin yanındaki Giriş Formu onay kutusunu işaretleyin.

Eklenti Ayarları sayfasında değişikliklerinizi güncellemek için Değişiklikleri Kaydet'e tıklayın.

#4 WordPress Sürümlerinin, Eklentilerinin ve Temalarının Güncellemelerini Yükleyin

Eski WordPress sürümleri, kalan ve bilinen güvenlik açıkları nedeniyle bilgisayar korsanlarının sitenize saldırması için fırsatlardır.

WordPress web sitenizi güncellemek için Kontrol Panelinizin altındaki Güncellemeler'e gidin. Bu sayfada WordPress çekirdeği, eklentileri ve temaları ile ilgili güncelleme bildirimleri bulunmaktadır.

Eklentiler sayfasını ziyaret ederek eklentileri güncelleyebilirsiniz.

En son sürümü etkinleştirmek için her eklentinin altındaki şimdi güncelle bağlantısını tıklamanız yeterlidir. Çok fazla eklenti güncellemesi olması durumunda, Güncelleme Mevcut sekmesine gidin ve tüm güncellemelere aynı anda izin vermek için Eklenti onay kutusunu işaretleyin. Ardından, Toplu İşlemler açılır menüsünden Güncelle'yi seçin.

Bir eklentiyi güncellemeden önce yeni sürüm ayrıntılarını görüntülemek önemlidir. En son sürüm güvenlik güncellemesinden bahsetmediği sürece en az 1 hafta beklemelisiniz. Bu, hataların ve hataların bildirildiği ve düzeltildiği zamandır.

#5 Bir Güvenlik Duvarı Eklentisi Ekle

Saldırganlar bir şifre girdiğinde, sunucunuzda bir yük gerektirir. Bu işlem web sitenizi yavaşlatabilir. Sucuri güvenlik duvarını kurmak, kötü trafiği filtrelemek için iyi bir çözüm olacaktır.

Aralarından seçim yapabileceğiniz iki ana WordPress site güvenlik duvarı türü vardır: Uygulama Seviyesi güvenlik duvarı ve DNS Seviyesi Web Sitesi güvenlik duvarı.

• Uygulama Düzeyi Güvenlik Duvarı : Bu tür güvenlik duvarı eklentisi, WordPress komut dosyalarının çoğunu yüklemeden önce sunucunuza giren trafiği kontrol eder. Sunucu yükünüzü hala etkilediği için, bu kaba kuvvet saldırısına karşı ideal bir yöntem değildir.
• DNS Düzeyinde Web Sitesi Güvenlik Duvarı : Bu tür güvenlik duvarı, site trafiğinizin bulut proxy sunucularına dayalı olarak çalışır. Bu nedenle, ana barındırma sunucunuza yalnızca gerçek trafik gönderilecek ve bu da WordPress hızınızı artıracaktır.

Önde gelen güvenlik duvarı eklentisi olarak kabul edilen Sucuri, DNS düzeyinde güvenlik duvarları, izinsiz giriş, kaba kuvvet önleme ve kötü amaçlı yazılım temizleme hizmetleri sunarak WordPress web sitenize yönelik saldırıları engellemenize olanak tanır.

Eklenti, tüm site trafiğini bulut proxy sunucuları aracılığıyla tarar. Meşru trafik geçirilirken şüpheli ve kötü niyetli trafik engellenir.

Güvenlik duvarı özelliğinin yalnızca Web Sitesi Güvenlik Duvarı hizmetine abone olmanızı gerektiren Sucuri Premium sürümünde mevcut olduğunu lütfen unutmayın.

#6 2 Faktörlü Kimlik Doğrulamayı Ayarlayın

2 faktörlü kimlik doğrulama (2FA) yöntemi, WordPress giriş sayfanıza doğrulama kodu veya tek seferlik şifre gibi ek bir güvenlik katmanı eklemenize olanak tanır. Bu şifre, kullanıcının telefonuna bir metin mesajı ile gönderilecektir.

Google Authenticator, sitenizi ve içeriğinizi 2FA ile korumak için eksiksiz bir çözüm sunar ve sitenize yetkisiz erişimin olmamasını sağlar.

2FA'yı etkinleştirdikten sonra Kullanıcılar → Profiliniz'e gidin ve iki faktörlü seçenekler bölümünü bulun. Zamana Dayalı Tek Kullanımlık Parolayı ( Google Authenticato r) etkinleştirin, ardından doğrulamayı ayarlamak için Seçeneği Görüntüle bağlantısını tıklayın.

Şimdi bir QR kodu göreceksiniz. Telefonunuza Google Authenticator uygulamasını yükleyin ve sitedeki 2FA seçeneğini kullanmak için QR kodunu kameranızla tarayın.

Hesabınızı doğrulamayı bitirdikten sonra, değişikliklerinizi kaydetmek için Profili Güncelle düğmesine basın.

Şu andan itibaren, WordPress kontrol paneline giriş yaparken, önce giriş formuna kullanıcı adı ve şifreyi girmeniz gerekiyor. Ardından telefonunuza SMS ile gelen doğrulama kodunu giriniz.

#7 WordPress Yönetici Dizininizi Koruyun

Yetkisiz kullanıcıların yönetici alanınıza erişmesini önlemek için WordPress yönetici dizininizi parola ile koruyabilirsiniz. Aşağıdaki 5 adımlı kılavuz, bunu nasıl yapacağınızı gösterir:

1. cPanel kontrol panelinize giriş yapın
2. Dizin Gizliliği'ni tıklayın
3. WP–admin dosyasını seçin ve adını seçin
4. Bir kullanıcı adı ve güçlü bir şifre ile bir kullanıcı hesabı oluşturun
5. Değişikliklerinizi kaydedin

WordPress siteniz artık bir şifre ile güvende. Sadece doğru giriş bilgilerine sahip olanlar siteyi ziyaret edebilir.

#8 IP ile wp-login.php'ye Erişimi Sınırlandırın

WordPress yönetici kontrol panelinize yalnızca birkaç kişinin erişmesi gerekiyorsa, wp-login.php'nin bu belirli kullanıcılar dışındaki herkesin erişimini bir .htaccess veya web.config dosyası aracılığıyla engelleyebilirsiniz. Buna IP beyaz listeleri de denir.

Bu yöntemi uygulamak için:

1. IP'm Nedir? aracıyla IP adresinizi arayın.
2. .htaccess adlı düz metin düzenleyicide bir dosya oluşturun ve aşağıdaki kodu ekleyin:

    # wp-login.php'ye erişimi engelle.
   <Dosyalar wp-login.php>
   sipariş reddet, izin ver
   116.110.100.208'den itibaren izin ver
   herkesten inkar
   </Dosyalar>

Daha fazla "izin ver" satırı ekleyerek birden fazla IP adresinin WordPress yönetici panonuza erişmesine izin vermeniz mümkündür, örneğin:

 # wp-login.php'ye erişimi engelle.
<Dosyalar wp-login.php>
sipariş reddet, izin ver
116.110.100.208'den itibaren izin ver
69.89.31.226'dan itibaren izin ver
172.16.254.1'den itibaren izin ver
herkesten inkar
</Dosyalar>

116.110.100.208, 69.89.31.226 ve 172.16.254.1'i erişim vermeyi düşündüğünüz IP adresleriyle değiştirmeyi unutmayın. Artık yalnızca listelenen IP'lere sahip olanlar WordPress pano ekranınıza erişebilir.

Kaba Kuvvet Saldırılarından Acı Çekmeyi Durdurun!

WordPress kaba kuvvet saldırıları durdurulamaz ve herhangi bir web sitesinde herhangi bir zamanda gerçekleşebilir. Bu tehlikeli güvenlik riskinden kaynaklanan sonuçları düzeltmek için geçici bir çözüm aramak yerine, sitenizi oluşturmaya başladığınızda zamandan ve emekten tasarruf etmek için bunu önlemenin etkili bir yolunu düşünün.

Teknoloji konusunda bilgili veya sıradan bir insan olsanız bile, yukarıdaki yöntemler WordPress sitenize yapılan kaba kuvvet saldırılarını kolaylıkla durdurmanıza yardımcı olabilir.

Yetkisiz kişilerden gelen kaba kuvvet saldırılarını nasıl engelleyeceğiniz konusunda herhangi bir sorunuz varsa lütfen aşağıya bir yorum bırakın.