WordPress Web Sitenizi Brute Force Saldırılarından Nasıl Korursunuz?

admin Haberler Leave a comment 7 Views


WordPress'i kurmuş olan her kişi kaba kuvvet saldırıları tehlikesi altındadır. Aslında, kaba kuvvet saldırıları artıyor ve muhtemelen daha da kötüleşecekler. Peki bu sizin için ne anlama geliyor? WordPress kullanmayı bırakıp diğer CMS seçeneklerinden birine geçmeniz mi gerekiyor? Tanrım, hayır! Bu, WordPress web sitenizi korumak için bir güvenlik planına ihtiyacınız olduğu anlamına gelir. Birkaç önlemle gösterge tablonuz gerçek bir kale olacak ve Süpermen bile zorla içeri giremez.

Kaba Kuvvet Saldırılarına Karşı Resmi Öneriler

Kaba kuvvet saldırıları oldukça yaygın olduğundan, yalnızca WordPress Kodeksinin izlemeniz için öneriler ve en iyi uygulamalara sahip olması mantıklıdır. Bu listeye aşina olmanızı ve kendi güvenliğiniz için dikkate almanızı şiddetle tavsiye ederiz. Hem kullanıcı tabanlı korumalar hem de sunucunuz için seçenekler sunarlar. Hepsini okumak için zaman ayırmaya değer.

Ne yapabilirsin

Güvenli bir WordPress web sitesi kurmak için yapabileceğiniz çok şey var. Sizi koruyan eklentiler var ve kaba kuvvet saldırıları tarafından hedef alınsanız bile güvende olacağınızdan emin olmak için oluşturabileceğiniz iyi alışkanlıklar var.

Kullanıcı Adı Olarak 'Yönetici' Kullanmayın

Bunu söylemeye gerek yok ama yine de söylenmesi gerekiyor. Kullanıcı adı olarak 'admin' kullanmayın . Yapması kolay ve eskiden oldukça yaygın bir uygulamaydı. Artık değil. Bu nedenle, WP'yi kurarken, yönetici kullanıcınız olarak hemen hemen başka bir ad (alan adınızın veya web sitesi başlığınızın dışında) kullanın.

Sitenizde zaten bir kullanıcı olarak yöneticiniz varsa, bunu değiştirin . Gerçekten ne olduğu önemli değil, ama onu değiştirmen gerekiyor. Kullanıcıyı Düzenle bölümünün söylediklerine rağmen, kullanıcı adlarını değiştirebilirsiniz. Bir eklenti kullanabilir veya WordPress veritabanınızı düzenleyebilirsiniz (düşündüğünüzden daha kolaydır).

Güçlü Parolalar Kullanın

Bunun yeterince söylendiğini hissediyorum, o yüzden oyalanmayacağım. Parolanız olarak parolayı veya parola123'ü kullanmayın. Seçeneğiniz varsa, Rastgele Parola Oluştur düğmesini kullanın. Force Strong Password eklentisini yükleyin, böylece sitenize kaydolan herkes güvende olur, sadece siz değil. Eğer en iyi uygulamaları takip bile Çünkü o değil ortalama herkes yapar veya irade yok.

Ayrıca rastgeleliğe ayak uydurmak için LastPass veya 1Password gibi ayrı bir şifre kasası öneriyoruz.

Bir Eklenti ile Girişinizi /wp-admin'den Uzaklaştırın

URL'nizi birden çok yolla değiştirebilirsiniz, ancak WordPress'teki hemen hemen her şey gibi, bu da bir eklenti kullanmak veya kodu manuel olarak düzenlemekten ibarettir.

Varsayılan olarak, hepimiz /wp-admin adresinden WordPress'e giriş yaparız. Ve iş kaba kuvvet saldırılarına gelince, bu onların ilk saldırısı. Kapı yoksa zorla içeri girmeye çalışamazlar, değil mi? Giriş URL'nizi /wp-admin ' den uzaklaştırarak, esasen saldırganlardan saklanıyorsunuz. WP panik odanızın tutarı budur.

Daha iyi eklentilerden ikisi Loginizer ve WPS Hide Login'dir. Loginizer, bu URL'yi taşımaktan çok daha fazla işlevselliğe sahip olsa da, WPS Hide Login bir şey yapar ve bunu iyi yapar. Her şey, hangisinin daha iyi çalıştığına ilişkin kurulumunuza bağlıdır. Ayrıca diğer seçenekler için yazımıza da göz atabilirsiniz.

Ek olarak, /login veya /admin veya orijinaline benzer bir şey kullanmak muhtemelen iyi bir fikir değildir. Sitenize özel olabilecek veya /employees veya /staff gibi bir şey düşünün. Bunlar yaygın kelimeler olsa da, kaba kuvvet botları muhtemelen onları vurmak için programlanmamıştır.

Girişinizi Manuel Olarak /wp-admin'den Uzaklaştırın

Eklenti kullanımını minimumda tutmayı tercih eden bir kullanıcıysanız, URL'yi elle de değiştirebilirsiniz. Biraz daha ilgili, ama gerçekten o kadar karmaşık değil. Süreci sizin için burada kesiyoruz. wp-config.php ve .htaccess dosyanız gibi PHP dosyalarını düzenleme konusunda rahat olmanız gerekir.

Bu Yığın Taşması başlığında ve bu WordPress.org gönderisinde görebileceğiniz gibi, bunu başarmanın birden fazla yolu vardır.

İki Faktörlü Kimlik Doğrulamayı Kullan

İki faktörlü kimlik doğrulama (2FA), bugünlerde gerçekten güvenli bir çevrimiçi deneyim için neredeyse gerekli. Temel olarak, 2FA, benzersiz bir kod girerek veya yalnızca size gönderilen benzersiz bir bağlantıya tıklayarak oturum açmaya çalıştığınızı doğrulamanıza bağlıdır. Belki e-posta, metin veya hatta bir anahtarlık aracılığıyla olabilir. Bu ikinci faktör (ilk kullanıcı adı/şifre) sizi siz olarak doğrular.

Neyse ki WordPress 2FA eklentileri istemiyor ve gerçekten harika seçenekleriniz var. En büyük güvenlik eklentilerinden ikisi, her ikisi de şiddetle tavsiye edilen kimlik doğrulama eklentileri çıkardı. Premium bir WordFence kullanıcısıysanız, eklentileri aracılığıyla kimlik doğrulaması alabilirsiniz (2FA, ayarlarda bir sekmedir). UpdraftPlus'ın iki oturum açma eklentisi vardır: Keyy, parolasız bir kimlik doğrulayıcı (bunu kullandıysanız Clef gibi) ve uygun şekilde adlandırılmış İki Faktörlü Kimlik Doğrulama. Ek olarak yukarıda bahsettiğim Loginizer eklentisi Authy ve Google Authenticator gibi uygulamalar üzerinden 2FA da sunuyor (premium kullanıcılar için).

Giriş Denemelerini Sınırla

Kaba kuvvet saldırılarının WordPress'e karşı bu kadar etkili olmasının nedeni, giriş denemelerinin varsayılan olarak sınırsız olmasıdır. Şifreyi defalarca yanlış girerek asla kilitlenmezsiniz. Bu nedenle kaba kuvvet, erişim sağlamanın etkili bir yoludur – kafalarını yeterince kez duvara vururlarsa, sonunda duvarda bir delik açarlar. Herhangi birinin oturum açma girişiminde bulunma sayısını sınırlayarak, saldırının yükünü etkili bir şekilde savuşturursunuz. Her şeyi değil, ancak sitenizin güvenliğinin ihlal edilmesi ve kötü amaçlı yazılım bulaşması olasılığını en aza indirirsiniz.

Bunu yapmak için en popüler eklenti Giriş Denemelerini Sınırla'dır ve bu seçeneği WordFence veya Loginizer aracılığıyla da alabilirsiniz. Veya herhangi bir sayıda başka güvenlik eklentisi. Bunların kurulumu o kadar kolay ki, birinin etkinleştirilmemesi için hiçbir neden yok.

Kullanılmayan WordPress Kurulumlarını Sil

Bunun suçlusu benim. Bunun suçlusu sensin. Hemen hemen herkes her yerde bundan suçludur. WordPress'i sunucularımıza sadece oyun oynamak, bir eklentiyi test etmek veya başka bir belirsiz, tek seferlik bir amaç için kurduk ve sonra o siteye bir daha asla dokunmadık. Belki de birincil alanınızın (örneğin, 1kdnvrNK033r2mk.yourdomain.com) gerçekten garip, karmaşık bir alt alanında oturuyor. Mesele şu ki , hala orada oturuyor . Kullanmıyor olsanız bile, canlı bir WordPress sitesidir.

Ve kaba kuvvet saldırganları bunların peşinde. Genellikle güvenlik eklentilerinden yoksundurlar, parolalar güçlü değildir ve kullanıcı adları varsayılandan değiştirilmemiştir. Ve onlar hakkında hiçbir gerçek bilgiye sahip olmasalar da, bilgisayar korsanlarına ana makinenize ve sunucularınıza erişim sağlarlar. Ve bu kötü bir mojo.

Bu nedenle, bir test sitesine ihtiyacınız olduğunda, daha sonra silin veya yerel bir geliştirme ortamı kullanın. Aksi takdirde, sırtınıza bir hedef çizmiş olursunuz.

Güvenlik Eklentileri

Tüm bunları göz önünde bulundurarak, genel bir WordPress güvenlik eklentisi de çalıştırıyor olmalısınız. Bunlar, eklentinin kendisine bağlı olarak birçok farklı şeyi içerecektir, ancak genel olarak, kötü amaçlı yazılım taramaları, oturum açma koruması, 2FA, web uygulaması güvenlik duvarları, dosya onarımları, yedeklemeler, spam filtreleri, IP beyaz ve kara listeleri ve çok daha fazlasını alacaksınız. daha fazla. Orada gerçekten şaşırtıcı bazı ücretsiz seçeneklere (çoğu insan için yeterince iyi olan) ve ayrıca bazı düpedüz şaşırtıcı premium tekliflere erişimimiz var.

  • Loginizer
  • Kötü Amaçlı Güvenlik
  • Sucuri (Sucuri'ye ayrıntılı genel bakışımız)
  • WordFence (WordFence'e ayrıntılı genel bakışımız)
  • iThemes Güvenliği
  • Jetpack (veya VaultPress)
  • Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı

Son kurulum kararı size kalmış olsa da, bir güvenlik eklentisi kurmanız zorunludur. Herkesin taraf olduğu bir tane vardır ve sonuçta önemli olan hangisini kurduğunuz değil, bir tane kurmuş olmanızdır.

Dışarıda Güvende Olun

İnternette kaba kuvvet saldırılarının ve genel kötü davranışların artmasıyla dürüst olmak gerekirse yeterince dikkatli olamazsınız. Yukarıda listelenen eklentilerden herhangi biri, yukarıda özetlenen en iyi uygulamalarla (ve Codex'te listelenen ek uygulamalarla) birleştirildiğinde sizi bilgisayar korsanlarından ve botnetlerden koruyabilir. Başınızı omuzlarınızın üzerinde tutun, gözlerinizi açık ve parolalarınızı güçlü tutun ve bu kaba kuvvet saldırıları sitenizin zırhını bile delemeyecek.

WordPress sitelerinizi artan kaba kuvvet saldırıları tehdidinden korumak için ne kullanıyorsunuz?

Makale özellikli görsel phungatanee / Shutterstock.com

Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

Tags

Check Also

Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by WordPress | Designed by TieLabs
© Copyright 2026, All Rights Reserved