Sitenizi WordPress kaba kuvvet saldırılarından nasıl korursunuz?

Bu makaleyi dinle

Kaba kuvvet saldırısı veya (kaba kuvvet saldırısı) WordPress saldırı başarılı olmadan önce bile bastırılır. Birçok site yöneticisi, sunucu kaynaklarının hızla tükendiğini, sitelerinin yanıt vermediğini ve hatta tamamen çöktüğünü ve bunun sonucunda gerçek kullanıcıların yasaklandığını görür. Sorun şu ki, kaba kuvvet botları wp-admin'inize ulaşmaya çalışırken oturum açma sayfasını tıkadığında kendinizi çaresiz hissedebilirsiniz.

Ama çaresiz değilsin. Aynı kullanıcı için, muhtemelen birden çok IP adresinden birden çok başarısız oturum açma girişimi görüyorsanız, doğru yere geldiniz. Bu yazıda, bir WordPress kaba kuvvet saldırısının neye benzediğini ve sitenizi bundan nasıl koruyacağınızı açıklayacağım.

Makalenin içeriği:

• WordPress kaba kuvvet saldırısı nedir?
• Sitenizi WordPress kaba kuvvet saldırılarından nasıl korursunuz?
• WordPress'te Kaba Kuvvet Saldırısının Etkisi
• WordPress yinelemesinin etkilerini ortadan kaldırın
• Siteniz kaba kuvvet saldırılarına karşı savunmasız mı?
• Kaba kuvvet saldırı türleri
• Diğer En İyi Güvenlik Uygulamaları
• Çıktı

WordPress kaba kuvvet saldırısı nedir?

Kaba kuvvet saldırısı wordpress farklı kullanıcı adı ve şifre kombinasyonlarını deneyerek wp-admin'inize yetkisiz erişim sağlama girişimleridir. Bilgisayar korsanları, deneme yanılma yoluyla oturum açma sayfasını sürekli olarak kimlik bilgileriyle bombalayan botlar geliştirdiler.

Botlar genellikle bir dizi sözlük parolası dener ve bu nedenle sözlük saldırıları veya parola tahmin saldırıları olarak da bilinirler. Saldırılar, farklı IP adreslerinden kaynaklanacak ve böylece temel güvenlik önlemlerini atlayacak şekilde yapılandırılabilir. Makalede daha sonra tartışacağım başka kaba kuvvet saldırıları da var.

Bir kaba kuvvet saldırısının amacı, wp-admin'inize erişim elde etmek ve ardından genellikle sitenize kötü amaçlı yazılım yüklemektir.

Sitenizi WordPress kaba kuvvet saldırılarından nasıl korursunuz?

Bir kaba kuvvet saldırısı yaşamak korkutucu, özellikle de onu durdurmak için yapabileceğiniz hiçbir şey yokmuş gibi göründüğü için. Ayrıca saldırının etkileri anında görülür. Çoğu site, hızla tükenen sınırlı sunucu kaynaklarına sahiptir ve genellikle saldırıya uğrayan site tamamen kapanır.

Neyse ki, WordPress kaba kuvvet saldırılarını önlemek için yapabileceğiniz çok şey var. İşte çoğu saldırıyı engelleyecek ve en kötüsünü hafifletecek WordPress kaba kuvvet adımlarının bir listesi.

1. Oturum açma girişimi sayısını sınırlayın

Bir WordPress kaba kuvvet saldırısını durdurmanın en iyi yolu, giriş denemelerinin sayısını sınırlamaktır. Giriş sayfasında çok fazla yanlış şifre girilirse, hesap geçici olarak kilitlenir. Bu, kimlik bilgilerini tahmin etmek için deneme yanılma yöntemini kullandığı için kaba kuvvet botunun etkinliğini engeller. Ayrıca bot birkaç bin kombinasyonu deneyemeyeceği için sunucuya istek gönderilmez ve botun etkinliği için kaynak harcanmaz.

Varsayılan olarak, WordPress sınırsız sayıda oturum açma denemesine izin verir, bu nedenle öncelikle kaba kuvvet saldırılarına karşı hassastır. Güvenlik eklentileri ile oturum açma koruma kısıtlamalarını otomatik olarak etkinleştirebilirsiniz.

Aslında, bir kullanıcı yasal olarak şifresini unuttuysa, kilidi kolayca atlamak için bir captcha çözebilir. Bu nedenle, giriş denemelerini sınırlamak, kaba kuvvet botlarının gerçek kullanıcıları olumsuz etkilemeden sızmasını önler.

2. Kötü ve istenmeyen botları engelleyin

Kaba kuvvet saldırıları neredeyse her zaman botlar tarafından gerçekleştirilir. Botlar, basit bir görevi tekrar tekrar gerçekleştirmek için tasarlanmış küçük programlardır ve bu da onları kaba kuvvet saldırıları için ideal kılar. Bot, bir eşleşme bulana kadar oturum açma sayfasında bir dizi kimlik bilgisini dener.

Ek olarak, tüm web sitesi trafiğinin 25%'den fazlası botlardan gelir, bu nedenle botlara karşı koruma sağlayan birçok güvenlik sistemi vardır. Ancak burada yapılması gereken önemli bir ayrım var: tüm botlar kötü değil. Diğer arama motoru tarayıcıları ve çalışma süresi izleme botları gibi iyi olanlar var.

Sitenize erişebilmelerini istiyorsunuz, bu nedenle yalnızca kötü ve istenmeyen botları akıllı bir şekilde engelleyen bot korumasına sahip olmak önemlidir. All In One WP Security ve Wordfence Security gibi birçok anti-bot eklentisi vardır, ancak bunlar varsayılan olarak Googlebot dahil tüm botları engeller.

3. Bir web uygulaması güvenlik duvarı kurun

Oturum açma koruması, kaba kuvvet saldırılarına karşı koruma sağlarken, güvenlik duvarı her türlü saldırıya karşı koruma sağlar; kaba kuvvet dahil.

Güvenlik duvarları, kötü amaçlı trafiği engellemek için kurallar kullanır ve web sitenizi korumak için çok şey yapar. Ek olarak, güvenlik duvarları tekrarlanan hatalı istekleri engelleyerek kaba kuvvet saldırılarının en ciddi sorunlarından biri olan sunucu kaynakları üzerindeki aşırı yükü hafifletir.

Kaba kuvvet saldırıları genellikle birden çok IP adresinden saldıracak şekilde yapılandırılır ve bu nedenle çoğu güvenlik duvarını atlayabilir. Ancak, bir güvenlik duvarı ile web siteniz küresel fikri mülkiyet korumasının bir parçası haline gelir. Güvenlik duvarı, 153.470'in üzerinde web sitesinde oturum açmış davranışa dayalı olarak hangi IP adreslerinin kötü amaçlı olduğunu öğrenir ve bunlardan gelen trafiği aktif olarak engeller. Bu önlemler, bot sitenizin giriş sayfasını bile hacklemeden önce sitenize gelen kötü trafik miktarını büyük ölçüde azaltır.

4. WordPress'e İki Faktörlü Kimlik Doğrulaması Ekleyin

Kullanıcı adları ve parolalar tahmin edilebilir, dolayısıyla iki faktörlü kimlik doğrulama - hatta çok faktörlü kimlik doğrulama - kullanıcı kimlik doğrulaması için dinamik öğelere sahip olmanın bir yolu olarak ortaya çıkmıştır. İki faktörlü kimlik doğrulamada, OTP veya QR kodu gibi gerçek zamanlı bir oturum açma belirteci kullanıcının cihazına aktarılır. Genellikle 10-15 dakika gibi sınırlı bir kullanım ömrü vardır ve yalnızca o oturum için kullanıcının kimliğini doğrulayabilir.

Oturum açma adı ve parola dışında ek bir belirteci kırmak zordur. Böylece oturum açma sayfasına başka bir güvenlik katmanı ekler. Sitenize iki faktörlü kimlik doğrulamayı kolayca eklemek için WP 2FA gibi bir eklenti yükleyebilirsiniz.

5. Güçlü ve benzersiz parolalar kullanın

En büyük güvenlik açığı, kullanıcının kendisi ve buna bağlı olarak kendisi tarafından belirlenen şifrelerdir. İnsanların hatırlaması kolay parolalar belirleme ve bunları farklı hesaplar için yeniden kullanma (anlaşılabilir) eğilimi nedeniyle, parolalar herhangi bir güvenlik sistemindeki en büyük güvenlik açığıdır. Bunlar aslında iki ayrı ve farklı şifre problemidir.

- İlk olarak, farklı hesaplar için asla şifreleri tekrar kullanmayın. Birçok kaba kuvvet botu, oturum açma sayfalarına saldırmak için veri sızıntısı nedeniyle çalınan parolaları kullanır.

- İkincisi, anladığınız gibi, "şifre" gibi bir şifreyi tahmin etmek çok kolaydır. En az 12 anlamsız karakter kullanın veya daha da iyisi parolanız olarak bir parola kullanın.

Parolanın yeniden kullanılmasını önlemek ve gerektiğinde güçlü parolalar oluşturmak için LastPass veya 1Password gibi bir parola yöneticisi kullanmanızı öneririm. Bir hesabın güvenliğinin ihlal edildiğinden şüpheleniyorsanız, tüm parolaları sıfırlamaya zorlayabilirsiniz.

6. WordPress'te XML-RPC'yi devre dışı bırakın

Bir XML-RPC dosyası, kullanıcıların kimliğini doğrulamanın başka bir yoludur. Diğer bir deyişle, yönetici panelinize erişmenin alternatif bir yoludur, dolayısıyla kaba kuvvet saldırılarına karşı da hassastır. Bu, birçok eklenti veya tema tarafından aktif olarak kullanılmayan, büyük ölçüde eskimiş bir dosyadır. Hala geriye dönük uyumluluk için WordPress'e dahil edilmiştir ve bu nedenle devre dışı bırakılması nispeten güvenlidir.

7. Kullanılmayan kullanıcı hesaplarını düzenli olarak kontrol edin ve silin

Etkin olmayan hesaplar genellikle bilgisayar korsanları tarafından hedef alınır çünkü kullanıcıların hesaplarının saldırıya uğradığını fark etmeme olasılığı vardır. Ayrıca, atıl hesapların parolaları uzun süre aynı kalır, bu da kaba kuvvet uygulamalarını kolaylaştırır.

Bu nedenle, kullanıcı hesaplarını düzenli olarak kontrol edin ve aktif olarak kullanılmayanları silin. Ekstra puan kazanmak için her hesabın, kendi hesabını yönetmek için gereken minimum kullanıcı haklarına sahip olduğundan emin olun. Örneğin herkesi yönetici yapmak pervasızlıktır.

8. WordPress'te Coğrafi Engellemeyi Düşünün

Bir yerden çok fazla bot trafiği görürseniz tüm ülkeyi engelleyebilirsiniz. Ancak, coğrafi engellemeyi kullanırken dikkatli olmanızı tavsiye ederim. Bu, yalnızca konumdan herhangi bir yasal kullanıcı beklemiyorsanız kullanışlıdır.

Ayrıca, iyi botları o bölgeden uzak tutabileceğini unutmayın. Örneğin, Googlebot dünyadaki herhangi bir sunucudan çalışabilir ve siz Googlebot'un kesinlikle sitenize erişmesini istersiniz.

9. Dizin taramayı devre dışı bırakın

Varsayılan olarak, ana WordPress klasörlerinin ve dosyalarının çoğuna tarayıcı aracılığıyla herkes tarafından erişilebilir. Örneğin, tarayıcınızın adres çubuğuna yourwebsite.ru/wp-includes yazabilirsiniz ve klasörün tüm içeriği hemen görünür olacaktır.

Dizin taraması kendi başına bir güvenlik açığı olmasa da, bir site hakkındaki bilgileri açığa çıkarabilir ve bu da güvenlik açıklarından yararlanmak için kullanılabilir.

/wp-content klasörü eklentiler ve temalar içerir ve bir bilgisayar korsanı hangilerinin yüklü olduğunu ve sürüm numaralarını görebilirse, potansiyel olarak güvenlik açıklarını bulabilir ve bunlardan yararlanabilir. Bu, kaba kuvvet saldırısı adı verilen daha az popüler bir kaba kuvvet saldırısı türüdür. Bu nedenle, önlem olarak, dizin taramayı tamamen devre dışı bırakmak mantıklıdır.

Başka yerlerden öğrenebileceğiniz ancak sitenizde uygulamamanız gereken çözümler

Dışarıda pek çok iyi niyetli ama çok kötü güvenlik tavsiyesi var. Bu nedenle, bu yapılacaklar listesine ek olarak, yapılmaması gerekenleri de listeleyeceğim.

• wp-admin dizinini bir parola ile koruyun: kesinlikle yapmayın Kaba kuvvet önleme ile ilgili hemen hemen her makalede görünür. wp-admin dizinini koruyan parola, admin-ajax.php dosyasına erişimi kısıtlayarak kayıtsız kullanıcılar için AJAX'ı bozacaktır. AJAX genellikle web sitelerinin dinamik yönlerini desteklemek için kullanılır. Diyelim ki sitenizde bir arama çubuğu var. Bir ziyaretçi ürünü aramak için kullanırsa, web sitesinin tamamı değil, yalnızca arama sonuçları yeniden yüklenir. Bu, çok fazla kaynak tasarrufu sağlar ve web sitelerinin kullanıcı deneyimini büyük ölçüde hızlandırır ve geliştirir. Ayrıca admin-ajax.php dosyasını dışlamak için birçok geçici çözüm göreceksiniz, ancak bunlar her zaman sorunsuz çalışmıyor. Sonuç olarak, geçici çözümlerin gerektirdiği çaba, orantılı bir güvenlik düzeyini yansıtmaz. Yani bu biraz ekstra fayda için çok büyük bir adım.
• wp giriş url değişikliği: Bu ipucu genellikle WordPress güvenliğini güçlendirme hakkındaki makalelerde bulunur. Ancak, kaybolması durumunda kurtarılması neredeyse imkansız olduğundan oturum açma URL'sini değiştirmemenizi şiddetle tavsiye ederim. (tabii kasada duran bir kağıt parçasına yazmadıysanız)
• Kullanıcı adı olarak admin kullanmaktan kaçının: Kaba kuvvet botları, kullanıcı adı/şifre kombinasyonlarını etkili bir şekilde tahmin etmeye çalıştıklarından, yönetici gibi bariz kullanıcı adlarından kaçınmak mantıklıdır. WordPress, kullanıcı adlarını kontrol panelinden değiştirmenize izin vermez, bu nedenle bunu yapmak için bir eklenti yüklemeniz gerekir. Ancak bu önlemin değeri sınırlıdır ve bunun için çok fazla zaman ve çaba harcamamanızı tavsiye ederim. Üyelik siteleri gibi belirli site türlerinden kullanıcı adlarını kurtarmanın başka yolları da vardır. Üyeler için benzersiz kullanıcı adlarına sahip olmak, politikayı uygulamak ve ardından insanların benzersiz kullanıcı adlarını unutmalarının kaçınılmaz sonuçlarıyla başa çıkmak için gereken çaba, sınırlı faydaya değmez.

WordPress'te Kaba Kuvvet Saldırısının Etkisi

Bir kaba kuvvet saldırısının sonuçları hakkında düşünmenin iki yolu vardır. Birincisi, saldırı sırasında ne olur ve ikincisi, saldırı başarılı olursa ne olur.

Tipik olarak, ilk soru saldırılarda sık sık ortaya çıkmaz çünkü saldırıya uğrayan web sitesi üzerinde çok az etkisi vardır veya hiç etkisi yoktur. Sonuçlar, başarılı bir saldırıdan sonra ortaya çıkar. Ancak bu kaba kuvvet saldırıları için geçerli değildir.

Siteniz brute-force olduğunda ne olur?

Sunucu kaynakları üzerinde anında bir etki göreceksiniz. Saldırı, oturum açma sayfanızı isteklerle bombardıman ettiğinden, sunucunun her birine yanıt vermesi gerekir. Bu nedenle, web sitenizde artan sunucu kullanımının tüm sonuçlarını göreceksiniz: daha yavaş web sitesi, bazı kullanıcıların oturum açamaması, kesinti süresi, kullanılamama vb. Web barındırıcıları, özellikle paylaşımlı barındırma kullanıyorsanız, performanslarını etkileyeceğinden, sunucu kullanımını sınırlamakta da hızlıdır.

Bir kaba kuvvet saldırısı başarılı olursa ne olur?

Saldırı başarılı olursa, makul bir şekilde kötü amaçlı yazılım veya bir tür bozulma bekleyebilirsiniz. Bilgisayar korsanlarının sitenize erişmek istemelerinin birkaç nedeni vardır ve bunların hiçbiri iyi değildir.

Bu yeterli değilse, web siteniz bir botnet'in parçası olabilir ve izniniz olmadan diğer web sitelerine saldırmak için kullanılabilir. Diğer güvenlik sistemleri web sitenizi bir botnet'in parçasıysa kötü amaçlı olarak işaretlediğinden, bunun ciddi sonuçları olabilir.

WordPress yinelemesinin etkilerini ortadan kaldırın

Bir kaba kuvvet saldırısı başarılı olursa, en kötüsünü varsaymalısınız: sitenizin güvenliği ihlal edilmiştir. Bu nedenle birinci önceliğiniz sitenizi korumaktır. Hasarı sınırlamak için atmanız gereken ana adımlar şunlardır:

1. Tüm kullanıcıların oturumunu kapatmaya zorlayın ve tüm parolaları değiştirin;
2. Sitenizi kötü amaçlı yazılımlara karşı hemen tarayın.

Sitenizin kötü amaçlı yazılım içermediğinden emin olduktan sonra, yukarıda listelenen önleme adımlarını uygulayın.

Siteniz kaba kuvvet saldırılarına karşı savunmasız mı?

Evet, tüm sistemler kaba kuvvet saldırılarına karşı savunmasızdır. Çalışma biçimleri nedeniyle, oturum açma sayfası olan herhangi bir sisteme karşı kaba kuvvet saldırıları başlatılabilir. WordPress web siteleri farklı değil. WordPress'in popülaritesi, onu bilgisayar korsanları için bir hedef haline getiriyor.

• Birincisi, internetin çoğunun WordPress tarafından desteklenmesidir.
• İkincisi, çünkü WordPress'in bazı yönleri iyi bilinmektedir.

Özellikle kaba kuvvet saldırılarıyla ilgili bir örnekte, WordPress geçersiz oturum açma girişimlerini kısıtlamaz. Güvenlik eklentileri ile giriş kısıtlama özelliği ile bunu düzeltebilirsiniz.

Ayrıca, birçok site sahibi, hatırlanması kolay kullanıcı adları ve parolalar kullanma eğilimindedir. Yaygın olanlar, kullanıcı adı olarak admin ve parola olarak password1234 veya 12345678'i içerir. Bu faktörler, sitenizi kaba kuvvet saldırılarına karşı savunmasız hale getirir.

Kaba kuvvet saldırı türleri

Kaba kuvvet saldırıları, sosyal mühendislik saldırıları veya XSS saldırıları gibi diğer tehdit ve saldırı türlerinden farklıdır. Kimlik avı gibi sosyal mühendislik saldırıları, güvenilir bir kişinin kimliğine bürünerek insanları kimlik bilgilerini paylaşmaları için yönlendirirken, XSS saldırıları bir web sitesindeki güvenlik açıklarından yararlanır. Kaba kuvvet saldırıları, başarılı olmak için zayıf veya çalınmış kimlik bilgilerine dayanır.

Vahşi doğada birkaç çeşit kaba kuvvet saldırısı göreceksiniz. Hepsi aynı deneme yanılma modelini izler, ancak denedikleri kimlik bilgileri veya kullandıkları mekanizma farklı olabilir. En yaygın kaba kuvvet saldırı türlerinden bazıları şunlardır:

• Basit saldırılar: Basit kaba kuvvet saldırıları, örneğin sosyal ağ sitelerinden elde edilen evcil hayvan adları veya doğum günleri gibi kullanıcının bilgilerine dayalı olarak kimlik bilgilerini tahmin etmek için mantık kullanır.
• Kimlik bilgilerini doldurma: Bu tür bir saldırı, kullanıcıların birden çok sistemde aynı kullanıcı adlarını ve parolaları kullanma eğiliminde olduğu varsayımına dayalı olarak ele geçirilmiş verilerden yararlanır.
• sözlük saldırısı: Adından da anlaşılacağı gibi, bu botlar parolalar için sözlük dosyalarını kullanır. Gerçek bir sözlük veya bir şifreyi tahmin etmek için özel olarak oluşturulmuş bir sözlük olabilir.
• Gökkuşağı masa saldırıları: Bir sözlük saldırısına benzer şekilde, gökkuşağı tablosu özel bir tür sözlük listesidir. Gökkuşağı tablosu, bir parola listesi yerine karma parolaların bir listesini içerir.
• Şifre püskürtme: Bu tür bir saldırı mantıksal olarak bir kaba kuvvet saldırısıdır. Tipik kaba kuvvet saldırılarında hedef belirli bir kullanıcı adıdır ve tahmin oyunu bir şifre ile oynanır. Tersine, şifre püskürtmede, potansiyel bir eşleşme bulmak için birden fazla kullanıcı adına karşı bir şifre listesi kontrol edilir. Bu, hedeflenenden daha dağıtılmış bir saldırıdır.

Bir site yöneticisi olarak, farklı kaba kuvvet saldırıları arasındaki farkları bilmenize gerek olmayabilir. Bununla birlikte, bu terimler sıklıkla birbirinin yerine kullanılır, bu nedenle altta yatan mekanizmaların anlaşılması yararlıdır.

Diğer En İyi Güvenlik Uygulamaları

WordPress kaba kuvvet saldırılarını önlemek harika bir hedeftir, ancak web sitesi güvenliğinin yalnızca bir parçasıdır. Sitenizi kötü amaçlı yazılımlardan korumaya yardımcı olacak bazı önemli ipuçlarını burada bulabilirsiniz:

1. İyi bir kötü amaçlı yazılım tarayıcısı ve temizleyicisi olan bir güvenlik eklentisi kurun;
2. Her şeyi güncel tutun (tema, eklentiler, wp);
3. Günlük yedeklemeleri kullanın.

Çıktı

Kaba kuvvet saldırıları, başarılı olmasalar bile bir web sitesini çökertebilir. Bu potansiyel tehditle başa çıkmanın en iyi yolu, yerleşik bot korumasına sahip bir güvenlik duvarı kurmaktır.

Bir kaba kuvvet saldırısı başarılı olsa bile, güvenlik duvarı kötü amaçlı yazılımı hızlı bir şekilde tespit etmenize ve kaldırmanıza yardımcı olur. Tüm enfeksiyonlarda olduğu gibi, hızlı hareket hasarı büyük ölçüde sınırlayacaktır.

Bu makaleyi okumak:

• WordPress'te bir ülke nasıl engellenir?
• WordPress SQL Enjeksiyonu: Tam Bir Koruma Kılavuzu

Okuduğunuz için teşekkürler: SEO YARDIMI | NICOLA.ÜST