Brute Force saldırısı, Hacker'ların farklı şifre ve kullanıcı adı kombinasyonlarını deneyerek web sitelerine erişim elde etmeye çalıştıkları deneme yanılma tekniğidir ve bu, en yaygın kullanılan hack yöntemleri arasındadır. Başarılı olursanız ve Brute Force saldırısı başarılı olursa, sitenizin tüm yönetimi tamamen ele geçirilebilir. Ardından, kötü amaçlı yazılım eklemek veya sunucunuzdaki diğer web sitelerini hacklemek, sitenizin bilgilerinden veri çalmak veya müşteri bilgilerini toplamak gibi çeşitli şekillerde web sitenizi kullanabilirler.
Bu nedenle, sitenizi korumak için Brute Force Wordpress saldırılarına karşı koymayı bilmek son derece önemlidir. Biraz özen ve birkaç proaktif adımla, kaba kuvvet kullanarak bu saldırıları en aza indirebilirsiniz, ancak onları tamamen durdurmak imkânsızdır.
WordPress Brute Force Saldırılarından Kaçınma Stratejileri; WordPress web sitenizi Brute Force saldırısına karşı korumanın çeşitli yolları vardır. Aşağıda listelenen adımları izleyerek WordPress güvenliğine sağlam bir başlangıç yapmak mümkündür.
1. WordPress Giriş URL'nizi değiştirin
WordPress, domain.com/wp-login.php biçiminde varsayılan bir giriş URL'si kullanır. Bu konu herkes tarafından iyi bilinmektedir. Bu, bilgisayar korsanlarının kaba kuvvet kullanarak saldırıdan yararlandığı durumla aynıdır. WordPress giriş alanı URL'nizi olduğu gibi değiştirmezseniz, bilgisayar korsanları için işleri kolaylaştırır.
Parolaları kolayca tahmin edilemeyen yeni bir URL kullanacak şekilde değiştirmek tehlikeleri azaltabilir. URL kısmını değiştirmenin en kolay yöntemlerinden biri WPS Hide Login gibi bir uygulama kullanmaktır.
Eklentiyi kurup etkinleştirdikten sonra, WP kontrol paneli Ayarlar > Genel'e gidin. Sayfanın sonuna giderseniz, WordPress şifrenizi değiştirmek için yeni bir seçenek bulacaksınız. Bu alana hatırlayabileceğiniz bir URL girebilirsiniz. Hemen altına wp-admin dizinine erişmek isteyen kullanıcılara göndereceğiniz adresi girebileceksiniz (varsayılan olarak onları URL'nize 404 yönlendirir).
Giriş URL'sini unutmayın, aksi takdirde kontrol panelinize giriş yapamazsınız. Eklenti, varsayılan oturum açma URL'sini engeller ve ardından bunları, eklenti ayarlarınızda belirttiğiniz bir sayfaya yönlendirir.
2. Giriş Girişimlerini Kısıtlayın
Sitenizin giriş ekranını kaba kuvvet saldırılarına karşı korumanın farklı bir yolu, IP'niz aracılığıyla web sitenize yapılan giriş denemelerinin miktarını kısıtlamaktır. Sınırlı bir süre boyunca oturum açma girişimleri için izin verilen sınırı aştığında bir IP adresini engelleyebilirsiniz.
Bilgisayar korsanları yeni kullanıcı adını ve şifreyi bulmayı başarırlarsa, herhangi bir anda tetiklenebilecek başarısız oturum açma girişimlerinin sayısını kısıtlayabiliriz. Bu, büyük bir Brute Force girişimi akışına karşı bir savunma şeklidir.
WPS Limit Login eklentimizi kullanarak bu sitelere erişimi kısıtlamak kolaydır. Bir kez etkinleştirildiğinde, bu eklentinin varsayılan ayarları, web sitelerinin çoğunda bu tür saldırılara karşı koymak için yeterli olacaktır.
Daha fazla sayıda bu denemeyle karşılaşırsanız, gereksinimlerinizi karşılamak için ayarları değiştirmeniz gerekebilir. Yukarıdaki ayarlar önerilir. Varsayılan kullanıcı adını ve parolayı kullanıyor olsanız bile bu, bilgisayar korsanları için büyük bir güvenlik riskidir.
3. İki Faktörlü Kimlik Doğrulama (2FA)
Kullanın İki faktörlü kimlik doğrulama, saldırı için kaba kuvvet kullanımını önlemenin son derece etkili bir yöntemidir. Bu, bir sitenin giriş sayfasına bir koruma katmanı ekler. Bir kullanıcı adı şifre kombinasyonuyla birlikte eklenen güvenlik, bilgisayar korsanlarının sitenize erişmesini zorlaştırarak Brute Force Saldırılarını durdurmaya yardımcı olabilir.
WordPress web sitenizde 2FA kimlik doğrulama sistemini kurmak ve yapılandırmak için 2FAS Light Google Authenticator eklentisini kullanabilirsiniz. Ücretsizdir ve anında yapılandırılabilir.
4. Güçlü Oturum Açmala Bilgilerini Kullanın
Güçlü oturum açmalar, yalnızca etkili bir parola kullanmak anlamına gelmez. Aynı zamanda benzersiz bir kullanıcı adı seçmekle de ilgilidir. Seçtiğiniz kullanıcı adı, varsayılan kullanıcı adı olan "admin" ekine sahipse, bunun bilgisayar korsanlarının denediği kullanıcı adlarından biri olduğunu bilmek önemlidir.
Giriş sayfasındaki iki alandan birinin (kullanıcı adı veya şifre) olduğunun farkında olmak yarı yarıya! Ayrıca, kullanıcı adı iyi biliniyorsa, kötü niyetli kişilerin yapacağı tek şey şifreyi kırmak. Bir sürü sahte saldırı var. Parolalarınız zayıf olduğunda, web sitenizin güvenliğinin ihlal edilmesi an meselesidir!
Bir şifre veya kullanıcı adı oluştururken hatırlamanız gereken bazı ipuçları:
- Kullanıcı adınızı kullanmayın, şirketin adını veya adını vermeyin.
- Herhangi bir dilde sözlükten herhangi bir kelime kullanmayın.
- Kısa Şifreler kullanmaktan kaçının.
- Daima alfanümerik şifreler kullanın.
5. HTTP kimlik doğrulaması uygulayın
Brute Force saldırılarından kaçınmanın başka bir yolu da HTTP kimlik doğrulamasıdır. HTTP kimlik doğrulamasını kullanarak, oturum açma ekranına kimliği doğrulanmamış ve tanınmayan erişilebilirliği engelleyebilirsiniz.
Sitenizin oturum açma sayfasında HTTP kimlik doğrulaması kullanılarak bir oturum açma kutusu görüntülenecektir. HTTP kimlik doğrulaması için kullanılan oturum açma kimlik bilgileri, normal oturum açma kimlik bilgilerinden farklıdır. Bunu, HTTP kimlik doğrulama eklentisini kullanarak gerçekleştirebilirsiniz.