Web Sitenizi Brute Force Saldırılarına Karşı Nasıl Bir Şekilde Savunabilirsiniz?
İçindekiler
Brute-force, Türkçe’de kelime anlamı olarak ‘kaba kuvvet’ anlamına gelir ve bu saldırıları yapan kişiler en basit anlatımıyla deneme yanılma yöntemiyle şifreleri çözmeyi amaçlar. WordPress’i indirmiş olan her kişi bu saldırılara karşı tehlike altındadır. Açık konuşmak gerekirse brute force saldırıları gün geçtikçe artmakta ve her seferinde site sahipleri için daha büyük tehditler doğurmakta.
Peki bu durum sizin için ne anlama geliyor? WordPress’i bırakıp bir başka CMS‘e geçmek bir çözüm yolu mu? Kesinlikle HAYIR! Bu durum, size WordPress web sitenizi korumak için bir güvenlik planına ihtiyacınızın olduğu anlamına geliyor. Alacağınız birkaç basit önlemle web sitenizi bir kale gibi güçlü hale getirebilirsiniz.
Brute Force Saldırılarına Karşı Resmi Öneriler
Brute force saldırılar çok yaygın olduğu için WordPress bu konuda bazı tavsiyelerde bulundu. Bu tavsiyeleri dikkate almanızı öneriyoruz. Fakat bunların dışında neler yapılabilir? Bu soruya sizler için cevap aradık:
WordPress web sitenizi güvenli hale getirebilmek için yapabileceğiniz birçok şey var. İlk olarak aşağıda değineceğimiz eklentiler ile web sitenizi koruyabilirsiniz. Ayrıca bazı basit alışkanlıklar edinerek sadece brute force saldırılarına karşı değil tüm potansiyel tehlikelere karşı web sitenizi koruyabilirsiniz.
Username Olarak ‘Admin’i Kullanmayın
Aslında bunu söylememize bile gerek olmamalı. Fakat yine de unutanlar için hatırlatalım: ‘Admin’i kullanıcı adlarınız için kullanmayın. Eskiden bu hatayı yapan çok fazla kişi vardı. Çünkü biraz kolaya kaçmak işlerine geliyordu fakat artık durum çok daha ciddi ve böyle bir hatanın büyük sonuçları olabilir. Bu yüzden WordPress’i yüklerken kullanıcı adlarınızı ‘admin’ olarak belirlemeyin ve domain adınızdan da farklı olan seçeneklere yönelin.
Web sitenizde ‘admin’ kullanıcı adına sahip bir kullanıcı varsa bunu hemen değiştirin. ‘Edit User’ sekmesinde kullanıcıların isimlerinin değiştirilemeyeceği söyleniyor olsa da bu isimleri değiştirebilirsiniz. Bunun için çeşitli eklentileri kullanabilir ya da veritabanınızı düzenleyebilirsiniz.
Güçlü Şifreler Kullanın
Bu konuda da basit görünse de sık sık yapılan yanlışlar mevcut. Şifrenizi ‘password’ olarak ya da ‘password123’ olarak belirlemeyin. Mümkünse rastgele şifre oluşturma yazılımlarını kullanın. Force Strong Password eklentisi bu konuda iyi iş çıkarır, sadece sizin değil diğer kullanıcıların da güvenliğini sağlar. Çünkü siz ne kadar dikkatli olursanız olun diğer kişiler hata yapma eğilimi gösterebilir.
Login İşlemlerinizi /wp-admin Adresinden Uzak Tutun
Varsayılan olarak neredeyse hepimiz /wp-admin adresinden WordPress’e giriş yapıyoruz. Tabii ki brute force saldırıları da ilk olarak bu noktaya yapılıyor. Eğer evinizin kapısı yoksa kimse kapınızdan zorla girmeye çalışmaz değil mi? Aynı mantıkla Login URL’nizi /wp-admin‘den uzaklaştırarak saldırganların çabalarını boşa çıkarabilirsiniz.
Bu konuda kullanabileceğiniz birbirinden iyi 2 eklenti mevcut: Loginizer ve WPS Hide Login. Loginizer, ilgili URL’yi taşımak dışından farklı özelliklere de sahiptir. WPS Hide Login eklentisi ise sadece URL taşıma işlemini yapıyor.
URL’nizi taşırken /wp-admin yerine /login ya da /admin gibi basit seçeneklere yönelmeyin. Biraz daha spesifik düşünmenizde fayda var.
Eğer eklentileri kullanmayı tercih etmiyorsanız ya da eklentileri minimumda tutmak istiyorsanız WordPress’in bu resmi gönderisini inceleyerek bu işlemleri manuel bir şekilde halledebilirsiniz.
İki Adımlı Doğrulama Kullanın
Gerçekten güvenli bir online deneyim yaşamak istiyorsanız 2 adımlı kimlik doğrulama artık bir zorunluluk. 2 adımlı kimlik doğrulama işlemleri genellikle giriş işlemleri sırasında sizden bir kod girmeniz ya da size gönderilen bir linke tıklamanız istenerek gerçekleşir. Böylelikle yazılım sizi doğrulamış olur.
Neyse ki bu konuda WordPress ekstra bir eklenti gerektirmiyor. Daha önceki haberimizden de hatırlayacağınız üzere WordFence‘in premium versiyonunu kullanarak bu hizmeti alabilirsiniz. Ya da Google Authenticator – Two Factor Authentication eklentisiyle ve yukarıda bahsettiğimiz Loginizer eklentisiyle bu hizmeti alabilirsiniz.
Giriş Denemelerini Sınırlandırın
Brute force saldırılarının WordPress’te bu kadar etkili olmasının nedeni, giriş denemelerinin varsayılan olarak sınırsız şekilde belirlenmiş olmasıdır. Bunun da bir sonucu olarak yanlış şifre ne kadar çok girilirse girilsin bir engel söz konusu olmuyor. Eğer her kullanıcı için belirli sayıda giriş denemesi belirlerseniz siteniz için daha güvenli bir ortam oluşturabilirsiniz.
Bu konuda kullanabileceğiniz en popüler eklenti Limit Login Attempts. Ayrıca yukarıda değindiğimiz WordFence ya da Loginizer de bu hizmeti sunuyor.
Kullanılmayan WordPress Kurulumlarını Silin
Neredeyse tüm WordPress web sitelerinde kullanılmayan kurulumlar mevcut. Belki çeşitli eklentileri kurdunuz ve bazı şeyleri test ettikten sonra onları tekrar kaldırmadınız. Ya da belki de bir test sitesi oluşturdunuz fakat onu silmeyi unuttunuz. Hatta ve hatta belki de bir subdomain oluşturdunuz ve onu kullanmıyorsunuz bile. İşte bu seçenekler brute force saldırganlarının web sitenize giriş kapıları. Muhtemelen bu noktalardan güvenlik eklentilerinizin haberi dahi yoktur, web sitenizin geneline yaptığınız değişiklikler buralarda etkin değildir. Bunların sonucu olarak da bilgisayar korsanları serverlarınıza sızabilirler. Bunun önüne geçebilmek için kullanmadığınız tüm kurulumları kaldırmayı unutmayın.
Güvenlik eklentileri
Yukarıdaki tüm bilgileri aklınıza not ederek bir WordPress güvenlik eklentisine sahip olmalısınız. Fakat her eklentinin farklı farklı görevleri var ve kullanıma hazır çok sayıda eklenti mevcut. Sizin için en uygununu seçmek biraz zor olabilir.
Sonuç
Brute force saldırılarının artmasıyla web siteniz artık eskisi kadar güvende değil ve bazı değişikliklere ihtiyaç duyuyor. Yukarıdaki maddeleri dikkate alarak ve listelediğimiz eklentiler arasından sizin için uygun olanları seçerek bu saldırılara karşı dik ve güçlü bir duruş sergileyebilirsiniz.