Brute Force WordPress saldırılarını önlemenin 8 yolu
Web’deki sitenin dörtte biri tarafından güvenilen WordPress, en popüler içerik yönetim sistemlerinden biri olarak kabul edilir. Siteniz WordPress’te çalışıyor mu? Kuşkusuz, bu siteler bilgisayar korsanları ve sanal suçlar için kolay hedefler haline geldi. Uyarı! Kötü insanlar ve botlar, eski eklentilerin, beceriksiz web barındırma veya temel sürümlerin ve eski temaların vb. Güvenlik açığı yoluyla web sitenize saldırabilir. Bu güvenlik riskine ek olarak, en yaygın ve tehlikeli güvenlik açığı kaynakları olarak görünen kaba kuvvet saldırısına ekstra dikkat etmelisiniz. Diğer hacker türleri yazılımdaki güvenlik açığına odaklanırken, Brute Force saldırganları zayıf bir şifre aracılığıyla sitenize erişmeyi amaçlamaktadır.
Tehditleri öğrenmek ve bu büyük içerik yönetim sistemini güvende tutmak için WordPress ve güvenlik araştırmacılarının geliştiricisinin görevidir. Bununla birlikte, aynı anda ele almaları gereken birçok yön ve sorun vardır. Bu nedenle WordPress sitesinin sahibinin inisiyatif alması ve web sitelerini de güvence altına alması gerekiyor. Bu makalede, WordPress sitenizi Brute Force saldırılarından kurtarmak için 8 yolla size rehberlik edeceğiz. Başlamadan önce bazı temel şeyleri bitirelim.
Brute Force saldırısı nedir?
Kaba kuvvet saldırıları nasıl durdurulur
Tüm kullanıcı hesapları için güçlü bir şifre ayarlayın
Giriş çabalarını WordPress ile sınırlayın
Captcha’yı WordPress Giriş sayfasına girin
Güncelleme sürümünü, eklentisini ve WordPress temasını yükleyin
Bir güvenlik duvarı eklentisi ekleyin
2 faktör kimlik doğrulaması hazırlayın
WordPress Yönetici Dizininizi Koruyun
IP ile wp-login.php’ye erişimi sınırlayın
Brute Force WordPress saldırısı nedir? Web sitenize erişmek için otomatik araçlardan parola deneme-deneme yöntemine atıfta bulunan Brute Force Cracking olarak da bilinen WordPress Brute Force saldırıları. Varlık, WordPress kontrol panelinize erişmek için kaba kuvvet saldırıları kullanabilir. Yönetici alanına indikten sonra, verilerinizi çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta sitenizdeki her şeyi kolayca silebilirler. Aslında, bu hackleme hilesi bazen zaman alıcı olarak kabul edilir, çünkü bilgisayar korsanları veya botlar her şifreyi test etmeye çalışmalıdır. Kelime ne kadar karmaşık olursa, doğru girişe girmek için o kadar uzun süre ihtiyaç duyarlar. Brute Force Saldırısı Türleri Hibrit saldırılar (sözlük saldırıları) ve kimlik bilgisi doldurma (kimlik bilgisi geri dönüşümü) dahil olmak üzere 2 ana kaba kuvvet saldırısı türü vardır.
1. Hibrit hibrit saldırılar, basit operasyonlarla ortak bir kaba kuvvet saldırısı biçimidir. Bot, şifre sözlüğünde listelenen tüm olası şifreleri dener. Önce sık sık kullanılanla başlayacaklar ve daha sonra daha uzun deneyecekler. Şifreniz “şifre”, “P4SSW0RD” veya “123456” gibi görünüyorsa, bot kaba kuvvet saniyeler içinde kıracaktır. 2. Kimlik Bilgileri Diğer kaba kuvvet saldırıları türleri, sitenize erişmek için diğer veri depolama alanından kullanıcı adlarını ve şifreleri yeniden kullanma yöntemini ifade eden kimlik bilgileri veya kimlik bilgisi geri dönüşümüdür.
Bu yöntem, kullanıcının çeşitli platformlarda veya ağlarda aynı adı ve şifreyi girme alışkanlığına bağlıdır. Yakın tarihli bir çalışma, insanların% 80’inin şifrelerini neredeyse tüm çevrimiçi platformlarda yeniden kullandıklarını kanıtlıyor. Parolayı kolayca hatırlayabilmelerine rağmen, bu veri ihlallerine karşı güvenlik açığı yaratır. Sitenizin saldırıya uğramış olup olmadığını nasıl öğrenirsiniz, bot WordPress yöneticinize tüm olası kullanıcı adlarını ve parolaları tekrar tekrar girdiğinden, günlüğünüzü kontrol ederek kolayca tanıyabilirsiniz. Bu, web sitesinde kaba bir kuvvet saldırısının bir örneğidir: 116.110.100.209 – – -[30/Eylül/2019: 07: 31: 20 -0700] “Post/wp -login.php HTTP/1.1″ 302 4477 ” -” Mozilla/ 5.0 (Macintosh; Intel Mac OS X 10_13_6) ”
116.110.100.209 – -[30/Eylül/2019: 07: 31: 22 -0700] “Post/WP -login.php HTTP/1.1″ 302 4479 ” -” “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) ”
116.110.100.209 – -[30/Eylül/2019: 07: 31: 25 -0700] “Post/WP -login.php HTTP/1.1″ 302 4487 ” -” “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) ”
116.110.100.209 – – [30/Eylül/2019: 07: 31: 29 -0700] “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6” Açıkçası IP adresi 116.110.100.209 WordPress Gösterge Tablonuz girmeye çalışır.
Brute Force WordPress #1 Nasıl Durdurulur Tüm kullanıcı hesaplarının WordPress sitenizi girmesi için güçlü bir şifre ayarlayın, saldırganlar kullanıcı adları ve şifreler gerektiren bir yönetici oturum açma ekranından geçmelidir. Her hesap benzersiz ve güçlü bir şifre gerektirir, böylece bot diğer veri depolamasından kullanılan parolayı tahmin edemez veya geri dönüştüremez. Güçlü bir şifre yapmak korkunç bir görev gibi görünüyor. Güçlü şifreler, harflerle (üst ve küçük harfler) en az 8 karakter içermelidir, örneğin “!”, “$”, “?” Tahmin edilmiştir. Şifrenizi kişisel bilgilerle veya kız arkadaşınız, evcil hayvanınız ve kendi adınız gibi size yakın birinin adı ile ayarlamayın. Çok güçlü şifrelere örnek olarak ihtiyaç duyulan tüm öğeleri birleştiren [korunan e -posta]: küçük harf, büyük harfler, sayılar, özel karakterler; ve 8’den fazla karakter var. Tahmin edilmesi zor olan şifrenin bazen hatırlamanız zor olduğundan, bunu kaydedebilir veya şifre yönetimi uygulamasına kaydedebilirsiniz. #2 WordPress’e girme çabalarını sınırlandırın Bu yöntem, kısa sürede WordPress kontrol panelinize çok fazla yanlış şifrenin girilmesini yasaklar. Oturum açma izniyle başlamak için kilitleme giriş eklentisini yüklemeniz gerekir. Eklenti, her arıza giriş çabasının IP adresini kaydeder ve belirlediğinizden daha yüksek bir dönemde başarısız olan çaba miktarı ise geçici olarak engeller.
İlk olarak, eklentiyi aç → WordPress Navigation menünüze yeni ekleyin, anahtar kelime kutusunda kilitleme girişini arayın. Ardından, Yükle düğmesini tıklayın ve etkinleştirin. Kurulumdan sonra eklenti hemen WordPress kontrol panelindeki ayarlar sayfanıza eklenir. Bazı temel ayarları oluşturmak için LockDown Oturum Açını tıklayın.
MAX Giriş Yeniden Girişleri IP adresinin engelleneceği “Zaman Dönemi Kısıtlama” nda başarısız olan giriş deneylerinin sayısını belirler. Bunlar varsayılan olarak 3 kez.
Tekrar Deneme Süresi Kısıtlaması (Dakikalar) Kilitleme gerçekleşmeden önce bir arıza giriş çabasının izin verildiği bir zaman periyodunu tanımlar.
Kilitlemenin uzunluğu (dakikalar), kullanıcının en uygun şekilde giriş yapmaya çalıştıktan sonra eklentinin süresini engelleyeceğini gösterir. Eklenti, 3 giriş çabalarının varsayılan olarak 5 dakika içinde başarısız olduktan sonra IP’yi 1 saat içinde kilitler.
Değişikliklerinizi depolamak için ayarları güncellemeye tıklamayı unutmayın.
#3 Captcha’yı WordPress Oturum Açma sayfasına girin Brute Force saldırılarını etkili bir şekilde önlemek için başka bir yol CAPTCHA’yı WordPress giriş ekranınıza uygulamaktır. Captcha’yı manuel olarak ekleyebilmenize rağmen, captcha eklentisini yüklemek şiddetle tavsiye edilir/ dikkate alınmalıdır. Ayrıca Functions.php tema dosyasında yapılan değişiklikleri de azaltır.
WordPress depolarında bulunan birçok CAPTCHA eklentisi arasında, Advanced Nocaptcha & Invisible Captcha, yönetici alanınıza bot ve otomatik komut dosyalarından erişimi reddetmede etkili olduğu kanıtlanmıştır. Kilitleme giriş eklentisine benzer şekilde, gelişmiş Nocaptcha & Invisible captcha, yüklendikten sonra WordPress kenar çubuğu ayarları bölümüne otomatik olarak eklenecektir. V2 I’m Robot CheckBox, V2 Invisible veya V3 dahil herhangi bir Recaptcha sürümünü seçebilirsiniz. Buna ek olarak, CAPTCHA’yı görüntüleyebileceğiniz çeşitli formlar vardır, örneğin kayıt formları, kayıp şifre formları veya WooCommerce ödeme formları. Giriş sayfasına odaklandığımız için, Etkin Formlar seçeneğinin yanındaki oturum açma formunu kontrol edin.
Eklenti ayarları sayfasındaki değişikliklerinizi güncellemek için değişiklikleri kaydet’i tıklayın. #4 Yenileme sürümü, eklenti ve WordPress teması WordPress sürümü daha uzun olan WordPress sürümü, hala var olan ve bilinen güvenlik açığı nedeniyle bilgisayar korsanlarının sitenize saldırması için bir fırsattır. WordPress sitenizi güncellemek için gösterge panelinizin altında bir güncelleme açın. Bu sayfada mevcut WordPress, eklentiler ve temaların yenilenmesi hakkında bir bildirim bulunmaktadır.
Eklenti sayfasını ziyaret ederek eklentiyi güncelleyebilirsiniz.
En son sürümü etkinleştirmek için her eklentinin altındaki güncelleme bağlantısını tıklamanız yeterlidir. Çok fazla eklenti güncellemesi varsa, mevcut güncellenmiş sekmeyi açın ve tüm güncellemelere aynı anda izin vermek için eklenti onay kutusuna giriş yapın. Ardından, eylem römorköründen güncellemeyi seçin.
Eklentiyi güncellemeden önce yeni sürümün ayrıntılarını görmek çok önemlidir. En son sürüm güvenlik güncellemelerinden bahsetmedikçe, en az 1 hafta beklemeniz gerekir. Bu, hataların ve böceklerin bildirildiği ve düzeltildiği zamandır. #5 Saldırgan her şifre girdiğinde bir güvenlik duvarı eklentisi ekleyin, sunucunuzda bir yük gerektirir. Bu süreç web sitenizi yavaşlatabilir. Sucuri güvenlik duvarını kurmak kötü trafiği filtrelemek için iyi bir çözüm olacaktır. Aralarından seçim yapabileceğiniz iki ana WordPress site güvenlik duvarı türü vardır: Uygulama Seviyesi Güvenlik Duvarları ve DNS web sitesi güvenlik duvarları. Güvenlik Duvarı Uygulama Seviyesi: Bu tür güvenlik duvarı eklentisi, çoğu WordPress komut dosyasını yüklemeden önce sunucunuza giden trafiği kontrol eder. Hala sunucunuzun yükünü etkilediğinden, bu kaba kuvvet saldırılarıyla mücadele etmek için ideal bir yöntem değildir.
DNS Level Web Sitesi Güvenlik Duvarı: Bu tür güvenlik duvarı, site trafiğinizden bir proxy bulut sunucusuna dayalı çalışır. Bu nedenle, WordPress hızınızı artıran ana barındırma sunucunuza yalnızca orijinal trafik gönderilecektir. Önde gelen bir güvenlik duvarı eklentisi olarak kabul edilen Sucuri, DNS düzeyinde güvenlik duvarı, saldırı, kaba kuvvetin önlenmesi ve kötü amaçlı yazılım kaldırma hizmetleri sunarak WordPress sitenizdeki saldırıları engellemenize olanak tanır. Eklenti, tüm site trafiğini CloudProxy sunucuları aracılığıyla tarar. Geçerli trafik geçildiğinde, şüpheli ve tehlikeli trafik engellenecektir. Güvenlik duvarı özelliğinin yalnızca güvenlik duvarı web sitesi hizmetine abone olmanızı gerektiren Sucuri Premium sürümünde mevcut olduğunu lütfen unutmayın. #6 Kimlik Doğrulama Hazırlama 2 Faktör Kimlik Doğrulama Yöntemi 2 Faktörü (2FA), WordPress oturum açma sayfanıza doğrulama kodu veya bir kerelik kod kodu gibi ek güvenlik katmanları eklemenizi sağlar. Bu şifre kodu, metin mesajı ile kullanıcının cep telefonuna gönderilir. Google Authenticator, sitenizi ve içeriğinizi 2FA ile korumak ve sitenize geçersiz erişim olmadığından emin olmak için eksiksiz bir çözüm sunar. 2FA’yı etkinleştirdikten sonra, kullanıcıyı açın → profilinizi ve iki faktör seçeneği bölümünü bulun. Bir kez tabanlı parolayı etkinleştirin (Google Authenticato R), ardından kimlik doğrulama hazırlamak için Ekran seçeneği bağlantısını tıklayın. Şimdi QR kodunu göreceksiniz. Google Authenticator uygulamasını cep telefonunuza yükleyin ve sitedeki 2FA seçeneğini kullanmak için QR kodunu kameranızla tarayın. Hesabınızı doğrulamayı bitirdikten sonra, değişikliklerinizi kaydetmek için Güncelleme düğmesine basın. Şu andan itibaren, WordPress kontrol panelini girdiğinizde, önce giriş formuna kullanıcı adınızı ve şifrenizi girmeniz gerekir. Ardından, SMS mesajı aracılığıyla cep telefonunuza gönderilen doğrulama kodunu girin. #7 WordPress Yönetici Dizininizi Koruyun WordPress Yönetici Dizininizi, yetkisiz kullanıcıların yönetici alanınıza erişmesini önlemek için bir şifre ile koruyabilirsiniz. Aşağıdaki 5 adım, nasıl yapılacağını gösterir: CPanel Gösterge Tablonuzu Girin Gizlilik Dizini’ni tıklayın WP -Admin dosyasını seçin ve adı seçinGüçlü bir kullanıcı adı ve şifreli bir kullanıcı hesabı oluşturun
Değişikliğinizi kaydedin
WordPress siteniz mevcut şifre ile güvenlidir. Yalnızca doğru giriş ayrıntılarına sahip olanlar siteyi ziyaret edebilir. #8 WP-LOGIN.PHP’ye Erişim Sınırlayın IP ile WordPress Yönetici Gösterge Tablonuza erişmesi gereken birkaç kişi varsa, wp-login.php’ye .htaccess veya Web aracılığıyla belirli kullanıcılar hariç herkese erişim engelleyebilirsiniz. yapılandırma dosyası. Buna Beyaz IP listesi de denir. Bu yöntemi uygulamak için: IP adresinizi IP’m nedir? .Htaccess adlı sıradan bir metin düzenleyicisinde bir dosya oluşturun ve aşağıdaki kodu ekleyin: # wp-login.php’ye erişim blok.
reddet komutu, izin ver
116.110.100.208 arasında izin verin
Hepsinden reddet
reddet komutu, izin ver
116.110.100.208 arasında izin verin
172.16.254.1’den izin verilen 69.89.31.226’ya izin verin
Hepsinden reddet
Erişim sağlamak istediğiniz IP adresini ile 116.110.100.208, 69.89.31.226 ve 172.16.254.1’i değiştirmeyi unutmayın. Yalnızca IP’leri kaydetmiş olanlar şimdi WordPress Gösterge Tablosu ekranınıza erişebilir. Kaba kuvvet saldırılarından muzdarip olmayı bırakın! WordPress Brute Force saldırıları durdurulamaz ve herhangi bir web sitesinde herhangi bir zamanda gerçekleşebilir. Bu tehlikeli güvenlik riskinin neden olduğu sonuçları iyileştirmek için geçici bir çözüm bulmak yerine, zaman ve enerjinizden tasarruf etmek için bir site oluşturmaya başladığınızda bunu önlemenin etkili bir yolunu düşünün. Teknolojiyi veya sadece sıradan insanları anlayan bir kişi olsanız bile, yukarıdaki yöntem WordPress sitenizdeki kaba kuvvet saldırısını kolayca durdurmanıza yardımcı olabilir. Yetkisiz kişilerin kaba kuvvet saldırılarını nasıl engelleyeceğinizle ilgili bir sorunuz varsa lütfen aşağıya bir yorum bırakın.
