WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyabilirsiniz?
Brute Force saldırıları, WordPress kullanıcıları için gerçek ve çok korkutucu bir tehdittir. Diğer kişiler kullanıcı adınızı ve şifrenizi bulmayı başardıysa, siteniz hasar görebilir veya tüm içerik bir gecede silinir. Ayrıca e -postanıza erişimini de kaybederseniz, web sitenizi kurtarmak için hesabınıza geri dönemeyebilirsiniz. Web siteniz kaba kuvvet saldırılarının hedefi olduğunda korkutucu olsa da, girmeye çalışanların merhametine tam olarak güvenmiyorsunuz. Sitenizi kilitlemenin ve potansiyel saldırılara daha dayanıklı hale getirmenin birkaç yolu vardır.
Her zamanki gibi, şimdi güvenlik eylemi yapmak, hesabınıza erişimi kaybedene kadar beklemekten daha iyidir. Doğru taktiklerle, kaba kuvvet saldırısını işe yaramayacak şekilde durdurabilir, hatta çabaların çoğunun başlangıçtan itibaren önlenmesini durdurabilirsiniz. Brute Force saldırısı nedir? Birinin hesabına girmenin birçok yolu vardır: Web sitesinde güvenlik açığı bulun, birini kum vermek için birisini aldatın veya hedef bilgisayara bir keylogger koyun ve çalın. Sorun şu ki, bunların hepsi çok fazla iş gerektiriyor. Tersine, saldırganlar genellikle daha basit yöntemler kullanır: tahmin edin. Ve ne kadar etkili olduğuna şaşıracaksınız; Birçok insanın tahmin edilmesi çok kolay bir kullanıcı adı ve şifresi vardır.
“Brute Force” girişi ile kastedilen şey budur: Saldırgan, başarıyla girene kadar tekrar tekrar kullanıcı adları ve genel şifrelerin bir kombinasyonunu deneyecektir. Tabii ki, aynı zamanda sıkıcı bir süreçtir, bu nedenle genellikle bir saniyede yüzlerce kombinasyonu tahmin edebilen otomatik programlar kullanırlar. Bu programlar genel şifre listesi aracılığıyla yürütülür. İş başarısız olursa, devam edebilir veya doğru bir şekilde yapana kadar kelime, harf ve sembollerin rastgele bir kombinasyonunu kullanabilirler. Zayıf şifre çözülmesi için sadece 0.29 milisaniye sürer. Diğerleri, sadece birkaç dakika. Brute kuvvet saldırıları ile diğer şifre hırsızlığı biçimleri arasındaki önemli fark, sitenizdeki casus yazılım, sosyal mühendislik veya güvenlik açığı manipülasyonunu içermiyor. Manuel veya programla, sadece kırılana kadar denerler. WordPress’i onlara karşı savunmasız kılan nedir? WordPress, web’in üçte birinden fazlasını çalıştırır. Birçok durumda bu bir nimettir, aktif bir topluluk onu en kolay erişilen CMS yapar. Ne yazık ki, her yerde varlıklarından yararlanmak isteyen saldırganlar tarafından da erişilebilir hale getiriyor. WordPress’teki güvenlik açığı evrenseldir – çalıştıran tüm web siteleri için geçerlidir. Sistemdeki küçük bir delik milyonlarca insanı etkileyebilir. Bu, WordPress kullanıcılarının hedeflenmesini çok daha karlı hale getirir. Ayrıca, tek yapmaları gereken kullanıcının adını ve şifresini tahmin etmek ve her şeye erişimi var.
Ve varsayılan olarak, WordPress güvenliğinde fark etmeyebileceğiniz bazı zayıflıklarla birlikte gelir:
Yönetici giriş ekranı her zaman aynı yerde. Daha uzun kullanan WordPress kurulumu, varsayılan kullanıcı adını “admin” kullanır, bu da bilgisayar korsanlarının yalnızca şifrenizi tahmin etmesi gerektiği anlamına gelir.
Herkes istedikleri kadar giriş yapmaya çalışabilir.
Yeni bir IP’den biri hesabınıza giderse, bir bildirim almazsınız ve kod gerektirmezsiniz.
Yönetici ayrıcalıkları olan birçok kullanıcı, arkanıza girmenin ve bir şeyi bozmanın birkaç potansiyel yolu anlamına gelir.
Varsayılan olarak, WordPress bir güvenlik duvarı ile donatılmamıştır. Birçok insan buna ihtiyaç duyduklarını bile bilmiyor.
Tüm insanlar yapması gereken WordPress (önemsiz; bir WordPress algılama web sitesi bile var) kullandığınızı bilmek ve bu güvenlik açığından birinin kurbanı olabilirsiniz.
WordPress sitenizi WordPress kullanarak kaba kuvvet saldırılarından korumak, bilgisayar korsanlarından ekstra dikkat açabilir, ancak tamamen savunmasız değilsiniz. Platform sizi korumak için birkaç güvenlik adımı ile donatılmıştır. Birkaç adım atın ve bu saldırının yükünü savuşturacaksınız. Hesabınıza erişmeye kararlı birini durdurmak zor, çünkü tüm bu hileleri zaten biliyorlar. Bir çıkış yolu bulamayacaklarının garantisi yoktur. Ancak bir şey yapmak hiç olmaktan daha iyidir ve çoğu bilgisayar korsanı, önemli engellerle karşılaştıktan sonra daha az güvenli bir site bulacak ve bulacak.
1. Güçlü bir kullanıcı adı ve şifre kullanın Brute Force saldırılarını durdurmanın en iyi yolu bir güvenlik duvarı yüklememek, giriş sayfanızı taşıma veya diğer karmaşık hileler. Bu aslında çok basit: sadece güçlü bir kullanıcı adı ve şifre kullanın. % 81 çalınan veya zayıf bir şifre kullanarak hackleme. Kimse, size gerçekten karşı çıkmadıkça, günlerce veya haftalarca yürürken şifreyi tahmin etmesine izin vermeyecek. En yaygın kimlik bilgilerini deneyecek ve daha kolay hedeflere dönecekler. Güçlü bir kullanıcı adı ve şifre saldırıların çoğunu durduracaktır. İşte seçmek için bazı ipuçları: İdeal olarak 15’ten fazla en az 6 karakter yapın, o kadar uzun olur.
Sermaye harfleri ve küçük harf, sayılar ve sembollerin bir karışımını kullanın.
Aynı şifreyi birkaç web sitesinde kullanmayın – bunlardan biri sızdıysa, diğeri de olabilir.
“Parola”, “ABC123”, “Qwerty” veya basit kelimeler gibi yaygın şifrelerden kaçının. “Kullanıcı”, “Kullanıcı Adı” veya “Yönetici” gibi kullanıcı adlarından kaçının.
Adınız, adresiniz ve hatta evcil hayvanınızın adı gibi kişisel bilgileri girmeyin. Birinin seni deneyeceği ilk şey bu olacak.
Saçma şifresini hatırlamak zor, ama çok güvenli. İzlemek için şifre yöneticisini kullanmayı deneyin.
Parolanızı değiştirmek için, sırtınızdaki kullanıcınızı> profilinizi açın. Aşağı kaydırın ve bir şifre oluşturun. Bunu kaydedebilir veya yeni bir tane yazabilir, ardından profili güncelleyin.
Ne yazık ki, kullanıcı adınızı değiştirmek varsayılan olarak yapılamaz. Daha güvenli birine ihtiyacınız varsa, kullanıcı adı değiştirme eklentisini deneyebilir veya yeni bir yönetici kullanıcısı oluşturabilir ve eskisini silebilirsiniz. Adını doğrudan veritabanında PhpmyAdmin ile değiştirebilirsiniz. 2. Diğer Kullanıcı Hesaplarını Güvende Yönetici hesabınız kilitlenecek en önemli olsa da, tek giriş değildir. Düzenleme haklarına sahip diğer kullanıcılar saldırıya uğrarsa, siteniz hala silinme veya hasar görme tehlikesi altındadır. WordPress bunu gösterdiğinden, kullanıcınızın şifresini şu anda kontrol etmenin bir yolu yoktur. Ancak güvenliğini sağlamak için kendiniz değiştirebilirsiniz. Kullanıcıyı açacak kadar> tüm kullanıcılar ve düzenlemek istediğiniz hesabı bulabilirsiniz. Değiştirmek için şifreye gidin. Kendi yazın veya WordPress tarafından üretilen rastgele olanlarla kalın. Kullanıcılara söylediğinizden emin olun, çünkü eski kimlik bilgileri işe yaramayacaktır.
Bir kez daha, veritabanlarını veya eklentileri düzenlemeden kullanıcı adlarını değiştirmek mümkün değildir. Bu yöntem olmadan değiştirmek istiyorsanız, yeni bir kullanıcı hesabı oluşturun ve eskisini silin. Makalelerini yeni bir hesaba aktardığınızdan emin olun.
3. Herhangi bir site güvenlik duvarını savunmasız bir güvenlik duvarı olmadan sadece kaba kuvvet saldırılarına değil, aynı zamanda güvenlik boşluğunuzu kullanan diğer hackleme biçimlerine de yükleyin. Güvenlik duvarının kendisi kaba kuvvet saldırısını tam olarak durdurmayacak, ancak tehlikeli trafiği tespit edebilir ve şüpheli IP’yi engellemek için size bir araç verebilir. Diğer yararlı özellikler arasında güçlü bir şifre uygulanması, captcha ekleme ve genellikle hackleme olaylarına katılan ülkelere coğrafi engelleme sayılabilir. Ayrıca şüpheli aktiviteye dahil olduğu bilinen siyah bir IPS listesine de sahip olabilir. Bir Web Uygulaması Güvenlik Duvarı’nı kurmak, kapınıza kaç saldırı üzerinde büyük bir etkiye sahip olabilir. Kaynak: Cloudflare WordFence, bir güvenlik duvarı ile donatılmış ünlü bir güvenlik eklentisidir ve kaba kuvvet saldırılarından koruyabilir. Sucuri başka bir iyi seçimdir, ancak güvenlik duvarının ücretsiz olmadığına dikkat edilmelidir. Son olarak,% 100 ücretsiz ve kaba kuvvet koruması ile donatılmış bir WP güvenlik ve güvenlik duvarında ve diğer birçok özellik. 4. İki faktörün kimlik doğrulamasını etkinleştirin Güçlü şifre en iyi savunmanız olmasına ve güvenlik duvarı harika bir güvenlik aracı olmasına rağmen, iki faktörün kimlik doğrulamasını uygulamak bir sonraki büyük adımdır – bu temelde sizi hesap kaybına bağışıklaştırır. 2FA girmek için ekstra adımlar ekler. Güvenli olmayan bir sürüm sadece güvenlik soruları sorar. Her ne kadar yardımcı olsa da, daha iyi bir çözüm e -postanıza veya telefonunuza bir kod göndermektir. Kod olmadan kimse giremez.
Telefon gibi diğer cihazları dahil etmek, şiddeti önlemenin en iyi yoludur. Size gönderilen kodu isteyin ve cep telefonunuzda kötü amaçlı yazılım yoksa veya birisi onu fiziksel olarak sizden almadıkça, hesabınız nüfuz edilemez. Ancak diğer güvenlik yöntemleri gibi, bu yöntem% 100 güvenilir değildir. Bazen sunucuları 2FA’yı kırmak için manipüle etmenin yolları vardır ve her zaman sosyal mühendisliğin kurbanı olabilirsiniz. Bu, e -postanızı açmak veya her girdiğinizde cep telefonunuzu çıkarmak için çok can sıkıcı olabilir. Ancak faydalar bu küçük rahatsızlıktan çok daha büyük. Diğer güvenlik özelliklerinin yanı sıra, WordFence iki faktör kimlik doğrulaması içerir. Daha odaklanmış bir şey arıyorsanız, popüler bir 2FA uygulaması veya birçok ayar ve seçenekle birlikte gelen iki faktörlü Google Authenticator’ı deneyin. 5. Brute Force saldırısına girme çabalarını sınırlandırın, düzinelerce, hatta yüzlerce kullanıcı adı kombo ve şifreyi mümkün olduğunca çabuk test etme yeteneğine dayanın. Temiz bir WordPress kurulumunda, bunu durduran tek şey sunucunuzun kapasitesidir. Giriş çabalarını sınırlandırarak, yanlış şifreyi arka arkaya birkaç kez kullanan herkes kilitlenecektir. Saldırgan sadece birkaç çaba alırsa, doğru tahmin etme olasılığı çok düşüktür ve hızlı hareket ederler.
Zayıf Yönler: Kendi şifrenizi unutursanız ve bu da meşru kullanıcılara müdahale edebilir. IP’nin şüpheli davranışını gördüğünüzde her zaman daha düşük kilitleme süresine sahip daha az sıkı ayarlara sahip olabilir ve güvenliği sıkılaştırabilirsiniz. WP sınırına girme çabalarını ve her ikisinin de çalışmayı iyi tamamlamasını sınırlayın. Bu eklenti kolay değil. Bilgisayar korsanları VPN kullanıyorsa, IP’lerini sıfırlayın veya birçok IP ile saldıran bir program kullanırsa, bunları kolayca geride bırakabilirler. Bu yüzden birkaç güvenlik katmanı eklemek önemlidir. 6. Giriş sayfalarını gizleme WordPress ile ilgili büyük bir sorun, giriş sayfasını bulmak ve bir şifre kırıcı komut dosyası çalıştırmaya başlamak çok kolaydır. Herhangi bir WordPress site adresine sadece /giriş, /admin, OR /wp-login.php add, bir giriş istemi ile sunulacaktır. Konumu değiştirmek herkesi aldatmaz, çünkü onu bulmanın başka bir yolu vardır, ancak meydana gelen bazı saldırıları durdurabilir veya devam eden bir saldırıyı erteleyebilir. WPS gizleme girişi, giriş sayfanızın URL’sini bu kadar basit değiştirmenize olanak tanır. Kimse normal giriş sayfasına erişemez. Bir çözüm olmasına rağmen, bu hack çabalarının çoğunu durduracaktır. 7. WordPress’i güncellemeye devam edin 2018’de, WordPress hacklemenin% 44’ü güncel yazılım biterken gerçekleşir. Kaba zorlama genellikle böyle bir güvenlik açığı kullanmaz, ancak WordPress’i güncel tutmanın ne kadar önemli olduğu belirtilmelidir. Gösterge Tablosunu Aç>
Şimdi güncelleyin ve WordPress’in en son sürümünü çalıştırdığınızdan emin olun. Ayrıca web sitenizi manuel olarak veya UpdraftPlus gibi eklentilerle ayırmanız gerekir. Birisi bunu yaparsa, makaleleri ve sayfaları silebilir, istenmeyen görüntüler ve metin eklemek için değiştirebilir ve hatta temanıza tehlikeli bir kod enjekte edebileceklerdir. Yedeklemeyle, düğmeyi tıklayıp her şeyi normale döndürmeniz yeterlidir. Olmadan, hasar görebilecek herhangi bir şeyi manuel olarak geçirmeli ve düzeltmelisiniz. Silinen her şey sonsuza dek kaybolacaktır. WordPress’e Brute Force saldırısını durdurun Siteniz saldırıya uğrarsa, hasarı onarmak günler veya haftalar sürer. Saldırganlar makaleleri silebilir, kullanıcıları silebilir, ana sayfalarınıza zarar verebilir ve hatta web sitenize çıkarılması zor olan kötü amaçlı yazılımları yerleştirebilir. Ve e -postanız da saldırıya uğrarsa, her şeyi kaybedebilirsiniz. Daha iyi bir şifre yapmak, hacklemeyi önlemenin en iyi yoludur, ancak girişinizi kilitlemeye çalışabileceğiniz başka teknik yöntemler de vardır. Güvenlik eklentisini veya güvenlik duvarını yüklemek, iki faktör kimlik doğrulamasını etkinleştirmek ve giriş çabalarını sınırlamak, kaba kuvvet saldırısından kurtulmak veya başından beri durdurmak için en iyi şansı verecektir. Şimdi hikayenizi yorumlarda duyalım: WordPress siteniz hiç hacklendi mi? Ne oldu ve erişim elde etmeyi nasıl başardınız?
