Son zamanlarda WordPress sitelere Brute Force saldırılar artmaya başladı. Bazı büyük host firmaları bu konuda kullanıcılarını uyarıyor. Brute Force saldırı yöntemi hakkında kısaca bilgi vermek gerekirse, sitelerin login sayfalarında deneme yanılma ile şifreleri bulmaya çalışan programlar ile yapılan saldırılardır. Genel olarak hala zayıf password kullananlar oldukça çok ve bu yöntemin işe yaradığı sitede haliyle bir o kadar çok. Makalemiz de bu saldırı yönteminden korunmak için almamız gereken başlıca önlemleri listeleyeceğiz.
Evet, pek çok kişi kullanıcı adını admin yapmakta ısrarcı yada admin dışında başka bir terim kullanabileceğinin farkında değil. eğer k.adınız admin ise biran önce tahmin edilemeyecek bir k.adı ile değiştirin. Kullanıcı profilinden k. adı değiştirilmiyor, bunun için mysql den değiştirmeniz gerektirdğini hatırlatalım.
Brute Force saldırılarında kullanılan paralo listelerinde en çok kullanılan parolalar mevcut, lütfen sadece sayılardan oluşan parolalar kullanmaktan vazgeçin, parolanızda büyük harf, küçük harf, sayı ve sembol mutlaka bulundurun, mümkün olduğuncada uzun bir parola oluşturun ( dikkat edin sizde unutmayın :} )
Tüm önlemleri alın ancak tedbiri hiç bir zaman elden bırakmayın. Eğer kaliteli bir host firmasıyla çalışıyorsanız bu konuda telaşlanmanıza gerek yok, onlar zaten haftalık yada aylık yedeklerinizi alacaktır, Ancak host sağlayıcınız yedeklerinizi almıyorsa bu konuda sorumluluk sizde ve düzenli olarak yedeklerinizi almanız gerekli yada kaliteli bir hosta geçiş yapmalısınız.
Önlemlerimizi daha da arttırıp çift kimlik doğrulama ile şifremizi tahmin eden bir şekilde öğrenenler için de bir önlem almış oluruz. google authenticator eklentisi işinizi görecektir.
Brute Force saldırılarında kullanılan programlar doksan bin farklı ip içermekte, bu yüzden sitenize login olanların ip adresleri ile login kısıtlaması yapabilirsiniz. Sadece kendinizin ve varsa diğer login hesaplarının kullandığı ip adreslerini kabul edin. Bu konuda detaylı bir yazı yazacağız en kısa sürede.
Brute Force saldırılarından korunmak için listelediğimiz 5 başlık bize maksimum korunma sağlayacaktır. Bir sonraki yazımızda wp-admin klasörü güvenliği ve login ip kısıtlamayı anlatacağız.