WordPressde DDoS saldırılarına karşı korunun

WordPress popülerliğine kimse itiraz edemez. Dünyada popüler şeylere saldırı gayet normal hale gelmiştir. WordPress siteleri saldırmak artık genel bir eğilim olmuştur. İster wordpress siteniz marka olsun olmasın bu bir normal bir davranıştır. Bu adamcıklar genellikle hedefe aldığı siteleri ortak bir kod yada kitleleri kullanırlar. Ben bunlara dilim söylemeye varmıyor ve elim yazmaya el vermiyor. Ben bunlara script çocukları diyorum.

Neyse konumuzdan biraz uzaklaşalım. Normal hayatımızda bir başarı elde ettiysek ardı gelmesin diye gizliden ya da açıktan birileri size hiçbir açığınızı bulamazsa yürümenize, konuşmanıza bir anlık dalgın halinizde ne düşünüyordun diye eleştirirler, söylenirler. Siz adam değil insan oluncaya kadar bu saldırılar devam edebilir. Artık başarılı olunca hainler en yakınlarınızda olabilir.

Wordpressde DDoS saldırılarına karsı korunun

 

WordPressde DDoS saldırılarına karşı korunmak için işe serverle başlayın.

Sitenizi güvenliğini düşünmek barındırma, sunucu ilk etapta güvenli olduğundan emin olun. Güvenli ve itibarlı ve fiyata dayalı bir host seçmek gerekir. Bazı web sunucuları hostnuzu DDoS saldırılarına karşı sizi korumaz, korumayabilir. Zaten bu anlaşmanızda mutlaka bu madde olması muhtemeldir. Server firmasına küçük cüzzi para karşılığında koruma sağlayabilir. Zaten DDoS saldırılarında asla kimse %100 garanti veremez.

DDoS saldırılarını durdurmak için https://www.cloudflare.com ücretsiz koruyabilirsiniz. Zaten dünyada ücretsiz olarak tek hizmet veren sitedir. Ayrıca http://www.sordum.net/12224/cloudflare-ile-web-sayfalarinizi-koruyun sitesinden cloudflare ile DDoS ataklarını nasıl önlem alacağınızı öğrenebilirsiniz. https://blog.sucuri.net web sayfası ile ücretli bir korumada sağlayabilirsiniz.

WordPress Güvenlik Eklentileri

Elbette WordPress için mevcut güvenlik eklentileri çok sayıda bulunmaktadır. Bunlardan birini yada bir kaçını seçin. Yüklemeden önce, kullandığınız herhangi bir eklenti desteğine ve sık sık güncelleme olup olmadığını kontrol edin. Güncelleme desteği kalkan eklentinin alternatifini kullanın.

Aşağıdaki yapılandırmalar kodlama ya da temel sistem adamları görevleridir. Ya da aşina ileri düzey kullanıcılar için olduğunu unutmayın. Eğer değilseniz, o zaman sizin için bu ayarları yapmak için web geliştiricilere sorun. Bu adımları yapmadan önce sitenizi mutlaka bir yedeğini alın.

ddos saldırı

Kodlarla WordPress siteye müdahale etme:

Unutmayın her kod wordpress sürümü ile çalışmayabilir.

Otomatik Güncelleştirmeler uygula:

Önemli güncelleştirmeleri otomatik olarak WordPress gerçekleştirebilirsiniz. Bu işlemi için koda küçük bir değişiklik yapabilirsiniz.

Elle bunu yapmak için ihtiyaç (sadece küçük güncellemeler daha sonra WordPress v.3.7 otomatik uygulanır ) kaldırır. Bir şey yanlış giderse yedekleme için sitenizi dışarı alır.

Güncelleştirmeleri etkinleştirmek için, aşağıdaki kodu uygulayın;  wp-config.php dosyası:

#Enable all core updates, including minor and major:

define ( ‘WP_AUTO_UPDATE_CORE’, true );

Bu size makul sık güncelleme olmayan eklentileri kullanırsanız otomatik güncellemeler ile bir sorun yaşarsanız eklentileri korunur.

PHP Hata Raporlama devre dışı bırakma:

Kullanmakta olduğunuz bir eklenti ya da tema bir hata yaparsa, o zaman ortaya çıkan hata mesajı da bilgisayar korsanları tarafından ele geçirilebilir. Sunucu yolunu göstermesi mümkündür. Aşağıdaki kodu ekleyerek hata bildirimini devre dışı bırakmalısınız.

wp-config.php dosyası:

error_reporting (0);

@ini_set (‘display_errors’, 0);

Yapılandırma dosyaları düzenleme geldiğinde emin değilseniz. Alternatif olarak, o zaman sizin için devre dışı bırakmak için web barındırma hizmetine sorabilirsiniz.

Brute Force Saldırıları durdurun:

WordPress sitenizde muhtemelen her gün kaç oturum açma girişimleri izlemek imkanız olsa bu iş için Limit Login Attempts işini en iyi yapan eklentilerden biridir. Karmaşık şifreler kullanılarak bir dereceye kadar önlenebilir saldırılardır. Bu tür saldırılar genellikle yönetici şifrenizi tahmin etmeye çalışır bir botnet olabilir. Riski azaltmak ve HTTP AUTH ile giriş ekranı seviyesinde ekstra bir koruma katmanı ekleyerek en kaba kuvvet saldırıları durdurabilir.

Bunu yapmak için öncelikle kurarak dizin parola ile korumak için gerekir  .htaccess parola koruması. Bunu yaptıktan sonra, aşağıdaki kodu eklemeniz gerekir.

.htaccess dosyası:

#Protect wp-login

<files wp-login.php=””>

AuthUserFile ~/.htpasswd

AuthName “Private access”

AuthType Basic

require user mysecretuser

</files>

Bu kullanıcı adınızı ve şifrenizi koymak için doğrulama kutusu açılacaktır ve daha sonra normal WordPress giriş ekranında giriş ekranı yerini alır.  Elbette her ikisi için farklı parolalar kullanmalısınız.

Ayrıca giriş girişimi ve sonra onları dışarı kilitleme IP adreslerini takip ederek saldırıları engelleyebilirsiniz. Ya da, sadece kendi adına ya da başka bir şey için ‘yönetici’ admin kullanıcı adı değiştirin ve sonra varsayılan yönetici kullanıcı profili silebilirsiniz. Site genelinde yönetim hakları olan tek kişi olmalıdır.

URL Tabanlı Exploits:

Bunlar gerçekten bir hata dönmesi gerekir ama bazen tamamlanırda. URL istekleri yaparak sitenin zayıf noktaları bulmak girişimi hackerlar için karanlıkta bir bıçak vardır.

 

URL gibi görünebilir: http://yourwebsite.com/your/files/%3G/config

Genellikle, bir hacker bunu aşmak için, bu yüzden öncelikle URL içinde bir açılış dirseğini kullanacak, bu dirsek içeren herhangi bir isteği durdurmak için 403 Yasak sayfa oluşturmak için gereklidir. Bunu yapmak için, sadece  .htaccess dosyasına aşağıdaki satırı yapıştırın:

RedirectMatch 403 [

Daha karmaşık bir kural kümesi oluşturmak için, tüm kodu kendiniz yazmak gerekmez. Bu işe aşina iseniz  .htaccess ve sitenizin bir Apache sunucu üzerinde 5G Firewall kullanabilirsiniz.

Ayrıca bga.com.tr sitesinden DDoS saldırıları ve korunma yollar pdf kitapcığından faydalanabilirsiniz.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir