Securi’nin blogundan duyurduğu üzere wordpress sitelere kaba kuvvet saldırısı başlamış. Saldırılar genel olarak wp-login.php sayfasını hedef alıyor. Bazı verimerkezleri wordpress kurulu sunucuların fişini çekmiş.
Güvenlik dediğimiz kavram oldukça geniş bir tabir olduğundan bu sorunla nasıl baş edebileceğinize değinelim.
Güvenlik önemlerine başlamadan önce şifrenizin gerçekten güçlü bir şifre olduğuna emin olunuz. Ayrıca kullanıcı adı olarak “admin” kullanmamanızda faydalı olacaktır.
1) Wp-login.php dosyasının adını değiştirin!
Sitenize gelen saldırı gücü çok fazlaysa en basit ve etkili yöntem wp-login.php sayfasının adını değiştirmek olacaktır.
2) “Limit Login Attempts” eklentisi
WordPress kullananların çoğu shared hosting kullanarak sitelerini barındırdığından alabileceğimiz en temel güvenlik önlemi sanırım eklenti bazında olacaktır. Limit login attempts eklentisi bu konuda yeterince yardımcı oluyor. Eklentinin adından da tahmin edebileceğiniz üzere belirli ip adresinden maksimum yanlış giriş sayısına göre, yine sizin belirlediğiniz zaman aralığında ip adresini banlayarak girişi engelliyor.
Eklentiyi indirmek için tıklayın.
3) Htaccess’in gücünden faydalanın!
Kalıcı bağlantılar için kullandığınız .htaccess dosyanızın aynı zamanda ip adresi filtreleyebileceğini unutmayın.
4) ROOT yetkiniz varsa?
Eğer wordpress sitenizi kendinize ait root yetkiniz olan bir sunucuda barındırıyorsanız iptables kuralları yada sunucu tarafında kurabileceğiniz çeşitli eklentilerle (uygulama sunucunuz için) güvenliği artırabilirsiniz.
5) Cloudflare deneyebilirsiniz.
Cloudflare tarzı dns hizmeti sunan servisleri deneyebilirsiniz, ip adresinin spam olup olmadığını yüksek oranda anladıkları için “saldırgan” trafiğin sitenize gelmesine engel olacaktır.
6) Kompleks çözümler deneyin.
Aslında güvenlik konusu oldukça hassas bir nokta olduğundan arkaplandaki işleri ne kadar karışık hale getirirseniz o kadar iyi 🙂 WordPress eklenti dizinindeki güvenlikle ilgili diğer eklentileride test edebilirsiniz.
Bu konu ile ilgili olarak Matt Mullenweg’de kendi blogunda açıklamada bulundu. Okumak için tıklayınız.
Şimdilik aklıma gelenler bu kadar, unutmayın wordpress olduça güvenli bir yazılım. Ancak baştada belirttiğimiz gibi güvenlik çok geniş bir kavram gözlerinizi açık tutun 🙂
Bir cevap yazın