Birkaç büyük kaynak, şu anda konuştuğumuz gibi WordPress ve Joomla sitelerini hedef alan toplu kaba kuvvet saldırıları olduğunu doğruladı. HostGator, InMotion Hosting, LiquidWeb ve diğer birçokları müşterilerini bu konuda bilgilendirdi. Hacker botnet'i 90.000'den fazla farklı IP içeriyor ve çok yaygın hatalar yapan WordPress'e yeni başlayanları avlıyorlar. Evet, hepsi korkutucu geliyor, bu yüzden hacklenme şansınızı azaltmak için yapmanız gerekenler şunlardır.
1. Yönetici kullanıcı adını kullanmayı bırakın
Yeni başlayanlar genellikle admin, administrator, test, root gibi çok yaygın kullanıcı adları kullanır. Sucuri'deki arkadaşlarımız bu kullanıcı adlarının şu anda yoğun bir şekilde hedef alındığını bildirdi. Eğer admin gibi genel bir WordPress kullanıcı adınız varsa, hemen değiştirmeniz gerekir.
Size WordPress'te kullanıcı adınızı nasıl değiştireceğinizi gösterecek, takip etmesi kolay bir öğreticimiz var.
2. Güçlü bir parola kullanın
Lütfen, lütfen, lütfen çok güçlü bir şifre kullanın. Bu kaba kuvvet saldırıları, insanların kullandığı en yaygın şifrelerin tümünü hedeflemeye çalışır. Güçlü bir şifre, büyük ve küçük harfler, sayılar ve semboller içerir. Aynı şifreyi birden fazla yerde kullanmayın. 1Password veya LastPass gibi bir şifre yönetim çözümü kullanmaya başlamak asla geç değildir.
3. İyi Yedekler Tutun
Web siteniz için sahip olabileceğiniz en iyi güvenlik harika bir yedekleme çözümüdür. Aylık bir hizmet olan VaultPress kullanıyoruz. Ancak, aylık ödeme yapmak istemiyorsanız, BackupBuddy almanızı şiddetle tavsiye ederiz.
Çoğu hosting şirketi yapmadığı için sitenizin iyi yedeklerini alın.
4. İki Faktörlü Kimlik Doğrulama Kullanın
iki faktörlü kimlik doğrulama kullanmaya başlayın. Bu şekilde biri parolanızı tahmin etse bile, güvenlik kodu olmadığı için sitenize erişemez. Bunu hemen yapmanızı şiddetle tavsiye ederiz.
5. WP-Admin'i Şifre ile Koruyun ve Oturum Açma Denemelerini Sınırlayın
Kullanıcılarımıza her zaman giriş denemelerini sınırlamalarını öneririz. Ancak bu tek başına tüm saldırıları engelleyemez çünkü bu botnet 90.000 IP içeriyor. Yapabileceğiniz bir diğer şey de WP-admin dizininizi parola ile korumaktır. Ayrıca wp-login.php dosyanızı belirli bir IP ile sınırlayabilirsiniz.
6. Sucuri kullanmaya başlayın
Sucuri kullanmıyorsanız, Sucuri'yi kullanmaya başlamanızı şiddetle tavsiye ederiz. Her zaman işin başındalar ve WordPress güvenliğimiz söz konusu olduğunda daha fazla güveneceğimiz kimse yok. Sucuri'yi kullanmamızın 5 nedenini görün.
Bu saldırıların nihai amacının ne olduğundan emin değiliz, ancak ne olursa olsun kullanıcılarımızın buna yenik düşmesini görmek istemeyiz. Lütfen sitelerinizi güncel tutun ve yukarıdaki tüm ipuçlarını izleyin.
Jiří Vaněk
Şahsen, başka bir ipucu öneririm. Yönetici alanını korumak için bir GEO-IP eklentisi kullanıyorum, bazı web siteleri için erişim yalnızca belirli ülkelere kısıtlanmıştır ve diğerleri için belirli IP adresleriyle sınırlıdır. Bu oldukça iyi bir koruma sağlar çünkü yönetici erişimi belirli IP adresleriyle kısıtlandığında, bir saldırganın şansı oldukça azdır.
Bir eklenti kullanmak istemeyenler için, .htaccess dosyasını kullanarak yönetici erişimini belirli IP'lerle sınırlayabilirsiniz. Oldukça basittir ancak çok etkili bir çözümdür.
Janet
Müşterilerim için siteleri güvence altına almakla uğraşıyorum ve wp-admin klasörlerini şifre ile korumam gerekiyor. Bir sorun yaşıyorum ve umarım biri yardımcı olabilir. O klasörü şifre ile korumak için cPanel'e gittiğimde, Frontpage Uzantılarının yüklü olduğuna dair bir hata alıyorum, bu da şifre ile korumayı engelliyor. Uzantıları kaldırmaya gittiğimde şu mesajı alıyorum:
Uyarı: FrontPage uzantılarının yüklenmesi veya kaldırılması, tüm ".htaccess" dosyalarının kaybolmasına neden olacaktır. ".htaccess" dosyalarınızda yaptığınız tüm değişiklikler kaybolacaktır.
Bu sayfada talimat verildiği gibi bir .htacess yedeği oluştursaydım https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , bu yeterli olur muydu?
Yardımınız ve ÇOK faydalı bilgileriniz için teşekkürler!
Yayın Kadrosu
Yedekleriniz olduğu sürece, işiniz tamamdır.
Yönetici
Janet
Teşekkürler! .htacess ile bazı sorunlar yaşadım, ancak web barındırıcımız her şeyi bizim için düzeltti. Yardımlarınız için çok teşekkürler!
Sarah B R
Merhaba,
İki adımlı kimlik doğrulama için yönergelerinizi takip ettim ve birkaç gün önce ilk seferde sorunsuz çalıştı.
Bugün giriş yapmak istedim ve telefonumdaki uygulamaya gittim ancak eklediğim wordpress hesabı hiçbir yerde bulunmuyor. Bu yüzden şimdi giriş yapamıyorum.
Yardımınız için teşekkürler.
Yayın Kadrosu
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Yönetici
Edwin Lynch
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh
Oturum kilitleme, Wordpress blogunu kaba kuvvet saldırılarından korumak için en iyi eklentidir
Robert Connor
Sitemin yönetici paneli her gün giriş denemeleriyle bombardımana tutuluyor, harika tavsiyeler!
Jane
Kaba Kuvvet saldırısına uğradığınızı nasıl anlarsınız? Müşterim son zamanlarda WP sitesiyle ilgili sorunlar yaşıyor, bu yüzden bununla ilgili olup olmadığını merak ediyorum.
Jennifer
Şu anda kaba kuvvet saldırısına uğrayan bir sitem var. AMANSIZ. Site SUCURI kullanıyor (çok şükür!) ve onlar bizim için bir temizlik yaptılar bile.
Harika bilgiler için teşekkürler Syed & ekibi. İki faktörlü kimlik doğrulamayı az önce ekledim ve diğer önerilerinizi en kısa sürede uygulayacağım.
Esther
Ücretsiz videoya verdiğiniz bağlantı için teşekkürler, dün WP sitemi başlattım, bir Blogger sitesi çalıştırdıktan sonra ve bu bana çok zor geliyor! Oldukça teknoloji meraklısıyım, bu yüzden sorunumun ne olduğunu bilmiyorum, sadece bir sorunum olduğunu biliyorum! lol
Keith Davis
Selam millet
Sucuri web sitesindeki makaleyi okuyun – ben de o adamlarla birlikteyim ve birkaç başka güvenlik önlemi kullanıyorum.
Az önce #WordPress'te size bir çağrı yaptım
Scott Hack
3.6 için çekirdeğe giriş limiti eklenmesini görmek isterim