Online güvenlik başlı başına bir iştir ve büyük şirketlerde, tüm önemli yönleriyle ilgilenen uzman BT uzmanları vardır. Fakat kişisel bir blog işleten tek kişilik bir şirket olsanız bile, web sitenizin güvenliğini artırmak için atabileceğiniz adımlar vardır.
Bu yazıda, WordPress web sitenizi DDoS saldırılarından nasıl koruyacağınızı göstereceğiz. Ama bir adım geriye gidelim: WordPress DDoS saldırıları nedir ve web sitenize nasıl zarar verebilirler? Nasıl yapılır kısmına geçmeden önce bu soruları cevaplayacağız.
İşte tartışacaklarımız:
-
DDoS Saldırısı Nedir?
-
Bir DDoS Saldırısı Web Siteme Nasıl Zarar Verir?
-
DDoS Saldırıları Neden Olur?
-
Rest API’yi Devre Dışı Bırakarak DDoS Saldırılarına Karşı Koruma
-
XML-RPC’yi Devre Dışı Bırakarak DDoS Saldırılarına Karşı Koruma
-
DDoS Saldırılarına Karşı Defender Güvenlik Eklentisi Nasıl Kullanılır?
-
Güvenlik Duvarı Kullanarak DDos Saldırılarından Korunma
-
Diğer Her Şey Başarısız Olduğunda – Geri Döndür
DDoS Saldırısı Nedir?
DDoS, Dağıtılmış Hizmet Reddi anlamına gelir. Gelişmiş bir DoS veya hizmet reddi saldırısı biçimidir: amacı bir web sitesinin, sunucunun, hizmetin veya ağın normal trafiğini bozmak olan bir saldırı biçimidir.
DDoS, kötü bir aktörün eylemi gerçekleştirmek için kullandığı bir cihaz ağı (bir botnet) tarafından gerçekleştirilen saldırı sayesinde dağıtılır. Bir saldırının bir ağa dağıtılması, tespit edilmesini ve engellenmesini zorlaştırır.
Saldırının kendisi, bir sunucunun kapasitesini aşarak çalışır: istek seli ile başa çıkmaya çalışırken, yavaşlar veya çöker, hepsine hizmet veremez.
Bir DDoS Saldırısı Web Siteme Nasıl Zarar Verir?
İlk olarak web sitenizin yavaş çalışmasına veya çökmesine neden olur. Bu durum ziyaretçilerinizin kullanıcı deneyimi ve trafiğiniz üzerinde çok gerçek ve belirgin bir olumsuz etkidir. Online bir mağaza işletiyorsanız satışlarınızı kaybedebilirsiniz, içerik barındırıyorsanız ziyaretçileriniz içeriği almak için başka yerlere gidecektir.
İkincisi, arama motorları ve müşteriler nezdindeki itibarınızı kaybedebilirsiniz. Gerektiğinde ulaşılamayan bir web sitesi, potansiyel geri gelen ziyaretçiler tarafından dışlanırken, otorite, güven ve alaka düzeyi gibi SEO metrikleri de etkilenebilir.
Son olarak özellikle destek personeli kiralamanız veya bir siber güvenlik çözümüne yatırım yapmanız gerekiyorsa, verilen zararı geri almanız size mal olabilir.
DDoS Saldırıları Neden Olur?
Bir WordPress DDoS saldırısının hedefi haline gelmenizin birçok nedeni vardır. Örneğin bazı kötü niyetli kişiler, saldırıyı durdurmak için sizden para sızdırma umuduyla web sitenizi bir DDoS saldırısına maruz bırakabilir.
Ya da birisinin politik olarak tartışmalı bulduğu ve politik nedenlerle web sitenizi itibarsızlaştırmak için saldıracakları bir içerik barındırıyor olabilirsiniz.
Son olarak rakipleriniz web sitenize zarar vermeye veya itibarını sarsmaya çalışmak isteyebilir ve bunu bir DDoS saldırısı kullanarak yapmak için bir bilgisayar korsanı tutmaya karar verebilir.
Gördüğünüz gibi, hiç kimse vicdansız bilgisayar korsanlarına karşı tamamen güvende değildir ve belirli bir sebep olmaksızın bu tür saldırılara maruz kalabilir. Bunun dışında, kendinizi korumanın bazı yollarına bir göz atalım.
Bant Genişliğini Artırın
Kendiniz veya başka bir barındırma sağlayıcınızla daha iyi bir plana yükselterek bant genişliğini artırabiliyorsanız, bunu yapmak sizi DDoS saldırılarına karşı koruyabilir. Ne de olsa, bir DDoS saldırısının yaptığı tek şey bant genişliğinizi tüketmek. Bant genişliği kapasiteniz, saldırganın web sitenizi isteklerle doldurma yeteneğini aşarsa, saldırı etkisiz olacaktır. Fakat bu, saldırının kendisine karşı savunma açısından hiçbir şey yapmaz.
Bir CDN kullanın
Bir CDN veya İçerik Dağıtım Ağı, istekte bulunana en yakın sunucunun isteği almasını sağlayan bir sunucu ağıdır. Öncelikle gecikmeyi azaltmak (yükleme sürelerini iyileştirmek) için tasarlanmış olsa da, bir CDN kullanmanın web sitenizi DDoS saldırılarından koruma açısından belirli faydaları olabilir.
Bir CDN, bir botnet operatörüyle aynı taktikleri etkili bir şekilde kullanarak sizi bir DDoS saldırısından korur: istekleri birden fazla sunucu arasında dağıtarak web sitenizin aşırı yüklenmemesini sağlar. Şans eseri, aralarından seçim yapabileceğiniz çok sayıda CDN sağlayıcısı var.
Sunucu Düzeyinde DDoS Koruması Kullanın
Bazı barındırma sağlayıcıları, şu anda kullanmakta olduğunuz paket anlaşmasının bir parçası olarak DDoS koruması sunar; bu, zaten bir miktar korumaya sahip olabileceğiniz anlamına gelir. Diğerleri bunu ek bir ücretli hizmet olarak veya farklı bir paketin parçası olarak sunabilir. Varsa, sizi DDoS saldırılarından korumaya istekli bir barındırma sağlayıcısı seçin veya karşılayabiliyorsanız DDoS korumalı bir pakete geçin.
Rest API’yi devre dışı bırakın
Rest API, eklentilerin ve geliştirici araçlarının WordPress verilerinize erişmesine ve WordPress içeriğinizi düzenlemesine veya silmesine izin veren bir WordPress özelliğidir. WordPress’in normal çalışması için inkar edilemez derecede yararlı (hatta gerekli) olsa da, bilgisayar korsanları için bir erişim yolu temsil eder. Devre dışı bırakmak bu caddeyi kapatacaktır.
JSON Rest API’yi devre dışı bırakmanın en az iki yolu vardır: Disable WP REST API gibi bir eklenti kullanmak veya functions.php dosyanıza kod eklemek. Bununla birlikte Rest API’yi tamamen devre dışı bırakmanın, Gutenberg kullanıyorsanız gönderilerinizi düzenlemenizi veya yayınlamanızı engelleyeceğini ve diğer belirli eklentiler veya işlevlerle ilgili sorunlara neden olabileceğini unutmayın. Yukarıda bağlantısı verilen makalemizde bu sorunlardan kaçınma hakkında daha fazla bilgi edinin.
XML-RPC’yi devre dışı bırak
XML-RPC, üçüncü taraf uygulamalarının web sitenize erişmesine izin veren bir sistemdir. Çok sık kullanılmaz. Fakat web sitenize bir arka kapı sunabilir. Web siteniz için XML-RPC’yi devre dışı bırakmak çok zor değil: .htaccess dosyasını bulup aşağıdaki kodu ona ekleyerek hızlı ve kolay bir şekilde yapabilirsiniz:
<Files xmlrpc.php> order deny,allow deny from all </Files>
Bunun, mobil cihazınızdaki WordPress uygulamasını kullanarak web sitenize erişmenizi engelleyeceğini unutmayın (zaten kullanıcıların küçük bir azınlığı tarafından kullanılır).
Defender Güvenlik Eklentisini Kullanma
Yukarıdaki eylemler ve diğer bazı yararlı güvenlik uygulamaları, WordPress ile yerleşik olarak gelmez. Bir eklenti yükleyerek bu araçları güvenlik araç kutunuza ekleyebilirsiniz ve önerdiğimiz eklenti Defender Security eklentisidir.
Eklentiyi kurup etkinleştirdikten sonra, WordPress kontrol panelinizden Defender’a giderek güvenlik kontrollerine erişin.
Eklentiyi kullanmak için yapılandırmanız gerekecek. Başlamak için Etkinleştir ve Yapılandır düğmesine tıklayın.
Eklenti, yapılandırma sürecinden otomatik olarak geçecektir. Tamamlandığında, Bitir düğmesine tıklayın.
Daha sonra eklentinin ana ekranına yönlendirileceksiniz. Burada pek çok farklı bölüm var. Fakat asıl ilgi alanınız Öneriler bölümü olmalıdır. Erişmek için Tümünü Görüntüle düğmesini tıklayın.
Açıklanan iki ana güvenlik açığından, XML-RPC’yi Devre Dışı Bırak denetimini kullanarak hem Rest API’yi (Dosya düzenleyiciyi devre dışı bırak denetimi olarak gösterilir) hem de XML-RPC’yi devre dışı bırakabileceksiniz. Tüm önerileri kabul etmek için Toplu İşlemler açılır menüsünü kullanabilir veya sırayla her birini ve ardından gerekli düğmeyi tıklatarak seçeneklerden seçeneklere gidebilirsiniz.
Eklentinin iki faktörlü kimlik doğrulama ve giriş sayfası maskeleme gibi diğer güvenlik özelliklerini keşfetmenizi öneririz.
Bir Güvenlik Duvarı Kurun
Hatta bir güvenlik duvarı kullanarak DDoS saldırılarını önleyebilirsiniz. WordPress için en iyi güvenlik duvarı eklentileri listemizde birkaç iyi çözüm vardır ve yukarıda açıklanan Defender’ın da kendi güvenlik duvarı özelliği vardır. Fakat bundan tamamen yararlanmak için eklentinin tam sürümüne yükseltmeniz gerekir.
Defender eklentisini yükseltmek istemiyorsanız, listemizdeki eklentilerden birini seçip (DoS/DDoS koruma özelliğine sahip olduğundan emin olarak) basitçe etkinleştirebilirsiniz. Bazı eklentiler, bu adreslerin sahipleri bir DDoS saldırısı kullanarak web sitenize zarar vermeye devam ederse, belirli IP adreslerini yasaklamanıza da izin verir. Bir güvenlik duvarı, bazı güvenlik duvarlarının yapabileceği gibi normal web sitesinin çalışmasını etkiliyorsa, eklentinin geliştiricisine danışın.
Şüpheli IP Adreslerini Kara Listeye Alın
Bu adım, yukarıdakilerle bağlantılıdır: aynı birkaç IP adresinden art arda çalışmaya devam eden kalıcı bilgisayar korsanları, belirli güvenlik duvarı eklentileri kullanılarak engellenebilir. Fakat web sitenizden şüpheli IP adreslerini engellemenin başka yolları da vardır. Bununla birlikte bu, kendi makalesini hak eden geniş bir konudur ve bu bölümde bağlantısı verilen makaleden fikir edinebilirsiniz (ve almalısınız).
Diğer Her Şey Başarısız Olduğunda – Geri Döndür
Güvenli olmayan bir eklenti veya tema yükleyerek bir güvenlik açığı oluşturmuş olma ihtimaliniz vardır. Bu durumda, web sitenizin çalışır durumdaki en son sürümüne geri dönerseniz, kendinizi DDoS saldırılarından koruyabilir ve güvenlik açığını ortadan kaldırabilirsiniz.
Web sitenizi manuel veya otomatik olarak yedeklemenin pek çok yolu vardır. Fakat bunlar bu makalenin konusu değildir. Yine de, web sitesinin önceki bir sürümüne geri dönmenin, siz veya personeliniz onu düzeltene kadar güvenlik açığını ortadan kaldırabileceğini belirtmekte fayda var.
Konu Özeti
Gördüğünüz gibi, web sitenizi DDoS saldırılarından korumak için yapabileceğiniz çok şey var. Güvenliğinizi artırmak ve web sitenizi müşterileriniz ve diğer ziyaretçileriniz için sürekli erişilebilir kılmak için bu basit ekstra adımları uygulayın.