Bu kadar yaygın bir sistemin saldırıların hedefi olması da sürpriz değil. Fakat WordPress uzun zamandır bu çapta bir saldırı almamıştı. Bir süredir WordPress sitelerini hedef alan saldırıların arttığını kullanıcılar hissediyorlardı ama son birkaç gün içerisinde o ana kadar olan saldırıların sadece birer deneme olduğu anlaşıldı.
Şu anda dünyadaki hemen hemen tüm WordPress sitelerine 90 bin IP’ye sahip olduğu tahmin edilen dev bir botnet saldırısı devam ediyor…
CloudFlare bir saat içerisinde 60 milyon saldırıyı engellediğini söylüyor ve bu da saldırının çapını gözler önüne sermek açısından oldukça önemli bir rakam. WordPress sitelerin kullanıcı adı ve şifrelerini bulmaya çalışan brute force saldırısının ardındaki botnet’in bir saniyede yaklaşık 2 milyar kullanıcı adı/şifre denemesinde bulunabilecek güce sahip olduğu düşünülüyor.
WordPress’in kurucusu Matt Mullenwg konuyla ilgili bir blog yazısı yayınladı ve kolay şifreler konusunda WordPress kullanıcılarını uyardı. CloudFlare ise bu saldırı için hem ücretli, hem ücretsiz kullanıcıları için bir yama yayınladı.
WordPress’in güvenlik konusunda bilgiler paylaştığı özel bir sayfa var (İngilizce). Buna göz atmanızı öneriyoruz ama şu aşağıdaki birkaç önlem ile güvenliğinizi artırabilirsiniz.
Şifreleri güçlendirin
Öncelikle kullanıcı adınız admin olmasın ve şifreniz kolay tahmin edilebilecek veya herhangi bir sözlükte yer alan bir sözcükten ibaret olmasın. Şifreniz ne kadar karmaşıksa brute force ile ele geçirilmesi o kadar zorlaşacaktır.
Wp-config.php dosyasını korumaya alın
WordPress kurulumunuzun kalbi sayılabilecek bu dosya veritabanı bilgileri, kullanıcı adı ve şifre gibi son derece hassas bilgiler içerir. Normal şartlarda standart kurulum ile WordPress’in altında yer alan bu dosyanın yanlış ellere geçmesi pek kolay değildir. Fakat yeri net olarak hemen herkes tarafından tahmin edilebilecek olan bu dosya hacker’lar tarafından özel olarak hedeflenebilir.
Sunucu veya PHP kurulumundaki bir hata nedeniyle wp-config.php’nin gözler önüne serilmesini istemiyorsanız, bu dosyayı bir üst klasöre taşıyabilirsiniz. Özellikle WordPress kurulumunu doğrudan alan adının en üst klasörüne değil, alt bir klasöre yaptıysanız bu sayede en azından bu dosyayı hedefleyen olası bir saldırganın işini zorlaştırabilirsiniz.
Veri tabanını yedekleyin
En başta da belirttiğimiz gibi dijital dünyada yüzde 100 güvenlik diye bir şey yok. O yüzden güvenlik önlemleri, olası bir “felaket sonrası” senaryosunu da içeriyor olmalı. WP DB Backup adlı eklenti, WordPress veri tabanınıza ait tabloların yanı sıra diğer tabloları da yedekleyerek, olası bir saldırının ardından verilerinizi kaybetmenizi önlemenizi sağlayabilir.
Sisteme giriş denemelerini kısıtlayın
WordPress sitelerinde en sık karşılaşılan saldırı tiplerinden biri deneme yanılma üzerine kurulu ve botlar tarafından gerçekleştirilen kullanıcı adı – şifre kombinasyonlarının sürekli olarak denenmesi ile gerçekleşir. WordPress standart kurulum ile sınırsız deneme izni verdiği için sonucunda saldırgan ya doğru kombinasyonu bulur, ya da aşırı deneme sonucunda sunucuda ciddi bir kaynak tüketimine neden olur.
Limit Login Attempts eklentisi her IP adresi için sınırlı sayıda giriş denemesi hakkı tanımlamanıza izin verir. Belirlenen hata sayısına ulaşıldığında ise IP adresini sizin ayarlamış olduğunuz süre boyunca engeller. Böylece sınırsız deneme ve sunucuda aşırı kaynak kullanımını gibi durumlar engellenmiş olur.
Bir süredir güncellenmiyor olmasına rağmen halen yaygın bir şekilde kullanılan Login LockDown adlı diğer bir eklenti alternatifi daha olduğunu da belirtelim. User Locker da yine benzer ve popüler diğer bir eklenti.
Kaynak: Webrazzi
