İnternette İstediğiniz Gibi Çevrimiçi Para Kazanma!
Blogs

WordPress’te DDoS Saldırısı Nasıl Önlenir ve Durdurulur

Şu an okuyorsunuz: WordPress’te DDoS Saldırısı Nasıl Önlenir ve Durdurulur

WordPress, güçlü özellikler ve güvenli kod tabanı sunduğu için dünyanın en popüler web sitesi oluşturucularından biridir. Ancak bu, WordPress’i veya başka herhangi bir yazılımı İnternette yaygın olan kötü niyetli DDoS saldırılarından korumaz.

DDoS saldırıları web sitelerini yavaşlatabilir ve sonunda kullanıcılar tarafından erişilemez hale gelebilir. Bu saldırılar, büyük ve küçük web sitelerini hedefleyebilir.

Şimdi, WordPress kullanan küçük bir işletme web sitesinin sınırlı kaynaklarla bu tür DDoS saldırılarını nasıl önleyebileceğini merak ediyor olabilirsiniz.

Bu kılavuzda, WordPress’te bir DDoS saldırısını nasıl etkili bir şekilde önleyeceğinizi ve durduracağınızı göstereceğiz. Amacımız, tam teşekküllü bir profesyonel gibi bir DDoS saldırısına karşı web sitenizin güvenliğini nasıl yöneteceğinizi öğrenmenize yardımcı olmaktır.

DDoS saldırısı nedir?

Dağıtılmış Hizmet Reddi anlamına gelen DDoS saldırısı, bir WordPress ana bilgisayarından veri göndermek veya istemek için güvenliği ihlal edilmiş bilgisayarları ve cihazları kullanan bir tür siber saldırıdır. Bu isteklerin amacı, hedef sunucuyu yavaşlatmak ve sonunda çökertmektir.

DDoS saldırıları, DoS (hizmet reddi) saldırılarının gelişmiş bir şeklidir. DoS saldırısından farklı olarak, farklı bölgelere yayılmış birden çok güvenliği ihlal edilmiş makineden veya sunucudan yararlanırlar.

Güvenliği ihlal edilmiş bu makineler, bazen botnet olarak adlandırılan bir ağ oluşturur. Etkilenen her makine bir bot görevi görür ve kendi sistemine veya hedef sunucusuna yönelik saldırılar başlatır.

Bu, bir süreliğine fark edilmemelerine ve bloke edilmeden önce maksimum hasar vermelerine olanak tanır.

DDoS saldırı şeması

En büyük İnternet şirketleri bile DDoS saldırılarına karşı savunmasızdır.

2018’de popüler bir kod barındırma platformu olan GitHub, sunucunuza saniyede 1,3 terabayt trafik gönderen büyük bir DDoS saldırısı gördü.

Ayrıca DYN’ye (DNS servis sağlayıcısı) yapılan ünlü 2016 saldırısını da hatırlayabilirsiniz. Bu saldırı, aşağıdakiler gibi birçok popüler web sitesini etkilediği için dünya çapında haber kapsamına sahiptir. AmazonNetflix, PayPal, Visa, AirBnB, New York Times, Reddit ve binlerce başka site.

DDoS saldırıları neden olur?

DDoS saldırılarının arkasında birkaç motivasyon var. İşte bazı popüler olanlar:

  • Tek kelimeyle sıkılmış ve maceracı, teknolojiden anlayan insanlar
  • İnsanlar ve gruplar siyasi bir görüş oluşturmaya çalışır
  • Belirli bir ülke veya bölgedeki web sitelerini ve hizmetleri hedefleyen gruplar
  • Belirli bir işletmeyi veya hizmet sağlayıcıyı hedef alan ve onlara zarar vermek için yapılan saldırılar
  • Şantaj yapmak ve fidye toplamak için

Kaba kuvvet saldırısı ile DDoS saldırısı arasındaki fark nedir?

kaba kuvvet saldırısı

Kaba kuvvet saldırıları genellikle sisteme yetkisiz erişim elde etmek için parolaları tahmin ederek veya rastgele kombinasyonlar deneyerek sisteme girmeye çalışır.

DDoS saldırıları, basitçe hedef sistemi engellemek, erişilemez hale getirmek veya yavaşlatmak için kullanılır.

Daha fazla bilgi için adım adım talimatlarla WordPress’te kaba kuvvet saldırılarının nasıl engelleneceğine ilişkin kılavuzumuza bakın.

DDoS saldırısına hangi hasarlar neden olabilir?

DDoS saldırıları, bir web sitesini erişilemez hale getirebilir veya performansı azaltabilir. Bu, kötü bir kullanıcı deneyimine, iş kaybına ve binlerce dolara ulaşabilecek saldırı azaltma maliyetlerine neden olabilir.

İşte bu maliyetlerin bir dökümü:

  • Web sitesinin erişilememesi nedeniyle iş kaybı.
  • Hizmet kesintisi ile ilgili sorgulara yanıt vermek için müşteri hizmetleri maliyetleri
  • Güvenlik veya destek hizmetleri kiralayarak saldırıyı azaltmanın maliyeti
  • En büyük maliyetler kötü kullanıcı deneyimi ve marka itibarıdır.

WordPress’te DDoS Saldırıları Nasıl Önlenir ve Durdurulur

DDoS saldırıları akıllıca gizlenebilir ve ele alınması zor olabilir. Ancak, bazı temel güvenlik en iyi uygulamalarıyla, DDoS saldırılarının WordPress sitenizi etkilemesini kolayca önleyebilir ve durdurabilirsiniz.

WordPress sitenize DDoS saldırılarını önlemek ve durdurmak için atmanız gereken adımlar şunlardır.

DDoS / Dikey Saldırıyı Ortadan Kaldırın

WordPress ile ilgili en iyi şey, çok esnek olmasıdır. WordPress, üçüncü taraf eklentilerin ve araçların web sitenize entegre edilmesini ve yeni özellikler eklenmesini sağlar.

Bunu yapmak için WordPress, geliştiriciler için birkaç API sağlar. Bu API’ler, üçüncü taraf WordPress eklentilerinin ve hizmetlerinin WordPress ile etkileşime girebileceği yöntemlerdir.

Bununla birlikte, bu API’lerden bazıları, bir ton istek göndererek bir DDoS saldırısında da kullanılabilir. Bu istekleri azaltmak için bunları güvenle devre dışı bırakabilirsiniz.

WordPress’te XML RPC’yi devre dışı bırakın

XML-RPC, üçüncü taraf uygulamaların WordPress sitenizle etkileşime girmesine izin verir. Örneğin, WordPress mobil uygulamanızı kullanmak için XML-RPC’ye ihtiyacınız var.

Mobil uygulama kullanmayan kullanıcıların büyük çoğunluğu gibiyseniz, sitenizin .htaccess dosyasına aşağıdaki kodu ekleyerek XML-RPC’yi devre dışı bırakabilirsiniz.

# Block WordPress xmlrpc.php requests

order deny,allow
deny from all

Alternatif yöntemler için, WordPress’te XML-RPC’nin nasıl kolayca devre dışı bırakılacağına ilişkin kılavuzumuza bakın.

WordPress’te REST API’yi devre dışı bırakın

WordPress REST API, eklentilere ve araçlara WordPress verilerine erişme, içeriği güncelleme ve/veya silme yeteneği verir. WordPress’te REST API’yi bu şekilde devre dışı bırakabilirsiniz.

Yapmanız gereken ilk şey, Disable WP Rest API eklentisini kurmak ve etkinleştirmektir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.

Eklenti iyi çalışıyor ve oturum açmamış tüm kullanıcılar için REST API’yi devre dışı bırakacak.

WAF’yi Etkinleştir (Web Sitesi Uygulama Güvenlik Duvarı)

Web Uygulaması Güvenlik Duvarı (WAF)

REST API ve XML-RPC gibi saldırı vektörlerini devre dışı bırakmak, DDoS saldırılarına karşı sınırlı koruma sağlar. Siteniz hala normal HTTP isteklerine karşı savunmasızdır.

Yanlış makinenin IP adreslerini tespit etmeye ve manuel olarak engellemeye çalışarak küçük bir DOS saldırısını hafifletebilseniz de, bu yaklaşım bir DDoS saldırısıyla uğraşırken çok etkili değildir.

Şüpheli istekleri engellemenin en kolay yolu, web sitesinin uygulama güvenlik duvarını etkinleştirmektir.

Web Sitesi Uygulaması Güvenlik Duvarı, web siteniz ve gelen tüm trafik arasında bir proxy görevi görür. Tüm şüpheli istekleri tespit etmek ve web sitenizin sunucusuna ulaşmadan önce engellemek için akıllı bir algoritma kullanır.

Web Uygulaması Güvenlik Duvarı

En iyi WordPress güvenlik eklentisi ve web sitesi güvenlik duvarı olduğundan Sucuri’yi kullanmanızı öneririz. DNS düzeyinde çalışır, yani siz sitenizi talep etmeden önce bir DDoS saldırısını algılayabilirler.

Sucuri fiyatları ayda 20 dolardan başlar (yıllık olarak ödenir).

WPBeginner’da Sucuri kullanıyoruz. Web sitemize yapılan yüz binlerce saldırıyı engellemeye nasıl yardımcı olduklarına ilişkin örnek olay incelememize bakın.

Alternatif olarak, Cloudflare’ı da kullanabilirsiniz. Ancak Cloudflare’nin ücretsiz hizmeti yalnızca sınırlı DDoS koruması sunar. Aylık yaklaşık 200 ABD Doları tutarındaki 7. katman DDoS koruması için en azından iş planınıza abone olmanız gerekir.

Ayrıntılı bir karşılaştırma için Sucuri vs Cloudflare hakkındaki makalemize bakın.

Not: Uygulama düzeyinde çalışan bir web uygulaması güvenlik duvarı (WAF), bir DDoS saldırısında daha az etkilidir. Web sunucunuza ulaştığında trafiği engellerler, bu nedenle sitenizin genel performansını yine de etkiler.

Brute Force veya DDoS Attack olup olmadığını öğrenin

Hem kaba kuvvet hem de DDoS saldırıları, sunucu kaynaklarını yoğun şekilde kullanır, bu da semptomlarının oldukça benzer olduğu anlamına gelir. Web siteniz yavaşlayacak ve muhtemelen çökecektir.

Sadece Sucuri eklenti günlük raporlarına bakarak kaba kuvvet saldırısı mı yoksa DDoS saldırısı mı olduğunu kolayca öğrenebilirsiniz.

Ücretsiz Sucuri eklentisini kurun ve etkinleştirin ve ardından Sucuri Güvenlik »Son Giriş Sayfa.

Giriş başarısız

Çok sayıda rastgele oturum açma isteği görüyorsanız, bu, wp-admin’inizin kaba kuvvet saldırısı altında olduğu anlamına gelir. Bunu azaltmak için WordPress’te kaba kuvvet saldırılarının nasıl engelleneceğine ilişkin kılavuzumuza göz atabilirsiniz.

DDoS saldırısında yapılması gerekenler

Bir web uygulaması güvenlik duvarınız ve diğer korumalarınız mevcut olsa bile DDoS saldırıları gerçekleşebilir. CloudFlare ve Sucuri gibi şirketler bu saldırılarla düzenli olarak uğraşır ve çoğu zaman bunu asla öğrenemezsiniz çünkü kolayca azaltabilirler.

Ancak bazı durumlarda, bu saldırılar büyük olduğunda yine de sizi etkileyebilir. Bu durumda, DDoS saldırısı sırasında ve sonrasında ortaya çıkabilecek sorunları en aza indirmek için hazırlıklı olmak daha iyidir.

İşte bir DDoS saldırısının etkisini azaltmak için yapabileceğiniz birkaç şey.

1. Ekip üyelerinizi bilgilendirin

Bir ekibiniz varsa, çalışma arkadaşlarınızı bu konuda bilgilendirmelisiniz. Bu, müşteri hizmetleri taleplerine hazırlanmalarına, olası sorunları aramalarına ve saldırı sırasında veya sonrasında yardımcı olmalarına yardımcı olacaktır.

2. Müşteriyi rahatsızlıktan haberdar edin.

Bir DDoS saldırısı, web sitenizdeki kullanıcı deneyimini etkileyebilir. Bir WooCommerce mağazası işletiyorsanız, müşterileriniz sipariş veremez veya hesaplarına giriş yapamayabilir.

Web sitenizin teknik sorunlar yaşadığını ve yakında her şeyin normale döneceğini sosyal medya hesaplarınız üzerinden bildirebilirsiniz.

Saldırı büyükse, müşterilerle iletişim kurmak ve sosyal medya güncellemelerini takip etmelerini istemek için e-posta pazarlama hizmetlerini de kullanabilirsiniz.

VIP müşterileriniz varsa, kişisel telefon görüşmeleri yapmak için şirketinizin telefon hizmetini kullanmak ve hizmeti geri yüklemek için nasıl çalıştığınızı onlara bildirmek isteyebilirsiniz.

Bu zor zamanlarda iletişim kurmak, marka itibarınızı güçlü tutmada büyük bir fark yaratır.

3. Barındırma ve güvenlik desteğiyle iletişim kurun

WordPress barındırma sağlayıcınızla iletişime geçin. Tanık olabileceğiniz saldırı, sistemlerinize yönelik daha büyük bir saldırının parçası olabilir. Bu durumda, durumla ilgili en son güncellemeleri size sağlayabilmeleri gerekir.

Güvenlik Duvarı hizmetinize başvurun ve sitenizin bir DDoS saldırısı altında olduğunu bildirin. Durumu daha da hızlı hafifletebilirler ve size daha fazla bilgi verebilirler.

Sucuri gibi güvenlik duvarı sağlayıcılarında, ayarlarınızı birçok isteği engelleyecek ve sitenizi normal kullanıcılar için erişilebilir hale getirecek paranoyak moda da ayarlayabilirsiniz.

WordPress sitenizi güvende tutun

WordPress kutunun dışında oldukça güvenlidir. Ancak, dünyanın en popüler web sitesi oluşturucusu olarak, genellikle bilgisayar korsanları tarafından saldırıya uğrar.

Neyse ki, web sitenizi daha da güvenli hale getirmek için uygulayabileceğiniz birçok en iyi güvenlik uygulaması vardır.

Yeni başlayanlar için eksiksiz bir adım adım WordPress güvenlik kılavuzu derledik. Web sitenizi ve verilerinizi yaygın tehditlere karşı korumak için en iyi WordPress güvenlik ayarlarında size rehberlik edecektir.

Bu makalenin, WordPress’te DDoS saldırılarını nasıl engelleyeceğinizi ve önleyeceğinizi öğrenmenize yardımcı olduğunu umuyoruz. Ayrıca, en yaygın WordPress hatalarına ve bunların nasıl düzeltileceğine ilişkin kılavuzumuza da göz atabilirsiniz.

Bu makaleyi beğendiyseniz, kanalımıza abone olun YouTube WordPress video eğitimlerini izlemek için. Ayrıca bizi şurada da bulabilirsiniz: Twitter ve Facebook.

Size şunları öneriyoruz: