WordPress, dünyanın en popüler web sitesi oluşturucularından biridir; çünkü güçlü özellikler ve güvenli bir kod temeli sunar. Ancak, bu, WordPress’i veya başka herhangi bir yazılımı, internette yaygın olan kötü amaçlı DDoS saldırılarına karşı korumaz.

DDoS saldırıları web sitelerini yavaşlatabilir ve sonunda kullanıcıları erişemez hale getirir. Bu saldırılar hem küçük hem de büyük web sitelerine yönelik olabilir.

Şimdi, WordPress kullanan küçük bir işletme web sitesinin sınırlı kaynaklarla DDoS saldırılarını nasıl önleyebileceğini merak ediyor olabilirsiniz.

Bu kılavuzda, WordPress’e nasıl bir DDoS saldırısının etkili bir şekilde durdurulacağını ve önleneceğini göstereceğiz. Amacımız, web sitenizin güvenliğini bir DDoS saldırısına karşı tam bir profesyonel gibi yönetmeyi öğrenmenize yardımcı olmaktır.

WordPress sitesinde bir DDOS saldırısını durdurma ve önleme

DDoS Saldırısı nedir?

Dağıtılmış Hizmet Reddi saldırısı için kısa olan DDoS saldırısı, bir WordPress barındırma sunucusundan veri göndermek veya istemek için tehlike altındaki bilgisayarları ve aygıtları kullanan bir tür siber saldırıdır . Bu isteklerin amacı, hedeflenen sunucuyu yavaşlatmak ve eninde sonunda çökertmektir.

DDoS saldırıları, geliştirilmiş bir DoS (Hizmet Reddi) saldırılarıdır. Bir DoS saldırısından farklı olarak, farklı bölgelere yayılmış birden fazla tehlike altındaki makineden veya sunucudan yararlanırlar.

Bu tehlikeye giren makineler bazen botnet olarak adlandırılan bir ağ oluşturur. Etkilenen her makine bir bot görevi görür ve hedef sistem veya sunucuya saldırılar başlatır.

Bu, bir süre fark edilmeme ve bloke edilmeden önce maksimum hasara neden olmalarını sağlar.

DDoS saldırı diyagramı

En büyük internet şirketleri bile DDoS saldırılarına açık durumda.

2018’de popüler bir kod barındırma platformu olan GitHub, sunucularına saniye başına 1.3 terabayt yollayan büyük bir DDoS saldırısına tanık oldu.

Ayrıca DYN’ye (bir DNS servis sağlayıcısı) yapılan 2016 saldırılarını da hatırlayabilirsiniz. Bu saldırı, Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit ve binlerce başka web sitesi gibi birçok popüler web sitesini etkilediği için dünya çapında bir haber kapsamına girdi.

DDoS Saldırıları Neden Olur?

DDoS saldırılarının ardında birkaç motivasyon var. Aşağıda bazı yaygın olanlar:

  • Teknik açıdan anlayışlı ve sıkılmış insanlar, maceracı buluyorlar
  • Siyasi bir noktaya gelmeye çalışan insanlar ve gruplar
  • Belirli bir ülke veya bölgenin web sitelerini ve hizmetlerini hedefleyen gruplar
  • Belirli bir işletme veya hizmet sağlayıcısına hedeflenen saldırı, parasal zarar vermelerine neden olur
  • Şantaj yapmak ve fidye para toplamak için

Bir Brute Force Attack ile DDoS Attack arasındaki fark nedir?

Kaba kuvvet saldırı

Brute Force Attacks genellikle şifreleri tahmin ederek veya bir sisteme yetkisiz erişim sağlamak için rastgele kombinasyonlar denemek suretiyle bir sisteme girmeye çalışıyor.

DDoS saldırıları, yalnızca erişilememesi veya yavaşlatması için hedeflenen sistemi çökertmek için kullanılır.

Bir DDoS saldırısının neden olduğu zararlar nelerdir?

DDoS saldırıları bir web sitesine erişilemez hale getirebilir veya performansı düşürebilir. Bu, kötü kullanıcı deneyimine, iş kaybına ve saldırıyı azaltma maliyetlerine binlerce dolar neden olabilir.

İşte bu maliyetlerin bir dökümü:

  • Web sitesinin erişilememesi nedeniyle iş kaybı
  • Hizmet kesintisine bağlı soruları cevaplamak için müşteri destek maliyeti
  • Güvenlik hizmetlerini veya desteği işe alarak hafifletici saldırının maliyeti
  • En büyük maliyet kötü kullanıcı deneyimi ve marka itibarıdır.

WordPress’e DDoS Saldırısını Durdurma ve Önleme

DDoS saldırıları akıllıca gizlenebilir ve başa çıkması zor olabilir. Bununla birlikte, bazı temel güvenlik en iyi uygulamalarıyla, DDoS saldırılarının WordPress web sitenizi etkilemesini önleyebilir ve kolayca durdurabilirsiniz.

WordPress sitenizdeki DDoS saldırılarını önlemek ve durdurmak için yapmanız gerekenler:

DDoS / Brute Force Attack Verticals öğesini kaldırın

WordPress ile ilgili en iyi şey, oldukça esnek olmasıdır. WordPress, üçüncü taraf eklentilerin ve araçların web sitenize entegre edilmesini ve yeni özellikler eklemesini sağlar.

Bunu yapmak için, WordPress programcıların kullanımına açık API’ler sunar. Bu API’ler, üçüncü taraf WordPress eklentileri ve hizmetlerinin WordPress ile etkileşime girebileceği yöntemlerdir.

Ancak, bu API’lerin bazıları, bir ton istek göndererek bir DDoS saldırısı sırasında da kullanılabilir. Bu istekleri azaltmak için onları güvenle devre dışı bırakabilirsiniz.

WordPress’te XML RPC’yi devre dışı bırakın

XML-RPC, üçüncü taraf uygulamaların WordPress web sitenizle etkileşime girmesine izin verir. Örneğin, mobil cihazınızda WordPress uygulamasını kullanmak için XML-RPC’ye ihtiyacınız var .

Mobil uygulamayı kullanmayan kullanıcıların büyük çoğunluğunu seviyorsanız, web sitenizin .htaccess dosyasına aşağıdaki kodu ekleyerek XML-RPC’yi devre dışı bırakabilirsiniz .

12345# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from all</Files>

WordPress’te REST API’sini devre dışı bırak

WordPress JSON REST API, eklentilere ve araçlara WordPress verilerine erişme, içerik güncelleme ve / veya hatta silme olanağı sağlar. WordPress’te REST API’sini nasıl devre dışı bırakabileceğinizi aşağıda bulabilirsiniz.

Yapmanız gereken ilk şey, WP Rest API eklentisini Devre Dışı Bırak’ı yüklemek ve etkinleştirmek . 

Eklenti kutunun dışında çalışır ve oturum açmamış tüm kullanıcılar için REST API’sini devre dışı bırakacaktır .

WAF’yi etkinleştirin (Web Sitesi Uygulaması Güvenlik Duvarı)

Web Sitesi Uygulaması Güvenlik Duvarı (WAF)

REST API ve XML-RPC gibi saldırı vektörlerini devre dışı bırakmak, DDoS saldırılarına karşı sınırlı koruma sağlar. Web siteniz hala normal HTTP isteklerine açıktır.

Kötü makine IP’lerini yakalamaya çalışıp bunları manuel olarak engelleyerek küçük bir DOS saldırısını azaltabilirsiniz, ancak bu yaklaşım büyük bir DDoS saldırısı ile uğraşırken çok etkili değildir.

Şüpheli istekleri engellemenin en kolay yolu, bir web sitesi uygulaması güvenlik duvarını etkinleştirmektir .

Bir web sitesi uygulaması güvenlik duvarı, web siteniz ile gelen tüm trafik arasında bir proxy işlevi görür. Tüm şüpheli istekleri yakalamak ve web sitenize sunucunuza ulaşmadan engellemek için akıllı algoritma kullanır.

Web sitesi uygulaması güvenlik duvarı

Sucuri’yi kullanmanızı öneririz, çünkü en iyi WordPress güvenlik eklentisi ve web sitesi güvenlik duvarıdır. DNS düzeyinde çalışır, bu da web sitenize istek yapmadan önce bir DDoS saldırısı yakalayabilecekleri anlamına gelir.

Sucuri için fiyatlandırma ayda 20 ABD Doları’ndan başlar (yıllık olarak ödenir).

Furkansaglam.com’da Sucuri kullanıyoruz. Web sitemizde yüz binlerce saldırının engellenmesine nasıl yardımcı oldukları konusundaki vaka çalışmamıza bakın .

Alternatif olarak, Cloudflare’u da kullanabilirsiniz . Bununla birlikte, Cloudflare’nın ücretsiz servisi yalnızca sınırlı DDoS koruması sağlar. En azından ayda 200 dolara mal olan 7. katman DDoS koruması için iş planlarına kaydolmanız gerekir.

Not: Uygulama düzeyinde çalışan Web Sitesi Uygulaması Güvenlik Duvarları (WAF’ler) bir DDoS saldırısı sırasında daha az etkilidir. Web sunucunuza ulaştığında trafiği engeller, bu nedenle genel web sitenizin performansını etkilemeye devam eder.

Brute Force veya DDoS Attack olup olmadığını bulma

Hem kaba kuvvet hem de DDoS saldırıları, sunucu kaynaklarını yoğun olarak kullanıyor, bu da belirtilerinin oldukça benzer göründüğü anlamına geliyor. Web siteniz yavaşlar ve çökebilir.

Sucuri eklentisinin giriş raporlarına bakarak kaba kuvvet saldırısı veya DDoS saldırısı olup olmadığını kolayca öğrenebilirsiniz.

Basitçe, ücretsiz Sucuri eklentisini kurun ve etkinleştirin ve ardından Sucuri Güvenliği »Son Girişler sayfasına gidin.

Başarısız girişler

Çok sayıda rasgele oturum açma isteği görüyorsanız, bu wp-admin’iniz kaba bir saldırı altında olduğu anlamına gelir. 

DDoS Saldırısı Sırasında Yapılacak Şeyler

DDoS saldırıları, bir web uygulaması güvenlik duvarı ve yerinde başka korumalar olsa bile gerçekleşebilir. CloudFlare ve Sucuri gibi şirketler bu saldırılara düzenli olarak bakarlar ve çoğu zaman kolayca azaltabilecekleri için asla duymazsınız.

Ancak bazı durumlarda, bu saldırılar büyük olduğunda, sizi yine de etkileyebilir. Bu durumda, DDoS saldırısı sırasında ve sonrasında ortaya çıkabilecek sorunları azaltmak için hazırlıklı olmak en iyisidir.

Bir DDoS saldırısının etkisini en aza indirmek için yapabileceğiniz birkaç şey aşağıdadır.

1. Takım üyelerini uyar

Bir ekibiniz varsa, o zaman iş arkadaşlarınızı bu konuda bilgilendirmeniz gerekir. Bu, müşteri destek sorgularına hazırlanmalarına, olası sorunlara dikkat etmelerine ve saldırı sırasında veya sonrasında yardım etmelerine yardımcı olacaktır.

2. Müşterileri inconvience hakkında bilgilendirin

Bir DDoS saldırısı web sitenizdeki kullanıcı deneyimini etkileyebilir. Bir WooCommerce mağazası işletiyorsanız , müşterileriniz hesaplarına sipariş veremeyebilir veya giriş yapamayabilir.

Sosyal medya hesaplarınızla web sitenizin teknik sorunlar yaşadığını ve yakında her şeyin normale döneceğini ilan edebilirsiniz.

Saldırı büyükse, müşterilerle iletişim kurmak ve sosyal medya güncellemelerinizi takip etmelerini istemek için e-posta pazarlama hizmetinizi de kullanabilirsiniz .

VIP müşterileriniz varsa, bireysel telefon görüşmeleri yapmak için iş telefonu servisinizi kullanmak ve hizmetleri geri yüklemek için nasıl çalıştığınızı onlara bildirmek isteyebilirsiniz.

Bu zorlu zamanlarda iletişim, markanızın itibarını güçlendirmede büyük bir fark yaratır.

3. Barındırma ve Güvenlik Desteği ile iletişim kurun

WordPress barındırma sağlayıcınızla iletişim kurun. Tanık olduğunuz saldırı, sistemlerini hedef alan daha büyük bir saldırının bir parçası olabilir. Bu durumda, durumla ilgili en son güncellemeleri sağlayabilecekler.

Güvenlik duvarı servisinize başvurun ve web sitenizin DDoS saldırısı altında olduğunu bildirin. Durumu daha da hafifletebilirler ve size daha fazla bilgi verebilirler.

Sucuri gibi güvenlik duvarı sağlayıcılarında , ayarlarınızı çok sayıda isteği engellemeye ve web sitenizi normal kullanıcılar için erişilebilir hale getirmeye yardımcı olan Paranoid modunda olacak şekilde ayarlayabilirsiniz.

WordPress Web Sitenizi Güvende Tutmak

WordPress kutunun dışında oldukça güvenlidir. Ancak, dünyanın en popüler web sitesi oluşturucusu olarak, genellikle bilgisayar korsanları tarafından hedeflenir.

Neyse ki, daha güvenli hale getirmek için web sitenize uygulayabileceğiniz birçok güvenlik en iyi uygulaması vardır.

Yeni başlayanlar için adım adım WordPress güvenlik kılavuzunu derledik . Web sitenizi ve verilerinizi genel tehditlere karşı korumak için en iyi WordPress güvenlik ayarlarında size yol gösterecektir.

Umarız bu makale WordPress’te DDoS saldırısını nasıl engelleyeceğinizi ve önleyebileceğinizi öğrenmenize yardımcı olmuştur. Rehberimizi en sık kullanılan WordPress hataları ve bunların nasıl düzeltileceği hakkında görmek isteyebilirsiniz .

Bu makaleyi beğendiyseniz, lütfen WordPress video eğiticileri için YouTube Kanalımıza abone olun . Bizi Twitter ve Facebook’ta da bulabilirsiniz .