Saldırıyı Önlemek İçin 6 Adımlı WordPress DDoS Koruma Planı

Yayınlanan: 2020-02-20

Mustafiz / Stock.adobe.com

Genellikle web trafiğindeki artış markanız için arzu edilen bir sonuçtur. Ancak sitenizin birdenbire binlerce eş zamanlı istekle dolup taşarak çökmesine neden olacağını tahmin etmeyebilirsiniz. Ne yazık ki, bir WordPress sitesine Dağıtılmış Hizmet Reddi veya 'DDoS' saldırısı sırasında gerçekleşen durum tam olarak budur.

WordPress Sitesine DDoS Saldırısını Önleyin

Neyse ki çoğu siber güvenlik tehdidi gibi WordPress sitenize DDoS saldırısı olasılığını en aza indirmek için atabileceğiniz adımlar var. Bir koruma planı uygulamak, internet suçlularının çevrimiçi işinizi sekteye uğratmasını durdurmanıza ve engellemenize yardımcı olabilir.

Bu yazımızda DDoS saldırılarının ne olduğunu ve nasıl çalıştığını açıklayacağız. Ardından, sitenize yapılacak bir saldırıyı önlemeye yardımcı olmak için kullanabileceğiniz altı adımlı bir WordPress DDoS koruma planı sunacağız. Başlayalım!

Bu makalede

  • DDoS Saldırısı Nedir?
  • WordPress DDoS Koruma Planı Oluşturmanın Önemi
  • WordPress Sitenize DDoS Saldırısını Nasıl Önlersiniz (6 Önemli İpucu)
  • Kapanış
WP Buffs'taki ekibimiz, WordPress sitelerini 7/24 izlemek ve kilitlemek için site sahipleri, ajanslar ve serbest çalışanlarla işbirliği yapıyor. İster bir web sitesini, ister 1.000 müşteri sitesini korumaya ihtiyacınız olsun, size yardımcı olmak için buradayız.

DDoS Saldırısı Nedir?

DDoS saldırısı, bir sitenin genellikle bot kullanımı yoluyla kısa bir süre boyunca sahte isteklerle dolup taştığı bir güvenlik sorununu ifade eder. İsabetler birden fazla kaynaktan gelir ve amaç, hedef web sitesini aşırı yükleyerek çökmesine neden olmaktır .

Bir anda binlerce istek gerçekleşebilir. Imperva'ya 2019'da yapılan ve ağının saniyede 580 milyon paket (PPS) ile vurulduğu DDoS saldırısını düşünün.

Sahte trafikteki bu beklenmedik, ani artış, siteyi kullanılamaz ve savunmasız hale getirerek siteyi felç eder ve felç eder . Bu saldırılar tek bir web sitesini veya tüm ağı hedefleyebilir.

En yaygın DDoS saldırısı türleri üç kategoriye ayrılır:

  • Hacim tabanlı: Çok büyük bir trafik artışının kopyalanmasına dayanır.
  • Protokol: Hedef siteyi veya ağı çökertmek için sunucu kaynaklarını kullanır.
  • Uygulama: Bir web uygulamasını hedef alan daha karmaşık bir saldırı.

Bu tür saldırıların farklı yöntemleri ve motivasyonları var. Bilgisayar korsanları, WordPress web sitenizin güvenlik açığını artırmak için bir DDoS saldırısı gerçekleştirebilir. Sitenize fark edilmeden sızmayı kolaylaştıran etkili bir dikkat dağıtıcı olabilir.

Ancak çoğu zaman amaç, esas olarak hedeflenen siteyi kırmak olur. Örneğin birisi bir rakibe DDoS saldırısı gerçekleştirebilir. Bu kötü niyetli ve aşırı bir önlem olsa da, özellikle kesinti süresinin bir işletme üzerinde yaratabileceği olumsuz etki göz önüne alındığında, duyulmamış bir şey değildir.

WordPress DDoS Koruma Planı Oluşturmanın Önemi

Bir DDoS saldırısının etkileri işletmeniz için yıkıcı olabilir. Bunu takip eden hasarların çoğu, uzun süreli ve beklenmedik arıza sürelerinin bir sonucudur.

Siteniz uzun bir süre boyunca kullanılamıyorsa, büyük olasılıkla bir miktar iş kaybedersiniz. Müşteriler sitenize erişemez ve 502 hatalı ağ geçidi hatası görebilir. Bu, e-ticaret satışlarını veya diğer potansiyel müşteri dönüşümlerini kaçırdığınız anlamına gelir.

Uzun süreli kullanılamama, Arama Motoru Optimizasyonu (SEO) sıralamanızı da etkileyebilir . Görünürlüğün azalması nedeniyle sitenizin güvenilirliğini yeniden inşa ederken potansiyel müşteri çekmek için daha fazla çalışmanız gerekecek.

Ayrıca bir DDoS saldırısı barındırma sorunlarına da yol açabilir. Bu tür bir güvenlik ihlali yalnızca sitenizi değil, sunucunuzdaki diğerlerini de etkileyebileceğinden, paylaşılan bir plandaysanız bu özellikle doğrudur.

Ayrıca daha önce de belirttiğimiz gibi bir DDoS olayı sitenizin diğer saldırı türlerine karşı savunmasızlığını artırabilir . Sitenizi tekrar çevrimiçi hale getirmeye çalışırken dikkatiniz dağılırken, odak noktanız güvenlik sistemlerinizden uzaklaşır. Bu, bilgisayar korsanlarının siz fark etmeden içeri sızmasını kolaylaştırabilir.

Bir saldırıdan kurtulmak çok fazla para ve zaman gerektirebilir. Birisinin WordPress sitenize DDoS saldırısı gerçekleştirmesini mutlaka önleyemeseniz de, bir saldırının kurbanı olursanız meydana gelecek zararı en aza indirecek adımlar atabilirsiniz.

[bctt tweet=” Güçlü bir WordPress DDoS koruma planı oluşturmak, kritik iş varlıklarınızın korunmasına yardımcı olur. #WordPress” kullanıcı adı=”thewpbuffs”]

WordPress Sitenize DDoS Saldırısını Nasıl Önlersiniz (6 Önemli İpucu)

WordPress sitenizi korumak için güvenlik eklentileri kullanmak ve belirli özellikleri devre dışı bırakmak gibi kullanabileceğiniz çeşitli yöntemler vardır. Doğru koruma planıyla bir DDoS saldırısından geri dönme yeteneğinizi geliştirebilirsiniz. Bu bölümde bunlardan birini önlemeye yönelik altı ipucuna göz atacağız.

  1. WordPress'te XMLR RPC ve REST API'yi devre dışı bırakın
  2. Sitenize bir Web Uygulaması Güvenlik Duvarı (WAF) Kurun
  3. Güvenli Barındırma Sağlayıcısını Seçin
  4. İçerik Dağıtım Ağı (CDN) kullanın
  5. WordPress DDoS Koruma Eklentisini İndirin
  6. WordPress Bakımını ve İzlemesini Öncelikli Hale Getirin

1. WordPress'te XML RPC ve REST API'yi devre dışı bırakın

WordPress 3.5 sürümünün piyasaya sürülmesinden bu yana, varsayılan olarak XML-RPC'yi etkinleştirme seçeneğine sahipsiniz. Bu özellik geri pingler ve geri izlemeler için kullanışlıdır.

Ancak çoğu site için bu bir zorunluluk değildir. Gerçekten yalnızca WordPress sitenizi yönetmek için mobil uygulamalara güveniyorsanız gereklidir.

XML-RPC'nin tehlikeye atılması kolaydır; bu , bilgisayar korsanlarının DDoS saldırıları sırasında yararlanabileceği güvenlik açıklarını açığa çıkardığı anlamına gelir. Bu nedenle devre dışı bırakmanızı öneririz.

Bunu .htaccess dosyanızı düzenleyerek gerçekleştirebilirsiniz. Hosting hesabınızın dosya yöneticisi aracılığıyla veya Dosya Aktarım Protokolü (FTP) ve FileZilla gibi bir FTP istemcisi kullanarak açın. Daha sonra aşağıdaki kod parçasını yapıştırın:

 # WordPress xmlrpc.php isteklerini engelleyin

sipariş reddet, izin ver
herkesten inkar et

Aynı şekilde WordPress'te REST API'yi devre dışı bırakmak da akıllıca olacaktır. Bu, üçüncü taraf uygulamaların (ve dolayısıyla siber suçluların) WordPress sitenize erişmesini sağlayan başka bir kanaldır.

Sitenizdeki WordPress API'sini devre dışı bırakmanın en kolay yolu WP Hide & Security Enhancer'ı kullanmaktır.

WP Gizleme ve Güvenlik Artırıcı

Bu eklentinin kullanımı ücretsizdir ve herhangi bir yapılandırma gerekmez . Yükleyip etkinleştirdikten sonra, WP Hide > JSON API'ye giderek REST API'yi devre dışı bırakabilirsiniz:

WP Hide'da REST API'yi devre dışı bırakma

Bu eklentiyi XML-RPC işlevselliğini devre dışı bırakmak için de kullanabilirsiniz. Bu seçenek XML-RPC sekmesinde bulunur.

2. Sitenize WAF yükleyin

Bir süredir WordPress kullanıyorsanız muhtemelen WAF'ın ne olduğunu biliyorsunuzdur. Basitçe söylemek gerekirse, siteniz ile kötü amaçlı trafik arasına bir koruma katmanı ekleyen bir tür güvenlik yazılımıdır. Kullanıcı erişimini sınırlayarak ve botları filtreleyerek DDoS saldırılarının önlenmesine yardımcı olabilir.

WordPress sitenizi korumaya yardımcı olmak için seçebileceğiniz birçok farklı WAF olsa da Sucuri'yi kullanmanızı öneririz.

Sucuri, bir WordPress DDoS koruma eklentisidir.

Sucuri'nin WAF ve İzinsiz Girişi Önleme Sistemi (IPS), sitelerin kaba kuvvet saldırılarına, kötü amaçlı yazılımlara ve daha fazlasına karşı korunmasına yardımcı olur. Ayrıca kötü amaçlı trafiği tespit edebilir ve birden fazla DDoS saldırısı türünü engelleyebilir .

Suruci, aralarından seçim yapabileceğiniz çeşitli planlar sunuyor. Ayrıca şu anda saldırı altında olan siteler için 'Acil Yardım' özelliği de bulunmaktadır.

3. Güvenli Barındırma Sağlayıcısını Seçin

WordPress siteniz için kaliteli barındırmanın önemi abartılamaz. Sunucunuz sitenizin hızını ve performansını etkiler . Ancak aynı zamanda güvenlik açısından da önemli bir rol oynar ve bir DDoS saldırısını önleme ve saldırıdan kurtulma yeteneğinizi etkiler.

[bctt tweet=”Barındırma sağlayıcısı seçiminiz sizi DDoS saldırılarına karşı savunmasız bırakabilir. #WordPress” kullanıcı adı=”thewpbuffs”]

İnsanların bir web barındırma seçerken sıklıkla sahip oldukları en büyük endişelerden biri maliyettir. Ancak konu sitenizi korumak olduğunda kaliteli hostinge yatırım yapmak çok değerlidir. Ucuz bir plan seçmenin kritik iş varlıklarınızın pahasına olabileceğini düşündüğünüzde bu özellikle doğrudur.

Bir DDoS saldırısının sitenizin performansı ve çalışma süresi üzerindeki zararlı etkileri göz önüne alındığında, bir barındırma sağlayıcısı seçmeniz ve yoğun bir trafik akışını tespit edip yönetebilecek donanıma sahip bir plan yapmanız önemlidir. Kinsta* ve WP Engine* gibi bazı sağlayıcılar, donanım güvenlik duvarları ve CDN entegrasyonu gibi yerleşik özelliklerle birlikte gelir.

WP Motor barındırma planları

Umarız zaten premium ve güvenilir bir barındırma sağlayıcısı kullanıyorsunuzdur. Değilse, güvenliği öncelik haline getiren, tam olarak yönetilen bir WordPress barındırma sağlayıcısına geçmenizi öneririz. Buna, ücretsiz CDN hizmeti, 7/24 izleme ve destek ve kötü amaçlı yazılım taraması gibi özellikleri içeren planların aranması da dahildir.

4. CDN kullanın

CDN , sunucu yükünün büyük kısmını işleyerek WordPress sitenizi desteklemeye yardımcı olan ek ağ sunucuları sağlar. Her ne kadar performans optimizasyonu ile ilgili olarak yaygın olarak başvurulsa da, bu araç aynı zamanda güvenlik açısından da yararlı olabilir.

Temel olarak CDN'ler, sunucunuzun aşırı yüklenmesini çok daha zorlaştırarak DDoS saldırılarının önlenmesine yardımcı olabilir . Ayrıca olağandışı trafik düzenlerinin tespit edilmesine yardımcı olabilirler ve bazı durumlarda ters proxy görevi görebilirler.

Piyasada birçok farklı CDN servis sağlayıcısı var. Ancak Cloudfare gibi pazarın devlerinden birini tercih etmenizi öneririz.

Cloudfare web sitesi ana sayfası.

Cloudfare, DDoS korumasına ve hafifletilmesine yardımcı olabilecek katmanlı bir güvenlik yaklaşımını benimser. Aralarından seçim yapabileceğiniz çeşitli premium planlar olsa da Global CDN'yi ücretsiz kullanabilirsiniz. Diğer bir faydası da ilgili WordPress eklentisi aracılığıyla web sitenize kolayca entegre edebilmenizdir.

5. WordPress DDoS Koruma Eklentisini İndirin

Güvenlik eklentileri, normalde hantal olan birçok görevi kolaylaştırarak size çok fazla zaman ve enerji tasarrufu sağlayabilir. Bazıları ayrıca WordPress sitenize yapılan DDoS saldırılarını önlemek için gerekli olabilecek özelliklere de sahiptir.

Yukarıda belirttiğimiz gibi WAF'lar sitenizi koruma konusunda inanılmaz derecede faydalı olabilir. Yerleşik bir güvenlik eklentisi yüklemek, WordPress kurulumunuza koruma eklemenin hızlı bir yoludur .

Ek olarak, oturum açma denemesi sınırları, hatalı URL ve kötü amaçlı IP adresi tespiti ve bot engelleme gibi işlevler, saldırıların azaltılmasına yardımcı olur. Bu nedenle Wordfence gibi bir WordPress DDoS koruma eklentisini indirmenizi öneririz.

Wordfence WordPress eklentisi.

Wordfence yukarıda belirtilen işlevlerin tümünü ve daha fazlasını gerçekleştirebilir. Bu WordPress güvenlik eklentisi aynı zamanda canlı trafik ve ziyaretlerin yanı sıra etkinlik artışlarını izlemeye yönelik araçlar da içerir.

Eklenti özelliklerinin çoğunu ücretsiz olarak indirebilir ve kullanabilirsiniz. Ancak aynı zamanda gerçek zamanlı Tehdit Savunması Akışı da dahil olmak üzere tüm güvenlik özelliklerine erişimin kilidini açan premium bir sürüm de sunuyor.

6. WordPress Bakımını ve İzlemesini Öncelikli Hale Getirin

Web sitenizi yönetmeye gelince, bazen en iyi koruma biçimi önlemedir . WordPress sitenize DDoS saldırısı olasılığını en aza indirme çabalarınızda, düzenli bakım ve izlemeyi öncelik haline getirmeniz kritik öneme sahiptir.

Siteniz için düzenli bakım yapılması, sitenizin en iyi durumda kalmasına yardımcı olacak ve sonuçta davetsiz misafirlerin yararlanabileceği güvenlik açıklarının sayısını azaltacaktır. Rutin izleme, şüpheli etkinliği ciddi bir hasara yol açmadan önce tespit etmenize yardımcı olabilir.

Uygun bakım ve izlemenin içerdiği birçok görev vardır; bunlara aşağıdakiler dahildir:

  • WordPress, eklentiler ve temalarla ilgili güncellemeler
  • Çalışma süresi izleme
  • Otomatik yedeklemeler
  • Hız optimizasyonu
  • Kötü amaçlı yazılım taraması ve kaldırılması

Bu görevlerin üstesinden gelmek zaman alıcı bir süreç olabilir, ancak bu gerekli bir süreçtir. WP Buffs'ta sunduğumuz gibi bir WordPress Bakım Planına kaydolarak bunu önemli ölçüde kolaylaştırmanızı öneririz.

WP Buffs WordPress bakım planları

Profesyonel bakım, sitenize uygun şekilde bakım yapıldığını bilmenin rahatlığını sağlar. Ayrıca, diğer acil iş konularına odaklanmak için kendi programınızda zaman ayırırsınız .

Kapanış

Günümüzde mevcut olan çok çeşitli güvenlik tehditleri göz önüne alındığında, bunların hepsine hakim olmak bunaltıcı gelebilir. Ancak DDoS saldırılarının hem sıklığı hem de ciddiyeti arttıkça WordPress sitenizin uygun şekilde korunduğundan emin olmak her zamankinden daha önemli.

Bu yazıda, WordPress sitenize yapılacak bir DDoS saldırısını durdurmanıza ve önlemenize yardımcı olacak altı ipucunu tartıştık:

  1. WordPress'te XMLR RPC ve REST API'yi devre dışı bırakın.
  2. Sitenize bir WAF yükleyin.
  3. Güvenli bir barındırma sağlayıcısı seçin.
  4. Bir CDN kullanın.
  5. Bir WordPress DDoS koruma eklentisi indirin.
  6. WordPress bakımını ve izlenmesini bir öncelik haline getirin.

WordPress site bakımı ve bakımını bir öncelik haline getirmek istiyorsanız ancak bunun için zamanınız olup olmadığından emin değilseniz, işi WP Buffs'ta bize dış kaynak olarak kullanmayı düşünün . Kapsamlı site bakım planlarımız, uygun eklentilerin kurulmasından kapsamlı site güvenlik kontrollerinin yürütülmesine kadar her konuda size yardımcı olabilir.

Geri bildiriminizi vermek veya sohbete katılmak mı istiyorsunuz? Yorumlarınızı Twitter'a ekleyin.

Resim Kredisi: Scott Weber.