FTC: Web sitemiz ziyaretçi desteklidir; İçeriklerde bulunan bağlantılar aracılığıyla ürün/hizmet satın aldığınızda komisyon kazanabiliriz. Komisyonlar editoryal değerlendirmelerimizi etkilemez.

Brute Force (Kaba Kuvvet) Saldırısı Nedir, Nasıl Önlenir?

Brute Force Attack (Kaba Kuvvet Saldırısı), Hacker’ların farklı kullanıcı adı ve şifre kombinasyonlarını deneyerek bir web sitesine erişim sağlamayı amaçladıkları bir deneme yanılma yöntemidir ve bu yöntem en yaygın hackleme biçimlerinden biridir.

Brute Force saldırısı başarılı olduğu takdirde web sitenizin tüm yönetimi ele geçirilebilir. Böylece kötü amaçlı yazılım enjekte etme, sunucunuz üzerindeki diğer web sitelerini hackleme, sitenizi tahrif etme, müşteri verilerini ele geçirme gibi pek çok şekilde web siteniz kullanabilirler. Bu nedenle, sitenizi güvende tutmak için WordPress brute force saldırılarını önleme konusunda bilgi sahibi olmanız son derece önemlidir. Biraz dikkat ve önceden atılan birkaç adımla, tamamen durduramasanız bile, bu kaba kuvvet saldırılarını sınırlayabilirsiniz.

Brute Force Nedir?

Kaba kuvvet saldırısı, siber suçluların şifrelenmiş parolaları çözmek için kullandığı bir yöntemdir. Bu yöntemde, herhangi bir karakter, kelime veya cümle kombinasyonu denenerek sistem veya ağa erişim elde etmeye çalışılır. Temel prensip, doğru şifreyi bulana kadar tüm olası kombinasyonları denemektir.

Siber suçlular, bu yöntemi çeşitli sistemlere sızma amacıyla kullanabilirler. Hedefleri arasında web siteleri, sunucular, kişisel bilgisayarlar, şifrelenmiş dosyalar ve hatta güvenli iletişim kanalları bulunmaktadır. Bu saldırı yöntemi, deneme-yanılma prensibi üzerine kuruludur ve şifreyi kırmak için sistemi sürekli olarak farklı kombinasyonlarla test eder.

Brute Force, tam anlamıyla bir deneme-yanılma sürecidir. Siber suçlular, hedefledikleri sisteme veya ağa girmek için sabırla ve sistematik bir şekilde her olası şifre kombinasyonunu test ederler. Bu yöntem, web sitelerinden sunuculara, kişisel bilgisayarlardan şifrelenmiş dosyalara ve güvenli iletişim kanallarına kadar çeşitli sistemleri hedef alabilir. Siber suçluların bu yöntemi kullanarak elde etmeye çalıştıkları bilgiler genellikle hassas ve değerlidir.

Kaba Kuvvet Saldırı Türleri

Siber suçluların, yetkisiz erişim elde etmek için başvurduğu çeşitli kaba kuvvet saldırı teknikleri bulunmaktadır. Bu saldırı türlerinin bazıları şunlardır:

  • Sözlük Saldırıları: Belirlenmiş bir sözcük listesini kullanarak parolaları tahmin etmeye dayanan bir kaba kuvvet saldırı şeklidir. Bu saldırılarda, bilgisayar korsanları hedeflenen sisteme veya ağa giriş yapabilmek için muhtemel tüm parola kombinasyonlarını denemeye çalışırlar. Bu tür saldırılar genellikle yaygın olarak kullanılan parolaların bulunduğu sözlüklerle desteklenir ve zaman alıcı olabilir.
  • Hibrit Saldırılar: Sözlük saldırılarının yanı sıra sayılar, semboller veya diğer karakterlerin eklenmesi gibi ek özelliklerin kullanıldığı kaba kuvvet saldırılarının bir türüdür. Bu yöntem, bilgisayar korsanlarının daha karmaşık parola kombinasyonlarını denemelerini sağlar.
  • Ters Kaba Kuvvet Saldırıları: Daha önceki veri ihlallerinde sızdırılan şifrelerin kullanılmasını içerir. Bu saldırılarda, bilgisayar korsanları, elde ettikleri sızdırılmış şifreleri kullanarak hedef sistemlere erişmeye çalışırlar. Bu, korsanların şifreleri genellikle başarılı bir şekilde kırmasını sağlayabilir.
  • Kimlik Bilgisi Doldurma: Kullanıcıların birden fazla hesap için aynı parolaları kullandığı varsayımına dayanır. Bu tür saldırılarda, bilgisayar korsanları, kullanıcı adı ve şifre kombinasyonlarını başka web sitelerinde deneyerek farklı hesaplara erişmeye çalışırlar. Bu, kullanıcıların güvenlik açısından hassas bilgilerinin tehlikeye girmesine neden olabilir.
  • Botnetler: Büyük ölçekli kaba kuvvet saldırıları için gereken bilgi işlem gücünü artırmak amacıyla kullanılır. Bilgisayar korsanları, bu saldırılarda genellikle birçok farklı bilgisayarı ele geçirerek bunları kullanırlar. Bu, korsanların saldırılarını geniş bir ölçekte gerçekleştirmelerine ve izlerini gizlemelerine olanak tanır.
  • Basit Kaba Kuvvet Saldırıları: Zayıf şifrelerden veya kötü şifre hijyeninden yararlanır. Bu saldırı türünde, bilgisayar korsanları hedef sistemlere manuel olarak giriş yapmayı denerler, genellikle kullanıcıların en yaygın olarak kullandığı parolaları kullanarak.
  • Parola Püskürtme: Kilitleme politikalarını atlatmak için kullanılan bir yöntemdir. Bu saldırılarda, bilgisayar korsanları genellikle ortak bir parolayla başlayarak farklı kullanıcı hesaplarına erişmeye çalışırlar. Bu, tek bir parola ile birden fazla platforma erişim sağlama girişimidir.

Brute Force Saldırı Araçları Nelerdir?

Bu tür saldırıları gerçekleştirmek için çeşitli araçlar ve yazılımlar bulunmaktadır. İşte bazı örnekler:

  • Hydra: Farklı protokollerde (SSH, FTP, HTTP, HTTPS vb.) brute force saldırıları gerçekleştirmek için kullanılan popüler bir araçtır. Kullanıcı adı ve şifre listelerini destekler ve çeşitli hedeflere yönelik parola deneme işlemlerini otomatik olarak gerçekleştirebilir.
  • John the Ripper: Parola kırma ve brute force saldırıları için kullanılan açık kaynaklı bir araçtır. Linux, Windows ve diğer işletim sistemlerinde çalışabilir. Çeşitli şifreleme algoritmalarını destekler ve çoklu işlemci desteği sunar.
  • Hashcat: GPU hızlandırma desteği ile parola kırma ve brute force saldırıları için yaygın olarak kullanılan bir araçtır. Birçok farklı şifreleme algoritmasını destekler ve yüksek performanslı kırma yeteneği sunar.
  • Medusa: SSH, FTP, Telnet, HTTP gibi farklı servislerde brute force saldırıları gerçekleştirmek için kullanılan bir araçtır. Çoklu oturum açma yöntemlerini destekler ve otomatik olarak kullanıcı adı ve şifre kombinasyonlarını deneyebilir.
  • Aircrack-ng: Wi-Fi ağlarında güvenlik zafiyetlerini belirlemek ve şifrelerini çözmek için kullanılan bir araçtır. Özellikle WEP, WPA ve WPA2-PSK gibi yaygın kullanılan şifreleme protokollerinin kırılmasına yönelik kaba kuvvet saldırıları gerçekleştirebilir.
  • Crowbar: VNC, FTP, HTTP, HTTPS ve diğer birçok protokolde brute force saldırıları gerçekleştirmek için kullanılan bir araçtır. Otomatik protokol algılama yeteneği ve çoklu işlemci desteği vardır.
  • L0phtCrack: Windows işletim sistemlerindeki şifreleri kırmak için kullanılan bir araçtır. Sözlük saldırıları, hibrit saldırılar ve gökkuşağı tabloları gibi çeşitli yöntemlerle şifreleri çözebilir.

WordPress Brute Force (Kaba Kuvvet) Saldırılarını Önleme Yolları

WordPress sitenizi Brute Force Attack’tan korumak için alabileceğiniz birçok önleyici tedbir vardır. Aşağıdaki adımları uygulayarak WordPress güvenlik önlemleri için iyi bir başlangıç yapabilirsiniz.

1. WordPress Giriş URL’sini değiştirin

WordPress domain.com/wp-login.php veya domain.com/wp-admin biçiminde varsayılan bir giriş URL’si kullanır. Bu durum herkes tarafından bilinir. Hacker’ların, kaba kuvvet saldırıları için kullandığı alan da burasıdır. Eğer WordPress otum açma alanı url’sini olduğu gibi bırakırsanız kötü niyetli kişilerin işlerini biraz daha kolaylaştırmış olursunuz.

Varsayılan giriş URL’sini kolayca tahmin edilemeyen farklı bir URL ile değiştirmeniz riskleri azaltabilir. URL kısmını değiştirmek için en basit yollardan biri WPS Hide Login gibi bir eklenti kullanmaktır.

Eklentiyi kurup etkinleştirdikten sonra WP kontrol paneli Ayarlar>>Genel bölümüne gidin. Sayfanın altına indiğinizde WordPress giriş URL’nizi değiştirmek için yeni bir seçenek göreceksiniz. Buraya hatırlayabileceğiniz bir şey girin. Hemen altında da, wp-admin dizinine erişmek isteyenleri yönlendireceğiniz adresi girebilirsiniz (varsayılan olarak 404 sayfanıza yönlendirir).

Brute Force girişimlerini önlemek için WordPress giriş URL'sini değiştirme

Yeni giriş URL’sini hatırladığınızdan emin olun, aksi takdirde kontrol paneline erişemezsiniz. Bu eklenti, varsayılan giriş URL’si isteklerini keser ve bunları eklenti ayarlarıyla belirttiğiniz sayfaya yönlendirir.

Daha fazla bilgi için WordPress Wp-Admin ve Wp-Login Giriş Yolunu Değiştirme başlıklı yazımıza bakabilirsiniz.

2. Oturum Açma Girişimlerini Kısıtlayın

Oturum açma sayfasını kaba kuvvet saldırılarından korumanın başka bir yolu, bir IP adresi tarafından web sitenize yapılan oturum açma girişimlerinin sayısını sınırlandırmaktır. IP adresini, kısa bir süre için belirtilen oturum açma denemesi sınırını aşarsa engelleyebilirsiniz.

Bir bilgisayar korsanı yeni özel oturum açma URL’sini bulmayı bir şekilde başarırsa, belirli bir zamanda tetikleyebileceği başarısız oturum açma girişimlerinin sayısını sınırlayabiliriz. Bu, büyük bir Brute Force girişimi akışını bir nevi hafifletme işlevi görür.

Kaba Kuvvet Saldırıları İçin IP Kısıtlama

Bu kısıtlamaları WPS Limit Login eklentisi aracılığıyla kolayca uygulayabiliriz . Etkinleştirildiğinde, bu eklentinin varsayılan ayarları çoğu web sitesinde bu tür saldırıların üstesinden gelmek için yeterince iyidir.

Bu tür girişimlerin daha büyük bir hacmiyle karşılaşırsanız, ayarları gereksinimlerinize göre düzenleyebilirsiniz. Yukarıda gösterilen ayarlar önerilir. Bu önlem, varsayılan giriş URL’sini kullanıyor olsanız bile hackerlar için büyük bir engeldir.

3. İki Faktörlü Kimlik Doğrulama (2FA) Kullanın

İki faktörlü kimlik doğrulama brute force saldırılarını önlemek için oldukça etkili bir yöntemdir. Bir web sitesinin oturum açma sayfasına fazladan bir güvenlik katmanı ekler. Bir kullanıcı adı ve şifre kombinasyonu ile birlikte ekstra bir güvenlik katmanı, hackerların web sitenize girmesini zorlaştırarak Brute Force Attack girişimlerini önlemeye yardımcı olacaktır.

2FA sistemini WordPress sitenizde kurmak ve yapılandırmak için 2FAS Light – Google Authenticator eklentisini kullanabiliriz. Kullanımı ücretsizdir ve anında yapılandırılabilir.

4. Güçlü oturum açma bilgileri kullanın

Güçlü bir oturum açma bilgisi, yalnızca güçlü bir parola kullanmak anlamına gelmez. Aynı zamanda benzersiz bir kullanıcı adı seçmek anlamına gelir. Kullanıcı adınız varsayılan olarak uygulanan” admin ” ise, hackerların ilk deneyecekleri kullanıcı adının da bu olacağını bilmelisiniz.

Giriş sayfasındaki iki alandan birini (kullanıcı adı ve parola) bilmek işi yarılamak anlamına gelir! Yani kullanıcı adı biliniyorsa, kötü niyetli kişilerin yapması geren sadece şifreyi kırmak olacak. Bu da çok sayıda deneme saldırısı demek. Eğer parolanız da zayıfsa, işte o zaman sitenizin hacklenmesi an meselesi!

Parola ve kullanıcı adı belirlerken akılda tutulması gereken şeylerden bazıları şunlardır:

  1. Adınızı, kullanıcı adınızı, şirket adınızı veya web sitenizin adını kullanmaktan kaçının.
  2. Sözlükteki hiçbir kelimeyi herhangi bir dilde kullanmayın.
  3. Kısa Parolalar kullanmaktan kaçının.
  4. Daima alfa sayısal şifreler kullanmayı deneyin.

WordPress Kullanıcı Adı ve Parola Nasıl Değiştirilir? başlıklı kılavuzumuz sayesinde bu sorunu çözebilirsiniz.

5. HTTP kimlik doğrulaması uygulayın

Brute Force saldırılarını önleme yöntemlerinden bir diğeri de HTTP kimlik doğrulamasıdır. HTTP kimlik doğrulaması ile, oturum açma sayfanıza tanınmayan ve kimliği doğrulanmamış erişimi engelleyebilirsiniz.

Web sitenizin oturum açma sayfasını HTTP kimlik doğrulaması ile açacağınız zaman bir oturum açma kutusu görünecektir. HTTP kimlik doğrulamasının oturum açma kimlik bilgileri, normal oturum açma kimlik bilgilerinden tamamen farklıdır. Bu işlemi HTTP auth eklentisi yardımıyla kolayca yapabilirsiniz.


Yukarıda belirtilen adımlar, WordPress web sitenizi kaba kuvvet ya da diğer bir söylemle brute force saldırılarına karşı korumada oldukça etkilidir. Eğer WordPress kullanıcısıysanız “WordPress Güvenlik Önlemleri” kılavuzumuzdan faydalanabilirsiniz. Ayrıca tüm güvenlik önlemlerini oldukça kullanışlı ve işleri hızlandıran en iyi güvenlik eklentileri listemize de göz atmanızı öneririz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu