Brute Force (Kaba Kuvvet) Saldırısı Nedir, Nasıl Önlenir?

Son Güncelleme: 24 Mart 2021

Brute Force Attack (Kaba Kuvvet Saldırısı), Hacker’ların farklı kullanıcı adı ve şifre kombinasyonlarını deneyerek bir web sitesine erişim sağlamayı amaçladıkları bir deneme yanılma yöntemidir ve bu yöntem en yaygın hackleme biçimlerinden biridir. Brute Force saldırısı başarılı olduğu takdirde web sitenizin tüm yönetimi ele geçirilebilir. Böylece, kötü amaçlı yazılım enjekte etme, sunucunuz üzerindeki diğer web sitelerini hackleme, sitenizi tahrif etme, müşterileri verilerini çalma gibi pek çok şekilde web siteniz kullanabilirler.

Bu nedenle, sitenizi güvende tutmak için WordPress brute force saldırılarını önleme konusunda bilgi sahibi olmak önemlidir. Biraz dikkat ve önceden atılan birkaç adımla, tamamen durduramasanız da bu kaba kuvvet saldırılarını sınırlayabilirsiniz.

WordPress Brute Force (Kaba Kuvvet) Saldırılarını Önleme Yolları

WordPress sitenizi Brute Force Attack’tan korumak için alabileceğiniz birçok önleyici tedbir vardır. Aşağıdaki adımları uygulayarak WordPress güvenlik önlemleri için iyi bir başlangıç yapabilirsiniz.

1. WordPress Giriş URL’sini değiştirin

WordPress domain.com/wp-login.php veya domain.com/wp-admin biçiminde varsayılan bir giriş URL’si kullanır. Bu durum herkes tarafından bilinir. Hacker’ların, kaba kuvvet saldırıları için kullandığı alan da burasıdır. Eğer WordPress otum açma alanı url’sini olduğu gibi bırakırsanız kötü niyetli kişilerin işlerini biraz daha kolaylaştırmış olursunuz.

Varsayılan giriş URL’sini kolayca tahmin edilemeyen farklı bir URL ile değiştirmeniz riskleri azaltabilir. URL kısmını değiştirmek için en basit yollardan biri WPS Hide Login gibi bir eklenti kullanmaktır.

Eklentiyi kurup etkinleştirdikten sonra WP kontrol paneli Ayarlar>>Genel bölümüne gidin. Sayfanın altına indiğinizde WordPress giriş URL’nizi değiştirmek için yeni bir seçenek göreceksiniz. Buraya hatırlayabileceğiniz bir şey girin. Hemen altında da, wp-admin dizinine erişmek isteyenleri yönlendireceğiniz adresi girebilirsiniz (varsayılan olarak 404 sayfanıza yönlendirir).

Brute Force girişimlerini önlemek için WordPress giriş URL'sini değiştirme

Yeni giriş URL’sini hatırladığınızdan emin olun, aksi takdirde kontrol paneline erişemezsiniz. Bu eklenti, varsayılan giriş URL’si isteklerini keser ve bunları eklenti ayarlarıyla belirttiğiniz sayfaya yönlendirir.

Daha fazla bilgi için WordPress Wp-Admin ve Wp-Login Giriş Yolunu Değiştirme başlıklı yazımıza bakabilirsiniz.

2. Oturum Açma Girişimlerini Kısıtlayın

Oturum açma sayfasını kaba kuvvet saldırılarından korumanın başka bir yolu, bir IP adresi tarafından web sitenize yapılan oturum açma girişimlerinin sayısını sınırlandırmaktır. IP adresini, kısa bir süre için belirtilen oturum açma denemesi sınırını aşarsa engelleyebilirsiniz.

Bir bilgisayar korsanı yeni özel oturum açma URL’sini bulmayı bir şekilde başarırsa, belirli bir zamanda tetikleyebileceği başarısız oturum açma girişimlerinin sayısını sınırlayabiliriz. Bu, büyük bir Brute Force girişimi akışını bir nevi hafifletme işlevi görür.

Kaba Kuvvet Saldırıları İçin IP Kısıtlama

Bu kısıtlamaları WPS Limit Login eklentisi aracılığıyla kolayca uygulayabiliriz . Etkinleştirildiğinde, bu eklentinin varsayılan ayarları çoğu web sitesinde bu tür saldırıların üstesinden gelmek için yeterince iyidir.

Bu tür girişimlerin daha büyük bir hacmiyle karşılaşırsanız, ayarları gereksinimlerinize göre düzenleyebilirsiniz. Yukarıda gösterilen ayarlar önerilir. Bu önlem, varsayılan giriş URL’sini kullanıyor olsanız bile hackerlar için büyük bir engeldir.

3. İki Faktörlü Kimlik Doğrulama (2FA) Kullanın

İki faktörlü kimlik doğrulama brute force saldırılarını önlemek için oldukça etkili bir yöntemdir. Bir web sitesinin oturum açma sayfasına fazladan bir güvenlik katmanı ekler. Bir kullanıcı adı ve şifre kombinasyonu ile birlikte ekstra bir güvenlik katmanı, hackerların web sitenize girmesini zorlaştırarak Brute Force Attack girişimlerini önlemeye yardımcı olacaktır.

2FA sistemini WordPress sitenizde kurmak ve yapılandırmak için 2FAS Light – Google Authenticator eklentisini kullanabiliriz. Kullanımı ücretsizdir ve anında yapılandırılabilir.

4. Güçlü oturum açma bilgileri kullanın

Güçlü bir oturum açma bilgisi, yalnızca güçlü bir parola kullanmak anlamına gelmez. Aynı zamanda benzersiz bir kullanıcı adı seçmek anlamına gelir. Kullanıcı adınız varsayılan olarak uygulanan” admin ” ise, hackerların ilk deneyecekleri kullanıcı adının da bu olacağını bilmelisiniz.

Giriş sayfasındaki iki alandan birini (kullanıcı adı ve parola) bilmek işi yarılamak anlamına gelir! Yani kullanıcı adı biliniyorsa, kötü niyetli kişilerin yapması geren sadece şifreyi kırmak olacak. Bu da çok sayıda deneme saldırısı demek. Eğer parolanız da zayıfsa, işte o zaman sitenizin hacklenmesi an meselesi!

Parola ve kullanıcı adı belirlerken akılda tutulması gereken şeylerden bazıları şunlardır:

  1. Adınızı, kullanıcı adınızı, şirket adınızı veya web sitenizin adını kullanmaktan kaçının.
  2. Sözlükteki hiçbir kelimeyi herhangi bir dilde kullanmayın.
  3. Kısa Parolalar kullanmaktan kaçının.
  4. Daima alfa sayısal şifreler kullanmayı deneyin.

WordPress Kullanıcı Adı ve Parola Nasıl Değiştirilir? başlıklı kılavuzumuz sayesinde bu sorunu çözebilirsiniz.

5. HTTP kimlik doğrulaması uygulayın

Brute Force saldırılarını önleme yöntemlerinden bir diğeri de HTTP kimlik doğrulamasıdır. HTTP kimlik doğrulaması ile, oturum açma sayfanıza tanınmayan ve kimliği doğrulanmamış erişimi engelleyebilirsiniz.

Web sitenizin oturum açma sayfasını HTTP kimlik doğrulaması ile açacağınız zaman bir oturum açma kutusu görünecektir. HTTP kimlik doğrulamasının oturum açma kimlik bilgileri, normal oturum açma kimlik bilgilerinden tamamen farklıdır. Bu işlemi HTTP auth eklentisi yardımıyla kolayca yapabilirsiniz.


Yukarıda belirtilen adımlar, WordPress web sitenizi kaba kuvvet ya da diğer bir söylemle brute force saldırılarına karşı korumada oldukça etkilidir. Ayrıca, bu adımları tek tek farklı eklentilerle uygulamak yerine, hepsi bir arada güvenlik eklentileri de kullanabilirsiniz.