Bir sunucu ya da uygulama internete açıldığı andan itibaren, arkasında insan olmayan otomatik botlar tarafından sürekli yoklanır. Bu botların büyük çoğunluğu tek bir şeyin peşindedir: geçerli bir kullanıcı adı ve parola çifti. Yeteri kadar kombinasyonu yeterince hızlı denerlerse, er ya da geç zayıf bir hesabın kilidini açabileceklerini bilirler. İşte bu yorulmak bilmez "dene, tut, tekrar dene" mantığına brute force yani kaba kuvvet saldırısı denir. Adının hakkını verir: zeka değil, ısrar ve hız üzerine kuruludur.
Bu rehberde bir sistem yöneticisinin gözünden brute force saldırılarının nasıl çalıştığını, hangi kapıları zorladıklarını ve daha da önemlisi bu kapıları nasıl gerçekten kapatabileceğinizi anlatacağım. Amacım size ezberletmek değil; parolanın neden yeterli olmadığını, oran sınırlamanın matematiğini ve fail2ban gibi araçların perde arkasında ne yaptığını anlayarak kendi sunucunuzu güvene alabilmenizi sağlamak. Örnekler gerçek yapılandırmalardan alınmış, kopyalayıp uyarlayabileceğiniz komutlar içeriyor.
Brute Force Saldırısı Nedir ve Nasıl Çalışır#
Kaba kuvvet saldırısının temel fikri son derece basittir: gizli bilgiyi tahmin etmenin sistematik yolu, tüm olası değerleri tek tek denemektir. Bir parola söz konusuysa saldırgan mümkün olan tüm harf, rakam ve sembol dizilerini bir sıraya dizer ve hedef sisteme peş peşe gönderir. Doğru olanı bulana kadar durmaz. Teoride her parola bu yöntemle eninde sonunda kırılabilir; pratikte işi belirleyen tek şey zamandır.
Zamanı belirleyen iki değişken vardır. Birincisi arama uzayının büyüklüğü, yani parolanın uzunluğu ve içerdiği karakter çeşitliliğidir. İkincisi saldırganın saniyede kaç deneme yapabildiğidir. Aşağıdaki tablo, saniyede bir milyar deneme yapabilen ideal bir saldırgan için kaba bir büyüklük fikri verir. Gerçek dünyada bir ağ üzerinden yapılan online saldırılar bunun çok altında kalır, ama sızdırılmış bir parola veritabanı offline kırılıyorsa bu hızlara ulaşılabilir.
| Parola yapısı | Karakter havuzu | 8 karakter | 12 karakter |
|---|---|---|---|
| Sadece küçük harf | 26 | ~2 saniye | ~9 gün |
| Harf ve rakam | 62 | ~3,5 saat | ~9 yüzyıl |
| Harf, rakam, sembol | 95 | ~9 gün | ~yüz binlerce yıl |
Tablodan çıkan ders nettir: her eklenen karakter süreyi katlanarak büyütür. Bu yüzden savunmanın iki cephesi vardır. Birincisi parolayı öyle büyük bir arama uzayına taşımaktır ki denemek anlamsızca uzun sürsün. İkincisi saldırganın deneme hızını, yani saniyedeki tahmin sayısını düşürmektir. Bu rehberin geri kalanı büyük ölçüde bu ikinci cepheyle, yani deneme hızını sıfıra yaklaştırmakla ilgilidir; çünkü online bir servise saniyede milyonlarca istek göndermesine izin verirseniz güçlü parola bile tek başına yetmez.
Sözlük, Hibrit ve Credential Stuffing Saldırıları#
Saf brute force, yani tam anlamıyla "her kombinasyonu dene" yaklaşımı aslında saldırganların en son başvurduğu yöntemdir çünkü en yavaşıdır. Gerçekte insanlar rastgele parolalar seçmez; "123456", "qwerty", şirket adı, doğum yılı, "Admin2024!" gibi tahmin edilebilir kalıplar kullanır. Saldırganlar da bu insan zaafından yararlanır ve önce en olası parolaları dener. Bu daha akıllı varyantları tanımak, neden belirli önlemlerin işe yaradığını anlamanıza yardımcı olur.
Sözlük saldırısı (dictionary attack), rastgele diziler yerine önceden hazırlanmış bir kelime listesini dener. Bu listeler gerçek dünyadan sızmış milyonlarca parolayı, yaygın kelimeleri ve kalıpları içerir. rockyou.txt gibi klasik listeler on milyonlarca gerçek parola barındırır. Bir kullanıcının parolası bu listede varsa, saniyeler içinde bulunur; uzunluğu hiç önemli olmaz.
Hibrit saldırı, sözlük yaklaşımını kural tabanlı dönüşümlerle birleştirir. "password" kelimesini alıp sonuna rakam ekler, harfleri sembolle değiştirir (a → @, s → $), baş harfi büyütür. Böylece "P@ssw0rd!" gibi görünüşte "karmaşık" ama aslında öngörülebilir parolalar bulunur. İnsanların "güçlü parola" diye ürettiği çoğu şey tam olarak bu kategoriye girer, bu yüzden karmaşıklık kuralları tek başına yanıltıcı bir güven verir.
Credential stuffing ise teknik olarak farklıdır ama sonuçları en yıkıcı olanıdır. Burada saldırgan parola tahmin etmez; başka bir siteden sızmış gerçek e-posta ve parola çiftlerini alır ve bunları sizin sisteminizde dener. İnsanlar aynı parolayı birçok yerde kullandığından, X sitesinden sızan bir parola sizin panelinizde de çalışabilir. Bu saldırıya karşı parola karmaşıklığı hiçbir işe yaramaz; tek gerçek savunma her yerde farklı parola kullanmak ve ikinci bir doğrulama faktörü eklemektir.
Tipik Hedefler: SSH, WordPress ve cPanel#
Brute force botları rastgele değil, bilinen ve değerli kapılara yönelir. Bir sunucu yöneticisi olarak günlüklerinizde en çok bu üç hedefe yönelik saldırıyı görürsünüz. Her birinin kendine özgü savunma refleksleri vardır.
SSH (22 numaralı port) internete açık her Linux sunucusunun bir numaralı hedefidir. Bir sunucu ayağa kalktıktan dakikalar sonra bile root ve yaygın kullanıcı adları için giriş denemeleri başlar. Aşağıdaki gibi günlük satırları çok tanıdıktır:
# /var/log/auth.log içinde tipik brute force izleri
sudo grep "Failed password" /var/log/auth.log | tail -n 20
# Örnek çıktı:
# Failed password for root from 203.0.113.44 port 51234 ssh2
# Failed password for invalid user admin from 198.51.100.7 port 40021 ssh2
# Failed password for invalid user test from 192.0.2.19 port 33518 ssh2
SSH tarafındaki en etkili savunma, bu yazının ilerleyen bölümünde anlatacağım gibi parola girişini tamamen kapatıp anahtar tabanlı kimlik doğrulamaya geçmektir. Parola yoksa, tahmin edilecek bir şey de yoktur.
WordPress, web dünyasının en popüler platformu olduğu için orantısız biçimde saldırıya uğrar. Hedef neredeyse her zaman /wp-login.php ve /xmlrpc.php uç noktalarıdır. Özellikle xmlrpc.php, tek bir HTTP isteğinde yüzlerce parolayı denemeye izin verdiği için (system.multicall) botların favorisidir. WordPress kullanıyorsanız kullanmadığınız durumda xmlrpc.php erişimini kapatmak, admin kullanıcı adını değiştirmek ve giriş sayfasına oran sınırlama koymak ilk yapılması gerekenlerdir. Yönetilen bir kurulumda bu önlemleri sizin adınıza uygulayan çözümler için WordPress hosting seçeneklerine ve WordPress bakım hizmetine göz atabilirsiniz.
cPanel ve WHM paylaşımlı hosting ortamlarının yönetim kapılarıdır ve genellikle 2082, 2083, 2086, 2087 portlarında dinler. Ayrıca hosting sunucuları e-posta (Dovecot/Exim, POP3/IMAP/SMTP) ve FTP servisleri için de sürekli parola denemesi alır. Bir e-posta hesabının parolası kırılırsa, sunucunuz kısa sürede spam gönderen bir makineye dönüşebilir ve IP itibarınız zarar görür. Bu yüzden panel ve posta parolalarının da en az sunucu parolası kadar güçlü olması gerekir.
Güçlü Parola ve İki Faktörlü Doğrulama#
Savunmanın ilk katmanı, tahmin edilmesi anlamsızca uzun sürecek parolalar kullanmaktır. Ama "güçlü parola" kavramı yıllar içinde değişti. Eskiden dayatılan "en az bir büyük harf, bir rakam, bir sembol" kuralı, insanları "P@ssw0rd1" gibi hibrit saldırıların ilk denediği kalıplara yönelttiği için aslında zayıf parolalar üretiyordu. Bugünkü doğru yaklaşım uzunluğu karmaşıklığın önüne koymaktır.
Modern öneri, birbiriyle alakasız kelimelerden oluşan uzun ama akılda kalıcı parola cümleleri (passphrase) kullanmaktır. "kestane-vapur-42-mercan-lamba" gibi bir dizi, hem hatırlanması kolaydır hem de karakter sayısı sayesinde arama uzayı devasadır. Daha da iyisi, her servis için bir parola yöneticisiyle üretilmiş tamamen rastgele parolalar kullanmaktır; böylece credential stuffing tehdidi de ortadan kalkar. Bu konuyu derinlemesine ele aldığımız güçlü parola politikası rehberimizde kurumsal kural setleri için örnekler bulabilirsiniz.
Ancak parola ne kadar güçlü olursa olsun, tek faktör olmaya devam ettiği sürece bir risktir; çünkü sızabilir, oltalanabilir veya bir keylogger'a yakalanabilir. İşte bu yüzden iki faktörlü doğrulama (2FA) brute force savunmasının en kritik parçasıdır. 2FA açıkken saldırgan parolayı doğru tahmin etse bile, telefonunuzdaki uygulamanın ürettiği tek kullanımlık koda sahip olmadığı için giriş yapamaz. Kaba kuvvetin tüm mantığı "yeterince dene, tuttur" üzerine kuruluydu; 2FA bu mantığı kırar çünkü ikinci faktör tahmin edilemez ve saniyeler içinde değişir. Sunucularınızda 2FA'yı şu şekilde etkinleştirebilirsiniz:
# Ubuntu/Debian üzerinde SSH için TOTP tabanlı 2FA
sudo apt update && sudo apt install -y libpam-google-authenticator
# Her kullanıcı kendi hesabında çalıştırır ve QR kodu okutur:
google-authenticator
Clou.TR müşteri panelinde de hesabınıza TOTP veya e-posta tabanlı 2FA ekleyebilir, kurtarma kodlarınızı güvenli bir yerde saklayabilirsiniz. Bu, panel erişiminizi kaba kuvvet ve sızmış parola risklerine karşı ciddi biçimde sağlamlaştırır.
Giriş Oran Sınırlama ile Deneme Hızını Düşürmek#
Rehberin başında brute force'un iki değişkeni olduğunu söylemiştim: arama uzayı ve deneme hızı. Güçlü parola ilkini büyütür; oran sınırlama (rate limiting) ise ikincisini çökertir. Fikir şudur: meşru bir kullanıcı parolasını dakikada onlarca kez yanlış girmez. Kısa sürede çok sayıda başarısız denemenin geldiği bir kaynak neredeyse kesinlikle bir bottur ve engellenmelidir.
Web sunucusu düzeyinde bunu doğrudan uygulayabilirsiniz. Aşağıdaki Nginx yapılandırması, giriş sayfasına IP başına saniyede en fazla bir istek izni verir ve kısa bir taşma payı (burst) tanır:
# http bloğunda tanımlanan paylaşımlı bellek bölgesi
limit_req_zone $binary_remote_addr zone=login_zone:10m rate=1r/s;
server {
location = /wp-login.php {
limit_req zone=login_zone burst=5 nodelay;
# Aşırı istekte 429 döndür
limit_req_status 429;
include fastcgi_params;
fastcgi_pass unix:/run/php/php8.1-fpm.sock;
}
}
Bu yapılandırmayla bir saldırgan saniyede binlerce parola deneyemez; en fazla saniyede birkaç istek geçebilir. Tablodaki matematiği hatırlayın: hızı milyonlardan bire indirdiğinizde, sekiz karakterlik karmaşık bir parolayı bile kırmak yüzlerce yıl sürer. Oran sınırlama, brute force'u pratikte imkansız hale getiren tek başına en etkili tekniklerden biridir.
Uygulama düzeyinde ek olarak, belirli sayıda başarısız denemeden sonra hesabı geçici olarak kilitleyen (account lockout) ya da her başarısız denemeden sonra yanıtı yavaşça geciktiren (exponential backoff) mekanizmalar da kullanılır. Ancak hesap kilitlemede dikkatli olun: kötü niyetli biri sürekli yanlış parola göndererek meşru bir kullanıcının hesabını kasıtlı olarak kilitleyebilir; bu bir tür hizmet reddi (DoS) yaratır. Bu yüzden IP tabanlı oran sınırlama, çoğu senaryoda hesap tabanlı kilitlemeye göre daha güvenli bir tercihtir.
fail2ban ile Otomatik Engelleme#
Oran sınırlama isteği yavaşlatır ama saldırgan IP'yi sisteme yaslanmaya devam eder. Bir adım daha ileri gidip saldırgan IP'yi güvenlik duvarı düzeyinde tamamen kesmek istersiniz. İşte fail2ban tam bu işi yapar: log dosyalarını gerçek zamanlı izler, belirlediğiniz kalıplara (örneğin "Failed password") uyan satırları sayar ve bir eşiği aşan IP'yi otomatik olarak bir süre banlar. Sistem yöneticileri için brute force savunmasının bel kemiğidir.
Çalışma mantığı üç kavram etrafında döner. Bir filtre, hangi log satırının başarısız deneme sayıldığını tanımlar. Bir jail (hapishane), hangi servisi izleyeceğini, kaç denemeden sonra (maxretry), hangi zaman penceresinde (findtime) ve ne kadar süreyle (bantime) banlayacağını belirler. Action ise banın nasıl uygulanacağını (genelde iptables/nftables kuralı) tanımlar. SSH için tipik bir yapılandırma şöyle görünür:
# /etc/fail2ban/jail.local
[DEFAULT]
# 1 saatte 5 başarısız denemeyi geçen IP 1 saat banlanır
findtime = 1h
maxretry = 5
bantime = 1h
# Tekrar edenlere kademeli olarak daha uzun ban
bantime.increment = true
bantime.factor = 2
[sshd]
enabled = true
port = ssh
backend = systemd
[wordpress]
enabled = true
filter = wordpress-auth
port = http,https
logpath = /var/log/nginx/access.log
maxretry = 3
Bu yapılandırmada bantime.increment özelliği özellikle güçlüdür: ısrarcı bir saldırgan tekrar tekrar yakalandıkça ban süresi katlanarak uzar (1 saat, 2 saat, 4 saat...), böylece inatçı botlar günlerce sistemden dışlanır. Yapılandırmayı yükledikten sonra durumu şöyle izleyebilirsiniz:
# Aktif jail'leri ve banlı IP'leri gör
sudo fail2ban-client status sshd
# Bir IP'yi elle banla ya da bandan çıkar
sudo fail2ban-client set sshd banip 203.0.113.44
sudo fail2ban-client set sshd unbanip 203.0.113.44
fail2ban'ı adım adım kuran, WordPress ve posta servisleri için özel filtreler yazan ve yanlış pozitifleri (kendi IP'nizi banlamak gibi) önleyen ayrıntılı bir anlatım için fail2ban kurulumu rehberimizi izlemenizi öneririm. Kendi kök sunucunuzu yönetmek istemiyorsanız, bu tür sertleştirmeleri sizin adınıza yaptığımız sunucu yönetimi hizmetimiz de mevcut.
Anahtar Tabanlı SSH: Kırılacak Parolayı Ortadan Kaldırmak#
Şimdiye kadar anlattığım her şey parolayı savunmakla ilgiliydi. Ama en zarif çözüm, savunacak bir parolanın hiç olmamasıdır. SSH için bunu anahtar tabanlı kimlik doğrulama ile başarırsınız. Burada parola yerine kriptografik bir anahtar çifti kullanılır: özel anahtar sizin bilgisayarınızda kalır, açık anahtar sunucuya yüklenir. Sunucu, karşınızdaki tarafın gerçekten özel anahtara sahip olduğunu matematiksel olarak doğrular. Tahmin edilecek bir sır ağ üzerinden hiç gönderilmez.
Bir anahtar çiftinin arama uzayı öyle büyüktür ki (2048 bit ve üzeri) kaba kuvvetle denemek fiziksel olarak imkansızdır; evrenin yaşı bunun için yetmez. Kurulum birkaç dakika sürer:
# İstemcinizde modern bir anahtar çifti üretin
ssh-keygen -t ed25519 -C "sizin-notunuz"
# Açık anahtarı sunucuya kopyalayın
ssh-copy-id kullanici@sunucu-ip
# Test edin: artık parola sormamalı
ssh kullanici@sunucu-ip
Anahtar girişini doğruladıktan sonra kritik adım, parola girişini tamamen devre dışı bırakmaktır. Aksi halde bot hâlâ parola deneyebilir:
# /etc/ssh/sshd_config
PasswordAuthentication no
PermitRootLogin prohibit-password
PubkeyAuthentication yes
ChallengeResponseAuthentication no
# Yapılandırmayı doğrula ve servisi yeniden başlat
sudo sshd -t && sudo systemctl restart ssh
PasswordAuthentication no satırı devreye girdiği andan itibaren, SSH'a yönelik parola brute force saldırıları anlamsızlaşır; sunucu artık hiçbir parolayı kabul etmez. Botlar denemeye devam edebilir ama tek gördükleri anlık reddir. Özel anahtarınızı da bir parola cümlesiyle (passphrase) koruyun, ki dizüstü bilgisayarınız çalınırsa anahtarınız doğrudan kullanılamasın. Kendi sanal ya da özel sunucunuzda bu yapılandırmayı kolayca uygulayabilirsiniz; VDS ve sanal sunucu planlarımız tam root erişimiyle gelir.
Katmanlı Savunma: WAF, İzleme ve Yedekleme#
Güvenlikte hiçbir tek önlem sihirli değildir; asıl güç, birbirini tamamlayan katmanlardadır. Bir saldırgan bir katmanı aşsa bile bir sonrakine takılır. Brute force savunmanızı sağlamlaştıracak tamamlayıcı katmanları kısaca özetleyeyim.
Bir Web Uygulama Güvenlik Duvarı (WAF), HTTP trafiğini uygulamaya ulaşmadan önce inceler ve bilinen saldırı imzalarını, agresif giriş denemelerini ve kötü bilinen IP'leri filtreler. WordPress ve panel giriş sayfaları için ağ kenarında çalışan bir WAF çözümü, fail2ban devreye girmeden önce trafiğin büyük kısmını temizler. Aynı katmanda, brute force'un bazen bir hacim saldırısına dönüştüğü durumlar için DDoS koruma da devrededir. Uygulama ile ziyaretçi arasındaki trafiği şifreleyip parolaların açık metin olarak dinlenmesini engellemek için de her sitenizde geçerli bir SSL sertifikası bulunmalıdır.
İkinci vazgeçilmez katman izleme ve görünürlüktür. Sunucunuza yönelik saldırıları göremiyorsanız savunamazsınız. Başarısız giriş loglarını düzenli inceleyin, olağandışı giriş saatlerine ve konumlarına dikkat edin, mümkünse merkezi bir log toplama sistemi kurun. Aşağıdaki basit komut, size en çok deneme yapan IP'leri hızla gösterir:
# SSH'a en çok saldıran ilk 10 IP
sudo grep "Failed password" /var/log/auth.log \
| grep -oE "from [0-9.]+" \
| awk '{print $2}' | sort | uniq -c | sort -rn | head
Son katman ise en kötü senaryoya hazırlıktır: düzenli yedekleme. Tüm önlemlere rağmen bir hesap ele geçirilirse, temiz bir yedekten geri dönebilmek felaketle sıkıntı arasındaki farktır. Otomatik ve sunucudan bağımsız tutulan bir yedekleme stratejisi, güvenliğin görünmez ama en değerli sigortasıdır. Tüm bu katmanları hazır sunan yönetilen ortamlar için hosting ve reseller hosting planlarımıza, alan adı yönetimi için domain sayfamıza göz atabilir, ek uygulamalar için App Center ve teknik araçlar bölümlerimizi inceleyebilirsiniz.
Sıkça Sorulan Sorular#
Brute force saldırısı ne kadar sürede parolamı kırar?#
Bu tamamen parolanızın uzunluğuna, karakter çeşitliliğine ve saldırganın deneme hızına bağlıdır. Saniyede yalnızca birkaç deneme yapabilen online bir saldırıda, on iki karakterlik rastgele bir parolanın kırılması pratikte imkansızdır ve yüzyıllar alır. Ancak parolanız yaygın bir sözlük kelimesi veya sızmış bir listede yer alan bir dizeyse, uzunluğundan bağımsız olarak saniyeler içinde bulunabilir. Bu yüzden hem uzunluk hem de öngörülemezlik birlikte önemlidir.
fail2ban tek başına yeterli bir koruma mı?#
fail2ban çok güçlü bir araçtır ama tek katmanlı bir savunma olarak düşünülmemelidir. Saldırganları başarısız denemelerinden sonra yakalayıp banlar, yani reaktif çalışır; ilk birkaç deneme her zaman sisteme ulaşır. En iyi sonucu güçlü parola, iki faktörlü doğrulama ve mümkünse anahtar tabanlı SSH ile birlikte kullanıldığında verir. fail2ban bu katmanların üzerine eklenen bir otomasyon ağıdır, onların yerini tutmaz.
SSH için parola mı yoksa anahtar mı daha güvenli?#
Anahtar tabanlı kimlik doğrulama, parolaya göre kıyaslanamayacak kadar güvenlidir ve internete açık sunucular için önerilen yöntemdir. Bir parola tahmin edilebilir, oltalanabilir veya sızabilir; oysa kriptografik anahtarın arama uzayı kaba kuvvetle denenemeyecek kadar büyüktür ve gizli bilgi ağ üzerinden hiç gönderilmez. En güvenli yapılandırma, anahtarları etkinleştirip parola girişini PasswordAuthentication no ile tamamen kapatmak ve özel anahtarı bir parola cümlesiyle korumaktır.
WordPress sitemi brute force saldırılarından nasıl korurum?#
WordPress için birkaç adım ciddi bir fark yaratır. Öncelikle admin gibi tahmin edilebilir kullanıcı adlarını kullanmayın ve tüm hesaplara güçlü parola zorunluluğu getirin. Giriş sayfasına oran sınırlama uygulayın, kullanmıyorsanız xmlrpc.php erişimini kapatın ve yönetici hesaplarında iki faktörlü doğrulamayı etkinleştirin. Sunucu düzeyinde fail2ban ile wp-login.php üzerindeki başarısız denemeleri banlamak da otomatik bir koruma katmanı ekler.
Oran sınırlama meşru kullanıcılarımı engeller mi?#
Doğru ayarlandığında hayır. Meşru bir kullanıcı parolasını dakikada onlarca kez yanlış girmez; oran sınırlama eşikleri normal insan davranışının çok üzerinde tutulur ve kısa bir taşma payı (burst) tanınır. Bu sayede gerçek kullanıcılar hiç fark etmezken, saniyede yüzlerce istek gönderen botlar anında yavaşlatılır. Yalnızca eşikleri gereğinden agresif ayarlarsanız yanlış pozitif riski doğar; bu yüzden başlangıçta ölçülü değerler seçip loglara bakarak ince ayar yapmak en sağlıklı yaklaşımdır.
2FA açıkken bile brute force bir tehdit oluşturur mu?#
İki faktörlü doğrulama açıkken saldırgan parolanızı doğru tahmin etse bile ikinci faktör olmadan giriş yapamaz, dolayısıyla klasik brute force pratikte etkisiz kalır. Yine de tamamen rahatlamayın: sürekli parola denemeleri sunucunuzda gereksiz yük ve log kirliliği yaratır, ayrıca bazı gelişmiş saldırılar oltalama ile 2FA kodunu da elde etmeye çalışır. Bu nedenle 2FA'yı oran sınırlama, fail2ban ve güçlü parola ile birlikte kullanmak, hem yükü hem de artık riski en aza indirir.
Kapanış#
Brute force saldırıları, internete açık her sistemin yaşamak zorunda olduğu bir gerçektir; sorulacak soru "saldırıya uğrayacak mıyım" değil, "hazır mıyım" olmalıdır. İyi haber şu ki bu saldırıların mantığı basit olduğu için savunması da nettir: arama uzayını uzun ve öngörülemez parolalarla büyütün, deneme hızını oran sınırlama ile çökertin, tekrar eden saldırganları fail2ban ile otomatik olarak kesin, SSH'ta parolayı anahtarla değiştirin ve her şeyin üzerine iki faktörlü doğrulama ekleyin. Bu katmanları üst üste koyduğunuzda, kaba kuvvetin tüm dayandığı "yeterince dene, tuttur" mantığı çöker.
Bu önlemleri kendiniz kurmak yerine hazır ve sertleştirilmiş bir ortamda çalışmak isterseniz, Clou.TR olarak size yardımcı olabiliriz. WAF, DDoS koruma, ücretsiz SSL ve otomatik yedekleme ile gelen hosting ve WordPress hosting planlarımızı, tam root erişimli VDS ve sanal sunucu çözümlerimizi, ya da tüm güvenlik yapılandırmasını sizin adınıza üstlenen sunucu yönetimi hizmetimizi inceleyebilirsiniz. Güvenliğe bugün atacağınız küçük bir adım, yarın yaşayabileceğiniz büyük bir sorunun önüne geçer.