Eskiden sunucu güvenliği için güçlü bir şifre yeterli görülüyordu. Bugün ise bu doğru değil.
Çünkü saldırganlar artık şifreyi tahmin etmeye çalışmıyor — çalıyorlar.
Bu yüzden iki faktörlü doğrulama (2FA) artık bir seçenek değil, zorunluluktur.
1. Brute Force Saldırısı Nedir?
Brute force saldırısında botlar sürekli şifre dener:
| Saldırı | Deneme |
|---|---|
| Basit bot | 100 deneme/dakika |
| Gelişmiş bot | 1000+ deneme/dakika |
Eğer şifreniz zayıfsa birkaç saat içinde kırılabilir.
2. Credential Stuffing Nedir?
En büyük risk budur.
Saldırı şu şekilde çalışır:
- Bir site hacklenir
- E-posta + şifre listesi internete düşer
- Botlar bu bilgileri:
- Hosting panel - SSH - WordPress admin - E-posta hesabı üzerinde dener
Başarı oranı genelde: %0.5 – %2
Bu küçük görünür ama milyonlarca denemede çok büyüktür.
3. 2FA Bu Saldırıları Nasıl Engeller?
Normal giriş:
| Adım | Gereken |
|---|---|
| 1 | Şifre |
2FA giriş:
| Adım | Gereken |
|---|---|
| 1 | Şifre |
| 2 | Telefon kodu |
Saldırgan şifreyi bilse bile telefona erişemez.
Bu yüzden: 2FA, hesap ele geçirmeyi %90+ oranında engeller.
4. 2FA Türleri
| Tür | Güvenlik |
|---|---|
| SMS | Orta |
| E-posta | Orta |
| Authenticator App | Yüksek |
| Hardware Key | Çok yüksek |
En güvenlisi:
- Google Authenticator
- Microsoft Authenticator
- YubiKey
5. SSH İçin 2FA
Sunucuya SSH ile bağlanıyorsanız ve 2FA yoksa bu büyük risktir.
Olması gereken:
- SSH key login
- Password login kapalı
- 2FA açık
- Root login kapalı
6. Hosting Panel İçin 2FA
cPanel / Plesk / DirectAdmin panelinde 2FA mutlaka açık olmalı.
Çünkü saldırganlar genelde SSH değil, panelden girer.
Panelden girince:
- Site dosyaları
- Veritabanı
- E-posta hesapları
- Backup
her şeye erişebilir.
7. Gerçek Bir Hack Senaryosu
Bir e-ticaret sitesi düşünün:
- Hosting panel şifresi ele geçirildi
- Saldırgan siteye script yükledi
- Kredi kartı bilgileri çalındı
- Site Google blacklist’e girdi
- Site 3 gün kapalı kaldı
Tahmini zarar:
| Kayıp | Maliyet |
|---|---|
| Satış kaybı | $3000 |
| İtibar kaybı | Çok yüksek |
| Temizleme maliyeti | $500 |
| SEO kaybı | Çok yüksek |
Toplam: $3500+
2FA olsaydı bu saldırı olmazdı.
8. Şifre vs 2FA Güvenlik Karşılaştırması
| Güvenlik | Koruma |
|---|---|
| Sadece şifre | Düşük |
| Güçlü şifre | Orta |
| Şifre + 2FA | Çok yüksek |
| SSH key + 2FA | Maksimum |
9. Mini Güvenlik Checklist
Sunucu için:
- 2FA açık mı?
- SSH key kullanılıyor mu?
- Root login kapalı mı?
- Panel 2FA açık mı?
- IP limit var mı?
- Login log izleniyor mu?
4+ EVET → Güvenli 2- EVET → Riskli
10. Sonuç
Bugün en büyük güvenlik açığı:
Zayıf şifre değil, tek faktörlü giriş.
Modern güvenlik yaklaşımı:
Zero Trust = Her giriş doğrulanmalı
Ve bunun en temel adımı: 2FA kullanmaktır.