WordPress Geliştirme Köşesi [Bölüm 2]

WordPress Geliştirme Köşesi'nin ikinci bölümünde, WordPress geliştiricisi Timothy Jacobs ile WordPress güvenlik eklentimiz olan iThemes Security Pro'nun yeni Güvenilir Cihazlar özelliği hakkında konuşuyoruz.

Video Transkript:

Michael: Herkese merhaba. Geliştiriciler Köşesinin bu sayısına hoş geldiniz. Bugün aramızda iThemes Security Pro eklentisinin geliştiricisi olan Timothy var ve bugün yeni Güvenilir Cihazlar özelliği hakkında konuşmak için bizimle birlikte. Timothy, lütfen bize güvenilir cihazlar özelliğini nasıl bulduğunuzu anlatır mısınız?

Timothy: Güvenilir Cihazlar fikri, iki faktörlü kimlik doğrulama için kullandığınız mevcut cihazı hatırlamak olan başka bir popüler özellik isteğinden geldi. İki faktörlü kimlik doğrulama hakkında can sıkıcı olan veya biraz güçlük çeken şeylerden biri, her oturum açtığınızda, kimlik doğrulama kodunuzu girmeniz gerektiğidir. Bunu tekrar tekrar yapmanız gerekir ve e-posta gibi bir şey kullanmak için bu biraz zaman alabilir. Bu nedenle, iki faktörlü kimlik doğrulama için hatırlama cihazları geliştirirken, kapsamımızı bir bütün olarak güvenilir cihazlar olarak adlandırılan bir şeyi içerecek şekilde biraz genişlettik.

Güvenilir cihazlar, daha önce giriş yaptığınız cihazları yönetmenize izin verir ve bu cihazdan giriş yapmadıysanız sizi uyarır. Bu güvenilir cihazı, cihazı iki faktörlü olarak hatırlamaya yardımcı olması için kullanıyoruz.

Michael : Kulağa harika geliyor. Bu yeni özelliği neden kullanmamız gerektiğini bize söyleyebilir misiniz?

Timothy: Yani güvenilir cihazlar iki farklı türde kullanıcı için harikadır. Gerçekten faydalanabilecek kullanıcılardan biri, iki faktörlü kimlik doğrulama kullanarak iki faktörlü kimlik doğrulamayı kullanamayan veya kullanmak istemeyen kullanıcılardır. Hesabınızın güvenliğini büyük ölçüde güçlendirdiği için şiddetle tavsiye ediyoruz, ancak bazı kullanıcılar bunu kullanamayacak veya çok karmaşık buluyor. Bu nedenle, daha önce giriş yapmadığınız bir cihazdan giriş yapıyorsanız, güvenilir bir cihaz çalışır ve size bunun olduğunu bildiren bir e-posta gönderir ve kilitleyerek saldırganın daha fazla ilerleme kaydetmesini durdurabilirsiniz. onları o hesaptan. Gelecekte, bunu, daha fazla gerçekleşmeden önce kullanıcıları cihazı onaylamaya zorlayan bir tür iki faktörlü ikameye sahip olacak şekilde genişlettik ve bu nedenle, iki faktörü etkinleştirmek istemeyen kullanıcılar için bunun bir onlar için biraz ek güvenlik koruması. Güç avantajları nedeniyle iki faktörlü kimlik doğrulamayı zaten etkinleştirmiş olması gereken yönetici kullanıcılar gibi dört kullanıcı var.

Ayrıca, oturum ele geçirme koruması adı verilen bir özelliğimiz var ve oturum ele geçirme korumasının çalışma şekli, WordPress oturum açtığında size bir oturum tanımlama bilgisi vermesidir. Bu oturum çerezi çok önemlidir. WordPress web sitenizde herhangi bir şey yapmanıza izin veren şey budur ve bir kez bu çerez, recaptcha'nız ve iki faktörlü kodunuzu girmeniz gibi şeyleri atlamanıza izin veren bir kez ayarlandığında, böylece saldırgan bu oturum çerezini tehlikeye atabilirse, ne olduğu gibi Bu yılın başlarında Facebook'ta çok fazla sorun yaşayabilirsiniz ve bu, oturum ele geçirme korumasının yaptığı şeylerden biridir. Bu oturumu, kullandığınız belirli cihaza kilitler. Amaç, telefonunuzdaki gibi hareket ederseniz, bunun hala onların mevcut cihazı olduğunu hatırlaması gerekir, ancak bu cihaz çok fazla başıboş kalırsa sizi tekrar giriş yapmaya zorlar ve hatta daha sonra cihazı tamamen engelleyebilir ve şifrenizi değiştirebilirsiniz.

Michael: Bu gerçekten harika. Bunu gerçekten beğendim ve güvenilir cihazlar özelliği için en iyi uygulamalar nelerdir?

Timothy: Güvenilir cihazların çalışmasının iki yolu vardır. Biri WordPress yönetici çubuğunuzdaki bir araç çubuğu bildirimi yoluyla, diğeri ise bir e-posta yoluyla yapılır. E-posta isteğe bağlıdır, varsayılan olarak etkin değildir, ancak etkinleştirmenizi şiddetle tavsiye ederiz ve e-postaya ne zaman yeni bir cihaz oturum açsa, o e-posta hemen gönderilir, bu nedenle onu açık tutmanızı ve gelen kutunuza göz kulak olmanızı öneririz. ondan gelen e-postalar için ve bir tane gördüğünüzde hemen harekete geçtiğinizden emin olun.

Michael: Maksimum Mind API'sini kullanmanın faydaları nelerdir?

Timothy: Yani iThemes Security'nin güvenilir cihazları uygulama yollarından biri, kullanıcının IP adresine bakmaktır. Bunu yapabilmemizin yollarından biri, IP adresi tamamen değişirse, bunu güvenilmeyen bir cihaz olarak sayarız, ancak bunu özellikle mobil kullanıcılar veya kullanıcılar için özellikle ideal bulmadık. Git. Farklı bir Wi-Fi noktasından başka bir Wi-Fi noktasına gidiyorlar ve IP adresleri değişebilir, bu nedenle yaptığımız şeylerden biri, bunu belirli bir alanda bulunan kullanıcılarla sınırlandırmak için coğrafi konum adı verilen bir şey kullanmaktır. veya belirli bir alanın birkaç kilometre yakınında ve bunu, kullandıkları tarayıcı gibi bir dizi başka faktörle birlikte kullanırız. iThemes Security, bir dizi ücretsiz coğrafi konum API'si kullanır ve bunların API sınırları vardır, ancak bunlar kutudan çıkar çıkmaz en doğru veya en güncel olmayabilir. Kullanıcıların yapmasını önerdiğimiz şey, MaxMind API'lerinden birini kullanmaktır. Bu nedenle, çoğu kullanıcının kutudan çıkar çıkmaz kullanmak isteyebileceği MaxMind veritabanı API'sine sahibiz. Kurulumu oldukça basit. Sadece düğmeye tıklarsınız ve indirir ve gitmeye hazır olmalısınız ve faydaları başka bir sunucuya bir IP adresi göndermiyorsunuz, herhangi bir zaman almıyor ve makul derecede doğru. Bu nedenle, gizlilik etkileri konusunda daha fazla endişe duyan kişiler için, yalnızca o indirme düğmesine tıklayarak MaxMind DB seçeneğini etkinleştirmelerini şiddetle tavsiye ederiz. En yüksek düzeyde doğruluk isteyen kullanıcılar için MaxMind API'sini kullanmalarını öneririz.

MaxMind, şehir düzeyinde konum adı verilen bir şeyden yararlanmamız için ihtiyaç duyduğumuz bir dizi API sunar ve özellikle iThemes Security'de kullandığımız kullanım durumu için oldukça ucuz ve uygun maliyetlidir ve bunu etkinleştirirseniz, Kullanıcıların coğrafi konumlarını doğru ve doğru bir şekilde tutabilmeniz için IP adresleri hakkında en güncel ve doğru bilgilere sahip olmak.

Michael: Bu harika. Bu Timothy hakkında her zaman söylediğimiz bir şey. Onu sevmemizin nedeni, her şeyin en ince ayrıntısına kadar düşünülmüş olmasıdır. Her zaman etkilendim.

Peki tanınmayan bir oturumun yeteneklerini kısıtlamak doğruluğu nasıl artıracak?

Timothy: Bu, kullanmanızı önerdiğimiz bir başka harika isteğe bağlı özellik. Bu nedenle endişelerden biri, bir saldırgan hesabınıza eriştiğinde, bunu sunucunuza erişmek ve kötü amaçlı kod yüklemek için kullanabilir. Bu nedenle, WordPress'te bir yönetici hesabına erişim kazanırlarsa, kötü amaçlı bir eklenti yükleyebilirler, dosyaları düzenleyebilirler, yeni yönetici hesabı oluşturabilirler, böylece daha sonra bunun gibi şeylere geri dönebilirler. Kısıtlama yeteneklerinin yaptığı şey, bir kullanıcı tanınmayan bir cihazdan başarılı bir şekilde oturum açtığında, bu yönetici düzeyindeki bazı yetenekleri kısıtlar, böylece artık hiçbir şey yükleyemezler. Dosyaları yönetemezler. iThemes Security'yi bile yönetemezler. Ayrıca, WordPress kullanıcılarının e-posta adresini veya şifrelerini düzenlemelerini de engelliyoruz ve bu nedenle bu, hem yönetici düzeyindeki kullanıcılar hem de aboneler veya e-ticaret müşterileri için harikadır, böylece hesapları daha fazla tehlikeye atılmaz ve içeri giremezler. Bu seçenekle ilgili kısa bir not, asıl seçeneği etkinleştirmek için e-posta bildirimini etkinleştirmeniz gerektiğidir.

Michael: Bu özelliği ilk yüklediğimde, ilk görüşte aşık olmuştum. Çok çok güzel. Cihazımı hatırla özelliği isteği benim için daha da etkileyici. Tanınmayan cihazların kısıtlama yeteneklerini ve oraya girme ve sitenizi mahvetme şansını azaltmayı seviyorum.

Timoteos: Aynen. Bu bildirimin gerekli olduğundan emin olmamızın nedenlerinden biri, kendinizin kilitlenmemesidir. Bunu yapın, size güvenilmeyen bir cihaz olduğunuzu söylüyorsa ve web barındırma sitenize giriş yapıyorsanız ve bu farklı görünüyor diyorsanız, tüm bu farklı şeyleri yapamam. E-postanızı kontrol edin, muhtemelen hey, giriş yaptığımızı ve tanınmadığımızı söyleyen bir e-posta aldınız ve sadece bu düğmeye tıkladığınızda tüm erişiminiz normale dönecek.

Michael: Çok havalı. Bunu gerçekten çok seviyorum. Şimdi, ayrıcalıklı kullanıcılar için beni hatırla ayarının etkinleştirilmesi neden önerilmiyor?

Timothy: Bu yüzden cihazımın, cihazınızı 30 gün boyunca hatırlamanıza izin veren iki faktörlü kimlik doğrulama ayarı olduğunu unutmayın ve bunu elimizden geldiğince güvenli bir şekilde uygulamış olsak da, her kaybettiğinizde bir çerez ayarlar, bu uzun ve rastgele oluşturulmuş değer. İki faktörlü kimlik doğrulamayı kullandığınızda hala bir fark var. Mobil uygulamanızı açmanız veya e-posta adresinizi açmanız ve şifrenize ek olarak oluşturulan jetonu sağlamanız gerekiyor. 30 gün boyunca esasen tek seferlik bir belirteç üretiyoruz ve bu, güvenliği biraz azaltıyor ve bu nedenle yönetici kullanıcıların bunu kullanmamalarını öneririz. İzin verilen rolleri değiştirebilirsiniz. Önerilen, ayrıcalıklı olmayan kullanıcılar için, kullanıcılarınız, özellikle müşterileriniz gibi, insanların onlar için önemli olan şeyler hakkında konuştuğu veya gizliliklerinin önemli olduğu üyelik tabanlı bir web sitesi gibi yapıyorsanız, etkinleştirmenizdir. Bu tür kullanıcılar için her zaman güvenilir cihazları etkinleştirmenizi öneririz. Bir kullanıcı, o anda sizin için uygun olmayan ne olursa olsun, yalnızca en üst düzey güvenlik için önerilen en iyi uygulamaları da kullanabilir. Söz veriyorum, siteniz tehlikeye girdikten sonra sitenizi onarmak ve müşterilerinizin güvenini onarmak kadar zahmetli olmayacaksınız.

Michael: Yine bu özelliği çok ama çok seviyorum. Tanınmayan cihazlarda yönetici yeteneklerini kısıtlamayı seviyorum çünkü yeni bir cihazınız varsa ve oturum açarsanız, hızlı bir şekilde e-postanıza gidersiniz ve düzeldiniz ve hazırsınız.

Timothy: Güçlü bir parola ve iki faktörlü kimlik doğrulama kullanıyor olsanız bile, sitenizin güvenliğinin ihlal edilmesi veya kişisel e-postanızın veya hesabınızın bir kaba kuvvet saldırısında kullanılması olasılığı düşüktür, ancak bu gerçekleşirse, herhangi bir nedenle şimdi gerçekten hiçbir şey yapamazlar.

Michael: Harika, harika bir özellik. Harika iş. Tüm bunlar, cihazımı hatırla özelliği isteğinden geldi ve ardından Timothy yukarıda ve öteye gitti. Bundan sonra ne yapacağınızı görmek beni gerçekten heyecanlandırıyor.