WordPress İki Faktörlü Kimlik Doğrulama (2FA)

Yönetilen WordPress barındırılan sitenizi tehlikeye atabilecek birçok saldırı vektörü vardır ve bilgisayar korsanları yöntemlerini iyileştirdikçe liste büyüyor. Ancak garip bir şekilde, kaba kuvvet saldırıları bu tehditlerin en büyük ve en hızlı büyüyenlerinden biri olmaya devam ediyor. Web güvenlik firması Sucuri, korumalı WordPress siteleri ağında günlük olarak kaba kuvvet saldırılarını izliyor ve istatistikler şaşırtıcı. Ocak 2015'ten Şubat 2016'ya kadar, ağlarına yapılan günlük kaba kuvvet saldırılarının sayısı %833 gibi büyük bir artış gösterdi.

Deneyimli WordPress site sahipleri, geleneksel olarak sitelerini parolalar, güçlü parolalar ve SSL ile güvence altına alarak kaba kuvvet ve diğer saldırı biçimlerini azaltmaya çalışmışlardır. Ancak bu teknikler tek başına yeterli değildir. Site sahiplerinin bu yöntemleri diğer gelişmiş yaklaşımlarla tamamlaması ve bunu mümkün olduğunca maliyet etkin bir şekilde yapması gerekir. Tasarıya oldukça uygun olan bu yaklaşımlardan biri iki faktörlü kimlik doğrulamadır.

İki Faktörlü Kimlik Doğrulama Nedir?

İki faktörlü kimlik doğrulama, güvenlik odaklı birçok şirket tarafından, kullanıcılarını kaba kuvvetten ve kullanıcı hesaplarından ödün vermeyi içeren diğer saldırı türlerinden korumaya yardımcı olmak için yaygın olarak kullanılmaktadır. İki faktörlü kimlik doğrulamasından geniş ölçüde yararlanan sektörlere örnek olarak finansal hizmetler, perakendecilik ve e-posta sağlayıcıları gibi çevrimiçi hizmet sağlayıcıları dahildir. Aslında, son birkaç gün içinde farkına bile varmadan iki faktörlü kimlik doğrulamayı kendin kullanmış olma ihtimalin var.

Basitçe söylemek gerekirse, iki faktörlü kimlik doğrulama, iki farklı kimlik doğrulama biçiminin bir kombinasyonu yoluyla bir kullanıcıyı doğrulama yöntemidir. Çoğu durumda, ilk faktör bir kullanıcı adı/şifre kombinasyonudur ve ikinci faktör bir belirteç veya başka bir benzersiz tanımlama şeklidir. Günümüzde kullanılan iki faktörlü kimlik doğrulamanın en yaygın örneklerinden biri perakende sektöründen geliyor. Banka kartınızı kullanarak market alışverişi için en son ne zaman ödeme yaptığınızı hatırlıyor musunuz? Sağladığınız ilk kimlik doğrulama faktörü, kaydırdığınız banka kartının kendisiydi. İkinci faktör ise kredi kartı terminaline girdiğiniz pin koduydu. Tek tek bu öğeler çok fazla kullanılmaz, ancak birlikte kullanıldığında hesabınızdaki paraya erişim sağlarlar.

Kimlik doğrulamanın ikinci faktörü olarak işlev gören belirteçleri/parolaları oluşturmanın ve teslim etmenin birçok farklı yöntemi vardır.

İki Faktörlü Kimlik Doğrulamanın Modern Yöntemleri

Modern, çevrimiçi iki faktörlü kimlik doğrulama biçimleri, kaba kuvvet saldırılarıyla mücadelede oldukça etkilidir. Bunun nedeni, tek seferlik kullanım için anında oluşturulan hesap erişimini yetkilendirmek için ikinci bir faktöre ihtiyaç duymalarıdır. Genel olarak bu, hesap sahibinin bir uygulama veya doğrudan sağlayıcı tarafından oluşturulan bir parola veya belirteç sağlamasını içerir. Hesap sahibinin bu kimlik doğrulama jetonunu alma veya görüntüleme şekli değişir, ancak en yaygın olarak aşağıdaki yöntemlerden biridir:

• Belirteç içeren doğrulanmış bir e-posta adresine gönderilen bir e-posta
• Belirteç içeren doğrulanmış bir telefon numarasına kısa mesaj
• Google Authenticator gibi bir uygulama, kimlik doğrulama için zamana dayalı belirteçler oluşturur
• Clef gibi diğer uygulama türleri, benzersiz doğrulama biçimleri için daha karmaşık mekanizmalar sağlar.

Süreç aslında basittir. Bir kullanıcı, oturum açmak istediği bir web sitesini ziyaret eder ve site için kullanıcı adı ve şifresini sağlar. Site daha sonra kullanıcıya yukarıda listelenen yöntemlerden birine dayalı olarak bir güvenlik belirteci gönderir ve ardından kullanıcıdan bu belirteci girmesini ister. Siteler, ikincil jetonun teslimi için yukarıda belirtilen seçeneklerin yalnızca bir kısmını veya tamamını sunabilir ve kullanılan yöntem, kullanıcı tarafından hesap tercihlerinde belirlenir.

Peki, bir kullanıcı ikincil belirteci için belirttiği teslimat yöntemine erişimi kaybederse ne olur? Örneğin, bir kullanıcı akıllı telefonuna bir metin almayı seçmiş, ancak akıllı telefonu çalınmış olabilir. Bu durumda sağlayıcılar, bir kullanıcının tercih ettiği teslimat yöntemine erişemediği bir durumda kullanım için hesap sahiplerine tipik olarak bir kerelik bir kurtarma kodu veya bir kerelik bir kurtarma kodu seti sunar. Kullanıcılar, ihtiyaç duymaları halinde ileride kullanmak üzere bu kodları yazdırabilir ve saklayabilir.

WordPress'te İki Faktörlü Kimlik Doğrulama Sunma

WordPress site sahipleri tarafından iki faktörlü kimlik doğrulamanın benimsenmesi, son birkaç yılda önemli ölçüde büyüyor. Bu, büyük ölçüde, bu yöntemi hızlı ve ekonomik bir şekilde dağıtmak için mevcut olan eklenti yelpazesinden kaynaklanmaktadır. Bugün kullanılan önde gelen eklentilerden bazılarının kısa bir listesini oluşturduk.

iki faktörlü

WordPress Core 4.6 ile birleştirilmesi düşünülen iki faktörlü bir kimlik doğrulama özelliği var (tabii ki tamamlanmayı bekliyor). Two-Factor projesi, JetPack ekibinin bir üyesi olan George Stephanis tarafından yönetiliyor. George ayrıca, her ikisi de 10.000'den fazla indirmeye sahip olan RICG Duyarlı Görüntüler ve Güncelleme Kontrolü dahil olmak üzere 19 eklentiye sahiptir. Two-Factor hala biraz hata gösteriyor, ancak kullanımı çok kolay ve aşağıdaki kimlik doğrulama yöntemleri için destek sağlıyor:

• Zamana Dayalı Tek Kullanımlık Şifre (TOTP)
• E-posta
• Kurtarma Kodları
• FIDO U2F

Ek olarak, bu eklenti WordPress yöneticilerine sitelerindeki diğer kullanıcılar için iki faktörlü kimlik doğrulama seçeneklerini yönetme, değiştirme ve zorlama yeteneği verir.

Google Kimlik Doğrulayıcı

Google Authenticator eklentisi, Google Authenticator'ın iki faktörlü kimlik doğrulama yöntemini sağlar ve kullanımı çok basittir. Kullanıcılar, Google Authenticator Uygulamasını akıllı telefonlarına yükler ve ardından sitenizin WordPress giriş sayfasında oluşturulan bir QR Kodunu taramak için kullanır. Bu, daha sonra oturum açma sayfasına girilen bir parola oluşturur. Eklentinin yapılandırılması ve kullanılması kolaydır ve hatta basit uygulama parolası işlevselliği ve yönetimi sunar.

İki Faktörlü Kimlik Doğrulama

Bu iki faktörlü kimlik doğrulama (TFA / 2FA) eklentisi ile güvenli WordPress girişi. Etkinleştirildiği kullanıcılar, oturum açmak için tek seferlik bir koda ihtiyaç duyacaklardır. UpdraftPlus'ın yazarlarından – WP'nin 1 numaralı yedekleme/geri yükleme eklentisi, iki milyonun üzerinde etkin yükleme ile.

Siz veya müşterileriniz sitelerinize ekstra bir güvenlik katmanı eklemek istiyorsanız, iki faktörlü kimlik doğrulamanın nasıl yardımcı olabileceğine kesinlikle bir göz atmalısınız. Aralarından seçim yapabileceğiniz çok sayıda eklenti ile güvenlik, çaba ve maliyet açısından ihtiyaçlarınızı karşılayan bir çözüm bulmanız kaçınılmazdır. Two-Factor projesiyle ilgili her türlü habere de dikkat etmelisiniz . Doğrudan WordPress'te yerleşik olarak sağlam bir iki faktörlü kimlik doğrulama çözümüne sahip olmak, iki faktörlü kimlik doğrulamayı daha da kolaylaştıracak ve topluluğa bir bütün olarak fayda sağlayacaktır.