Sürüm Notu: iThemes Security Pro'da İki Faktörlü Kodlara Şifreleme Eklendi
Yayınlanan: 2022-10-21iThemes Security Pro'nun en son sürümüyle, çok faktörlü oturum açma kimlik doğrulaması için kullanılan iki faktörlü kimlik doğrulama (2FA) kodlarını korumak için şifreleme ekledik. Sitenizin bu yeni işlevi kullandığından emin olmak için wp-admin eklenti panonuzda iThemes Security Pro sürüm 7.2.2'ye yükseltin.
Her yeni özellikte olduğu gibi, yeni özellikle ve onu neden eklediğimizle ilgili sorular olması gerektiğinden eminiz. Bu gönderide, hangi değişikliği yaptığımızı, neden iki faktörlü kimlik doğrulamaya ek güvenlik özellikleri eklemeyi seçtiğimizi ve bir bütün olarak WordPress oturum açma güvenliğinin mevcut durumu hakkında bazı düşünceleri ayrıntılarıyla anlatıyoruz.
İki faktörlü kimlik doğrulama kodu depolamasındaki bu değişiklik ne anlama geliyor?
iThemes Security, üç tür İki Faktörlü kimlik doğrulama yöntemini destekler: Mobil Uygulamalar, E-posta ve Yedekleme Kodları. Her biri biraz farklı işlev görür.
Email 2FA kullandığınızda, iThemes Security rastgele sekiz basamaklı bir kod oluşturur ve bunu size e-posta ile gönderir. WordPress veritabanında bu rastgele kodun "karması" denilen şeyi saklarız. Bir hash, bize veritabanında sakladığımız sekiz basamaklı kodun aynısını verip vermediğinizi doğrulamamızı sağlar.
Ancak, iThemes Security, hash'i orijinal sekiz basamaklı rastgele koda "çözemez". Bu nedenle, iThemes Security'den 2FA e-postasını “Yeniden Göndermesini” isterseniz, ilk e-postada gönderdiğimiz 2FA kodunun aynısını size yeniden göndermek yerine yeni bir rastgele kod oluştururuz.
Bu, WordPress'in şifrenizin doğru olup olmadığını nasıl doğrulayabileceğine benzer. Ancak şifrenizi unutursanız yeni bir tane oluşturmanız gerekir, WordPress size mevcut şifrenizi gönderemez.
Mobil İki Faktör farklıdır. Her 30 saniyede bir Mobil Uygulamanızda yeni bir kod görünür. Bu, iThemes Security'nin her yeni kodu veritabanına kaydettiği anlamına mı geliyor? Hayır, bunun yerine iThemes Security "paylaşılan sır" kavramını kullanır.
iThemes Security'de Mobil İki Faktörü kurduğunuzda, hesabınıza benzersiz bir gizli anahtar içeren bir QR kodu gösteririz. QR kodunu Two-Factor uygulamanızda taramak, gizli anahtarı telefonunuza kopyalar.
Mobil Uygulamanızı kullanarak oturum açtığınızda, iThemes Security ve telefonunuzun her biri "paylaşılan gizli" anahtarı temel alan altı haneli bir kod oluşturur. Kodlar eşleşirse, varsınız!
Yalnızca bir karma depolamamız gereken E-posta tabanlı İki Faktörün aksine, bu, Mobil Uygulama gizli anahtarını bize düz metne erişim sağlayacak şekilde saklamamız gerektiği anlamına gelir.
WordPress için iki faktörlü kimlik doğrulama eklentilerinin ve hizmetlerinin büyük çoğunluğu, WordPress veritabanında iki faktörlü gizli anahtarlar depolar ve iThemes Security farklı değildir. Bu kodlar, bir kullanıcı telefonundaki veya cihazındaki kimlik doğrulama uygulamasından 2FA kodlarını girdiğinde, giriş yapmaya çalışan kullanıcının kimliğini doğrulamak için güvenlik eklentisinin bu kodlarla eşleşebilmesi için saklanmalıdır.
Veritabanında saklanan herhangi bir bilgiye yalnızca bir veritabanı kullanıcısı ve şifresi ile erişilebildiğinden, bu kodların veritabanında saklanması bunu yapmanın en güvenli yolu olmuştur. Bu kimlik bilgileri WordPress wp-config.php dosyanızda saklanır ve bu, WordPress sitenizin bu veritabanındaki bilgilere erişmesini sağlar.
2FA kodları için dosya sistemi tabanlı bir yaklaşım kullanan birkaç hizmet olsa da, iThemes Security ve diğer çoğu iki faktörlü kimlik doğrulama hizmeti, daha güvenli veritabanı depolama yöntemini seçmiştir.
Ek güvenlik için, bir sitenin WordPress veritabanında depolanan bu kodlara şifreleme ekledik. Veritabanının bir şekilde başka bir güvenlik açığından etkilenmesi durumunda, bu eklenen şifreleme, WordPress sitesini diğer güvenlik açıklarıyla birleştirilebilecek herhangi bir sayıda oturum açma tabanlı saldırıdan korumak için başka bir güvenlik katmanı ekler.
Neden bu özelliği eklemeyi seçtik?
Bir WordPress web sitesi yeterince güvenliyse, iki faktörlü kimlik doğrulama kodlarının açığa çıkma olasılığı düşüktür. Ancak, veritabanı erişiminin tehlikeye girdiği bir barındırma sağlayıcı hizmet düzeyinde güvenlik açığı olması veya bir eklenti veya temada aktif olarak yararlanılan sıfır gün güvenlik açığı olması durumunda, şifrelenmemiş iki faktörlü kimlik doğrulama kodları başka bir güvenlik açığı ile birlikte kullanılabilir. .
iThemes'te müşterilerimizin WordPress web sitelerinin güvenliği işimiz için kritik öneme sahiptir. Bu nedenle, uç durumda bir güvenlik açığı senaryosu bile dikkatimize geldiğinde, ilk tepkimiz ve önceliğimiz bu sitelerin güvenliğidir.
Amacımız, dosyalarınızdan ve veritabanınızdan oturum açma prosedürlerinize kadar sitenizin herhangi bir yönünün kötü niyetli saldırganlardan korunması için WordPress sitenizi her noktada güvenli hale getirmektir. Saldırıya karşı etkili savunma, WordPress'in tüm yönlerinin yeterince güvenli olmasını gerektirir.
İki Faktörlü Kimlik Doğrulama Nedir?
İki faktörlü kimlik doğrulama (2FA), kimliğinizi bir sistemde, bu durumda bir WordPress sitesinde doğrulamak için iki doğrulama yöntemi gerektirerek erişim güvenliğini güçlendiren bir çok faktörlü kimlik doğrulama (MFA) türüdür. Bu faktörler, kullanıcı adınız veya e-postanız ve şifreniz gibi bildiğiniz bir şeyin yanı sıra kimliğinizi doğrulamak veya kim olduğunuzu belirlemek için bir kimlik doğrulama uygulamasıyla cihazınıza erişim gibi sahip olduğunuz bir şeyi içerebilir. Google Authenticator gibi kimlik doğrulama uygulamaları, dakika dakika değişen, zamana dayalı tek seferlik bir şifre oluşturur.
Şifreler yeterli değil
Kimlik avı saldırıları, sosyal mühendislik saldırıları, parola kaba kuvvet saldırıları ve parola yeniden kullanım sorunları, yalnızca tek parola kimlik doğrulamasının artık yeterli olmadığı anlamına geldiğinden, iki faktörlü kimlik doğrulama giderek daha önemli hale geliyor.
Bunun gibi sorunlardan dolayı, iThemes Security gibi yenilikçiler, görev açısından kritik sistemleri korumak için daha karmaşık kimlik doğrulama protokolleri oluşturmak için biyometrik kimlik doğrulama ve özel/ortak anahtar şifreleme kullanarak gerçekten parolasız oturum açma işlemleri için geçiş anahtarları eklediler. Parolalar bozulur, bu nedenle iThemes Security Pro, parolalarla parolasız kimlik doğrulamaya izin veren ilk WordPress güvenlik eklentisidir.
Özel/genel anahtar şifrelemesi hem parolaları hem de 2FA'yı geçersiz kıldığı için, geçiş anahtarları ile iki faktörlü kimlik doğrulama kodlarının saklanması sorun teşkil etmez.
WordPress web siteniz işletmeniz veya kuruluşunuz için gerçekten kritik öneme sahipse, iThemes Security kullanmak, bu varlığın güvenliğini sağlama konusundaki kararlılığınızı gösterir. Paydaşlarınıza kuruluşunuzun güvenlik bilincine sahip web sitesi uygulamalarına bağlılığını göstermek için sorunsuz parolasız oturum açmalar ve şifreli iki faktörlü kimlik doğrulama özellikleri sunduğunuzdan emin olun.
Henüz iThemes Security Pro kullanmıyorsanız, aşağıdaki bağlantıdan satın alarak mevcut en iyi WordPress güvenlik eklentisinin Pro sürümünü edinebilirsiniz.
WordPress'i Güvence Altına Almak ve Korumak için En İyi WordPress Güvenlik Eklentisi
WordPress şu anda tüm web sitelerinin %40'ından fazlasına güç sağlıyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. iThemes Security Pro eklentisi, WordPress web sitenizi güvenli hale getirmeyi ve korumayı kolaylaştırmak için WordPress güvenliğindeki varsayımları ortadan kaldırır. WordPress sitenizi sizin için sürekli izleyen ve koruyan tam zamanlı bir güvenlik uzmanına sahip olmak gibidir.
Konuyu sorumlu bir şekilde bize açıkladığı için Calvin Alkan'a teşekkür ederiz .