WordPress'te oturum açma paylaşımının risklerini anlama

Yayınlanan: 2021-11-03

Büyük bir güvenlik yok-hayır olsa da, WordPress'te oturum açma paylaşımı düşünüldüğünden daha sık gerçekleşir. Terimden de anlaşılacağı gibi, oturum açma paylaşımı, kullanıcıların oturum açma bilgilerini diğer kullanıcılarla paylaşma uygulamasıdır. Yakın zamanda yapılan bir ankette, kullanıcıların %49'u işletme giriş bilgilerini paylaştığını kabul etti ve daha genç kullanıcılarla (16-24 yaş) giriş bilgilerini paylaşma konusunda daha eski gruptakilere (55+ yaş) göre daha kaygısız.

Bunun WordPress web sitenizde olmadığını düşünebilirsiniz, ancak birçok yönetici şifre paylaşımının ölçeğini hafife alma eğilimindedir. Kontroller olmadan, ekibinizdeki herhangi birinin oturum açma bilgilerini paylaşıp paylaşmadığını anlamak oldukça zor olabilir. İnsanlar nadiren şifrelerini paylaştığını kabul eder, ancak oturum açma paylaşımı gerçekleşir ve birçok soruna ve WordPress güvenlik sorunlarına yol açabilir.

Kullanıcılar neden oturum bilgilerini paylaşır?

Kullanıcıların oturum açma ayrıntılarını paylaşma ihtiyacı duymasının meşru nedenleri olsa da, en iyi uygulamalar bize her kullanıcının kendi hesabına sahip olması gerektiğini söyler. Kullanıcılar, oturum açma bilgilerini çeşitli nedenlerle paylaşırlar. Birçok kişinin istek göndermesi ve işlem yapması gerekebileceği sosyal medya hesaplarına veya halka açık e-posta adreslerine erişmek çok yaygın bir nedendir. Diğer nedenler şunlardır:

Uygunluk: Şimdi halletmeniz gereken işler var. Yardım masasından başka bir kullanıcı hesabı oluşturmasını isteyen bir istek göndermek gecikmeye neden olur.

Maliyet: Daha fazla bulut tabanlı abonelik hizmeti kullandığımızdan, daha fazla kullanıcı eklemenin ek maliyetleri olabilir. Bu, ihtiyaç yalnızca geçiciyse, oturum açma paylaşımını özellikle cazip hale getirir.

Yönetim: yönetim, iş ve operasyonlar açısından, yönetilecek hesap ne kadar azsa, iş o kadar kolay olur.

Oturum açma paylaşımından kaynaklanan güvenlik sorunları

Birçoğu için, giriş bilgilerini paylaşmak, işte yaptıkları başka bir şeydir. Kullanıcılar herhangi bir kötü niyet olmaksızın oturum açma bilgilerini paylaşsalar da, oturum açma kimlik bilgilerini paylaşma uygulamasının birkaç ilişkili güvenlik riski vardır.

kimlik bilgileri sızıntısı

WordPress oturum açma bilgilerinizi güvenilir bir arkadaşınıza veya meslektaşınıza vermek ilk bakışta zararsız görünebilir. Ancak, kendi ayrıntılarınız kadar sizin ayrıntılarınıza da dikkat edip etmeyeceklerini kendinize sormalısınız? Ayrıca aynı şifreyi birden fazla hesapta kullanıyorsanız; sadece paylaşılan hesabı değil, potansiyel olarak diğer tüm hesapları da tehdit altına sokuyorsunuz.

Buna göre, kimlik bilgilerinizden vazgeçmek, kimlik bilgilerinizin işin içine ve dışına sızması riskini taşır.

Zayıf parolaların kullanımını teşvik eder

Başarılı bilgisayar korsanlığı girişimlerinin %80'inden fazlası, kaba kuvvet saldırıları veya çalıntı kimlik bilgileri kullanarak zayıf parolalardan yararlanır. Parola paylaşma kültürü varsa, bu parolalar kaçınılmaz olarak zayıf ve hatırlanması kolay olacaktır.

Hizmetin kötüye kullanılması

WordPress güvenliği söz konusu olduğunda, en az ayrıcalık ilkesi, yöneticilerin yüksek düzeyde koruma sağlamak için kullanabileceği en iyi araçlardan biridir. Bu, her bireyin hesabının, iş için gerekli görevleri gerçekleştirmek için belirli ayrıcalıklara sahip olacağı anlamına gelir. Bu nedenle, bir işletmedeki tüm roller eşit olmadığı için tüm hesaplar eşit oluşturulmaz. Bazı hesapların diğerlerinden daha fazla ayrıcalığı ve daha fazla bilgiye erişimi olacaktır.

Oturum açma paylaşımı yoluyla, kimlik bilgilerini bilen herkes, sahip olmaları gereken erişim düzeyine bakılmaksızın o hesabın tüm ayrıcalıklarına erişebilecek. Bu, potansiyel olarak normalde erişemeyecekleri işlevlere ve verilere erişmelerine izin verebilir. Bu, veri sızıntısına ve GDPR, PCI DSS ve diğerleri gibi düzenlemelerin ihlal edilmesine yol açabilir.

Kullanıcıların sorumluluğu

Bireysel hesaplar, eylemlere, kimin neyi ne zaman yaptığına sorumluluk verir.

Her kasa operatörünün vardiyaları bittiğinde kaldırılan ayrı bir nakit çekmecesi olması da aynı prensibi takip eder. Bu para çekmeceleri paylaşılsaydı ve bir eksiklik olsaydı, kimin sorumlu olduğunu nasıl belirlersiniz? Bu durumda, bu nakit çekilişine erişimi olan herkes, kendi gözetiminde olsun ya da olmasın, şüphe altına girecektir.

Aynısı WordPress web siteleri için de geçerlidir. Bir siparişi, para iadesini kimin onayladığını veya bir ürün listelemesini veya fiyatını hatalı olarak kimin değiştirdiğini nasıl belirlersiniz? Bir hata keşfedilmeli mi, kim sorumlu tutulacak? Masumiyetinizi nasıl kanıtlayacaksınız?

Giriş paylaşımını durdurmak için ne yapabilirsiniz?

Eğitin , Teşvik Edin, Zorlayın .

Henüz yapmadıysanız, oturum açma paylaşımını caydıran bir parola yönetimi politikanız olduğundan emin olun. Ayrıca, ekibin düzenleyici yükümlülüklerinizden ve bu gereksinimlerin karşılanmasında nasıl bir rol oynayabileceklerinden haberdar olmasını sağlamalısınız.

Personeli, hassas oturum açma bilgilerini paylaşmanın yalnızca işletme için değil, kendileri için de potansiyel tehlikeleri konusunda eğitin. Diyelim ki veri hırsızlığı var ve kolluk kuvvetleri işin içine giriyor. Bu durumda, şüphesiz kullanıcı hesaplarının günlüklerini kontrol ederek kimin neye eriştiğine bakacaklardır.

Kullanıcıları hesap oturum açma ayrıntılarını paylaşmaya yönlendiren birincil etken, bunu yapmanın kolay olması ve hemen şimdi yapılabilmesi, böylece işin tamamlanabilmesidir. Yardım masası gibi üçüncü bir şahsa veya daha sonraki gecikmelere güvenmek söz konusu değildir.

Erişilebilir ve verimli hale getirirken hesap yönetimi sürecini kolaylaştırın. Ayrıca, yardım masası ekibinin güvenlik ve mevzuata ilişkin en iyi uygulamalardan haberdar olduğundan ve bunları kuruluş genelinde destekleme yetkisine sahip olduğundan emin olmak isteyebilirsiniz.

Parola politikalarınızı uygulamak ve oturum açma paylaşımını caydırmak için kullanabileceğiniz çeşitli teknoloji çözümleri vardır. Örneğin:

Güçlü parolalar uygulayın ve kullanın

Şifreleri paylaşmanın önemli bir dezavantajı, her zaman zayıf olmalarıdır, bu nedenle hatırlamaları kolaydır ve belki yapışkan notlara yazılarak onları gören herkesin kullanımına sunulur. Kullanıcıları güçlü parolalar kullanmaya zorlayarak, onları kimlik bilgilerini paylaşmaktan caydırırsınız.

WPassword gibi eklentiler tüm süreci süper kolaylaştırır. BT, uygulama üzerinde tam kontrol sağlayarak güvenlik ve kullanılabilirlik arasında doğru dengeyi sağlamanıza yardımcı olur.

Şifre yöneticilerini kullanın

Yalnızca güçlü parolaları zorunlu kılmak yeterli değildir. Kullanıcılarınızın şifrelerini yönetmelerine yardımcı olmanız gerekir. Kullanıcılarınızın şunları yapabilmesi için parola yöneticilerinin kullanımını uygulayın ve teşvik edin.
zor şifrelerini her birini hatırlamak zorunda kalmadan güvenli bir yerde saklayın.

İki faktörlü kimlik doğrulamayı kullanın

İki faktörlü kimlik doğrulama (2FA), çok düşük bir yönetim maliyetiyle başka bir güvenlik katmanı ekler. 2FA aracılığıyla, kullanıcıların ikincil bir faktör aracılığıyla ikinci bir kimlik doğrulaması yapmaları gerekir; OTP (Tek Kullanımlık Şifre) daha yaygın olarak kullanılan yöntemlerden biridir.

2FA ve OTP'yi uygulayarak, hesaplarına giriş yapmaya çalışan kullanıcıların, kullanıcı adını ve şifreyi bilmenin yanı sıra akıllı telefonlarına veya e-postalarına erişmeleri gerekir. Her 30 saniyede bir sona eren OTP'lerle, şifreleri paylaşmak çok zor hale gelir ve sonuçta yeni bir hesap talep etmeyi kolaylaştırır.

WordPress web siteniz için 2FA uygulamak, düşündüğünüzden daha kolaydır. WP 2FA gibi eklentiler, tüm süreci bir esinti haline getirmek için kolay sihirbazlar ve geniş uyumluluk seçenekleri sunar.

Kullanıcı etkinliğini izleyin

Bir aktivite günlüğü eklentisi ile web sitenizde kimin neye eriştiğine göz atın. Kapsamlı bir gerçek zamanlı etkinlik günlüğü, WordPress web sitelerinizde gerçekleştirilen tüm eylemlerin tam görünürlüğünü sağlar. Etkinlik günlükleri, iyi güvenlik uygulamalarının temelidir ve uyumluluk yükümlülüklerinizi karşılamanız için uzun bir yol kat edecektir.

Ya yine de giriş bilgilerinizi paylaşmanız gerekiyorsa?

Herhangi bir nedenle kimlik bilgilerini paylaşmanız gerekiyorsa:

  1. Bunun yalnızca gerçekten erişim gerektirenlerle sınırlı olduğundan ve erişimin geçici olduğundan emin olun. Paylaşım oturumu bittiğinde parolayı sıfırlayın.
  2. Ortak bir paylaşılabilir veritabanını destekleyen bir parola yöneticisi kullanın. Çoğu çevrimiçi şifre yöneticisi buna izin verir; kendi veritabanınıza ve diğer kişilerle paylaşılan kimlik bilgilerine sahip bir veritabanına sahip olabilirsiniz.
  3. Parolayı sözlü olarak iletin veya kimlik bilgilerinin yarısını Skype, yarısını şifreli e-posta veya başka bir güvenli mesajlaşma kanalı gibi farklı kanallar üzerinden gönderin.

Çok önemli; oturumun sonunda veya gerekli erişimde, her zaman şifreyi sıfırlayın.

Giriş bilgilerinizi paylaşmaktan kaçının

Sonuç olarak, kimlik bilgilerini paylaşmak asla iyi bir şey değildir. Tüm kullanıcılarınızı politikanız konusunda uyararak uygulamayı aktif bir şekilde caydırmalısınız. Ayrıca, politikanızı uygulamanıza yardımcı olabilecek araç ve çözümlerden yararlanın.