İnternette çok sayıda saldırıya uğramış WordPress sitesi var. Saldırıya uğramış siteler genellikle, giriş yapmalarına izin verene kadar çok sayıda farklı kullanıcı adı ve şifre kombinasyonu deneyerek, oturum açma sürecini kaba kuvvetle çalıştıran botnet'lerin kurbanıdır. Erişim sağladıktan sonra, siteye kötü amaçlı yazılım veya diğer istenmeyen içerikleri yerleştirebilirler.
Bu tür bir saldırının başarısının WordPress'in güvenliğiyle neredeyse hiçbir ilgisi yoktur ve tamamen WordPress kullanıcılarının davranışlarıyla ilgilidir. Prensip olarak, kullanıcı adı ve şifre kombinasyonları bir sitenin güvenliğini sağlamanın çok güvenli bir yoludur. Uygulamada insanlar şifrelerin nasıl doğru şekilde kullanılacağını anlamıyorlar ve güvenlikten ziyade rahatlığa değer veriyorlar. Eğer şifre olarak “pa55word” veya aynı derecede tahmin edilebilir bir kombinasyona sahip olmaktan kurtulabilirlerse, çoğu kişi bunu başaracaktır.
Bu tür bir kayıtsızlığa istediğimiz kadar karşı çıkabiliriz, ancak sorumlu site sahipleri olarak gevşek şifre güvenliğini ortamın bir parçası olarak kabul etmek zorundayız. Eğitim yardımcı olur ama fazla değil; Botnet'ler kapıyı çaldığında sitelerimizin çökmemesini sağlamak için başka mekanizmalar uygulamamız gerekiyor.
Kullanıcı adları ve parolalar işe yarar çünkü olası kombinasyonların sayısı çok fazladır. Yeterince uzun, karmaşık ve rastgele bir parola için en güçlü bilgisayarın bile doğru kombinasyonu bulması uzun yıllar alır. Yeterince basit bir şifre için bu işlem bir saniyenin kesirleri kadar sürebilir. Kullanıcılar rastgele ve karmaşık şifreler kullanmak istemiyorsa çözüm, geçerli bir kombinasyonu tahmin etme şansının uzak kalmasını sağlayacak başka bir doğrulama mekanizması (ikinci bir faktör) uygulamaktır.
İki faktörlü kimlik doğrulamayı uygulamanın çeşitli yolları vardır; parmak izi alma gibi biyometri bunlardan biridir, ancak bunun uygulanması, önereceğim yöntem olan tek seferlik şifrelerden daha karmaşıktır.
Parolanın aksine, tek kullanımlık parola kısa bir süre, genellikle yaklaşık 30 saniye boyunca çalışır. TFA hizmeti ve kullanıcı, TFA hizmeti ve kullanıcı tarafından aralarında herhangi bir iletişim kurulmasına gerek kalmadan bilinen benzersiz bir şifre oluşturmak için zamanla birlikte kullanılan bir sırrı (çoğunlukla uzun bir sayı dizisi) paylaşır. Şifreleri tek başına kullanmaktan çok daha güvenlidir ve şifre seçimi kullanıcıya bağlı olmadığından, kolayca tahmin edilebilecek bir kombinasyon kullanarak güvenliği aşamazlar.
Tipik senaryo şu şekilde olacaktır: Kullanıcı WordPress sitenize giriş yapmak ister. Kullanıcı adlarını ve şifrelerini giriyorlar, ardından bir şifre daha girmeleri isteniyor. Akıllı telefonlarına veya özel cihazlarına TFA servis sağlayıcısından, yalnızca kısa bir süre için kullanılabilecek bir şifre oluşturacak bir uygulama yüklenecek. Şifreyi doğru girdiklerinde oturum açmış olurlar.
WordPress ile iyi bir şekilde entegre olan birkaç iyi TFA hizmeti var, ancak ikisine göz atmanızı önereceğim: İkili Güvenlik Ve Orijinal 2FA.
Çok kullanıcılı bir WordPress sitesi işletiyorsanız, özellikle de birden fazla yönetici kullanıcınız varsa, iki faktörlü kimlik doğrulamayı uygulamak sıradan kaba kuvvet saldırganlarının sitenizi başarıyla ihlal etmesini neredeyse imkansız hale getirecektir. Kötü amaçlı yazılımların taşıyıcısı veya bilgisayar korsanlarının oyun alanı haline gelme riskinden kaçınmak için gösterdiğiniz asgari çabaya değer.