Wordpress İki Adımlı Doğrulama Eklentisi - Hüseyin Körbalta

Wordpress'in admin paneline veya kullanıcı hesaplarına giriş kısmı kişisel bilgilerinize, değerli içeriğinize ve işiniz için değerli olan birçok şeye giriş noktasıdır. Bizim için bu kadar önemli olan bir alanın saldırganlar tarafından da ele geçirilmek istenmesi kadar doğal bir şey yoktur. Bunun için zorlayarak giriş yapma adını verdiğimiz brute force (kaba kuvvet) saldırıları yaparak hızlı bir şekilde kullanıcı adı ve şifreniz öğrenmeye amaçlanır. Wordpress temelde basit bir giriş formu kullanmaktadır; Kullanıcı adınız ve şifrenizi girdiğiniz basit ve herhangi bir ön kontrol yapmayan bir giriş paneline sahiptir. Bu yüzden en çok brute force saldırısının yapıldığı alan burasıdır. Çünkü; tecrübesiz Wordpress kullanıcıları bu formu güvenli kılmamakla birlikte yönetici hesap bilgilerini oldukça basit kullanıcı adı ve şifre ile kullanmaktadır. İlgini Çekebilir: Brute Force Saldırısı Nedir ? Nasıl Önlem Alınır? Basit şifre ve kullanıcı adı kullanmak otomatik olarak sizi savunmasız bırakıyor ancak güçlü şifre kullansanız dahi kaba kuvvet saldıları etkili olabiliyor ve yönetici hesap bilgileriniz saldırganların eline geçebiliyor. İşte bu yüzden Wordpress admin paneline giriş kısmını daha güvenli hale getirebilmek için İki Adımlı Kimlik Doğrulama teknolojisini kullanarak Wordpress sitemizi daha güvenli hale getireceğiz. İki Adımlı Kimlik Doğrulama Nedir? Ne İşe Yarar? Tek adımlı kimlik doğrulama işlemi sizden sadece kullanıcı adınız ve şifrenizi girmenizi ister bu şekilde tek adımda sisteme giriş yaparsınız. Wordpress'te varsayılan olarak giriş sayfası tek adımlı kimlik doğrulama sistemine sahiptir ancak günümüz şartlarında bu kimlik doğrulaması yeterli değildir. İki adımlı kimlik doğrulama ise; tek adımlı kimlik doğrulama işleminin ardından sizden farklı bir doğrulama aşamasına geçirir ve sizden bir kod veya sayı girmenizi ister. Mobil cihazlarınıza gönderilen sms veya bir uygulama yardımı ile, barkod okutarak bu ikinci kimlik doğrulama aşamasını yaparsınız. İki adımlı kimlik doğrulama sizi spam saldırılarından, deneme yanılma saldırılarından ve kaba kuvvet (brute force) saldırılarından korunmanızı sağlar. Ancak, tek başına yeterli değildir! Bu blog yazımda sizlere Wordpress'te admin paneline giriş yaparken iki adımlı kimlik doğrulamasını nasıl aktif edeceğinizi anlatacağım. Wordpress'te İki Adımlı Kimlik Doğrulama Eklentisi [Google Authenticator] Wordpress'te iki adımlı kimlik doğrulaması için birçok eklenti bulabilirsiniz ancak ben size kişisel blog sitemde de kullandığım Google Authenticator eklentisini nasıl kuracağınızı, ayarlarını nasıl yapacağınızı anlatacağım. Öncelikle bu eklentiyi Wordpress'e kurmadan önce yapmanız gereken akıllı telefonunuza Google'ın geliştirdiği iki adımlı kimlik doğrulama uygulaması olan Google Authenticator telefonunuza indirip kurmanız gerekiyor. Gerekli uygulamayı telefonunuza indirip kurduysanız eğer Wordpress için eklenti kurulumuna geçiş yapabiliriz. Aşağıda ki adımları sırası ile takip ediniz. Wordpress Google Authenticator Eklentisi Kurulumu Wordpress admin paneline giriş yapın ve Eklentiler -> Yeni Ekle yolunu takip edin ve eklenti arama kısmına Google Authenticator yazarak arama yapın. Wordpress Google Authenticator Eklentisi Nasıl Kurulur ve Aktif Edilir? Yukarıda ki görselde kırmızı çerçeve içerisinde bulunan eklentiyi sitemize kuracağız. Turuncu çerçeve içine aldığım Hemen yükle butonuna tıklayarak eklentiyi sitemize kuralım.Eklentiyi sitemize kurduktan sonra aynı pencerede veya Eklentiler bölümünden Google Authenticator eklentisi aktif ediyoruz. Wordpress Google Authenticator Eklentisi Nasıl Kurulur ve Aktif Edilir? -2 Wordpress Google Authenticator Eklenti Ayarları Ayar 1 - Eklentiyi aktif ettikten sonra Ayarlar -> Google Authenticator yolunu takip edin ve Ask for authenticator code on secondary login screen seçeneğine tik koyarak ayarları kaydedin. Wordpress Google Authenticator Eklentisi Nasıl Kurulur ve Aktif Edilir? -3 Ayar 1.1- Roles requiring Google Authenticator Enabled ayarı birden fazla kullanıcılı bir Wordpress siteniz var ise örneğin bir haber siteniz diğer yazarlarınıza, kullanıcılarınıza İki adımlı doğrulama özelliğini zorla açmalarını, aktif etmelerini sağlıyorsunuz. Bu ayarın altında oluşturduğunuz kullanıcı grupları mevcut bu grupları seçerek ayarları kaydediyorsunuz. Böylelikle o seçtiğiniz kullanıcı grubunda olan kullanıcılara hesaplarına giriş yapabilmek için iki adımlı kimlik doğrulama özelliğini aktif etmeleri gerekiyor. Ayar 2 - Wordpress admin panelinizden Kullanıcılar -> Profiliniz yolunu takip edin ve açılan sayfada Google Authenticator Settings kısmına gelin. (Ayar 1.1 kısmında kullanıcı gruplarınına zorla iki adımlı doğrulamayı açtıysanız o kullanıcı grubunda ki üyelerde Ayar 2'deki adımları yapmalılar.) Wordpress Google Authenticator Eklenti Ayarları Yukarıda ki görselde ki sıralı numaraları takip ederek ayarları kendinize göre yapılandırın. 1- Active seçeneğini tik koyuyoruz, böylelikle kullanıcı hesabımızda iki adımlı kimlik doğrulamasını çalışır hale getirdik. 2- Relaxed mode seçeneğine tik koymak tercihe bağlıdır. Google Authenticator uygulaması size her 2 dakikada bir farklı sayılar üretmektedir ve bu kodların geçerlilik süresi 1 dakikadır. Bu ayarı aktif ettiğinizde bu geçerlilik süresine +4 dakika daha eklenerek 5 dakika yapmaktadır. Böylelikle giriş ekranında kod girerken rahat davranabilirsiniz. 3- Description (Açıklama), cep telefonunuza indirdiğiniz uygulamaya birden fazla hesap veya site ekleyebiliyorsunuz; siteler veya uygulamalar karışmaması için bir açıklama girmeniz gerekiyor. Buraya sitenizin adı ve hesabınızın ismi gibi bir açıklama girebilirsiniz. 4- Secret kısmında eklenti otomatik olarak size bir key verir ancak bunu cep telefonunuzda ki uygulamada kullanamıyorsunuz onun için yeniden key almanız ve uygulamanızda bunu barkod tarama yoluyla tanıtmanız gerekiyor. Create New Secret butonuna tıklayarak karşımıza çıkan barkodu cep telefonunuzda ki uygulama ile taratın ve kaydedin. 5- Enable App Password bu kısım ise eğer telefonunuza erişimini kaybederseniz veya uygulamayı yanlışlıkla silerseniz hesabınıza erişebilmeniz için oluşturulan bir geçici şifredir. Bu şifreyi oluşturun ve kaybetmeyeceğiniz bir yere not edin. Bu şifreyi hemen not etmeniz gerekiyor, ayarları kayıt ettikten sonra tekrar göremezsiniz. Bütün bu ayarları yapılandırdığınız zaman Wordpress sitenizde wp-login.php kısmına iki adımlı kimlik doğrulama sistemini aktif etmiş olacaksınız. Böylelikle sitenizde kullanıcı oturumları daha güvenli hale gelmiştir.

WordPress İçin İki Adımlı Kimlik Doğrulama Nasıl Kurulur? Google Authenticator Ayarları Nasıl Yapılır?

Son Yorumlar

Kategoriler