Konu internette herhangi bir yere giriş yapmak olduğunda biraz paranoyak olmanın hiçbir sakıncası yok. Bir şifre yöneticisi mi kullanıyorsunuz? Çok mantıklı. Farklı siteler için farklı şifreler mi belirliyorsunuz? Bu, çok iyi bir alışkanlık. Peki, mümkün olan her yerde, web sitesi güvenliğini artırmak için WordPress’te iki faktörlü kimlik doğrulama kullanmak? Keşke daha fazla insan bunu yapsa!
İki faktörlü kimlik doğrulama nedir?
İki faktörlü kimlik doğrulama (2FA), online bir hesaba erişmeye çalışan kişilerin, gerçekten söyledikleri kişi olduklarını doğrulamaya yardımcı olan ekstra bir güvenlik katmanıdır. Kullanıcı ilk adımda kullanıcı adını ve şifresini girer. Sonra ikinci adımda, hemen erişim sağlanması yerine, kullanıcıdan başka bir bilgi sağlaması istenir.
İki faktörlü kimlik doğrulama birkaç farklı unsura dayanır:
Bildiğiniz bir şey – örneğin şifreniz.
Sahip olduğunuz bir şey – örneğin bir akıllı telefon.
Size ait bir şey – örneğin parmak iziniz.
WordPress için iki faktörlü kimlik doğrulama kullanmak, web sitenizin güvenliğinin tehlikeye girmeyeceğini garantilemese de, erişim kazanmaya çalışan herkes için çıtayı yükseltir.
Bunu biraz arabalarda kullanan direksiyon kilidine benzetebiliriz. Kararlı bir araba hırsızı eninde sonunda arabayı çalmayı başarır, ancak arabada bir direksiyon kilidi görmek, onların başka (ve daha kolay) bir hedefe yönelme ihtimallerini artırır.
İki faktörlü kimlik doğrulama da böyledir. Web sitenizde iki faktörlü kimlik doğrulama sistemini etkinleştirirseniz, kötü adamların işini zorlaştırırsınız.
WordPress için iki faktörlü kimlik doğrulama nasıl ayarlanır?
WordPress’in varsayılan yükleme ayarları içinde iki faktörlü kimlik doğrulama bulunmuyor. Ancak, 2FA’yı etkinleştirerek WordPress güvenliğinizi artırmak oldukça kolay. Aşağıda size yardımcı olacak birkaç eklenti listeledik.
Listeyi oluştururken eklentilerin ne sıklıkla güncellendiğini, kullanıcı değerlendirmelerinin nasıl olduğunu ve hangi bilgilerin mevcut olduğunu dikkate aldık. Güncel olmayan, kötü yorum alan ve hakkında fazla bilgi bulunmayan eklentileri listenin dışında tuttuk.
Editörün notu: WordPress’e eklenti yükleme hakkında ayrıntılı bilgiyi “Her çeşit site için olmazsa olmaz WordPress eklentileri” yazımızda bulabilirsiniz.
Duo Two Factor Authentication
Duo sadece uygulaması olan bir eklenti değil. Etsy, Kayak, Threadless, Yelp, Toyota ve daha pek çok işletme için iki faktörlü kimlik doğrulama çözümleri sunan bir teknoloji güvenlik şirketi.
Web siteniz için sadece 2FA’nın ötesinde kapsamlı bir güvenlik çözümü arıyorsanız, Duo ihtiyaçlarınız için uygun olabilir.
Google Authenticator
Google Authenticator, iOS ve Android için ücretsiz bir uygulama. Şöyle çalışıyor: Önce kullanıcı adınızı ve şifrenizi giriyorsunuz, sonra da uygulama tarafından oluşturulan bir şifreyi girmeniz isteniyor.
Google Authenticator’ı WordPress’te destekleyen birkaç eklenti bulunuyor. Peki, hangi eklentiyi kullanmalısınız? En popüler olan, Henrik Schack tarafından geliştirilen eklenti. Bir senedir güncellenmemiş ama yine de iyi çalışıyor. miniOrange’ın sunduğu Google Authenticator eklentisi daha aktif bir şekilde geliştiriliyor ancak birden fazla kullanıcı için iki faktörlü kimlik doğrulama ihtiyacınız varsa ücretli bir yükseltme yapmanız gerekiyor.
Two-Factor Authentication
Two-Factor Authentication eklentisi, Updraft Plus’ı geliştiren ekip tarafından yapılmış. Standart TOTP ve HOTP (one-time password, yani tek kullanımlık şifre) protokollerini desteklediğinden hem iOS hem de Android’deki çeşitli iki faktörlü kimlik doğrulama uygulamaları ile uyumlu çalışıyor. Bu eklentiyi kullanım yeri ya da kullanıcı bazında ayarlayabiliyorsunuz; WooCommerce formlarını destekliyor ve WP Multisite ile de uyumlu. Ücretli olan premium sürümünde ise bir sürü ek özellik de bulunuyor.
Rublon
Rublon, bu listede belirtilen diğer iki faktörlü kimlik doğrulama eklentilerinin çoğundan farklı bir yaklaşım benimsemiş. Kısa mesaj veya mobil uygulama aracılığıyla tek kullanımlık kod göndermek yerine, Rublon giriş işlemini tamamlamak için bir e-posta gönderiyor. Başarılı bir şekilde giriş yaptıktan sonra, Rublon giriş yaptığınız cihazı hatırlıyor.
Eklentinin ücretsiz sürümü, tek bir kullanıcı hesabı için iki faktörlü kimlik doğrulama sağlıyor. Ek kullanıcılar için, e-posta yoluyla Rublon satış ekibine başvurarak yükseltme yapmanız gerekiyor. Her giriş yaptığınızda 2FA adımıyla uğraşmak istemiyorsanız, Rublon sizin için ideal olabilir.
iThemes Security Pro
iThemes Security Pro, WordPress’in popüler hepsi bir arada güvenlik eklentisinin ücretli yükseltmesidir. Pro sürümü iki faktörlü kimlik doğrulama içeriyor. Yukarıda bahsettiğimiz Two-Factor Authentication eklentisi gibi, iThemes Security Pro da TOTP standardına dayanıyor, bu nedenle Android ve iOS’deki çeşitli uygulamalarla uyumludur.
Yeni bir site üzerinde çalışıyorsanız ve henüz bir güvenlik eklentisi kurmadıysanız, iThemes Security Pro’yu kapsamlı bir çözüm olarak düşünebilirsiniz.
Wordfence
Wordfence, WordPress için başka bir kapsamlı güvenlik eklentisidir ve iThemes Security Pro gibi Wordfence’in de premium (ücretli) sürümü iki faktörlü kimlik doğrulaması ekler. Wordfence’de iki faktörlü kimlik doğrulama yapılandırmak için iki seçeneğiniz var: Google Authenticator’ı kullanabilir veya bir defaya mahsus olmak üzere telefon numarasına SMS gönderebilirsiniz.
Tecrübelerime göre, kapsamlı bir hepsi bir arada güvenlik eklentisi için iThemes Security ve Wordfence arasında seçim yapmak tercihinize kalıyor.
Sadece her iki güvenlik eklentisini aynı anda çalıştırmadığınızdan emin olun.
Shield Security
Eski adı WP Simple Firewall olan Shield Security, hepsi bir arada bir WordPress güvenlik eklentisi. iThemes Security veya Wordfence’den farklı olarak, Shield Security hiçbir özelliğini ücretli bir sürüme saklamadığını iddia ediyor. Hatta Shield Security, ManageWP gibi merkezi bir WordPress yönetim panosu olan iControlWP’nin yerine geçebilir gibi görünüyor.
Shield Security, kullanıcının kimliğini doğrulamak için bir uygulamaya ihtiyaç duymuyor. Bunun yerine, giriş işlemini tamamlamak için bir e-posta gönderiyor.
ManageWP
ManageWP, tüm WordPress web sitelerinizi tek bir kontrol panelinden yönetmenizi sağlıyor. (Bu, birden fazla WordPress sitesi yöneten WordPress profesyonelleri için gerçekten faydalıdır.) Orion adlı son ManageWP sürümünde hesabınız için iki faktörlü kimlik doğrulama etkinleştirebiliyorsunuz.
Peki, ManageWP’yi neden bu listeye dahil ettik? Çok fazla WordPress sitesi yönetiyorsanız, ManageWP hayatınızı epey kolaylaştırır. Ancak bu siteleri kontrol etmek için ManageWP kullanıyorsanız, hesabınızın mümkün olduğunca güvenli olduğundan emin olmalısınız.
WordPress.com Secure Sign On via Jetpack
Jetpack, WordPress.com ekibinin geliştirdiği kapsamlı bir eklenti. Site optimizasyonundan güvenliğe ve sosyal paylaşımlara kadar çok fazla özellik içeriyor.
Jetpack’in ilginç bir özelliği, kullanıcıların WordPress.com hesap bilgilerini kullanarak sitenize kaydolmalarına ve oturum açmalarına izin vermesi. Temanızın functions.php dosyasına yapacağınız birkaç değişiklik ile WordPress.com girişleri için iki faktörlü kimlik doğrulama özelliğini etkinleştirebilirsiniz.
Zaten Jetpack kullanıyorsanız veya WordPress.com ekosistemine bağlamak istediğiniz bir blog üzerinde çalışıyorsanız, WordPress.com SSO ihtiyaçlarınız için uygun olabilir.
WordPress sitenizde 2FA kullanmamak için hiçbir neden yok
Evet, giriş sürecinize ilave bir adım ekleniyor olabilir, ancak sağladığı ekstra güvenlik buna değer. Sitenizi daha da güvenli hale getirmek için iki faktörlü kimlik doğrulamaya ek olarak düzenli yedekleme, site denetleme ve güvenlik duvarı koruması gibi yöntemler de kullanın.