Merhaba
WordPress bildiğiniz üzere dünyanın en popüler özgür yazılımlarından bir tanesi. Güvenlik konusunda ki başarısıda su götürmez bir gerçek. WordPress her ne kadar güvenlik bir backend’e sahip olsada wordpress yönetim paneline giriş bir kullanıcı adı ve şifreye bakmakta.
Tehlike Ne ?
Aslında her şey SQL Injection zafiyetleri ile başlamakta. WordPress ilk sürümleri haricinde SQL Injection gibi çok tehlikeli olan güvenlik açıklıklarının önünü almayı başardı. Bu durumda ise saldırganlar plug-in’leri analiz etmeye başladılar. WordPress’in kendisinde bulunmayan güvenlik açıkları, wordpress tarafından geliştirilmeyen 3. parti yazılımlar olarak adlandırabileceğimiz plug-in’ler bulunmaya başladı.
Bu durumun farkında olan wordpress, kullanıcı şifrelerini encrypt ettiği teknolojisini değiştirdi. Md5, SHA1 collision saldırılarına ve brute force’a karşı zafiyeti olduğu için Portable PHP password hashing framework‘ten yararlanarak brute force’a daha dayanıklı encryption geliştirdi.
Bu tür teknik detayları bilen kullanıcılar 2. aşama bir güvenlik önlemi getirdiler. Htaccess Login ile wp-admin klasörü çağırıldığında o dizinde bulunan .htaccess dosyası bir giriş ekranı çıkartmakta. Burada ki kullanıcı adı ve şifreyi bilen saldırgan. İkinci aşamada wordpress’in kullanıcı adı ve şifresini girmesi gerekmekte. .htaccess her ne kadar belirtilen şifrelerde 8 karakterden sonrasını kâle almasada, bu şifrenin saldırganlar tarafından ele geçirilmesi için ya sunucu tarafına sızılmış olması gerekmekte -ki durum buysa zaten saldırı vektörü başka noktaya doğru kayar- yada administrator’e malware saldırı gerçekleştirilmesi gerekmektedir.
Doğru çözüm: Google Authenticator
Google Authenticator sadece WordPress değil ssh yada ftp gibi bir çok farklı servis için hizmet verebilmektedir. Arka tarafta TOTP denilen Zaman Tabancı Tek Seferlik Şifre mantığını kullanmaktadır. Belirli zaman süresi boyunca geçerli olan 6 haneli şifre oluşturur ve login işleminde mevcut kullanıcı adı ve şifrenin haricinde Google’ın ürettiği bu şifreninde doğru olması gerekmektedir.
WordPress için kurulumu oldukça kolay olan Google Authenticator için aşağıda ki plug’in WordPress’inize kurmalısınız.
http://wordpress.org/plugins/google-authenticator/
Kurulum işlemi tamamlandıktan sonra WordPress yönetim panelinde User -> Profile sekmesine geldiğinizde Google Authenticator Settings isminde bir alanın geldiğini göreceksiniz.
Bu noktadan sonra ki adım için Google Authenticator uygulamasını telefonunuza kurmanız gerekmektedir.
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
Uygulamayı kurup, User Profile sayfasında ki Active ‘in yanına tick attıktan sonra ekrandaki QR kodu Google Authenticator uygulaması ile okutun. Bu işlem ile artık Google’ın sizin için ürettiği TOTP şifresini görebileceksiniz.
WordPress login sayfasına girdiğinizde aşağıda ki gibi ikinci bir şifre alanı belirecektir. Giriş işlemi için kullanıcı adı ve şifrenizi girdikten sonra telefonunuzda ki Google Authenticator uygulamasını açın ve Google’ın sizin ürettiği 6 haneli TOTP şifresini girin.