SafeStep

Detaylı Dokümantasyon

Brute Force Saldırısının Anatomisi

WordPress siteleri her gün milyonlarca brute force saldırısına maruz kalır. Saldırganlar otomatik araçlarla binlerce kullanıcı adı ve şifre kombinasyonu dener. Güçlü bir şifreniz olsa bile, ele geçirilen bir veri ihlali sizi savunmasız bırakabilir.

İki faktörlü kimlik doğrulama bu riski köklü olarak azaltır. Şifreniz ele geçirilse bile, ikinci faktör olmadan kimse hesabınıza giremez. SafeStep bu ikinci katmanı RFC 6238 standardında kurar — Google, GitHub ve bankaların kullandığı aynı protokol.

RFC 6238: Endüstri Standardı TOTP

SafeStep, Time-based One-Time Password (TOTP) protokolünü RFC 6238 standardında uygular. Bu, her 30 saniyede bir yenilenen 6 haneli kodlar üretir. Kodlar cihazınızda yerel olarak üretilir, sunucuya iletilmez. Ele geçirilmiş bir kod 30 saniye sonra geçersiz hale gelir.

Google Authenticator, Authy, Microsoft Authenticator ve RFC 6238 standardını destekleyen tüm TOTP uygulamalarıyla çalışır. Özel bir uygulama yüklemenize gerek yok — zaten kullandığınız authenticator uygulaması yeterli.

AES-256-CBC Şifreleme

SafeStep, TOTP secret anahtarlarını AES-256-CBC algoritmasıyla şifreler. Şifreleme anahtarı WordPress'in AUTH_KEY sabitinden türetilir. Bu mimaride veritabanınız ele geçirilse bile secret anahtarlar çözülemez — saldırganın hem veritabanına hem wp-config.php dosyasına erişmesi gerekirdi.

Yedek kodlar bcrypt algoritmasıyla hashlenerek saklanır. Her kod tek kullanımlıktır ve kullanıldıktan sonra geçersiz hale gelir. Bu, yedek kodların çalınması durumunda bile saldırganın bunları tekrar kullanamamasını sağlar.

Rol Bazlı Zorunluluk

SafeStep, farklı kullanıcı rolleri için farklı 2FA politikaları tanımlamanıza olanak tanır. Admin rolü için 2FA zorunlu kılınabilir, editörler için isteğe bağlı bırakılabilir. Yazar ve abone rolleri için tamamen devre dışı bırakılabilir.

Belirli bir grace period (uyum süresi) tanımlayabilirsiniz. Bu süre içinde 2FA kurmayan kullanıcılar bir sonraki girişten itibaren 2FA kurmaları için yönlendirilir. Süre dolduğunda, 2FA kurmamış kullanıcıların hesabı otomatik olarak kilitlenir.

Hidden Door ile Entegrasyon

SafeStep ve Hidden Door birlikte kullanıldığında giriş güvenliği iki bağımsız katmanla korunur. Hidden Door giriş sayfasının URL'sini gizler — saldırgan giriş sayfasını bulamaz. SafeStep ise giriş sayfasını bulan saldırgana ikinci bir doğrulama katmanı sunar. Bu iki katman birlikte, brute force ve credential stuffing saldırılarına karşı güçlü bir savunma oluşturur.

SafeStep, Hidden Door'un aktif olup olmadığını otomatik olarak algılar ve URL gizleme moduna uygun şekilde çalışır. Herhangi bir ek yapılandırma gerekmez.

CVSS Bazlı SLA

SafeStep, güvenlik açıklarına CVSS (Common Vulnerability Scoring System) bazlı bir önceliklendirme sistemi uygular. CVSS 9.0 ve üzeri kritik açıklar için 24 saat içinde yanıt ve patch taahhüdü verilir. Bu, kurumsal güvenlik ürünlerinde beklenen bir standarttır ve WordPress eklentileri arasında nadiren görülür.

HMAC-SHA256 Aktivite Logu

Tüm 2FA aktivasyon işlemleri, başarılı ve başarısız giriş denemeleri HMAC-SHA256 imzalı aktivite loguna kaydedilir. Bu log, ISO 27001 A.8.15 kapsamında denetim izi (audit trail) gereksinimlerini karşılar. Log kayıtları admin panelinden görüntülenebilir ve CSV olarak dışa aktarılabilir.

Compliance Bilgileri

• ISO 27001:2022 — A.8.5: Güvenli kimlik doğrulama. TOTP ikinci faktör bu kontrolü karşılar.
• ISO 27001:2022 — A.8.3: Bilgiye erişim kısıtlaması. Rol bazlı 2FA politikası.
• ISO 27001:2022 — A.8.15: Loglama. HMAC-SHA256 aktivite logu.
• ITIL v4 — Access Management: Kullanıcı erişim kontrolü ve kimlik doğrulama.
• COBIT 2019 — DSS05: Güvenlik servisleri yönetimi.