Безопасность WordPress. Двухфакторная аутентификация

Просмотров: 218

Привет, сеньоры и сеньориты! Ничего нового я вам не открою, вы и так знаете что, если вам дорог ваш веб-проект, то безопасность WordPress сайта должно быть для вас на первом месте. Как говориться - ваш сайт на WordPress, это дом в Интернете и он должен быть безопасным. Если у вас есть сложный пароль для входа в панель управления вашего сайта/блога, то это ещё не гарантия что ваш веб-ресурс не взломают.

Для повышения уровня безопасности и защиты админки WordPress от взлома можно/нужно включить двухэтапную (двухфакторная аутентификация) проверку подлинности. Если вы согласны со мной, то читаем пост дальше.

Защита WordPress. Как включить двухфакторную аутентификацию ВордПресс
Безопасность WordPress. Двухфакторная аутентификация

Сегодня мы рассмотрим, как включить двухфакторную аутентификацию на сайте WordPress с помощью популярных и бесплатных плагинов. Входить в админку WordPress будем при помощи смартфона (не обязательно).

Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения.

Двухфакторная аутентификация WordPress

Двухфакторная аутентификация значительно повышает уровень безопасности сайта ВордПресс при соблюдении остальных условий таких как своевременное обновление движка, тем, плагинов и т.п.).

Двухфакторная аутентификация (2FA) или двухэтапная проверка - это дополнительный уровень безопасности, который вы добавляете на свои страницы входа в админку WordPress.

Двухфакторная аутентификация включает в себя двухэтапный процесс, в котором вам нужен не только пароль для входа в систему, но и второй метод. Обычно это текст (SMS), телефонный звонок или одноразовый пароль на основе времени (TOTP). В большинстве случаев это на 100% эффективно для предотвращения атак грубой силы на ваш сайт WordPress. Почему? Потому что практически невозможно, чтобы злоумышленник узнал и ваш пароль, и ваш мобильный телефон.

Есть несколько способов добавить дополнительные уровни безопасности к сайту WordPress: Двухфакторная аутентификация - одна из них. Узнайте больше о том, как включить двухфакторную аутентификацию WordPress, ниже.

Two-Factor плагин для ВордПресс

Включить двухфакторную аутентификацию с использованием одноразовых паролей. Это один из самых простых плагинов для двухфакторной аутентификации WordPress, который вы когда-либо использовали.

Включить двухфакторную аутентификацию на сайте WordPress
Плагин Two-Factor WordPress

Плагин Two-Factor от команды Plugin Contributors. Two-Factor - это бесплатный плагин, который поддерживается в хорошем состоянии. Настройки 2FA доступны на странице вашего профиля пользователя WordPress. Вы можете настроить любой из следующих методов 2FA:

  • Email коды - для отправки кодов двухфакторной аутентификации на почту;
  • Одноразовые пароли основанные на времени (TOTP) с приложением Google Authenticator;
  • FIDO второй универсальный фактор (U2F);
  • Резервные коды;
  • Метод пустышка (только для проверочных целей).

После установки и активации плагина используйте секцию Параметры Two-Factor в разделе Пользователи → Ваш профиль для включения и настройки одного или нескольких вариантов второго фактора аутентификации для вашего аккаунта. Скриншот на английском, но плагин переведён на русский язык и поэтому будет всё понятно:

Включения и настройки вариантов второго фактора аутентификации
Параметры Two-factor в Профиле пользователя

Two-Factor также поддерживает резервные коды, поэтому, если вы не можете сгенерировать второй фактор для входа в свой WordPress, вы можете использовать один из резервных кодов.

Рассмотрите безопасный вход в WordPress с Двухфакторной Аутентификацией со следующем плагином.

Rublon Two-Factor Authentication (2FA)

Мгновенная безопасность учетной записи с простой двухфакторной аутентификацией на основе электронной почты; дополнительное мобильное приложение Rublon Authenticator для большей безопасности. Rublon для WordPress дает вам доступ к бесплатной версии Rublon Personal Edition, которая позволяет защитить до 1 учетной записи.

Rublon для WordPress - учетная запись администратора будет защищена двухфакторной аутентификацией
Двухфакторная аутентификация Rublon

Единственная цель этого замечательного плагина WordPress - не подпускать плохих парней, что он и делает эффективно. Это простое решение для включения двухфакторной аутентификации на вашем сайте WordPress.

Плагин двухфакторной аутентификации Rublon очень прост в установке и использовании; Вам не нужно обучение или технические знания, чтобы сразу приступить к работе. Вам нужно только установить плагин и подключить его к Rublon API с помощью системного токена и ключа безопасности.

После этого вы получите ссылку для подтверждения по электронной почте. После того, как вы подтвердите свою личность, вам нужно настроить несколько параметров, и вы готовы устроить вечеринку.

При первом входе в систему подтвердите свою личность, нажав на ссылку, которую вы получите по электронной почте. Для вашего следующего входа с того же устройства потребуется только ваш пароль WordPress. Для дополнительной безопасности вы можете установить мобильное приложение Rublon, которое позволяет использовать несколько других методов аутентификации, например, сканирование кода Rublon для подтверждения вашей личности.

Rublon Authenticator работает с двухфакторной аутентификационной службой Rublon, которая обеспечивает удаленный доступ к приложениям и сетям. Приложение позволяет проверять логины с вашим мобильным устройством, даже если оно отключено.
Мобильное приложение Rublon
Приложение Rublon Authenticator

Скачать приложение Rublon для Андроид по этой ссылке.

Просто установите мобильное приложение Rublon на свой телефон (доступно для Android и iOS). После ввода учетных данных для входа в WordPress вам будет предложено подтвердить свою учетную запись одним из следующих способов:

  • Ввести код TOTP ( одноразовый пароль на основе времени);
  • Отсканировать QR-код;
  • Подтвердить транзакцию с помощью push-уведомления;
  • Скопировать проверочный код из SMS, отправленного на ваш мобильный номер.

Почему использование мобильного приложения Rublon более безопасно, чем аутентификация по электронной почте?

Мобильное приложение Rublon хранит вашу цифровую личность с вашим личным ключом шифрования, который никогда не покидает ваш телефон. При любом действии, требующем мобильного приложения, таком как подтверждение вашей личности, приложение Rublon генерирует уникальную зашифрованную цифровую подпись. Получить доступ к учетной записи электронной почты без двухфакторной аутентификации проще, чем украсть ваш закрытый ключ с телефона и повторно использовать его.

Rublon поддерживает несколько методов двухфакторной аутентификации, в том числе электронную почту, SMS, QR-код, push-уведомления и TOTP. Кроме того, вы можете занести в белый список доверенные устройства, исключив необходимость в двухфакторной аутентификации при последующих входах в систему WP.

Плагин поставляется с дружественным внутренним интерфейсом, который упрощает добавление двухфакторной аутентификации на ваш сайт WordPress.

 Duo Two-Factor Authentication

Защитить сайт WordPress от взлома можно с помощью плагина Duo Two-Factor Authentication с мобильным приложением Duo Mobile:

Duo Two-Factor Authentication
Плагин Duo Two-Factor Authentication

Duo Security предоставляет двухфакторную аутентификацию в качестве услуги для защиты от перехвата учетной записи и кражи данных. Используя плагин Duo, вы можете легко добавить двухфакторную аутентификацию Duo на свой сайт WordPress всего за несколько минут!

Duo Mobile
Мобильное приложение Duo Mobile. Нажмите "Подтвердить" на Android

Вместо того, чтобы полагаться только на пароль, который можно подделать или угадать, служба аутентификации Duo добавляет второй уровень безопасности вашим учетным записям WordPress. Duo позволяет вашим администраторам или пользователям проверять свою личность, используя то, что у них есть, например мобильный телефон или аппаратный токен, что обеспечивает надежную аутентификацию и значительно повышает безопасность учетной записи.

Когда они входят в систему, у ваших пользователей есть несколько способов аутентификации, в том числе:

  • Аутентификация в одно касание с помощью мобильного приложения Duo (самый быстрый и простой способ аутентификации);
  • Одноразовые коды доступа, созданные мобильным приложением Duo (работает даже при отсутствии сотовой связи);
  • Одноразовые коды доступа, доставляемые на любой телефон с поддержкой SMS (работает даже при отсутствии сотовой связи);
  • Обратный звонок на любой телефон (мобильный или стационарный!);
  • Одноразовые коды доступа, генерируемые аппаратным токеном, совместимым с OATH (если вы чувствуете себя полностью устаревшим).

Duo прост в настройке и использовании. С Duo не нужно устанавливать дополнительное оборудование или сложное программное обеспечение, просто зарегистрируйтесь в сервисе Duo и установите плагин.

С легкостью добавьте двухфакторную аутентификацию Duo Security на свой сайт WordPress
Двухфакторная аутентификация Duo

Затем вы можете установить, для каких ролей пользователей вы хотите включить двухфакторную аутентификацию - администраторов, редакторов, авторов, участников и / или подписчиков - без настройки учетных записей пользователей, синхронизации каталогов, серверов или оборудования.

Защитите свой сайт WordPress за считанные минуты с Duo.

Этот плагин создаёт пароли, действующие ограниченное время или пароли могут высылаться вам по электронной почте или нажмите
"Подтвердить" на Android:

Duo Two-Factor Authentication ВордПресс
Нажмите "Подтвердить" на смартфоне для входа в админпанель WordPress

Duo Mobile доступен бесплатно для всех смартфонов.

Ещё можно использовать двухфакторную аутентификацию на сайте с помощью плагина Google Authenticator. Я, как и вы, использую мобильное приложение Google для входа в Gmail, так что, теперь в дополнение используем его ещё для безопасности вашего блога/сайта WordPress.

Плагин Google Authenticator для WordPress создаёт двухфакторную аутентификацию с помощью приложения Google Authenticator для Android / iPhone / Blackberry.

В заключение

Технология 2FA не заменяет пароль, он добавляет дополнительный шаг, к которому можете получить доступ только вы, законный администратор.

2FA предлагает дополнительный уровень безопасности, так что даже если ваш пароль будет взломан (как изменить пароль WordPress), хакер не сможет получить доступ к вашему сайту без дополнительного 6 - значного кода. Этот код отправляется на ваш зарегистрированный номер телефона, адрес электронной почты, приложение и т. д. Его обычно называют одноразовым паролем или OTP и только после его ввода можно получить доступ к вашему веб-сайту WordPress.

И помните, что безопасность WordPress является неотъемлемой частью успешного веб-сайта, поэтому не принимайте ничего как должное. Двухфакторная аутентификация - отличный способ уберечь злоумышленников от вашей админки WordPress.

Вот, пожалуй и всё на сегодня. Надеюсь, вам было полезно почитать мою писанину. До новых встреч на страницах моего блога. Удачи всем!


Оставьте комментарий

 необходимо принять правила конфиденциальности