Двухфакторная аутентификация сайта WordPress

Привет, дамы и господа! Как вы уже знаете, что бесплатный и самый популярный плагин Clef Two-Factor Authentication приказал долго жить. 6 июня его закрыли официально и неожиданно для всех пользователей. Clef сделал вход в WordPress более безопасным и легким благодаря двухфакторной аутентификации. Я как и миллионы других сайтов выбрал его для повышения собственной безопасности WordPress и тут такой облом. Но, что делать, жизнь продолжается. Теперь нам нужно найти альтернативу Clef. Ведь для всех владельцев сайтов вопрос безопасности стоит на первом месте.

Двухфакторная аутентификация
Используйте двухфакторную аутентификацию

Для повышения уровня безопасности сайта WordPress, помимо ограничения количества попыток входа в консоль, будем включать двухэтапную (двухфакторная аутентификация) проверку подлинности учётной записи с помощью надёжных/достойных плагинов.

Двухфакторная аутентификация это дополнительная
защита поверх вашего пароля. С помощью таких
плагинов и приложений как Google Authenticator, Authy, и других при входе в панель администрирования
WordPress попросит вас ввести дополнительный код,
который вы можете найти на вашем смартфоне.

В качестве альтернативы приложения Clef специалисты советуют использовать бесплатные плагины и приложения Authy (Authy Two Factor Authentication), и всем известный Google Authenticator. Если у вас есть аккаунт Google, почта Gmail, то вы наверняка знакомы с методом работы Google Authenticator. Легко и просто.

Двухфакторная аутентификация с Google Authenticator

Для защиты WordPress мы будет использовать одноименный плагин и приложение для смартфона Google Authenticator. Принцип работы двухфакторной аутентификации очень прост. Для входа в административную панель/консоль вам понадобятся логин и пароль, а также секретный код, сгенерированный приложением Google Authenticator:

Google Authenticator
Google Authenticator WordPress вводим код Фото: WP Magazine

Для установки плагина перейдите в Плагины - Добавить новый и найдите его через поиск. Выглядит модуль Google Authenticator вот так:

плагин Google Authenticator
Установить плагин Google Authenticator

Установите и активируйте. А настройки плагина вы найдёте в разделе Пользователь - Ваш профиль:

Google Authenticator
Настройка плагина Google Authenticator

Вы можете создать новый секретный ключ или просто сканируя QR-код. Ввести название своего блога или лучше URL веб-ресурса, чтобы не запутаться (Описание, которое вы увидите в приложении Google Authenticator на своем телефоне). Затем, обязательно отметьте Активный и обновите свой профиль.

Установите приложение Google Authenticator на свой смартфон Android или iPhone. Введите в мобильное приложение секретный код или просканируйте смартфоном QR код. После чего приложение станет генерировать цифровой код для входа на ваш сайт/блог. Теперь, когда с настройками покончено, вы не сможете войти в админпанель сайта без шестизначного пароля, полученного в приложении. Теперь форма авторизации пользователя будет выглядеть следующим образом:

Вход в консоль WordPress
Вход в админку WordPress

На один сайт я установил данный плагин - пользоваться двухфакторной аутентификацией легко и просто. Но, так как создатели Clef, после его закрытия, предложили перейти на Authy, то можно рассмотреть, в качестве защиты своего сайта, и его. Authy выступают против Google Authenticator, так как Authy надёжней (кому интересно статья на английском - https://authy.com/blog/authy-vs-google-authenticator/).

Authy для WordPress: альтернатива Google Authenticator

Плагин Authy
Плагин Authy для WordPress

Authy - это сервис для всех существующих платформ, таких как Facebook, Dropbox, Amazon, Gmail и других. С плагином WordPress Authy Two Factor Authentication  пользователи могут получать свои коды через SMS или телефонный звонок (нужен только номер телефона). И этот код затем используется для входа в админку. Мобильное приложение Authy 2-Factor Authentication:

Приложение Authy 2-Factor Authentication
Приложение Authy 2-Factor Authentication для Android

или получать push-уведомление через Authy, вне мобильного приложения. Authy есть для платформ Mac, Windows. Это гораздо более безопасный и простой способ входа в систему. Плагин Authy WordPress был разработан таким образом, чтобы каждый мог его установить, настроить и использовать.

Установив плагин на сайт, необходимо создать учётную запись и взять API-ключ с сайта Authy и ввести его в соответствующее поле в параметрах плагина. Это – единственный обязательный параметр его настройки. Пример, использование мобильного приложения:

мобильное приложение Authy
Создайте токен, используя мобильное приложение Authy

Я его ещё не устанавливал, поэтому скриншотов не будет. Сейчас допишу пост и пойду смотреть, что к чему. А пока, какие ещё есть плагины для двухфакторной аутентификации? Есть ещё парочка.

Плагин UNLOQ Two Factor Authentication (2FA)

Плагин WordPress
Плагин UNLOQ Two Factor Authentication (2FA)

Плагин легко использовать. Можно выбрать предпочтительный тип аутентификации (три способа) - одноразовый пароль, основанный на времени (TOTP) или использовать электронный почтовый или push-уведомление:

Плагин UNLOQ
Настройка плагина UNLOQ

Также есть приложение UNLOQ:

Приложение UNLOQ
Приложение UNLOQ для Android

Полная документация доступна по адресу: https://docs.unloq.io/plugins/wordpressv2. И последнее, что можно предложить. Достаточно хороший плагин.

Google Authenticator – Two Factor Authentication (2FA)

Плагин для WP
Плагин для WP Google Authenticator – Two Factor Authentication (2FA)

Очень надежная и простая в установке двухфакторная аутентификация для блога/сайта WordPress. Плагин защищает ваш сайт от несанкционированных попыток входа в систему. лучшая двухсторонняя аутентификация (2FA). Поддерживает QR-код, Push-уведомление, запоминает устройство, Authy, SMS, электронную почту. Вы можете настроить данный модуль на работу с приложением Google Authenticator, а также Authy 2-Factor Authentication App. Если вы потеряли свой телефон, то вам будут предложены такие альтернативные методы аутентификации, как OTP, приходящий на email или секретный вопрос.

Настройка плагина
Выбор метода аутентификации

 

Плагин, как было указано выше, работает с приложениями Google Authenticator и Authy 2-Factor Authentication, но лучше использовать родное приложение miniOrange Authenticator для смартфонов iPhone, Android или BlackBerry:

miniOrange Authenticator для Android
Приложение miniOrange Authenticator для Android

Приложение поддерживает следующие методы аутентификации:
1) Пароль через SMS и Email;
2) Программные токены;
3) Аппаратные ключи;
4) Push-уведомления;
5) Mobile Authentication (Сканирование QR-коды).

Независимо от того, какой вы используете плагин и приложение, вы можете быть спокойными. Ваши сайты намного безопаснее от чужого проникновения. Ну, а если просто включения двухфакторной аутентификации вам недостаточно, то можно рассмотреть одно из комплексных решений, которое выведет безопасность вашего проекта на более безопасный уровень, например, можно использовать популярные плагины: Login LockDown, Limit Login Attempts (оба модуля - защита формы входа от перебора паролей), а так же желательно повесить капчу на форму входа WordPress с помощью плагина Captcha. Для роботов это будет серьёзной помехой.

Ах, да, стоит напомнить, что ваш пароль должен быть надёжным и уникальным. Надёжный пароль должен содержать не менее 16 букв нижнего и верхнего регистра, цифр, символов, пробелов. Не используйте один и тот же пароль на разных сайтах. Если у вас стандартное имя пользователя (логин) в WordPress, тогда его стоит так же поменять. Не используйте имя пользователя admin, поскольку пароль именно к этому пользователю будут пытаться подобрать злоумышленники.

Вот товарищи и всё, о чём я хотел сегодня рассказать. Надеюсь вам было полезно узнать, как подключить двухфакторную аутентификацию к Вордпресс. Друзья, поделитесь в комментариях, каким плагином и приложением вы будите пользоваться. Удачи всем без исключения. До новых встреч.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Решите задачку: *