Двухфакторная аутентификация сайта WordPress

Просмотров: 3 263

Привет, дамы и господа! Как вы уже знаете, что бесплатный и самый популярный плагин Clef Two-Factor Authentication приказал долго жить. 6 июня его закрыли официально и неожиданно для всех пользователей. Clef сделал вход в WordPress более безопасным и легким благодаря двухфакторной аутентификации. Я как и миллионы других сайтов выбрал его для повышения собственной безопасности WordPress и тут такой облом. Но, что делать, жизнь продолжается. Теперь нам нужно найти альтернативу Clef. Ведь для всех владельцев сайтов вопрос безопасности стоит на первом месте.

Двухфакторная аутентификация
Используйте двухфакторную аутентификацию

Для повышения уровня безопасности сайта WordPress, помимо ограничения количества попыток входа в консоль, будем включать двухэтапную (двухфакторная аутентификация) проверку подлинности учётной записи с помощью надёжных/достойных плагинов.

Двухфакторная аутентификация это дополнительная защита поверх вашего пароля. С помощью таких плагинов и приложений как Google Authenticator, Authy, и других при входе в панель администрирования WordPress попросит вас ввести дополнительный код, который вы можете найти на вашем смартфоне.

В качестве альтернативы приложения Clef специалисты советуют использовать бесплатные плагины и приложения Authy (Authy Two Factor Authentication), и всем известный Google Authenticator. Если у вас есть аккаунт Google, почта Gmail, то вы наверняка знакомы с методом работы Google Authenticator. Очень легко и просто.

Защита админки WordPress от взлома. Двухфакторная аутентификация в ВордПресс

Google Authenticator - плагин WordPress и мобильное приложение

Данный плагин рекомендует использовать Yoast SEO. С ним нет никаких хлопот, в то же время он обеспечивает дополнительный уровень безопасности вашему сайту. Альтернативой может быть Rublon, который работает аналогичным образом, но Yoast обычно использует Google Authenticator.

Плагин Google Authenticator для WordPress предоставляет вам двухфакторную аутентификацию с помощью приложения Google Authenticator для Android / iPhone / Blackberry. Вам понадобится ваш смартфон для входа на ваш сайт:

Google Authenticator – это мобильное приложение для создания кодов двухэтапной аутентификации
Мобильное приложение Google Authenticator

Если вы осведомлены о безопасности, возможно, на вашем смартфоне уже установлено приложение Google Authenticator, которое используется для двухфакторной аутентификации в Gmail / Dropbox / Lastpass / Amazon и т. д.

Для защиты WordPress мы будет использовать одноименный плагин и приложение для смартфона Google Authenticator.

Google Authenticator – это плагин WordPress и мобильное приложение для создания кодов двухэтапной аутентификации.

Принцип работы двухфакторной аутентификации очень прост. Для входа в административную панель/консоль вам понадобятся логин и пароль, а также секретный код, сгенерированный приложением Google Authenticator:

Google Authenticator для сайта WordPress
Google Authenticator WordPress вводим код Фото: WP Magazine

Google Authenticator для вашего веб-блога WordPress. Для установки плагина перейдите в Плагины - Добавить новый и найдите его через поиск. Выглядит модуль Google Authenticator вот так:

Двухфакторная аутентификация сайта WordPress

Установите и активируйте. А настройки плагина вы найдёте в разделе Пользователь - Ваш профиль:

Как добавить Google Authenticator в WordPress
Настройка плагина Google Authenticator

Вы можете создать новый секретный ключ или просто сканируя QR-код. Ввести название своего блога или лучше URL веб-ресурса, чтобы не запутаться (Описание, которое вы увидите в приложении Google Authenticator на своем телефоне). Затем, обязательно отметьте Активный и обновите свой профиль.

Установите приложение Google Authenticator на свой смартфон Android или iPhone. Ссылка на приложение для Android - Google Authenticator мобильное приложение.

Введите в мобильное приложение секретный код или просканируйте смартфоном предоставленный QR код:

Вам будет предложено либо отсканировать QR-код
Отсканируйте это с помощью приложения Google Authenticator

После чего приложение станет генерировать цифровой код (6 цифр) для входа на ваш сайт/блог:

Двухэтапная аутентификация обеспечивает надежную защиту WordPress
Создание кодов подтверждения из 6 цифр

Теперь, когда с настройками покончено, вы не сможете войти в админ панель сайта без шестизначного пароля, полученного в приложении. Безопасный вход в WordPress с помощью этой двухфакторной аутентификации. Пользователи должны будут ввести одноразовый пароль при входе в систему. Теперь форма авторизации пользователя будет выглядеть следующим образом:

Вход в консоль WordPress с двухфакторной аутентификацией
Вход в админку WordPress

Поскольку ваш веб-ресурс напрямую связан с вашим мобильным устройством, вы будете единственным человеком, имеющим доступ к получению уникального кода для каждого входа в систему WordPress. На все свои блоги я установил данный плагин, пользоваться двухфакторной аутентификацией легко и просто. А главное - админ панель ВордПресс в полной безопасности.

Можно рассмотреть в качестве защиты своего сайта и другие модули. Какие ещё есть плагины для двухфакторной аутентификации? Есть ещё чуток, чуток с половиной.

Плагин UNLOQ Two Factor Authentication (2FA)

Плагин WordPress
Плагин UNLOQ Two Factor Authentication (2FA)

Плагин легко использовать. Можно выбрать предпочтительный тип аутентификации (три способа) - одноразовый пароль, основанный на времени (TOTP) или использовать электронный почтовый или push-уведомление:

Плагин UNLOQ
Настройка плагина UNLOQ

Также есть приложение UNLOQ:

Приложение UNLOQ
Приложение UNLOQ для Android

Полная документация доступна по адресу: https://docs.unloq.io/plugins/wordpressv2. И последнее, что можно предложить. Достаточно хороший плагин.

Google Authenticator – Two Factor Authentication (2FA)

Получите полностью безопасный вход на свой сайт WordPress с помощью бесплатного, простого и очень лёгкого в настройке плагина. Он обеспечивает двухфакторную аутентификацию (2FA, MFA) при каждом входе на ваш сайт WordPress, что гарантирует отсутствие несанкционированного доступа к вашему сайту.

Плагин двухфакторная аутентификация WordPress
Google Authenticator - двухфакторная аутентификация WordPress (2FA, MFA)

Очень надежная и простая в установке двухфакторная аутентификация для блога/сайта WordPress. Плагин защищает ваш сайт от несанкционированных попыток входа в систему.

Лучшая двухсторонняя аутентификация (2FA). Поддерживает QR-код, Push-уведомление, запоминает устройство, Authy, SMS, электронную почту. 

Вход и регистрация: проверяйте пользователей при входе и регистрации с помощью различных методов аутентификации, таких как проверка по SMS, электронная почта, Google Authenticator, Authy Authenticator, Duo, Microsoft Authenticator, аутентификатор на основе TOTP, Security Questions и многие другие. Простая проверка OTP с проверкой SMS и проверкой электронной почты.

Вы можете настроить данный модуль на работу с приложением Google Authenticator, а также Authy 2-Factor Authentication App. Если вы потеряли свой телефон, то вам будут предложены такие альтернативные методы аутентификации, как OTP, приходящий на email или секретный вопрос.

Настройка плагина двухфакторная аутентификация веб-сайта WP
Выбор метода аутентификации

Плагин, как было указано выше, работает с приложениями Google Authenticator и Authy 2-Factor Authentication, но лучше использовать родное приложение miniOrange Authenticator для смартфонов iPhone, Android или BlackBerry:

miniOrange Authenticator для Android
Приложение miniOrange Authenticator для Android

Приложение поддерживает следующие методы аутентификации:
1) Пароль через SMS и Email;
2) Программные токены;
3) Аппаратные ключи;
4) Push-уведомления;
5) Mobile Authentication (Сканирование QR-коды).

В заключение

Независимо от того, какой вы используете плагин и приложение, вы можете быть спокойными. Ваши сайты намного безопаснее от чужого проникновения. Ну, а если просто включения двухфакторной аутентификации вам недостаточно, то можно рассмотреть одно из комплексных решений, которое выведет безопасность вашего проекта на более безопасный уровень, например, можно использовать популярные плагины: Login LockDown, Limit Login Attempts (оба модуля - защита формы входа от перебора паролей), а так же желательно повесить капчу на форму входа WordPress с помощью плагина Captcha. Для роботов это будет серьёзной помехой.

Ах, да, стоит напомнить, что ваш пароль должен быть надёжным и уникальным. Надёжный пароль должен содержать не менее 16 букв нижнего и верхнего регистра, цифр, символов, пробелов. Не используйте один и тот же пароль на разных сайтах. Если у вас стандартное имя пользователя (логин) в WordPress, тогда его стоит так же поменять. Не используйте имя пользователя admin, поскольку пароль именно к этому пользователю будут пытаться подобрать злоумышленники.

Вот товарищи и всё, о чём я хотел сегодня рассказать. Надеюсь вам было полезно узнать, как подключить двухфакторную аутентификацию к ВордПресс. Друзья, поделитесь в комментариях, каким плагином и приложением вы будите пользоваться. Удачи всем без исключения. До новых встреч.


Оставьте комментарий