Uwierzytelnianie dwuetapowe i WordPress

Opublikowany: 2022-08-26

Uwierzytelnianie dwuskładnikowe (2FA) to środek bezpieczeństwa, który prosi użytkownika o podanie informacji, które zna tylko on, przed zalogowaniem się do usługi.

Możesz zobaczyć 2FA pod różnymi nazwami, takimi jak Multi-Factor Authentication (MFA), uwierzytelnianie dwuskładnikowe lub weryfikacja dwuetapowa. 2FA jest szeroko stosowany, zwłaszcza w sytuacjach, w których bezpieczeństwo jest szczególnie ważne, na przykład w bankowości internetowej.

Znaczenie 2FA

Być może słyszałeś o rodzaju ataku online zwanego atakiem „brute force”. Są one zbyt powszechne i obejmują zautomatyzowanego bota, który próbuje odgadnąć nazwę użytkownika i hasło użytkownika na stronie internetowej. Powtarzane próby logowania są podejmowane aż do uzyskania dostępu. Tego typu ataki można stosunkowo łatwo złagodzić, blokując dostęp do strony logowania w przypadku powtarzających się nieudanych prób.

Ale co się stanie, jeśli bot „ma szczęście” i zdoła się zalogować przed osiągnięciem określonej liczby nieudanych prób? Lub bardziej prawdopodobne jest, w jaki sposób użytkownicy, którzy ukradli dane logowania, mogą zapobiec złośliwemu logowaniu do witryn i aplikacji? Ta ostatnia jest szczególnym problemem, ponieważ ledwie dzień mija bez głośnej firmy zgłaszającej naruszenie danych, które mogło, ale nie musi, narazić na szwank niektórych danych ich klientów.

Bardziej niezawodnym sposobem zapewnienia, że ​​Ty i tylko Ty jesteś w stanie zalogować się do witryny/aplikacji/konta, jest użycie systemu zwanego dwuetapowym uwierzytelnianiem.

Jak działa uwierzytelnianie dwuskładnikowe?

Uwierzytelnianie dwuskładnikowe wymaga od użytkownika podania nie tylko nazwy użytkownika i hasła podczas logowania, ale także drugiej informacji, która jest generowana osobno i która będzie się stale zmieniać. Zazwyczaj jest to 6-cyfrowy kod wysyłany SMS-em na telefon komórkowy użytkownika. Ideą tego jest to, że tylko prawdziwy użytkownik będzie miał dostęp do tego urządzenia, uniemożliwiając w ten sposób próby logowania, które są podejmowane brutalną siłą lub w wyniku naruszenia danych, które ujawnia nazwy użytkownika i hasła.

Od momentu powstania 2FA aplikacje uwierzytelniające stały się bardziej rozpowszechnione. Zamiast używać wiadomości SMS do wysyłania użytkownikom jednorazowych kodów dostępu, aplikacja zainstalowana na urządzeniach użytkownika generuje losowe kody. Jest to uznawane za jeszcze bezpieczniejszą metodę uwierzytelniania, ponieważ eliminuje możliwość przechwycenia wiadomości SMS lub sklonowania lub podszycia się pod numer telefonu komórkowego.

Opcje aplikacji uwierzytelniającej

Istnieje wiele doskonałych aplikacji do uwierzytelniania dwuskładnikowego, których można użyć do wygenerowania wymaganych kodów logowania.

Jeśli masz urządzenie z systemem Android, możesz wybierać między Google Authenticator, Microsoft Authenticator, Twilio Authy, Cisco Duo Mobile, FreeOTP i wieloma innymi.

W systemie iOS 15 niektóre z najpopularniejszych aplikacji to Google Authenticator, Twilio Authy, OTP auth, Step Two, Microsoft Authenticator, FreeOTP i wbudowany token uwierzytelniający iOS.

W systemie Windows można używać między innymi aplikacji uwierzytelniających WinAuth i Twilio Authy.

W systemie macOS niektóre opcje to krok drugi, uwierzytelnianie OTP (tylko wersja płatna) i uwierzytelnianie Twilio.

Uwierzytelnianie dwuetapowe w witrynie WordPress

Nie tylko strony bankowe mogą korzystać z 2FA… Twoja własna witryna WordPress również może! Hakerzy uwielbiają celować w dowolny system CMS, a WordPress nie jest wyjątkiem. Korzystanie z odpowiedniego dostawcy usług hostingowych i upewnianie się, że Twoja witryna jest aktualna, może znacznie udaremnić wszelkie próby włamania. Dodanie 2FA do witryny WordPress jeszcze bardziej utrudnia nieautoryzowanym użytkownikom dostęp do Twojej witryny.

Hostuj swoją stronę internetową z Pressidium

60- DNIOWA GWARANCJA ZWROTU PIENIĘDZY

ZOBACZ NASZE PLANY

Ponieważ jest to WordPress, nie brakuje doskonałych wtyczek, które pomogą Ci szybko i łatwo skonfigurować 2FA. Przyjrzyjmy się kilku.

Wtyczka WP 2FA

Uwierzytelnianie dwuskładnikowe, wtyczka WordPress: Wtyczka WP 2FA

Popularnym rozwiązaniem jest wtyczka WP 2FA – Dwuskładnikowe uwierzytelnianie. Po zainstalowaniu i aktywacji wtyczki WP 2FA zobaczysz ten ekran:

Uwierzytelnianie dwuskładnikowe, wtyczka WordPress: kreator WP 2FA Plugin

Postępuj zgodnie z instrukcjami kreatora, który przeprowadzi Cię przez konfigurację wszystkich niezbędnych opcji i nie tylko:

  • Podstawowe metody 2FA, z których użytkownicy mogą wybierać.
  • Opcje określające, czy chcesz wymusić 2FA na wszystkich, czy na niektórych użytkownikach lub rolach.
  • Okres karencji, w którym użytkownicy będą musieli skonfigurować 2FA.
  • Konfiguracja uwierzytelniania 2FA.

Pomiń kreatora, a wszystkie te ustawienia znajdziesz w menu wtyczki oraz w dodatkowej sekcji, która jest dodawana na dole ekranu administratora Twojego profilu (w sekcji Użytkownicy > Profil).

Uwierzytelnianie dwuskładnikowe, wtyczka WordPress: ustawienia administratora wtyczki WP 2FA

Wtyczka pozwala również wybrać, czy chcesz, aby wszystkie dane związane z funkcją 2FA zostały usunięte z bazy danych po odinstalowaniu wtyczki.

Dwuskładnikowa wtyczka

Wtyczka Two-Factor opracowana przez Plugin Contributors to przyjazna dla użytkownika wtyczka, którą można szybko skonfigurować.

Dodaje sekcję w obszarze Użytkownicy > Twój profil, w której możesz włączyć metody uwierzytelniania i wybrać, które będą podstawowe. Dostępne są konfiguracje dla kodów uwierzytelniania poczty e-mail, hasła jednorazowego opartego na czasie (TOTP), kluczy bezpieczeństwa FIDO U2F i zapasowych kodów weryfikacyjnych.

Opcje wtyczki dwuskładnikowej

Wtyczka oferuje również listę haczyków na akcje i filtry, które mogą się przydać programistom.

Wtyczka Google Authenticator

Wtyczka Google Authenticator to kolejna popularna wtyczka 2FA, której można użyć do zwiększenia bezpieczeństwa witryny WordPress. Ta całkowicie darmowa wtyczka zapewnia szeroką gamę opcji uwierzytelniania dwuskładnikowego, w tym SMS-y i oczywiście korzystanie z aplikacji Google Authenticator. Konfiguracja ta wymaga bardzo mało czasu lub wysiłku. Po aktywacji wtyczki zobaczysz kilka opcji na ekranie, które możesz skonfigurować w Ustawienia > Google Authenticator.

Ustawienia Google Authenticator

Wystarczy wybrać role, do których zostanie zastosowane 2FA i zapisać ustawienia. Całkiem proste.

2FA – Tablica rozdzielcza Pressidium

Aby dodatkowo chronić swoje witryny WordPress, możesz aktywować 2FA dla swojego loginu do pulpitu nawigacyjnego. Sprawdź nasz artykuł KB na temat tej funkcji.

Uwierzytelnianie dwuetapowe Pressidium

Wniosek

W przypadku ważnych stron internetowych 2FA naprawdę powinno być teraz uważane za obowiązkowe. Jeśli dostałeś opcję dodania 2FA do dowolnego ze swoich kont, ale zdecydowałeś się tego nie robić, warto pomyśleć jeszcze raz! W przypadku witryn WordPress włączenie logowania 2FA jest dość łatwe. Mając niewiele do stracenia, dlaczego nie utrudnić hakerowi zrujnowania Ci dnia (no, przynajmniej Twojej witryny!).