Otentikasi Dua Faktor: Panduan untuk Pengguna WordPress
Diterbitkan: 2023-01-03Anda mungkin pernah mengalami proses autentikasi login dua langkah di perbankan online dan situs mana pun yang memerlukan keamanan tertinggi untuk penggunanya. Karena WordPress mendukung autentikasi dua faktor (2FA), Anda dapat memiliki tingkat keamanan yang sama dengan bank. Baik itu situs WordPress Anda sendiri atau situs yang Anda buat untuk klien, keamanan yang kuat adalah hal mendasar.
Otentikasi dua faktor menambahkan lapisan perlindungan yang sangat penting yang harus dipertimbangkan dengan serius oleh setiap pemilik situs WordPress. Karena 2FA membuat banyak upaya peretasan umum menjadi tidak mungkin, peretas hanya akan menghindari situs yang dilindungi 2FA dan tidak repot-repot mencoba masuk dengan metode yang mereka tahu tidak akan berhasil. Setiap situs WordPress bisa mendapatkan keuntungan dari lapisan keamanan tambahan yang disediakan otentikasi dua faktor.
Mengapa Kata Sandi Kuat Tidak Cukup
Ancaman dunia maya menimbulkan risiko serius bagi Anda dan pelanggan Anda. Jika pengguna yang tidak sah mendapatkan akses ke dasbor admin situs Anda, apa pun bisa terjadi. Anda bisa kehilangan semua data Anda dalam sekejap. Anda mungkin kehilangan kendali atas situs web Anda untuk beberapa waktu. Penjahat mungkin mengambil informasi pribadi pengguna Anda. Pengguna Anda tidak akan senang, tetapi Anda harus memberi tahu mereka apa yang terjadi. Hukum mengharuskan Anda untuk mengungkapkan pelanggaran data identifikasi pribadi.
Ya, selalu penting untuk meminta kata sandi yang kuat di semua akun pengguna untuk melindungi situs Anda dan penggunanya. Namun, kata sandi yang kuat tidak memberikan perlindungan yang cukup dengan sendirinya. Penyerang dapat menyusup ke situs Anda dengan menebak kata sandi yang kuat atau menggunakan kata sandi curian. Itu adalah kenyataan umum sekarang, login berbasis kata sandi tradisional tidak memadai sebagai satu lapisan keamanan.
Kata sandi yang kuat tidak menawarkan perlindungan yang cukup kuat tanpa lapisan keamanan tambahan. Menggunakan autentikasi dua faktor untuk semua akun pengguna Anda adalah ukuran keamanan yang jauh lebih efektif karena menambahkan lapisan tambahan yang Anda perlukan untuk mengamankan situs Anda dan melindungi pelanggan Anda. Itu tidak berarti menegakkan kata sandi yang kuat tidak diperlukan. Anda tetap harus melakukannya juga — lalu tambahkan 2FA!
Autentikasi dua faktor relatif mudah diatur. Ketika Anda melakukannya, itu akan secara dramatis mengurangi risiko pengguna jahat yang tidak sah mendapatkan akses admin ke situs WordPress Anda. Menang, menang!
Otentikasi Dua Faktor Memblokir Serangan Brute Force
Menghentikan serangan login brute force adalah contoh bagus dari perlindungan autentikasi dua faktor yang ditambahkan ke situs WordPress Anda. Serangan brute force adalah ancaman umum, tetapi otentikasi dua faktor akan menghilangkannya. Dalam serangan masuk paksa, peretas dengan cepat menguji banyak kata sandi umum dan berbasis kamus terhadap admin Anda dan akun pengguna lainnya. Terkadang peretas menguji daftar besar nama pengguna, alamat email, dan kombinasi kata sandi yang dicuri di layar login Anda.
Pengujian otomatis dengan skrip terhadap ribuan login ilegal dapat memperlambat situs Anda atau menjadikannya offline. Untuk alasan ini, serangan login brute-force sering memiliki efek penolakan serangan layanan. Tetapi jika Anda dan semua pengguna situs Anda mengaktifkan autentikasi dua faktor, tidak satu pun dari metode brute force ini akan berfungsi sama sekali . Tidak ada peretas yang ingin mencoba login paksa di situs Anda dalam skala besar. Tidak akan ada kemungkinan sukses bagi mereka.
Menambahkan Otentikasi Dua Faktor ke Situs WordPress Anda
Dalam panduan ini, kita akan membahas detail 2FA. Anda akan mempelajari cara kerja autentikasi pengguna di platform WordPress. Kemudian kami akan menjelaskan cara mengimplementasikan 2FA dengan plugin WordPress.
Apakah WordPress Memiliki Otentikasi Dua Faktor?
Inti WordPress tidak memiliki autentikasi dua faktor di dalamnya. Anda perlu menambahkannya.
Otentikasi dua faktor adalah lapisan keamanan tambahan yang Anda tambahkan ke situs Anda dengan plugin WordPress dan terkadang layanan eksternal. Dengan kata lain, itu dibangun di atas fitur akun pengguna inti dari instalasi WordPress default. 2FA membuat situs WordPress Anda tidak hanya membutuhkan kata sandi tetapi juga informasi tambahan untuk memverifikasi identitas setiap pengguna Anda setiap kali mereka mencoba masuk.
Verifikasi 2FA berasal dari sumber yang dapat diakses oleh pengguna situs resmi, seperti:
- Pesan teks, panggilan, atau notifikasi yang dikirim ke ponsel mereka
- Tautan atau kode yang dikirim melalui email
- kode QR
Otentikasi dua faktor sangat aman. Penyerang dan peretas jahat tidak akan memiliki akses fisik ke saluran dan perangkat eksternal pengguna Anda. Artinya, meskipun mereka dapat memecahkan kata sandi, mereka tetap tidak dapat memperoleh akses tidak sah ke situs Anda tanpa lapisan otentikasi kedua. Untuk membobol dengan kata sandi pengguna, mereka juga harus membobol email, komputer, atau ponsel pengguna. Hal ini dapat terjadi tetapi sangat jarang dibandingkan dengan serangan brute-force tertulis yang menguji jutaan kata sandi setiap hari.
Apakah Saya Membutuhkan 2FA Untuk Situs WordPress Saya?
Menjalankan autentikasi dua faktor akan memblokir banyak aktor jahat di dunia online bahkan untuk mencoba mendapatkan akses tidak sah ke situs Anda. Meskipun tidak terlalu diperlukan, siapa yang tidak membutuhkan perlindungan dan ketenangan pikiran itu?
Jika situs WordPress Anda pernah diretas atau mendengar tentang seseorang yang pernah melakukannya, maka Anda tahu seberapa cepat situs itu dapat dikotori dengan tautan spam, pengalihan, dan kode berbahaya yang dapat merusak reputasi Anda secara langsung dan tidak dapat diperbaiki.
Lebih buruk lagi, jika Anda menjalankan situs e-niaga menggunakan WooCommerce, peretas mungkin dapat mengakses data pelanggan seperti nama, alamat, nomor telepon, alamat email, dan bahkan nomor kartu kredit.
Jika itu terjadi, Anda akan kesulitan menggali kekacauan.
WordPress 2FA adalah garis pertahanan kedua yang mencegah orang jahat keluar sambil memastikan bahwa meskipun kata sandi disusupi, akun akan tetap aman dan terlindungi selama lapisan perlindungan kedua tetap menjadi kunci yang tidak dapat dipecahkan oleh peretas.
Sebagai pemilik situs WordPress, pahami bahwa fitur autentikasi dua faktor adalah 100% opt-in. Karena ini bukan fitur inti, Anda hanya perlu menerapkannya di situs jika mau. Ini benar-benar gratis dan menambahkan lapisan perlindungan yang hampir tidak dapat dipecahkan yang akan mengurangi banyak kekhawatiran tentang peretasan dan serangan.
Dengan demikian, 2FA adalah pendekatan no-brainer untuk keamanan situs WordPress yang harus digunakan semua orang jika mereka belum menggunakannya atau bahkan lebih kuat, metode login aman yang menggunakan kunci sandi, bukan kata sandi.
Manfaat 2FA untuk Situs WordPress dengan Banyak Pengguna
Pada halaman login WordPress standar yang tidak dimodifikasi, Anda dan pengguna Anda cukup memasukkan nama pengguna dan kata sandi untuk mendapatkan akses ke situs. Setelah penyerahan kredensial login, jika kombinasi nama pengguna dan kata sandi cocok dengan yang ada di database WordPress, pengguna langsung mendapatkan akses ke ujung belakang WordPress dan hak istimewa apa pun berdasarkan aturan izin yang telah Anda terapkan.
WordPress memiliki enam peran pengguna yang telah ditentukan:
- Admin Super
- Admin
- Editor
- Pengarang
- Penyumbang
- Pelanggan
Secara default, peran ini diizinkan untuk melakukan serangkaian tugas tertentu di situs Anda. Tugas yang dapat dilakukan peran disebut "Kemampuan".
Sebagian besar pengguna situs standar Anda mungkin menggunakan peran Pelanggan, yang memiliki kemampuan paling sedikit. Namun, Anda mungkin memiliki Admin, Editor, dan Penulis tambahan yang secara teratur mengakses bagian belakang situs Anda. Beberapa pengguna mungkin ceroboh dengan kata sandi mereka, mereka mungkin berbagi akun, dan beberapa dengan hak istimewa mungkin memberikan hak istimewa kepada pengguna lain tanpa sepengetahuan Anda. Anda mungkin lupa menghapus pengguna atau menurunkan hak istimewanya saat mereka tidak lagi aktif atau diperlukan. Semua situasi ini biasa terjadi dan menciptakan peluang bagi penyerang.
Jika seorang peretas menemukan hanya satu dari nama pengguna dan kata sandi Admin, mereka akan langsung memiliki akses ke seluruh situs Anda dengan hak istimewa penuh. Itu buruk, tentu saja, tetapi Anda juga tidak ingin Pelanggan Anda diretas. Bahkan dalam kasus itu, Anda harus melaporkan pelanggaran tersebut, dan itu merusak kepercayaan yang dimiliki pengguna untuk Anda dan merek Anda.
Bagaimana Otentikasi Dua Faktor Mengamankan Login Pengguna
Autentikasi dua faktor menghentikan peretas membobol akun pengguna dengan memverifikasi identitas pengguna menggunakan pesan email, pesan teks, atau aplikasi autentikator. Pada saat login, metode verifikasi kedua diaktifkan. Akibatnya, pengguna harus mengonfirmasi login mereka melalui salah satu saluran sekunder ini.
Sederhananya, ketika Anda atau pengguna situs lain memasukkan data login pribadi di halaman login situs Anda (nama pengguna dan kata sandi), pemberitahuan segera dikirim ke alamat email atau nomor telepon yang terkait dengan pengguna yang mencoba masuk. Biasanya, pemberitahuan masuk ini akan menyertakan tautan, kode QR, atau PIN sekali pakai agar upaya masuk dapat dilanjutkan.
Agar pengguna dapat memasuki situs, mereka harus mengikuti petunjuk di email atau pesan teks. Mereka mungkin diminta untuk mengklik tautan akses tertentu atau memasukkan PIN.
Meskipun langkah tambahan ini memperlambat proses masuk, keamanan tambahan jauh melebihi risiko membiarkan situs Anda terbuka untuk peretasan nama pengguna dan sandi sederhana yang dilakukan penjahat dunia maya di seluruh web setiap hari.
Apakah Otentikasi Dua Faktor Sepenuhnya Aman?
Tidak ada tindakan pengamanan yang 100% sangat mudah. Dalam dunia hacking, dimana ada kemauan, hacker akan menemukan jalan. Jika hal terburuk terjadi dan Anda menemukan bahwa situs Anda telah diretas, sebaiknya jalankan plugin cadangan WordPress yang dapat segera memulihkan situs Anda ke waktu yang aman sebelum serangan.
Saat Anda membandingkan 2FA dengan protokol perlindungan kata sandi standar di WordPress, Anda akan menemukan bahwa autentikasi dua faktor lebih aman. Prosesnya mengharuskan pengguna Anda (dan Anda) untuk mengonfirmasi setiap upaya masuk dari sumber yang unik untuk setiap pengguna. Biasanya, ini adalah telepon atau akun email pribadi. Itu berarti seorang peretas hanya dapat memperoleh akses ke kerja internal situs WordPress yang dilindungi 2FA jika mereka juga memiliki akses ke perangkat pengguna situs dan informasi masuk luar. Karena ini sangat tidak mungkin terjadi, menambahkan 2FA membuat situs Anda sangat kecil kemungkinannya untuk diretas melalui login ilegal.
Apakah Anda siap mempelajari cara menambahkan 2FA ke WordPress untuk melindungi situs web Anda dan penggunanya? Jika demikian, baca terus untuk mempelajari cara menggabungkan fitur 2FA di situs Anda dan menjalankannya.
Bagaimana Saya Mengaktifkan Otentikasi Dua Faktor di WordPress?
Bergantung pada host situs Anda, Anda mungkin dapat mengaktifkan perlindungan 2FA di cPanel atau portal pengguna host Anda.
Namun, jika host Anda tidak memberi Anda perlindungan 2FA, Anda dapat dengan mudah mengimplementasikannya sendiri menggunakan plugin WordPress.
Plugin Otentikasi Dua Faktor WordPress
Di bawah ini adalah beberapa plugin WordPress 2FA terbaik yang akan segera mengamankan situs Anda dari serangan login skrip.
1. Otentikasi Dua Faktor Keamanan iThemes
Menurut pendapat kami, suite keamanan situs WordPress all-inclusive terbaik yang tersedia adalah iThemes Security Pro dengan Otentikasi Dua Faktor. Tidak hanya mengamankan situs Anda dengan 2FA, tetapi juga dilengkapi dengan fitur keamanan situs tambahan:
- Perlindungan Serangan Brute Force
- Deteksi Perubahan File
- 404 Deteksi Kesalahan
- Penegakan Kata Sandi yang Kuat
- Bot Buruk dan Pemblokiran Spam
- Modus Jauh
iThemes Security Pro menghilangkan dugaan keamanan WordPress. Anda tidak harus menjadi seorang profesional keamanan untuk menggunakan plugin keamanan, jadi iThemes Security Pro memudahkan untuk mengamankan dan melindungi situs web WordPress Anda bahkan jika Anda tidak memiliki banyak pengetahuan teknis.
Menambahkan autentikasi dua faktor menggunakan plugin keamanan WordPress iThemes Security Pro menjadi mudah bahkan bagi sebagian besar pengguna pemula. Setelah diinstal dan diaktifkan, pengguna situs harus memasukkan kata sandi bersama dengan kode sensitif waktu yang dikirim ke perangkat sekunder.
Pro, Kontra, dan Biaya
- Kelebihan iThemes Security Pro: Anda mendapatkan lebih banyak perlindungan keamanan daripada hanya autentikasi dua faktor. Lebih baik lagi, opsi 2FA kuat dan mudah digunakan. Anda akan yakin dengan pengetahuan bahwa situs Anda terlindungi sepenuhnya dari login berbahaya saat Anda mengaktifkan plugin.
- Kontra dari iThemes Security Pro: Biaya plugin lebih mahal daripada opsi 2FA berbayar lainnya, tetapi Anda mendapatkan lebih banyak keuntungan.
- Biaya iThemes Security Pro: Jika Anda hanya perlu mengamankan satu situs, biaya plugin adalah $80 per tahun. Untuk hingga sepuluh situs, biayanya $127 per tahun. Untuk situs tanpa batas, Anda dapat menggunakan plugin seharga $199 per tahun. Itu adalah investasi yang layak dilakukan ketika Anda mempertimbangkan alternatifnya.
2. Otentikasi Dua Faktor Rublon
Jika Anda mencari plugin autentikasi dua faktor yang mudah digunakan untuk WordPress, lihat plugin Autentikasi Dua Faktor Rublon. Plugin Rublon 2FA akan dengan cepat mengamankan situs Anda dari semua login tidak sah tanpa hambatan teknis apa pun di pihak Anda.
Setelah Anda mengunduh dan memasang plugin Rublon, lain kali Anda mencoba masuk ke WordPress, Anda harus mengeklik tautan verifikasi yang dikirimkan ke alamat email akun pengguna WordPress Anda. Kemudian, setelah Anda mengeklik tautan untuk memverifikasi identitas Anda, Anda akan ditanya apakah Anda ingin situs tersebut mengingat perangkat Anda untuk login di masa mendatang. Artinya, Anda tidak perlu memverifikasi identitas setiap kali masuk, selama Anda menggunakan perangkat dan browser yang sama setiap kali mengakses situs.
Jika Anda menggunakan perangkat atau browser lain setelah memverifikasi, Anda hanya perlu mengulang proses dan menyimpannya juga — berhati-hatilah untuk tidak pernah melakukan ini di perangkat yang dapat diakses orang lain!
Versi gratis plugin Rublon 2FA adalah salah satu opsi terbaik untuk situs WordPress yang hanya memiliki satu pengguna . Dengan memutakhirkan ke versi berbayar, plugin ini juga dapat digunakan untuk mengamankan situs web multi-pengguna.
Pro, Kontra, dan Biaya
- Pro untuk Otentikasi Dua Faktor Rublon : Sebagian besar lepas tangan untuk administrator situs. Setelah Anda menginstal dan mengaktifkan plugin, itu tidak memerlukan pelatihan atau konfigurasi apa pun. Ia bekerja langsung dari kotak.
- Kontra untuk Otentikasi Dua Faktor Rublon: Itu tidak mendukung pemberitahuan push atau verifikasi pesan teks. Oleh karena itu, Anda hanya akan memiliki verifikasi email untuk 2FA.
- Biaya Otentikasi Dua Faktor Rublon: Versi satu situs web pribadi dari plugin ini benar-benar gratis. Akibatnya, jika Anda menjalankan situs multipengguna atau memiliki banyak situs, Anda harus mendapatkan plugin versi berbayar. Untuk melakukan ini, hubungi tim penjualan mereka untuk mendapatkan penawaran.
3. Autentikasi Dua Faktor Duo
Duo Two-Factor Authentication adalah salah satu plugin WordPress 2FA tercanggih yang dapat Anda temukan. Dengannya, Anda dapat mengatur autentikasi dua faktor berdasarkan peran pengguna di dalam dasbor WordPress.
Sebagai contoh, Anda dapat meminta Editor dan Penulis menggunakan proses masuk 2FA, tetapi Pelanggan (yang tidak dapat mengakses dasbor Admin dengan cara apa pun) hanya perlu memasukkan nama pengguna dan sandi untuk masuk ke situs. Fitur praktis ini dapat mencegah pengguna dasar menjadi frustrasi dengan proses autentikasi dua faktor yang berlarut-larut.
Plugin ini juga akan memberi Anda beberapa opsi verifikasi pengguna yang berbeda, termasuk:
- Panggilan telepon otomatis
- Pesan SMS dengan kode pin
- Aplikasi seluler
Ini adalah alat 2FA yang lebih fleksibel daripada plugin Otentikasi Dua Faktor Rublon, yang hanya menawarkan email otentikasi dua faktor WordPress.
Pro, Kontra, dan Biaya
- Kelebihan Otentikasi Dua Faktor Duo: Plugin otentikasi dua faktor WordPress ini mendukung konfigurasi peran pengguna dan mencakup berbagai metode untuk verifikasi pengguna. Karena itu, ini sangat serbaguna untuk situs WordPress.
- Kekurangan Duo Two-Factor Authentication: Sayangnya, plugin ini tidak mendukung WordPress Multisite. Untuk alasan itu, mungkin keluar dari pertanyaan untuk beberapa pengguna.
- Biaya Otentikasi Dua Faktor Duo: Plugin ini adalah solusi gratis yang sempurna jika Anda memiliki sepuluh atau lebih sedikit pengguna yang secara teratur masuk ke situs Anda. Namun, jika Anda memiliki lebih dari sepuluh, Anda dapat menambah batas dengan membayar $3 per bulan untuk setiap pengguna tambahan.
4. Google Authenticator – Otentikasi Dua Faktor Google untuk WordPress
Otentikasi dua faktor Google untuk WordPress juga merupakan opsi untuk dipertimbangkan untuk menerapkan 2FA di situs WordPress Anda.
Google Authenticator memberi Anda beragam metode verifikasi yang akan melindungi situs Anda dari login tidak sah yang berbahaya, termasuk pesan email, kode QR, dan pemberitahuan push.
Sama seperti Duo Two-Factor Authenticator, Anda dapat menggunakan plugin ini untuk menyiapkan aturan 2FA khusus untuk peran pengguna WordPress tertentu. Fitur ini menjadikan autentikasi dua faktor Google sebagai senjata ampuh untuk WordPress dalam memerangi serangan peretasan.
Anda dapat menyiapkan Google Authenticator untuk meminta nama pengguna, kata sandi, dan faktor verifikasi tambahan. Atau Anda dapat mengonfigurasi plugin agar hanya memerlukan nama pengguna dan faktor tambahan, tanpa memerlukan kata sandi.
Pro, Kontra, dan Biaya
- Kelebihan Google Authenticator: Plugin ini akan mendukung peran pengguna tertentu yang terkait dengan 2FA dan dilengkapi dengan berbagai metode untuk memverifikasi pengguna situs Anda, termasuk SMS, kode QR, pemberitahuan push, dan panggilan telepon otomatis.
- Kontra dari Google Authenticator: Versi yang ditawarkan Google secara gratis relatif terbatas pada fitur yang boleh Anda gunakan.
- Biaya Google Authenticator: Versi gratis menawarkan autentikasi dua faktor pengguna tunggal. Anda akan dapat memutakhirkan untuk banyak pengguna mulai dari $15 per tahun.
Apakah Saatnya Menerapkan Autentikasi Dua Faktor di Situs WordPress Anda?
Ingatlah bahwa situs WordPress Anda hanya seaman yang dimungkinkan oleh halaman login Anda. Paling sering, membatasi akses ke nama pengguna dan kata sandi saja tidak cukup.
Dengan menerapkan 2FA, Anda akan dapat menjaga situs Anda, pengunjung Anda, pengguna Anda, dan pelanggan Anda aman dari serangan brute-force berbahaya.
Saat Anda melengkapi sistem pencadangan yang baik dengan autentikasi dua faktor, Anda mengambil langkah mendasar untuk mengamankan situs Anda.
Dan Knauss adalah Generalis Konten Teknis StellarWP. Dia adalah seorang penulis, guru, dan pekerja lepas yang bekerja di sumber terbuka sejak akhir 1990-an dan dengan WordPress sejak 2004.