Otentikasi 2FA WordPress: Rendahnya Elemen Keamanan Situs Penting Ini
Diterbitkan: 2023-06-12Sementara 2FA adalah solusi sederhana di ujung depan dan belakang, ada banyak hal yang terjadi di bawah tenda. Ini adalah cara pelengkap yang luar biasa untuk menambahkan lapisan keamanan lebih lanjut ke situs dan akan memberdayakan pengguna untuk membantu menjaga situs Anda dan informasi mereka juga aman.
Untuk tutorial ini, kita akan membahas tentang 2FA – khususnya autentikasi 2FA WordPress. Sepanjang, kami akan melihat apa ini, pilihan kata sandi Anda, bagaimana menerapkan 2FA di situs Anda, dan banyak lagi.
Apa 2FA Itu (Dan Apa yang Dapat Membantu Anda Mencapai)
Singkatnya, Otentikasi Dua Faktor adalah langkah keamanan yang memberikan lapisan perlindungan tambahan di luar kredensial login biasa Anda. Dengan 2FA, pengguna harus memberikan informasi kedua, seringkali berupa kode numerik – Kata Sandi Sekali Pakai Berbasis Waktu (TOTP):
Informasi tambahan yang biasanya Anda lihat adalah kode numerik yang kedaluwarsa setelah beberapa saat:
Secara teknis, 2FA membutuhkan dua bentuk otentikasi pengguna. 'Faktor' pertama adalah informasi yang diketahui pengguna, seperti kata sandi. Faktor kedua adalah sesuatu yang dimiliki pengguna, seperti token atau kode yang dikirimkan ke perangkat. Bahkan jika kata sandi pengguna diketahui, Anda masih membutuhkan faktor kedua untuk memverifikasi dan mengotentikasi sesi.
Namun, metode modern memasukkan informasi seperti sidik jari. Terlepas dari itu, konsep utamanya adalah Anda akan memberikan informasi yang tidak dapat diakses oleh orang lain. Jika informasi itu selaras dengan apa yang diminta untuk Anda berikan, Anda akan mendapatkan akses yang Anda perlukan.
2FA dan WordPress
2FA menjadi lebih relevan dalam hal login pengguna WordPress; Content Management System (CMS) adalah platform situs web nomor satu di pasar. Ini sebagian karena keamanan intinya yang luar biasa. Namun, platform yang begitu populer bisa menjadi target keamanan.
Misalnya, pada tahun 2021, Sucuri memperbaiki hampir 50.000 situs yang diretas. Sebagian besar adalah kesalahan kerentanan pada plugin dan tema yang sudah ketinggalan zaman. Selain itu, serangan brute-force dapat memusnahkan jaringan situs. Wordfence melaporkan serangan botnet baru-baru ini mengenai jutaan situs web WordPress.
Kedua contoh ini menunjukkan bagaimana kesalahan pengguna dapat menghambat keamanan WordPress Anda, terutama jika Anda tidak terus memperbarui plugin dan tema. Namun, menggunakan 2FA adalah cara yang efektif untuk melindungi situs WordPress Anda dari serangan, memberikan akuntabilitas kepada pengguna Anda, dan banyak lagi.
Bentuk autentikasi kedua tidak hanya akan menjauhkan aktor jahat dari akun Anda, tetapi juga memungkinkan Anda bekerja dari jarak jauh dengan keamanan yang lebih baik. Seluruh basis pengguna Anda juga akan bertanggung jawab atas keamanan mereka sendiri, yang membuat seluruh situs Anda lebih aman.
Secara keseluruhan, 2FA adalah cara penting untuk menghentikan akses tidak sah ke informasi sensitif, membangun keyakinan dan kepercayaan pengguna, dan sebagian mematuhi arahan keamanan data. Ini adalah langkah kerja dan keamanan yang vital, terutama untuk platform populer seperti WordPress. Ini juga berarti pilihan kata sandi Anda tidak terlalu menjadi penghalang. Namun, ini adalah subjek kompleks yang membutuhkan kedalaman lebih.
Betapa Buruknya Pilihan Kata Sandi Akan Menyebabkan Anda Stres
Setiap tahun, banyak outlet berita dan situs menerbitkan daftar kata sandi yang buruk, dan daftar itu terlihat serupa di setiap kesempatan. Misalnya, Panduan Tom menunjukkan beberapa kata sandi yang paling umum namun lemah untuk pengguna akhir:
- qwerty
- 123456
- kata sandi
Namun, admin dan pengguna back-end juga bertabrakan dengan penggunaan kata sandi yang lemah dan berbahaya. Misalnya, admin , root , dan guest semua fitur pada daftar di posisi tinggi. Faktanya, kata sandi admin lebih mengkhawatirkan jika Anda mempertimbangkan bahwa peran pengguna Administrator default WordPress juga memiliki nama pengguna "admin".
Terlepas dari itu, kata sandi ini dapat dipecahkan hampir dalam hitungan detik menggunakan teknik brute force dan alat otomatis. Namun, digabungkan dengan solusi seperti Melapress Login Security, Anda dapat memastikan pengguna akan membuat kata sandi yang kuat dan juga melindungi situs Anda lebih lanjut menggunakan 2FA.
Karena pengguna harus mengautentikasi detailnya melalui aplikasi atau teknologi pihak ketiga, ini adalah cara yang signifikan untuk mengurangi risiko akses tidak sah. Selain itu, Anda dapat memperkuat dan memperkuat kebijakan kata sandi yang kuat dan juga mencegah pelanggaran data dan serangan dunia maya lainnya.
Meskipun 2FA adalah cara yang luar biasa untuk memastikan akuntabilitas pengguna dan menopang titik lemah dalam keamanan situs Anda, ini bukan satu-satunya. Selanjutnya, kita akan melihat bagaimana ketentuan Anda yang lain berfungsi bersama 2FA untuk memberikan layanan yang lebih baik.
Bagaimana Slot 2FA Bersamaan dengan Penyediaan Keamanan Anda Saat Ini
2FA bukanlah taktik keamanan satu ukuran untuk semua. Sebaliknya, itu masuk ke dalam ketentuan keamanan Anda secara keseluruhan sebagai sesuatu tambahan. Dengan demikian, Anda dan pengguna Anda tetap harus mematuhi implementasi keamanan umum:
- Gunakan password yang kuat. Anda pasti ingin memilih sesuatu yang panjang, karena ini akan menambah waktu yang dibutuhkan untuk memecahkannya. Meskipun 2FA tidak bergantung pada kebutuhan kata sandi yang kuat, tetap disarankan untuk melakukan sebanyak mungkin untuk mengamankan kredensial login Anda. Keamanan Masuk Melapress sangat ideal untuk tugas itu.
- Sering-seringlah melakukan pembaruan perangkat lunak. Untuk WordPress, ini termasuk plugin, tema, dan file inti. Nanti, kita akan membahas plugin otentikasi 2FA WordPress, dan ini sangat penting untuk selalu diperbarui.
Untuk lebih menyentuh kata sandi, menggabungkan kata sandi yang kuat dengan 2FA dapat memastikan bahwa hanya Anda yang dapat mengakses akun. Misalnya, koneksi Wi-Fi yang tidak aman di tempat kerja lokal dapat membahayakan sandi Anda. Namun, Anda tetap harus memberikan bentuk autentikasi kedua untuk mendapatkan akses akun.
Kata sandi yang lebih kuat yang hampir kebal terhadap peretasan juga tidak akan mengganggu sumber daya server Anda. Ini karena Anda tidak akan memiliki beberapa upaya masuk (dan permintaan 2FA potensial) dari sejumlah besar alamat IP yang berpotensi.
Anda dapat mengambil ini lebih jauh dan menggabungkan 2FA dengan perlindungan brute force khusus. Konsep ini berada di luar cakupan postingan ini, tetapi ada banyak plugin keamanan WordPress (seperti Wordfence atau Jetpack Security) yang dapat memberikan solusi yang kuat.
Memilih 'Format' 2FA yang Tepat untuk Anda
Salah satu manfaat Autentikasi Dua Faktor adalah fleksibilitas dalam penerapannya. Anda memiliki empat cara berbeda untuk menggunakan 2FA:
- SMS, metode berbasis teks.
- Otentikasi email.
- Aplikasi khusus, seperti Authy, Sentinel, Duo, dan banyak lagi.
- Pemberitahuan push.
Masing-masing mencapai hasil yang sama dengan cara yang berbeda, tetapi tidak semuanya sama. Mari kita uraikan masing-masing secara bergiliran, beserta pro dan kontranya.
SMS
Metode 2FA default untuk banyak layanan online adalah mengirim kode autentikasi ke perangkat seluler melalui pesan teks. Anda harus memasukkan nomor telepon Anda ke bidang tertentu, yang akan mengirimkan kode terbatas waktu.
Manfaat di sini termasuk tidak diperlukannya aplikasi pihak ketiga lain untuk membantu mengautentikasi login Anda, dan kemudahan penggunaan yang luar biasa untuk mengatur dan menggunakan. Namun, SMS memiliki kekurangan yang parah. Pertama, Anda harus menyampaikan lebih banyak informasi pribadi Anda melalui web (nomor telepon Anda) untuk melakukan verifikasi.
Ada beberapa hal yang perlu diperhatikan saat memilih 2FA berbasis SMS. Pertama adalah biaya jaringan yang dikenakan oleh operator jaringan untuk pengiriman SMS. Kedua, pesan SMS tidak dienkripsi dan rentan terhadap pertukaran kartu SIM. Meski begitu, itu dapat menawarkan perlindungan yang lebih baik bagi pengguna yang mungkin tidak paham teknologi.
notifikasi email
Notifikasi email serupa dengan metode autentikasi SMS. Di sinilah Anda akan memasukkan alamat email pada halaman login, yang kemudian akan menerima kode atau token untuk mengautentikasi sesi Anda.
Autentikasi email 2FA mudah dan mudah digunakan – Anda hanya memerlukan akses ke kotak masuk untuk memvalidasi login Anda.
Jika email tidak dienkripsi, email tersebut dapat menjadi rentan terhadap serangan 'mesin di tengah' atau sejenisnya. Namun, Anda dapat mengambil langkah-langkah untuk mengamankan email WordPress Anda dan menghindari risiko yang biasanya terkait dengan email yang tidak terenkripsi.
Pemberitahuan Dorong
Pemberitahuan push tampaknya menjembatani kesenjangan antara otentikasi email dan SMS. Ini melibatkan penerimaan pemberitahuan pada ponsel cerdas yang harus Anda setujui sebelum masuk ke akun. Apple adalah salah satu perusahaan yang menggunakan metode ini untuk menyiapkan perangkat tepercaya di seluruh ekosistemnya.
Metode ini juga nyaman dan mudah digunakan seperti email dan SMS. Manfaat lainnya adalah sering kali tidak bergantung pada kata sandi, kode, atau token sama sekali. Ini adalah elemen Pengalaman Pengguna (UX) yang luar biasa yang dapat membuat akun lebih aman tanpa berpikir atau bekerja untuk pengguna.
Namun, pendekatan tersebut masih memiliki kelemahan. Karena pemberitahuan push sangat mudah disetujui, pengguna yang sibuk dapat melakukannya tanpa sengaja. Ada penelitian yang menunjukkan bahwa rentang perhatian pengguna turun berdasarkan lebih banyak notifikasi yang mereka terima, yang bisa menjadi masalah.
Untuk tujuan ini, penting untuk mengedukasi pengguna tentang keamanan akun yang tepat. Pemberitahuan push yang tidak terduga tidak boleh disetujui, dan permintaan yang sering harus dilaporkan untuk penyelidikan lebih lanjut.
Menggunakan Aplikasi
Cara khas untuk meningkatkan penerapan 2FA Anda adalah dengan menggunakan aplikasi. Ada banyak di sekitar: Google Authenticator, Authy, Duo, Sentinel, Microsoft Authenticator, dan banyak lagi lainnya.
Aplikasi ini akan menghasilkan kode satu kali untuk setiap situs setiap 30 detik yang Anda masukkan ke situs web yang dimaksud untuk memverifikasi dan mengotentikasi info masuk. Itu dianggap sebagai salah satu pendekatan yang lebih aman. Namun, seperti notifikasi push, Anda masih memerlukan perangkat yang kompatibel dan akses internet untuk menggunakan aplikasi ini.
Format 2FA Mana yang Harus Dipilih
Memiliki 2FA adalah pilihan yang lebih baik daripada tidak memiliki 2FA. Meskipun metode tertentu, seperti aplikasi 2FA, lebih aman daripada yang lain, kami juga harus menyadari bahwa basis pengguna kami bisa sangat beragam.
Anda juga ingin menurunkan penghalang untuk masuk dan memastikan pengguna merasa nyaman dengan 2FA. Untuk tujuan ini, semakin banyak opsi yang dapat Anda tawarkan kepada pengguna Anda, semakin baik, karena ini akan membantu Anda memastikan bahwa implementasi 2FA Anda sukses besar.
Memperkenalkan WP 2FA: Cara Terbaik untuk Menerapkan Otentikasi 2FA WordPress
Ada banyak plugin Autentikasi Dua Faktor WordPress yang tersedia. Misalnya, miniOrange dan Otentikasi Dua Faktor menawarkan berbagai fitur dan mendapat dukungan dari banyak pengguna yang senang.
Namun, plugin WP 2FA menawarkan fungsionalitas, dukungan, dan biaya untuk menjadikannya solusi nomor satu Anda. Ini adalah cara terdepan untuk menambahkan Autentikasi Dua Faktor ke situs web WordPress Anda.
Kami mendorong Anda untuk memeriksa spesifikasi versi gratis, tetapi dengan edisi premium, Anda mendapatkan semua fungsi yang Anda perlukan:
- Anda dapat memilih dari beberapa metode 2FA yang berbeda, agar sesuai dengan kebutuhan Anda dan kebutuhan pengguna Anda.
- Anda dapat menyesuaikan kebijakan 2FA Anda. Ini melibatkan elemen-elemen seperti membuat 2FA wajib, menawarkan masa tenggang, dan banyak lagi.
- Pengguna tidak perlu mengakses dasbor WordPress. Anda dapat menawarkan autentikasi masuk melalui ujung depan situs Anda.
- Ada juga banyak integrasi layanan pihak ketiga, seperti dengan Twillo dan Authy. Ini memungkinkan Anda memberikan metode autentikasi lebih lanjut kepada pengguna.
Mengenai harga, WP 2FA menawarkan nilai yang sangat besar. Misalnya, lisensi WP 2FA Starter adalah $29 per tahun. Ini memungkinkan Anda menginstal versi lengkap WP 2FA di sebanyak mungkin situs web yang Anda perlukan dan menawarkan autentikasi masuk ke lima pengguna. Ada rencana fleksibel untuk meningkatkan batas pengguna dan rangkaian fitur.
Lebih baik lagi, menggunakan WP 2FA sangatlah mudah. Selanjutnya, kami akan menunjukkan caranya.
Cara Menggunakan WP 2FA untuk Memperkuat Keamanan Situs Pengguna Anda
WP 2FA memiliki semua fitur dan fungsionalitas yang Anda perlukan untuk mengimplementasikan autentikasi WordPress 2FA di situs Anda. Terlebih lagi, mudah dikonfigurasi dan digunakan. Proses instalasi sangat mirip dengan plugin WordPress gratis lainnya. Anda dapat menemukannya menggunakan bilah pencarian di layar Plugins > Add New :
Dari sini, klik tombol Instal Sekarang dan Aktifkan , lalu tunggu WordPress menyelesaikan proses instalasi. Pada titik ini, Anda siap menyiapkan 2FA di situs web WordPress Anda.
1. Konfigurasi WP 2FA Menggunakan Setup Wizard
WP 2FA dapat melakukan semua pekerjaan berat terkait otentikasi WordPress 2FA untuk Anda. Wizard Penyiapan berjalan melalui empat langkah hingga selesai berdasarkan kebijakan dan metode implementasi yang berbeda.
Wizard Penyiapan dimulai dengan halaman selamat datang, dan Anda akan ingin mengklik tombol Mari Memulai untuk melanjutkan:
Dua langkah pertama melihat metode 2FA mana yang ingin Anda terapkan. Anda akan menggunakan kotak centang untuk menambahkan 2FA berbasis aplikasi dan mengirim email 2FA ke situs Anda. Versi premium plugin menyertakan metode tambahan yang juga dapat Anda pilih.
Setelah mengklik untuk melanjutkan, Anda juga dapat memberikan kode cadangan kepada pengguna jika mereka perlu menyiapkan 2FA dengan aplikasi atau perangkat lain. Versi premium WP 2FA memungkinkan Anda menawarkan lebih banyak opsi autentikasi alternatif.
Layar ketiga di Wisaya Penyiapan memungkinkan Anda memilih untuk siapa Anda menerapkan 2FA. Ada tiga tombol radio di sini untuk memilih semua pengguna, tidak ada pengguna, dan pengguna dan peran tertentu:
Perhatikan bahwa Anda akan melihat opsi tambahan jika memilih Semua Pengguna atau Hanya untuk pengguna dan peran tertentu . Ini akan memungkinkan Anda menentukan pengguna untuk dikecualikan atau peran untuk disertakan sebagai bagian dari kebijakan Anda.
Setelah Anda memilih Semua Selesai , Anda akan melihat permintaan untuk mengonfigurasi WP 2FA untuk akun pengguna Anda sendiri. Prosesnya hampir selesai.
2. Siapkan WP 2FA untuk Akun Pengguna Anda
Setelah Anda menyiapkan autentikasi 2FA WordPress, Anda dapat menyiapkan 2FA untuk akun pengguna Anda sendiri.
Opsi yang tersedia akan menyertakan metode yang tersedia di wizard penyiapan. Beberapa metode, seperti SMS dan Push notification, akan memerlukan konfigurasi tambahan karena ini membutuhkan penyedia layanan pihak ke-3 agar berfungsi. Dalam contoh ini, kita akan menggunakan metode aplikasi 2FA TOTP.
Jika Anda belum memiliki aplikasi 2FA, mengunduhnya harus menjadi langkah pertama Anda. Ada banyak pilihan, dan WP 2FA menawarkan kompatibilitas universal. Fitur utama yang Anda perlukan adalah memindai kode QR dari dalam dasbor WordPress menggunakan aplikasi Anda:
Setelah Anda menjalankan wizard, Anda akan dapat menggunakan autentikasi WordPress 2FA untuk situs Anda.
Kesimpulan
Otentikasi Dua Faktor adalah salah satu cara terbaik dan paling ramah pengguna untuk mengamankan akun online. Itu bergantung pada verifikasi menggunakan token atau kode yang Anda dapatkan dari perangkat yang Anda miliki. Dengan demikian, tanpa kode itu, akun Anda aman – bahkan jika kata sandi Anda disusupi.
Plugin WP 2FA memungkinkan Anda mengimplementasikan autentikasi WordPress 2FA dalam beberapa menit tanpa memerlukan pengetahuan teknis. Wizard Penyiapan membawa Anda melalui seluruh proses, dan Anda memilikinya
Sementara versi gratis WP 2FA berfitur lengkap, versi premium 2FA menawarkan lebih banyak. Lisensi mulai dari $29 per tahun, dan masing-masing memungkinkan Anda menyiapkan lima pengguna untuk situs Anda.
