Jak skonfigurować uwierzytelnianie dwuskładnikowe WordPress: recenzja WP 2FA

Opublikowany: 2023-11-10

Chcesz dodać uwierzytelnianie dwuskładnikowe do WordPress?

Uwierzytelnianie dwuskładnikowe WordPress może pomóc zabezpieczyć witrynę WordPress, chroniąc własne konto WordPress, a także konta innych użytkowników w Twojej witrynie.

Jeśli chodzi o konfigurację uwierzytelniania dwuskładnikowego w WordPressie, wtyczka freemium WP 2FA oferuje jedno z najbardziej dopracowanych i elastycznych rozwiązań. Może działać równie dobrze w przypadku osobistych witryn internetowych, jak i dużych organizacji, które potrzebują niestandardowych zasad dwuczynnikowych.

W naszej recenzji WP 2FA zaczniemy od krótkiego omówienia funkcji wtyczki. Następnie udostępnimy przewodnik krok po kroku, jak skonfigurować uwierzytelnianie dwuskładnikowe w WordPress za pomocą wtyczki.

Zagłębmy się!

Recenzja WP 2FA: szybkie spojrzenie na funkcje

Recenzja WP 2FA dotycząca uwierzytelniania dwuskładnikowego WordPress

Nie będziemy zbyt szczegółowo omawiać funkcji w pierwszej sekcji, ponieważ wszystko to zobaczysz w bardziej praktycznej części naszej recenzji/samouczka WP 2FA.

Wszystkie funkcje można również znaleźć na stronie internetowej WP 2FA.

Ale zanim zaczniemy, rzućmy okiem na funkcje, które sprawiają, że WP 2FA jest jedną z najlepszych wtyczek do uwierzytelniania dwuskładnikowego WordPress:

  • Wiele metod dwuskładnikowych – możesz wybierać spośród e-maili, SMS-ów/wiadomości tekstowych, dowolnej aplikacji uwierzytelniającej (np. Google Authenticator) i/lub powiadomień push (przez Authy). Istnieje również możliwość wygenerowania jednorazowych kodów zapasowych.
  • Przyjazny dla użytkownika interfejs (frontend i backend ) – użytkownicy mogą zarządzać dwuetapowo z poziomu panelu WordPress, a także z poziomu frontendu Twojej witryny.
  • Elastyczne zasady dwuskładnikowe — możesz tworzyć niestandardowe zasady dwuskładnikowe, takie jak wymaganie dwuskładnikowych dla niektórych użytkowników, ale nie dla innych.
  • Białe etykiety – możesz oznaczyć białą etykietą wszystkie części interfejsu WP 2FA, aby pasowały do ​​Twojej marki.
  • Zaufane urządzenia – możesz zapisać urządzenie jako „zaufane” na określony czas, dzięki czemu nie będziesz musiał ponownie przeprowadzać dwuskładnikowego testu na tym urządzeniu.
  • Integracje – oferuje gotowe integracje dla WooCommerce i wielu wtyczek członkowskich.

Wtyczka WP 2FA pochodzi od WP White Security, tego samego zespołu, który stworzył popularną wtyczkę WP Activity Log – możesz dowiedzieć się więcej na ten temat w naszej recenzji Dziennika aktywności WP.

Jak skonfigurować uwierzytelnianie dwuskładnikowe WordPress za pomocą WP 2FA

Przejdźmy teraz do przewodnika krok po kroku, jak skonfigurować uwierzytelnianie dwuskładnikowe WordPress za pomocą WP 2FA.

Na potrzeby tego samouczka mamy zainstalowaną wersję premium wtyczki na naszej stronie. Istnieje jednak również darmowa wersja wtyczki na WordPress.org i podstawowe kroki będą takie same dla tej wersji.

Oznacza to, że możesz to śledzić niezależnie od tego, czy korzystasz z wersji darmowej, czy płatnej.

1. Zainstaluj wtyczkę i ukończ kreatora instalacji

Kiedy po raz pierwszy zainstalujesz i aktywujesz wtyczkę WP 2FA, automatycznie uruchomi się kreator instalacji, który pomoże Ci wykonać kilka ważnych podstawowych kroków konfiguracyjnych.

Kreator konfiguracji WP 2FA

W pierwszym kroku wybierzesz preferowaną metodę uwierzytelniania dwuskładnikowego spośród pięciu różnych opcji.

Możesz wybrać dowolną liczbę lub dowolną liczbę opcji. Jeśli podasz wiele metod, użytkownicy będą mogli wybrać metodę uwierzytelniania.

Niektóre z nich – jak wysyłanie wiadomości SMS za pośrednictwem Twilio – będą wymagały dodatkowej konfiguracji. Więcej o tym później.

WP 2FA przegląd dostępnych metod

W następnym kroku możesz włączyć metody alternatywne, takie jak umożliwienie użytkownikom generowania jednorazowych kodów zapasowych, z których będą mogli skorzystać, jeśli stracą podstawową metodę.

Wybierz alternatywne metody

Następnie możesz wybrać politykę 2FA – AKA, która od użytkowników powinna być wymagana do korzystania z uwierzytelniania dwuskładnikowego. Masz trzy możliwości:

  1. Wszyscy użytkownicy — wymagaj od wszystkich użytkowników skonfigurowania i korzystania z uwierzytelniania dwuskładnikowego. Później możesz skonfigurować inne ustawienia, takie jak okres karencji na konfigurację.
  2. Tylko dla określonych użytkowników i ról – wymagaj tylko od niektórych użytkowników korzystania z uwierzytelniania dwuskładnikowego. Na przykład możesz wymagać od administratorów i redaktorów korzystania z uwierzytelniania dwuskładnikowego, ale nie od autorów i subskrybentów. Możesz także wymagać tego dla określonych nazw użytkowników.
  3. Nie wymuszaj na żadnych użytkownikach – nie zmuszaj żadnego użytkownika do korzystania z uwierzytelniania dwuskładnikowego – po prostu udostępnij je jako opcję, jeśli chcą chronić swoje konta.
Ustaw politykę 2FA

Jeśli wybierzesz jedną z dwóch pierwszych opcji, w następnym kroku będziesz mieć możliwość ręcznego wykluczenia niektórych użytkowników.

Nie zobaczysz tego kroku, jeśli zdecydujesz się nie wymuszać 2fa dla żadnego użytkownika.

Wyklucz użytkowników z 2FA

Wreszcie ostatni krok pozwala skonfigurować okres karencji. Dzięki temu możesz dać nowym użytkownikom określoną ilość czasu na skonfigurowanie uwierzytelniania dwuskładnikowego.

Możesz na przykład dać im trzy dni przed rozpoczęciem egzekwowania reguły.

Alternatywnie możesz wybrać opcję Użytkownicy muszą od razu skonfigurować 2FA , aby zmusić użytkowników do natychmiastowej konfiguracji.

Okres karencji

I to wszystko, jeśli chodzi o kreatora konfiguracji!

2. Skonfiguruj 2FA dla własnego konta

Po zakończeniu pracy kreatora konfiguracji następnym krokiem będzie skonfigurowanie uwierzytelniania dwuskładnikowego dla własnego konta:

  1. Przejdź do Użytkownicy → Profil w panelu WordPress, aby otworzyć własny profil użytkownika.
  2. Przewiń w dół do sekcji Ustawienia uwierzytelniania dwuskładnikowego .
  3. Kliknij przycisk Konfiguruj 2FA .
Skonfiguruj 2FA

Zobaczysz teraz wyskakujące okienko, w którym możesz wybrać jedną z dostępnych metod uwierzytelniania dwuskładnikowego, które wybrałeś w kreatorze konfiguracji:

Wybierz metodę 2FA

Na przykład, jeśli wybierzesz opcję aplikacji 2FA (np. Google Authenticator), zostaniesz poproszony o skonfigurowanie aplikacji 2FA poprzez zeskanowanie kodu QR:

Skonfiguruj aplikację

Wtyczka automatycznie doda nazwę domeny Twojej witryny i Twoje konto użytkownika do aplikacji dwuskładnikowej (jeśli dotyczy):

Aplikacja uwierzytelniająca

Wtyczka poprosi Cię o wprowadzenie kodu uwierzytelniającego w celu sprawdzenia, czy poprawnie skonfigurowałeś aplikację:

Zweryfikuj 2FA

Następnie wtyczka poprosi Cię również o skonfigurowanie metody tworzenia kopii zapasowej. Możesz na przykład pobrać jednorazowe kody zapasowe na wypadek, gdybyś nie mógł wygenerować kodu z aplikacji:

Metoda tworzenia kopii zapasowych

Kody możesz wysłać e-mailem, wydrukować lub skopiować do schowka:

Kody zapasowe WP 2FA

I to wszystko! Twoje konto administratora WordPress korzysta teraz z uwierzytelniania dwuskładnikowego.

Proces konfiguracji będzie podobny dla innych użytkowników Twojej witryny – pokażę Ci przykład nieco później.

3. Dalsza konfiguracja zasad 2FA

Podczas gdy kreator konfiguracji WP 2FA umożliwia skonfigurowanie podstawowych zasad uwierzytelniania dwuskładnikowego WordPress, obszar pełnych ustawień wtyczki zapewnia jeszcze większą kontrolę.

Aby uzyskać dostęp do tych ustawień, przejdź do WP 2FA → 2FA Policies .

Tutaj możesz skonfigurować zasady obowiązujące dla całej witryny. Możesz także skonfigurować zupełnie inne zasady w oparciu o różne role użytkowników, które możesz wybrać za pomocą listy rozwijanej.

Polityka WP 2FA

Oto niektóre nowe ustawienia, które można uzyskać, a które nie były częścią kreatora konfiguracji:

  • Linki uwierzytelniające e-mail — wybierz, jak długo są ważne i z jakich e-maili mogą korzystać użytkownicy.
  • Zapamiętaj to urządzenie — wybierz, czy chcesz, aby inni mogli zapamiętywać urządzenia. Jeśli ta opcja jest włączona, po pierwszym zalogowaniu nie będą musieli używać dwuskładnikowego trybu dla tego urządzenia. Możesz także wybrać, jak długo urządzenie ma być pamiętane, zanim użytkownicy będą musieli ponownie się uwierzytelnić.
  • Przekieruj po konfiguracji – możesz przekierować użytkowników na określony adres URL po skonfigurowaniu dwuskładnikowego.
  • Strony frontendowe 2FA – jeśli nie chcesz, aby ludzie korzystali z panelu backendowego, możesz także skonfigurować dla nich stronę frontendową do zarządzania ustawieniami dwuskładnikowymi.
Zaufane urządzenia WP 2FA

Ponownie możesz ustawić jedno ustawienie domyślne dla całej witryny, ale następnie dostosować te ustawienia dla różnych ról użytkowników.

4. Przeglądaj wszystkie ustawienia WP 2FA

Jeśli chcesz dalej skonfigurować wtyczkę, WP 2FA oferuje również dedykowany obszar ustawień. Nie musisz tu niczego zmieniać, ale oferuje kilka przydatnych opcji:

  • E-maile i szablony – dostosuj dwuskładnikowe e-maile wysyłane przez wtyczkę.
  • Białe etykiety – możesz oznaczyć wszystkie interfejsy wtyczki białą etykietą, tak aby pasowały do ​​Twojego. Możesz dostosować logo, kolory i tekst wszystkiego.
  • Integracje – możesz skonfigurować integracje z innymi usługami, m.in. Authy ( powiadomienia push dla dwuskładnikowej ), Twilio ( wiadomości tekstowe dla dwuskładnikowej ) oraz WooCommerce.
Obszar ustawień WP 2FA

Na przykład podczas dostosowywania wiadomości e-mail otrzymujesz edytor tekstu i kilka tagów scalających, które umożliwiają wstawianie dynamicznych informacji:

Dostosowywanie e-maili

W przypadku białych etykiet możesz użyć menu rozwijanego, aby dostosować różne obszary wtyczki:

Jak oznaczyć białą etykietą WP 2FA

I to w zasadzie tyle, jeśli chodzi o konfigurację wtyczki!

Jak inni użytkownicy Twojej witryny skonfigurują uwierzytelnianie dwuskładnikowe

Pokazałem już, jak skonfigurować uwierzytelnianie dwuskładnikowe WordPress dla własnego konta, ale co z innymi użytkownikami?

Sposób, w jaki inni użytkownicy skonfigurują tryb dwuczynnikowy, będzie zależał od dwóch zmiennych:

  1. Okres karencji – jeśli wymagasz od użytkowników natychmiastowej konfiguracji dwuskładnikowej, zostaniesz o to poproszony zaraz po pierwszym zalogowaniu. Jeśli dasz im kilkudniowy okres karencji, będą mogli poczekać.
  2. Interfejs frontendowy – interfejs backendowy działa podobnie do tego, co pokazałem powyżej. Ale jeśli włączysz interfejs frontendowy, będzie on wyglądał nieco inaczej.

Oto kilka przykładów…

Jeśli nie zaoferujesz żadnego okresu karencji, użytkownicy zostaną automatycznie przekierowani na stronę swojego profilu z otwartym wyskakującym okienkiem ustawień dwuskładnikowych ( podobnie jak interfejs, którego użyłeś do skonfigurowania go dla własnego konta ).

2FA po zalogowaniu

Użytkownicy nie będą mogli uzyskać dostępu do żadnej części pulpitu nawigacyjnego, dopóki nie zakończą konfiguracji.

Jeśli włączysz stronę ustawień dwuskładnikowych frontendu, możesz dodać ją w dowolnym miejscu w swojej witrynie, używając krótkiego kodu [wp-2fa-setup-form].

Frontend 2FA

Kliknięcie tego przycisku spowoduje otwarcie tego samego monitu konfiguracyjnego, co poprzednio – jedyną różnicą jest to, że wszystko dzieje się w interfejsie Twojej witryny:

Nakładka na WP 2FA

Ponownie możesz oznaczyć cały ten tekst białą etykietą, aby lepiej zintegrować go ze swoją witryną.

Na przykład tutaj możesz zobaczyć, że dostosowałem tekst wyskakującego okienka dla WPKube:

Przegląd białego oznakowania WP 2FA

Gdy użytkownicy skonfigurują metodę dwuskładnikową, zobaczą dodatkowe opcje zmiany ustawień lub wygenerowania kodów zapasowych:

Zarządzanie frontendem

Raporty uwierzytelniania dwuskładnikowego WordPress

Aby pomóc Ci zobaczyć, co dzieje się w Twojej witrynie, wtyczka zawiera również narzędzie do raportowania, które pozwala szybko ocenić dwuczynnikowe wykorzystanie.

Dostęp do niego uzyskasz przechodząc do WP 2FA → Raporty .

Analityka 2FA

Ceny WP 2FA

WP 2FA jest dostępny zarówno w wersji bezpłatnej na WordPress.org, jak i wersji premium z większą funkcjonalnością.

Ogólnie rzecz biorąc, darmowa wersja powinna być w porządku, jeśli chcesz tylko chronić swoje własne konto administratora WordPress. Obsługuje już uwierzytelnianie dwuskładnikowe za pośrednictwem aplikacji na smartfony, poczty e-mail i kodów zapasowych.

Jeśli jednak masz innych użytkowników w swojej witrynie i chcesz skonfigurować dla nich zasady uwierzytelniania dwuskładnikowego, polecam uaktualnienie do wersji premium.

Oprócz zapewnienia większej kontroli nad dwuskładnikowymi zasadami i zachowaniem, wersja premium dodaje także dodatkowe metody, takie jak powiadomienia wypychane Authy i wiadomości SMS za pośrednictwem Twilio.

Oto niektóre z najważniejszych funkcji wersji premium:

  • Więcej metod 2FA, w tym SMS, powiadomienia push i logowanie jednym kliknięciem.
  • Możliwość dodania zaufanych urządzeń („Zapamiętaj to urządzenie”).
  • Obsługa białej etykiety w celu dostosowania interfejsu.
  • Dostosuj zasady 2FA do różnych typów użytkowników.

Na cenę wpływają dwie główne zmienne:

  • Liczba użytkowników – zamiast naliczać opłaty na podstawie liczby posiadanych witryn internetowych, WP 2FA nalicza opłaty na podstawie liczby kont użytkowników, które aktywują uwierzytelnianie dwuskładnikowe. Wszystkie plany obsługują nieograniczoną liczbę witryn, a użytkownicy mogą być rozproszeni w dowolnej liczbie witryn.
  • Funkcje – istnieją pewne różnice w funkcjach pomiędzy różnymi poziomami.

Plan Enterprise oferuje również priorytetowe wsparcie.

Oto zrzut ekranu z cenami ilustrujący różnicę:

  • Wysoka cena na górze dotyczy maksymalnie pięciu kont użytkowników .
  • Ceną w menu rozwijanym jest rozszerzenie wykorzystania do maksymalnie 25 kont użytkowników .
Przegląd cen WP 2FA

Powtórzę – limity użytkowników dotyczą tylko kont użytkowników, które mają włączoną opcję uwierzytelniania dwuskładnikowego. Jeśli masz 250 użytkowników, ale tylko 10 z nich ma uwierzytelnianie dwuskładnikowe, na potrzeby rozliczeń liczy się to tylko jako 10 użytkowników.

Jeśli chcesz wypróbować funkcje premium, wtyczka ma tutaj dwie odpowiednie zasady:

  1. Możesz uzyskać 14-dniowy bezpłatny okres próbny funkcji premium, aby przetestować różne rozwiązania.
  2. Istnieje 30-dniowa gwarancja zwrotu pieniędzy, jeśli napotkasz jakiekolwiek problemy po okresie próbnym.

Możesz także zaoszczędzić 20% na dowolnym planie licencyjnym, korzystając z naszego ekskluzywnego kodu kuponu WP 2FA.

Kup WP 2FA

Recenzja WP 2FA: Plusy i minusy korzystania z tej wtyczki

Aby podsumować to, co omówiliśmy w naszej recenzji WP 2FA, przejrzyjmy niektóre zalety i wady korzystania z tej wtyczki.

Zalety WP 2FA

  • Obsługa najpopularniejszych metod – WP 2FA obsługuje większość popularnych metod używanych przez ludzi, w tym aplikacje uwierzytelniające TOTP/HOTP, pocztę e-mail, wiadomości tekstowe, powiadomienia push i kody zapasowe.
  • Wysoce konfigurowalne zasady dwuskładnikowe – zyskujesz dużą elastyczność w kontrolowaniu wymagań dwuskładnikowych w swojej witrynie. Na przykład ustawienie różnych reguł dla różnych ról WordPressa i zapewnienie ludziom okresu karencji na skonfigurowanie uwierzytelniania dwuskładnikowego.
  • Pełne białe etykiety — możesz oznaczyć białą etykietą każdą część interfejsu, w tym tekst, wiadomości e-mail, kolory, logo i inne.
  • Panele frontendowe – możesz pozwolić użytkownikom zarządzać metodami dwuskładnikowymi z frontendu Twojej witryny (oprócz dashboardu WordPress).
  • Dopracowane projekty – WP 2FA ma bardzo dopracowane, profesjonalne projekty, co nie zawsze ma miejsce w przypadku innych wtyczek do uwierzytelniania dwuskładnikowego WordPress.
  • Integracje – WP 2FA integruje się z WooCommerce i wieloma wtyczkami członkowskimi.

WP 2FA Wady

  • Brak obsługi FIDO U2F – WP 2FA nie obsługuje obecnie FIDO U2F jako opcji dwuskładnikowej, co oznacza, że ​​nie można używać fizycznych metod sprzętowych, takich jak Yubikey lub Google Titan.
  • Model cenowy na użytkownika może być kosztowny dla wielu użytkowników – jeśli masz więcej niż 100 użytkowników, model rozliczeniowy WP 2FA oparty na liczbie użytkowników z aktywnym 2FA może sprawić, że będzie on droższy niż inne rozwiązania. Jednak zaletą jest to, że WP 2FA może być tańszy niż inne rozwiązania, jeśli masz tylko niewielką liczbę użytkowników.

Często zadawane pytania dotyczące WP 2FA

Aby zakończyć naszą recenzję WP 2FA, przeanalizujmy kilka typowych pytań, które możesz mieć na temat wtyczki.

Czy WP 2FA jest darmowy?

WP 2FA oferuje bezpłatną wersję na WordPress.org, która powinna działać dobrze w przypadku podstawowego uwierzytelniania dwuskładnikowego.

Czy WP 2FA obsługuje aplikacje uwierzytelniające?

WP 2FA współpracuje z dowolną aplikacją uwierzytelniającą obsługującą protokoły TOTP/HOTP, w tym Google Authenticator, Authy, LastPass Authenticator, Microsoft Authenticator i tak dalej.

Czy WP 2FA obsługuje kody zapasowe?

WP 2FA umożliwia użytkownikom generowanie kodów zapasowych offline. Użytkownicy mogą kopiować, drukować lub przesyłać kody pocztą elektroniczną.

Czy WP 2FA obsługuje weryfikację e-mailową?

WP 2FA umożliwia użytkownikom otrzymanie jednorazowego kodu weryfikacyjnego za pośrednictwem poczty elektronicznej. Aby zapewnić niezawodność, należy skonfigurować usługę wysyłania SMTP WordPress, aby wiadomości e-mail trafiały do ​​skrzynek odbiorczych użytkowników.

Czy WP 2FA obsługuje weryfikację SMS-em?

Wersja premium WP 2FA obsługuje weryfikację SMS / SMS. Aby zasilać tę usługę, wykorzystuje ona integrację z Twilio.

Czy WP 2FA obsługuje FIDO U2F (Yubikey)?

WP 2FA nie obsługuje obecnie FIDO U2F. Jeśli chcesz używać fizycznych kluczy sprzętowych jako metod dwuskładnikowych, musisz wybrać inną wtyczkę dwuskładnikową.

Końcowe przemyślenia na temat naszej recenzji WP 2FA

Ogólnie rzecz biorąc, WP 2FA oferuje bardzo dopracowany sposób konfiguracji dwuskładnikowego uwierzytelniania WordPress i zabezpieczenia witryny WordPress.

Myślę, że jest kilka obszarów, w których wtyczka jest doskonała:

  • Doskonały interfejs z białymi etykietami – interfejs jest bardziej przyjazny dla użytkownika i lepiej zaprojektowany niż większość innych rozwiązań dwuskładnikowych, w tym umożliwiający ludziom zarządzanie dwuskładnikowe z poziomu frontendu. Możesz także oznaczyć go białą etykietą, aby pasowała do Twojej marki, aby stworzyć całkowicie niestandardowe doświadczenie.
  • Elastyczne polityki – daje dużą elastyczność w tworzeniu dwuczynnikowej polityki, która odpowiada potrzebom Twojej organizacji.
  • Obsługuje wiele metod – obsługuje szeroką gamę metod, w tym e-mail, SMS, aplikację uwierzytelniającą, powiadomienia push i jednorazowe kody zapasowe.

Obecnie nie obsługuje FIDO U2F, więc nie jest to najlepsza opcja, jeśli chcesz używać fizycznych kluczy sprzętowych, takich jak Yubikey. Ale poza tymi ograniczeniami uważam, że jest to doskonały sposób na skonfigurowanie uwierzytelniania dwuskładnikowego WordPress.

Zatem – jeśli chcesz korzystać z metod dwuskładnikowych, takich jak poczta e-mail, SMS-y i/lub aplikacje uwierzytelniające, zdecydowanie powinieneś rzucić okiem na tę metodę. Skorzystaj z naszego kodu kuponu WP 2FA, aby zaoszczędzić 20% na dowolnej licencji.

Zdobądź WP 2FA

Możesz także sparować WP 2FA z wtyczką WP Activity Log od tego samego programisty, aby jeszcze bardziej chronić swoją witrynę. Możesz dowiedzieć się więcej w naszej recenzji dziennika aktywności WP i zaoszczędzić dzięki naszemu kuponowi dziennika aktywności WP.