Zwiększ bezpieczeństwo swojej witryny dzięki uwierzytelnianiu wieloskładnikowemu

Opublikowany: 2022-03-11

Być może jesteś zmęczony zapamiętywaniem tak wielu różnych haseł i zakładasz, że Twoja firma hostingowa dba o bezpieczeństwo Twojej witryny. Ale zapewniam Cię: jeśli zabezpieczysz i zadbasz o bezpieczeństwo swojej strony internetowej, uchronisz się przed dużymi nieprzyjemnościami i niepożądanymi konsekwencjami. Pamiętaj, że naruszenie bezpieczeństwa w Twojej witrynie nie tylko wpływa na Ciebie i Twoją firmę, ale może również wpłynąć na Twoich klientów, a nawet możesz skończyć z problemami prawnymi z powodu niepodjęcia odpowiednich środków bezpieczeństwa.

Aby pomóc ci spać trochę łatwiej (jeśli jest to możliwe w dzisiejszych czasach), wyjaśnię, jak możesz zwiększyć bezpieczeństwo swojej witryny WordPress za pomocą uwierzytelniania wieloskładnikowego.

Spis treści

Co to jest uwierzytelnianie wieloskładnikowe (MFA)
Dlaczego powinienem dodać MFA do mojej witryny WordPress?
Jak wdrożyć weryfikację dwuetapową
- Google Authenticator
- Zainstaluj i aktywuj wtyczkę do 2FA
- Skonfiguruj wtyczkę
- Dodaj skonfigurowane konto do aplikacji mobilnej
Wniosek

Co to jest uwierzytelnianie wieloskładnikowe (MFA)

Nie tylko widziałeś Multi-Factor Authentication (MFA) w wielu filmach, ale już używasz go między innymi do potwierdzania płatności online za pomocą karty kredytowej lub logując się do poczty e-mail. Jest to metoda komputerowej kontroli dostępu, w której dana osoba uzyskuje dostęp dopiero po przedstawieniu więcej niż jednego dowodu tożsamości. Te dowody lub czynniki uwierzytelniające mogą być różne:

Niektóre przedmioty fizyczne, które dana osoba posiada, takie jak pamięć USB z unikalnym identyfikatorem, karta kredytowa, klucz itp.
Jakiś sekret, który dana osoba zna, np. hasło, kod PIN itp.
Niektóre cechy biometryczne osoby, takie jak odcisk palca, tęczówka, głos, szybkość pisania, odstępy między naciśnięciami klawiszy itp.

Przypadek łączenia tylko dwóch czynników jest również znany jako „weryfikacja dwuetapowa” lub „uwierzytelnianie dwuskładnikowe” lub „2FA”. Pomysł polega na tym, że uwierzytelnianie wieloskładnikowe zawsze będzie bezpieczniejsze niż tylko nazwa użytkownika i hasło.

Dlaczego powinienem dodać MFA do mojej witryny WordPress?

Jedną z metod łamania haseł jest wciąż atak brute-force. Atak ten polega, jak sama nazwa wskazuje, na brute testowaniu możliwych kombinacji użytkowników i haseł. Tego typu ataki są przeprowadzane przez botnety przy użyciu coraz bardziej wyrafinowanych algorytmów i narzędzi.

Wiele firm hostingowych posiada już zapory sieciowe i inne narzędzia zapobiegające takim atakom. Mimo to istnieją również inne zalecenia, które mogą pomóc złagodzić naruszenie bezpieczeństwa, takie jak zmuszanie użytkowników do dodawania silnych haseł lub zmuszanie ich do zmiany ich co 3 miesiące.

Gif, w którym aktor Ken Jeong komentuje, że nie pamięta swojego nowego hasła.

Jednak dodanie do witryny uwierzytelniania wieloskładnikowego sprawia, że jest ona w 100% zabezpieczona przed atakami typu brute force. Tym dodatkowym czynnikiem i etapem identyfikacji osoby jest szach-mat dla tego typu bota.

Jak wdrożyć weryfikację dwuetapową

Dodanie weryfikacji dwuetapowej oznacza, że będziemy musieli dodać dodatkowy krok weryfikacji do zwykłego uwierzytelniania użytkownika i hasła. Najprościej jest aby każdy użytkownik miał na swoim telefonie zainstalowaną aplikację uwierzytelniającą, która wyświetla tymczasowy kod ważny tylko przez kilka sekund i to ten należy dodać jako formę weryfikacji (oprócz hasła ).

Najbardziej znane aplikacje mobilne to m.in. Google Authenticator, Authy, HENNGE OTP, FreeOTP czy SoundLogin (w przypadku uwierzytelniania dźwiękowego). Wszystkie dostępne jako aplikacje na Androida i iOS.

Zobaczmy poniżej, jak możemy wdrożyć weryfikację dwuetapową za pomocą Google Authenticator. Zauważ, że proces byłby bardzo podobny w przypadku każdej z wyżej wymienionych aplikacji.

Google Authenticator

Google Authenticator to prosta aplikacja dostępna na Androida i iOS, wyświetlająca po prostu 6-cyfrowy kod numeryczny, który zmienia się co 30 sekund. To jest ten, którego powinieneś używać po zalogowaniu się do WordPressa lub innej usługi, w której z niej korzystasz, takiej jak usługa pocztowa, hosting, chmura, sieci społecznościowe itp. Dla każdego konta zobaczysz kod i czas pozostały do jego odświeżenia.

Wszystkie osoby, które będą uzyskiwać dostęp do Twojego WordPressa za pomocą 2FA, muszą pobrać aplikację Google Authenticator na swój telefon komórkowy, aby zweryfikować swoją tożsamość w tym systemie.

Zainstaluj i aktywuj wtyczkę do 2FA

Dostępnych jest kilka wtyczek, które umożliwiają dwuetapowe uwierzytelnianie użytkowników, takie jak Google Authenticator, Wordfence Login Security, miniOrange Google Authenticator lub Two Factor Authentication. Zobaczmy, jakie kroki należy wykonać z wtyczką Google Authenticator.

Przede wszystkim z pulpitu WordPress, kliknij „Dodaj nową” wtyczkę:

Widok działań związanych z dodaniem nowej wtyczki w WordPress — Dodaj nową wtyczkę w WordPress

Znajdź wtyczkę, którą chcesz zainstalować, czyli w naszym przypadku „Google Authenticator” i kliknij „Zainstaluj” i „Aktywuj:”

Znajdź wtyczkę Google Authenticator — Wyszukaj wtyczkę Google Authenticator.

Skonfiguruj wtyczkę

Po aktywacji wtyczki będziesz mieć nową opcję ustawień Google Authenticator.

Wtyczka Google Authenticator zainstalowana w WordPress.

W oknie konfiguracji Google Authenticator masz możliwość wskazania, czy chcesz, aby użytkownicy sami decydowali, czy używać podwójnego uwierzytelniania i które role mają mieć włączone podwójne uwierzytelnianie.

Konfigurowanie wtyczki Google Authenticator.

Następnie w profilu każdego użytkownika, który ma jedną z ról oznaczonych podwójnym uwierzytelnieniem, znajdziesz opcje konfiguracji Google Authenticator.

Dodawanie 2FA za pomocą Google Authenticator — Dodawanie 2FA z Google Authenticator.

Możesz wskazać, czy użytkownik musi mieć włączoną funkcję 2FA, czy potrzebuje dodatkowego czasu na zalogowanie się, nazwę konta wyświetlaną w aplikacji zainstalowanej na telefonie, tajny kod, pokazać kod QR oraz czy zezwolić na dodanie hasło w aplikacji.

Dodaj skonfigurowane konto do aplikacji mobilnej

Teraz, gdy po raz pierwszy zaloguje się osoba, której polecono zalogować się za pomocą funkcji 2FA, pojawi się następujące okno z prośbą o zeskanowanie kodu QR na telefonie komórkowym i potwierdzenie wygenerowanego kodu, który widzi w aplikacji.

Początkowy ekran WordPress z Google Authenticator — Początkowy ekran WordPress po zalogowaniu i aktywacji Google Authenticator.

W aplikacji Google Authenticator na telefonie komórkowym użytkownik musi kliknąć przycisk „+” w prawym dolnym rogu ekranu aplikacji, aby dodać nowe konto, wybrać skanowanie kodu, a po zeskanowaniu kodu wyświetlanego przez witrynę WordPress , konfiguracja będzie gotowa.

Teraz wystarczy wpisać kod, który pojawi się w aplikacji na ekranie początkowym i konfiguracja jest zakończona.

Następnym razem, gdy użytkownik będzie chciał uzyskać dostęp do witryny, będzie musiał to zrobić w dwóch krokach: najpierw wpisz swoją nazwę użytkownika i hasło, a następnie swój kod Google Authenticator.

Pierwszy krok dostępu do strony WordPress — Pierwszy krok dostępu do serwisu WordPress.

Drugi krok dostępu do strony WordPress — Pierwszy krok dostępu do serwisu WordPress.

I to wszystko! Dzięki temu podwójnie zapewnisz bezpieczeństwo swojej witryny.

Wniosek

Utrzymanie bezpieczeństwa w Twojej witrynie wymaga przestrzegania zestawu najlepszych praktyk, aby zminimalizować ryzyko stania się ofiarą ataków. Chociaż zabezpieczenie się w 100% jest niemożliwe, już wiesz, że zainstalowanie podwójnej bariery bezpieczeństwa na Twojej stronie internetowej jest proste i bezpłatne , więc nie czekaj, aż będziesz mieć problem, gdy wiesz, że lepiej zapobiegać niż leczyć!

Polecane zdjęcie FLY:D na Unsplash.