Uwierzytelnianie dwuskładnikowe: przewodnik dla użytkowników WordPress

Opublikowany: 2023-01-03

Prawdopodobnie spotkałeś się z dwuetapowym procesem uwierzytelniania logowania w bankowości internetowej i wszelkich witrynach wymagających najwyższego poziomu bezpieczeństwa dla swoich użytkowników. Ponieważ WordPress obsługuje uwierzytelnianie dwuskładnikowe (2FA), możesz mieć taki sam poziom bezpieczeństwa jak bank. Niezależnie od tego, czy jest to Twoja własna witryna WordPress, czy witryny, które tworzysz dla klientów, silne bezpieczeństwo ma fundamentalne znaczenie.

Uwierzytelnianie dwuskładnikowe dodaje niezwykle ważną warstwę ochrony, którą każdy właściciel witryny WordPress powinien poważnie rozważyć. Ponieważ 2FA uniemożliwia wiele typowych prób hakowania, hakerzy po prostu unikają witryn chronionych 2FA i nie zawracają sobie głowy próbami włamania się metodami, o których wiedzą, że nie zadziałają. Każda witryna WordPress może skorzystać z dodatkowej warstwy zabezpieczeń zapewnianej przez uwierzytelnianie dwuskładnikowe.

Dlaczego silne hasła to za mało

Cyberzagrożenia stanowią poważne zagrożenie dla Ciebie i Twoich klientów. Jeśli nieautoryzowany użytkownik uzyska dostęp do panelu administracyjnego Twojej witryny, wszystko może się wydarzyć. Możesz stracić wszystkie dane w jednej chwili. Możesz stracić kontrolę nad swoją witryną na jakiś czas. Przestępcy mogą zbierać dane osobowe użytkowników. Twoi użytkownicy nie będą zadowoleni, ale będziesz musiał poinformować ich, co się stało. Prawo wymaga ujawnienia naruszeń danych osobowych.

Wiele ataków może przeniknąć do Twojej witryny, odgadując hasła lub używając skradzionych. Jeśli Ty i wszyscy użytkownicy Twojej witryny macie włączone uwierzytelnianie dwuskładnikowe, żadna z tych brutalnych metod włamania się do witryny nie będzie działać.

Tak, zawsze ważne jest, aby wymagać silnych haseł na wszystkich kontach użytkowników, aby chronić swoją witrynę i jej użytkowników. Jednak silne hasło samo w sobie nie zapewnia wystarczającej ochrony. Atakujący mogą przeniknąć do Twojej witryny, odgadując nawet silne hasła lub używając skradzionych. To obecnie tak powszechna rzeczywistość, że tradycyjne logowania oparte na hasłach są niewystarczające jako pojedyncza warstwa bezpieczeństwa.

Silne hasła nie zapewniają wystarczająco silnej ochrony bez dodatkowych warstw zabezpieczeń. Korzystanie z uwierzytelniania dwuskładnikowego dla wszystkich kont użytkowników jest znacznie skuteczniejszym środkiem bezpieczeństwa, ponieważ dodaje dodatkową warstwę potrzebną do zabezpieczenia witryny i ochrony klientów. Nie oznacza to, że wymuszanie silnych haseł nie jest konieczne. Ty też powinieneś to zrobić — a następnie dodać 2FA!

Uwierzytelnianie dwuskładnikowe jest stosunkowo łatwe do skonfigurowania. Gdy to zrobisz, radykalnie zmniejszy to ryzyko, że złośliwi nieautoryzowani użytkownicy uzyskają dostęp administratora do Twojej witryny WordPress. Wygraj, wygraj!

Uwierzytelnianie dwuskładnikowe blokuje ataki Brute Force

Powstrzymywanie ataków polegających na logowaniu metodą brute force jest doskonałym przykładem ochrony, jaką uwierzytelnianie dwuskładnikowe zapewnia Twojej witrynie WordPress. Ataki siłowe są powszechnym zagrożeniem, ale uwierzytelnianie dwuskładnikowe je wyeliminuje. Podczas brutalnego ataku polegającego na logowaniu hakerzy szybko testują wiele popularnych i słownikowych haseł na kontach administratora i innych użytkowników. Czasami hakerzy testują duże listy skradzionych nazw użytkowników, adresów e-mail i kombinacji haseł na ekranie logowania.

Zautomatyzowane, skryptowe testowanie tysięcy nielegalnych logowań może spowolnić Twoją witrynę lub wyłączyć ją. Z tego powodu ataki polegające na logowaniu metodą brute-force często skutkują atakami typu „odmowa usługi”. Ale jeśli Ty i wszyscy użytkownicy Twojej witryny macie włączone uwierzytelnianie dwuskładnikowe, żadna z tych metod brutalnej siły w ogóle nie zadziała. Żaden haker nie będzie chciał na dużą skalę próbować logować się w Twojej witrynie metodą brute-force. Nie będzie dla nich szans na sukces.

Dodanie uwierzytelniania dwuskładnikowego do witryny WordPress

W tym przewodniku omówimy szczegóły 2FA. Dowiesz się, jak działa uwierzytelnianie użytkowników na platformie WordPress. Następnie wyjaśnimy, jak wdrożyć 2FA za pomocą wtyczek WordPress.

W tym przewodniku

    Czy WordPress ma uwierzytelnianie dwuskładnikowe?

    Rdzeń WordPress nie ma wbudowanego uwierzytelniania dwuskładnikowego. Musisz to dodać.

    Uwierzytelnianie dwuskładnikowe to dodatkowa warstwa bezpieczeństwa, którą dodajesz do swojej witryny za pomocą wtyczki WordPress, a czasem usługi zewnętrznej. Innymi słowy, opiera się na podstawowych funkcjach konta użytkownika domyślnej instalacji WordPress. 2FA sprawia, że ​​Twoja witryna WordPress wymaga nie tylko hasła, ale także dodatkowych informacji w celu weryfikacji tożsamości każdego z Twoich użytkowników za każdym razem, gdy próbują się zalogować.

    Weryfikacja 2FA pochodzi ze źródła, do którego ma dostęp autoryzowany użytkownik witryny, takiego jak:

    • Wiadomość tekstowa, połączenie lub powiadomienie przekazane na telefon
    • Link lub kod wysłany e-mailem
    • kody QR

    Uwierzytelnianie dwuskładnikowe jest bardzo bezpieczne. Złośliwi napastnicy i hakerzy nie będą mieli fizycznego dostępu do zewnętrznych kanałów i urządzeń użytkowników. Oznacza to, że nawet jeśli będą w stanie złamać hasło, nadal nie będą mogli uzyskać nieautoryzowanego dostępu do Twojej witryny bez drugiej warstwy uwierzytelniania. Aby włamać się za pomocą hasła użytkownika, musieliby również włamać się do poczty e-mail, komputera lub telefonu użytkownika. Może się to zdarzyć, ale jest niezwykle rzadkie w porównaniu ze skryptowymi atakami siłowymi, które codziennie sprawdzają miliony haseł.

    Czy potrzebuję 2FA dla mojej witryny WordPress?

    Uruchamianie uwierzytelniania dwuskładnikowego zablokuje wielu złym aktorom w świecie online nawet próby uzyskania nieautoryzowanego dostępu do Twojej witryny. Chociaż nie jest to bezwzględnie konieczne, kto nie potrzebuje tej ochrony i spokoju ducha?

    Nie pozwól, aby źli aktorzy zajmowali centralne miejsce w twoim świecie. 2FA zatrzymuje nieautoryzowane próby dostępu.

    Jeśli kiedykolwiek zhakowałeś swoją witrynę WordPress lub słyszałeś o kimś, kto to zrobił, wiesz, jak szybko może zostać zaśmiecona linkami spamowymi, przekierowaniami i złośliwym kodem, które mogą wyrządzić natychmiastową i nieodwracalną szkodę Twojej reputacji.

    Co gorsza, jeśli prowadzisz witrynę e-commerce za pomocą WooCommerce, haker może uzyskać dostęp do danych klientów, takich jak nazwiska, adresy, numery telefonów, adresy e-mail, a nawet numery kart kredytowych.

    Jeśli tak się stanie, będziesz miał trudności z wygrzebaniem się z bałaganu.

    WordPress 2FA to druga linia obrony, która powstrzymuje złych ludzi, zapewniając jednocześnie, że nawet jeśli hasło zostanie naruszone, konta pozostaną bezpieczne, o ile druga warstwa ochrony pozostanie niezniszczalną blokadą dla hakera.

    Jako właściciel witryny WordPress zrozum, że funkcja uwierzytelniania dwuskładnikowego obejmuje 100% zgody. Ponieważ nie jest to podstawowa funkcja, wystarczy ją zaimplementować w witrynie, jeśli zdecydujesz. Jest całkowicie darmowy i dodaje prawie niemożliwą do złamania warstwę ochrony, która złagodzi wiele obaw związanych z włamaniami i atakami.

    WSKAZÓWKA: Im łatwiejsze są wybory dotyczące zabezpieczeń, tym większe prawdopodobieństwo ich wdrożenia. NIE KOMPLIKUJ!

    Powiedziawszy to, 2FA to bezproblemowe podejście do bezpieczeństwa witryny WordPress, z którego każdy powinien korzystać, jeśli jeszcze go nie używa, lub nawet silniejszych, bezpiecznych metod logowania, które używają kluczy dostępu zamiast haseł.

    Korzyści z 2FA dla witryn WordPress z wieloma użytkownikami

    Na standardowych, niezmodyfikowanych stronach logowania WordPress Ty i Twoi użytkownicy po prostu wprowadzacie nazwę użytkownika i hasło, aby uzyskać dostęp do witryny. Po przesłaniu danych logowania, jeśli kombinacja nazwy użytkownika i hasła jest zgodna z tym, co znajduje się w bazie danych WordPress, użytkownik natychmiast uzyskuje dostęp do zaplecza WordPress i wszelkich uprawnień na podstawie zastosowanych reguł uprawnień.

    WordPress ma sześć predefiniowanych ról użytkowników:

    • Superadministrator
    • Administrator
    • Redaktor
    • Autor
    • Współpracownik
    • Abonent

    Domyślnie te role mogą wykonywać określone zestawy zadań w Twojej witrynie. Zadania, które może wykonywać rola, nazywane są „umiejętnościami”.

    Większość użytkowników Twojej standardowej witryny ma prawdopodobnie rolę subskrybenta, która ma najmniej możliwości. Możesz jednak mieć dodatkowych administratorów, redaktorów i autorów, którzy regularnie uzyskują dostęp do zaplecza Twojej witryny. Niektórzy użytkownicy mogą niedbale używać swoich haseł, mogą współdzielić konta, a niektórzy ze specjalnymi uprawnieniami mogą nadawać uprawnienia innym użytkownikom bez Twojej wiedzy. Możesz zapomnieć o usunięciu użytkowników lub obniżeniu ich uprawnień, gdy nie są już aktywni lub nie są potrzebni. Wszystkie te sytuacje są powszechne i stwarzają okazje dla atakujących.

    Jeśli haker odkryje tylko jedną nazwę użytkownika i hasło administratora, natychmiast uzyska dostęp do całej witryny z pełnymi uprawnieniami. To oczywiście złe, ale nie chcesz też, aby Twoi subskrybenci zostali zhakowani. Nawet w takim przypadku musiałbyś zgłosić naruszenie, a to szkodzi zaufaniu użytkowników do Ciebie i Twojej marki.

    Jak uwierzytelnianie dwuskładnikowe zabezpiecza logowanie użytkowników

    Uwierzytelnianie dwuskładnikowe powstrzymuje hakerów przed włamaniem się do kont użytkowników poprzez podwójną weryfikację tożsamości użytkownika za pomocą wiadomości e-mail, wiadomości tekstowej lub aplikacji uwierzytelniającej. W momencie logowania aktywowana jest druga metoda weryfikacji. W rezultacie użytkownik będzie musiał potwierdzić swoje logowanie za pośrednictwem jednego z tych dodatkowych kanałów.

    Mówiąc najprościej, gdy Ty lub inny użytkownik witryny wprowadzicie osobiste dane logowania na stronie logowania do swojej witryny (nazwę użytkownika i hasło), natychmiastowe powiadomienie zostanie wysłane na adres e-mail lub numer telefonu powiązany z użytkownikiem, który próbuje się zalogować. to powiadomienie o logowaniu będzie zawierało link, kod QR lub jednorazowy kod PIN umożliwiający kontynuowanie próby logowania.

    Aby użytkownicy mogli wejść na stronę, będą musieli postępować zgodnie z instrukcjami zawartymi w wiadomości e-mail lub SMS-ie. Mogą zostać poproszeni o kliknięcie w konkretny link dostępowy lub podanie kodu PIN.

    Chociaż ten dodatkowy krok spowalnia proces logowania, dodatkowe zabezpieczenia znacznie przewyższają ryzyko pozostawienia witryny otwartej na proste włamania do nazwy użytkownika i hasła, które codziennie wykonują cyberprzestępcy w całej sieci.

    Czy uwierzytelnianie dwuskładnikowe jest całkowicie bezpieczne?

    Żaden środek bezpieczeństwa nigdy nie jest w 100% niezawodny. W świecie hakowania, gdzie jest wola, hakerzy znajdą sposób. Jeśli wydarzy się najgorsze i okaże się, że Twoja witryna została zaatakowana przez hakerów, najlepiej jest uruchomić wtyczkę do tworzenia kopii zapasowych WordPress, która może natychmiast przywrócić witrynę do bezpiecznego czasu przed atakiem.

    Porównując 2FA ze standardowymi protokołami ochrony hasłem w WordPress, przekonasz się, że uwierzytelnianie dwuskładnikowe jest bezpieczniejsze. Proces ten wymaga od użytkowników (i Ciebie) potwierdzania każdej próby logowania ze źródła unikalnego dla każdego użytkownika. Zwykle jest to telefon lub prywatne konto e-mail. Oznacza to, że haker może uzyskać dostęp do wewnętrznego działania witryny WordPress chronionej przez 2FA tylko wtedy, gdy ma również dostęp do urządzeń użytkownika witryny i zewnętrznych danych logowania. Ponieważ jest to bardzo mało prawdopodobne, dodanie 2FA znacznie zmniejsza prawdopodobieństwo włamania na Twoją witrynę poprzez nielegalne logowanie.

    Czy jesteś gotowy, aby dowiedzieć się, jak dodać 2FA do WordPress, aby chronić swoją witrynę i jej użytkowników? Jeśli tak, czytaj dalej, aby dowiedzieć się, jak włączyć funkcję 2FA do swojej witryny i uruchomić ją.

    uwierzytelnianie dwuskładnikowe

    Jak włączyć uwierzytelnianie dwuskładnikowe w WordPress?

    W zależności od hosta witryny możesz włączyć ochronę 2FA w panelu cPanel lub portalu użytkownika hosta.

    Jeśli jednak Twój host nie zapewnia ochrony 2FA, możesz łatwo wdrożyć ją samodzielnie, korzystając z wtyczek WordPress.

    Wtyczki WordPress do uwierzytelniania dwuskładnikowego

    Poniżej wymieniono niektóre z najlepszych wtyczek 2FA WordPress, które natychmiast zabezpieczą Twoją witrynę przed skryptowymi atakami logowania.

    1. Uwierzytelnianie dwuskładnikowe bezpieczeństwa iThemes

    Naszym zdaniem najlepszym dostępnym kompleksowym pakietem zabezpieczeń witryn WordPress jest iThemes Security Pro z uwierzytelnianiem dwuskładnikowym. Nie tylko zabezpiecza Twoją witrynę za pomocą 2FA, ale zawiera dodatkowe funkcje bezpieczeństwa witryny:

    • Ochrona przed atakami Brute Force
    • Wykrywanie zmian plików
    • Wykrywanie błędów 404
    • Silne egzekwowanie hasła
    • Złe boty i blokowanie spamu
    • Tryb poza domem

    iThemes Security Pro usuwa zgadywanie z bezpieczeństwa WordPress. Nie musisz być specjalistą od bezpieczeństwa, aby korzystać z wtyczki zabezpieczającej, więc iThemes Security Pro ułatwia zabezpieczanie i ochronę witryny WordPress, nawet jeśli nie masz dużej wiedzy technicznej.

    Dodanie uwierzytelniania dwuskładnikowego za pomocą wtyczki bezpieczeństwa WordPress iThemes Security Pro jest łatwe nawet dla najbardziej początkującego użytkownika. Po zainstalowaniu i aktywacji użytkownicy witryny będą musieli wprowadzić hasło wraz z wrażliwym na czas kodem, który zostanie wysłany do urządzenia dodatkowego.

    Plusy, minusy i koszty
    • Zalety iThemes Security Pro: Otrzymujesz o wiele lepszą ochronę niż tylko uwierzytelnianie dwuskładnikowe. Co więcej, opcja 2FA jest solidna i łatwa w użyciu. Po aktywowaniu wtyczki będziesz mieć pewność, że Twoja witryna jest w pełni chroniona przed złośliwym logowaniem.
    • Wady iThemes Security Pro: Wtyczka kosztuje więcej niż inne płatne opcje 2FA, ale zyskujesz więcej za każdą złotówkę.
    • Koszt iThemes Security Pro: Jeśli potrzebujesz zabezpieczyć tylko jedną witrynę, koszt wtyczki wynosi 80 USD rocznie. W przypadku maksymalnie dziesięciu witryn będzie to kosztować 127 USD rocznie. W przypadku nieograniczonej liczby witryn możesz zastosować wtyczkę za 199 USD rocznie. To inwestycja, której warto dokonać, gdy rozważysz alternatywę.

    2. Uwierzytelnianie dwuskładnikowe Rublon

    Jeśli szukasz łatwej w użyciu wtyczki do uwierzytelniania dwuskładnikowego dla WordPress, spójrz na wtyczkę Rublon Two-Factor Authentication. Wtyczka Rublon 2FA szybko zabezpieczy Twoją witrynę przed wszelkimi nieautoryzowanymi logowaniami bez żadnych technicznych przeszkód po Twojej stronie.

    Po pobraniu i zainstalowaniu wtyczki Rublon przy następnej próbie zalogowania się do WordPress będziesz musiał kliknąć link weryfikacyjny, który zostanie wysłany na adres e-mail Twojego konta użytkownika WordPress. Następnie, po kliknięciu łącza w celu zweryfikowania tożsamości, zostaniesz zapytany, czy chcesz, aby witryna zapamiętała Twoje urządzenie do przyszłych logowań. Oznacza to, że nie będziesz musiał weryfikować swojej tożsamości przy każdym logowaniu, o ile korzystasz z tego samego urządzenia i przeglądarki za każdym razem, gdy uzyskujesz dostęp do witryny.

    Jeśli po weryfikacji korzystasz z innego urządzenia lub przeglądarki, po prostu powtórz proces i zapisz również to urządzenie — uważaj tylko, aby nigdy nie robić tego na urządzeniu, do którego mają dostęp inne osoby!

    Darmowa wersja wtyczki Rublon 2FA jest jedną z najlepszych opcji dla witryn WordPress, które mają tylko jednego użytkownika . Po aktualizacji do wersji płatnej ta wtyczka może być również używana do zabezpieczania stron internetowych dla wielu użytkowników.

    Plusy, minusy i koszty
    • Zalety uwierzytelniania dwuskładnikowego Rublon : Jest to w większości bezobsługowe dla administratorów witryny. Po zainstalowaniu i aktywacji wtyczki nie wymaga ona żadnego szkolenia ani konfiguracji. Działa od razu po wyjęciu z pudełka.
    • Wady uwierzytelniania dwuskładnikowego Rublon: nie obsługuje powiadomień push ani weryfikacji wiadomości tekstowych. Z tego powodu będziesz mieć tylko weryfikację e-mail dla 2FA.
    • Koszt uwierzytelniania dwuskładnikowego Rublon: Osobista wersja tej wtyczki na jedną stronę jest całkowicie bezpłatna. W związku z tym, jeśli prowadzisz witrynę dla wielu użytkowników lub masz wiele witryn, musisz uzyskać płatną wersję wtyczki. Aby to zrobić, skontaktuj się z ich zespołem sprzedaży w celu uzyskania wyceny.

    3. Uwierzytelnianie dwuskładnikowe Duo

    Duo Two-Factor Authentication to jedna z najbardziej zaawansowanych wtyczek 2FA WordPress, jakie możesz znaleźć. Dzięki niemu możesz skonfigurować uwierzytelnianie dwuskładnikowe w oparciu o role użytkowników w panelu WordPress.

    Na przykład możesz wymagać, aby redaktorzy i autorzy korzystali z procesu logowania 2FA, ale subskrybenci (którzy nie mogą w żaden sposób uzyskać dostępu do pulpitu administratora) muszą jedynie wprowadzić swoje nazwy użytkownika i hasła, aby wejść na stronę. Ta przydatna funkcja może sprawić, że zwykli użytkownicy nie będą sfrustrowani długotrwałym procesem uwierzytelniania dwuskładnikowego.

    Ta wtyczka zapewnia również kilka różnych opcji weryfikacji użytkownika, w tym:

    • Zautomatyzowana rozmowa telefoniczna
    • Wiadomość SMS z kodem PIN
    • Aplikacja mobilna

    Jest to bardziej elastyczne narzędzie 2FA niż wtyczka Rublon Two-Factor Authentication, która oferuje tylko pocztę e-mail do uwierzytelniania dwuskładnikowego WordPress.

    Plusy, minusy i koszty
    • Zalety uwierzytelniania dwuskładnikowego Duo: Ta wtyczka uwierzytelniania dwuskładnikowego WordPress obsługuje konfigurację ról użytkowników i obejmuje szeroką gamę metod weryfikacji użytkowników. Z tego powodu jest niezwykle wszechstronny dla witryn WordPress.
    • Wady uwierzytelniania dwuskładnikowego Duo: Niestety, ta wtyczka nie obsługuje WordPress Multisite. Z tego powodu dla niektórych użytkowników może to nie wchodzić w rachubę.
    • Koszt uwierzytelniania dwuskładnikowego Duo: Ta wtyczka jest idealnym darmowym rozwiązaniem, jeśli masz dziesięciu lub mniej użytkowników, którzy regularnie logują się do Twojej witryny. Jeśli jednak masz więcej niż dziesięć, możesz zwiększyć limit, płacąc 3 USD miesięcznie za każdego dodatkowego użytkownika.

    4. Google Authenticator – Uwierzytelnianie dwuskładnikowe Google dla WordPress

    Uwierzytelnianie dwuskładnikowe Google dla WordPress jest również opcją do rozważenia przy wdrażaniu 2FA w witrynie WordPress.

    Google Authenticator zapewnia szeroką gamę metod weryfikacji, które chronią Twoją witrynę przed złośliwym nieautoryzowanym logowaniem, w tym wiadomości e-mail, kody QR i powiadomienia push.

    Podobnie jak Duo Two-Factor Authenticator, będziesz mógł używać tej wtyczki do konfigurowania określonych reguł 2FA dla określonych ról użytkowników WordPress. Ta funkcja sprawia, że ​​uwierzytelnianie dwuskładnikowe Google jest potężną bronią dla WordPressa w walce z atakami hakerskimi.

    Możesz skonfigurować Google Authenticator tak, aby wymagał nazwy użytkownika, hasła i dodatkowego czynnika weryfikacyjnego. Lub możesz skonfigurować wtyczkę tak, aby wymagała tylko nazwy użytkownika i dodatkowego czynnika, bez hasła.

    Plusy, minusy i koszty
    • Zalety Google Authenticator: Ta wtyczka będzie obsługiwać określone role użytkowników w odniesieniu do 2FA i oferuje szeroką gamę metod weryfikacji użytkowników witryny, w tym SMS-y, kody QR, powiadomienia push i automatyczne połączenia telefoniczne.
    • Wady Google Authenticator: wersja oferowana przez Google za darmo ma stosunkowo ograniczone funkcje, z których będziesz mógł korzystać.
    • Koszt Google Authenticator: Darmowa wersja oferuje uwierzytelnianie dwuskładnikowe dla jednego użytkownika. Będziesz mógł uaktualnić dla wielu użytkowników już od 15 USD rocznie.

    Czy nadszedł czas na wdrożenie uwierzytelniania dwuskładnikowego w witrynie WordPress?

    Pamiętaj, że Twoja witryna WordPress jest tak bezpieczna, jak pozwala na to Twoja strona logowania. Najczęściej ograniczenie dostępu do samej nazwy użytkownika i hasła po prostu nie wystarcza.

    Wdrażając 2FA, będziesz w stanie chronić swoją witrynę, odwiedzających, użytkowników i klientów przed złośliwymi atakami siłowymi.

    WSKAZÓWKA: Zawsze lepiej być bezpiecznym niż żałować.

    Uzupełniając dobry system tworzenia kopii zapasowych o uwierzytelnianie dwuskładnikowe, podejmujesz podstawowe kroki w celu zabezpieczenia swojej witryny.