Uwierzytelnianie dwuskładnikowe (2FA) dla WordPress

Opublikowany: 2023-02-12

Bardzo ważne jest utworzenie silnego hasła, aby zabezpieczyć swoją witrynę WordPress. Jednak samo hasło nie zapewni odpowiedniej ochrony przed wieloma zagrożeniami, które stanowią poważne zagrożenie dla Twojej witryny, takimi jak ataki siłowe. Jeśli nieautoryzowani użytkownicy uzyskają dostęp do zaplecza, możesz utracić witrynę, a nawet narazić odwiedzających na niebezpieczeństwo. Z tego powodu masz plan instalacji i utrzymania zabezpieczeń WordPress.

Korzystając z uwierzytelniania dwuskładnikowego (2FA), możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny WordPress. Konfiguracja jest stosunkowo prosta, a ta funkcja znacznie zmniejsza ryzyko uzyskania dostępu do Twojej witryny przez nieupoważnionych użytkowników.

W tym poście przedstawimy 2FA i wyjaśnimy, jak można go używać w WordPress. Następnie pokażemy, jak zaimplementować tę funkcję za pomocą wtyczek. Zacznijmy!

Spis treści
1. Co to jest uwierzytelnianie dwuskładnikowe (2FA) dla WordPress?
2. Dlaczego potrzebuję uwierzytelniania dwuskładnikowego?
3. Jak działa 2FA dla WordPressa?
4. Jak bezpieczne jest 2FA?
5. Jak rozpocząć korzystanie z uwierzytelniania dwuskładnikowego?
6. Wtyczki WordPress 2FA
6.1. Uwierzytelnianie dwuskładnikowe Rublon
6.2. Uwierzytelnianie dwuskładnikowe Duo
6.3. Google Authenticator – uwierzytelnianie dwuskładnikowe

Co to jest uwierzytelnianie dwuskładnikowe (2FA) dla WordPress?

Uwierzytelnianie dwuetapowe (2FA) to warstwa bezpieczeństwa, która wymaga zarówno hasła, jak i dodatkowej weryfikacji tożsamości użytkownika. Ta weryfikacja pochodzi z czegoś, do czego dostęp ma tylko upoważniony użytkownik, na przykład wiadomości tekstowych i głosowych, linków e-mail, kodów QR lub powiadomień push. 2FA jest bezpieczne, ponieważ osoby atakujące nie mają dostępu do tych kanałów zewnętrznych.

Dlaczego potrzebuję uwierzytelniania dwuskładnikowego?

Uwierzytelnianie dwuskładnikowe (znane również jako uwierzytelnianie dwuetapowe) pomaga zapobiegać uzyskiwaniu dostępu do witryn przez osoby niepowołane i potencjalnie szkodzić firmie. To druga linia obrony, która pomaga powstrzymać złoczyńców i gwarantuje, że nawet jeśli Twoje hasło zostanie naruszone, Twoje konto pozostanie bezpieczne, o ile ten drugi czynnik pozostanie poza zasięgiem atakującego.

Uwierzytelnianie dwuskładnikowe WordPress jest funkcją opcjonalną, co oznacza, że ​​musisz z niej korzystać tylko wtedy, gdy chcesz. Ale to nic nie kosztuje i dodaje dodatkową warstwę ochrony, więc czemu nie?

Jak działa 2FA dla WordPressa?

Uwierzytelnianie dwuskładnikowe wordpress
Ten przykład od Google pokazuje, jak działa 2FA w Twojej witrynie.

Na typowej (tj. innej niż 2FA) stronie logowania WordPress użytkownik wprowadza nazwę użytkownika i hasło i automatycznie uzyskuje dostęp do zaplecza witryny. Oznacza to, że każdy, kto zna Twoją nazwę użytkownika i hasło, może łatwo uzyskać dostęp do wszystkich aspektów Twojej witryny.

Jak wspomniano powyżej, 2FA może pomóc temu zapobiec. Jak to działa w WordPressie? Po skonfigurowaniu 2FA (o tym, jak to zrobić za chwilę), po wprowadzeniu hasła i nazwy użytkownika na stronie logowania, na Twój telefon lub adres e-mail zostanie wysłane powiadomienie. To powiadomienie będzie zawierało jednorazowy kod PIN lub ewentualnie link lub kod QR.

Aby uzyskać dostęp do witryny, musisz następnie wykonać instrukcje zawarte w wiadomości tekstowej lub e-mailu — na przykład kliknąć łącze lub wprowadzić kod PIN na swojej stronie.

Jak bezpieczne jest 2FA?

W porównaniu ze standardową ochroną hasłem, 2FA jest znacznie bezpieczniejsze. W końcu wymaga to wykorzystania czegoś, co sam posiadasz (swój telefon, prywatne konto e-mail itp.), Aby uzyskać dostęp do swojej witryny. Oznacza to, że prawdopodobieństwo włamania do witryny jest zmniejszone, dzięki czemu 2FA jest najlepszym sposobem na lepsze zapobieganie różnym problemom z bezpieczeństwem (szczególnie atakom siłowym).

Teraz, gdy już rozumiesz zalety 2FA i jak to działa, omówmy, jak faktycznie możesz włączyć tę funkcję do swojej witryny WordPress.

Jak zacząć korzystać z uwierzytelniania dwuskładnikowego?

Jeśli jesteś klientem WP Engine, możesz włączyć 2FA w portalu użytkowników WP Engine. Jeśli Twoja witryna nie jest hostowana na WP Engine, nadal możesz wdrożyć metodę uwierzytelniania dwuskładnikowego (lub nawet metodę uwierzytelniania wieloskładnikowego), ale wymaga to pomocy wtyczek WordPress.

Wtyczki WordPress 2FA

Jako klient WP Engine możesz wdrożyć 2FA za pośrednictwem portalu użytkownika. Silnik inny niż WP
Użytkownicy mogą również wdrożyć 2FA, ale wymaga to pomocy wtyczek WordPress. Oto kilka opcji, które możesz wypróbować samodzielnie.

Uwierzytelnianie dwuskładnikowe Rublon

Wtyczki bezpieczeństwa wordpress

Uwierzytelnianie dwuskładnikowe Rublon to prosta wtyczka 2FA WordPress, umożliwiająca szybkie zabezpieczenie witryny przed nieautoryzowanym logowaniem. Podczas pierwszego logowania do konta WordPress z zainstalowaną wtyczką zabezpieczającą będziesz musiał kliknąć link weryfikacyjny wysłany na Twój adres e-mail. Następnie możesz wybrać zapisanie urządzenia, co oznacza, że ​​nie będziesz już musiał weryfikować swojej tożsamości podczas korzystania z tej samej przeglądarki.

Jest to doskonała opcja dla witryn z tylko jednym użytkownikiem, chociaż można ją również zastosować do witryn z wieloma użytkownikami (jeśli dokonasz aktualizacji do wersji płatnej).

Zalety : Ta wtyczka umożliwia instalację i aktywację jednym kliknięciem i nie wymaga konfiguracji ani szkolenia.

Wady : obsługuje tylko weryfikację poczty e-mail, która może być mniej bezpieczna niż wiadomości tekstowe lub powiadomienia push.

Koszt : Wtyczka osobista (jedna witryna) jest bezpłatna, ale wersję biznesową (wiele witryn) można kupić, kontaktując się z zespołem sprzedaży.

Uwierzytelnianie dwuskładnikowe Duo

Wtyczki do uwierzytelniania dwuskładnikowego dla wordpress

Jako jedna z bardziej zaawansowanych wtyczek 2FA, Duo Two-Factor Authentication umożliwia skonfigurowanie 2FA w oparciu o role użytkowników WordPress. Na przykład możesz wymagać, aby autorzy i redaktorzy używali 2FA do logowania, podczas gdy subskrybenci musieli tylko wprowadzić swoje hasło.

Uwierzytelnianie dwuskładnikowe Duo zapewnia również różne opcje weryfikacji, w tym za pomocą wiadomości SMS, aplikacji mobilnej lub połączenia telefonicznego.

Zalety : Ta wtyczka obsługuje konfigurację roli użytkownika i obejmuje różne metody weryfikacji.

Wady : Nie ma wsparcia dla WordPress Multisite.

Cena : bezpłatna wtyczka umożliwia 2FA dla maksymalnie 10 użytkowników w Twojej witrynie, ale możesz zwiększyć ten limit, zaczynając od 3 USD na użytkownika miesięcznie.

Google Authenticator – uwierzytelnianie dwuskładnikowe

wtyczki weryfikacji dwuetapowej

Wreszcie, Google Authenticator oferuje różne metody weryfikacji, aby chronić Twoją witrynę przed nieautoryzowanym dostępem – w tym kody QR, wiadomości e-mail i powiadomienia push. Podobnie jak w przypadku Duo Two-Factor Authenticator, możesz użyć tej wtyczki do ustawienia 2FA dla określonych ról użytkowników.

Google Authenticator można skonfigurować tak, aby wymagał nazwy użytkownika, silnego hasła i czynnika lub tylko nazwy użytkownika i czynnika.

Zalety : ta wtyczka obsługuje 2FA o określonej roli i oferuje szeroki wachlarz metod weryfikacji (w tym QR, SMS, połączenia telefoniczne i powiadomienia push).

Wady : Darmowa wersja jest dość ograniczona pod względem funkcji.

Koszt : bezpłatna wtyczka oferuje 2FA tylko dla jednego użytkownika, ale możesz dokonać aktualizacji już od 15 USD rocznie.

Należy pamiętać, że witryna WordPress jest tak bezpieczna, jak strona logowania administratora, a samo hasło nie wystarczy. Wdrożenie uwierzytelniania dwuskładnikowego może pomóc zapewnić bezpieczeństwo odwiedzającym witrynę. Jeśli jesteś gotowy, aby przełączyć się na hosta, który zapewnia spokój ducha, możesz sprawdzić plany hostingowe WordPress zarządzane przez WP Engine!