Faceți site-ul dvs. mai sigur cu autentificarea cu mai mulți factori

Publicat: 2022-03-11

Poate te-ai săturat să memorezi atât de multe parole diferite și presupui că compania ta de găzduire are grijă de securitatea site-ului tău. Dar te asigur: daca protejezi si ai grija de securitatea site-ului tau, te vei salva de neplacute majore si de consecinte nedorite. Rețineți că o încălcare a securității pe site-ul dvs. nu vă afectează doar pe dvs. și afacerea dvs., ci vă poate afecta și clienții și chiar puteți ajunge cu probleme legale pentru că nu ați luat măsurile de securitate adecvate.

Pentru a vă ajuta să dormiți puțin mai ușor (dacă acest lucru este posibil în zilele noastre), vă voi explica cum puteți face site-ul dvs. WordPress mai sigur cu autentificarea cu mai mulți factori.

Cuprins

Ce este autentificarea cu mai mulți factori (MFA)
De ce ar trebui să adaug MFA pe site-ul meu WordPress
Cum să implementați verificarea în doi pași
- Google Authenticator
- Instalați și activați un plugin pentru 2FA
- Configurați pluginul
- Adăugați contul configurat la aplicația mobilă
Concluzie

Ce este autentificarea cu mai mulți factori (MFA)

Nu numai că ați văzut Multi-Factor Authentication (MFA) în multe filme, dar o utilizați deja pentru a confirma plățile online cu cardul dvs. de credit sau conectându-vă la e-mail, printre altele. Este o metodă de control al accesului la computer în care unei persoane i se acordă acces numai după ce prezintă mai multe dovezi diferite de identitate. Aceste dovezi sau factori de autentificare pot fi diverși:

Un obiect fizic pe care persoana îl deține, cum ar fi un stick USB cu un identificator unic, un card de credit, o cheie etc.
Unele secrete pe care persoana le cunoaște, cum ar fi o parolă, un pin etc.
Unele caracteristici biometrice ale persoanei, cum ar fi amprenta digitală, irisul, vocea, viteza de tastare, modelul de interval de apăsare a tastei etc.

Cazul combinării numai a doi factori este cunoscut și sub denumirea de „verificare în doi pași” sau „autentificare în doi factori” sau „2FA”. Și ideea este că autentificarea cu mai mulți factori va fi întotdeauna mai sigură decât doar un nume de utilizator și o parolă.

De ce ar trebui să adaug MFA pe site-ul meu WordPress

Una dintre metodele de spargere a parolelor este încă un atac cu forță brută. Acest atac constă, după cum sugerează și numele, în testarea brută a posibilelor combinații de utilizatori și parole. Aceste tipuri de atacuri sunt efectuate de botnet-uri folosind algoritmi și instrumente din ce în ce mai sofisticate.

Multe companii de hosting includ deja firewall-uri și alte instrumente pentru a preveni astfel de atacuri. Chiar și așa, există și alte recomandări care pot ajuta la atenuarea unei breșe de securitate, cum ar fi forțarea utilizatorilor să adauge parole puternice sau forțarea acestora să le schimbe la fiecare 3 luni.

Gif în care actorul Ken Jeong comentează că nu-și amintește noua sa parolă.

Dar adăugarea de autentificare cu mai mulți factori la site-ul dvs. îl face 100% sigur împotriva atacurilor cu forță brută. Acest factor suplimentar și pasul de identificare a persoanei este șahmat pentru acest tip de bot.

Cum să implementați verificarea în doi pași

Adăugarea unei verificări în doi pași înseamnă că va trebui să adăugăm un pas suplimentar de verificare la autentificarea obișnuită a utilizatorului și a parolei. Cea mai simplă modalitate este ca fiecare utilizator să aibă instalată pe telefon o aplicație de autentificare care afișează un cod temporar care este valabil doar câteva secunde și pe care acesta este cel pe care trebuie să îl adauge ca formă de verificare (pe lângă parolă). ).

Cele mai cunoscute aplicații mobile sunt Google Authenticator, Authy, HENNGE OTP, FreeOTP sau SoundLogin (în cazul autentificării sunetului), printre altele. Toate sunt disponibile ca aplicații Android și iOS.

Să vedem mai jos cum putem implementa verificarea în doi pași cu Google Authenticator. Rețineți că procesul ar fi foarte similar cu oricare dintre aplicațiile menționate mai sus.

Google Authenticator

Google Authenticator este o aplicație simplă disponibilă pe Android și iOS și pur și simplu afișează un cod numeric din 6 cifre care se schimbă la fiecare 30 de secunde. Acesta este cel pe care ar trebui să-l utilizați după ce v-ați conectat la WordPress sau la orice alt serviciu în care îl utilizați, cum ar fi serviciul de e-mail, găzduire, cloud, rețele sociale etc. Pentru fiecare cont, veți vedea un codul și timpul rămas până la reîmprospătare.

Toate persoanele care vor accesa WordPress-ul folosind 2FA trebuie să descarce aplicația Google Authenticator de pe mobil pentru a-și verifica identitatea cu acest sistem.

Instalați și activați un plugin pentru 2FA

Există mai multe pluginuri disponibile care vă permit să efectuați autentificarea utilizatorului în doi pași, cum ar fi Google Authenticator, Wordfence Login Security, Google Authenticator de la miniOrange sau Two Factor Authentication. Să vedem pașii de urmat cu pluginul Google Authenticator.

În primul rând, din tabloul de bord WordPress, faceți clic pe pluginul „Adăugați nou”:

Vedere a acțiunilor pentru adăugarea unui nou plugin în WordPress — Adăugați un plugin nou în WordPress

Găsiți pluginul pe care doriți să îl instalați, care în cazul nostru este „Google Authenticator” și faceți clic pe „Instalare” și „Activare:”

Găsiți pluginul Google Authenticator — Căutați pluginul Google Authenticator.

Configurați pluginul

După activarea pluginului, veți avea noua opțiune de setări Google Authenticator.

Plugin de autentificare Google instalat în WordPress — Pluginul Google Authenticator instalat în WordPress.

În fereastra de configurare Google Authenticator aveți opțiunea de a indica dacă doriți ca utilizatorii înșiși să decidă dacă vor folosi sau nu autentificarea dublă și ce roluri doriți să aibă activată autentificarea dublă.

Configurarea pluginului de autentificare Google.

În continuare, în profilul fiecărui utilizator care are unul dintre rolurile marcate cu dublă autentificare, veți găsi opțiunile de configurare Google Authenticator.

Puteți indica dacă utilizatorul trebuie să aibă activat 2FA, dacă utilizatorul are nevoie de timp suplimentar pentru a se autentifica, numele contului afișat în aplicația instalată pe telefon, un cod secret, afișa codul QR și dacă permiteți adăugarea unui parola în aplicație.

Adăugați contul configurat la aplicația mobilă

Acum, prima dată când cineva care a fost instruit să se conecteze cu 2FA se conectează, va apărea următoarea fereastră care îi va cere să-și scaneze codul QR pe mobil și să confirme codul generat pe care îl vede în aplicație.

Ecranul inițial WordPress cu Google Authenticator — Ecran WordPress inițial după conectare și după activarea Google Authenticator.

În aplicația Google Authenticator de pe mobil, utilizatorul trebuie să facă clic pe butonul „+” din colțul din dreapta jos al ecranului aplicației pentru a adăuga un cont nou, să selecteze să scaneze un cod și, după scanarea codului afișat de site-ul dvs. WordPress , configurarea lor va fi gata.

Scanați codul QR în Google Authenticator

Acum tot ce trebuie să facă utilizatorul este să introducă codul care apare în aplicație pe ecranul inițial și configurarea este completă.

Data viitoare când utilizatorul dorește să acceseze site-ul, va trebui să o facă în doi pași: mai întâi introducând numele de utilizator și parola și, apoi, codul Google Authenticator.

Primul pas de acces la site-ul WordPress.

Al doilea pas de acces la site-ul WordPress — Primul pas de acces la site-ul WordPress.

Si asta e! Cu aceasta vei fi asigurat de două ori securitatea site-ului tău.

Concluzie

Menținerea securității pe site-ul dvs. implică urmarea unui set de bune practici pentru a minimiza riscul de a fi victimă a atacurilor. Deși să te protejezi 100% este imposibil, ai văzut deja că instalarea unei bariere de securitate duble pe site-ul tău este simplă și gratuită , așa că nu aștepta până când vei avea o problemă când știi că este mai bine să previi decât să vindeci!

Imagine prezentată cu FLY:D pe Unsplash.