Notă de lansare: Criptarea adăugată la codurile cu doi factori în iThemes Security Pro
Publicat: 2022-10-21Odată cu cea mai recentă versiune a iThemes Security Pro, am adăugat criptare pentru a proteja codurile de autentificare cu doi factori (2FA) utilizate pentru autentificarea cu mai mulți factori. Pentru a vă asigura că site-ul dvs. utilizează această nouă funcționalitate, faceți upgrade la iThemes Security Pro versiunea 7.2.2 în tabloul de bord pentru pluginul wp-admin.
Ca și în cazul oricărei funcții noi, suntem siguri că trebuie să apară întrebări despre noua funcție și de ce am adăugat-o. În această postare, detaliem ce schimbare am făcut, de ce am ales să adăugăm funcții de securitate suplimentare la autentificarea cu doi factori și câteva gânduri despre starea actuală a securității de conectare WordPress în ansamblu.
Ce presupune această modificare în stocarea codului de autentificare cu doi factori?
iThemes Security acceptă trei tipuri de metode de autentificare cu doi factori: aplicații mobile, e-mail și coduri de rezervă. Fiecare funcționează puțin diferit.
Când utilizați Email 2FA, iThemes Security generează un cod aleatoriu de opt cifre și vi-l trimite prin e-mail. Stocăm ceea ce se numește „hash” al acestui cod aleatoriu în baza de date WordPress. Un hash ne permite să verificăm dacă ne-ați dat același cod de opt cifre pe care l-am stocat în baza de date.
Cu toate acestea, iThemes Security nu poate „decoda” hash-ul înapoi în codul aleatoriu original de opt cifre. Acesta este motivul pentru care, dacă cereți iThemes Security să „retrimită” e-mailul 2FA, generăm un nou cod aleatoriu în loc să vă retrimitem același cod 2FA pe care l-am trimis în primul e-mail.
Acest lucru este similar cu modul în care WordPress poate verifica dacă parola dvs. este corectă. Dar dacă îți uiți parola trebuie să creezi una nouă, WordPress nu îți poate trimite parola curentă.
Mobile Two-Factor este diferit. Un cod nou apare în aplicația mobilă la fiecare 30 de secunde. Asta înseamnă că iThemes Security salvează fiecare cod nou în baza de date? Nu, în schimb iThemes Security folosește conceptul de „secret partajat”.
Când configurați Mobile Two-Factor în iThemes Security, vă arătăm un cod QR care conține o cheie secretă unică pentru contul dvs. Scanarea codului QR în aplicația dvs. Two-Factor copie cheia secretă pe telefon.
Când vă conectați folosind aplicația mobilă, iThemes Security și telefonul dvs. generează fiecare un cod din șase cifre bazat pe cheia „secretă partajată”. Dacă codurile se potrivesc, sunteți!
Spre deosebire de Two-Factor bazat pe e-mail, unde trebuie doar să stocăm un hash, aceasta înseamnă că trebuie să stocăm cheia secretă a aplicației mobile într-un mod care ne oferă acces la textul simplu.
Marea majoritate a pluginurilor și serviciilor de autentificare cu doi factori pentru WordPress stochează chei secrete cu doi factori în baza de date WordPress, iar iThemes Security nu este diferit. Aceste coduri trebuie stocate astfel încât, atunci când un utilizator își introduce codurile 2FA din aplicația de autentificare pe telefonul sau dispozitivul său, pluginul de securitate să poată potrivi aceste coduri pentru a autentifica utilizatorul care încearcă să se autentifice.
Stocarea acestor coduri în baza de date a fost cea mai sigură modalitate de a face acest lucru, deoarece orice informație stocată în baza de date poate fi accesată doar de un utilizator al bazei de date și parola acestuia. Aceste acreditări sunt stocate în fișierul dvs. WordPress wp-config.php și acest lucru permite site-ului dvs. WordPress să acceseze informațiile din această bază de date.
Deși există câteva servicii care utilizează o abordare bazată pe sistemul de fișiere pentru codurile 2FA, iThemes Security și majoritatea celorlalte servicii majore de autentificare cu doi factori au optat pentru metoda de stocare a bazei de date mai sigură.
Pentru securitate suplimentară, am adăugat criptare acestor coduri stocate în baza de date WordPress a unui site. În cazul în care baza de date este cumva compromisă de o altă vulnerabilitate, această criptare adăugată adaugă un alt nivel de securitate pentru a proteja site-ul WordPress de orice număr de atacuri bazate pe conectare care ar putea fi combinate cu alte vulnerabilități.
De ce am ales să adăugăm această caracteristică
Dacă un site web WordPress este securizat corespunzător, probabilitatea ca codurile de autentificare cu doi factori să fie expuse este scăzută. Cu toate acestea, în cazul în care există o vulnerabilitate la nivel de serviciu al furnizorului de găzduire în care accesul la baza de date este compromis sau dacă există o vulnerabilitate zero-day exploatată în mod activ într-un plugin sau temă, codurile de autentificare cu doi factori necriptate pot fi utilizate în combinație cu o altă vulnerabilitate. .
La iThemes, securitatea site-urilor web WordPress ale clienților noștri este de o importanță critică pentru afacerea noastră. Ca atare, atunci când chiar și un scenariu de vulnerabilitate margine intră în atenția noastră, primul nostru răspuns și prioritate este securitatea acelor site-uri.
Scopul nostru este să vă facem site-ul WordPress securizat în fiecare moment, astfel încât orice aspect al site-ului dvs., de la fișierele și baza de date până la procedurile de conectare, să fie protejat de atacatorii rău intenționați. Apărarea eficientă împotriva atacurilor necesită ca toate aspectele WordPress să fie securizate corespunzător.
Ce este autentificarea cu doi factori?
Autentificarea cu doi factori (2FA) este un tip de autentificare multifactor (MFA) care întărește securitatea accesului prin necesitatea a două metode de verificare pentru a vă autentifica identitatea pe un sistem, în acest caz un site WordPress. Acești factori pot include ceva pe care îl cunoașteți, cum ar fi numele dvs. de utilizator sau e-mailul și parola, împreună cu ceva ce aveți, cum ar fi accesul la dispozitiv cu o aplicație de autentificare pentru a vă autentifica sau a determina că sunteți cine sunteți. Aplicațiile de autentificare precum Google Authenticator generează o parolă unică, bazată pe timp, care se modifică minut cu minut.
Parolele nu sunt suficiente
Autentificarea în doi factori este din ce în ce mai importantă, deoarece atacurile de tip phishing, atacurile de inginerie socială, atacurile cu forța brută și problemele de reutilizare a parolei au făcut ca autentificarea cu o singură parolă pur și simplu nu mai este suficientă.
Din cauza unor astfel de probleme, inovatori precum iThemes Security au adăugat chei de acces pentru autentificare cu adevărat fără parolă, folosind autentificarea biometrică și criptarea cu cheie privată/publică pentru a crea protocoale de autentificare mai sofisticate pentru a proteja sistemele critice. Parolele sunt sparte, așa că iThemes Security Pro a fost primul plugin de securitate WordPress care a permis autentificarea fără parolă cu chei de acces.
Cu cheile de acces, stocarea codurilor de autentificare cu doi factori nu este o problemă, deoarece criptografia cu chei private/publice face ca ambele parole și 2FA să fie învechite.
Dacă site-ul dvs. WordPress este într-adevăr esențial pentru afacerea sau organizația dvs., utilizarea iThemes Security demonstrează angajamentul dvs. de a vă asigura acel activ. Asigurați-vă că oferiți conectări fără frecare și fără parolă și capabilități criptate de autentificare cu doi factori pentru a demonstra părților interesate angajamentul organizației dvs. față de implementările site-urilor web conștiente de securitate.
Dacă nu utilizați încă iThemes Security Pro, puteți obține versiunea Pro a celui mai bun plugin de securitate WordPress disponibil prin achiziționarea prin linkul de mai jos.
Cel mai bun plugin de securitate WordPress pentru a securiza și proteja WordPress
WordPress alimentează în prezent peste 40% din toate site-urile web, așa că a devenit o țintă ușoară pentru hackerii cu intenții rău intenționate. Pluginul iThemes Security Pro elimină presupunerile din securitatea WordPress pentru a facilita securizarea și protejarea site-ului dvs. WordPress. Este ca și cum ai avea în personal un expert în securitate cu normă întreagă care monitorizează și protejează constant site-ul tău WordPress pentru tine.
Mulțumim lui Calvin Alkan pentru că ne-a dezvăluit problema în mod responsabil .