Autentificare în doi factori: un ghid pentru utilizatorii WordPress

Publicat: 2023-01-03

Probabil că ați întâlnit un proces de autentificare în doi pași în serviciile bancare online și în orice site-uri care necesită cea mai înaltă securitate pentru utilizatorii lor. Deoarece WordPress acceptă autentificarea cu doi factori (2FA), puteți avea același nivel de securitate ca o bancă. Fie că este vorba de propriul tău site WordPress sau de site-uri pe care le construiești pentru clienți, securitatea puternică este fundamentală.

Autentificarea cu doi factori adaugă un nivel de protecție incredibil de important pe care fiecare proprietar de site WordPress ar trebui să ia în considerare cu seriozitate să adopte. Deoarece 2FA face imposibile multe încercări comune de hacking, hackerii vor evita pur și simplu site-urile protejate de 2FA și nu se vor deranja să încerce să intre cu metode despre care știu că nu vor funcționa. Fiecare site WordPress poate beneficia de stratul suplimentar de securitate pe care îl oferă autentificarea cu doi factori.

De ce parolele puternice nu sunt suficiente

Amenințările cibernetice prezintă riscuri grave pentru dvs. și clienții dvs. Dacă un utilizator neautorizat obține acces la tabloul de bord de administrare al site-ului dvs., orice se poate întâmpla. Puteți pierde toate datele într-o clipă. Este posibil să pierdeți controlul asupra site-ului dvs. pentru o perioadă de timp. Infractorii ar putea colecta informațiile personale ale utilizatorilor dvs. Utilizatorii tăi nu vor fi mulțumiți, dar va trebui să-i informezi despre ce s-a întâmplat. Legea vă cere să dezvăluiți încălcările datelor de identificare cu caracter personal.

Multe atacuri pot pătrunde în site-ul dvs. prin ghicirea parolelor sau folosind cele furate. Dacă dvs. și toți utilizatorii site-ului dvs. aveți activată autentificarea cu doi factori, niciuna dintre aceste metode brute de a pătrunde în site-ul dvs. nu va funcționa.

Da, este întotdeauna important să solicitați parole puternice pentru toate conturile de utilizator pentru a vă proteja site-ul și utilizatorii acestuia. Cu toate acestea, o parolă puternică nu oferă suficientă protecție în sine. Atacatorii pot pătrunde în site-ul dvs. ghicind chiar și parole puternice sau folosind cele furate. Aceasta este o realitate atât de comună acum, autentificarea tradițională bazată pe parole sunt inadecvate ca un singur strat de securitate.

Parolele puternice nu oferă o protecție suficient de puternică fără straturi suplimentare de securitate. Utilizarea autentificării cu doi factori pentru toate conturile dvs. de utilizator este o măsură de securitate mult mai eficientă, deoarece adaugă stratul suplimentar de care aveți nevoie pentru a vă securiza site-ul și pentru a vă proteja clienții. Asta nu înseamnă că nu este necesară aplicarea parolelor puternice. Ar trebui să faci și tu asta - și apoi să adaugi 2FA!

Autentificarea cu doi factori este relativ ușor de configurat. Când faceți acest lucru, va reduce drastic riscul ca utilizatorii rău intenționați neautorizați să obțină acces de administrator la site-ul dvs. WordPress. Câștigă, câștigă!

Autentificarea cu doi factori blochează atacurile cu forță brută

Oprirea atacurilor de conectare în forță brută este un exemplu excelent al protecției pe care autentificarea cu doi factori o adaugă site-ului dvs. WordPress. Atacurile cu forță brută sunt o amenințare comună, dar autentificarea cu doi factori le va elimina. Într-un atac de conectare în forță brută, hackerii testează rapid multe parole comune și bazate pe dicționar împotriva conturilor dvs. de administrator și a altor utilizatori. Uneori, hackerii testează liste mari de nume de utilizator, adrese de e-mail și combinații de parole furate pe ecranul de conectare.

Testarea automată, prin scripturi a miilor de autentificări ilicite vă poate încetini site-ul sau îl poate scoate offline. Din acest motiv, atacurile de conectare prin forță brută au adesea efectul atacurilor de tip denial of service. Dar dacă tu și toți utilizatorii site-ului dvs. aveți activată autentificarea cu doi factori, niciuna dintre aceste metode brute-force nu va funcționa deloc . Niciun hacker nu va dori să încerce autentificare în forță brută pe site-ul dvs. la scară largă. Nu va exista nicio posibilitate de succes pentru ei.

Adăugarea autentificării cu doi factori pe site-ul dvs. WordPress

În acest ghid, vom discuta detaliile 2FA. Veți afla cum funcționează autentificarea utilizatorilor pe platforma WordPress. Apoi vă vom explica cum să implementați 2FA cu pluginuri WordPress.

În acest Ghid

    WordPress are autentificare cu doi factori?

    Nucleul WordPress nu are încorporat autentificare cu doi factori. Trebuie să-l adăugați.

    Autentificarea cu doi factori este un strat de securitate suplimentar pe care îl adăugați site-ului dvs. cu un plugin WordPress și uneori cu un serviciu extern. Cu alte cuvinte, se bazează pe caracteristicile de bază ale contului de utilizator ale unei instalări implicite WordPress. 2FA face ca site-ul dvs. WordPress să necesite nu doar o parolă, ci și informații suplimentare pentru a verifica identitatea fiecăruia dintre utilizatorii dvs. de fiecare dată când încearcă să se autentifice.

    Verificarea 2FA provine dintr-o sursă pe care o poate accesa un utilizator autorizat de site, cum ar fi:

    • Un mesaj text, un apel sau o notificare trimis pe telefonul lor
    • Un link sau un cod trimis prin e-mail
    • coduri QR

    Autentificarea cu doi factori este foarte sigură. Atacatorii și hackerii rău intenționați nu vor avea acces fizic la canalele și dispozitivele externe ale utilizatorilor dvs. Aceasta înseamnă că, chiar dacă sunt capabili să spargă o parolă, tot nu vor putea obține acces neautorizat la site-ul dvs. fără un al doilea nivel de autentificare. Pentru a intra cu parola unui utilizator, ar trebui, de asemenea, să fi accesat e-mailul, computerul sau telefonul unui utilizator. Acest lucru se poate întâmpla, dar este extrem de rar în comparație cu atacurile de forță brută scriptate care testează milioane de parole în fiecare zi.

    Am nevoie de 2FA pentru site-ul meu WordPress?

    Rularea autentificării cu doi factori va bloca mulți actori răi din lumea online chiar și să nu încerce să obțină acces neautorizat la site-ul dvs. Deși nu este strict necesar, cine nu are nevoie de această protecție și liniște sufletească?

    Nu lăsa actorii răi să ocupe centrul scenei în lumea ta. 2FA oprește încercările de acces neautorizat.

    Dacă ați fost piratat vreodată site-ul dvs. WordPress sau ați auzit despre cineva care a făcut-o, atunci știți cât de repede poate fi presărat cu link-uri spam, redirecționări și coduri rău intenționate care vă pot afecta imediat și ireparabil reputația.

    Și mai rău, dacă rulați un site de comerț electronic folosind WooCommerce, un hacker poate accesa datele clienților, cum ar fi nume, adrese, numere de telefon, adrese de e-mail și chiar numere de card de credit.

    Dacă se întâmplă acest lucru, veți avea dificultăți să scoateți din mizerie.

    WordPress 2FA este o a doua linie de apărare care îi ține pe oamenii răi afară, asigurând în același timp că, chiar dacă o parolă este compromisă, conturile vor rămâne sigure și în siguranță atâta timp cât al doilea strat de protecție rămâne un blocaj de neîntrerupt pentru un hacker.

    În calitate de proprietar de site WordPress, înțelegeți că caracteristica de autentificare cu doi factori este 100% opt-in. Deoarece nu este o caracteristică de bază, trebuie să o implementați pe site-ul dvs. numai dacă alegeți. Este complet gratuit și adaugă un strat de protecție aproape imposibil de spart, care va atenua multe griji legate de hack-uri și atacuri.

    SFAT: Cu cât alegerile dvs. de securitate sunt mai ușoare, cu atât aveți mai multe șanse să le implementați. NU TE COMPLICA!

    Acestea fiind spuse, 2FA este o abordare simplă a securității site-ului WordPress pe care toată lumea ar trebui să o folosească dacă nu o folosește deja sau chiar metode de conectare mai puternice și sigure care folosesc chei de acces în loc de parole.

    Beneficiile 2FA pentru site-urile WordPress cu utilizatori multipli

    Pe paginile de conectare WordPress standard, nemodificate, dvs. și utilizatorii dvs. introduceți pur și simplu un nume de utilizator și o parolă pentru a obține acces la site. După transmiterea acreditărilor de conectare, dacă o combinație de nume de utilizator și parolă se potrivește cu ceea ce este în baza de date WordPress, utilizatorul obține instantaneu acces la back-end-ul WordPress și la orice privilegii bazate pe regulile de permisiune pe care le-ați aplicat.

    WordPress are șase roluri de utilizator predefinite:

    • Super admin
    • Admin
    • Editor
    • Autor
    • Colaborator
    • Abonat

    În mod implicit, acestor roluri li se permite să efectueze seturi specifice de sarcini pe site-ul dvs. Sarcinile pe care le poate îndeplini un rol se numesc „Capabilități”.

    Majoritatea utilizatorilor site-ului dvs. standard sunt probabil în rolul de Abonat, care are cele mai puține capabilități. Cu toate acestea, este posibil să aveți administratori, editori și autori suplimentari care accesează în mod regulat back-end-ul site-ului dvs. Unii utilizatori pot fi neglijenți cu parolele lor, pot partaja conturi, iar unii cu privilegii speciale ar putea acorda privilegii altor utilizatori fără știrea dvs. Este posibil să uitați să eliminați utilizatorii sau să le retrogradați privilegiile atunci când nu mai sunt activi sau nu mai sunt necesari. Toate aceste situații sunt comune și creează oportunități pentru atacatori.

    Dacă un hacker găsește doar unul dintre numele de utilizator și parolele de administrator, ar avea instantaneu acces la întregul tău site cu privilegii complete. Acest lucru este rău, evident, dar nu doriți ca nici abonații dvs. să fie piratați. Chiar și în acest caz, ar trebui să raportați încălcarea, iar asta dăunează încrederii pe care utilizatorii o au pentru dvs. și marca dvs.

    Cum autentificarea în doi factori asigură autentificarea utilizatorilor

    Autentificarea în doi factori împiedică hackerii să intre în conturile de utilizator prin verificarea dublă a identității unui utilizator folosind un mesaj de e-mail, mesaj text sau o aplicație de autentificare. În momentul autentificării, a doua metodă de verificare este activată. Ca urmare, utilizatorul va trebui să-și confirme autentificarea prin unul dintre aceste canale secundare.

    Simplu spus, atunci când dvs. sau un alt utilizator al site-ului introduceți date personale de conectare pe pagina de conectare a site-ului dvs. (un nume de utilizator și o parolă), o notificare imediată este trimisă la adresa de e-mail sau la numărul de telefon asociat utilizatorului care încearcă să se autentifice. În mod normal, această notificare de conectare va include un link, un cod QR sau un PIN unic pentru a permite continuarea încercării de conectare.

    Pentru ca utilizatorii să intre pe site, vor trebui să urmeze instrucțiunile din e-mail sau mesaj text. Li se poate cere să facă clic pe un anumit link de acces sau să introducă un PIN.

    În timp ce acest pas suplimentar încetinește procesul de conectare, securitatea adăugată depășește cu mult riscul de a vă lăsa site-ul deschis la hack-uri simple de nume de utilizator și parole pe care criminalii cibernetici le execută pe tot web în fiecare zi.

    Este autentificarea cu doi factori complet sigură?

    Nicio măsură de securitate nu este niciodată 100% sigură. În lumea hacking-ului, unde există voință, hackerii vor găsi o cale. Dacă ar trebui să se întâmple ceea ce este mai rău și descoperiți că site-ul dvs. a fost piratat, cel mai bine este să rulați un plugin de rezervă WordPress care vă poate restabili imediat site-ul la un moment sigur înainte de un atac.

    Când comparați 2FA cu protocoalele standard de protecție prin parolă din WordPress, veți descoperi că autentificarea cu doi factori este mai sigură. Procesul solicită utilizatorilor dumneavoastră (și dvs.) să confirme fiecare încercare de conectare dintr-o sursă unică pentru fiecare utilizator. De obicei, acesta este un cont de telefon sau de e-mail privat. Aceasta înseamnă că un hacker poate obține acces la funcționarea internă a unui site WordPress protejat de 2FA numai dacă are acces și la dispozitivele unui utilizator de site și la informațiile de conectare din exterior. Deoarece este extrem de puțin probabil să se întâmple, adăugarea 2FA face ca site-ul dvs. să fie mult mai puțin probabil să fie piratat printr-o autentificare ilegală.

    Ești gata să înveți cum să adaugi 2FA la WordPress pentru a-ți proteja site-ul web și utilizatorii acestuia? Dacă da, citiți mai departe pentru a afla cum să încorporați caracteristica 2FA pe site-ul dvs. și să o puneți în funcțiune.

    autentificarea cu doi factori

    Cum activez autentificarea cu doi factori în WordPress?

    În funcție de gazda site-ului dvs., este posibil să puteți activa protecția 2FA în cPanel-ul gazdei sau portalul utilizatorului.

    Cu toate acestea, dacă gazda dvs. nu vă oferă protecție 2FA, o puteți implementa cu ușurință pe cont propriu folosind pluginuri WordPress.

    Pluginuri de autentificare cu doi factori WordPress

    Mai jos sunt enumerate unele dintre cele mai bune pluginuri WordPress 2FA care vă vor proteja imediat site-ul de atacurile de conectare scriptate.

    1. Autentificare cu doi factori de securitate iThemes

    În opinia noastră, cea mai bună suită de securitate pentru site-uri WordPress all-inclusive disponibilă este iThemes Security Pro cu autentificare în doi factori. Nu numai că vă securizează site-ul cu 2FA, dar vine cu funcții suplimentare de securitate a site-ului:

    • Protecție împotriva atacurilor de forță brută
    • Detectarea modificării fișierelor
    • 404 Detectarea erorilor
    • Aplicarea puternică a parolelor
    • Bot prost și blocare spam
    • Modul Away

    iThemes Security Pro elimină presupunerile din securitatea WordPress. Nu ar trebui să fiți un profesionist în securitate pentru a utiliza un plugin de securitate, așa că iThemes Security Pro ușurează securizarea și protejarea site-ului dvs. WordPress chiar dacă nu aveți multe cunoștințe tehnice.

    Adăugarea autentificării cu doi factori folosind pluginul de securitate WordPress iThemes Security Pro este ușoară chiar și pentru cel mai începător utilizator. Odată ce este instalat și activat, utilizatorii site-ului vor trebui să introducă o parolă împreună cu un cod sensibil la timp care este trimis pe un dispozitiv secundar.

    Avantaje, contra și costuri
    • Avantajele iThemes Security Pro: obțineți mult mai multă protecție de securitate decât doar autentificarea cu doi factori. Și mai bine, opțiunea 2FA este robustă și ușor de utilizat. Veți avea încredere că site-ul dvs. este complet protejat de autentificări rău intenționate atunci când activați pluginul.
    • Contra iThemes Security Pro: pluginul costă mai mult decât celelalte opțiuni 2FA plătite, dar obțineți mai mult pentru banii dvs.
    • Costul iThemes Security Pro: Dacă aveți nevoie să securizați doar un site, costul pluginului este de 80 USD pe an. Pentru până la zece site-uri, va costa 127 USD pe an. Pentru site-uri nelimitate, puteți folosi pluginul pentru 199 USD pe an. Aceasta este o investiție care merită făcută atunci când luați în considerare alternativa.

    2. Autentificare Rublon cu doi factori

    Dacă sunteți în căutarea unui plugin de autentificare cu doi factori ușor de utilizat pentru WordPress, aruncați o privire la pluginul de autentificare cu doi factori Rublon. Pluginul Rublon 2FA vă va asigura rapid site-ul împotriva tuturor autentificărilor neautorizate, fără obstacole tehnice din partea dumneavoastră.

    După ce descărcați și instalați pluginul Rublon, data viitoare când încercați să vă conectați la WordPress, va trebui să faceți clic pe un link de verificare care este trimis la adresa de e-mail a contului dvs. de utilizator WordPress. Apoi, după ce faceți clic pe linkul pentru a vă verifica identitatea, veți fi întrebat dacă doriți ca site-ul să vă amintească dispozitivul pentru conectări viitoare. Aceasta înseamnă că nu va trebui să vă verificați identitatea de fiecare dată când vă conectați, atâta timp cât utilizați același dispozitiv și același browser de fiecare dată când accesați site-ul.

    Dacă utilizați un alt dispozitiv sau browser după verificare, va trebui pur și simplu să repetați procesul și să-l salvați și pe cel - aveți grijă să nu faceți niciodată acest lucru pe un dispozitiv la care alte persoane au acces!

    Versiunea gratuită a pluginului Rublon 2FA este una dintre cele mai bune opțiuni pentru site-urile WordPress care au un singur utilizator . Prin trecerea la versiunea cu plată, acest plugin poate fi folosit și pentru a securiza site-uri web cu mai mulți utilizatori.

    Avantaje, contra și costuri
    • Avantaje pentru autentificarea în doi factori Rublon : este în mare parte fără mâini pentru administratorii site-ului. Odată ce ați instalat și activat pluginul, acesta nu necesită pregătire sau configurare. Funcționează imediat din cutie.
    • Contra pentru autentificarea în doi factori Rublon: nu acceptă notificări push sau verificarea mesajelor text. Din acest motiv, veți avea doar verificarea prin e-mail pentru 2FA.
    • Costul autentificării în doi factori Rublon: versiunea personală, cu un singur site, a acestui plugin este complet gratuită. În consecință, dacă rulați un site cu mai mulți utilizatori sau aveți mai multe site-uri, va trebui să obțineți versiunea plătită a pluginului. Pentru a face acest lucru, contactați echipa de vânzări pentru o ofertă.

    3. Autentificare Duo în doi factori

    Duo Two-Factor Authentication este unul dintre cele mai avansate pluginuri 2FA WordPress pe care le puteți găsi. Cu acesta, puteți configura autentificarea cu doi factori pe baza rolurilor utilizatorului în tabloul de bord WordPress.

    De exemplu, veți putea cere ca editorii și autorii să folosească procesul de conectare 2FA, dar abonații (care nu pot accesa tabloul de bord în niciun fel) trebuie doar să-și introducă numele de utilizator și parolele pentru a intra pe site. Această caracteristică la îndemână poate împiedica utilizatorii de bază să nu devină frustrați de procesul îndelungat de autentificare în doi factori.

    Acest plugin vă va oferi, de asemenea, mai multe opțiuni diferite de verificare a utilizatorului, inclusiv:

    • Un apel telefonic automat
    • Un mesaj SMS cu un cod PIN
    • O aplicație mobilă

    Este un instrument 2FA mai flexibil decât pluginul Rublon Two-Factor Authentication, care oferă numai e-mail WordPress de autentificare cu doi factori.

    Avantaje, contra și costuri
    • Avantajele autentificării Duo în doi factori: acest plugin WordPress de autentificare în doi factori acceptă configurarea rolurilor utilizatorului și include o mare varietate de metode pentru verificarea utilizatorului. Din acest motiv, este extrem de versatil pentru site-urile WordPress.
    • Contra autentificarea cu doi factori Duo: Din păcate, acest plugin nu acceptă WordPress Multisite. Din acest motiv, poate fi exclus pentru unii utilizatori.
    • Costul autentificării Duo în doi factori: acest plugin este soluția gratuită perfectă dacă aveți zece sau mai puțini utilizatori care se conectează în mod regulat la site-ul dvs. Cu toate acestea, dacă aveți mai mult de zece, puteți crește limita plătind 3 USD pe lună pentru fiecare utilizator suplimentar.

    4. Google Authenticator – Autentificarea cu doi factori Google pentru WordPress

    Autentificarea cu doi factori Google pentru WordPress este, de asemenea, o opțiune de luat în considerare pentru implementarea 2FA pe site-ul dvs. WordPress.

    Google Authenticator vă oferă o varietate bună de metode de verificare care vă vor proteja site-ul de autentificare neautorizată rău intenționată, inclusiv mesaje de e-mail, coduri QR și notificări push.

    La fel ca și Duo Two-Factor Authenticator, veți putea folosi acest plugin pentru a configura reguli specifice 2FA pentru anumite roluri de utilizator WordPress. Această caracteristică face din autentificarea cu doi factori Google o armă puternică pentru WordPress în lupta împotriva atacurilor de hacking.

    Puteți configura Google Authenticator pentru a solicita un nume de utilizator, o parolă și un factor de verificare suplimentar. Sau puteți configura pluginul să necesite doar un nume de utilizator și un factor suplimentar, fără a fi nevoie de parolă.

    Avantaje, contra și costuri
    • Avantajele Google Authenticator: acest plugin va accepta anumite roluri de utilizator în ceea ce privește 2FA și vine cu o mare varietate de metode de verificare a utilizatorilor site-ului dvs., inclusiv SMS-uri, coduri QR, notificări push și apeluri telefonice automate.
    • Dezavantajele Google Authenticator: versiunea pe care Google o oferă gratuit este relativ limitată în ceea ce privește funcțiile pe care vi le veți putea folosi.
    • Costul Google Authenticator: versiunea gratuită oferă autentificare cu doi factori pentru un singur utilizator. Veți putea face upgrade pentru mai mulți utilizatori începând de la 15 USD pe an.

    Este timpul să implementați autentificarea cu doi factori pe site-ul dvs. WordPress?

    Amintiți-vă că site-ul dvs. WordPress este atât de sigur pe cât permite pagina dvs. de conectare. Cel mai adesea, restricționarea accesului doar la un nume de utilizator și o parolă nu este suficientă.

    Prin implementarea 2FA, veți putea să vă protejați site-ul, vizitatorii, utilizatorii și clienții de atacurile rău intenționate cu forță brută.

    SFAT: Întotdeauna este mai bine să fii în siguranță decât să-ți pară rău.

    Când completați un sistem de backup bun cu autentificare cu doi factori, luați pașii de bază pentru a vă securiza site-ul.