Сделайте свой сайт более безопасным с помощью многофакторной аутентификации

Опубликовано: 2022-03-11

Возможно, вы устали запоминать столько разных паролей и считаете, что ваша хостинговая компания заботится о безопасности вашего сайта. Но уверяю вас: если вы защитите и позаботитесь о безопасности своего сайта, вы избавите себя от крупных неприятностей и нежелательных последствий. Имейте в виду, что нарушение безопасности на вашем веб-сайте влияет не только на вас и ваш бизнес, но также может повлиять на ваших клиентов, и вы даже можете столкнуться с юридическими проблемами из-за того, что не приняли надлежащие меры безопасности.

Чтобы помочь вам спать немного легче (если это возможно в наше время), я объясню, как вы можете сделать свой веб-сайт WordPress более безопасным с помощью многофакторной аутентификации.

Что такое многофакторная аутентификация (MFA)
Почему я должен добавить MFA на свой сайт WordPress
Как реализовать двухэтапную проверку
- Гугл аутентификатор
- Установите и активируйте плагин для 2FA
- Настройте плагин
- Добавьте настроенную учетную запись в мобильное приложение
Вывод

Что такое многофакторная аутентификация (MFA)

Вы не только видели многофакторную аутентификацию (MFA) во многих фильмах, но и уже используете ее, среди прочего, для подтверждения онлайн-платежей с помощью кредитной карты или путем входа в свою электронную почту. Это метод контроля доступа к компьютеру, при котором человеку предоставляется доступ только после того, как он представит более одного удостоверения личности. Эти доказательства или факторы аутентификации могут быть разнообразными:

Некоторый физический объект, которым владеет человек, например, USB-накопитель с уникальным идентификатором, кредитная карта, ключ и т. д.
Какой-то секрет, который человек знает, например, пароль, пин-код и т. д.
Некоторые биометрические характеристики человека, такие как отпечаток пальца, радужная оболочка глаза, голос, скорость набора текста, шаблон интервала нажатия клавиш и т. д.

Случай объединения только двух факторов также известен как «двухэтапная проверка», «двухфакторная аутентификация» или «2FA». И идея в том, что многофакторная аутентификация всегда будет более безопасной, чем просто имя пользователя и пароль.

Почему я должен добавить MFA на свой сайт WordPress

Одним из методов взлома паролей до сих пор является атака полным перебором. Эта атака состоит, как следует из названия, в переборе возможных комбинаций пользователей и паролей. Эти типы атак осуществляются ботнетами с использованием все более сложных алгоритмов и инструментов.

Многие хостинговые компании уже включают брандмауэры и другие инструменты для предотвращения таких атак. Тем не менее, есть и другие рекомендации, которые могут помочь смягчить бреши в системе безопасности, такие как принуждение пользователей к добавлению надежных паролей или принуждение их менять их каждые 3 месяца.

Гифка, на которой актер Кен Чжон комментирует, что не помнит свой новый пароль.

Но добавление многофакторной аутентификации на ваш веб-сайт делает его на 100% защищенным от атак грубой силы. Этот дополнительный фактор и этап идентификации человека является матом для этого типа бота.

Как реализовать двухэтапную проверку

Добавление двухэтапной проверки означает, что нам придется добавить дополнительный этап проверки к обычной аутентификации пользователя и пароля. Самый простой способ для каждого пользователя — установить на свой телефон приложение для аутентификации, которое отображает временный код, действительный только в течение нескольких секунд, и именно этот код они должны добавить в качестве формы проверки (в дополнение к паролю). ).

Наиболее известными мобильными приложениями являются Google Authenticator, Authy, HENNGE OTP, FreeOTP или SoundLogin (в случае звуковой аутентификации) и другие. Все они доступны в виде приложений для Android и iOS.

Давайте посмотрим ниже, как мы можем реализовать двухэтапную проверку с помощью Google Authenticator. Обратите внимание, что процесс будет очень похож на любое из вышеупомянутых приложений.

Гугл аутентификатор

Google Authenticator — это простое приложение, доступное для Android и iOS, которое просто отображает 6-значный числовой код, который меняется каждые 30 секунд. Это тот, который вы должны использовать после того, как вы вошли в свой WordPress или любую другую службу, где вы ее используете, например, вашу почтовую службу, хостинг, облако, социальные сети и т. д. Для каждой учетной записи вы увидите код и время, оставшееся до его обновления.

Коды, отображаемые в приложении Google Authenticator

Все люди, которые собираются получить доступ к вашему WordPress с помощью 2FA, должны загрузить приложение Google Authenticator на свой мобильный телефон, чтобы подтвердить свою личность в этой системе.

Установите и активируйте плагин для 2FA

Доступно несколько подключаемых модулей, которые позволяют выполнять двухэтапную аутентификацию пользователя, например Google Authenticator, Wordfence Login Security, Google Authenticator miniOrange или двухфакторная аутентификация. Давайте посмотрим, какие шаги нужно выполнить с плагином Google Authenticator.

Прежде всего, на панели инструментов WordPress нажмите «Добавить новый» плагин:

Просмотр действий по добавлению нового плагина в WordPress — Добавить новый плагин в WordPress

Найдите плагин, который вы хотите установить, в нашем случае это «Google Authenticator», и нажмите «Установить» и «Активировать»:

Настройте плагин

После активации плагина у вас появится новая опция настроек Google Authenticator.

Плагин проверки подлинности Google, установленный в WordPress — Плагин Google Authenticator, установленный в WordPress.

В окне конфигурации Google Authenticator у вас есть возможность указать, хотите ли вы, чтобы пользователи сами решали, использовать двойную аутентификацию или нет, и для каких ролей вы хотите включить двойную аутентификацию.

Настройка плагина проверки подлинности Google — Настройка плагина аутентификации Google.

Далее в профиле каждого пользователя, у которого одна из ролей отмечена двойной аутентификацией, вы найдете параметры настройки Google Authenticator.

Добавление 2FA с помощью Google Authenticator.

Вы можете указать, должна ли у пользователя быть включена двухфакторная аутентификация, требуется ли пользователю дополнительное время для входа в систему, имя учетной записи, отображаемое в приложении, установленном на вашем телефоне, секретный код, показывать QR-код и разрешить ли добавление пароль в приложении.

Добавьте настроенную учетную запись в мобильное приложение

Теперь, когда впервые кто-то, кому было предложено войти в систему с помощью 2FA, появится следующее окно с просьбой отсканировать свой QR-код на своем мобильном телефоне и подтвердить сгенерированный код, который они видят в приложении.

Начальный экран WordPress с Google Authenticator — Начальный экран WordPress после входа в систему и активации Google Authenticator.

В приложении Google Authenticator на своем мобильном телефоне пользователь должен нажать кнопку «+» в правом нижнем углу экрана приложения, чтобы добавить новую учетную запись, выбрать сканирование кода и после сканирования кода, отображаемого на вашем сайте WordPress. , они будут готовы к установке.

Сканировать QR-код в Google Authenticator

Теперь все, что нужно сделать пользователю, это ввести код, который появляется в приложении на начальном экране, и настройка завершена.

В следующий раз, когда пользователь захочет получить доступ к сайту, ему придется сделать это в два этапа: сначала ввести свое имя пользователя и пароль, а затем свой код Google Authenticator.

Второй шаг доступа к сайту WordPress — Первый шаг доступа к сайту WordPress.

И это все! Таким образом, вы вдвойне обеспечите безопасность своего сайта.

Вывод

Поддержание безопасности на вашем веб-сайте включает в себя соблюдение ряда передовых методов, чтобы свести к минимуму риск стать жертвой атак. Хотя защитить себя на 100% невозможно, вы уже убедились, что установка двойного защитного барьера на вашем веб-сайте проста и бесплатна , поэтому не ждите, пока у вас возникнет проблема, когда вы знаете, что профилактика лучше, чем лечение!

Избранное изображение FLY:D на Unsplash.