Двухфакторная аутентификация: руководство для пользователей WordPress
Опубликовано: 2023-01-03Вы, вероятно, сталкивались с двухэтапным процессом аутентификации при входе в онлайн-банкинг и на любых сайтах, которые требуют максимальной безопасности для своих пользователей. Поскольку WordPress поддерживает двухфакторную аутентификацию (2FA), вы можете иметь тот же уровень безопасности, что и банк. Будь то ваш собственный сайт WordPress или сайты, которые вы создаете для клиентов, надежная защита имеет основополагающее значение.
Двухфакторная аутентификация добавляет невероятно важный уровень защиты, который должен серьезно рассмотреть каждый владелец сайта WordPress. Поскольку 2FA делает невозможными многие распространенные попытки взлома, хакеры просто будут избегать сайтов, защищенных 2FA, и не будут пытаться взломать их методами, которые, как они знают, не будут работать. Каждый сайт WordPress может воспользоваться дополнительным уровнем безопасности, который обеспечивает двухфакторная аутентификация.
Почему надежных паролей недостаточно
Киберугрозы представляют серьезную опасность для вас и ваших клиентов. Если неавторизованный пользователь получит доступ к панели администратора вашего сайта, может случиться что угодно. Вы можете потерять все свои данные в одно мгновение. Вы можете потерять контроль над своим сайтом на некоторое время. Преступники могут собирать личную информацию ваших пользователей. Ваши пользователи будут недовольны, но вам придется сообщить им, что произошло. Закон требует, чтобы вы сообщали об утечке персональных идентификационных данных.
Да, всегда важно требовать надежные пароли для всех учетных записей пользователей, чтобы защитить ваш сайт и его пользователей. Однако надежный пароль сам по себе не обеспечивает достаточную защиту. Злоумышленники могут проникнуть на ваш сайт, подобрав даже надежные пароли или используя украденные. Сейчас это настолько распространенная реальность, что традиционные входы в систему на основе пароля неадекватны в качестве единственного уровня безопасности.
Надежные пароли не обеспечивают достаточно надежной защиты без дополнительных уровней безопасности. Использование двухфакторной аутентификации для всех ваших учетных записей пользователей — гораздо более эффективная мера безопасности, поскольку она добавляет дополнительный уровень, необходимый для защиты вашего сайта и ваших клиентов. Это не значит, что применять надежные пароли не нужно. Вы все равно должны сделать это — а затем добавить 2FA!
Двухфакторную аутентификацию относительно легко настроить. Когда вы это сделаете, это значительно снизит риск того, что злоумышленники неавторизованные пользователи получат административный доступ к вашему сайту WordPress. Победа, победа!
Двухфакторная аутентификация блокирует атаки грубой силы
Прекращение атак методом грубой силы — отличный пример защиты, которую двухфакторная аутентификация добавляет к вашему сайту WordPress. Атаки грубой силы — распространенная угроза, но двухфакторная аутентификация устранит их. При атаке методом грубой силы хакеры быстро проверяют многие распространенные пароли и пароли на основе словаря против ваших учетных записей администратора и других пользователей. Иногда хакеры тестируют большие списки украденных имен пользователей, адресов электронной почты и комбинаций паролей на экране входа в систему.
Автоматизированное тестирование по сценарию тысяч незаконных входов в систему может замедлить работу вашего сайта или отключить его. По этой причине атаки методом грубой силы часто имеют эффект атак типа «отказ в обслуживании». Но если у вас и у всех пользователей вашего сайта включена двухфакторная аутентификация, ни один из этих методов перебора вообще не сработает. Ни один хакер не захочет пытаться войти на ваш сайт методом грубой силы в больших масштабах. У них не будет шансов на успех.
Добавление двухфакторной аутентификации на ваш сайт WordPress
В этом руководстве мы обсудим детали 2FA. Вы узнаете, как работает аутентификация пользователей на платформе WordPress. Затем мы объясним, как реализовать 2FA с плагинами WordPress.
Есть ли в WordPress двухфакторная аутентификация?
Ядро WordPress не имеет встроенной двухфакторной аутентификации. Вам нужно добавить его.
Двухфакторная аутентификация — это дополнительный уровень безопасности, который вы добавляете на свой сайт с помощью плагина WordPress, а иногда и внешней службы. Другими словами, он основан на основных функциях учетной записи пользователя стандартной установки WordPress. 2FA заставляет ваш сайт WordPress запрашивать не только пароль, но и дополнительную информацию для проверки личности каждого из ваших пользователей каждый раз, когда они пытаются войти в систему.
Проверка 2FA происходит из источника, к которому может получить доступ авторизованный пользователь сайта, например:
- Текстовое сообщение, звонок или уведомление, отправленное на их телефон
- Ссылка или код, отправленные по электронной почте
- QR-коды
Двухфакторная аутентификация очень надежна. Злоумышленники и хакеры не будут иметь физического доступа к внешним каналам и устройствам ваших пользователей. Это означает, что даже если они смогут взломать пароль, они все равно не смогут получить несанкционированный доступ к вашему сайту без второго уровня аутентификации. Чтобы взломать пароль пользователя, им также необходимо взломать электронную почту, компьютер или телефон пользователя. Это может произойти, но крайне редко по сравнению с атаками методом грубой силы по сценарию, которые проверяют миллионы паролей каждый день.
Нужна ли мне 2FA для моего сайта WordPress?
Запуск двухфакторной аутентификации заблокирует многих злоумышленников в онлайн-мире даже от попыток получить несанкционированный доступ к вашему сайту. Хотя это и не является строго необходимым, кому не нужна эта защита и душевное спокойствие?
Если вы когда-либо подвергались взлому своего сайта WordPress или слышали о ком-то, кто это сделал, то вы знаете, как быстро он может быть завален спам-ссылками, редиректами и вредоносным кодом, которые могут нанести немедленный и непоправимый вред вашей репутации.
Хуже того, если вы используете сайт электронной коммерции с использованием WooCommerce, хакер может получить доступ к данным клиентов, таким как имена, адреса, номера телефонов, адреса электронной почты и даже номера кредитных карт.
Если это произойдет, вам будет трудно выкарабкаться из беспорядка.
WordPress 2FA — это вторая линия защиты, которая удерживает злоумышленников, гарантируя, что даже если пароль будет скомпрометирован, учетные записи останутся в безопасности, пока второй уровень защиты остается нерушимым замком для хакера.
Как владелец сайта WordPress, поймите, что функция двухфакторной аутентификации является 100%-ной. Поскольку это не основная функция, вам нужно будет реализовать ее на своем сайте, только если вы решите. Это совершенно бесплатно и добавляет почти невзламываемый уровень защиты, который избавит от многих опасений по поводу взломов и атак.
С учетом сказанного, 2FA — это простой подход к безопасности сайта WordPress, который должен использовать каждый, если он еще не использует его, или даже более надежные методы входа в систему, которые используют пароли вместо паролей.
Преимущества 2FA для сайтов WordPress с несколькими пользователями
На стандартных немодифицированных страницах входа в WordPress вы и ваши пользователи просто вводите имя пользователя и пароль, чтобы получить доступ к сайту. После отправки учетных данных для входа, если комбинация имени пользователя и пароля совпадает с тем, что находится в базе данных WordPress, пользователь мгновенно получает доступ к серверной части WordPress и любым привилегиям, основанным на правилах разрешений, которые вы применили.
WordPress имеет шесть предопределенных пользовательских ролей:
- Супер администратор
- Администратор
- редактор
- Автор
- Автор
- Подписчик
По умолчанию этим ролям разрешено выполнять определенные наборы задач на вашем сайте. Задачи, которые может выполнять роль, называются «Возможности».
Большинство стандартных пользователей вашего сайта, вероятно, находятся в роли подписчика, которая имеет наименьшее количество возможностей. Однако у вас могут быть дополнительные администраторы, редакторы и авторы, которые регулярно получают доступ к серверной части вашего сайта. Некоторые пользователи могут быть небрежны со своими паролями, они могут делиться учетными записями, а некоторые с особыми привилегиями могут давать привилегии другим пользователям без вашего ведома. Вы можете забыть удалить пользователей или понизить их привилегии, когда они больше не активны или не нужны. Все эти ситуации являются общими и создают возможности для злоумышленников.
Если хакер узнает хотя бы одно имя пользователя и пароль администратора, он мгновенно получит доступ ко всему вашему сайту с полными привилегиями. Это, конечно, плохо, но вы же не хотите, чтобы ваших подписчиков взломали. Даже в этом случае вам придется сообщить о взломе, а это подорвет доверие пользователей к вам и вашему бренду.
Как двухфакторная аутентификация защищает вход пользователей в систему
Двухфакторная аутентификация не позволяет хакерам взломать учетные записи пользователей путем двойной проверки личности пользователя с помощью сообщения электронной почты, текстового сообщения или приложения для проверки подлинности. Во время входа активируется второй метод проверки. В результате пользователю придется подтвердить свой вход в систему через один из этих вторичных каналов.
Проще говоря, когда вы или другой пользователь сайта вводите личные данные для входа на страницу входа на ваш сайт (имя пользователя и пароль), немедленное уведомление отправляется на адрес электронной почты или номер телефона, связанный с пользователем, который пытается войти в систему. Обычно это уведомление о входе будет содержать ссылку, QR-код или одноразовый PIN-код, чтобы разрешить попытку входа в систему.
Чтобы пользователи могли войти на сайт, им необходимо следовать инструкциям в электронном или текстовом сообщении. Их могут попросить нажать на определенную ссылку доступа или ввести PIN-код.
Хотя этот дополнительный шаг замедляет процесс входа в систему, дополнительная безопасность намного перевешивает риск того, что ваш сайт останется открытым для простых взломов имени пользователя и пароля, которые киберпреступники совершают по всему Интернету каждый день.
Является ли двухфакторная аутентификация полностью безопасной?
Ни одна мера безопасности не может быть на 100% надежной. В мире хакерства, где есть воля, хакеры найдут способ. Если произойдет самое худшее, и вы обнаружите, что ваш сайт был взломан, лучше всего использовать плагин резервного копирования WordPress, который может немедленно восстановить ваш сайт до безопасного времени до атаки.
Если вы сравните 2FA со стандартными протоколами защиты паролем в WordPress, вы обнаружите, что двухфакторная аутентификация более безопасна. Этот процесс требует, чтобы ваши пользователи (и вы) подтверждали каждую попытку входа в систему из источника, уникального для каждого пользователя. Обычно это телефон или личная электронная почта. Это означает, что хакер может получить доступ к внутренней работе сайта WordPress, защищенного 2FA, только если у него также есть доступ к устройствам пользователя сайта и внешней информации для входа. Поскольку это крайне маловероятно, добавление 2FA значительно снижает вероятность взлома вашего сайта с помощью незаконного входа в систему.
Готовы ли вы узнать, как добавить 2FA в WordPress, чтобы защитить свой сайт и его пользователей? Если это так, читайте дальше, чтобы узнать, как внедрить функцию 2FA на свой сайт и запустить ее.
Как включить двухфакторную аутентификацию в WordPress?
В зависимости от хоста вашего сайта вы можете включить защиту 2FA в cPanel вашего хоста или на пользовательском портале.
Однако, если ваш хост не предоставляет вам защиту 2FA, вы можете легко реализовать ее самостоятельно с помощью плагинов WordPress.
Плагины двухфакторной аутентификации WordPress
Ниже перечислены некоторые из лучших плагинов 2FA для WordPress, которые немедленно защитят ваш сайт от скриптовых атак входа.
1. Двухфакторная аутентификация iThemes Security
По нашему мнению, лучшим комплексным пакетом безопасности сайта WordPress является iThemes Security Pro с двухфакторной аутентификацией. Он не только защищает ваш сайт с помощью 2FA, но и имеет дополнительные функции безопасности сайта:
- Защита от грубой силы
- Обнаружение изменения файла
- 404 Обнаружение ошибки
- Надежное применение пароля
- Плохой бот и блокировка спама
- Режим отсутствия
iThemes Security Pro устраняет сомнения в безопасности WordPress. Вам не нужно быть профессионалом в области безопасности, чтобы использовать плагин безопасности, поэтому iThemes Security Pro упрощает защиту вашего веб-сайта WordPress, даже если у вас нет особых технических знаний.
Добавить двухфакторную аутентификацию с помощью плагина безопасности WordPress iThemes Security Pro несложно даже для самого начинающего пользователя. После того, как он будет установлен и активирован, пользователям сайта потребуется ввести пароль вместе с чувствительным ко времени кодом, который будет отправлен на дополнительное устройство.
Плюсы, минусы и затраты
- Плюсы iThemes Security Pro: вы получаете гораздо большую защиту, чем только двухфакторная аутентификация. Более того, вариант 2FA надежен и прост в использовании. Вы будете уверены в том, что ваш сайт полностью защищен от злонамеренных входов в систему, когда вы активируете плагин.
- Минусы iThemes Security Pro: Плагин стоит дороже, чем другие платные варианты 2FA, но вы получаете больше отдачи от затраченных средств.
- Стоимость iThemes Security Pro: если вам нужно защитить только один сайт, стоимость плагина составляет 80 долларов в год. До десяти сайтов это будет стоить 127 долларов в год. Для неограниченного количества сайтов вы можете использовать плагин за 199 долларов в год. Это инвестиция, которую стоит сделать, когда вы рассматриваете альтернативу.
2. Двухфакторная аутентификация Rublon
Если вы ищете простой в использовании плагин двухфакторной аутентификации для WordPress, взгляните на плагин Rublon Two-Factor Authentication. Плагин Rublon 2FA быстро защитит ваш сайт от всех несанкционированных входов в систему без каких-либо технических препятствий с вашей стороны.
После загрузки и установки плагина Rublon при следующей попытке войти в WordPress вам нужно будет щелкнуть ссылку для подтверждения, которая будет отправлена на адрес электронной почты вашей учетной записи пользователя WordPress. Затем, после того как вы нажмете на ссылку для подтверждения своей личности, вас спросят, хотите ли вы, чтобы сайт запоминал ваше устройство для будущих входов в систему. Это означает, что вам не нужно будет подтверждать свою личность каждый раз, когда вы входите в систему, если вы используете одно и то же устройство и браузер каждый раз, когда заходите на сайт.
Если вы используете другое устройство или браузер после проверки, вам просто нужно будет повторить процесс и сохранить его — только будьте осторожны, никогда не делайте этого на устройстве, к которому есть доступ у других людей!
Бесплатная версия плагина Rublon 2FA — один из лучших вариантов для сайтов WordPress , на которых есть только один пользователь . При обновлении до платной версии этот плагин также можно использовать для защиты многопользовательских веб-сайтов.
Плюсы, минусы и затраты
- Плюсы двухфакторной аутентификации Rublon : это в основном не требует участия администраторов сайта. После того, как вы установили и активировали плагин, он не требует обучения или настройки. Он работает прямо из коробки.
- Минусы двухфакторной аутентификации Rublon: она не поддерживает push-уведомления или проверку текстовых сообщений. По этой причине у вас будет подтверждение электронной почты только для 2FA.
- Стоимость двухфакторной аутентификации Rublon: личная версия этого плагина для одного веб-сайта совершенно бесплатна. Следовательно, если вы используете многопользовательский сайт или имеете несколько сайтов, вам необходимо получить платную версию плагина. Для этого свяжитесь с их отделом продаж, чтобы получить предложение.
3. Двухфакторная аутентификация Duo
Duo Two-Factor Authentication — один из самых продвинутых плагинов 2FA для WordPress, который вы можете найти. С его помощью вы можете настроить двухфакторную аутентификацию на основе ролей пользователей в панели управления WordPress.
Например, вы можете потребовать, чтобы редакторы и авторы использовали процесс входа в систему 2FA, но подписчикам (которые не могут каким-либо образом получить доступ к панели администратора) нужно только ввести свои имена пользователей и пароли для входа на сайт. Эта удобная функция может помешать обычным пользователям разочароваться в затянувшемся процессе двухфакторной аутентификации.
Этот плагин также предоставит вам несколько различных вариантов проверки пользователя, в том числе:
- Автоматический телефонный звонок
- SMS-сообщение с пин-кодом
- Мобильное приложение
Это более гибкий инструмент 2FA, чем плагин Rublon Two-Factor Authentication, который предлагает только электронную почту с двухфакторной аутентификацией WordPress.
Плюсы, минусы и затраты
- Плюсы двухфакторной аутентификации Duo: этот плагин двухфакторной аутентификации WordPress поддерживает настройку ролей пользователей и включает в себя широкий спектр методов проверки пользователей. Из-за этого он чрезвычайно универсален для сайтов WordPress.
- Минусы двухфакторной аутентификации Duo: К сожалению, этот плагин не поддерживает WordPress Multisite. По этой причине это может быть исключено для некоторых пользователей.
- Стоимость двухфакторной аутентификации Duo: этот плагин является идеальным бесплатным решением, если у вас есть десять или менее пользователей, которые регулярно заходят на ваш сайт. Однако, если у вас их больше десяти, вы можете увеличить лимит, заплатив 3 доллара в месяц за каждого дополнительного пользователя.
4. Google Authenticator — двухфакторная аутентификация Google для WordPress.
Двухфакторная аутентификация Google для WordPress также является вариантом реализации 2FA на вашем сайте WordPress.
Google Authenticator предоставляет вам множество методов проверки, которые защитят ваш сайт от злонамеренного несанкционированного входа, включая сообщения электронной почты, QR-коды и push-уведомления.
Как и Duo Two-Factor Authenticator, вы сможете использовать этот плагин для настройки определенных правил 2FA для определенных ролей пользователей WordPress. Эта функция делает двухфакторную аутентификацию Google мощным оружием для WordPress в борьбе с хакерскими атаками.
Вы можете настроить Google Authenticator на запрос имени пользователя, пароля и дополнительного фактора подтверждения. Или вы можете настроить плагин так, чтобы он требовал только имя пользователя и дополнительный фактор, без необходимости пароля.
Плюсы, минусы и затраты
- Плюсы Google Authenticator: этот плагин будет поддерживать определенные роли пользователей, связанные с 2FA, и предлагает широкий спектр методов проверки пользователей вашего сайта, включая SMS, QR-коды, push-уведомления и автоматические телефонные звонки.
- Минусы Google Authenticator: версия, которую Google предлагает бесплатно, относительно ограничена функциями, которые вам разрешено использовать.
- Стоимость Google Authenticator: бесплатная версия предлагает однопользовательскую двухфакторную аутентификацию. Вы сможете выполнить обновление для нескольких пользователей, начиная с 15 долларов США в год.
Пришло время развернуть двухфакторную аутентификацию на вашем сайте WordPress?
Помните, что ваш сайт WordPress настолько безопасен, насколько это позволяет ваша страница входа. Чаще всего ограничения доступа только по имени пользователя и паролю недостаточно.
Внедрив 2FA, вы сможете защитить свой сайт, своих посетителей, своих пользователей и своих клиентов от злонамеренных атак грубой силы.
Когда вы дополняете хорошую систему резервного копирования двухфакторной аутентификацией, вы делаете фундаментальные шаги для защиты своего сайта.
Дэн Кнаусс — специалист по техническому содержанию StellarWP. Он был писателем, учителем и фрилансером, работающим с открытым исходным кодом с конца 1990-х годов и с WordPress с 2004 года.