Двухфакторная аутентификация WordPress: основные сведения об этом важном элементе безопасности сайта

В то время как 2FA — это простое решение для внешнего и внутреннего интерфейса, под капотом происходит многое. Это фантастический дополнительный способ добавить дополнительный уровень безопасности на сайт и дать пользователям возможность защитить ваш сайт и их информацию.

В этом уроке мы поговорим о 2FA, в частности, о двухфакторной аутентификации WordPress. Мы рассмотрим, что это такое, ваш выбор паролей, как внедрить 2FA на вашем сайте и многое другое.

Что такое двухфакторная аутентификация (и чего она может вам помочь)

Короче говоря, двухфакторная аутентификация — это мера безопасности, которая обеспечивает дополнительный уровень защиты помимо ваших обычных учетных данных для входа. С 2FA пользователь должен предоставить вторую часть информации, часто числовой код — одноразовый пароль на основе времени (TOTP):

Дополнительная информация, которую вы обычно видите, представляет собой числовой код, срок действия которого истекает через короткий промежуток времени:

В техническом смысле 2FA требует двух форм аутентификации пользователя. Первый «фактор» — это известная пользователю информация, например пароль. Второй фактор — это то, что есть у пользователя, например токен или код, который отправляется на устройство. Даже если пароль пользователя известен, вам все равно понадобится этот второй фактор для проверки и аутентификации сеанса.

Однако современные методы включают в себя такую ​​информацию, как отпечаток пальца. В любом случае, ключевая концепция заключается в том, что вы предоставляете часть информации, к которой никто другой не имеет доступа. Если эта информация соответствует тому, что вас просят предоставить, вы получите необходимый доступ.

2FA и WordPress

2FA становится еще более актуальным, когда речь идет о входе пользователей в WordPress; Система управления контентом (CMS) является платформой номер один для веб-сайтов на рынке. Частично это связано с его звездной безопасностью ядра. Однако столь популярная платформа может стать мишенью безопасности.

Например, в 2021 году Sucuri исправила около 50 000 взломанных сайтов. В большинстве случаев виноваты уязвимости в устаревших плагинах и темах. Кроме того, атаки грубой силы могут уничтожить сети сайтов. Wordfence сообщает о недавней атаке ботнета, поразившей миллионы веб-сайтов WordPress.

Оба этих примера показывают, как ошибка пользователя может повлиять на вашу безопасность WordPress, особенно если вы не следите за обновлениями плагинов и тем. Тем не менее, использование 2FA — это эффективный способ защитить ваш сайт WordPress от атак, дать вашим пользователям некоторую ответственность и многое другое.

Вторая форма аутентификации не только предотвратит доступ злоумышленников к вашим учетным записям, но и позволит вам работать удаленно с большей безопасностью. Вся ваша пользовательская база также будет нести ответственность за собственную безопасность, что сделает весь ваш сайт более безопасным.

В целом, двухфакторная аутентификация — это важный способ остановить несанкционированный доступ к конфиденциальной информации, укрепить уверенность и доверие пользователей и частично соблюдать директивы по безопасности данных. Это жизненно важная рабочая мера и мера безопасности, особенно для популярных платформ, таких как WordPress. Это также означает, что ваш выбор пароля меньше помех. Однако это сложная тема, требующая большей глубины.

Как неудачный выбор пароля вызовет у вас стресс

Каждый год многие новостные агентства и сайты публикуют список плохих паролей, и этот список выглядит одинаково на каждом шагу. Например, Tom's Guide показывает некоторые из наиболее распространенных, но ненадежных паролей для конечных пользователей:

• qwerty
• 123456
• пароль

Тем не менее, администраторы и серверные пользователи также сталкиваются с проблемами при использовании слабых и опасных паролей. Например, admin , root и guest находятся в списке на высоких позициях. На самом деле, пароль администратора вызывает больше беспокойства, если учесть, что роль администратора WordPress по умолчанию также имеет имя пользователя «admin».

Несмотря на это, эти пароли могут быть взломаны почти за секунды с использованием методов грубой силы и автоматизированных инструментов. Однако в сочетании с таким решением, как Melapress Login Security, вы можете гарантировать, что пользователь создаст надежный пароль, а также дополнительно защитит ваш сайт с помощью 2FA.

Поскольку пользователь должен аутентифицировать свои данные с помощью стороннего приложения или технологии, это важный способ снизить риск несанкционированного доступа. Кроме того, вы можете усиливать и укреплять свои политики надежных паролей, а также предотвращать утечку данных и другие кибератаки.

Хотя 2FA — это фантастический способ обеспечить подотчетность пользователей и устранить слабое место в безопасности вашего сайта, он не единственный. Далее мы рассмотрим, как другие ваши положения работают вместе с 2FA, чтобы обеспечить еще более качественный сервис.

Как слоты 2FA сочетаются с вашим текущим обеспечением безопасности

2FA не является универсальной тактикой безопасности. Вместо этого он вплетается в ваше общее обеспечение безопасности как нечто дополнительное. Таким образом, вам и вашим пользователям по-прежнему необходимо будет придерживаться типичных реализаций безопасности:

• Используйте надежные пароли. Вы должны выбрать что-то длинное, так как это увеличит время, необходимое для взлома. Хотя 2FA не требует надежных паролей, все же рекомендуется сделать все возможное, чтобы защитить свои учетные данные для входа. Melapress Login Security идеально подходит для этой задачи.
• Выполняйте частые обновления программного обеспечения. Для WordPress это плагины, темы и основные файлы. Позже мы обсудим плагины аутентификации WordPress 2FA, и их очень важно поддерживать в актуальном состоянии.

Чтобы еще немного коснуться паролей, сочетание надежных паролей с 2FA может гарантировать, что только вы сможете получить доступ к учетной записи. Например, незащищенное соединение Wi-Fi на локальном рабочем месте может поставить под угрозу ваш пароль. Однако вам все равно потребуется предоставить вторую форму аутентификации, чтобы получить доступ к учетной записи.

Более надежный пароль, практически неподдающийся взлому, также не повредит ресурсам вашего сервера. Это связано с тем, что у вас не будет многократных попыток входа (и потенциальных запросов 2FA) с потенциально большого количества IP-адресов.

Вы можете пойти еще дальше и объединить 2FA со специальной защитой от грубой силы. Эта концепция выходит за рамки этого поста, но существует множество плагинов безопасности WordPress (таких как Wordfence или Jetpack Security), которые могут обеспечить надежное решение.

Выбор правильного «формата» 2FA для вас

Одним из преимуществ двухфакторной аутентификации является гибкость ее реализации. У вас есть четыре различных способа использования 2FA:

• СМС, текстовый метод.
• Аутентификация по электронной почте.
• Специальные приложения, такие как Authy, Sentinel, Duo и многие другие.
• Всплывающее уведомление.

Каждый из них достигает одного и того же результата разными способами, но не все они равны. Давайте разберем каждый по очереди, а также плюсы и минусы.

SMS

Метод 2FA по умолчанию для многих онлайн-сервисов заключается в отправке кода аутентификации на мобильное устройство с помощью текстового сообщения. Вам нужно будет ввести свой номер телефона в специальное поле, через которое будет отправлен код с ограниченным сроком действия.

Преимущества здесь включают в себя отсутствие необходимости в каком-либо другом стороннем приложении для аутентификации вашего входа в систему, а также огромную простоту настройки и использования. Однако у СМС есть серьезные недостатки. Во-первых, вам нужно будет передать больше вашей личной информации через Интернет (ваш номер телефона), чтобы выполнить проверку.

Есть несколько вещей, которые следует учитывать при выборе двухфакторной аутентификации на основе SMS. Во-первых, это сетевые сборы, взимаемые сетевым оператором за доставку SMS. Во-вторых, SMS-сообщения не шифруются и уязвимы для подмены SIM-карты. Тем не менее, он может обеспечить лучшую защиту для пользователей, которые могут быть не так технически подкованы.

Уведомления по электронной почте

Уведомления по электронной почте аналогичны методам аутентификации по SMS. Здесь вы вводите адрес электронной почты на странице входа, который затем получит код или токен для аутентификации вашего сеанса.

Двухфакторная аутентификация по электронной почте проста и понятна в использовании — вам понадобится только доступ к вашему почтовому ящику, чтобы подтвердить свой логин.

Если сообщение электронной почты не зашифровано, оно может стать уязвимым для атаки «машина посередине» или аналогичной атаки. Однако вы можете предпринять шаги, чтобы защитить свои электронные письма WordPress и избежать рисков, обычно связанных с незашифрованными электронными письмами.

Всплывающее уведомление

Push-уведомления призваны преодолеть разрыв между аутентификацией по электронной почте и SMS. Это включает в себя получение уведомления на смартфоне, которое вам необходимо подтвердить, прежде чем вы войдете в учетную запись. Apple — одна из компаний, которая использует этот метод для настройки доверенных устройств в своей экосистеме.

Этот метод также удобен и прост в использовании, как электронная почта и SMS. Еще одно преимущество заключается в том, что он часто вообще не зависит от паролей, кодов или токенов. Это фантастический элемент взаимодействия с пользователем (UX), который может сделать учетные записи более безопасными, практически не задумываясь и не работая для пользователя.

Однако у подхода все еще есть недостатки. Поскольку push-уведомление так легко одобрить, занятой пользователь может сделать это, не задумываясь. Есть исследования, которые предполагают, что концентрация внимания пользователя снижается из-за большего количества получаемых им уведомлений, что может оказаться проблемой.

С этой целью важно информировать пользователей о надлежащей безопасности учетной записи. Никогда не следует одобрять неожиданные push-уведомления, а о частых запросах следует сообщать для дальнейшего расследования.

Использование приложения

Типичный способ повысить эффективность реализации 2FA — использовать приложение. Их много вокруг: Google Authenticator, Authy, Duo, Sentinel, Microsoft Authenticator и почти бесчисленное множество других.

Эти приложения будут генерировать одноразовый код для каждого сайта каждые 30 секунд, который вы будете вводить на соответствующем веб-сайте для проверки и аутентификации входа. Это считается одним из наиболее безопасных подходов. Однако, как и в случае с push-уведомлениями, для использования приложения вам все равно потребуются совместимые устройства и доступ в Интернет.

Какой формат 2FA выбрать

Наличие 2FA — лучший вариант, чем отсутствие 2FA. Хотя некоторые методы, такие как приложения 2FA, более безопасны, чем другие, мы также должны признать, что наша пользовательская база может быть очень разнообразной.

Вы также захотите снизить барьер для входа и убедиться, что пользователям удобно использовать 2FA. С этой целью, чем больше вариантов вы сможете предложить своим пользователям, тем лучше, так как это поможет вам обеспечить ошеломительный успех вашей реализации 2FA.

Представляем WP 2FA: лучший способ реализации двухфакторной аутентификации WordPress

Существует множество доступных плагинов для двухфакторной аутентификации WordPress. Например, miniOrange и двухфакторная аутентификация предлагают широкий спектр функций и пользуются поддержкой многих довольных пользователей.

Тем не менее, плагин WP 2FA предлагает функциональность, поддержку и стоимость, чтобы сделать его вашим решением номер один. Это ведущий способ добавить двухфакторную аутентификацию на ваш сайт WordPress.

Мы рекомендуем вам ознакомиться со спецификациями бесплатной версии, но с премиальной версией вы получаете все необходимые функции:

• Вы можете выбрать один из нескольких различных методов 2FA в соответствии с вашими потребностями и потребностями ваших пользователей.
• Вы можете настроить свои политики 2FA. Это включает в себя такие элементы, как обязательность 2FA, предоставление льготного периода и многое другое.
• Пользователям не нужно получать доступ к панели управления WordPress. Вы можете предложить аутентификацию входа через интерфейс вашего сайта.
• Также существует множество сторонних сервисов, таких как Twillo и Authy. Это позволяет вам предоставлять дополнительные методы аутентификации пользователям.

Когда дело доходит до цены, WP 2FA предлагает огромную ценность. Например, лицензия WP 2FA Starter стоит 29 долларов в год. Это позволяет вам установить полную версию WP 2FA на столько веб-сайтов, сколько вам нужно, и предлагать аутентификацию входа пяти пользователям. Существуют гибкие планы по увеличению лимита пользователей и набора функций.

Более того, использовать WP 2FA совсем несложно. Далее мы покажем вам, как это сделать.

Как использовать WP 2FA для усиления безопасности сайта вашего пользователя

WP 2FA обладает всеми функциями и функциями, которые вам понадобятся для реализации аутентификации WordPress 2FA на вашем сайте. Более того, его легко настроить и использовать. Процесс установки очень похож на любой другой бесплатный плагин WordPress. Вы можете найти его с помощью строки поиска на экране «Плагины» > «Добавить новый» :

Отсюда нажмите кнопки «Установить сейчас» и «Активировать» , затем подождите, пока WordPress завершит процесс установки. На данный момент вы готовы настроить 2FA на своем веб-сайте WordPress.

1. Настройте WP 2FA с помощью мастера настройки.

WP 2FA может выполнить за вас всю тяжелую работу, связанную с аутентификацией WordPress 2FA. Мастер установки выполняет четыре шага, основанных на различных политиках и методах реализации.

Мастер установки начинается со страницы приветствия, и вам нужно нажать кнопку «Начать» , чтобы продолжить:

Первые два шага определяют, какие методы 2FA вы хотели бы внедрить. Вы будете использовать флажки, чтобы добавить 2FA на основе приложения и 2FA по электронной почте на свой сайт. Премиум-версия плагина включает в себя дополнительные методы, которые вы также можете выбрать.

Нажав кнопку «Продолжить», вы также можете предоставить своим пользователям резервные коды на случай, если им потребуется настроить 2FA с другим приложением или устройством. Премиум-версия WP 2FA позволяет вам предлагать больше альтернативных вариантов аутентификации.

Третий экран мастера настройки позволяет вам выбрать, для кого вы применяете двухфакторную аутентификацию. Здесь есть три переключателя для выбора всех пользователей, без пользователей и определенных пользователей и ролей:

Обратите внимание, что вы увидите дополнительные параметры, если выберете «Все пользователи» или «Только для определенных пользователей и ролей» . Это позволит вам указать пользователей для исключения или роли для включения в вашу политику.

После того, как вы выберете «Все готово» , вы увидите приглашение настроить WP 2FA для своей учетной записи пользователя. Процесс почти завершен.

2. Настройте WP 2FA для своей учетной записи пользователя

После того, как вы настроили аутентификацию WordPress 2FA, вы можете настроить 2FA для своей учетной записи пользователя.

Доступные параметры будут включать методы, доступные в мастере установки. Некоторые методы, такие как SMS и push-уведомления, потребуют дополнительной настройки, поскольку для их работы требуются сторонние поставщики услуг. В этом примере мы будем использовать метод приложения 2FA TOTP.

Если у вас еще нет приложения 2FA, его загрузка должна быть вашим первым шагом. Есть из чего выбирать, а WP 2FA предлагает универсальную совместимость. Основная функция, которая вам понадобится, — отсканировать QR-код из панели управления WordPress с помощью вашего приложения:

После запуска мастера вы сможете использовать аутентификацию WordPress 2FA для своего сайта.

В итоге

Двухфакторная аутентификация — один из лучших и наиболее удобных способов защиты онлайн-аккаунта. Он основан на проверке с использованием токена или кода, который вы получаете с принадлежащего вам устройства. Таким образом, без этого кода ваши учетные записи в безопасности, даже если ваш пароль скомпрометирован.

Плагин WP 2FA позволяет внедрить аутентификацию WordPress 2FA за считанные минуты без необходимости технических знаний. Мастер установки проведет вас через весь процесс, и вы

В то время как бесплатная версия WP 2FA является полнофункциональной, премиум-версия 2FA предлагает больше. Лицензии начинаются с 29 долларов в год, и каждая позволяет настроить пять пользователей для вашего сайта.