Двухфакторная аутентификация и WordPress

Опубликовано: 2022-08-26

Двухфакторная аутентификация (2FA) — это мера безопасности, которая просит пользователя предоставить информацию, известную только ему, до входа в службу.

Вы можете увидеть 2FA под разными именами, такими как многофакторная аутентификация (MFA), двухфакторная аутентификация или двухэтапная проверка. 2FA широко используется, особенно в ситуациях, когда безопасность особенно важна, например, для онлайн-банкинга.

Значение двухфакторной аутентификации

Возможно, вы слышали о типе онлайн-атаки, называемой атакой «грубой силы». Все они слишком распространены и включают в себя автоматизированного бота, который пытается угадать имя пользователя и пароль пользователя на веб-сайте. Повторные попытки входа предпринимаются до тех пор, пока доступ не будет получен. Эти типы атак относительно легко смягчить, заблокировав доступ к странице входа в систему при повторных безуспешных попытках.

Но что произойдет, если боту «повезет» и он сможет войти в систему до того, как будет достигнуто заранее определенное количество неудачных попыток? Или, что более вероятно, как пользователи, укравшие учетные данные для входа, могут предотвратить злонамеренный вход на веб-сайты и в приложения? Последнее представляет собой особую проблему: едва ли проходит день, чтобы крупный бизнес не сообщил об утечке данных, которая могла или не могла поставить под угрозу некоторые данные их клиентов.

Более надежный способ гарантировать, что вы и только вы можете войти на веб-сайт/приложение/учетную запись, — это использовать систему, называемую двухфакторной аутентификацией.

Как работает двухфакторная аутентификация?

Двухфакторная аутентификация работает, требуя от пользователя ввести не только свое имя пользователя и пароль при входе в систему, но и вторую часть информации, которая генерируется отдельно и постоянно меняется. Обычно это 6-значный код, отправляемый через SMS на мобильный телефон пользователя. Идея заключается в том, что только настоящий пользователь будет иметь доступ к этому устройству, что предотвратит попытки входа в систему, предпринятые методом грубой силы или в результате утечки данных, которая раскрывает имена пользователей и пароли.

С момента появления 2FA приложения для аутентификации стали более распространенными. Вместо использования SMS-сообщений для отправки пользователям одноразовых кодов доступа приложение, установленное на устройствах пользователя, вместо этого генерирует случайные коды. Это признано еще более безопасным методом аутентификации, поскольку исключает возможность перехвата SMS-сообщения или клонирования или подделки номера мобильного телефона.

Параметры приложения для аутентификации

Существует множество отличных приложений для двухфакторной аутентификации, которые можно использовать для генерации необходимых кодов входа.

Если у вас есть устройство Android, вы можете выбирать между Google Authenticator, Microsoft Authenticator, Twilio Authy, Cisco Duo Mobile, FreeOTP и многими другими.

В iOS 15 одними из самых популярных приложений являются Google Authenticator, Twilio Authy, аутентификация OTP, Step Two, Microsoft Authenticator, FreeOTP и встроенный аутентификатор iOS.

В Windows вы можете использовать приложения-аутентификаторы WinAuth и Twilio Authy среди прочих.

В macOS доступны следующие варианты: Step Two, OTP-аутентификация (только в платной версии) и Twilio Authy.

Двухфакторная аутентификация на вашем сайте WordPress

Не только банковские веб-сайты могут извлечь выгоду из 2FA… ваш собственный веб-сайт WordPress тоже может! Хакеры любят нацеливаться практически на любую CMS, и WordPress не является исключением. Использование правильного хостинг-провайдера, а также обеспечение актуальности вашего веб-сайта может иметь большое значение для предотвращения любой попытки взлома. Добавление 2FA на ваш веб-сайт WordPress еще больше усложняет доступ неавторизованных пользователей к вашему сайту.

Разместите свой сайт с Pressidium

60- ДНЕВНАЯ ГАРАНТИЯ ВОЗВРАТА ДЕНЕГ

ПОСМОТРЕТЬ НАШИ ПЛАНЫ

Поскольку это WordPress, у вас нет недостатка в отличных плагинах, которые помогут вам быстро и легко настроить 2FA. Давайте посмотрим на некоторые из них.

Плагин WP 2FA

Двухфакторная аутентификация, плагин WordPress: плагин WP 2FA

Популярным решением является плагин WP 2FA — Two-factor Authentication. После установки и активации плагина WP 2FA вы увидите этот экран:

Двухфакторная аутентификация, плагин WordPress: мастер плагина WP 2FA

Следуйте указаниям мастера, он проведет вас через настройку всех необходимых параметров и многое другое:

  • Основные методы 2FA, из которых вы позволите пользователям выбирать.
  • Варианты того, хотите ли вы принудительно использовать 2FA для всех или некоторых пользователей или ролей.
  • Льготный период, в течение которого пользователи должны будут настроить 2FA.
  • Конфигурация аутентификации 2FA.

Пропустите мастер, и вы сможете найти все эти настройки в меню плагина и в дополнительном разделе, который добавляется в нижней части экрана администратора вашего профиля (в разделе «Пользователи» > «Профиль»).

Двухфакторная аутентификация, плагин WordPress: настройки администратора плагина WP 2FA

Плагин также позволяет вам выбрать, хотите ли вы, чтобы все данные, связанные с 2FA, были удалены из базы данных при удалении плагина.

Двухфакторный плагин

Плагин Two-Factor, разработанный Plugin Contributors, — это удобный плагин, который быстро настраивается.

Он добавляет раздел «Пользователи» > «Ваш профиль», где вы можете включить методы аутентификации и выбрать, какие из них будут основными. Доступны конфигурации для кодов аутентификации по электронной почте, одноразового пароля на основе времени (TOTP), ключей безопасности FIDO U2F и резервных кодов проверки.

Параметры двухфакторного плагина

Плагин также предлагает список хуков действий и фильтров, которые могут пригодиться разработчикам.

Плагин Google Authenticator

Плагин Google Authenticator — еще один популярный плагин 2FA, который можно использовать для повышения безопасности вашего сайта WordPress. Этот совершенно бесплатный плагин предоставляет широкий выбор вариантов двухфакторной аутентификации, включая SMS и, конечно же, использование приложения Google Authenticator. Для того, чтобы настроить эту систему, требуется очень мало времени или усилий. Когда вы активируете плагин, вы увидите некоторые параметры на экране, которые вы можете настроить в разделе «Настройки»> «Google Authenticator».

Настройки Google Authenticator

Просто выберите роли, к которым будет применяться 2FA, и сохраните настройки. Довольно легко.

2FA – Панель инструментов Pressidium

Чтобы дополнительно защитить свои веб-сайты WordPress, вы можете активировать 2FA для входа в панель управления. Ознакомьтесь с нашей статьей базы знаний об этой функции.

Двухфакторная аутентификация Pressidium

Вывод

Для важных веб-сайтов двухфакторная аутентификация теперь действительно должна считаться обязательной. Если вам была предоставлена ​​возможность добавить 2FA в любую из ваших учетных записей, но вы решили не делать этого, возможно, стоит подумать еще раз! Для веб-сайтов WordPress включить двухфакторную авторизацию довольно просто. Если терять нечего, почему бы не сделать так, чтобы хакеру было еще труднее испортить вам день (ну, по крайней мере, ваш сайт!).