วิธีการกู้คืนจากการปิด WordPress 2FA
เผยแพร่แล้ว: 2023-02-08การใช้ 2FA เพื่อรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณเป็นหนึ่งในมาตรการรักษาความปลอดภัยที่ดีที่สุดที่คุณสามารถทำได้ เพิ่มความปลอดภัยอีกชั้นในขณะที่ตั้งค่าได้ง่ายมาก นอกจากนี้ ยังมีประวัติที่พิสูจน์แล้วในการหยุดยั้งการโจมตีส่วนใหญ่ที่ใช้การเข้าสู่ระบบ เช่น การโจมตีด้วยกำลังดุร้าย ในขณะที่ผู้ดูแลระบบ WordPress จำนวนมากได้นำ 2FA ไปใช้แล้ว แต่หลายคนก็ยังอายที่จะใช้เทคโนโลยีนี้ เหตุผลสำคัญคือความเข้าใจผิดเกี่ยวกับการล็อกเอาต์
ในบทความนี้ เราจะดูขั้นตอนเชิงป้องกันที่คุณสามารถทำได้เพื่อหลีกเลี่ยงการล็อกเอาต์ นอกจากนี้ เราจะดูว่าคุณสามารถทำอะไรได้บ้าง หากคุณถูกล็อกไม่ให้ใช้งานเนื่องจากอุปกรณ์ 2FA สูญหายหรือบริการขัดข้อง
สารบัญ
- 2FA บน WordPress
- วิธีวางแผนล่วงหน้า – วิธีป้องกันการล็อกเอาต์ 2FA
- ระยะเวลาผ่อนผันในการตั้งค่า 2FA
- วิธีการตรวจสอบทางเลือก 2FA
- วิธีวางแผนในภายหลัง – วิธีเข้าสู่ระบบหากคุณถูกล็อกไม่ให้เข้าใช้งาน
- เหตุใดการล็อกจึงเกิดขึ้น
- การตรวจสอบสิทธิ์อีเมล 2FA
- การตรวจสอบแอปตัวตรวจสอบสิทธิ์ 2FA
- WP2FA – รับเค้ก 2FA และกินมันด้วย
- คำถามที่พบบ่อย
- ฉันไม่ได้รับอีเมล 2FA ฉันต้องทำอย่างไร
- ฉันจะแก้ปัญหาการส่งอีเมล WordPress ได้อย่างไร
2FA บน WordPress
สามารถติดตั้ง 2FA บนเว็บไซต์ WordPress ได้อย่างง่ายดายโดยใช้ปลั๊กอิน WordPress ในกรณีส่วนใหญ่ ปลั๊กอินจะทำงานโดยอิสระจากบริการอื่น ๆ และไม่จำเป็นต้องสมัครสมาชิกบุคคลที่สาม สิ่งนี้จะลดจำนวนของ 'ชิ้นส่วนที่เคลื่อนไหว' ในระบบนิเวศ วิธี 2FA บางอย่าง เช่น SMS, Whatsapp และเสียง จะต้องมีการสมัครสมาชิกแยกต่างหากเพื่อใช้งาน เนื่องจากวิธีเหล่านี้ขึ้นอยู่กับเครือข่ายของบุคคลที่สามในการส่ง OTP (รหัสผ่านครั้งเดียว) ที่จำเป็นสำหรับ 2FA จึงจะทำงานได้
ในบทความนี้ เราจะใช้ปลั๊กอิน WP 2FA เพื่อแสดงตัวเลือกการกู้คืน 2FA เมื่อใช้ 2FA บน WordPress ควรสังเกตว่า WP 2FA มาพร้อมกับช่องตรวจสอบความถูกต้องที่แตกต่างกันไม่น้อยกว่าหกช่องให้เลือก ทำให้เป็นหนึ่งในปลั๊กอิน WordPress 2FA ที่ครอบคลุมที่สุดในตลาดปัจจุบัน
วิธีวางแผนล่วงหน้า – วิธีป้องกันการล็อกเอาต์ 2FA
การวางแผนล่วงหน้ามักเป็นวิธีที่ดีที่สุดในการหลีกเลี่ยงความเจ็บปวดจากการล็อกเอาต์ 2FA ไม่ว่าคุณจะกำหนดค่า 2FA แล้วหรือยังอยู่ในขั้นตอนการวิจัย มีขั้นตอนที่คุณสามารถทำได้เพื่อหลีกเลี่ยงการล็อก สิ่งนี้ไม่เพียงแต่จะช่วยบรรเทาความเข้าใจของคุณและผู้ใช้ของคุณเกี่ยวกับเทคโนโลยีเท่านั้น แต่ยังช่วยหลีกเลี่ยงการหยุดทำงานและลดการสูญเสียประสิทธิภาพการทำงานอีกด้วย
ระยะเวลาผ่อนผันในการตั้งค่า 2FA
หนึ่งในปัญหาที่ผู้ดูแลระบบ WordPress เผชิญคือผู้ใช้ไม่ได้ตั้งค่าการยืนยันตัวตนแบบสองปัจจัยภายในระยะเวลาผ่อนผันที่ให้ไว้ ขึ้นอยู่กับวิธีการกำหนดค่านโยบาย บัญชีผู้ใช้อาจถูกบล็อก ทำให้ผู้ดูแลระบบต้องปลดบล็อก
แม้ว่านี่อาจเป็นตัวเลือกที่ปลอดภัยกว่า หากคุณเป็นผู้ดูแลระบบที่จัดการผู้ใช้ที่ไม่สนใจเรื่องส่วนแบ่งที่ยุติธรรม คุณอาจต้องการบล็อกการเข้าถึงแดชบอร์ดจนกว่าจะมีการกำหนดค่า 2FA แทน สิ่งนี้ทำให้มั่นใจได้ว่าผู้ใช้ตั้งค่า 2FA โดยไม่ต้องมีการแทรกแซงจากคุณเพื่อปลดบล็อกบัญชี
วิธีการตรวจสอบทางเลือก 2FA
WP2FA นำเสนอวิธีการตรวจสอบสิทธิ์แบบ 2FA ทางเลือกเพื่อช่วยให้คุณยึดสิทธิ์ในการล็อกเอาต์ เนื่องจากการล็อกอาจเกิดขึ้นได้จากหลายสาเหตุซึ่งอยู่นอกเหนือการควบคุมของคุณ เช่น ผู้ใช้ลืมหรือทำโทรศัพท์หาย การใช้มาตรการป้องกันไว้ก่อนจึงเป็นทางเลือกที่ชาญฉลาดเสมอ
วิธีการยืนยันทางเลือกให้คุณเลือกวิธี 2FA ทางเลือกหากวิธีหลักล้มเหลว ที่นี่ ผู้ใช้สามารถตั้งค่าวิธีการใดๆ ที่มีให้เป็นวิธีการหลัก จากนั้นกำหนดค่าล่วงหน้าให้กับวิธีการรอง ลองอธิบายสิ่งนี้ด้วยตัวอย่าง ผู้ใช้อาจตั้งค่าแอป TOTP Authenticator เป็นวิธีหลักและอีเมลเป็นรายการที่สอง หากพวกเขาลืมโทรศัพท์ นำไปซ่อม หรือแบตเตอรี่หมด พวกเขาสามารถเลือกรับ OTP ทางอีเมลแทนได้
WP 2FA ยังมีรหัสสำรองที่ผู้ใช้สามารถดาวน์โหลดล่วงหน้าเพื่อใช้หากพบว่าตนเองไม่สามารถเข้าสู่ระบบด้วยวิธีการหลักได้
วิธีวางแผนในภายหลัง – วิธีเข้าสู่ระบบหากคุณถูกล็อกไม่ให้เข้าใช้งาน
หากขณะนี้คุณถูกล็อกไม่ให้เข้าใช้งานและไม่ได้กำหนดค่าวิธีสำรองหรือวิธีสำรอง คุณยังคงสามารถเข้าถึงบัญชี WordPress ของคุณได้อีกครั้ง อย่างไรก็ตาม จะใช้เวลาทำงานอีกเล็กน้อย แต่ไม่ควรใช้เวลาเกินสองสามนาที
ก่อนที่จะดำเนินการต่อไป คุณควรตรวจสอบก่อนว่ายังมีผู้ดูแลระบบรายอื่นที่ยังสามารถเข้าถึง WordPress ได้หรือไม่ หากเป็นกรณีนี้ คุณสามารถขอให้พวกเขารีเซ็ตการกำหนดค่า 2FA ของคุณผ่านหน้าโปรไฟล์
หากไม่มีใครสามารถรีเซ็ตการกำหนดค่า 2FA ของคุณได้ คุณจะต้องปิดใช้งานปลั๊กอินด้วยตนเอง เพื่อให้คุณสามารถเข้าถึง WordPress ได้โดยไม่ต้องป้อนรหัส 2FA คุณจะต้องเข้าถึง FTP/SFTP หรือ SSH เพื่อเปลี่ยนชื่อโฟลเดอร์ปลั๊กอิน การดำเนินการนี้จะปิดใช้งานปลั๊กอินได้อย่างมีประสิทธิภาพ ช่วยให้คุณเข้าสู่ระบบได้โดยไม่ต้องใช้ 2FA
เหตุใดการล็อกจึงเกิดขึ้น
การล็อกเอาต์ 2FA อาจเกิดขึ้นได้จากสาเหตุบางประการ ขึ้นอยู่กับวิธีที่เลือก การทราบสาเหตุที่คุณไม่ได้รับรหัสหรือสาเหตุที่รหัสใช้งานไม่ได้จะช่วยให้คุณแก้ปัญหาได้เร็วขึ้นมาก
การตรวจสอบสิทธิ์อีเมล 2FA
การตรวจสอบความถูกต้องของอีเมลเป็นหนึ่งในวิธีที่ง่ายที่สุดที่ผู้ใช้จะได้รับรหัสการตรวจสอบความถูกต้องเพื่อเข้าสู่ระบบ แม้ว่าวิธีนี้จะทำงานได้ดีอย่างสมบูรณ์ แต่คุณต้องจำไว้ว่าขึ้นอยู่กับเว็บไซต์ WordPress ของคุณที่สามารถส่งอีเมลได้ทันท่วงที นอกจากนี้ยังขึ้นอยู่กับปัจจัยที่อยู่นอกเหนือการควบคุมของคุณ เช่น ผู้ให้บริการโฮสติ้งของคุณที่ส่งต่ออีเมลดังกล่าว
WordPress ใช้ฟังก์ชัน wp_mail เพื่อส่งอีเมล ฟังก์ชันนี้ใช้ฟังก์ชันอีเมลของ PHP ซึ่งไม่ใช่ตัวเลือกที่น่าเชื่อถือที่สุดในการรับประกันการส่งอีเมล อีกสิ่งหนึ่งที่ควรพิจารณาคือการโฮสต์ของคุณ ผู้ให้บริการโฮสติ้งบางรายห้ามใช้อีเมลทันทีเพื่อหลีกเลี่ยงไม่ให้เซิร์ฟเวอร์ของตนถูกใช้เป็นสแปม
การตรวจสอบแอปตัวตรวจสอบสิทธิ์ 2FA
แอพต่างๆ เช่น Google Authenticator และ Authy มักจะให้วิธีง่ายๆ ในการรับรหัสแบบใช้ครั้งเดียวที่จำเป็นสำหรับการเข้าสู่ระบบด้วย 2FA แอพเหล่านี้ใช้อัลกอริทึมตามเวลาเพื่อให้ซิงค์อยู่เสมอ โดยซิงโครไนซ์ครั้งแรกจะทำผ่านรหัส QR
แอปและเซิร์ฟเวอร์อาจไม่ซิงค์กัน ดังนั้นการซิงค์แอปอีกครั้งอาจช่วยแก้ปัญหาของคุณได้ หากคุณกำลังเปลี่ยนโทรศัพท์ Google Authenticator จะอนุญาตให้คุณโอนรหัสจากโทรศัพท์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งได้ ในทางกลับกัน Authy อนุญาตให้คุณสำรองรหัสของคุณบนคลาวด์ ดังนั้นสิ่งที่คุณต้องทำเพื่อดึงรหัสของคุณคือเข้าสู่ระบบด้วยข้อมูลประจำตัวของคุณ ไม่ว่าจะเป็นบนโทรศัพท์เครื่องใหม่หรือแม้แต่พีซีหรือแล็ปท็อปของคุณ
WP2FA – รับเค้ก 2FA และกินมันด้วย
ความปลอดภัยของ WordPress เป็นสิ่งสำคัญในการทำให้เว็บไซต์ของคุณมีอายุยืนยาว 2FA เป็นผลไม้ทรงเตี้ยที่ให้ผลตอบแทนที่คุ้มค่า ด้วยบริษัทชื่อดังมากมายและผู้เชี่ยวชาญที่อยู่เบื้องหลังเทคโนโลยีนี้ ประสิทธิภาพของเทคโนโลยีจึงเป็นเรื่องที่ไม่อาจโต้แย้งได้ ถึงกระนั้น ผู้ดูแลระบบหลายคนกลัวว่าการล็อกเอาต์ของผู้ใช้จะเป็นปัญหามากกว่า 2FA ที่คุ้มค่า ดังที่บทความนี้แสดงไว้ นี่ไม่ใช่กรณีของ WP2FA
ด้วยวิธีการมากมายในการหลีกเลี่ยงการล็อคผู้ใช้ ไม่มีเหตุผลใดที่ผู้ดูแลระบบ WordPress ไม่ควรเสนอ 2FA ให้กับผู้ใช้ แนะนำให้วางแผนล่วงหน้าเสมอ แต่เราทุกคนฉลาดขึ้นเมื่อมองย้อนหลัง นี่คือเหตุผลที่เราได้กล่าวถึงสิ่งที่คุณสามารถทำได้เพื่อกู้คืนการเข้าถึงหลังจากข้อเท็จจริง โดยให้ข้อมูลทั้งหมดที่คุณต้องการเพื่อให้แน่ใจว่าการใช้งาน 2FA ของคุณจะประสบความสำเร็จดังก้อง
คำถามที่พบบ่อย
ฉันไม่ได้รับอีเมล 2FA ฉันต้องทำอย่างไร
มีหลายสาเหตุที่เป็นไปได้ที่คุณอาจไม่ได้รับอีเมล 2FA ของคุณ ในกรณีส่วนใหญ่ อาจเป็นปัญหาที่ WordPress มีปัญหาในการส่งอีเมลหรือโหนดในสายโซ่คือการส่งต่ออีเมลไม่ถูกต้องด้วยเหตุผลใดก็ตาม
WP 2FA มาพร้อมกับเครื่องมือทดสอบอีเมลในตัวที่สามารถให้คุณตรวจสอบได้ว่าอีเมลนั้นกำลังถูกส่ง อย่างไรก็ตาม นี่ไม่ใช่เรื่องราวทั้งหมด ดังนั้นจึงควรสละเวลาสักครู่เพื่อทำความเข้าใจวิธีการส่งและส่งอีเมล
สรุป WP 2FA เขียนอีเมลและส่งต่อไปยัง WordPress ซึ่งจะส่งอีเมลไปยังเซิร์ฟเวอร์ SMTP ที่กำหนดค่าไว้ WordPress ทำสิ่งนี้ได้โดยใช้ฟังก์ชันที่เรียกว่า wp_mail ซึ่งสร้างขึ้นจากฟังก์ชันเมลของ PHP แม้ว่าวิธีนี้มักจะใช้งานได้ดีนอกกรอบ แต่ก็มีแนวโน้มที่จะเกิดปัญหาได้
ฉันจะแก้ปัญหาการส่งอีเมล WordPress ได้อย่างไร
ปลั๊กอินเช่น Check & Log Email เป็นเครื่องมือที่ดี โดยจะบันทึกอีเมลที่ส่งทั้งหมดและจัดเตรียมเครื่องมือสำหรับการดีบัก WP 2FA ยังให้คุณทดสอบการส่งอีเมลซึ่งคุณสามารถเข้าถึงได้โดยไปที่ WP 2FA > การตั้งค่า > การตั้งค่าอีเมลและเทมเพลต หากทุกอย่างเป็นไปด้วยดี ปัญหาอาจตามมาทีหลัง คุณอาจต้องการพิจารณาเลือกใช้ปลั๊กอินอีเมล SMTP เพื่อปรับปรุงความน่าเชื่อถือในการส่งอีเมล