Безопасность WordPress. Двухфакторная аутентификация | WordPress Mania

Почему 2fa важен для безопасности wordpress

На момент написания этой статьи WordPress использовали более 32% всех веб-сайтов в Интернете, что в сумме составляет более 60% среди всех известных систем управления контентом. Это впечатляющая статистика, но у нее есть один существенный недостаток: она делает WordPress главной мишенью для хакеров и экспертов по безопасности со злым умыслом.

Наиболее распространенные виды использования взломанных сайтов WordPress включают SEO-спам (который может понизить ваш рейтинг), отправку вредоносных электронных писем, кражу пользовательских данных и выполнение злонамеренных переадресаций.

Почему использование мобильного приложения rublon более безопасно, чем аутентификация по электронной почте?

Мобильное приложение Rublon хранит вашу цифровую личность с вашим личным ключом шифрования, который никогда не покидает ваш телефон. При любом действии, требующем мобильного приложения, таком как подтверждение вашей личности, приложение Rublon генерирует уникальную зашифрованную цифровую подпись.

Rublon поддерживает несколько методов двухфакторной аутентификации, в том числе электронную почту, SMS, QR-код, push-уведомления и TOTP. Кроме того, вы можете занести в белый список доверенные устройства, исключив необходимость в двухфакторной аутентификации при последующих входах в систему WP.

Плагин поставляется с дружественным внутренним интерфейсом, который упрощает добавление двухфакторной аутентификации на ваш сайт WordPress.

Настройка вопросов безопасности (аутентификация на основе знаний)

Чтобы задать контрольные вопросы для аутентификации на основе знаний, перейдите на страницу «Двухфакторная установка» и выберите «Контрольные вопросы (KBA)».

Это вызовет раздел «Конфигурирование второго фактора», где вы можете указать три вопроса безопасности. Выберите в раскрывающемся списке и поставьте ответ в соответствующие поля.

Если вас устраивают контрольные вопросы, нажмите кнопку «Сохранить», и все готово.

Duo two-factor authentication

Защитить сайт WordPress от взлома можно с помощью плагина Duo Two-Factor Authentication с мобильным приложением Duo Mobile:

Duo Security предоставляет двухфакторную аутентификацию в качестве услуги для защиты от перехвата учетной записи и кражи данных. Используя плагин Duo, вы можете легко добавить двухфакторную аутентификацию Duo на свой сайт WordPress всего за несколько минут!

Вместо того, чтобы полагаться только на пароль, который можно подделать или угадать, служба аутентификации Duo добавляет второй уровень безопасности вашим учетным записям WordPress. Duo позволяет вашим администраторам или пользователям проверять свою личность, используя то, что у них есть, например мобильный телефон или аппаратный токен, что обеспечивает надежную аутентификацию и значительно повышает безопасность учетной записи.

Похожее:  Невозможно подключиться к World of Warcraft - Служба поддержки Blizzard

Когда они входят в систему, у ваших пользователей есть несколько способов аутентификации, в том числе:

  • Аутентификация в одно касание с помощью мобильного приложения Duo (самый быстрый и простой способ аутентификации);
  • Одноразовые коды доступа, созданные мобильным приложением Duo (работает даже при отсутствии сотовой связи);
  • Одноразовые коды доступа, доставляемые на любой телефон с поддержкой SMS (работает даже при отсутствии сотовой связи);
  • Обратный звонок на любой телефон (мобильный или стационарный!);
  • Одноразовые коды доступа, генерируемые аппаратным токеном, совместимым с OATH (если вы чувствуете себя полностью устаревшим).

Duo прост в настройке и использовании. С Duo не нужно устанавливать дополнительное оборудование или сложное программное обеспечение, просто зарегистрируйтесь в сервисе Duo и установите плагин. 

Затем вы можете установить, для каких ролей пользователей вы хотите включить двухфакторную аутентификацию – администраторов, редакторов, авторов, участников и / или подписчиков – без настройки учетных записей пользователей, синхронизации каталогов, серверов или оборудования.

Защитите свой сайт WordPress за считанные минуты с Duo.

Этот плагин создаёт пароли, действующие ограниченное время или пароли могут высылаться вам по электронной почте или нажмите”Подтвердить” на Android:

Duo Mobile доступен бесплатно для всех смартфонов.

Ещё можно использовать двухфакторную аутентификацию на сайте с помощью плагина Google Authenticator. Я, как и вы, использую мобильное приложение Google для входа в Gmail, так что, теперь в дополнение используем его ещё для безопасности вашего блога/сайта WordPress.

Плагин Google Authenticator для WordPress создаёт двухфакторную аутентификацию с помощью приложения Google Authenticator для Android / iPhone / Blackberry.

Двухфакторная аутентификация wordpress

Двухфакторная аутентификация значительно повышает уровень безопасности сайта ВордПресс при соблюдении остальных условий таких как своевременное обновление движка, тем, плагинов и т.п.).

Двухфакторная аутентификация (2FA) или двухэтапная проверка – это дополнительный уровень безопасности, который вы добавляете на свои страницы входа в админку WordPress.

Похожее:  Личный кабинет Севэнергосбыт: вход, регистрация, официальный сайт

Двухфакторная аутентификация включает в себя двухэтапный процесс, в котором вам нужен не только пароль для входа в систему, но и второй метод. Обычно это текст (SMS), телефонный звонок или одноразовый пароль на основе времени (TOTP). В большинстве случаев это на 100% эффективно для предотвращения атак грубой силы на ваш сайт WordPress. Почему? Потому что практически невозможно, чтобы злоумышленник узнал и ваш пароль, и ваш мобильный телефон.

Другие параметры проверки подлинности

Помимо проверки электронной почты, miniOrange также поддерживает аутентификацию с помощью QR-кода, SMS, вопросов безопасности, Push-уведомления и приложений, таких как Authy и Google Authenticator.

Вот краткий обзор этих дополнительных методов.

Защита паролем сервера апач

Общая структура папки Вашего сайта на WordPress (на сервере хостинга) следующая

Использование google authenticator by miniorange

Самый простой способ реализовать двухфакторную аутентификацию в WordPress – использовать плагин. Google Authenticator от miniOrange является одним из лучших инструментов для этой работы.

Для проверки Google Authenticator потребуется действующий адрес электронной почты. Вы можете завершить этот процесс, перейдя в панель управления WordPress и нажав «miniOrange 2-Factor».

Здесь вы можете просмотреть все свои параметры при проверке сеанса входа в WordPress. По умолчанию активный метод является проверкой подлинности по электронной почте. Он работает так же, как процесс проверки электронной почты, который вы делали при активации плагина.

Как работает двухфакторная аутентификация wordpress

После двухфакторной аутентификации с помощью плагина пользователи будут видеть второй экран после успешного ввода пароля для входа в систему WordPress.

На этом экране им понадобится секретный аутентификация, отправленный на вторичное устройство, такое как смартфон или другая повторная авторизация.

Более подробно, понять двухфакторную аутентификацию, помогут описания двух плагинов с таким функционалом.

Как реализуется tfa (2fa) wordpress

После двухфакторной аутентификации с помощью плагина iThemes Security Pro пользователи будут видеть второй экран после успешного ввода пароля для входа в систему WordPress.

Похожее:  android - Как работает авторизация на сервере (логин/пароль)? - Stack Overflow на русском

На этом экране им понадобится секретный код аутентификация, отправленный на вторичное устройство, смартфон.

На WordPress можно организовать TFA с помощью таких приложений двухфакторной аутентификации как:

  • Google Authenticator;
  • Любое TFA приложение, поддерживающее стандарт TOTP (поставщик одноразовых паролей по времени). Например, наиболее популярные генераторы токенов:

Android:

  • Authy,
  • Google Authenticator,
  • FreeOTP Authenticator,
  • Toopher.

iOS:

  • Authy,
  • Google Authenticator ,
  • FreeOTP Authenticator,
  • Toopher.

Плагин wordpress ithemes security

ru.vhod-v-lichnyj-kabinet.ru/plugins/better-wp-security/

В платной версии плагина безопасности iThemes Security Pro есть функционал двухфакторной аутентификации. После включения этой функции, пользователи должны будут вводить не только пароль авторизации, но и дополнительный код, который плагин отправит ему на второе устройство (смартфон). Код действует определенное время.

Почитать в разделе

CMS WordPress является достаточно популярной платформой для ведения блогов и создания сайтов. Это же автоматически подразумевает большое количество желающих использовать Ваш сайт для своих целей: перехват и перепродажа трафика (т.е. пользователь пришел на Ваш сайт и редиректом ушел на целевой сайт хакера)
размещение рекламных ссылок
создание бота на Вашем сервере/сайте (будет использоваться как минимум для подбора паролей на чужих сайтах)
отправка спама (да, у WordPress есть свой почтовый сервер)
добавление к Вашему сайту рекламных страниц (достаточно дописать в базу MySql) Самое обидное – что сайт живет после взлома не более 6 мес. Поисковые роботы находят всё это…

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 4,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *