Вход в личный кабинет Что такое двухэтапная аутентификация?
Так как пароль можно взломать, особенно, в случае грубой силовой атаки, то здесь желательно добавить еще один уровень защиты поверх слабого пароля. Двухэтапная аутентификация – это один из способов это сделать. Что же такое двух факторная аутентификация?
Когда вас просят ввести капчу или дополнительный PIN-код, то это самые простые разновидности такой аутентификации. Если включена такая аутентификацию, то пользователь должен будет подтвердить вход, какими-либо данными, помимо пароля, используя для этого дополнительный девайс.
Вход будет выполняться, как обычно, только его нужно будет подтвердить кодом, присланным на ваш мобильный. Такой код называется одноразовым паролем или OTP.
Способы получения кода, который используется для верификации
Итак, давайте рассмотрим способы получения кода, который вы внедряете во время верификации:
- Email: когда вы пытаетесь залогиться, то код высылается на ваш email.
- SMS: посылается на мобильный телефон.
- Коды, сгенерированные App: App’ы типа Google Authenticator и Authy быстро автоматически сгенерируют новый код, но вам придется потратить некоторое время на настройку app.
- USB токен: вам просто нужно будет вживить токен в ваш USB (и возможно ввести токен пароль). Это очень безопасный метод, но у него есть и минусы: он не работает с мобильными устройствами в виду отсутствия у них USB-порта. Но данный метод хорош еще и тем, что, как и предыдущий, не зависит от соединения с интернетом или мобильной сети.
Все приведенные здесь сервисы предлагают вам все эти опции на выбор. Также вам будут предложены коды экстренного восстановления доступа, которые позволят увеличить сохранность вашего сайта. Вы можете использовать защитное комбо, состоящее из плагина для WordPress и App для вашего смартфона.
15 плагинов для улучшения страницы авторизации в wordpress | wordpress в квадрате
Страница авторизации — это страница с формой ввода личных данных для авторизации в администраторскую часть сайта. Которая по умолчанию очень простая и выглядит одинаково на всех сайтах данного движка.
Если вы заботитесь о своем сайта, то вам нужно уделить особое внимание этой странице, потому что, с нее начинается более глубокая работа с сайтом и управление им. А именно, сделать ее более безопасной, защищённой от взлома, при этом обеспечить возможность легкой регистрации клиентов (если это нужно) и многое другое.
И в этой статье я подобрал для вас некоторые плагинов улучшения данной страницы и кастомизации ее под свои нужды.
WPForms — один из лучших плагинов для создания форм в WordPress и, в том числе, регистрационных. Плагин позволяет вам создавать свои собственные пользовательские регистрационные формы в несколько щелчков мыши. После создания вы сможете добавлять эти формы в любом месте вашего веб-сайта.
WPForms — это 100%-вое мобильное решение для резинового дизайна, поэтому все ваши формы всегда будут отлично смотреться на всех устройствах (мобильных, планшетах, ноутбуках и настольных компьютерах).
Social Login — бесплатный комплексный WordPress плагин, который предлагает простое решение входа и регистрации на сайт через социальные сети. Для него доступна авторизация через такие ведущие сайты, как Facebook, Twitter, Google, LinkedIn, PayPal, LiveJournal, Instagram, Yahoo, ВК и многие другие.
Вы хотите разрешить пользователям регистрироваться на вашем WordPress сайте, но не хотите, чтобы они попадали в область администрирования? Theme My Login — это популярный плагин, который позволяет создавать пользовательские страницы входа в WordPress. С ним вы сможете использовать любую страницу на своем сайте в качестве страницы входа или регистрации.
Хотите предоставить доступ разработчику вашего WordPress сайта только на некоторое время? Temporary Login Without Password поможет вам это сделать. Плагин временно пускает в админку для работы с сайтом, не создавая при этом учетную запись. С ним вы легко сможете установить дату истечения срока доступа, или указать время для входа в систему и когда его нужно закрыть.
По умолчанию WordPress не блокирует пользователей, если они несколько раз пытаются ввести неправильные данные для авторизации. А это позволяет хакерам узнать ваш пароль с помощью автоматических скриптов перебора паролей. Login Lockdown позволит вам ограничить количество неудачных попыток входа в систему. После чего он блокирует экран входа для этого пользователя в течение некоторого времени.
Хотите сделать авторизацию через Facebook на своем WordPress? Плагин Nextend Facebook Connect позволяет легко и быстро это реализовать на своем сайте. Данная возможность позволяет вашим пользователям быстрее входить в систему, без постоянного ввода логина и пароля.
Страница входа в WordPress по умолчанию выглядит довольно просто. Но вы можете изменить её различными способами, как с использованием дополнительных плагинов, так и собственноручного редактирования кода стилей. Плагин Custom Login Page Customizer позволяет вам создать свой собственный стиль страницы входа в систему, используя страницу настройки темы.
Плагин WP Security Questions позволяет добавлять вопросы безопасности на вашу форму входа в WordPress. С этим плагином пользователи должны будут вписывать не только свой логин и пароль, но и выбрать секретный вопрос, ответив правильно на него. Это добавляет вам определенный уровень безопасности в область администрирования WordPress.
По умолчанию WordPress позволяет вводить свое имя пользователя или адрес электронной почты для входа на сайт. Но некоторые пользователи вписывали при регистрации свой адрес электронной почты, который является общеизвестным. А это, в свою очередь, может облегчить кому-то попасть на вашу страницу, уже зная логин. Плагин No Login by Email Address позволяет отключить возможность авторизации по адресу электронной почты, а оставить только по имени пользователя.
Rename wp-login.php — очень легкий плагин, который позволяет легко и безопасно изменить адрес авторизации с wp-login.php на что угодно. Он не буквально переименовывает и не изменяет файлы в ядре. Он просто перехватывает запросы страниц и работает на любом сайте WordPress. Каталог wp-admin и страница wp-login.php становятся недоступными, поэтому вы должны добавить в закладки или запомнить URL, который вы придумаете сами. Деактивация этого плагина возвращает ваш сайт точно в то состояние, в котором он был раньше.
Вы хотите видеть, что делают авторизированные пользователи на вашем сайте WordPress? Плагин Simple History позволит вам легко отслеживать активность пользователей на вашем сайте, включая их частоту входа и их действия во время сеанса.
Вам нужно сделать ваш WordPress сайт закрытым и с доступом только по паролю? Плагин Password Protected позволит вам легко защитить ваш сайт от сторонних посещений. Для этого не нужно проводить регистрацию пользователей, просто ограничиваете сайт для просмотра по паролю и раздаете его своим будущим посетителям (например, с помощью электронной рассылки).
Хотите узнавать, когда ваши пользователи входили в систему? Это поможет вам узнавать их активность, и принять какие-то действия по отношению к ним. Например, вы сможете отправить им электронное письмо с напоминанием о себе, или удалить их учетную запись, если клиент давно не проявлял никакую активность. WP Last Login позволит вам быстро увидеть дату последнего входа каждого пользователя на странице «Пользователи».
Хотите перенаправить пользователей на разные страницы после входа? Плагин Peter’s Login Redirect позволит вам легко перенаправлять пользователей после входа на выбранную вами страницу. В настройкам можно будет задать разные страницы для разных ролей пользователей, а так же задать страницу после новой регистрации.
Данный плагин создан не улучшить страницу входа на ваш сайт, а закрыть его полностью на время обслуживания. Это очень полезно для ограничения сайта от посетителей, до официального релиза. Плагин Maintenance очень легко настраивается и хорошо выглядит на всех устройствах благодаря гибкой компоновке. На страницу вывода вы сможете добавить свой логотип, фоновое изображение, текст и выбрать желаемый цвет, чтобы сохранить фирменный стиль.
Я надеюсь, что эта статья помогла вам подобрать для себя полезные плагины для улучшения формы авторизации на WordPress сайте.
2 вариант авторизоваться в админке, не открывая страницу входа
добавляем такой код в файл функций активного шаблона:
5sec google authenticator
5sec Google Authenticator – это премиальный плагин, который доступен на Codecanyon за $18. После установки плагина, никто не сможет авторизоваться в вашем аккаунте, даже зная пароль. Когда пользователь пытается авторизоваться, генерируется одноразовый пароль, который присылается на его мобильный телефон. Доступ к сайту будет получен только в случае введения правильного OTP на странице авторизации.
Очередная авторизация потребует нового OTP, который будет активен ограниченное количество времени.
Authy
Authy – это простой плагин, который позволяет установить двухфакторную аутентификацию на вашем сайте. Для получения API-ключей требуется регистрация .
После установки плагина вы можете выбрать роли пользователей, для которых такая аутентификация обязательна. Так что при попытке авторизации, они будут получать коды подтверждения на свои мобильные телефоны.
Перейти к плагину
Cli авторизация через пароль приложения
Обновим описание у пользователя 12
Google authenticator – плагин wordpress и мобильное приложение
Данный плагин рекомендует использовать Yoast SEO. С ним нет никаких хлопот, в то же время он обеспечивает дополнительный уровень безопасности вашему сайту. Альтернативой может быть Rublon, который работает аналогичным образом, но Yoast обычно использует Google Authenticator.
Javascript авторизация через пароль приложения
Такая авторизация нужна только если отправляется AJAX запрос с одного сайта на другой. Если AJAX запрос происходит внутри сайта, и пользователь уже авторизован, то вместе с запросом будут отправлены куки аутентификации, а это значит что авторизация уже есть, нужно только указать nonce-код (см. выше).
Two factor auth
Если вы хотите обезопасить ваш сайт, ничего не настраивая, то вам стоит попробовать Two Factor Auth. Он работает со сторонними app, типа Google Authenticator. По умолчанию плагин посылает код на электронную почту, но это можно перенастроить
Перейти к плагину
Two factor authentication от miniorange
Two Factor Authentication от miniOrange работает точно также, как и те опции, которые уже были описаны выше, но имеет несколько дополнительных опций, делающих это решение более привлекательным.
Работает с Google Authenticator, miniOrange App и Authy 2 factor Authentication App. MiniOrange Authenticator App кодирует все данные, а также имеет встроенную защиту PINов. Если вы потеряли свой телефон, то вам будут предложены такие альтернативные методы аутентификации, как OTP, приходящий на email или секретный вопрос.
MiniOrange app поддерживает 15 методов аутентификации, включая токены и QR-коды. Чтоб получить доступ к сайту из мобильного браузера, вы можете переключиться на секретный вопрос, просто кликнув на эту опцию. Работает на всех телефонах. Поддерживает прямой вход в тему WooCommerce, а премиум-версия дает еще больше возможностей.
Перейти к плагину
Wp google authenticator для wordpress
Данное расширение использует Google Authenticator App, которое позволяет вам генерировать коды, используя Android, iPhone или Blackberry.
После установки App на свой мобильный, вам нужно будет установить еще и плагин на свой сайт. После этого шага будет сгенерированный код безопасности, и вы сможете добавить ваш сайт в App, просканировав QR-код.
Новый ключ безопасности можно сгенерировать в любой момент времени, а любой ключ пользователя можно легко отменить. Все использованные OTP хранятся в базе данных, что позволяет избежать перехвата кода. На тот случай, если вы не можете использовать App, вам будет дан код восстановления. Плагин полностью совместим с Authy.
Перейти к плагину
Xml-rpc api
Чтобы использовать пароль приложения XML-RPC API, вы можете просто использовать его вместо реального пароля учетной записи.
Двухступенчатая аутентификация с duo
Плагин Duo поможет вам без труда включить двухступенчатую аутентификацию на вашем сайте. Все пользователи и администраторы теперь вынуждены будут проходить верификацию с помощью одного из девайсов – токена или смартфона
После установки плагина, вам нужно будет зарегистрироваться на сайте плагина, чтоб у вас появился доступ к защитным ключам. Вы можете создавать роли, для которых будет необходима двухфакторная аутентификация. Для верификации пользователи могут использовать OTP, которые присылаются на мобильный телефон, создаются токеном или генерируются помощью app Duo.
Перейти к плагину
Двухфакторная аутентификация
Введенные пароли приложений устраняют препятствия для включения многофакторной аутентификации.
Ранее, при включении еще одного фактора аутентификации на странице входа wp-login.php. Не было возможности внедрить такую же авторизацию на устаревшую систему XML-RPC. И от этой функциональности пришлось бы отказаться. Но теперь, когда есть другой вариант использовать различные API, также появляется возможность развивать базовую авторизацию через wp-login.php.
Должен ли я использовать один и тот же пароль для каждой страницы, защищенной паролем?
Что произойдет, если вы будете использовать один и тот же пароль для всех своих страниц?
В этом случае ваши пользователи могут иметь доступ ко всем вашим страницам, защищенным паролем, с одним и тем же паролем.
Когда пользователь посещает страницу, защищенную паролем, ему необходимо ввести пароль. Однако, если они посещают другую защищенную паролем страницу с тем же паролем, им не нужно вводить пароль снова.
Если на вашем веб-сайте несколько страниц, защищенных паролем, лучше всего связать их с одной страницей. Таким образом, вашим пользователям не нужно искать другие страницы вашего сайта, защищенные паролем.
Другие api
Аутентификацию через пароль приложения также можно будет применить к будущим API WordPress. Например, если GraphQL будет добавлен в WordPress, пароли приложений обеспечат ему устоявшуюся логику аутентификации, которая будет работать из коробки.
Пример проверки является ли текущий запрос запросом к какому либо API для WPGraphQL. Теперь WPGraphQL сможет принимать аутентифицированные запросы без дополнительных плагинов, используя только функционал паролей приложений.
Зачем защищать паролем страницу wordpress?
Теперь, когда вы знаете, что вы можете защитить паролем страницу WordPress, возникает вопрос, зачем нам защищать паролем страницу WordPress?
Существует много причин для этого. Например, вы можете опубликовать уникальный пост на своем сайте. В этом случае вы не хотите, чтобы кто-то украл ваш пост до большого открытия. Следовательно, вам необходимо защитить его паролем.
Другая причина, вы можете захотеть показать свой контент определенной группе посетителей. В эту группу могут входить ваши близкие друзья или клиенты, которые приобрели право просматривать контент на вашем веб-сайте. Поэтому вы можете захотеть защитить паролем свой важный контент, события и учебные пособия.
Защищенные разрешения
Если вы выберете эту опцию, ваши пользователи с соответствующими разрешениями (ролью) смогут входить на ваш сайт, не вводя никаких паролей.
Как видите, в поле New Password нужно выбрать новый пароль.
Как защитить паролем страницу или сообщение wordpress?
Пришло время добавить пароль к своим страницам или сообщениям. Это легко сделать, изменив свой статус видимости. Как упоминалось выше, с помощью параметра «Защита паролем» вы можете защитить паролем нужные страницы и сообщения.
После выбора «Защищено паролем» появится окно, в котором вы можете ввести желаемый пароль. Этот пароль может быть числовым, символьным или и тем, и другим. После выбора пароля вы можете сохранить свою страницу или опубликовать ее.
Это все, что вам нужно сделать, чтобы защитить паролем страницу WordPress. Однако обязательно запомните пароль или запишите его в блокноте.
Как получить доступ к странице, защищенной паролем?
Когда ваши пользователи посещают страницу, защищенную паролем, они видят изображение ниже:
Если у ваших пользователей есть пароль, введя пароль и нажав Enter, они смогут перейти на страницу.
Область доступа
В будущих версиях предполагается включить возможность ограничения доступа для конкретного пароля. Пока предполагается расширять такой функционал через плагины, которые затем будут добавлены в ядро.
Общественные
Выбрано по умолчанию. После выбора этой опции каждый сможет просматривать ваш контент без каких-либо ограничений.
Пароль защищен
Когда вы выбираете эту опцию, только люди, у которых есть пароль, могут получить доступ к записи или странице.
Плагин unloq two factor authentication (2fa)
Плагин легко использовать. Можно выбрать предпочтительный тип аутентификации (три способа) – одноразовый пароль, основанный на времени (TOTP) или использовать электронный почтовый или push-уведомление:
Также есть приложение UNLOQ:
Разница между страницей, защищенной паролем, и частной страницей
Самый простой способ добавить пароль к странице или конкретному сообщению – использовать разные возможности видимости. Как мы уже упоминали выше, после создания публикации или страницы в WordPress в правом верхнем углу появляется сообщение «Видимость публикации», предлагающее несколько вариантов.
Разрешить ip-адрес
Если в разделе IP-адреса вы вводите желаемые IP-адреса, им не нужно вводить пароль для входа на ваш сайт.
Когда вы закончите, убедитесь, что вы сохранили свои изменения, нажав «Сохранить изменения».
Если ваши посетители не принадлежат ни к одной из упомянутых выше категорий, они увидят страницу с запросом пароля.
Имейте в виду, что если у ваших пользователей есть прямая ссылка на ваш контент или изображение, они могут получить к нему доступ без ввода каких-либо паролей.
Редактирование .htaccess
Добавьте в файл .htaccess, который находится в папке с файлом wp-login.php (по умолчанию корневая папка сайта), этот код:
В строке 2 укажите путь к файлу с паролями. В строке 5 укажите через пробел столько пользователей, сколько нужно.
Чтобы избежать ошибок 404 и 401, добавьте этот код в самом начале .htaccess:
Решения «все в одном» для безопасности вашего сайта
Если просто включения двухфакторной аутентификации вам недостаточно, то вы можете рассмотреть одно из комплексных решений, которое выведет безопасность вашего сайт на качественно новый уровень, например, можно использовать популярные плагины iThemes Security Pro и Wordfence.
ManageWP включает двухфакторную аутентификацию в качестве встроенной функции. WP Simple Firewall – это массивный плагин безопасности, который предлагает двухфакторную аутентификацию по email среди большого количества прочих функций.
Ну и конечно, админ просто может часто менять сильные пароли, что по большому счету позволяет отказаться от использования плагинов, описанных выше. Но вот только как показывает практика, занимаются этим админы и владельцы сайтов весьма редко. Также не лишним будет внедрить SSL на ваш WordPress-сайт.
Связанные функции
Все функции смотрите здесь.
Ссылки по теме:
Способ 1: на странице профиля в админке wp
Здесь же можно смотреть какие пароли используются и если нужно удалять пароли.
Этот способ создан для использования его самим приложением.
При обычном GET запросе на корневой REST маршрут /wp-json/ в ответе, в поле authentication содержаться данные о способах авторизации. С версии WP 5.6 там появилась авторизация application-passwords в которой указана ссылка, которую можно дать пользователю сайта.
Способ 4: функция create_new_application_password()
См. WP_Application_Passwords::create_new_application_password()
Установите пароль к папке или файлу в интерфейсе администратора хостинга
На многих хостингах есть инструменты, чтобы установить пароль на папку или файл. На хостинге с CPanel это можно настроить в интерфейсе администратора.
Если ваш сервер позволяет настроить пароль на нужный файл или папку, то это можно сделать вручную. Для этого нужно:
Формат пароля приложения
Длина пароля указывается константой PW_LENGTH и составляет 24 символа. Создается он функцией wp_generate_password(), в которой отключено использование спец символов. Получается, пароль может состоять из символов: a-zA-Z0-9 – строчных, заглавных букв, чисел.
На выводе пароль делиться на фрагменты по 4 символа, например:
abcd EFGH 1234 ijkl MNOP 6789
Пароли приложений можно использовать как с пробелами, так и без них. Пробелы будут просто удалены до того, как пароль будет проверен. Вместо пробелов можно также использовать символы _ и -.
abcd_EFGH_1234_ijkl_MNOP_6789 abcd-EFGH-1234-ijkl-MNOP-6789
А вот так пароли очищаются от лишних символов (пробелом, тире) перед сравнением:
/* * Strip out anything non-alphanumeric. This is so passwords can be used with * or without spaces to indicate the groupings for readability. * * Generated application passwords are exclusively alphanumeric. */ $password = preg_replace( '/[^a-zd]/i', '', $password );
Функция wp_set_auth_cookie() установим куки авторизации
wp_set_auth_cookie()
Частный
В этом варианте ваш пост или страница защищены в зависимости от ваших ролей пользователя. Следовательно, если у пользователя есть правильная роль, он / она может получить доступ к личному контенту.
Как вы, наверное, догадались, как в личных, так и в защищенных паролем параметрах вы можете защитить свой контент.
Когда вы устанавливаете для параметра «Доступность публикации» значение «Защищено паролем», вы можете просто выбрать пароль для своей публикации или страницы. Следовательно, только пользователи, у которых есть пароль, могут получить доступ к вашему контенту.
Вы также можете защитить паролем одну или две страницы одним и тем же методом. Однако вам нужно создать несколько паролей.
После того, как вы защитите страницу паролем, она не будет удалена с вашего сайта. Однако он доступен только для пользователей, у которых есть пароль.
Выбрав пароль для ваших страниц WordPress, к заголовкам ваших страниц будет добавлен защищенный.
Увидев слово «Защищено» перед вашим контентом, ваши пользователи понимают, что контент защищен паролем. Однако у этой функции есть достоинства и недостатки.
В статусе Private пользователям не нужно запоминать и вводить пароли. Ваши пользователи могут получить доступ к частным страницам в зависимости от их пользовательских ролей.
Если у них есть правильная роль, они могут получить доступ к частному. В противном случае отображается ошибка 404.
Таким образом, основное различие между Private и Password Protected заключается в том, что вам не нужно вводить какие-либо пароли для личных страниц.
Если ваши пользователи имеют правильную роль, они могут получить доступ к странице. В противном случае они не смогут увидеть эту страницу на вашем сайте.
Заключение
В зависимости от настроек вашего сервера, эти способы могут не работать.
Если не работает, попробуйте плагин Password Protected, он добавляет дополнительный пароль на весь сайт, или попросите техподдержку настроить эту защиту для вас.