Как использовать двухфакторную аутентификацию с помощью WordPress

Настройка вопросов безопасности (аутентификация на основе знаний)

Чтобы задать контрольные вопросы для аутентификации на основе знаний, перейдите на страницу «Двухфакторная установка» и выберите «Контрольные вопросы (KBA)».

Если вас устраивают контрольные вопросы, нажмите кнопку «Сохранить», и все готово.

Почему двухфакторная аутентификация?

Термин «двухфакторная аутентификация» описывает процесс запроса двух цифровых транзакций для проверки личности пользователя. Множество компаний из кирпича и строительных растворов реализуют это, требуя биометрических данных или специализированного устройства идентификации.

Однако в онлайн-мире двухфакторная аутентификация обычно осуществляется через цифровые каналы связи – будь то служба электронной почты или SMS.

Проще говоря, двухфакторная аутентификация похожа на добавление второго уровня защиты в вашу безопасность WordPress. Вместо того, чтобы зависеть исключительно от вашего пароля, вы можете дополнительно защитить безопасность своей учетной записи WordPress, требуя дополнительного метода проверки подлинности, который, надеюсь, недоступен для хакеров.

Без дальнейших церемоний, вот шаги по быстрому внедрению двухфакторной аутентификации в вашей установке WordPress.

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация (2FA) – это метод, который подтверждает, является ли пользователь законным, путем объединения двух разных, не связанных между собой компонентов. Обычно это два компонента:

• Знания – то, что должен знать пользователь, например, ПИН-код или пароль.
• Владение – то, что должно быть у пользователя, например, OTP, отправленный на другое устройство, ключ безопасности или токен.

Раньше пользователи могли входить в систему с помощью своих знаний, однако слабые или повторяющиеся пароли облегчили хакерам доступ к конфиденциальной информации. Поэтому было задумано объединение двух компонентов (знания и владения), потому что было очень маловероятно, что хакер сможет получить пароль пользователя вместе с его владением.

5sec google authenticator

5sec Google Authenticator – это премиальный плагин, который доступен на Codecanyon за $18. После установки плагина, никто не сможет авторизоваться в вашем аккаунте, даже зная пароль. Когда пользователь пытается авторизоваться, генерируется одноразовый пароль, который присылается на его мобильный телефон. Доступ к сайту будет получен только в случае введения правильного OTP на странице авторизации.

Очередная авторизация потребует нового OTP, который будет  активен ограниченное количество времени.

Two factor auth

Если вы хотите обезопасить ваш сайт, ничего не настраивая, то вам стоит попробовать Two Factor Auth. Он работает со сторонними app, типа  Google Authenticator. По умолчанию плагин посылает код на электронную почту, но это можно перенастроить

Перейти к плагину

Wp google authenticator для wordpress

Данное расширение использует Google Authenticator App, которое позволяет  вам генерировать коды, используя Android, iPhone или Blackberry.

После установки App на свой мобильный, вам нужно будет установить еще и плагин на свой сайт. После этого шага будет сгенерированный код безопасности, и вы сможете добавить ваш сайт в App, просканировав QR-код.

Новый ключ безопасности можно сгенерировать в любой момент времени, а любой ключ пользователя можно легко отменить. Все использованные OTP хранятся в базе данных, что позволяет избежать перехвата кода. На тот случай, если вы не можете использовать App, вам будет дан код восстановления. Плагин полностью совместим с Authy.

Перейти к плагину

Бонус: плагин многофакторной аутентификации wordpress – covr

Covr – это плагин для WordPress, который можно легко настроить и включить для обеспечения многофакторной безопасности. Он идентифицирует пользователей с помощью двух частей информации и предназначен для информирования пользователей о том, что их сайт защищен от неминуемых кибератак.

Введите данные учетной записи twilio

После того, как вы активируете плагины, вам нужно перейти к пользователям > Страница вашего профиля. Далее прокрутите вниз, чтобы выбрать раздел «Двухфакторные параметры».

Установите флажок с опцией SMS (Twilio). А также нажмите круглую кнопку, чтобы отметить ее как основной метод проверки.

После этого прокрутите вниз до раздела Twilio. Здесь вам необходимо предоставить информацию о своей учетной записи Twilio.

Включение проверки подлинности sms

Чтобы выбрать аутентификацию по SMS, вернитесь на страницу «Двухфакторная настройка» и выберите «OTP Over SMS». Вы попадете на страницу подтверждения номера телефона.

Просто помните, что аутентификация SMS доступна только для бесплатных пользователей до входа в систему 10. Если вы хотите продолжать пользоваться своим сервисом, вам следует рассмотреть возможность перехода на платную версию.

С положительной стороны, премиум-пользователи также смогут использовать проверку по телефону. Это чистая миля – один из самых безопасных вариантов, которые вы можете использовать для двухфакторной аутентификации.

Вход с двухфакторной аутентификацией

Теперь все настроено. Держите телефон / планшет поблизости и переходите к первому этапу, введя пароль. Теперь вы находитесь на перекрестке двухфакторной аутентификации.

Вы можете выбрать Нажмите Duo или Passcode в качестве метода входа в систему. Если вы выбрали Duo Push, нажмите «Войти». Вы должны увидеть уведомление на своем устройстве Android / iOS.

Запустите приложение Duo Mobile и выберите Утвердить. Вы должны сразу увидеть что-то вроде этого:

Теперь вы успешно преодолели 2- й этап процесса двухфакторной аутентификации и можете получить доступ к панели инструментов WP. Поздравляю! Если вы выбрали пароль в качестве метода входа, вы найдете его в приложении Duo Mobile. Вам нужно будет ввести его вручную и нажать «Войти».

Двухфакторная аутентификация для wordpress

Ваш веб-сайт WordPress содержит вашу личную и деловую информацию. Кроме того, в нем также есть весь ценный контент. Таким образом, важно обеспечить безопасность страницы входа.

Вы должны знать, что атаки на веб-сайты становятся все более распространенными. Хакеры используют автоматизированные скрипты, которые используют различные комбинации имени пользователя и пароля для взлома вашей учетной записи.

Но вы можете защитить свой сайт WordPress с помощью двухфакторной аутентификации.

Обратите внимание, хакерская атака происходит каждый 39 секунд. Вы можете обратиться к профессионалу Компания по разработке CMS WordPress создать сайт с высокой степенью безопасности.

Тем не менее, ниже приводится пошаговое руководство по добавлению двухфакторной аутентификации.

Другие параметры проверки подлинности

Помимо проверки электронной почты, miniOrange также поддерживает аутентификацию с помощью QR-кода, SMS, вопросов безопасности, Push-уведомления и приложений, таких как Authy и Google Authenticator.

Вот краткий обзор этих дополнительных методов.

Загляните в метод мобильной аутентификации

Помните, я сказал, что пробовал и метод мобильной аутентификации? Что ж, инструкции на экране мы подробны, и им легко следовать. На этом снимке экрана показано, что мобильное устройство добавлено под пользователем «sourav».

Помните, что эта форма аутентификации будет стоить вам кредитов. Вы можете использовать голосовой вызов или SMS каждый раз при входе в систему. Особенно впечатляла функция голосового вызова. Все, что мне нужно было сделать, это ответить на звонок и нажать любую кнопку. Вот и все – я автоматически авторизовался.

Зачем переходить от однофакторной аутентификации к двухфакторной?

Хотя однофакторная аутентификация проста в использовании и экономит время, она уже не так безопасна. Основа 2FA заключается в том, что у хакера маловероятно наличие двух факторов, необходимых для доступа к учетной записи. Пароли различной силы, символы и символы, а также общие вопросы безопасности стали бессмысленными, поскольку к ним легко получить доступ.

Однако в двухфакторной аутентификации, если попытка аутентификации не удалась хотя бы в одном экземпляре, учетная запись остается заблокированной, поскольку доступ пользователю не предоставляется. 2FA обеспечивает дополнительную безопасность, поэтому многие государственные и банковские службы перешли с 1FA на 2FA. Здесь, в Templatetoaster, конструктор сайтов WordPress демонстрирует сравнение.

Как добавить устройство android в свою учетную запись duo security

Поскольку у большинства из нас есть смартфон, я создал подробное руководство по методу аутентификации Android. Вы можете так же легко настроить другие устройства, следуя инструкциям на экране.

Основное преимущество использования устройства Android в качестве метода аутентификации (представленного как планшет) заключается в том, что вам не нужен активный сигнал оператора мобильной связи. Все, что требуется – это рабочее подключение к Интернету на соответствующем устройстве. Итак, мы выбираем планшет в разделе «Выберите ваше устройство».

Я выбрал Android. Если у вас есть iPad или iPhone, выберите iOS.

Теперь вам нужно установить соответствующее мобильное приложение. Установите флажок подтверждения и нажмите ” Продолжить”.

Откройте приложение Duo Mobile на своем устройстве и щелкните значок ключа. Это запустит сканер штрих-кода.

Отсканируйте штрих-код с экрана, чтобы превратить ваш планшет / телефон в распознаваемое устройство аутентификации.

Это подтверждение показывает, что пользователь john имеет Android-устройство как распознанное или зарегистрированное устройство в своей учетной записи.

Минусы

• Сервер Clef должен работать правильно, чтобы вы могли завершить процедуру входа в систему, и ваш смартфон должен быть в рабочем состоянии при себе.

Shield WordPress Security предлагает 2 метода двухфакторной аутентификации и использует электронную почту в качестве основы для проверки, чтобы гарантировать, что пользователь, пытающийся войти в WordPress, является законным.

Настройка двухфакторной аутентификации в wordpress

После установки плагина он покажет вам мастер начала работы. Вы можете следовать указаниям мастера, нажав «Приступим!» или закройте мастер и используйте настройку конфигурации. Тем не менее, мы рекомендуем закрыть мастер и выполнить настройку вручную, так как в любом случае вам необходимо изменить настройки после выполнения действий мастера.

Настройка панели администратора duo

После настройки учетной записи Duo вы автоматически будете перенаправлены в панель администратора.

• Если вы забираете отсюда, войдите в свою учетную запись и в левом меню выберите Интеграции > Новая интеграция.
• В разделе Тип интеграции выберите WordPress.
• Имя интеграции может быть любым – в этом руководстве мы будем использовать «Мой сайт WP».
• Нажмите на ” Создать интеграцию”.

Настройка электронной почты вместо мобильной аутентификации

Если вы хотите получать код на электронную почту вместо мобильного приложения, вы можете настроить его, перейдя в меню «Настройки> Двухфакторная аутентификация». Выберите метод «Одноразовый код по электронной почте (HOTP)» на вкладке «Настройки 2FA». Вы также можете использовать электронную почту вместе с кодом мобильной аутентификации.

После этого перейдите на вкладку «Настройки и шаблоны электронной почты» и настройте электронную почту. Вы можете использовать адрес электронной почты администратора текущего пользователя из профиля пользователя WordPress или ввести собственный адрес электронной почты.

• Настройте шаблон электронной почты для каждого действия, такого как 2FA, код входа, заблокированная и разблокированная учетная запись.
• Проверьте доставку электронной почты, чтобы убедиться, что настройка электронной почты работает на вашем сайте.

После этого вернитесь в профиль пользователя и нажмите кнопку «Настроить двухфакторную аутентификацию (2FA)». На открывшемся экране вы можете выбрать способ электронной почты и нажать «Далее», чтобы продолжить.

Введите собственный адрес электронной почты или используйте адрес электронной почты текущего пользователя и нажмите кнопку «Я готов».

Вы получите код аутентификации по электронной почте в соответствии с шаблоном настройки. Введите код и нажмите кнопку «Готово», чтобы завершить метод аутентификации по электронной почте.

Другие настройки для двухфакторной аутентификации

Плагин также предлагает некоторые другие полезные настройки:

• Применяйте двухфакторную аутентификацию для всех пользователей или только для определенных пользователей и ролей.
• Вы можете запретить некоторым пользователям вводить код 2FA при входе на свой сайт.
• Также можно предложить льготный период, чтобы заставить пользователя настроить 2FA.
• Настройте страницу перенаправления для отправки пользователей после входа в систему с кодом 2FA.
• Разрешить пользователям отключать 2FA на странице своего профиля после входа на сайт.
• Настройте страницу внешнего интерфейса для 2FA вместе с опцией перенаправления, когда ваши пользователи используют настраиваемую страницу входа. Это полезный вариант, когда у вас есть членство или интернет-магазин и вы не разрешаете пользователям доступ к панели управления WordPress. Например, плагин WooCommerce будет иметь настраиваемую страницу входа и отправлять пользователей на страницу их учетных записей вместо отображения панели инструментов WordPress по умолчанию. В этом случае вы можете создать внешнюю страницу 2FA и настроить перенаправление для пользователей, которые будут приземляться после использования кода аутентификации.

Обязательно сохраните изменения после завершения настройки конфигурации.

Программы для Windows, мобильные приложения, игры – ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале – Подписывайтесь:)

Плюсы

• Смартфоны пользователей используются Covr в качестве инструментов проверки. Каждый раз, когда пользователь желает войти в систему, в приложение Covr на телефоне администратора отправляется push-уведомление, чтобы уведомить его о запросе на вход, который может быть отклонен, если злоумышленник попытается получить доступ к веб-сайту.
• Covr позволяет пользователю контролировать свой веб-сайт, не полагаясь на сторонние системы.

Подключите duo security к своему сайту wordpress

Теперь мы скопируем секретные ключи и вставим их на наш сайт WordPress. Это установит соединение между нашим сайтом WordPress и Duo Security.

Для этого перейдите в Панель управления WP> Настройки> Двухфакторный Duo. Необходимые настройки доступны на этой странице. Скопируйте ключи из интерфейса администратора Duo Security и вставьте их в соответствующие поля. Нажмите «Сохранить изменения», и соединение будет установлено. Теперь на вашем сайте включена двухфакторная аутентификация. На следующем шаге мы настроим метод аутентификации.

Предпосылки

Для включения двухфакторной аутентификации необходимо, чтобы следующие устройства всегда были у каждого владельца учетной записи.

1. Мобильный телефон или планшет. Желательно смартфон, поскольку для международных звонков / текстовых сообщений требуются платные кредиты. Смартфоны рекомендуются для устройств Android, iOS и BlackBerry.
2. Активный номер телефона (этот или рекомендуемый смартфон с доступом в Интернет)
3. Duo Security счет

Преимущества двухфакторной аутентификации

Как вы понимаете, преимущества двухфакторной аутентификации неоценимы в небезопасной среде. Даже если кто-то узнает ваш пароль, он не сможет получить доступ к вашей учетной записи. 2- й этап аутентификации, то есть OTP остановит его. Ознакомьтесь с этим замечательным объяснением от Duo Security. Однако в очень редких случаях, когда злоумышленник имеет доступ как к вашему паролю, так и к телефону, вам конец.

Решения «все в одном» для безопасности вашего сайта

Если просто включения двухфакторной аутентификации вам недостаточно, то вы можете рассмотреть одно из комплексных решений, которое выведет безопасность вашего сайт на качественно новый уровень, например, можно использовать популярные плагины iThemes Security Pro и Wordfence.

ManageWP включает двухфакторную аутентификацию в качестве встроенной функции. WP Simple Firewall – это массивный плагин безопасности, который предлагает двухфакторную аутентификацию по email среди большого количества прочих функций.

Ну и конечно, админ просто может часто менять сильные пароли, что по большому счету позволяет отказаться от использования плагинов, описанных выше. Но вот только как показывает практика, занимаются этим админы и владельцы сайтов весьма редко. Также не лишним будет внедрить SSL на ваш WordPress-сайт.

Создать резервные коды

Что происходит, если мобильный телефон не находится ближе к вам или вы не можете войти в систему после настройки 2FA? Чтобы избежать непредвиденных ситуаций, вы можете сгенерировать резервные коды и использовать вместо кода из приложения аутентификатора.

Сравнительная таблица 10 лучших плагинов двухфакторной аутентификации wordpress

Примечание. Этот плагин не работает, и его поддержка прекращена согласно официальному объявлению. Мы предлагаем вам выбрать любой другой плагин из списка ниже.

Clef – это безопасный плагин, который хранит данные для входа в WordPress на устройстве Clef пользователей в зашифрованном виде и распознает веб-сайты с использованием системы шифрования RSA-Public Key.

Требования для двухфакторной аутентификации в wordpress

Теперь вы знаете, как работает двухфакторная система аутентификации в WordPress. Прежде чем вы планируете реализовать это на собственном веб-сайте, вот что вам нужно.

Программы для Windows, мобильные приложения, игры – ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале – Подписывайтесь:)

• Установите плагин аутентификации двух фактов.
• Имейте мобильный телефон или действующий адрес электронной почты.
• Установите приложение-аутентификатор для мобильных телефонов или настройте рабочую электронную почту в вашей установке WordPress.

Установите двухфакторные плагины

Первое, что вам нужно сделать, это установить Двухфакторный и Двухфакторное SMS плагины. Первый плагин под названием Two-Factor позволяет настраивать проверку по SMS различными способами.

А второй плагин, Two-Factor SMS, действует как надстройка для первого плагина. Вы должны установить оба плагина и активировать их тоже.

Установите плагин wp 2fa

Для WordPress доступно несколько плагинов двухфакторной аутентификации. Войдите в свою админ-панель и перейдите в раздел «Плагины> Добавить». Выполните поиск по запросу «аутентификация», чтобы найти WP 2A — двухфакторная аутентификация для WordPress плагин. Установите плагин и активируйте его на своем сайте.

Часть 1 – добавление двухэтапной проверки по sms для входа в wordpress

Вы можете добавить двухэтапную проверку по SMS на экран входа в WordPress. После того, как вы введете свой идентификатор пользователя и пароль, вы получите уникальный код на свое мобильное устройство по SMS.

Подводя итоги

С Covid-19.количество зарегистрированных киберпреступлений увеличилось на 300%. Таким образом, безопасность веб-сайта должна быть вашим главным приоритетом.

2FA добавляет дополнительный уровень безопасности вашему сайту WordPress. Вы можете использовать любой из вышеперечисленных методов, чтобы добавить на свой сайт двухфакторную аутентификацию.

Даже лучше, вы можете рассмотреть Услуги по настройке WordPress. Профессиональная компания по веб-разработке может предоставить вам веб-сайт с непревзойденной безопасностью.

Вывод

Когда мир вступает в новую цифровую стадию, уровень киберпреступности неизбежно достигнет своего апогея. Одно из ложных ощущений безопасности, которое обычно возникает у пользователей, заключается в том, что в этом небезопасном мире они не будут подвергаться атаке.

Однако наша работа, личность, личная и финансовая информация находится в открытом доступе, и все мы легко можем подвергнуться атаке. Единственный способ защититься – быть готовым. Двухфакторная аутентификация – одна из таких блокировок от ботов и самозванцев, которые пытаются атаковать ваш сайт.

Это подводит нас к вопросу, какой плагин двухфакторной аутентификации лучше всего подходит для WordPress. Нашим выбором будет Duo. Во-первых, его очень легко установить и настроить. Во-вторых, он предлагает несколько способов создания или получения кодов доступа, также известных как push-уведомления, SMS, обратные вызовы по телефону, TOTP, токены безопасности или устройства U2F.

Это тоже бесплатно! С таким большим количеством опций, если у вас есть учетная запись, которую используют несколько пользователей, вы можете добавить этот плагин, не беспокоясь о том, есть ли у всех пользователей базовый функциональный смартфон! Теперь, после всего этого, если вы хотите защитить свой сайт от злонамеренных кибератак и неизбежной потери всей своей тяжелой работы, загрузите TemplateToaster, конструктор тем WordPress. для разработки тем WordPress без хлопот программирования, обеспечивая при этом полную совместимость со всеми плагинами, упомянутыми в этой статье.