Jak dodać uwierzytelnianie dwuskładnikowe w WordPress (metoda bezpłatna)
Opublikowany: 2023-08-19Czy zauważyłeś, że popularne witryny, takie jak Facebook i Google, proszą Cię o dodanie uwierzytelniania dwuskładnikowego w celu poprawy bezpieczeństwa?
Cóż, teraz możesz dodać uwierzytelnianie dwuskładnikowe do swojej witryny WordPress. Zapewnia to maksymalne bezpieczeństwo Twojej witryny WordPress i wszystkich jej zarejestrowanych użytkowników.
W tym artykule pokażemy, jak dodać uwierzytelnianie dwuskładnikowe do WordPress za pomocą wtyczki i aplikacji uwierzytelniającej.
Po co dodawać uwierzytelnianie dwuskładnikowe w WordPress?
Jedną z najczęstszych sztuczek stosowanych przez hakerów są ataki brute-force. Podczas jednego z tych ataków używają automatycznych skryptów, które próbują odgadnąć właściwą nazwę użytkownika i hasło, aby móc zalogować się do Twojej witryny WordPress.
Udany atak brute-force może zapewnić hakerom dostęp do obszaru administracyjnego Twojej witryny. Mogą instalować złośliwe oprogramowanie, kraść informacje o użytkownikach i usuwać całą zawartość Twojej witryny.
Jednym z najprostszych sposobów ochrony witryny WordPress przed kradzieżą haseł jest dodanie uwierzytelniania dwuskładnikowego (2FA). W przypadku tego ustawienia konieczne będzie wprowadzenie zarówno hasła, jak i dodatkowego kodu (z aplikacji, wiadomości e-mail lub SMS-a), aby zalogować się do swojej witryny.
W ten sposób, nawet jeśli ktoś ukradnie Twoje hasło, nadal będzie musiał wprowadzić kod bezpieczeństwa z telefonu, aby uzyskać dostęp.
Co to jest aplikacja uwierzytelniająca?
Istnieje wiele sposobów skonfigurowania logowania dwuetapowego w WordPress. Jednak najbezpieczniejszą i łatwiejszą metodą jest użycie aplikacji uwierzytelniającej.
Aplikacja uwierzytelniająca to aplikacja na smartfony, która generuje tymczasowe hasło jednorazowe do kont, które w niej zapisujesz.
Zasadniczo aplikacja i serwer używają tajnego klucza do szyfrowania informacji i generowania jednorazowych kodów, których można użyć jako drugiej warstwy ochrony.
Istnieje wiele bezpłatnych aplikacji:
- Najpopularniejszą aplikacją jest Google Authenticator, ale nie jest to najlepszy wybór. Dzieje się tak dlatego, że w przypadku zgubienia telefonu nie będzie możliwości odzyskania kont, chyba że wcześniej utworzysz kopię zapasową.
- Zalecamy korzystanie z Authy, ponieważ jest to łatwa w użyciu i bezpłatna aplikacja, która umożliwia także zapisywanie kont w chmurze w zaszyfrowanym formacie. W ten sposób, jeśli zgubisz telefon, możesz po prostu wprowadzić hasło główne, aby przywrócić wszystkie konta.
- Inne menedżery haseł, takie jak LastPass i 1Password, mają własną wersję modułu uwierzytelniającego. Są lepsze niż Google Authenticator, ponieważ umożliwiają przywracanie kluczy.
Na potrzeby tego samouczka będziemy używać Authy. Jeśli chcesz, możesz skorzystać z naszego samouczka, korzystając z innej aplikacji, ponieważ wszystkie działają w ten sam sposób.
Mając to na uwadze, przyjrzyjmy się, jak dodać 2FA w WordPress. Po prostu kliknij poniższe łącza, aby przejść do preferowanej metody:
Przyjrzyjmy się teraz, jak łatwo i bezpłatnie dodać weryfikację dwuskładnikową do ekranu logowania WordPress.
Metoda 1: Dodanie uwierzytelniania dwuskładnikowego przy użyciu WP 2FA
Ta metoda jest łatwa i zalecana dla wszystkich użytkowników. Jest elastyczny i pozwala wymusić uwierzytelnianie dwuskładnikowe dla wszystkich użytkowników.
Najpierw musisz zainstalować i aktywować wtyczkę WP 2FA – Two-Factor Authentication. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem krok po kroku dotyczącym instalacji wtyczki WordPress.
Po aktywacji kreator konfiguracji WPA 2FA uruchomi się automatycznie. W przeciwnym razie możesz odwiedzić stronę Użytkownicy »Twój profil i przewinąć w dół do sekcji „Ustawienia WP 2FA”.
Kliknięcie przycisku „Konfiguruj uwierzytelnianie dwuskładnikowe (2FA)” spowoduje uruchomienie kreatora konfiguracji.
Kreator instalacji WP 2FA
Po prostu kliknij przycisk „Zaczynajmy!” przycisk, aby rozpocząć konfigurację wtyczki.
Na następnej stronie zostaniesz poproszony o wybranie metody uwierzytelniania.
Istnieją dwie opcje:
- Kod jednorazowy wygenerowany za pomocą wybranej aplikacji 2FA (zalecane)
- Kod jednorazowy przesłany do Ciebie e-mailem
Zalecamy wybranie uwierzytelnienia za pomocą aplikacji 2FA (TOTP), ponieważ jest bezpieczniejsze i bardziej niezawodne.
Po dokonaniu wyboru możesz kliknąć przycisk „Kontynuuj instalację”, aby przejść do następnej strony kreatora instalacji.
Zostaniesz zapytany, z jakich alternatywnych metod 2FA mają korzystać Twoi użytkownicy, jeśli podstawowa metoda 2FA zawiedzie, na przykład w przypadku utraty telefonu.
W planie bezpłatnym dostępna będzie tylko metoda kodu zapasowego. Jeśli potrzebujesz więcej alternatywnych metod 2FA, musisz dokonać aktualizacji do WP 2FA Premium.
Po prostu kliknij przycisk „Kontynuuj konfigurację”, aby przejść do następnej strony.
Na tej stronie możesz ustawić obowiązek logowania dwuskładnikowego dla niektórych lub wszystkich użytkowników. Zalecamy to, zwłaszcza jeśli prowadzisz witrynę WordPress dla wielu użytkowników, na przykład witrynę członkowską.
Jeśli chcesz wymusić 2FA dla wszystkich użytkowników swojej witryny, po prostu wybierz opcję „Wszyscy użytkownicy” i kliknij „Kontynuuj konfigurację”.
Teraz wszyscy Twoi użytkownicy będą musieli korzystać z 2FA.
Być może jednak w Twojej witrynie są użytkownicy, których nie chcesz zmuszać do korzystania z 2FA. Następna strona umożliwia wpisanie nazw użytkowników lub ról użytkowników tych członków zespołu.
Gdy już to zrobisz, kliknięcie przycisku „Kontynuuj konfigurację” przeniesie Cię do strony, na której możesz zdecydować, jak szybko użytkownicy muszą zacząć korzystać z 2FA.
Możesz wymagać od nich natychmiastowego rozpoczęcia pracy lub dać im okres karencji, powiedzmy, 3 dni, aby mieli czas na skonfigurowanie wszystkiego. Wystarczy kliknąć opcję, z której chcesz skorzystać na swojej stronie internetowej.
Jeśli chcesz przyznać okres karencji, możesz wybrać, ile godzin lub dni będzie to trwało. Domyślne ustawienie 3 dni będzie dobrze działać w przypadku większości stron internetowych.
Istnieją również opcje postępowania po zakończeniu okresu karencji, jeśli niektórzy użytkownicy nie skonfigurowali 2FA. Możesz albo wpuścić ich, ale nie pozwolić im na dostęp do pulpitu nawigacyjnego, albo w ogóle uniemożliwić im logowanie. W przypadku większości witryn najlepsza będzie pierwsza opcja.
Po dokonaniu wyboru możesz kliknąć „Wszystko gotowe”, aby wyjść z kreatora konfiguracji. Gratulacje, skonfigurowałeś uwierzytelnianie dwuskładnikowe w swojej witrynie!
Zobaczysz ekran Zakończenia instalacji z komunikatem z gratulacjami. Zobaczysz także przycisk, który pozwoli Ci skonfigurować 2FA dla własnego konta użytkownika. Powinieneś kliknąć przycisk „Skonfiguruj 2FA teraz”.
Konfigurowanie uwierzytelniania dwuskładnikowego dla własnego konta użytkownika
Uruchomi się nowy kreator konfiguracji, który pomoże Ci skonfigurować uwierzytelnianie dwuskładnikowe dla Twojego konta użytkownika. Inni użytkownicy Twojej witryny zostaną poproszeni o zrobienie tego samego.
Pierwszą rzeczą, którą musisz zdecydować, jest to, której metody 2FA chcesz użyć. Powinieneś zobaczyć opcję jednorazowego kodu za pośrednictwem aplikacji uwierzytelniającej. Możesz także zobaczyć inne opcje w zależności od wyborów dokonanych w kreatorze instalacji.
Po prostu wybierz opcję „Kod jednorazowy za pośrednictwem aplikacji 2FA”, a następnie kliknij przycisk „Następny krok”.
Wtyczka wyświetli teraz kod QR i kod tekstowy.
Będziesz musiał zeskanować kod QR za pomocą aplikacji uwierzytelniającej. Alternatywnie możesz wpisać kod tekstowy w aplikacji ręcznie.
Teraz będziesz musiał podnieść urządzenie mobilne i otworzyć preferowaną aplikację uwierzytelniającą. Poniższe zrzuty ekranu korzystają z Authy, ale inne aplikacje działają w podobny sposób.
Najpierw kliknij przycisk „+” lub „Dodaj konto” w aplikacji uwierzytelniającej.
Aplikacja poprosi następnie o pozwolenie na dostęp do aparatu w telefonie.
Musisz wyrazić zgodę na to uprawnienie, a następnie kliknąć przycisk „Skanuj kod QR”, aby zeskanować kod QR widoczny na stronie ustawień wtyczki na swoim komputerze.
Gdy aplikacja rozpozna kod QR, automatycznie rozpocznie zapisywanie konta.
Następnie możesz edytować domyślne logo i pseudonim konta. Kiedy będziesz gotowy, naciśnij przycisk „Zapisz”.
Aplikacja uwierzytelniająca zapisze teraz Twoje konto w witrynie.
Następnie zacznie wyświetlać hasło jednorazowe. Będziesz musiał wprowadzić to w ustawieniach wtyczki na swoim komputerze.
Teraz musisz wrócić do komputera.
W kreatorze konfiguracji wtyczki kliknij przycisk „Jestem gotowy”, aby kontynuować.
Wtyczka poprosi Cię teraz o weryfikację hasła jednorazowego.
Po prostu wpisz kod z aplikacji mobilnej w polu „Kod uwierzytelniający”, zanim wygaśnie.
Następnie kliknij przycisk „Sprawdź i zapisz”, aby sfinalizować konfigurację.
Następnie będziesz mieć możliwość wygenerowania i zapisania listy kodów zapasowych. Kody te można wykorzystać w przypadku, gdy nie masz dostępu do swojego telefonu.
Powinieneś kliknąć przycisk „Generuj listę kodów zapasowych”.
Kody zapasowe zostaną wygenerowane i wyświetlone.
Możesz pobrać te kody zapasowe do bezpiecznej lokalizacji na swoim komputerze, wydrukować je i umieścić w bezpiecznym miejscu lub wysłać do siebie e-mailem. Trzymaj je w miejscu, do którego będziesz mieć łatwy dostęp, jeśli nie masz przy sobie telefonu.
Następnie możesz kliknąć przycisk „Jestem gotowy, zamknij kreatora”, aby wyjść z kreatora instalacji.
Korzystanie z uwierzytelniania dwuskładnikowego podczas logowania
Gdy użytkownicy zalogują się następnym razem, zobaczą powiadomienie o konieczności skonfigurowania uwierzytelniania dwuskładnikowego wraz z ostatecznym terminem zakończenia okresu karencji.
Mogą kliknąć przycisk, aby skonfigurować 2FA już teraz lub wybrać przypomnienie przy następnym logowaniu.
Kiedy klikną przycisk „Skonfiguruj 2FA teraz”, zostaną przeprowadzeni przez te same kroki, co w przypadku konfigurowania 2FA dla własnego konta użytkownika w poprzedniej sekcji.
Kiedy zalogują się po skonfigurowaniu uwierzytelniania dwuskładnikowego, zobaczą normalny ekran logowania WordPress. Jednak gdy wprowadzą swoją nazwę użytkownika i hasło, wyświetli się drugi ekran z prośbą o podanie kodu z aplikacji uwierzytelniającej.
Zanim będą mogli się zalogować, będą musieli wprowadzić kod z aplikacji na swoim telefonie. Alternatywnie mogą wprowadzić kod zapasowy, jeśli nie mają przy sobie telefonu.
Dzięki temu Twoja witryna będzie bezpieczniejsza. Jeśli haker pozna nazwę użytkownika i hasło jednego z Twoich użytkowników, nie będzie mógł się zalogować, chyba że będzie miał również dostęp do swojego telefonu.
Wskazówka: jeśli Twoja witryna WordPress korzysta z niestandardowej strony formularza logowania, możesz także utworzyć niestandardową stronę, na której użytkownicy będą mogli zarządzać ustawieniami uwierzytelniania dwuskładnikowego bez konieczności uzyskiwania dostępu do obszaru administracyjnego WordPress.
Metoda 2: Dodawanie uwierzytelniania dwuskładnikowego przy użyciu uwierzytelniania dwuskładnikowego
Ta metoda jest mniej elastyczna, ponieważ nie pozwala na wymuszenie logowania dwuskładnikowego dla wszystkich użytkowników. Każdy użytkownik będzie musiał skonfigurować tę funkcję samodzielnie i może ją wyłączyć w swoim profilu. Jest to jednak szybka i łatwa metoda, jeśli chcesz po prostu skonfigurować 2FA dla własnego konta.
Najpierw musisz zainstalować i aktywować wtyczkę Two-Factor. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem krok po kroku dotyczącym instalacji wtyczki WordPress.
Po aktywacji musisz odwiedzić stronę Użytkownicy » Profil i przewinąć w dół do sekcji „Opcje dwuskładnikowe”.
Stąd musisz wybrać opcję logowania dwuskładnikowego. Wtyczka umożliwia korzystanie z poczty e-mail, aplikacji uwierzytelniającej i metod kluczy bezpieczeństwa FIDO U2F.
Zalecamy użycie metody aplikacji uwierzytelniającej. Po prostu zeskanuj kod QR na ekranie za pomocą aplikacji uwierzytelniającej, takiej jak Google Authenticator, Authy lub LastPass Authenticator.
Po zeskanowaniu kodu QR aplikacja wyświetli kod weryfikacyjny, który należy wprowadzić w opcjach wtyczki i kliknąć przycisk „Prześlij”.
Wtyczka ustawi teraz tajny klucz. Możesz zresetować ten klucz w dowolnym momencie na stronie ustawień, aby ponownie zeskanować kod QR.
Nie zapomnij kliknąć przycisku „Aktualizuj profil” u dołu strony, aby zapisać ustawienia.
Teraz za każdym razem, gdy logujesz się do witryny WordPress, zostaniesz poproszony o wprowadzenie kodu uwierzytelniającego wygenerowanego przez aplikację na Twoim telefonie.
Często zadawane pytania dotyczące uwierzytelniania dwuskładnikowego (2FA) w WordPress
Oto kilka odpowiedzi na najczęściej zadawane pytania dotyczące korzystania z logowania dwuetapowego w WordPress.
1. Jak zalogować się za pomocą 2FA, jeśli nie mam dostępu do telefonu?
Jeśli używasz aplikacji uwierzytelniającej z opcją tworzenia kopii zapasowych w chmurze, takiej jak Authy, możesz zainstalować aplikację również na swoim laptopie.
Dzięki temu masz dostęp do kodów uwierzytelniających nawet wtedy, gdy nie masz przy sobie telefonu. Umożliwia także łatwe przywrócenie tajnych kluczy przy zakupie nowego telefonu.
Wiele aplikacji uwierzytelniających umożliwia także generowanie kodów zapasowych. Kodów tych można używać jako jednorazowych haseł, gdy nie masz dostępu do telefonu.
2. Jak zalogować się bez żadnych kodów z mojej aplikacji uwierzytelniającej?
Jeśli nie masz dostępu do telefonu, laptopa ani kodów zapasowych, możesz zalogować się jedynie poprzez wyłączenie wtyczki 2FA.
Możesz zapoznać się z naszym przewodnikiem, jak dezaktywować wszystkie wtyczki WordPress, gdy nie możesz uzyskać dostępu do obszaru administracyjnego.
Gdy dezaktywujesz wszystkie wtyczki, spowoduje to również wyłączenie wtyczki uwierzytelniania dwuskładnikowego i będziesz mógł zalogować się na swojej stronie WordPress. Po zalogowaniu możesz ponownie aktywować wtyczki i zresetować konfigurację uwierzytelniania dwuskładnikowego.
3. Czy muszę chronić hasłem folder administracyjny WordPress?
Bezpieczeństwo witryny działa najlepiej, gdy masz wiele warstw zabezpieczeń chroniących witrynę, zaczynając od podstaw, takich jak korzystanie z protokołu HTTPS i bezpieczny hosting WordPress.
Weryfikacja dwuskładnikowa sprawia, że logowanie do WordPressa jest bezpieczne, ale możesz je jeszcze bardziej zabezpieczyć, chroniąc katalog administracyjny WordPress hasłem. Oznacza to, że użytkownicy nie będą mogli uzyskać dostępu do Twojej strony logowania, jeśli najpierw nie wprowadzą nazwy użytkownika i hasła.
Mamy nadzieję, że ten artykuł pomógł Ci dodać weryfikację dwuetapową do logowania się do WordPress. Możesz także zapoznać się z naszym przewodnikiem, jak uzyskać bezpłatny certyfikat SSL dla swojej witryny WordPress lub naszym eksperckim wyborem najlepszych wtyczek zabezpieczających WordPress.
Jeśli spodobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube, aby zapoznać się z samouczkami wideo WordPress. Można nas znaleźć także na Twitterze i Facebooku.