Dlaczego warto dodać uwierzytelnianie dwuetapowe (2FA) do swojej witryny WordPress w 2021 roku?

Opublikowany: 2021-08-27

Po utworzeniu witryny WordPress istnieje kilka czynników, które należy wziąć pod uwagę, aby zapewnić bezpieczeństwo nowej witryny, niezależnie od tego, czy chodzi o zapewnienie bezpieczeństwa witryny, zaplanowanie regularnych kopii zapasowych lub aktualność wtyczek.

uwierzytelnianie dwuskładnikowe

Jeśli wprowadzasz swoją firmę i markę w świecie online, ważne jest, aby Twoja witryna nie była podatna na ataki hakerów i cyberataki.

Według Security Magazine : „Każdego dnia dochodzi do ponad 2200 cyberataków – czyli prawie jeden co 39 sekund”.

  • 43% małych firm nie ma planu obrony przed cyberbezpieczeństwem.
  • 60% właścicieli małych firm uważa, że ​​ich firma nie jest celem cyberprzestępców.
  • 74% ataków na małe firmy zostało wykonanych przez podmioty zewnętrzne, w przeciwieństwie do pracowników wewnętrznych
  • 84% ataków na małe firmy koncentrowało się na zyskach pieniężnych, 8% na szpiegostwie, a reszta na hakowaniu dla zabawy lub urazy
  • 22% małych firm przeszło na pracę zdalną bez planu cyberbezpieczeństwa.

Aby zminimalizować i ograniczyć podatność witryny i ryzyko cyberataków, WordPress umożliwia zainstalowanie i używanie uwierzytelniania dwuskładnikowego w witrynie.

W 2021 r . zgłoszono, że tylko 57% firm na całym świecie będzie używać jakiejś formy uwierzytelniania wieloskładnikowego online (MFA) jako metody uwierzytelniania, mającej na celu dodanie dodatkowej warstwy ochrony do danych logowania użytkowników. Spośród pracowników korzystających z usług MFA 95% zgłosiło korzystanie z narzędzia do uwierzytelniania dwuskładnikowego opartego na oprogramowaniu (takiego jak aplikacja na telefon komórkowy), podczas gdy 4% korzysta z rozwiązania uwierzytelniania dwuskładnikowego opartego na sprzęcie, a około 1% korzysta z danych biometrycznych.

Co to jest uwierzytelnianie dwuskładnikowe i jak to działa?

2FA odnosi się do procesu, w którym osoba musi przejść dodatkowy poziom weryfikacji bezpieczeństwa logowania, aby wykazać, że posiada niezbędne uprawnienia wymagane do uzyskania dostępu do witryny, dokumentów, aplikacji, informacji o sprzedaży itp.

Jakie są czynniki uwierzytelniania?

Chociaż wszystkie witryny będą miały co najmniej jeden proces logowania, aby uzyskać dostęp do Twojego konta, istnieje kilka sposobów uwierzytelnienia użytkownika za pomocą dodatkowej metody uwierzytelniania. Większość metod uwierzytelniania zazwyczaj opiera się na czynnikach wiedzy użytkownika, które obejmują informacje logowania, takie jak tradycyjne hasła. Dodanie dodatkowej metody uwierzytelniania dwuskładnikowego zmusza użytkownika do podania dodatkowych informacji, które są albo czynnikiem posiadania, albo czynnikiem dziedziczenia.

Czynnik wiedzy — odnosi się do typowej nazwy użytkownika/hasła i kodów PIN, za pomocą których można uzyskać dostęp do konta w witrynie. Bez względu na rodzaj wybranego hasła; w tym cyfry, słowa, symbole, wielkie i małe litery, nadal będzie uważane za „podstawowe zabezpieczenie”.

Czynnik osobisty/posiadania — ten poziom współczynnika bezpieczeństwa odnosi się do czegoś, co użytkownik posiada w swoim posiadaniu. Przykładem może być Twój dowód osobisty, poprzednio udzielone pytanie zabezpieczające, jednorazowe hasło wysłane na Twoje urządzenie inteligentne, weryfikacja aplikacji na smartfona itp.

Czynnik biometryczny – może być również znany jako czynnik dziedziczenia i jest czynnikiem bezpieczeństwa nieodłącznie związanym z fizycznym „ja” użytkownika. Zazwyczaj są one identyfikowane jako unikalne cechy fizyczne, takie jak odciski palców, twarz, rozpoznawanie głosu lub biometria behawioralna, w tym dynamika naciśnięć klawiszy, wzorce chodu lub mowy.

Podczas gdy większość metod uwierzytelniania dwuskładnikowego opiera się tylko na pierwszych trzech metodach uwierzytelniania, istnieją systemy, które wymagają dalszych i bardziej szczegółowych zabezpieczeń oraz wymagają dalszego uwierzytelniania wieloskładnikowego (MFA), które wymaga co najmniej dwóch niezależnych danych uwierzytelniających w celu bezpieczniejszego logowania/ uwierzytelnianie.

Lokalizacja i czynnik czasu — niektóre witryny zawierające poufne i osobiste informacje, na które możesz się zalogować, takie jak Facebook i Google, mają na celu powiadamianie właściciela, jeśli zarejestruje użytkownika próbującego zalogować się na Twoje konto z podejrzanej lokalizacji lub niezwykły czas. W takim przypadku witryny wysyłają wiadomość e-mail do właścicieli, aby powiadomić ich o rozbieżnościach w logowaniu. Ta metoda może być egzekwowana przez ograniczenie prób uwierzytelnienia do znanych urządzeń określonych użytkowników (takich jak model ich telefonu komórkowego) lub przez śledzenie źródła geograficznego próby uwierzytelnienia w oparciu o źródłowy adres protokołu internetowego lub inne informacje geolokalizacyjne, takie jak dane globalnego systemu pozycjonowania (GPS), pochodzące z telefonu komórkowego lub innego urządzenia użytkownika.

Korzystając z tych metod 2FA, wiele warstw ochrony może chronić Twoją witrynę przed atakami phishingowymi ze strony hakerów i innymi problemami związanymi z cyberbezpieczeństwem.

Czy 2FA jest niezawodny i czy można go zhakować?

2FA może znacznie zwiększyć bezpieczeństwo Twojej witryny. Ale bez względu na to, jak dokładny i bezpieczny jest twój proces logowania, nic nie może sprawić, że będzie on w 100% bezpieczny. Jeszcze niedawno popularna giełda handlu kryptowalutami Coinbase została zhakowana przez podmioty, które były w stanie ominąć dwuetapowe uwierzytelnianie użytkownika, klonując jego telefony komórkowe i uzyskując dostęp do wygenerowanych kodów 2FA do wiadomości tekstowych.

Bezpieczeństwo 2FA jest tak bezpieczne, jak jego najsłabszy element. Narodowy Instytut Standardów i Technologii ( NIST ) odradza obecnie korzystanie z wiadomości tekstowych w usługach 2FA, zalecając zamiast tego losowo generowane tokeny ograniczone czasowo, ze względu na ryzyko klonowania telefonu komórkowego lub złośliwego oprogramowania, które może przechwytywać lub przekierowywać wiadomości tekstowe.

Wiele dużych organizacji, takich jak Google, Facebook, Uber itp., padło ofiarą włamań do danych i znalazło informacje o swoich użytkownikach na sprzedaż w ciemnej sieci. Narzędzia i metody ataków hakerów stają się coraz bardziej wyrafinowane i trudniejsze do wykrycia – obejmują phishing, rozpylanie haseł, ataki typu ransomware i złośliwe oprogramowanie. Chociaż zespoły ds. bezpieczeństwa nieustannie pracują nad poprawą bezpieczeństwa w Internecie, nie położyły jeszcze kresu tej możliwości.

Według indeksu cen Dark Web 2020 :

„Próbki danych milionów osób sprzedanych w Dark Web wahają się od 25 USD do 6000 USD w przypadku kont premium”.Zazwyczaj, jeśli użytkownik ma aktualne protokoły bezpieczeństwa, hakerzy zwykle przejdą do użytkownika, który jest bardziej podatny na ataki i nie potrafi prawidłowo skonfigurować dodatkowych zabezpieczeń.

Wskazówki dotyczące minimalizacji ryzyka cyberataków:

Zawsze miej kopię zapasową swojej witryny : Korzystając z UpdraftPlus , możesz mieć pewność, że będziesz mieć bezpieczną kopię zapasową swojej witryny WordPress. W najgorszym przypadku, gdy Twoja witryna padnie ofiarą ataku hakerskiego, możesz wrócić do starszej wersji witryny i wprowadzić zmiany w procesie logowania, aby witryna była bezpieczniejsza.

Upewnij się, że Twoja witryna ma solidny system zabezpieczeń : chociaż nie możesz całkowicie wyeliminować ryzyka włamania, możesz je zminimalizować. Upewnij się, że masz renomowany system logowania z uwierzytelnianiem dwuskładnikowym dla wszystkich użytkowników z dostępem do witryny zaplecza. Nie nadawaj niepotrzebnych uprawnień użytkownikom, jeśli ich nie potrzebują, ponieważ mogą one zostać wykorzystane do przejęcia kontroli nad stroną.

Zaktualizuj swoje wtyczki/motywy/wersje WordPress : podczas hackowania witryny WordPress jest to najczęstsza droga ataku. Nieaktualne wtyczki mogą być szczególnie podatne na ataki hakerów, którzy udostępniają im drogę do Twojej witryny.

Upewnij się, że użytkownicy są świadomi zagrożeń : bardzo ważne jest, aby każda osoba z wyższym poziomem dostępu do Twojej witryny była mądra i świadoma potencjalnych problemów z bezpieczeństwem. Oznacza to bycie świadomym potencjalnych prób włamania za pośrednictwem e-mailowych oszustw phishingowych, które mogą wydawać się autentyczne, ale są próbami odzyskania nazw użytkowników/hasła i zainstalowania złośliwego oprogramowania na komputerze.

Silne hasła: choć może się to wydawać najbardziej oczywiste, często jest również najczęściej pomijane. Posiadanie silnego i nieprzewidywalnego hasła jest często pierwszym i najlepszym poziomem ochrony przed większością włamań. Hasła, które są często zmieniane i zawierają ciąg liter i znaków specjalnych, są bardzo trudne do zhakowania za pomocą wymuszonych ataków hasła.

Uwagi końcowe:

Im więcej wiesz, tym większe masz szanse na zapobieżenie wszelkiego rodzaju cyberatakom, zanim jeszcze się zacznie. Połączenie 2FA, zaktualizowanego oprogramowania i bezpiecznych haseł oraz zapobieganie większości prób włamań. Ale jeśli zdarzy się najgorsze, zawsze pamiętaj, że powinieneś mieć najnowszą kopię zapasową swojej witryny z UpdraftPlus , która powinna być przechowywana w bezpiecznej zdalnej lokalizacji.

Jeśli masz jakieś sugestie lub pytania, możesz skomentować poniżej. Chętnie skontaktujemy się z Państwem.

Post Dlaczego warto dodać uwierzytelnianie dwuetapowe (2FA) do swojej witryny WordPress w 2021 roku? pojawił się pierwszy na UpdraftPlus. UpdraftPlus – Wtyczka do tworzenia kopii zapasowych, przywracania i migracji dla WordPress.