Jak włączyć uwierzytelnianie dwuskładnikowe w witrynie WordPress

Opublikowany: 2023-05-24

Login + hasło. Połączenie z interfejsem administracyjnym WordPress jest bardzo proste, o ile pamiętasz te dwa elementy.

Z punktu widzenia złośliwej osoby lub robota, który chce uzyskać dostęp do Twojej witryny, jest to równie proste.

Jeśli znajdą twój login i hasło, staną się kapitanem statku bez twojej zgody .

Pies prowadzi skuter wodny.
Dla nich będzie to frajda, dla ciebie znacznie mniej.

To scenariusz katastrofy i niestety nie zdarza się to tylko innym. Aby się zabezpieczyć, dobrym pomysłem może być aktywacja uwierzytelniania dwuskładnikowego w WordPress .

Jeśli nie znasz jeszcze tej metody ochrony lub chcesz ją skonfigurować, ten artykuł wyjaśni Ci wszystko.

Po przeczytaniu dowiesz się, dlaczego warto korzystać z uwierzytelniania dwuskładnikowego i jak włączyć je w instalacji WordPressa przy użyciu dwóch różnych metod (oba przy użyciu wtyczki).

Przegląd

  1. Co to jest uwierzytelnianie dwuskładnikowe?
    1. Dlaczego warto włączyć uwierzytelnianie dwuskładnikowe w WordPress?
      1. Jak włączyć podwójne uwierzytelnianie w WordPress
        1. Wniosek

          Twoje najlepsze projekty WordPress potrzebują najlepszego hosta!

          WPMarmite poleca Bluehost: świetna wydajność, świetne wsparcie. Wszystko, czego potrzebujesz na dobry start.

          Wypróbuj BlueHost
          CTA Bluehost WPMarmite

          Co to jest uwierzytelnianie dwuskładnikowe?

          Jak działa uwierzytelnianie dwuskładnikowe?

          Uwierzytelnianie dwuskładnikowe to metoda zabezpieczania konta użytkownika . W WordPressie pozwala zabezpieczyć dostęp do interfejsu administracyjnego (back office) poprzez dodanie dodatkowej warstwy ochrony do uwierzytelniania hasłem.

          Oto jak to działa:

          1. Najpierw wpisujesz swoją nazwę użytkownika i hasło na stronie logowania administratora . To jest to, co zwykle robisz, gdy chcesz uzyskać dostęp do swojej witryny WordPress.
          2. Następnie będziesz musiał ponownie się zidentyfikować, aby mieć dostęp do administratora , korzystając z posiadanego urządzenia lub usługi. Może to być na przykład smartfon, na którym potwierdzasz próbę połączenia poprzez wprowadzenie kodu.

          Dlatego nazywamy to podwójnym uwierzytelnieniem: aby połączyć się z WordPressem, musisz dwukrotnie się zidentyfikować.

          Mężczyzna trzyma dwa palce.
          Właśnie, dwa razy.

          Dużym plusem tej metody jest to, że jeśli ktoś zhakuje twoje hasło, nie wystarczy dostęp do twojego konta.
           Jeśli złośliwa osoba lub bot nie ma nic innego do zalogowania się (np. urządzenia mobilnego), nie będzie mogła się zalogować.

          Co więcej, jest to usługa, z której prawdopodobnie korzystałeś już w życiu codziennym. Korzysta z niego wiele znanych witryn, takich jak Google, Facebook i PayPal .

          Dotyczy to również Twojego banku. Aby zweryfikować płatność (zwłaszcza w przypadku dużych kwot), często jesteś proszony o zatwierdzenie jej w aplikacji bankowej, do której musisz się zalogować.

          W odniesieniu do uwierzytelniania dwuskładnikowego używa się kilku nazw. Można też powiedzieć dwuetapowa identyfikacja, podwójne uwierzytelnienie, a nawet 2FA .

          Jakie są opcje drugiej formy uwierzytelnienia?

          Zanim przejdziemy dalej, rzućmy okiem na metody identyfikacji, które mogą być oferowane podczas drugiego etapu identyfikacji.

          Ten drugi czynnik może przybierać różne formy, takie jak:

          • Kod zabezpieczający wysłany SMS-em lub e-mailem
          • Aplikacja uwierzytelniająca (np. Google Authenticator), która generuje jednorazowy kod zabezpieczający, ważny tylko przez określony czas
          • Token USB , który jest włożony do portu USB komputera
          • Powiadomienie push
          • Odcisk palca lub skan siatkówki

          Dlaczego warto włączyć uwierzytelnianie dwuskładnikowe w WordPress?

          Podwójne uwierzytelnianie to dodatkowy krok w procesie logowania, ale nadal ma jedną dużą zaletę: sprawia, że ​​dostęp do interfejsu administratora jest znacznie bezpieczniejszy .

          Korzystając z tej metody:

          • Ograniczasz ataki typu brute force . Gdy dochodzi do ataków siłowych, boty odwiedzają Twoją stronę logowania WordPress i próbują ustalić nazwę użytkownika i hasło konta administratora witryny, testując różne kombinacje, aby przejąć nad nią kontrolę. Jeśli kiedykolwiek im się to uda, podwójne uwierzytelnienie uniemożliwi im dostęp do administratora WordPress.
          • Wzmacniasz bezpieczeństwo swojego konta administratora . Nawet jeśli używasz słabego hasła, takiego jak 123456 lub miłość — nie rób tego — będziesz mieć dodatkową ochronę dzięki drugiemu czynnikowi uwierzytelniania.
          • Zmniejszasz ryzyko włamania i lepiej chronisz niektóre poufne dane (dane osobowe lub dane bankowe klientów, jeśli sprzedajesz w sklepie WooCommerce).

          Czy wartość uwierzytelniania dwuskładnikowego jest wyraźniejsza? A teraz przejdźmy do rzeczy. Czytaj dalej, aby dowiedzieć się, jak skonfigurować podwójne uwierzytelnianie w WordPress w kilka minut.

          Mężczyzna całuje jego palce.

          Jak włączyć podwójne uwierzytelnianie w WordPress

          Przede wszystkim zalecam wykonanie kopii zapasowej witryny. W razie problemu będziesz mógł łatwo zawrócić i przywrócić go. Aby to zrobić, możesz na przykład aktywować wtyczkę UpdraftPlus lub użyć modułu kopii zapasowej narzędzia do konserwacji, takiego jak WP Umbrella (link partnerski) lub ManageWP .

          Jakie masz opcje?

          Najprostszym i najszybszym sposobem włączenia uwierzytelniania dwuskładnikowego w WordPress jest użycie wtyczki. Są na to dwie opcje.

          Po pierwsze, możesz wybrać wtyczkę dedykowaną do podwójnego uwierzytelniania na WordPressie . Oficjalny katalog WordPress ma ich dziesiątki.

          Wśród najpopularniejszych (ponad 5000 aktywnych instalacji) znajdziesz:

          • Dwuskładnikowy ( ponad 50 000 aktywnych instalacji)
          • WP 2FA – Uwierzytelnianie dwuskładnikowe dla WordPress ( ponad 40 000 aktywnych instalacji)
          • Google Authenticator ( ponad 30 000 aktywnych instalacji)
          • Uwierzytelnianie dwuskładnikowe ( ponad 20 000 aktywnych instalacji)
          • Google Authenticator firmy miniOrange ( ponad 20 000 aktywnych instalacji)
          • Uwierzytelnianie dwuetapowe Duo ( ponad 9 tys. aktywnych instalacji)

          Inną opcją jest skorzystanie z funkcji podwójnego uwierzytelniania oferowanej przez wtyczkę bezpieczeństwa ogólnego przeznaczenia, taką jak SecuPress, iThemes Security lub Wordfence Security.

          Dowiedzmy się, jak je szczegółowo wdrożyć.

          Jak włączyć podwójne uwierzytelnianie w WordPress za pomocą wtyczki WP 2FA

          Jeśli chcesz użyć wtyczki dedykowanej do podwójnego uwierzytelniania w WordPress, wtyczka WP 2FA jest niezawodną i skuteczną opcją z kilku powodów:

          • Jest to najpopularniejsza wtyczka zaraz po Two-Factor. I w przeciwieństwie do Two-Factor, WP 2FA pozwala skonfigurować uwierzytelnianie dwuskładnikowe dla wszystkich użytkowników (w przypadku Two-Factor każdy użytkownik będzie musiał to skonfigurować samodzielnie).
          • Jest jednym z najlepiej ocenianych.
          • Jest często aktualizowany .
          • Jest łatwy w użyciu i nauce.
          • Oferowanych jest kilka metod drugiego uwierzytelnienia : e-mail, SMS, aplikacja uwierzytelniająca, kod odzyskiwania itp.
          • Jest rozwijany i utrzymywany przez firmę specjalizującą się w bezpieczeństwie WordPress: WP White Security oferuje również doskonałą wtyczkę WP Activity Log.
          • Twoi użytkownicy mogą skonfigurować uwierzytelnianie dwuskładnikowe bez logowania się do administracji . Mogą to zrobić z poziomu interfejsu użytkownika, co jest bardzo wygodne dla klientów sklepu internetowego (WP 2FA integruje się z WooCommerce), obszaru członkowskiego itp.

          Bez przejścia, dowiedzmy się, jak to skonfigurować w kilku szybkich krokach.

          WP 2FA – Uwierzytelnianie dwuskładnikowe dla banera WordPress

          Krok 1: Zainstaluj i aktywuj wtyczkę WP 2FA

          Najpierw zainstaluj i aktywuj wtyczkę w interfejsie administracyjnym WordPress. Aby to zrobić, przejdź do menu Wtyczki > Dodaj nowy .

          Instalowanie WP 2FA, wtyczki do uwierzytelniania dwuskładnikowego dla WordPress.

          Krok 2: Wybierz metodę uwierzytelniania dla swoich użytkowników

          Po aktywacji wtyczki kreator konfiguracji automatycznie uruchomi się na ekranie. Kliknij niebieski przycisk „Zacznijmy”, aby rozpocząć:

          Wtyczka WP 2FA oferuje kreatora konfiguracji, który pomoże Ci zacząć.

          Następnie zostaniesz poproszony o wybranie metody uwierzytelniania dla użytkowników. Masz dwie opcje dla drugiego czynnika uwierzytelniania:

          • Korzystanie z aplikacji takiej jak Google Authenticator lub Authy
          • Wysyłanie kodu e-mailem . W takim przypadku WP 2FA zaleca aktywację wtyczki WP Mail SMTP, aby poprawić dostarczalność wiadomości e-mail wysyłanych przez WordPress.

          Jeśli chcesz zaoferować użytkownikom te dwie opcje, pozostaw oba pola zaznaczone.

          W przeciwnym razie odznacz wybrane pole, jeśli nie chcesz oferować jednej z metod uwierzytelniania. Kliknij „Kontynuuj konfigurację”, aby kontynuować konfigurację:

          Wtyczka WP 2FA oferuje dwie metody podwójnego uwierzytelniania.

          W następnym kroku możesz również wybrać opcję wysłania jednorazowego kodu zapasowego na wypadek, gdyby poprzednia metoda uwierzytelnienia (przez aplikację lub e-mail) nie zadziałała.

          Aby wybrać tę opcję, pozostaw zaznaczone pole „Kody zapasowe”, a następnie kliknij „Kontynuuj konfigurację”:

          WP 2FA oferuje jednorazowy kod zapasowy na wypadek niepowodzenia podwójnego uwierzytelnienia użytkowników.

          Krok 3: Zdefiniuj, które role użytkowników będą korzystać z podwójnego uwierzytelniania w WordPress

          W trzecim kroku WP 2FA monituje o wybranie, kto będzie korzystał z podwójnego uwierzytelniania w Twojej witrynie WordPress. Istnieją trzy opcje:

          • Wszyscy użytkownicy : W tym przypadku wszyscy będą musieli uwierzytelnić się dwukrotnie, aby się zalogować, niezależnie od roli użytkownika (administrator, autor, redaktor, współautor i subskrybent).
          • Określeni użytkownicy i/lub zdefiniowane role („Tylko dla określonych użytkowników i ról”). Tutaj możesz ograniczyć korzystanie z uwierzytelniania dwuskładnikowego do określonych użytkowników i ról.
          • Nie wymuszaj na żadnych użytkownikach . W takim przypadku każdy użytkownik będzie mógł go aktywować lub nie.

          Przejdź do następnego kroku, klikając „Kontynuuj konfigurację”:

          WP 2FA pozwala wybrać, którzy użytkownicy będą zobowiązani do podwójnego uwierzytelnienia.

          Krok 4: Skonfiguruj okres prolongaty

          Jeśli zdecydujesz się wymusić uwierzytelnianie dwuskładnikowe na wszystkich lub niektórych użytkownikach, możesz dać im możliwość skonfigurowania uwierzytelniania dwuskładnikowego w określonym okresie prolongaty.

          WP 2FA umożliwia:

          • Zmuś użytkowników do natychmiastowego skonfigurowania uwierzytelniania dwuskładnikowego („Użytkownicy muszą od razu skonfigurować 2FA”)
          • Zdefiniuj okres karencji na skonfigurowanie 2FA („Daj użytkownikom okres prolongaty na skonfigurowanie 2FA”), który można ustawić w dniach lub godzinach.

          Jeśli zdecydujesz się ustawić opóźnienie konfiguracji, będziesz musiał wybrać, co się stanie, jeśli użytkownik nie podejmie działań podczas opóźnienia:

          • Albo nie będą mogli uzyskać dostępu do pulpitu nawigacyjnego lub strony użytkownika („Nie pozwól im uzyskać dostępu do pulpitu nawigacyjnego/strony użytkownika”), dopóki nie skonfigurują podwójnego logowania w WordPress
          • Lub konto użytkownika zostanie zablokowane („Zablokuj użytkownika”). Tylko administrator będzie mógł go odblokować.

          Zakończ, klikając „Wszystko gotowe”:

          WP 2FA pozwala dać użytkownikom okres karencji na skonfigurowanie 2FA.

          Krok 5: Wybierz metodę podwójnego logowania w WordPress dla swojego konta użytkownika

          Ostatnim krokiem jest skonfigurowanie podwójnego uwierzytelniania dla konta użytkownika. Aby to zrobić, kliknij przycisk „Konfiguruj 2FA teraz”:

          Kończenie kreatora konfiguracji WP 2FA.

          Podświetlone okno otworzy się na ekranie z prośbą o wybranie metody uwierzytelniania, której chcesz użyć:

          • Uwierzytelnianie za pomocą aplikacji („Kod jednorazowy za pośrednictwem aplikacji 2FA”). To jest metoda, którą tutaj wybiorę.
          • Uwierzytelnianie przez e-mail („Kod jednorazowy przez e-mail”).
          Możesz wybrać uwierzytelnianie za pomocą kodu w aplikacji 2FA lub za pomocą kodu wysłanego na Twój adres e-mail.

          Krok 6: Wygeneruj kod uwierzytelniający w aplikacji do uwierzytelniania dwuskładnikowego

          Aby uwierzytelnić się za pomocą aplikacji, musisz ją wybrać. WP 2FA jest kompatybilny z następującymi aplikacjami:

          • Google Authenticator
          • Autentyczny
          • Microsoft Authenticator
          • Duet
          • Ostatnia przepustka
          • DarmoweOTP
          • Okta

          Na potrzeby tego testu będę polegał na Google Authenticator, który jest prawdopodobnie najbardziej znanym narzędziem .

          Pobierz tę aplikację na swój smartfon. Otwórz go, a następnie zeskanuj kod QR oferowany przez wtyczkę WP 2FA w interfejsie administracyjnym. Po zakończeniu kliknij przycisk „Jestem gotowy”.

          WP 2FA zawiera inteligentny kod do skonfigurowania aplikacji uwierzytelniającej.

          Następnie wprowadź kod wygenerowany przez aplikację Google Authenticator i pamiętaj, aby zatwierdzić go, klikając odpowiedni przycisk („Sprawdź i zapisz”):

          Musisz zweryfikować kod, aby zakończyć konfigurację WP 2FA.

          Krok 7: Połącz się z WordPressem

          Aby sprawdzić, czy wszystko działa poprawnie, wyloguj się z interfejsu administracyjnego WordPress.

          Na stronie logowania administratora wprowadź swoją nazwę użytkownika i hasło jak zwykle. Jeśli wszystko jest w porządku, zostaniesz poproszony o wprowadzenie jednorazowego kodu wygenerowanego przez aplikację, z której będziesz korzystać .

          Strona logowania witryny WordPress chronionej przez uwierzytelnianie dwuskładnikowe.

          W przypadku Google Authenticator jest to 6-cyfrowy kod, który jest odnawiany co 30 sekund.

          I to wszystko, Twoja witryna jest teraz znacznie bezpieczniejsza. Gratulacje!

          Możesz również dostosować tekst wiadomości e-mail, która wyśle ​​​​Ci kod uwierzytelniający (jeśli wybierzesz tę metodę w ustawieniach wtyczki), poprzez menu WP 2FA > Ustawienia > E-maile i szablony. Wreszcie, możliwa jest również zmiana tekstu wyświetlanego na stronie logowania, gdy konieczne jest wprowadzenie kodu uwierzytelniającego.

          Dołącz do subskrybentów WPMarmite

          Zdobądź ostatnie posty WPMarmite (a także ekskluzywne zasoby).

          ZAPISZ SIĘ TERAZ
          Biuletyn WPMarmite w języku angielskim

          Jak włączyć uwierzytelnianie dwuskładnikowe za pomocą wtyczki ogólnego bezpieczeństwa

          Jeśli sam przeszedłeś przez proces konfigurowania uwierzytelniania dwuskładnikowego w WordPress, być może uznałeś, że kroki są stosunkowo proste.

          Z drugiej strony implementacja może być dla Ciebie trochę czasochłonna . Wtyczka WP 2FA ma wiele opcji konfiguracji, które mogą nieco przeciągnąć.

          Jeśli chcesz iść trochę szybciej — choć z mniejszą liczbą opcji w ustawieniach — istnieje inny sposób.

          Jest to użycie wtyczki bezpieczeństwa ogólnego przeznaczenia. Większość z nich oferuje opcję włączenia podwójnego uwierzytelniania w witrynie WordPress.

          WPMarmite poświęcił szczegółowe samouczki trzem najbardziej znanym wtyczkom bezpieczeństwa, w których dowiesz się, jak skonfigurować podwójne uwierzytelnianie. Są to następujące wtyczki:

          • Wordfence Security (zawarty w darmowej wersji). Jeśli nie chcesz korzystać ze wszystkich funkcji oferowanych przez Wordfence, zwróć uwagę, że oferuje on również lżejszą wtyczkę z mniejszą liczbą opcji (Zabezpieczenia logowania do programu Wordfence), które obejmują podwójne uwierzytelnianie.
          • iThemes Bezpieczeństwo (zawarte w darmowej wersji)
          • SecuPress oferuje również uwierzytelnianie dwuskładnikowe (2FA), ale tylko w wersji Pro. SecuPress oferuje w tym zakresie ciekawą metodę: Passwordless . Aby się zalogować, użytkownik nie musi podawać hasła. Po prostu wpisują swój adres e-mail na stronie logowania WordPress, a następnie otrzymują wiadomość e-mail z unikalnym linkiem, który pozwoli im zalogować się tylko raz.

          Jeśli zdecydujesz się użyć wtyczki bezpieczeństwa ogólnego przeznaczenia, nie włączaj jednocześnie dedykowanej wtyczki do uwierzytelniania dwuskładnikowego, takiej jak WP 2FA lub jeden z jej konkurentów. Przyniosłoby to efekt przeciwny do zamierzonego i narażasz się na ryzyko niezgodności.

          Czy chcesz zwiększyć bezpieczeństwo swojej witryny #WordPress, włączając uwierzytelnianie dwuskładnikowe? Sprawdź nasz przewodnik!

          Kliknij, aby tweetować

          Wniosek

          Podwójne uwierzytelnianie w WordPress to skuteczny sposób na wzmocnienie bezpieczeństwa Twojej witryny . Na przykład pozwala lepiej chronić witrynę przed atakami siłowymi.

          W tych wierszach odkryłeś dwie główne metody aktywacji go w instalacji WordPress:

          1. Z dedykowaną wtyczką, taką jak WP 2FA .
          2. Z wtyczką bezpieczeństwa ogólnego przeznaczenia, taką jak Wordfence, iThemes Security lub SecuPress.

          Nie należy jednak polegać wyłącznie na uwierzytelnianiu dwuskładnikowym w celu ochrony witryny. Rozważ na przykład użycie silnych haseł, a także wtyczki antyspamowej, takiej jak Akismet.

          Czy wdrożyłeś podwójne logowanie w swojej witrynie? Jeśli tak, jaką opinią możesz się z nami podzielić? Przekaż swoją opinię czytelnikom WPMarmite, zamieszczając komentarz.