Как добавить двухфакторную аутентификацию в WordPress (бесплатный метод)
Опубликовано: 2023-08-19Вы замечали, как популярные сайты, такие как Facebook и Google, просят вас добавить двухфакторную аутентификацию для повышения безопасности?
Что ж, теперь вы можете добавить двухфакторную аутентификацию на свой сайт WordPress. Это обеспечивает максимальную безопасность вашего сайта WordPress и всех его зарегистрированных пользователей.
В этой статье мы покажем вам, как добавить двухфакторную аутентификацию для WordPress с помощью плагина и приложения-аутентификатора.
Зачем добавлять двухфакторную аутентификацию в WordPress?
Один из наиболее распространенных приемов, которые используют хакеры, называется атакой грубой силы. Во время одной из таких атак они используют автоматические сценарии, которые пытаются угадать правильное имя пользователя и пароль, чтобы они могли войти на ваш сайт WordPress.
Успешная атака методом перебора может предоставить хакерам доступ к административной области вашего сайта. Они могут установить вредоносное ПО, украсть пользовательскую информацию и удалить все на вашем сайте.
Один из самых простых способов защитить ваш сайт WordPress от украденных паролей — добавить двухфакторную аутентификацию (2FA). При использовании этой настройки вам нужно будет ввести свой пароль и дополнительный код (из приложения, электронной почты или текстового сообщения) для входа на ваш веб-сайт.
Таким образом, даже если кто-то украл ваш пароль, ему все равно придется ввести код безопасности с вашего телефона, чтобы получить доступ.
Что такое приложение для аутентификации?
Существует несколько способов настроить двухэтапный вход в WordPress. Однако наиболее безопасный и простой метод — использовать приложение для аутентификации.
Приложение-аутентификатор — это приложение для смартфона, которое генерирует временный одноразовый пароль для учетных записей, которые вы в нем сохраняете.
По сути, приложение и ваш сервер используют секретный ключ для шифрования информации и генерации одноразовых кодов, которые вы можете использовать в качестве второго уровня защиты.
Существует множество бесплатных приложений:
- Самым популярным приложением является Google Authenticator, но это не лучший выбор. Это потому, что если вы потеряете свой телефон, восстановить свои учетные записи невозможно, если вы заранее не создадите резервную копию.
- Мы рекомендуем использовать Authy, поскольку это простое в использовании и бесплатное приложение, которое также позволяет сохранять ваши учетные записи в облаке в зашифрованном формате. Таким образом, если вы потеряете свой телефон, вы сможете просто ввести свой мастер-пароль, чтобы восстановить все свои учетные записи.
- Другие менеджеры паролей, такие как LastPass и 1Password, имеют собственную версию аутентификатора. Они лучше Google Authenticator, поскольку позволяют восстанавливать ключи.
В этом уроке мы будем использовать Authy. Если хотите, вы можете следовать нашему руководству, используя другое приложение, поскольку все они работают одинаково.
С учетом вышесказанного, давайте посмотрим, как добавить 2FA в WordPress. Просто нажмите на ссылку ниже, чтобы перейти к предпочитаемому вами методу:
Теперь давайте посмотрим, как легко и бесплатно добавить двухфакторную проверку на экран входа в WordPress.
Способ 1. Добавление двухфакторной аутентификации с использованием WP 2FA
Этот метод прост и рекомендуется для всех пользователей. Он гибкий и позволяет обеспечить двухфакторную аутентификацию для всех пользователей.
Сначала вам необходимо установить и активировать плагин WP 2FA — Двухфакторная аутентификация. Более подробную информацию можно найти в нашем пошаговом руководстве по установке плагина WordPress.
После активации мастер настройки WPA 2FA запустится автоматически. В противном случае вы можете посетить страницу «Пользователи »Ваш профиль» и прокрутить вниз до раздела «Настройки WP 2FA».
Нажатие кнопки «Настроить двухфакторную аутентификацию (2FA)» запустит мастер настройки.
Мастер установки WP 2FA
Просто нажмите кнопку «Давайте начнем!». Кнопка, чтобы начать настройку плагина.
На следующей странице вам будет предложено выбрать метод аутентификации.
Есть два варианта:
- Одноразовый код, созданный с помощью выбранного вами приложения 2FA (рекомендуется)
- Одноразовый код отправлен вам по электронной почте
Мы рекомендуем вам выбрать аутентификацию с помощью метода приложения 2FA (TOTP), поскольку он более безопасен и надежен.
Сделав свой выбор, вы можете нажать кнопку «Продолжить настройку», чтобы перейти на следующую страницу мастера установки.
Вам будет задан вопрос, какие альтернативные методы 2FA вы бы хотели, чтобы ваши пользователи использовали в случае сбоя основного метода 2FA, например, если они потеряют свой телефон.
В бесплатном плане будет доступен только метод резервного кода. Если вам нужны дополнительные альтернативные методы 2FA, вам необходимо перейти на WP 2FA Premium.
Просто нажмите кнопку «Продолжить настройку», чтобы перейти на следующую страницу.
На этой странице вы можете сделать обязательным двухфакторный вход для некоторых или всех пользователей. Мы рекомендуем это, особенно если вы используете многопользовательский веб-сайт WordPress, например сайт с членством.
Если вы хотите применить 2FA для всех пользователей вашего веб-сайта, просто выберите параметр «Все пользователи» и нажмите «Продолжить настройку».
Теперь все ваши пользователи должны будут использовать 2FA.
Однако, возможно, на вашем сайте есть пользователи, которых вы не хотите заставлять использовать 2FA. На следующей странице вы можете ввести имена пользователей или роли пользователей этих членов команды.
Как только вы это сделаете, нажмите кнопку «Продолжить настройку», и вы перейдете на страницу, где вы сможете решить, как скоро ваши пользователи должны начать использовать 2FA.
Вы можете потребовать от них начать работу немедленно или предоставить им льготный период, скажем, на 3 дня, чтобы у них было время все настроить. Просто нажмите на вариант, который вы хотите использовать на своем веб-сайте.
Если вы хотите предоставить льготный период, вы можете выбрать, сколько часов или дней он будет длиться. Настройка по умолчанию — 3 дня — подойдет для большинства веб-сайтов.
Также есть варианты, что делать после окончания льготного периода, если некоторые пользователи не настроили 2FA. Вы можете либо разрешить им вход, но запретить им доступ к панели управления, либо вообще заблокировать им возможность входа в систему. Для большинства веб-сайтов первый вариант будет лучшим.
Сделав свой выбор, вы можете нажать «Все готово», чтобы выйти из мастера настройки. Поздравляем, вы настроили на своем сайте двухфакторную аутентификацию!
Вы увидите экран завершения установки с поздравлением. Вы также увидите кнопку, которая позволит вам настроить 2FA для вашей собственной учетной записи пользователя. Вам следует нажать кнопку «Настроить 2FA сейчас».
Настройка двухфакторной аутентификации для вашей собственной учетной записи пользователя
Начнется новый мастер настройки, который поможет вам настроить двухфакторную аутентификацию для вашей учетной записи пользователя. Другим пользователям вашего сайта будет предложено сделать то же самое.
Первое, что вам нужно будет решить, это какой метод 2FA вы хотите использовать. Вы должны увидеть опцию одноразового кода через приложение для аутентификации. Вы также можете увидеть другие параметры в зависимости от выбора, сделанного вами во время мастера установки.
Просто выберите опцию «Одноразовый код через приложение 2FA», а затем нажмите кнопку «Следующий шаг».
Плагин теперь покажет вам QR-код и текстовый код.
Вам нужно будет отсканировать QR-код с помощью приложения для аутентификации. Кроме того, вы можете ввести текстовый код в приложение вручную.
Теперь вам нужно будет взять свое мобильное устройство и открыть предпочитаемое приложение для аутентификации. На скриншотах ниже используется Authy, но другие приложения работают аналогичным образом.
Сначала нажмите кнопку «+» или «Добавить учетную запись» в приложении для аутентификации.
Затем приложение запросит разрешение на доступ к камере на вашем телефоне.
Вам необходимо разрешить это разрешение, а затем нажать кнопку «Сканировать QR-код», чтобы вы могли отсканировать QR-код, показанный на странице настроек плагина, на вашем компьютере.
Как только приложение распознает QR-код, оно автоматически начнет сохранять учетную запись.
После этого вы можете отредактировать логотип и никнейм по умолчанию для учетной записи. Когда вы будете готовы, нажмите кнопку «Сохранить».
Приложение аутентификации теперь сохранит вашу учетную запись на веб-сайте.
Далее он начнет показывать одноразовый пароль. Вам нужно будет ввести это в настройках плагина на вашем компьютере.
Теперь вам нужно вернуться к компьютеру.
В мастере установки плагина нажмите кнопку «Я готов», чтобы продолжить.
Плагин теперь попросит вас подтвердить свой одноразовый пароль.
Просто введите код из мобильного приложения в поле «Код аутентификации», пока не истечет срок его действия.
После этого вам следует нажать кнопку «Проверить и сохранить», чтобы завершить настройку.
Далее вам будет предоставлена возможность создать и сохранить список резервных кодов. Эти коды можно использовать, если у вас нет доступа к телефону.
Вам следует нажать кнопку «Создать список резервных кодов».
Резервные коды будут сгенерированы и отображены.
Вы можете загрузить эти резервные коды в безопасное место на своем компьютере, распечатать их и положить в безопасное место или отправить себе по электронной почте. Обязательно храните их там, где вы сможете добраться до них, если у вас нет телефона.
После этого вы можете нажать кнопку «Я готов, закрыть мастер», чтобы выйти из мастера установки.
Использование двухфакторной аутентификации при входе в систему
В следующий раз, когда ваши пользователи войдут в систему, они увидят уведомление о том, что им необходимо настроить двухфакторную аутентификацию, а также дату крайнего срока в конце льготного периода.
Они могут нажать кнопку, чтобы настроить 2FA сейчас, или выбрать напоминание при следующем входе в систему.
Когда они нажмут кнопку «Настроить 2FA сейчас», они пройдут те же шаги, что и при настройке 2FA для своей учетной записи пользователя в предыдущем разделе.
Когда они войдут в систему после настройки двухфакторной аутентификации, они увидят обычный экран входа в WordPress. Однако когда они введут свое имя пользователя и пароль, отобразится второй экран с запросом кода из приложения для аутентификации.
Прежде чем они смогут войти в систему, им нужно будет ввести код из приложения на своем телефоне. Кроме того, они могут ввести резервный код, если у них нет с собой телефона.
Это делает ваш сайт более безопасным. Если хакер узнает имя пользователя и пароль одного из ваших пользователей, он не сможет войти в систему, если у него не будет доступа к его телефону.
Совет: Если на вашем веб-сайте WordPress используется настраиваемая страница формы входа, вы также можете создать настраиваемую страницу, на которой пользователи смогут управлять настройками двухфакторной аутентификации без доступа к области администрирования WordPress.
Способ 2. Добавление двухфакторной аутентификации с использованием двухфакторной аутентификации
Этот метод менее гибок, поскольку не позволяет обеспечить двухфакторный вход в систему для всех пользователей. Каждый пользователь должен будет настроить его самостоятельно и может отключить в своем профиле. Однако это быстрый и простой метод, если вы просто хотите настроить 2FA для своей учетной записи.
Сначала вам необходимо установить и активировать плагин Two-Factor. Более подробную информацию можно найти в нашем пошаговом руководстве по установке плагина WordPress.
После активации вам необходимо посетить страницу «Пользователи » Профиль» и прокрутить вниз до раздела «Двухфакторные варианты».
Отсюда вам нужно выбрать вариант двухфакторного входа. Плагин позволяет вам использовать электронную почту, приложение для аутентификации и методы ключей безопасности FIDO U2F.
Мы рекомендуем использовать метод приложения-аутентификатора. Просто отсканируйте QR-код на экране с помощью приложения для аутентификации, такого как Google Authenticator, Authy или LastPass Authenticator.
После того, как вы отсканируете QR-код, приложение покажет вам код подтверждения, который вам необходимо ввести в параметры плагина и нажать кнопку «Отправить».
Плагин теперь установит секретный ключ. Вы можете сбросить этот ключ в любой момент на странице настроек, чтобы повторно отсканировать QR-код.
Не забудьте нажать кнопку «Обновить профиль» внизу страницы, чтобы сохранить настройки.
Теперь каждый раз, когда вы входите на свой веб-сайт WordPress, вам будет предложено ввести код аутентификации, сгенерированный приложением на вашем телефоне.
Часто задаваемые вопросы о двухфакторной аутентификации (2FA) в WordPress
Вот несколько ответов на некоторые из наиболее часто задаваемых вопросов об использовании двухэтапного входа в WordPress.
1. Как мне войти в систему с помощью 2FA, если у меня нет доступа к телефону?
Если вы используете приложение для аутентификации с возможностью резервного копирования в облако, например Authy, вы также можете установить это приложение на свой ноутбук.
Это дает вам доступ к кодам аутентификации, даже если у вас нет с собой телефона. Это также позволяет вам легко восстановить секретные ключи при покупке нового телефона.
Многие приложения для аутентификации также позволяют генерировать резервные коды. Эти коды можно использовать в качестве одноразовых паролей, когда у вас нет доступа к телефону.
2. Как войти в систему без каких-либо кодов из моего приложения-аутентификатора?
Если у вас нет доступа к телефону, ноутбуку или резервным кодам, то вы можете войти в систему, только отключив плагин 2FA.
Вы можете посмотреть наше руководство о том, как деактивировать все плагины WordPress, если вы не можете получить доступ к области администрирования.
Как только вы деактивируете все плагины, это также отключит плагин двухфакторной аутентификации, и вы сможете войти на свой веб-сайт WordPress. После входа в систему вы можете повторно активировать плагины и сбросить настройки двухфакторной аутентификации.
3. Нужно ли защищать паролем папку администратора WordPress?
Безопасность веб-сайта работает лучше всего, когда у вас есть несколько уровней безопасности для защиты вашего веб-сайта, начиная с таких основ, как использование HTTPS и безопасный хостинг WordPress.
Двухфакторная проверка делает ваш вход в WordPress безопасным, но вы можете сделать его еще более безопасным, защитив паролем каталог администратора WordPress. Это означает, что пользователи не смогут получить доступ к вашей странице входа, пока они сначала не введут имя пользователя и пароль.
Мы надеемся, что эта статья помогла вам добавить двухфакторную аутентификацию для входа в WordPress. Вы также можете ознакомиться с нашим руководством о том, как получить бесплатный сертификат SSL для вашего сайта WordPress, или с нашим экспертным выбором лучших плагинов безопасности WordPress.
Если вам понравилась эта статья, подпишитесь на наш канал YouTube с видеоуроками по WordPress. Вы также можете найти нас в Twitter и Facebook.