Как включить двухфакторную аутентификацию на вашем сайте WordPress

Опубликовано: 2023-05-24

Логин + пароль. Подключиться к интерфейсу администрирования WordPress очень просто, если вы помните эти два элемента.

С точки зрения злоумышленника или робота, который хочет получить доступ к вашему сайту, это так же просто.

Если они найдут ваш логин и пароль, они станут капитанами корабля без вашего разрешения .

Собака водит гидроцикл.
Им будет весело, а вам тем более.

Это сценарий катастрофы, и, к сожалению, это случается не только с другими. Чтобы защитить себя, рекомендуется активировать двухфакторную аутентификацию в WordPress .

Если вы еще не знакомы с этим методом защиты или хотите его настроить, эта статья все вам объяснит.

Прочитав его, вы узнаете, зачем использовать двухфакторную аутентификацию и как включить ее в вашей установке WordPress с помощью двух разных методов (оба с помощью плагина).

Обзор

  1. Что такое двухфакторная аутентификация?
    1. Почему вы должны включить двухфакторную аутентификацию в WordPress?
      1. Как включить двойную аутентификацию в WordPress
        1. Заключение

          Вашим лучшим проектам WordPress нужен лучший хостинг!

          WPMarmite рекомендует Bluehost: отличная производительность, отличная поддержка. Все, что нужно для отличного старта.

          Попробуйте Блюхост
          CTA Bluehost WPMarmite

          Что такое двухфакторная аутентификация?

          Как работает двухфакторная аутентификация?

          Двухфакторная аутентификация — это метод защиты учетной записи пользователя . В WordPress это позволяет защитить доступ к интерфейсу администрирования (бэк-офису), добавив дополнительный уровень защиты к аутентификации по паролю.

          Вот как это работает:

          1. Сначала вы вводите свое имя пользователя и пароль на странице входа в систему администратора . Это то, что вы обычно делаете, когда хотите получить доступ к своему сайту WordPress.
          2. Затем вам нужно будет идентифицировать себя во второй раз, чтобы получить доступ к администратору , используя устройство или услугу, которыми вы владеете. Это может быть, например, смартфон, на котором вы подтверждаете попытку подключения, вводя код.

          Вот почему мы называем это двойной аутентификацией: чтобы подключиться к WordPress, вы должны идентифицировать себя дважды.

          Мужчина поднимает два пальца.
          Правильно, дважды.

          Большой плюс этого метода в том, что если кто-то взломает ваш пароль, этого будет недостаточно для доступа к вашей учетной записи.
           Если у злоумышленника или бота нет другого вашего устройства для входа в систему (например, вашего мобильного устройства), он или она не сможет войти в систему.

          Более того, это услуга, которую вы, вероятно, уже использовали в своей повседневной жизни. Его используют многие известные сайты, такие как Google, Facebook и PayPal .

          Это относится и к вашему банку. Чтобы подтвердить платеж (особенно на большие суммы), вас часто просят подтвердить его в банковском приложении, в котором вы должны войти.

          Несколько имен используются для обозначения двухфакторной аутентификации. Еще можно сказать двухфакторная идентификация, двойная аутентификация или даже 2FA .

          Какие есть варианты для второй формы аутентификации?

          Прежде чем продолжить, давайте кратко рассмотрим методы идентификации, которые могут быть предложены вам на втором этапе идентификации.

          Этот второй фактор может принимать несколько форм, например:

          • Код безопасности , отправленный в текстовом или электронном письме
          • Приложение для аутентификации (например, Google Authenticator), которое генерирует одноразовый код безопасности, действительный только в течение определенного периода времени.
          • USB-токен , который вставляется в USB-порт вашего компьютера.
          • Push-уведомление
          • Отпечаток пальца или сканирование сетчатки глаза

          Почему вы должны включить двухфакторную аутентификацию в WordPress?

          Хотя двойная аутентификация добавляет дополнительный шаг к процессу входа в систему, она по-прежнему имеет одно большое преимущество: она делает доступ к вашему интерфейсу администратора намного более безопасным .

          Используя этот метод:

          • Вы ограничиваете атаки грубой силы . Когда происходят атаки грубой силы, боты посещают вашу страницу входа в WordPress и пытаются выяснить имя пользователя и пароль учетной записи администратора вашего сайта, проверяя различные комбинации, чтобы взять его под контроль. Если им когда-нибудь это удастся, двойная аутентификация не позволит им получить доступ к вашему администратору WordPress.
          • Вы укрепляете безопасность своей учетной записи администратора . Даже если вы используете слабый пароль, например 123456 или love — не делайте этого — у вас будет дополнительная мера защиты со вторым фактором аутентификации.
          • Вы снижаете риск взлома и лучше защищаете некоторые конфиденциальные данные (личную информацию или банковские данные ваших клиентов, если вы продаете в магазине WooCommerce).

          Ценность двухфакторной аутентификации понятнее? Теперь приступим к делу. Продолжайте читать, чтобы узнать, как настроить двойную аутентификацию в WordPress за несколько минут.

          Мужчина целует пальцы.

          Как включить двойную аутентификацию в WordPress

          Прежде всего, я рекомендую вам сделать резервную копию вашего сайта. В случае возникновения проблемы вы сможете легко развернуться и восстановить его. Для этого вы можете активировать плагин UpdraftPlus, например, или использовать модуль резервного копирования инструмента обслуживания, такого как WP Umbrella (партнерская ссылка) или ManageWP .

          Какие у вас есть варианты?

          Самый простой и быстрый способ включить двухфакторную аутентификацию в WordPress — использовать плагин. Для этого есть два варианта.

          Во-первых, вы можете выбрать плагин, предназначенный для двойной аутентификации в WordPress . В официальном каталоге WordPress их десятки.

          Среди самых популярных (более 5000 активных установок) вы найдете:

          • Двухфакторный ( более 50 000 активных установок)
          • WP 2FA — двухфакторная аутентификация для WordPress ( более 40 000 активных установок)
          • Гугл аутентификатор ( более 30 000 активных установок)
          • Двухфакторная аутентификация ( более 20 тысяч активных установок)
          • Google Authenticator от miniOrange ( более 20 000 активных установок)
          • Двухфакторная аутентификация Duo ( 9 000+ активных установок)

          Другой вариант — воспользоваться функцией двойной аутентификации, предлагаемой подключаемым модулем безопасности общего назначения, таким как SecuPress, iThemes Security или Wordfence Security.

          Давайте узнаем, как реализовать их в деталях.

          Как включить двойную аутентификацию в WordPress с помощью плагина WP 2FA

          Если вы хотите использовать плагин, предназначенный для двойной аутентификации в WordPress, плагин WP 2FA является надежным и эффективным вариантом по нескольким причинам:

          • Это самый популярный плагин после Two-Factor. И в отличие от Two-Factor, WP 2FA позволяет настроить двухфакторную аутентификацию для всех пользователей (с Two-Factor каждый пользователь должен будет настроить ее сам).
          • Это один из лучших рейтингов.
          • Он часто обновляется .
          • Он прост в использовании и освоении.
          • Предлагается несколько методов второй аутентификации : электронная почта, текст, приложение аутентификации, код восстановления и т. д.
          • Он разработан и поддерживается компанией, которая специализируется на безопасности WordPress: WP White Security также предлагает отличный плагин WP Activity Log.
          • Ваши пользователи могут настроить двухфакторную аутентификацию без входа в администрацию . Они могут делать это из внешнего интерфейса, что очень удобно для клиентов интернет-магазина (WP 2FA интегрируется с WooCommerce), личного кабинета и т. д.

          Без перехода давайте узнаем, как настроить его за несколько быстрых шагов.

          WP 2FA — Двухфакторная аутентификация для баннера WordPress

          Шаг 1: Установите и активируйте плагин WP 2FA.

          Сначала установите и активируйте плагин в интерфейсе администрирования WordPress. Для этого перейдите в меню «Плагины» > «Добавить новый» .

          Установка WP 2FA, плагина двухфакторной аутентификации для WordPress.

          Шаг 2. Выберите метод аутентификации для ваших пользователей

          После активации плагина на вашем экране автоматически запустится мастер настройки . Нажмите на синюю кнопку «Начать», чтобы начать:

          Плагин WP 2FA предлагает мастер настройки, который поможет вам начать работу.

          Затем вам будет предложено выбрать метод аутентификации для ваших пользователей. У вас есть два варианта для второго фактора аутентификации:

          • Использование таких приложений , как Google Authenticator или Authy.
          • Отправка кода по электронной почте . В этом случае WP 2FA рекомендует активировать плагин WP Mail SMTP, чтобы улучшить доставку электронных писем, отправляемых WordPress.

          Если вы хотите предложить эти два варианта своим пользователям, оставьте оба флажка отмеченными.

          В противном случае снимите флажок по вашему выбору, если вы не хотите предлагать один из методов аутентификации. Нажмите «Продолжить настройку», чтобы продолжить настройку:

          Плагин WP 2FA предлагает два метода двойной аутентификации.

          На следующем шаге вы также можете отправить одноразовый резервный код на случай, если предыдущий метод аутентификации (через приложение или по электронной почте) не работает.

          Чтобы выбрать этот вариант, оставьте флажок «Резервные коды» установленным, затем нажмите «Продолжить настройку»:

          WP 2FA предлагает одноразовый резервный код на случай сбоя двойной аутентификации пользователей.

          Шаг 3. Определите, какие роли пользователей будут использовать двойную аутентификацию в WordPress.

          На третьем этапе WP 2FA предлагает вам выбрать, кто будет использовать двойную аутентификацию на вашем сайте WordPress. Есть три варианта:

          • Все пользователи : в этом случае каждый должен дважды пройти аутентификацию для входа, независимо от его роли пользователя (администратор, автор, редактор, участник и подписчик).
          • Определенные пользователи и/или определенные роли («Только для определенных пользователей и ролей»). Здесь вы можете ограничить использование двухфакторной аутентификации определенными пользователями и ролями.
          • Не применяйте принудительно ни к каким пользователям . При этом каждый пользователь будет волен активировать его или нет.

          Перейдите к следующему шагу, нажав «Продолжить настройку»:

          WP 2FA позволяет вам выбрать, от каких пользователей потребуется двойная аутентификация.

          Шаг 4. Настройте льготный период

          Если вы решите применить двухфакторную аутентификацию для всех или некоторых ваших пользователей, вы можете предоставить им возможность настроить двухфакторную аутентификацию в течение определенного льготного периода.

          WP 2FA позволяет вам:

          • Заставьте ваших пользователей немедленно настроить двухфакторную аутентификацию («Пользователи должны сразу настроить 2FA»).
          • Определите льготный период для настройки 2FA («Дайте пользователям льготный период для настройки 2FA»), который можно установить в днях или часах.

          Если вы решите установить задержку конфигурации, вам нужно будет выбрать, что произойдет, если пользователь не предпримет никаких действий во время задержки:

          • Либо они не смогут получить доступ к панели инструментов или своей странице пользователя («Не позволяйте им получить доступ к панели инструментов/странице пользователя»), пока они не настроят двойной вход в WordPress.
          • Либо учетная запись пользователя будет заблокирована («Заблокировать пользователя»). Разблокировать его сможет только администратор.

          Завершите, нажав «Все готово»:

          WP 2FA позволяет вам предоставить пользователям льготный период для настройки 2FA.

          Шаг 5: Выберите метод двойного входа в WordPress для вашей учетной записи пользователя.

          Последний шаг — настроить двойную аутентификацию для вашей учетной записи пользователя. Для этого нажмите на кнопку «Настроить 2FA сейчас»:

          Завершение работы мастера настройки WP 2FA.

          Затем на вашем экране откроется выделенное окно с просьбой выбрать метод аутентификации, который вы хотите использовать:

          • Аутентификация через приложение («Одноразовый код через приложение 2FA»). Это метод, который я выберу здесь.
          • Аутентификация по электронной почте («Одноразовый код по электронной почте»).
          Вы можете выбрать аутентификацию с помощью кода в приложении 2FA или с помощью кода, отправленного на вашу электронную почту.

          Шаг 6. Создайте код аутентификации в приложении для двухфакторной аутентификации

          Чтобы пройти аутентификацию через приложение, вам нужно выбрать одно из них. WP 2FA совместим со следующими приложениями:

          • Гугл аутентификатор
          • Аути
          • Microsoft Authenticator
          • Дуэт
          • ЛастПасс
          • Бесплатный OTP
          • Окта

          В целях этого теста я буду полагаться на Google Authenticator, который, вероятно, является самым известным .

          Загрузите это приложение на свой смартфон. Откройте его, затем отсканируйте QR-код, предлагаемый плагином WP 2FA в интерфейсе администрирования. Когда это будет сделано, нажмите на кнопку «Я готов».

          WP 2FA включает смарт-код для настройки приложения аутентификации.

          Затем введите код, сгенерированный приложением Google Authenticator, и не забудьте подтвердить его, нажав соответствующую кнопку («Подтвердить и сохранить»):

          Вы должны подтвердить код, чтобы завершить настройку WP 2FA.

          Шаг 7: Подключитесь к WordPress

          Чтобы убедиться, что все работает правильно, выйдите из интерфейса администрирования WordPress.

          На странице входа администратора введите свое имя пользователя и пароль, как обычно. Если все в порядке, вам будет предложено ввести одноразовый код, сгенерированный приложением, которое вы будете использовать .

          Страница входа на сайт WordPress, защищенная двухфакторной аутентификацией.

          В случае Google Authenticator это 6-значный код, который обновляется каждые 30 секунд.

          Вот и все, теперь ваш сайт намного безопаснее. Поздравляем!

          Вы также можете настроить текст электронного письма, которое отправит вам код аутентификации (если вы выберете этот метод в настройках плагина), через меню WP 2FA > Настройки > Электронные письма и шаблоны. Наконец, также можно изменить текст, который отображается на странице входа, когда вам нужно ввести код аутентификации.

          Присоединяйтесь к подписчикам WPMarmite

          Получите последние сообщения WPMarmite (а также эксклюзивные ресурсы).

          ПОДПИШИСЬ СЕЙЧАС
          Информационный бюллетень WPMarmite на английском языке

          Как включить двухфакторную аутентификацию с помощью общего плагина безопасности

          Если вы уже проходили процесс настройки двухфакторной аутентификации в WordPress самостоятельно, возможно, вы сочли эти шаги относительно простыми.

          С другой стороны, вы, возможно, обнаружили, что его реализация требует много времени . Плагин WP 2FA имеет несколько параметров конфигурации, которые могут немного затянуть работу.

          Если вы хотите работать немного быстрее — хотя и с меньшим количеством опций в настройках — есть другой способ.

          Это использование плагина безопасности общего назначения. Большинство из них предлагают возможность включить двойную аутентификацию на вашем сайте WordPress.

          WPMarmite посвятил трем самым известным плагинам безопасности подробные руководства, в которых вы узнаете, как настроить двойную аутентификацию. Это следующие плагины:

          • Wordfence Security (входит в бесплатную версию). Если вы не хотите использовать все функции, предлагаемые Wordfence, обратите внимание, что он также предлагает более легкий плагин с меньшим количеством опций (Wordfence Login Security), который включает двойную аутентификацию.
          • Безопасность iThemes (входит в бесплатную версию)
          • СекуПресс также предлагает двухфакторную аутентификацию (2FA), но только в версии Pro. В этом отношении SecuPress предлагает интересный метод: без пароля . Для входа пользователю не нужно вводить пароль. Они просто вводят свой адрес электронной почты на странице входа в WordPress, а затем получают электронное письмо с уникальной ссылкой, которая позволит им войти в систему только один раз.

          Если вы решите использовать подключаемый модуль безопасности общего назначения, не включайте одновременно специальный подключаемый модуль двухфакторной аутентификации, такой как WP 2FA или один из его конкурентов. Это было бы контрпродуктивно, и вы подвергнете себя риску несовместимости.

          Хотите повысить безопасность своего сайта #WordPress, включив двухфакторную аутентификацию? Ознакомьтесь с нашим руководством!

          Нажмите, чтобы твитнуть

          Заключение

          Двойная аутентификация на WordPress — эффективный способ усилить безопасность вашего сайта . Например, это позволяет вам лучше защитить свой сайт от атак грубой силы.

          В этих строках вы обнаружили два основных способа активировать его в своей установке WordPress:

          1. С помощью специального плагина, такого как WP 2FA .
          2. С плагином безопасности общего назначения, таким как Wordfence, iThemes Security или SecuPress.

          Однако не полагайтесь только на двухфакторную аутентификацию для защиты своего сайта. Рассмотрите возможность использования, например, надежных паролей, а также плагина для защиты от спама, такого как Akismet.

          Вы реализовали двойной вход на своем сайте? Если да, то каким отзывом вы можете поделиться с нами? Поделитесь своим мнением с читателями WPMarmite, опубликовав комментарий.