Двухфакторная аутентификация (2FA) для WordPress

Очень важно создать надежный пароль для защиты вашего сайта WordPress. Однако сам по себе пароль не обеспечит адекватной защиты от многих угроз, представляющих серьезную опасность для вашего сайта, таких как атаки методом грубой силы. Если неавторизованные пользователи получат доступ к вашей серверной части, вы можете потерять свой веб-сайт и даже подвергнуть риску своих посетителей. По этой причине у вас есть план по установке и поддержке безопасности WordPress.

Используя двухфакторную аутентификацию (2FA), вы можете добавить дополнительный уровень безопасности на свой сайт WordPress. Его относительно просто настроить, и эта функция значительно снизит риск того, что неавторизованные пользователи получат доступ к вашему сайту.

В этом посте мы представим 2FA и объясним, как его можно использовать в WordPress. Затем мы покажем вам, как реализовать эту функцию с помощью плагинов. Давайте начнем!

Что такое двухфакторная аутентификация (2FA) для WordPress?

Двухфакторная аутентификация (2FA) — это уровень безопасности, для которого требуется как пароль, так и дополнительная проверка личности пользователя. Эта проверка исходит из чего-то, к чему может получить доступ только авторизованный пользователь, например текстовых и голосовых сообщений, ссылок электронной почты, QR-кодов или push-уведомлений. Двухфакторная аутентификация безопасна, поскольку злоумышленники не имеют доступа к этим внешним каналам.

Зачем мне нужна двухфакторная аутентификация?

Двухфакторная аутентификация (также известная как двухэтапная аутентификация) помогает предотвратить доступ злоумышленников к вашим сайтам и потенциальный ущерб вашему бизнесу. Это вторая линия защиты, помогающая удержать злоумышленников и гарантирующая, что даже если ваш пароль будет скомпрометирован, ваша учетная запись останется в безопасности, пока этот второй фактор остается вне досягаемости для злоумышленника.

Двухфакторная аутентификация WordPress — это дополнительная функция, то есть вы должны использовать ее только в том случае, если хотите. Но это бесплатно и добавляет дополнительный уровень защиты, так почему бы и нет?

Как работает 2FA для WordPress?

На типичной (т.е. без 2FA) странице входа в WordPress пользователь вводит имя пользователя и пароль и автоматически получает доступ к серверной части веб-сайта. Это означает, что любой, кто узнает ваше имя пользователя и пароль, может легко получить доступ ко всем аспектам вашего сайта.

Как упоминалось выше, 2FA может помочь предотвратить это. Итак, как это работает в WordPress? После настройки 2FA (сейчас мы расскажем, как это сделать) при вводе пароля и имени пользователя на странице входа на ваш телефон или адрес электронной почты будет отправлено уведомление. Это уведомление будет содержать одноразовый пин-код или, возможно, ссылку или QR-код.

Чтобы получить доступ к веб-сайту, вы должны выполнить действия, указанные в текстовом сообщении или электронном письме, например, щелкнуть ссылку или ввести PIN-код на своем сайте.

Насколько безопасна 2FA?

По сравнению со стандартной защитой паролем, 2FA намного безопаснее. В конце концов, для того, чтобы получить доступ к вашему сайту, требуется использовать то, что есть только у вас (ваш телефон, личная учетная запись электронной почты и т. д.). Это означает, что вероятность взлома веб-сайта снижается, что делает двухфакторную аутентификацию лучшим способом предотвращения различных проблем безопасности (в частности, атак методом грубой силы).

Теперь, когда вы понимаете преимущества 2FA и принцип ее работы, давайте обсудим, как вы можете включить эту функцию на свой сайт WordPress.

Как начать работу с двухфакторной аутентификацией?

Если вы являетесь клиентом WP Engine, вы можете включить 2FA на пользовательском портале WP Engine. Если ваш сайт не размещен на WP Engine, вы все равно можете реализовать метод двухфакторной аутентификации (или даже метод многофакторной аутентификации), но для этого потребуется помощь плагинов WordPress.

Плагины двухфакторной аутентификации WordPress

Как клиент WP Engine, вы можете внедрить 2FA через пользовательский портал. Двигатель без WP
Пользователи также могут реализовать 2FA, но для этого требуется помощь плагинов WordPress. Вот несколько вариантов, которые вы можете попробовать сами.

Двухфакторная аутентификация Rublon

Rublon Two-Factor Authentication — это простой плагин 2FA для WordPress, позволяющий быстро защитить ваш сайт от несанкционированного входа в систему. При первом входе в свою учетную запись WordPress с установленным подключаемым модулем безопасности вам потребуется щелкнуть ссылку для подтверждения, отправленную на ваш адрес электронной почты. Затем вы можете сохранить свое устройство, что означает, что вам больше не нужно будет подтверждать свою личность при использовании того же браузера.

Это отличный вариант для веб-сайтов с одним пользователем, хотя его можно применить и к многопользовательским веб-сайтам (если вы перейдете на платную версию).

Плюсы : Этот плагин предлагает установку и активацию одним щелчком мыши и не требует настройки или обучения.

Минусы : он поддерживает только проверку электронной почты, которая может быть менее безопасной, чем текстовые сообщения или push-уведомления.

Стоимость : персональный (один веб-сайт) плагин бесплатен, но бизнес-версию (многосайтовую) можно приобрести, связавшись с отделом продаж.

Двухфакторная аутентификация Duo

Как один из наиболее продвинутых плагинов 2FA, Duo Two-Factor Authentication позволяет настроить 2FA на основе ролей пользователей WordPress. Например, вы можете потребовать, чтобы авторы и редакторы использовали двухфакторную аутентификацию для входа в систему, а подписчикам достаточно ввести свой пароль.

Двухфакторная аутентификация Duo также предоставляет различные варианты проверки, в том числе с помощью SMS, мобильного приложения или телефонного звонка.

Плюсы : этот плагин поддерживает настройку роли пользователя и включает различные методы проверки.

Минусы : нет поддержки WordPress Multisite.

Цена : бесплатный плагин позволяет использовать двухфакторную аутентификацию для 10 пользователей на вашем веб-сайте, но вы можете увеличить этот лимит, начиная с 3 долларов США на пользователя в месяц.

Google Authenticator — двухфакторная аутентификация

Наконец, Google Authenticator предлагает различные методы проверки для защиты вашего веб-сайта от несанкционированного доступа, включая QR-коды, сообщения электронной почты и push-уведомления. Как и в случае с Duo Two-Factor Authenticator, вы можете использовать этот плагин для установки 2FA для определенных ролей пользователей.

Google Authenticator можно настроить так, чтобы он запрашивал имя пользователя, надежный пароль и фактор или просто имя пользователя и фактор.

Плюсы : этот плагин поддерживает 2FA для конкретных ролей и предлагает широкий спектр методов проверки (включая QR, SMS, телефонные звонки и push-уведомления).

Минусы : Бесплатная версия довольно ограничена с точки зрения возможностей.

Стоимость : бесплатный плагин предлагает 2FA только для одного пользователя, но вы можете обновить его, начиная с 15 долларов в год.

Важно помнить, что ваш веб-сайт WordPress настолько безопасен, насколько безопасна ваша страница входа в систему администратора, и одного пароля недостаточно. Внедрение двухфакторной аутентификации может помочь обеспечить безопасность посетителей вашего сайта. Если вы готовы перейти на хостинг, который предлагает спокойствие, вы можете ознакомиться с планами управляемого хостинга WordPress от WP Engine!