การรับรองความถูกต้องด้วยสองปัจจัย (2FA) สำหรับ WordPress
เผยแพร่แล้ว: 2023-02-12สิ่งสำคัญคือต้องสร้างรหัสผ่านที่รัดกุมเพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ อย่างไรก็ตาม รหัสผ่านเพียงอย่างเดียวไม่สามารถป้องกันภัยคุกคามจำนวนมากที่ก่อให้เกิดความเสี่ยงร้ายแรงต่อไซต์ของคุณได้ เช่น การโจมตีด้วยกำลังดุร้าย หากผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงส่วนหลังของคุณ คุณอาจสูญเสียเว็บไซต์ของคุณ และอาจทำให้ผู้เยี่ยมชมของคุณตกอยู่ในความเสี่ยง ด้วยเหตุผลนี้ คุณมีแผนที่จะติดตั้งและรักษาความปลอดภัยของ WordPress
การใช้การรับรองความถูกต้องด้วยสองปัจจัย (2FA) คุณสามารถเพิ่มชั้นความปลอดภัยเพิ่มเติมให้กับไซต์ WordPress ของคุณได้ การตั้งค่าทำได้ค่อนข้างง่ายและคุณลักษณะนี้จะช่วยลดความเสี่ยงของผู้ใช้ที่ไม่ได้รับอนุญาตในการเข้าถึงไซต์ของคุณได้อย่างมาก
ในโพสต์นี้ เราจะแนะนำ 2FA และอธิบายวิธีใช้ใน WordPress จากนั้น เราจะแสดงวิธีการใช้คุณลักษณะนี้โดยใช้ปลั๊กอิน มาเริ่มกันเลย!
การรับรองความถูกต้องด้วยสองปัจจัย (2FA) สำหรับ WordPress คืออะไร
การรับรองความถูกต้องด้วยสองปัจจัย (2FA) เป็นชั้นของการรักษาความปลอดภัยที่ต้องใช้ทั้งรหัสผ่านและการยืนยันตัวตนของผู้ใช้เพิ่มเติม การยืนยันนี้มาจากบางสิ่งที่ผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงได้ เช่น ข้อความและข้อความเสียง ลิงก์อีเมล รหัส QR หรือการแจ้งเตือนแบบพุช 2FA มีความปลอดภัย เนื่องจากผู้โจมตีไม่สามารถเข้าถึงช่องทางภายนอกเหล่านี้ได้
เหตุใดฉันจึงต้องใช้การรับรองความถูกต้องด้วยสองปัจจัย
การยืนยันตัวตนแบบสองขั้นตอน (หรือที่เรียกว่าการยืนยันตัวตนแบบสองขั้นตอน) ช่วยป้องกันไม่ให้ผู้ไม่หวังดีเข้าถึงไซต์ของคุณและอาจทำให้ธุรกิจของคุณเสียหายได้ เป็นแนวป้องกันที่สองที่จะช่วยป้องกันผู้ไม่หวังดีและทำให้มั่นใจได้ว่าแม้รหัสผ่านของคุณจะถูกบุกรุก บัญชีของคุณจะยังคงปลอดภัยตราบเท่าที่ปัจจัยที่สองนั้นอยู่นอกเหนือการเข้าถึงของผู้โจมตี
การรับรองความถูกต้องด้วยสองปัจจัยของ WordPress เป็นคุณลักษณะที่เลือกได้ หมายความว่าคุณจะต้องใช้มันหากต้องการเท่านั้น แต่มันฟรีและเพิ่มการป้องกันอีกชั้นหนึ่ง แล้วทำไมไม่ล่ะ
2FA สำหรับ WordPress ทำงานอย่างไร
ในหน้าเข้าสู่ระบบ WordPress ทั่วไป (เช่น ไม่ใช่ 2FA) ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่านและได้รับอนุญาตให้เข้าถึงส่วนหลังของเว็บไซต์โดยอัตโนมัติ ซึ่งหมายความว่าใครก็ตามที่ทราบชื่อผู้ใช้และรหัสผ่านของคุณจะสามารถเข้าถึงทุกแง่มุมของเว็บไซต์ของคุณได้อย่างง่ายดาย
ตามที่กล่าวไว้ข้างต้น 2FA สามารถช่วยป้องกันไม่ให้สิ่งนี้เกิดขึ้น แล้วมันทำงานอย่างไรใน WordPress? ด้วยการตั้งค่า 2FA (เดี๋ยวเราจะกล่าวถึงวิธีการดำเนินการนี้) เมื่อคุณป้อนรหัสผ่านและชื่อผู้ใช้ในหน้าเข้าสู่ระบบ การแจ้งเตือนจะถูกส่งไปยังโทรศัพท์หรือที่อยู่อีเมลของคุณ การแจ้งเตือนนี้จะมี PIN แบบใช้ครั้งเดียว หรืออาจมีลิงก์หรือรหัส QR
ในการเข้าถึงเว็บไซต์ คุณต้องทำตามที่ข้อความหรืออีเมลสั่ง เช่น คลิกลิงก์หรือป้อน PIN บนไซต์ของคุณ
2FA ปลอดภัยแค่ไหน?
เมื่อเทียบกับการป้องกันด้วยรหัสผ่านมาตรฐาน 2FA มีความปลอดภัยมากกว่ามาก ท้ายที่สุดแล้ว จำเป็นต้องใช้ประโยชน์จากสิ่งที่คุณมีคนเดียว (โทรศัพท์ บัญชีอีเมลส่วนตัว ฯลฯ) เพื่อเข้าถึงไซต์ของคุณ ซึ่งหมายความว่าโอกาสที่เว็บไซต์จะถูกแฮ็กจะลดลง ทำให้ 2FA เป็นวิธีที่ดีที่สุดในการป้องกันปัญหาด้านความปลอดภัยต่างๆ ได้ดียิ่งขึ้น (โดยเฉพาะการโจมตีด้วยกำลังเดรัจฉาน)
ตอนนี้คุณเข้าใจถึงประโยชน์ของ 2FA และวิธีการทำงานแล้ว เรามาคุยกันว่าคุณจะรวมฟีเจอร์นี้เข้ากับเว็บไซต์ WordPress ของคุณได้อย่างไร
ฉันจะเริ่มต้นใช้งานการรับรองความถูกต้องด้วยสองปัจจัยได้อย่างไร
หากคุณเป็นลูกค้า WP Engine คุณสามารถเปิดใช้งาน 2FA ในพอร์ทัลผู้ใช้ WP Engine หากไซต์ของคุณไม่ได้โฮสต์บน WP Engine คุณยังคงสามารถใช้วิธีการตรวจสอบสิทธิ์แบบสองปัจจัยได้ (หรือแม้แต่วิธีการตรวจสอบสิทธิ์แบบหลายปัจจัย) แต่จำเป็นต้องอาศัยความช่วยเหลือจากปลั๊กอิน WordPress
ปลั๊กอิน WordPress 2FA
ในฐานะลูกค้า WP Engine คุณสามารถใช้ 2FA ผ่าน User Portal เครื่องยนต์ที่ไม่ใช่ WP
ผู้ใช้ยังสามารถใช้ 2FA ได้ แต่ต้องการความช่วยเหลือจากปลั๊กอิน WordPress ต่อไปนี้คือตัวเลือกบางส่วนที่คุณสามารถลองใช้ด้วยตัวคุณเอง
Rublon การรับรองความถูกต้องด้วยสองปัจจัย
Rublon Two-Factor Authentication เป็นปลั๊กอิน 2FA WordPress ที่เรียบง่าย ช่วยให้คุณสามารถรักษาความปลอดภัยเว็บไซต์ของคุณได้อย่างรวดเร็วจากการเข้าสู่ระบบที่ไม่ได้รับอนุญาต เมื่อลงชื่อเข้าใช้บัญชี WordPress ของคุณเป็นครั้งแรกโดยติดตั้งปลั๊กอินความปลอดภัย คุณจะต้องคลิกลิงก์ยืนยันที่ส่งไปยังที่อยู่อีเมลของคุณ จากนั้นคุณสามารถเลือกบันทึกอุปกรณ์ได้ ซึ่งหมายความว่าคุณไม่จำเป็นต้องยืนยันตัวตนของคุณในขณะที่ใช้เบราว์เซอร์เดิมอีกต่อไป
นี่เป็นตัวเลือกที่ยอดเยี่ยมสำหรับเว็บไซต์ที่มีผู้ใช้เพียงคนเดียว แม้ว่าจะสามารถนำไปใช้กับเว็บไซต์ที่มีผู้ใช้หลายคนได้เช่นกัน (หากคุณอัปเกรดเป็นเวอร์ชันที่ต้องชำระเงิน)
จุดเด่น : ปลั๊กอินนี้มีการติดตั้งและเปิดใช้งานในคลิกเดียว และไม่ต้องกำหนดค่าหรือฝึกอบรมใดๆ
จุดด้อย : รองรับเฉพาะการยืนยันอีเมล ซึ่งอาจปลอดภัยน้อยกว่าข้อความหรือการแจ้งเตือนแบบพุช
ราคา : ปลั๊กอินส่วนตัว (หนึ่งเว็บไซต์) ฟรี แต่สามารถซื้อเวอร์ชันธุรกิจ (หลายเว็บไซต์) ได้โดยติดต่อทีมขาย
การรับรองความถูกต้องด้วยสองปัจจัย Duo
ในฐานะหนึ่งในปลั๊กอิน 2FA ขั้นสูง Duo Two-Factor Authentication ช่วยให้คุณสามารถตั้งค่า 2FA ตามบทบาทของผู้ใช้ WordPress ตัวอย่างเช่น คุณสามารถกำหนดให้ผู้เขียนและผู้แก้ไขใช้ 2FA เพื่อเข้าสู่ระบบ ในขณะที่ผู้สมัครสมาชิกจำเป็นต้องป้อนรหัสผ่านเท่านั้น
การยืนยันตัวตนแบบสองปัจจัยของ Duo ยังมีตัวเลือกต่างๆ สำหรับการยืนยัน รวมถึงผ่าน SMS แอปบนอุปกรณ์เคลื่อนที่ หรือการโทรศัพท์
ข้อดี : ปลั๊กอินนี้รองรับการกำหนดค่าบทบาทของผู้ใช้ และรวมถึงวิธีการตรวจสอบต่างๆ
ข้อเสีย : ไม่รองรับ WordPress Multisite
ราคา : ปลั๊กอินฟรีเปิดใช้งาน 2FA สำหรับผู้ใช้สูงสุด 10 คนบนเว็บไซต์ของคุณ แต่คุณสามารถเพิ่มขีดจำกัดนั้นได้โดยเริ่มต้นที่ $3 ต่อผู้ใช้ต่อเดือน
Google Authenticator - การรับรองความถูกต้องด้วยสองปัจจัย
ประการสุดท้าย Google Authenticator นำเสนอวิธีการยืนยันที่หลากหลายเพื่อปกป้องเว็บไซต์ของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาต รวมถึงรหัส QR ข้อความอีเมล และการแจ้งเตือนแบบพุช เช่นเดียวกับ Duo Two-Factor Authenticator คุณสามารถใช้ปลั๊กอินนี้เพื่อตั้งค่า 2FA สำหรับบทบาทของผู้ใช้เฉพาะ
Google Authenticator สามารถกำหนดค่าให้ต้องใช้ชื่อผู้ใช้ รหัสผ่านที่รัดกุม และปัจจัย หรือเพียงแค่ชื่อผู้ใช้และปัจจัย
ข้อดี : ปลั๊กอินนี้รองรับ 2FA เฉพาะบทบาท และนำเสนอวิธีการยืนยันที่หลากหลาย (รวมถึง QR, SMS, โทรศัพท์ และการแจ้งเตือนแบบพุช)
จุดด้อย : รุ่นฟรีค่อนข้างจำกัดในแง่ของคุณสมบัติ
ค่าใช้จ่าย : ปลั๊กอินฟรีเสนอ 2FA สำหรับผู้ใช้เพียงคนเดียว แต่คุณสามารถอัปเกรดเริ่มต้นที่ $15 ต่อปี
สิ่งสำคัญคือต้องจำไว้ว่าเว็บไซต์ WordPress ของคุณปลอดภัยพอๆ กับหน้าเข้าสู่ระบบของผู้ดูแลระบบเท่านั้น และรหัสผ่านอย่างเดียวไม่เพียงพอ การใช้ตัวตรวจสอบสิทธิ์แบบสองปัจจัยสามารถช่วยให้ผู้เยี่ยมชมไซต์ของคุณปลอดภัย หากคุณพร้อมที่จะเปลี่ยนไปใช้โฮสต์ที่ให้ความอุ่นใจ คุณสามารถดูแผนการโฮสต์ WordPress ที่มีการจัดการของ WP Engine ได้!