Двухфакторная аутентификация WordPress с помощью Google Authenticator
Ваш веб-сайт для интернет-предпринимателя похож на ваш дом в Интернете. И вы хотите сохранить этот дом в безопасности, не так ли? Если вы используете WordPress для запуска своего сайта – спасибо! У вас отличный дом в прекрасном районе. (Ваш дом – это WordPress, а окрестности – это сообщество WordPress!)
Сегодня мы поговорим о том, как улучшить безопасность WordPress – используя двухфакторную аутентификацию – вкратце «2FA». В моей последней статье мы говорили о том, как настроить двухфакторную аутентификацию с помощью Duo Security – известной охранной фирмы с такими клиентами, как Sony и Esty. В этой статье мы узнаем, как настроить двухфакторную аутентификацию с помощью плагина Google Authenticator WordPress. Этот плагин был разработан Хенриком Шаком, более подробную информацию о нем можно найти в его блоге.
Для того чтобы этот процесс работал, вам понадобится смартфон – телефон Android, iPhone или BlackBerry. Другие операционные системы, такие как Symbian и мобильные операционные системы Samsung на основе JAVA, не поддерживаются. Это потому, что нашим программным обеспечением для аутентификации будет приложение Google Authenticator в нашем телефоне. Если в прошлом вы использовали функцию 2FA Gmail или Dropbox, то вам пришлось установить приложение Google Authenticator. Для людей, которые не использовали приложение – не волнуйтесь. Это довольно простой процесс!
Установка Google Authenticator
Начнем с установки плагина в WordPress. Для этого перейдите в Панель управления WordPress> Плагины> Добавить новый.
Найдите «аутентификатор Google» и установите первый отображаемый результат (плагин, созданный Хенриком Шаком).
Как только плагин будет загружен и распакован, активируйте его.
Настройка Google Authenticator в WordPress
Плагин Google Authenticator для WordPress не имеет специального пункта меню в меню панели управления WordPress, а также не имеет пункта подменю в разделе «Настройки». Вам необходимо активировать этот плагин для каждого пользователя, как и в нашем последнем руководстве по 2FA. Вы можете получить доступ к индивидуальным настройкам пользователя, перейдя в WP Dashboard> Пользователи> Ваш профиль. Прокрутите немного вниз, и вы найдете настройки под заголовком Настройки Google Authenticator.
Объяснение настроек Google Authenticator
Описание: Во-первых, вам нужно добавить описание для вашего блога. Это описание поможет вам распознать сайт в приложении Google Authenticator. Поскольку у вас может быть много других приложений, связанных с Google Authenticator, всегда лучше использовать правильный идентификатор (описание). Названия блога будет достаточно. Давайте использовать ThinkingTeapot в качестве идентификатора в нашем руководстве.
Расслабленный режим: Расслабленный режим увеличивает время ввода пароля с одной минуты до четырех. Это означает, что у вас будет четыре минуты, чтобы ввести 6-значный код аутентификации на странице входа. Вы можете включить этот параметр или оставить его отключенным – выбор за вами!
Секрет: этот ключ необходим, если вы хотите вручную добавить учетную запись WordPress в приложение Google Authenticator, то есть без использования QR-кода. Чтобы ввести секретный ключ в приложении Google Authenticator, запустите приложение Google Authenticator на своем смартфоне и выберите Menu Key> Add Account> Enter Key Provided.
Вы также можете добавить свою учетную запись WordPress в приложение Google Authenticator, отсканировав QR-код. Это рекомендуемый / самый простой способ, поскольку теперь он требует ввода текста. Нажмите кнопку Показать / скрыть QR-код.
Откройте Google Authenticator на своем смартфоне и найдите в меню пункт «Настроить учетную запись». Выберите его, и вы попадете на страницу настроек «Добавить учетную запись».
Нажмите «Сканировать штрих-код» и удерживайте камеру неподвижно, чтобы захватить QR-код. Обычно Google Authenticator распознает штрих-код за секунду или две.
Затем он автоматически распознает ваш блог WordPress и добавит его в список подключенных сервисов / веб-сайтов в Google Authenticator. Теперь наш сайт правильно связан с Google Authenticator. Последний шаг – активировать Google Authenticator в самом WordPress. Отметьте кнопку Активный прямо под настройками Google Authenticator.
Пароли приложений: пароли приложений позволяют вам войти в свой блог WordPress с помощью интерфейса XML-RPC. Он предназначен для сторонних приложений для ведения блогов, таких как Windows Live Writer или Microsoft Word 2013. Он позволяет приложениям обходить проверку безопасности Google Authenticator. Однако не рекомендуется включать пароли приложений, так как они представляют собой серьезную уязвимость безопасности, которую могут использовать хакеры.
Сохраните настройки: наконец, чтобы сохранить все эти настройки, нажмите «Обновить профиль», который находится прямо в нижней части страницы профиля пользователя. Если вы этого не сделаете, все ваши настройки будут потеряны!
Работа магии
Теперь все установлено, давайте протестируем этого ребенка!
Мы выходим из нашей учетной записи WordPress и снова посещаем экран входа в систему. Только на этот раз нас встречает простая, но чрезвычайно мощная двухфакторная аутентификация. Мы копируем код из приложения Google Authenticator, показанный на нашем телефоне, и вставляем его в соответствующее поле. Введите этот одноразовый пароль и откройте сезам!
Какой плагин двухфакторной аутентификации мне выбрать?
Выбор между Duo Security и Google Authenticator сводится к следующему – веб-сайту, который мы пытаемся защитить. Если вы сосредоточены на безопасности, то двухфакторная аутентификация – отличный шаг. Google Authenticator для WordPress выполнит свою работу.
Но если вы хотите улучшить игру, Duo Security – ваш лучший выбор. Этот протокол следует использовать, особенно для людей, у которых в прошлом был взломан их сайт, или для тех, кто обнаружил на своем сайте множество попыток несанкционированного входа.
Заключение
Плагин Google Authenticator WordPress – это простое и элегантное решение для протоколов двухфакторной аутентификации начального уровня. Duo Security предоставляет гораздо больше функций, таких как создание одноразовых паролей (одноразовых паролей) с помощью телефонных звонков и SMS. Конечно, после определенного момента услуга является платной, но она включает в себя широкий спектр совместимости. Например, с генерацией OTP телефона и SMS можно использовать любой мобильный телефон с сигналом оператора связи.
Более того, Duo Security использует протокол PUSH в реальном времени, который работает только тогда, когда ваш телефон подключен к Интернету. Когда вы пытаетесь войти в систему, на ваш мобильный телефон отправляется автоматическое push-уведомление. Как только вы нажмете кнопку «Подтвердить», вы автоматически войдете на свой сайт WordPress.
Я лично рекомендую использовать Duo Security, поскольку в нем гораздо больше средств аутентификации для получения одноразового пароля, а также множество других опций. Если у вас есть сайт, на котором задействована электронная коммерция, то использование двухфакторной аутентификации, безусловно, поможет повысить безопасность.
К вам – какой ваш любимый плагин для двухфакторной аутентификации? Есть для нас отличные советы по безопасности? Мы хотели бы услышать от вас! О, и, пожалуйста, дайте нам знать, как вам понравился этот урок. Жду ваших комментариев и предложений.
Источник записи: https://www.wpexplorer.com