Как использовать двухфакторную аутентификацию для входа в WordPress?

Страница входа — одна из серьезных угроз безопасности для всех владельцев сайтов, использующих платформу WordPress. Кто угодно может получить доступ к странице входа, добавив / wp-admin / или же /wp-login.php суффикс к названию веб-сайта. Это облегчает хакерам и ботам отправку автоматических запросов. Это называется атакой грубой силы, которая является одной из самых больших проблем для тех, кто использует слабые или просочившиеся пароли для входа в систему. Лучший способ защитить ваш сайт — использовать двухфакторную аутентификацию для страницы входа в WordPress на вашем сайте.

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация — это механизм защиты, который помогает добавить дополнительный уровень пароля к вашей текущей настройке. В WordPress это будет работать, как показано ниже, после того, как вы включите двухфакторную систему аутентификации.

  • Пользователь переходит на страницу входа в WordPress.
  • Укажите правильное имя пользователя / адрес электронной почты и пароль.
  • Система попросит вас ввести второй код аутентификации. В зависимости от настроек вы получите код по электронной почте или в одном из приложений Authenticator.
  • Введите код и войдите в админку.

Ни один пользователь, включая вас, не сможет войти на сайт без ввода второго кода аутентификации.

Требования для двухфакторной аутентификации в WordPress

Теперь вы знаете, как работает двухфакторная система аутентификации в WordPress. Прежде чем вы планируете реализовать это на собственном веб-сайте, вот что вам нужно.

  • Установите плагин аутентификации двух фактов.
  • Имейте мобильный телефон или действующий адрес электронной почты.
  • Установите приложение-аутентификатор для мобильных телефонов или настройте рабочую электронную почту в вашей установке WordPress.

Установка приложения Authenticator на мобильные телефоны

Поскольку использование двухфакторной аутентификации в мобильном приложении — простой вариант, мы объясним это в этой статье. Вы можете получить бесплатное приложение-аутентификатор в Google Play Store для Android и в Apple App Store для iPhone.

  • Установите одно из этих бесплатных приложений — Google Authenticator, Microsoft Authenticator, Duo Security, Authy, Lastpass, FreeOTP или Okta Verify.
  • Во время настройки на вашем сайте вам необходимо отсканировать QR-код с помощью мобильного приложения и подключить свой сайт к приложению аутентификатора.
  • Каждый раз при входе в систему откройте приложение и найдите автоматически сгенерированный шестизначный код для использования в качестве кода аутентификации.

Установите плагин WP 2FA

Для WordPress доступно несколько плагинов двухфакторной аутентификации. Войдите в свою админ-панель и перейдите в раздел «Плагины> Добавить». Выполните поиск по запросу «аутентификация», чтобы найти WP 2A — двухфакторная аутентификация для WordPress плагин. Установите плагин и активируйте его на своем сайте.

Установите плагин WP 2FA
Установите плагин WP 2FA

Настройка двухфакторной аутентификации в WordPress

После установки плагина он покажет вам мастер начала работы. Вы можете следовать указаниям мастера, нажав «Приступим!» или закройте мастер и используйте настройку конфигурации. Тем не менее, мы рекомендуем закрыть мастер и выполнить настройку вручную, так как в любом случае вам необходимо изменить настройки после выполнения действий мастера.

Мастер установки
Мастер установки

Настроить мобильную аутентификацию

Вы можете вернуться к мастеру настройки либо со страницы плагинов, либо из раздела вашего профиля пользователя. Перейдите в «Пользователи> Профиль» и прокрутите страницу вниз. Нажмите кнопку «Настроить двухфакторную аутентификацию (2FA)».

Настройте 2FA из профиля пользователя
Настройте 2FA из профиля пользователя

Вы увидите QR-код, как показано ниже, вместе с ключом для ручного связывания вашего сайта с приложением-аутентификатором.

Сканировать QR-код
Сканировать QR-код

Откройте приложение для аутентификации и отсканируйте QR-код своего сайта. вы увидите, что название сайта отображается вместе с шестизначным кодом. Приложение будет автоматически обновлять код каждые 30 секунд (в Microsoft Authenticator это может измениться в зависимости от приложения, которое вы решите использовать).

Код из приложения Authenticator
Код из приложения Authenticator

После сопряжения вашего сайта с приложением нажмите кнопку «Я готов» в мастере настройки сайта. На следующем экране введите код из приложения и нажмите кнопку «Готово».

Введите код аутентификации и готово
Введите код аутентификации и готово

Это все!!! Теперь вы успешно настроили двухфакторную аутентификацию для входа на свой сайт WordPress.

Завершить настройку аутентификации
Завершить настройку аутентификации

Создать резервные коды

Что происходит, если мобильный телефон не находится ближе к вам или вы не можете войти в систему после настройки 2FA? Чтобы избежать непредвиденных ситуаций, вы можете сгенерировать резервные коды и использовать вместо кода из приложения аутентификатора. Когда вы находитесь в мастере настройки, нажмите кнопку «Продолжить и настроить резервные коды». На следующем экране снова нажмите кнопку «Создать резервные коды».

Создать резервные коды
Создать резервные коды

Плагин сгенерирует 10 резервных кодов, которые вы можете записать, загрузить в виде текстового файла или распечатать для использования в автономном режиме.

Скачать или распечатать резервный код
Скачать или распечатать резервный код

вы можете использовать один из этих 10 кодов для входа в систему, когда вы не можете использовать приложение-аутентификатор. Если вы закрыли мастер перед генерацией резервных кодов, перейдите в раздел своего профиля. Отсюда вы можете сгенерировать резервные коды, нажав кнопку «Создать резервные коды».

Вариант профиля
Вариант профиля

Настройка электронной почты вместо мобильной аутентификации

Если вы хотите получать код на электронную почту вместо мобильного приложения, вы можете настроить его, перейдя в меню «Настройки> Двухфакторная аутентификация». Выберите метод «Одноразовый код по электронной почте (HOTP)» на вкладке «Настройки 2FA». Вы также можете использовать электронную почту вместе с кодом мобильной аутентификации.

Настройки WP 2FA для выбора варианта электронной почты
Настройки WP 2FA для выбора варианта электронной почты

После этого перейдите на вкладку «Настройки и шаблоны электронной почты» и настройте электронную почту. Вы можете использовать адрес электронной почты администратора текущего пользователя из профиля пользователя WordPress или ввести собственный адрес электронной почты.

Выберите адрес электронной почты администратора или настраиваемый адрес электронной почты
Выберите адрес электронной почты администратора или настраиваемый адрес электронной почты
  • Настройте шаблон электронной почты для каждого действия, такого как 2FA, код входа, заблокированная и разблокированная учетная запись.
  • Проверьте доставку электронной почты, чтобы убедиться, что настройка электронной почты работает на вашем сайте.

После этого вернитесь в профиль пользователя и нажмите кнопку «Настроить двухфакторную аутентификацию (2FA)». На открывшемся экране вы можете выбрать способ электронной почты и нажать «Далее», чтобы продолжить.

Код триггера для отправки по электронной почте
Код триггера для отправки по электронной почте

Введите собственный адрес электронной почты или используйте адрес электронной почты текущего пользователя и нажмите кнопку «Я готов».

Выберите адрес электронной почты
Выберите адрес электронной почты

Вы получите код аутентификации по электронной почте в соответствии с шаблоном настройки. Введите код и нажмите кнопку «Готово», чтобы завершить метод аутентификации по электронной почте.

Введите код из электронной почты
Введите код из электронной почты

Другие настройки для двухфакторной аутентификации

Плагин также предлагает некоторые другие полезные настройки:

  • Применяйте двухфакторную аутентификацию для всех пользователей или только для определенных пользователей и ролей.
  • Вы можете запретить некоторым пользователям вводить код 2FA при входе на свой сайт.
  • Также можно предложить льготный период, чтобы заставить пользователя настроить 2FA.
  • Настройте страницу перенаправления для отправки пользователей после входа в систему с кодом 2FA.
  • Разрешить пользователям отключать 2FA на странице своего профиля после входа на сайт.
  • Настройте страницу внешнего интерфейса для 2FA вместе с опцией перенаправления, когда ваши пользователи используют настраиваемую страницу входа. Это полезный вариант, когда у вас есть членство или интернет-магазин и вы не разрешаете пользователям доступ к панели управления WordPress. Например, плагин WooCommerce будет иметь настраиваемую страницу входа и отправлять пользователей на страницу их учетных записей вместо отображения панели инструментов WordPress по умолчанию. В этом случае вы можете создать внешнюю страницу 2FA и настроить перенаправление для пользователей, которые будут приземляться после использования кода аутентификации.

Обязательно сохраните изменения после завершения настройки конфигурации.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *