Проблемы безопасности при использовании WordPress !! Головная боль?? Не волнуйтесь, вот простая двухфакторная аутентификация, которая сделает ваш вход в WordPress безопасным.

Чаще всего все наши пароли на разных сайтах одни и те же – легко запомнить, легко взломать! WordPress является одним из таких сайтов! Так зачем использовать плагины двухфакторной аутентификации WordPress, если в WordPress уже есть однофакторная аутентификация?

Что ж, читайте дальше.

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация (2FA) – это метод, который подтверждает, является ли пользователь законным, путем объединения двух разных, не связанных между собой компонентов. Обычно это два компонента:

Знания – то, что должен знать пользователь, например, ПИН-код или пароль.
Владение – то, что должно быть у пользователя, например, OTP, отправленный на другое устройство, ключ безопасности или токен.

Раньше пользователи могли входить в систему с помощью своих знаний, однако слабые или повторяющиеся пароли облегчили хакерам доступ к конфиденциальной информации. Поэтому было задумано объединение двух компонентов (знания и владения), потому что было очень маловероятно, что хакер сможет получить пароль пользователя вместе с его владением.

Двухфакторная аутентификация WordPress

WordPress позволяет пользователям входить в систему через однофакторную аутентификацию, то есть через пароли. Пользователь может повысить безопасность своего веб-сайта, установив плагин, который дает им возможность двухфакторной аутентификации. Существует несколько широко доступных плагинов, которые можно найти на вкладке плагинов на панели инструментов WordPress. При установке плагина пользователь должен активировать его и следовать инструкциям на экране. Это простая процедура, которая дает больше шансов на безопасность.

Зачем переходить от однофакторной аутентификации к двухфакторной?

Хотя однофакторная аутентификация проста в использовании и экономит время, она уже не так безопасна. Основа 2FA заключается в том, что у хакера маловероятно наличие двух факторов, необходимых для доступа к учетной записи. Пароли различной силы, символы и символы, а также общие вопросы безопасности стали бессмысленными, поскольку к ним легко получить доступ. Однако в двухфакторной аутентификации, если попытка аутентификации не удалась хотя бы в одном экземпляре, учетная запись остается заблокированной, поскольку доступ пользователю не предоставляется. 2FA обеспечивает дополнительную безопасность, поэтому многие государственные и банковские службы перешли с 1FA на 2FA. Здесь, в Templatetoaster, конструктор сайтов WordPress демонстрирует сравнение.

Сравнительная таблица 10 лучших плагинов двухфакторной аутентификации WordPress

Двухфакторная аутентификация Clef

Примечание. Этот плагин не работает, и его поддержка прекращена согласно официальному объявлению. Мы предлагаем вам выбрать любой другой плагин из списка ниже.

Clef – это безопасный плагин, который хранит данные для входа в WordPress на устройстве Clef пользователей в зашифрованном виде и распознает веб-сайты с использованием системы шифрования RSA-Public Key.

Плюсы

Данные для входа в учетную запись пользователя сохраняются на устройстве Clef, а не в облаке, поэтому в случае взлома серверов Clef учетные данные пользователя останутся в безопасности.
Дополнительные меры безопасности включают четырехзначный PIN-код, защищающий приложение Clef, и поток активности, в котором перечислены действия Clef всех пользователей.

Минусы

Сервер Clef должен работать правильно, чтобы вы могли завершить процедуру входа в систему, и ваш смартфон должен быть в рабочем состоянии при себе.

Двухфакторная аутентификация Shield

Shield WordPress Security предлагает 2 метода двухфакторной аутентификации и использует электронную почту в качестве основы для проверки, чтобы гарантировать, что пользователь, пытающийся войти в WordPress, является законным.

Плюсы

2 метода двухфакторной аутентификации, т.е. электронная почта и Yubikey, дают пользователям возможность изучить многофакторную аутентификацию.
Предлагаются два метода проверки электронной почты: IP-адрес и аутентификация на основе файлов cookie, которые можно настроить в соответствии с типом входа в WordPress.

Минусы

После бесплатной пробной версии пользователь должен купить Shield WordPress Security, чтобы продолжить использование.

Двухфакторная аутентификация Google

Плагин Google Authenticator для WordPress предоставляет пользователю двухфакторную аутентификацию, т.е. пользователь должен ввести свой пароль вместе с кодом, отправленным в приложение Google Authenticator, установленное на их смартфоне.

Плюсы

Обеспечивает дополнительную безопасность, потому что вероятность того, что хакер узнает пароль пользователя и получит его личное устройство, не так велика.
Он прост в использовании, и большинство людей уже знают об этой двухфакторной аутентификации.

Минусы

У пользователя должен быть рабочий смартфон, когда он пытается войти в систему, иначе это может быть хлопотной процедурой.

Двухфакторная аутентификация Duo

Плагин двухфакторной аутентификации Duo для WordPress позволяет пользователям подтверждать свою личность с помощью мобильных телефонов или аппаратных токенов.

Плюсы

Несколько способов сгенерировать или получить код доступа аутентификации, что означает, что пользователи могут использовать push-уведомления, токены безопасности, коды доступа SMS, обратные вызовы по телефону, TOTP или устройство U2F для входа в систему.
Легко настроить и использовать. Duo не требует, чтобы у пользователя был обязательный смартфон, потому что он предлагает несколько вариантов аутентификации.

Минусы

Немного сложно для пользователей, которые хотят использовать только Duo Push, не выполняя процесс, который потребуется для установки Duo Security для бизнеса.

Google Authenticator – двухфакторная аутентификация (miniOrange)

Плагин miniOrange Authenticator WordPress, позволяет пользователю идентифицировать себя с помощью push-уведомлений в своем приложении miniOrange или с помощью OTP, отправленного по электронной почте, или путем ответа на вопросы безопасности.

Плюсы

miniOrange имеет встроенную защиту с помощью PIN-кода, и приложение шифрует все данные, которые оно хранит, в отличие от Google Authenticator, который хранит данные в виде простого текста.
Он также поддерживает идентификацию устройства, так что пользователю не нужно многократно входить в систему с помощью двухфакторной аутентификации с одного и того же устройства.

Минусы

Идентификация устройства может привести к нарушению безопасности, если пользователь потеряет свое устройство.

Двухфакторная аутентификация OpenID

OpenID позволяет пользователям входить в свою учетную запись WordPress или оставлять комментарии, используя свой OpenID. OpenID является открытым стандартом и позволяет пользователям проходить аутентификацию на веб-сайтах без необходимости создавать новый пароль.

Плюсы

OpenID упрощает использование и экономит время при пробном использовании новых функций.
Пользователи могут превратить свои сайты в провайдера OpenID, что делает его простым и привлекательным для широкой аудитории.

Минусы

Когда дело доходит до OpenID, проблемы с безопасностью все еще существуют, и процедура входа в систему очень запутанна, поскольку она переводит пользователя на другой сайт.

Двухфакторная аутентификация Rublon

Rublon – это двухфакторная аутентификация, которая отправляет пользователю ссылку по электронной почте при первом входе в свою учетную запись WordPress с нового устройства, после чего пользователи могут входить в свои учетные записи со своими паролями WordPress.

Плюсы

Rublon очень прост в использовании. Он экономит время и подтверждает личность пользователя одним щелчком мыши.
Мобильное приложение Rublon также обеспечивает дополнительную безопасность, позволяя пользователю сканировать код Rublon для подтверждения своей личности.

Минусы

Плагин Rublon для WordPress использует бесплатный Personal API, который обеспечивает защиту только 1 учетной записи на веб-сайте. Чтобы защитить больше учетных записей, администратору придется купить Rublon Business API.

Двухфакторная аутентификация

Плагин двухфакторной аутентификации (TFA) для WordPress использует стандартный алгоритм TOTP или HOTP для создания одноразовых паролей, которые отправляются на электронную почту или мобильные телефоны пользователя.

Плюсы

TFA доступен администраторам и может быть отключен или включен в зависимости от необходимости и отображается только для пользователей, у которых включен TFA.
Коды экстренных служб можно легко получить на случай, если пользователь потеряет свой телефон.

Минусы

Это требует, чтобы пользователь имел доступ к своим мобильным телефонам или электронной почте каждый раз, когда он хочет войти в свою учетную запись WordPress.

Аутентичная двухфакторная аутентификация

Плагин Authy при добавлении в WordPress предлагает пользователю использовать дополнительный шаг при попытке войти в свою учетную запись. Этим дополнительным шагом может быть OTP или Push-уведомление.

Плюсы

Authy прост в установке и использовании и не требует особых знаний в области безопасности. Пользователи могут использовать приложение Authy или получить токен безопасности по SMS или по телефону.
Это плагин с открытым исходным кодом, очень похожий на TFA и Google Authenticator.

Минусы

Authy – это внешняя система безопасности. Каждый раз, когда пользователь желает войти в систему, на authy.com отправляется HTTP-запрос, который решает предоставить или запретить доступ пользователям, в отличие от других систем, которые позволяют администратору контролировать решение об аутентификации.

Двухфакторная аутентификация Wordfence

Плагин двухфакторной аутентификации Wordfence доступен администраторам или издателям WordPress, так что они могут входить в свои учетные записи, используя свои пароли вместе с кодом аутентификации, отправленным на свои мобильные телефоны.

Плюсы

Безопасная, надежная и простая в использовании двухфакторная аутентификация Wordfence помогает не только в процедуре входа в систему, но и блокирует атаки против грубых сил и проверяет надежность всех паролей пользователей и администраторов.
Сканирует все сообщения и комментарии, а также обеспечивает просмотр в реальном времени всего трафика, включая автоматических ботов.

Минусы

Чтобы получить доступ ко всем функциям, а также к двухфакторной аутентификации, пользователю необходимо приобрести ключ Wordfence премиум-класса.

Настройка двухфакторной аутентификации WordPress

Для целей этой демонстрации мы используем плагин двухфакторной аутентификации Clef. Это интересный способ войти в свою учетную запись. Все, что вам нужно сделать, это поднести телефон к экрану компьютера, и вы в игре! Что делает его таким замечательным плагином, так это то, что его очень легко включить для вашей учетной записи WordPress.

Шаг 1: Войдите в свою панель управления WordPress.

Шаг 2. В меню слева выберите параметр «Плагин».

Шаг 3: Выберите опцию Добавить новый на странице плагина и найдите Clef.

Шаг 4: Установите плагин Clef, и когда плагин будет полностью установлен, нажмите на опцию активации плагина.

Шаг 5: Когда Clef активируется, нажмите кнопку «Начать работу».

Шаг 6: Загрузите приложение Clef на свой смартфон.

Шаг 7: Поднимите смартфон и синхронизируйте волну на телефоне с волной на экране.

Шаг 8. После синхронизации телефона с учетной записью следуйте инструкциям на экране, чтобы добавить пользователей или разрешите пользователям регистрироваться со своими смартфонами.

Бонус: плагин многофакторной аутентификации WordPress – COVR

Covr – это плагин для WordPress, который можно легко настроить и включить для обеспечения многофакторной безопасности. Он идентифицирует пользователей с помощью двух частей информации и предназначен для информирования пользователей о том, что их сайт защищен от неминуемых кибератак.

Плюсы

Смартфоны пользователей используются Covr в качестве инструментов проверки. Каждый раз, когда пользователь желает войти в систему, в приложение Covr на телефоне администратора отправляется push-уведомление, чтобы уведомить его о запросе на вход, который может быть отклонен, если злоумышленник попытается получить доступ к веб-сайту.
Covr позволяет пользователю контролировать свой веб-сайт, не полагаясь на сторонние системы.

Минусы

Пользователь должен постоянно иметь при себе смартфон, чтобы отклонять или принимать запросы доступа.

Вывод

Когда мир вступает в новую цифровую стадию, уровень киберпреступности неизбежно достигнет своего апогея. Одно из ложных ощущений безопасности, которое обычно возникает у пользователей, заключается в том, что в этом небезопасном мире они не будут подвергаться атаке. Однако наша работа, личность, личная и финансовая информация находится в открытом доступе, и все мы легко можем подвергнуться атаке. Единственный способ защититься – быть готовым. Двухфакторная аутентификация – одна из таких блокировок от ботов и самозванцев, которые пытаются атаковать ваш сайт. Включив аутентификацию 2F, вы защищаете свою учетную запись не только паролем, но и ключом, вероятность попадания которого в руки хакера очень мала.

Это подводит нас к вопросу, какой плагин двухфакторной аутентификации лучше всего подходит для WordPress. Нашим выбором будет Duo. Во-первых, его очень легко установить и настроить. Во-вторых, он предлагает несколько способов создания или получения кодов доступа, также известных как push-уведомления, SMS, обратные вызовы по телефону, TOTP, токены безопасности или устройства U2F. Это тоже бесплатно! С таким большим количеством опций, если у вас есть учетная запись, которую используют несколько пользователей, вы можете добавить этот плагин, не беспокоясь о том, есть ли у всех пользователей базовый функциональный смартфон! Теперь, после всего этого, если вы хотите защитить свой сайт от злонамеренных кибератак и неизбежной потери всей своей тяжелой работы, загрузите TemplateToaster, конструктор тем WordPress. для разработки тем WordPress без хлопот программирования, обеспечивая при этом полную совместимость со всеми плагинами, упомянутыми в этой статье.

Источник записи: https://blog.templatetoaster.com