Что такое двухфакторная аутентификация WordPress


Содержание материала:

Двухфакторная аутентификация в Вордпрес

Если у вас есть сайт или блог на WordPress, то его можно обезопасить от взлома. Один из таких способов повышения безопасности сайта — настройка двухфакторной аутентификации. Что это такое?

Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте.

В блоге лаборатории Касперского хорошо описано, что такое двух-факторная аутентификация.

Теперь о том, как подключить её к вашему WordPress-сайту:

  1. Установить и активировать плагин Google Authenticator.
  2. Установить приложение Google Authenticator на ваш смартфон.
    Ссылки на приложение: Andro >, iOS.
  3. Активируем Google Authenticator в своем профиле WordPress и через QR-код добавляем запись в приложение на смартфоне. Сохраняем изменения.

Теперь давайте проверим работу плагина.

Разлогинимся и зайдем повторно. Для этого используйте сгенерированный пароль из Google Authenticator. Для удобства поставьте галку «запомнить меня», что бы не пришлось каждый раз авторизовываться при входе в админ панель сайта. Но помните, что это следует делать только на том компьютере, доступ к которому имеете только вы. На компьютере в интернет-кафе такое точно не следует выполнять.

Таким образом взломать ваш сайт будет сложнее. Безопасной работы!

WordPress.com

Справка

Конфигурация

Безопасность »Двухэтапная аутентификация

Ваш сайт на WordPress.com – это дом в интернете, и он должен быть безопасным. Надеемся, вы уже выбрали сложный пароль для своей учётной записи. Для повышения уровня безопасности дома можно включить двухэтапную проверку подлинности.

Что это такое?

Двухэтапная аутентификация – способ защиты учётной записи, который требует, чтобы для входа вы не только знали что-то (пароль), но и обладали чем-то ещё (ваше мобильное устройство). Преимущество этого подхода в том, что даже если кто-то подберёт ваш пароль, ему придётся ещё украсть вашу вещь, чтобы воспользоваться вашей учётной записью.

На WordPress.com мы предлагаем двухэтапную аутентификацию с помощью мобильного устройства. Сначала мы проверяем ваше мобильное устройство посредством кода, отправленного одним из способов. После проверки вашего устройства, при каждом вводе пароля мы отправляем на устройство новый код, который надо ввести для входа. При этом процесс входа несколько усложняется, но ваша учётная запись становится гораздо безопаснее.

Настройка

Перейдите на страницу Двухэтапная аутентификация и нажмите кнопку «Для начала».

Выберите свою страну и укажите номер своего мобильного телефона (без кода страны, пробелов и тире).

Настройка SMS-кодов

Нажмите кнопку Подтверждение по SMS.

Через несколько секунд вы должны получить сообщение, в котором указано 7-значное число. Введите это число и нажмите Enable.

Наконец, вам предложат распечатать резервные коды. Не пропускайте этот шаг: это единственный способ войти в учётную запись без помощи техподдержки в случае потери устройства!

Настройка двухфакторной авторизации WordPress в Ubuntu 14.04

Безопасность — один из важнейших аспектов работы любого сайта, и в частности — сайта WordPress. К сожалению, многие пользователи по сей день не верят, что однажды хакеры могут наткнуться и на их сайт; на самом же деле, несанкционированные попытки входа в систему — довольно распространённое явление на любом сервере с доступом к сети Интернет.

В данном руководстве речь пойдёт о создании дополнительного уровня защиты сервера WordPress — о настройке двухфакторной авторизации, появление которой считается одним из наиболее значительных событий в области кибер-безопасности.

Двухфакторная авторизация (англ. two-factor authentication, или 2FA) подразумевает при входе на сайт или в систему следующее:

  1. наличие учётных данных (логина и пароля);
  2. и наличие случайно сгенерированного временного кода (т.е. его срок действия ограничивается определённым временным отрезком) — так называемого одноразового пароля (англ. one-time password, или OTP).

OTP можно получить несколькими способами:

  • по SMS;
  • по электронной почте;
  • при помощи мобильного приложения.

Системы с высоким уровнем риска (например, банки) предпочитают получать пароли по SMS; но в данном руководстве речь пойдёт об использовании мобильного приложения для получения пароля в режиме offline. Мобильное приложение является бесплатным оптимальным вариантом, объединяющим доступность и легкость в использовании.

После настройки двухфакторной авторизации процедура входа в WordPress станет на порядок сложнее.

Кроме имени пользователя и пароля для входа понадобится временный пароль, сгенерированный мобильным приложением. Это значит, что даже в случае раскрытия или взлома учётных данных WordPress хакер не сможет войти в WordPress без вашего телефона.

В конце руководства также представлена проверенная техника восстановления, которая пригодится в случае утери мобильного телефона.

Требования

Для выполнения руководства необходим предварительно установленный и настроенный сервер WordPress. Конечно, можно адаптировать уже существующий сервер WordPress; данное руководство было выполнено в следующем окружении:

Кроме того, необходим доступ к мобильному устройству iOS или Android, на которое можно установить мобильное приложение FreeOTP.

1: Установка плагина Google Authenticator

Сначала нужно установить на сайт WordPress плагин Google Authenticator.

Проще всего установить этот плагин при помощи панели инструментов WordPress. Откройте её и выполните следующие действия:

  • откройте Plugins > Add New.
  • в поле Search введите google authenticator.
  • это загрузит пару плагинов, совпадающих с поисковым шаблоном.
  • установите плагин по имени Google Authenticator by Henrik Schack.
  • После установки плагина выберите ссылку Activate Plugin.

Примечание: Если это первая установка плагина в WordPress, возможно, будет запрошены учётные данные SSH. Укажите имя и пароль пользователя sudo (для большей безопасности используйте SSH-ключ) и выберите опцию SSH2.

Установка плагина вручную (опционально)

Этот плагин можно установить и активировать вручную. Для этого войдите на сервер и перейдите в каталог plugins.

cd /var/www/html/ wp-content/plugins/

Примечание: В данном руководстве WordPress установлен в каталог /var/www/html/ согласно этому руководству. При использовании других настроек, пожалуйста, укажите свои данные.

Загрузите плагин в каталог WordPress:

wget https://downloads.wordpress.org/plugin/ google-authenticator.0.47.zip

Примечание: На момент написания руководства последней доступной версией Google Authenticator является 0.47.

2: Загрузка приложения FreeOTP

На данном этапе нужно загрузить и установить на мобильное устройство приложение FreeOTP.

FreeOTP — это открытое приложение для поддержки двухфакторной авторизации, генерирующее одноразовые пароли для входа в систему. Другими словами, это альтернатива Google Authenticator. Данное приложение будет использоваться для настройки двухфакторной авторизации на сайте WordPress.

FreeOTP спонсируется RedHat и предоставляет версии для Android и iOS. Загрузить приложение и найти официальный сайт можно по ссылкам:

3: Активация плагина Authenticator для своего профиля

Теперь нужно включить плагин WordPress для администратора WordPress и настроить его для поддержки приложения FreeOTP.

В панели инструментов WordPress откройте Users > Your Profile. Найдите подраздел Google Authenticator Settings.

Этот плагин имеет следующие опции настройки:

  • Active: поставьте галочку, чтобы включить плагин.
  • Relaxed: эта опция увеличивает время ввода одноразового пароля до 4 минут. Поставьте галочку, если иногда у вас возникают проблемы с быстрым вводом OTP.
  • Description: обычно содержит название блога. это значение будет отображаться в приложении FreeOTP на мобильном устройстве.
  • Show/Hide QR Code: поставьте галочку для отображения QR-кода.

Подключение к приложению FreeOTP

Запустите приложение FreeOTP на телефоне или планшете.

Кликните на значок QR-кода в приложении. Просканируйте QR-код WordPress, который должен появиться на экране.

Приложение FreeOTP покажет запись WordPress с описанием, ранее указанным в поле Description. Это значит, что сайт WordPress успешно подключен к приложению FreeOTP.

Сохраните изменения; для этого в WordPress перейдите в конец страницы и нажмите кнопку Update Profile.

4: Тестирование двухфакторной авторизации

Теперь необходимо убедиться, что настройка двухфакторной авторизации прошла успешно.

Закройте профиль WordPress и попробуйте снова войти. На экране появится такая, как и раньше, форма входа, но теперь — с дополнительным полем Google Authenticator code.

Запустите приложение FreeOTP на мобильном устройстве. Нажмите кнопку WordPress, чтобы приложение сгенерировало новый одноразовый пароль.

Введите это значение в отведённое для этого поле, после чего профиль WordPress будет открыт.

Активация двухфакторной авторизации для других пользователей

Теперь нужно включить двухфакторную авторизацию для всех остальных пользователей, имеющих доступ к WordPress. Убедитесь в том, что они знают о необходимости приложения FreeOTP.

Восстановление аккаунта

В случае утери мобильного устройства у вас не будет доступа к сайту WordPress. Это главный недостаток внедрения двухфакторной авторизации. К счастью, это можно легко исправить.

Для этого нужно просто отключить Google Authenticator. Запустите свой выделенный сервер и перейдите к каталогу plugins.

cd /var/www/html/ wp-content/plugins/


Переименуйте каталог google-authenticator, указав любое другое имя.

mv ‘google-authenticator’ ‘deactivate-plug-google-authenticator’

Это отключит плагин, поскольку WordPress не сможет найти его рабочий каталог.

Затем можно открыть учётную запись WordPress, так как теперь одноразовый пароль не будет запрошен.

Получив доступ к панели управления WordPress и заменив утерянный телефон новым, установите на него FreeOTP и снова включите плагин. Для этого запустите в оболочке сервера следующую команду:

mv ‘deactivate-plug-google-authenticator’ ‘google-authenticator’

Если вы нашли старый утерянный телефон, это всё, что нужно сделать. Повторите действия раздела 4, чтобы протестировать процесс авторизации. Возможно, нужно будет повторно активировать Google Authenticator, открыв WP Dashboard > Plugins > Installed Plugins. Откройте свой профиль и в Users > Your Profile найдите Google Authenticator Settings.

Если же старое устройство утеряно навсегда, и теперь вы пользуетесь другим телефоном, кликните на Create new secret. Это сгенерирует новый QR-код и аннулирует старый. Просканируйте новый код, как описано в разделе 3.

Двухфакторную авторизацию можно отключить до тех пор, пока вы не приобретёте новое устройство.

Топ-пост этого месяца:  Ошибка разбора XML или XML Parsing Error в RSS-ленте

Не забудьте сохранить изменения, нажав Update Profile.

Итоги

Внедрение двухфакторной авторизации – очень важный шаг в обеспечении безопасности сервера WordPress. Аккаунт будет защищён, даже если злоумышленник получит доступ к учётным данным – без OTP он не сможет пройти авторизацию.

Двухфакторная аутентификация WordPress – укрепляем безопасность ресурса

Двухфакторная аутентификация WordPress реализуется с помощью плагина Google Authenticator, но у него есть и одноименное мобильное приложение, которое нужно установить на смартфон, либо планшет.

По умолчанию плагин двухфакторной аутентификации WordPress для одного пользователя бесплатный. Для нескольких учетных записей придется переходить на премиум-версию.

В итоге, к обычной форме входа в админку WordPress добавляется еще одно поле, чтобы ввести шестизначный код, который формируется с частотой каждые 30 секунд непосредственно в приложении на мобильнике.

Содержание статьи:

Установка плагина

Для того чтобы установить плагин, нужно перейти в консоль, набрать в строке поиска Google Authenticator и выбрать нужный.

Предлагается несколько вариантов подобных решений, но некоторые из них давно не обновлялись, другие требуют специальное приложение на мобильном устройстве для реализации двухфакторной аутентификации и т. д.

В конечном счете, выбираем Google Authenticator – Two Factor Authentication, который работает в связке с одноименной программой на мобильнике.

Настраиваем плагин

Плагин стандартно устанавливаем и активируем. Переходим к настройкам двухфакторной аутентификации.

Предлагается выполнить три шага. На первом, выбираем тип телефона – Android.

На втором шаге надо установить на смартфон Google Authenticator. В данном случае оно уже установлено. Как это сделать, описано в этой статье.

Далее в меню выбираем Настроить учетную запись, затем – Сканировать штрих-код. Используя камеру телефона, сканируем предложенный штрих-код. Получаем на смартфоне шестизначный код, который вводим в поле на третьем шаге.

В следующем окне предлагается проверить метод двухфакторной аутентификации, что и делаем. Получаем уведомление, что тест успешно завершен и переходим к настройкам входа.

Здесь ставим чекбокс активации двухфакторной аутентификации и подключение защиты для администратора. Для других категорий пользователей включение защиты в бесплатной версии не предусмотрено.

Далее выбираем необходимые параметры, например, вход с паролем плюс двухфакторная аутентификация по умолчанию. Сохраняем изменения.

В случае, если телефона с вами не оказалось, либо он потерян, предлагается настроить вопросы безопасности, чтобы избежать блокировки своей учетной записи.

Открывается окно, в котором предлагается выбрать три вопроса из вашей личной жизни, работы, учебы и, соответственно, ответы на них. Сохраняем изменения.

Настройка мобильного приложения

На мобильнике открываем Google Authenticator. В нем настраиваем аккаунт. Жмем Приступить к настройке. Здесь есть две возможности — сканировать штрих-код или ввести ключ.

Пользоваться сканером намного удобней и быстрее. Выбираем аккаунт. В следующей строке вводим секретный ключ с сайта. Нажимаем Добавить.

Открывается шестизначный код и время, в течение которого он будет действовать. Выходим из своего профиля и входим в адмнку WordPress.

Сейчас, при открытии административной панели, кроме ввода в привычную форму логина и пароля, откроется дополнительное окно, в которое надо будет ввести шестизначный код, сгенерированный мобильной программой.

Таким образом, появляется дополнительный рубеж защиты административной панели WordPress.

Без вашего смартфона, без программы на нем и без сгенерированного ей кода доступ к ресурсу будет надежно закрыт.

Двухфакторная аутентификация WordPress

Всё больше сайтов применяют двухфакторную аутентификацию, как способ укрепления своей безопасности.

Вообще средствами безопасности пренебрегать нельзя, поскольку сайты взламываются повсеместно каждый день, причем эти случаи множественные.

Порой владельцы даже не знают, что их ресурс уже взломан, и является частью чужой сети.

Однако многие владельцы не торопятся воспользоваться двухфакторной аутентификацией и на это есть свои причины.

Одна из них, это усложнение процесса попадания в админку WordPress, что многих отталкивает от применения, хотя такие сложности нельзя назвать существенными.

Еще одна причина – если случится потерять доступ к своему смартфону, то возникнут некоторые проблемы. Восстановить доступ помогут в этом случае контрольные вопросы восстановления.

При этом двухфакторная аутентификация отключится и настройки плагина будут сброшены. Надо снова получать ключ для мобильного приложения. Тем самым будет контролироваться полный доступ к ресурсу.

Надеюсь, было полезно почитать, что такое двухфакторная аутентификация WordPress и о том, как применить ее для усиления безопасности своего ресурса.

Двухфакторная аутентификация Clef WordPress плагин настройка

Привет ! Мы продолжаем разбирать самые интересные и самые полезные плагины для сайта WordPress ! Сегодня вы узнаете о супер плагине, который позволит вам защитить свой сайт с помощью беспарольной двухфакторной аутентификации. Вы сможете входить на свой сайт с помощью мобильного приложения, установленного на ваш смартфон. Вам не нужно будет вводить никаких паролей, просто поднести смартфон к экрану компьютера (на странице входа) и произойдёт автоматическая авторизация. Для наглядности посмотрите небольшое видео:

Установить плагин Clef Two-Factor Authentication вы сможете прямо из админ-панели WordPress. Перейдите на страницу: Плагины – Добавить новый, введите название плагина в форму поиска, нажмите Enter, установите и активируйте плагин.

Далее, после установки и активации плагина, перейдите на страницу: Clef . На странице плагина нажмите на кнопку – Finish setup .

Далее, на следующей странице, вам нужно нажать на значок Android или iOS, чтобы перейти на страницу скачивания приложения для смартфона.

Далее, на странице iTunes или Google Play (смотря какой у вас смартфон), вам нужно скачать и установить приложение на свой смартфон.

Далее, на странице плагина, перейдите вверху на вторую страницу. Запустите приложение Clef, включите на смартфоне камеру и просканируйте динамический код на странице плагина. Далее следуйте инструкции. За дополнительной информацией зайдите на сайт плагина, который указан в Деталях плагина.

Остались вопросы ? Напиши комментарий ! Удачи !

Почему двухфакторная аутентификация не всегда гарантирует защиту

Всего за 15 минут вы можете лишиться денег, телефонного номера и персональных данных. Все, что потребуется для этого – незащищенная двухфакторная аутентификация и человеческая ошибка.

Двухфакторная аутентификация – дополнительный метод безопасности, который используется в качестве дополнения к вашим учетным данным для входа на сайты. Метод требует подтверждения входа через физическое устройство, которым вы обладаете – к примеру, через смартфон с помощью SMS или приложения.

Многие люди, похоже, согласны с тем, что такой подход является невероятно безопасным, и потому никто не подвергает это сомнению.

Бывают ситуации, когда даже те стратегии, которые кажутся нам «непробиваемыми», дают сбой, и это относится к двухфакторной аутентификации с помощью SMS.

Сегодня я расскажу подробнее о двухфакторной аутентификации, потенциальных рисках безопасности с SMS, а также о том, как вы можете защитить себя от взлома.

Что такое двухфакторная аутентификация?

Как правило, при входе на сайт вам нужно ввести только логин и пароль. Такая практика в целом является безопасной, если вы используете сложные пароли и логины, однако потенциальные риски все же имеются.

К примеру, если ваши учетные данные для входа будут скомпрометированы в результате атак, таких как фишинг, то ваши логин и пароль могут попасть в руки к хакерам, и потому злоумышленники смогут получить доступ к сайту.

Если у вас слабый пароль, то в таком случае взломщик может подобрать его, получив только логин. Это называется брутфорсом.

Двухфакторная аутентификация – это дополнительный уровень безопасности, известный также как мультифакторная аутентификация. С помощью такого подхода добавляется дополнительный шаг для входа в систему. Помимо ввода имени пользователя и пароля для входа на сайт вам нужно будет также подтвердить свою личность с помощью еще одного дополнительного шага.

Есть несколько способов подтверждения личности с помощью двухфакторной аутентификации:

  • Приложение на мобильном устройстве
  • SMS на мобильный телефон
  • Токен безопасности (длинная строка из случайных цифр и букв)
  • Зашифрованный USB-накопитель
  • Мини-устройство для аутентификации (key fob)
  • Физическая карта, которая считывается кардридером

Естественно, двухфакторная аутентификация онлайн подразумевает использование приложения, SMS, токена безопасности или USB-накопителя.

Если вы установили и активировали Defender на вашем WordPress-сайте, и вам требуется приложение Google Authenticator, iPhone или телефон на Android для входа на сайт, то в таком случае вы реализовали двухфакторную аутентификацию.

Почему вам может потребоваться это

Двухфакторная аутентификация добавляет дополнительный уровень безопасности для WordPress сайта.

Учитывая, что каждый день ломается около 30 000 сайтов, и свыше 90 978 сайтов WordPress всех размеров подвергаются атакам каждую минуту, имеет смысл добавить дополнительный уровень безопасности.

Очень важно включить двухфакторную аутентификацию, но важно также понимать и потенциальные риски такого подхода.

В каких случаях двухфакторная аутентификация не является безопасной

В большинстве случаев двухфакторная аутентификация для WordPress сайтов является безопасной, и рекомендуется использовать эту опцию для всех аккаунтов сайта.

Однако мультифакторная аутентификация с помощью SMS не всегда может быть безопасной. Это больше связано с человеческой ошибкой, и не с вашей стороны. Давайте рассмотрим небольшой пример.

Один человек по имени Джастин Уильямс написал в Twitter о том, что двухфакторная аутентификация по SMS у него не удалась.


«Кто-то воспользовался социальным инжинирингом с AT&T, чтобы получить новую SIM-карту для моего телефона, с которой он вошел в PayPal (используя двухфакторную аутентификацию) и снял много денег. Я в ярости»

Как это происходило:

  • Пользователь заметил, что его мобильный телефон перестал обслуживаться.
  • Он получил письмо о сбросе пароля от Google.
  • Затем он получил письмо от PayPal о снятии денег
  • Пользователь позвонил своему мобильному оператору и подтвердил свое имя, адрес и ключ безопасности
  • Мобильный оператор отметил, что было предпринято несколько попыток по телефону получить новую SIM карту, однако человек не предоставил ключ безопасности, а потому ему было отказано.
  • К сожалению, во время одной из попыток агент оператора не запросил ключ безопасности, а потому хакеру удалось выпустить новую SIM-карту.
  • Поскольку PayPal требует только email-адрес и SMS для сброса пароля, хакер смог получить доступ к аккаунту PayPal, как только он завладел новой SIM-картой.

Хакеру потребовалось несколько часов, чтобы найти агента из службы поддержки, который не следовал протоколу и не запросил ключ безопасности.

Как только хакер нашел такое слабое звено в лице агента поддержки, ему понадобилось всего лишь 15 минут, чтобы скомпрометировать мобильный телефон и украсть деньги с банковского счета жертвы.

В результате этого злоумышленник завладел деньгами, поскольку двухфакторной аутентификации с помощью SMS оказалось недостаточно для стопроцентной защиты.

Потенциальные риски для безопасности

Значит ли это, что вся двухфакторная аутентификация (как минимум с помощью SMS) является небезопасной?

Нет. Это означает лишь следующее: существует вероятность того, что SMS и другая мультифакторная аутентификация будет неэффективной, если в данный процесс вклинивается человеческая ошибка.

Есть много ситуаций, когда мультифакторная аутентификация не является адекватной мерой защиты:

  • Как уже было упомянуто выше, ваш мобильный оператор нарушил меры безопасности
  • Вы не предоставили мобильному оператору сложный код безопасности
  • Вы не выбрали сложные пароли
  • Ваши пароли хранятся небезопасно
  • Ваш телефон или другие устройства были украдены
  • Вы не защитили свой телефон или другие мобильные устройства
  • Ваш компьютер или ноутбук были украдены
  • Вы стали жертвой фишинговых атак по email или по телефону
  • Вы опубликовали твит, в котором признались, что у вас есть криптовалюта, и этот твит привлек внимание
Топ-пост этого месяца:  Как оформить канал на YouTube делаем красивое оформление

К сожалению, есть много ситуаций, когда человеческая ошибка приводит к рискам безопасности, поэтому важно обеспечить как можно больше шагов, чтобы гарантировать свою защиту.

Как остаться в безопасности

К счастью, есть несколько способов защиты себя и своего сайта WordPress, а также своих персональных данных с помощью двухфакторной аутентификации:

  • Предоставьте своему мобильному оператору ключ безопасности, и если вы позвонили лично, и у вас не запросили этот ключ, обязательно сообщите оператору об этом.
  • Используйте надежные пароли на своем WordPress сайте
  • Используйте сложные, различные пароли для каждого из ваших WordPress-сайтов
  • Вы можете установить плагин Defender для защиты
  • Включите двухфакторную аутентификацию для большинства (или всех) пользователей вашего сайта
  • Не используйте двухфакторную аутентификацию по SMS
  • Используйте безопасную блокировку на мобильных устройствах и на своем компьютере
  • Не сохраняйте свои пароли в веб-браузере
  • Используйте безопасный сервис хранения паролей
  • Храните физические токены безопасности в нескольких безопасных местах
  • Следите за уведомлениями по email или SMS о сбросах паролей или PayPal переводах
  • Повышайте свой уровень знаний по поводу фишинга

Не публикуйте личную или идентификационную информацию публично в сети вне зависимости от того, насколько она кажется вам безопасной или неважной. Не пишите, что у вас есть деньги на PayPal или где-то еще, не говорите, когда вы едете в отпуск, не указывайте свой телефон, email и другие подобные данные.

Держите компьютер и мобильные устройства в безопасном месте и следите за ними, когда вы находитесь на публике. Важно, чтобы никто не подглядывал за вашим вводом данных.

Если вы используете браузер, который сохраняет ваши пароли, и ваш компьютер будет украден, все ваши пароли могут быть скомпрометированы. Потому рассмотрите возможность удаления всех сохраненных в настоящее время паролей, переход к двухфакторной аутентификации для всех сайтов, либо использование надежного сервиса хранения паролей.

Хотя многие из этих шагов могут показаться очевидными, пользователи, порой даже технически подкованные, зачастую могут забыть об этом или иметь ложное чувство безопасности. Ну и недооценивать взломщиков не нужно, ибо их заработки неуклонно растут.

Безусловно, до паранойи доходить в этих вопросах не следует, но и пускать все на самотек тоже не стоит.

А вы используете двухфакторную аутентификацию?

Как добавить двухфакторную проверку подлинности на WordPress

Divi: самая простая тема WordPress для использования

Divi: Лучшая тема WordPress всех времен!

Более Загрузка 600.000, Divi — самая популярная тема WordPress в мире. Он является полным, простым в использовании и поставляется с более чем бесплатными шаблонами 62. [Рекомендуется]

Как защитить свой пароль WordPress? Или лучше . как защитить пароли каждого человека, который имеет доступ к вашему сайту WordPress? Это страшный вопрос, не так ли? Хотя мы надеемся, что вы следуете всем лучшим методам паролей, это не меняет того факта, что самые распространенные пароли в мире до сих пор 123456 «И» пароль,».

Для борьбы со склонностью к слабым паролям вы можете использовать так называемую двухфакторную аутентификацию. Это распространенный метод для тех, кто заботится о безопасности соединения. Среди тех, кто его использует, мы можем назвать Google, банки, университеты и . владельцев сайтов WordPress!

В этом уроке я кратко рассмотрю двухфакторную аутентификацию и расскажу, почему это важно. Далее я покажу вам шаг за шагом, как добавить двухфакторную аутентификацию в WordPress, чтобы вы могли защитить свой блог и защитить учетные записи своих пользователей.

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация, также известная как двухэтапная аутентификация, представляет собой стратегию повышения безопасности соединений, требуя от пользователей ввода и пароля, и кода, обычно отправляемого с помощью SMS.

По сути, доступ к вашей учетной записи требует комбинации того, что вы «знаете» (пароль) и что-то у вас «есть» (твой телефон). Хотя хакеры могут получить ваш пароль, маловероятно, что они смогут украсть ваш телефон.

Зачем вам нужна двухфакторная аутентификация для WordPress?

Согласно опросу владельцев взломанных сайтов WordPress WordFence, атаки методом «грубой силы» были вторым по популярности методом взлома и кражи паролей. Эти атаки должны быть очень серьезной проблемой для пользователей WordPress.

Например, только в апреле 2013 сайты 90.000 WordPress стали жертвами атаки методом перебора с использованием общих имен пользователей и паролей.

Хотя есть ряд методов для защитить тебя против грубой силы нападения и кражи паролей (защита wp-login.php, добавление лимитов попыток подключения, использование уникальных паролей и т. д..), двухфакторная аутентификация — еще один отличный способ защитить себя.

Как настроить двухфакторную аутентификацию на WordPress

Чтобы настроить двухфакторную аутентификацию на WordPress, вы можете использовать плагин freemium под названием » Google Authenticator ». Я знаю, что есть ряд других плагинов для двухфакторной аутентификации ( кроме того, это не первый раз, когда мы сделали учебник по двухфакторной аутентификации):

Шаг 1: Установите плагин Google Authenticator

Для начала вам необходимо установить и активировать плагин. Он указан в каталоге плагинов wordpress.org, поэтому вы можете установить его прямо с панели инструментов, перейдя в раздел » Плагины> Добавить «

Вы заметите, что есть два плагина с одинаковыми именами. Мы уже сделали учебник для плагина Google Authenticator ». Поэтому обязательно установите правильный плагин. Кроме того, вы всегда можете обратиться к учебнику другого плагина, если выберете тот.

Шаг 2: активируйте плагин и создайте учетную запись miniOrange

После активации плагина вы должны создать учетную запись miniOrange, чтобы продолжить:

После того, как вы отправите информацию о счете, miniOrange отправить OTP (уникальный пароль) на адрес электронной почты, который вы использовали. Этот OTP проверяет ваш адрес электронной почты. Просто введите OTP и нажмите » OTP Validate

Вы ищете лучшие темы и плагины WordPress?

Загрузите лучшие плагины и темы WordPress на Envato и легко создайте свой сайт. Уже больше, чем 49.720.000. [ЭКСКЛЮЗИВ]

Если у вас возникли проблемы с поиском электронной почты, вот как это должно выглядеть:

Как только вы войдете в офис, плагин перенесет вас на страницу, которая выглядит как таблица с ценовой сеткой. Не волнуйся! Как я уже сказал, Google Authenticator является 100% бесплатным для пользователя. Если вы не хотите премиум-версию, которая, очевидно, предполагает больше возможностей. Но для этого урока мы проигнорируем это, просто нажав на «Хорошо, понял».

Шаг 3: настройка проблем безопасности для альтернативного соединения

Прежде чем говорить о других методах двухфакторной аутентификации, рекомендуется выполнить запрос плагина, в котором вас попросят настроить проблемы безопасности. Эти вопросы гарантируют, что если вы потеряете свой телефон, вы все равно сможете получить доступ к WordPress с этими вопросами.

Вам не нужно завершать этот шаг — это вариант, который может спасти вашу жизнь позже.

Вы можете получить доступ к секретным вопросам, нажав на подсказку » Нажмите здесь, чтобы установить ваши вопросы безопасности «

Выберите два вопроса, создайте пользовательский вопрос и введите соответствующие ответы на эти три вопроса. Затем нажмите Сохранить.

Шаг 4: настройка двухфакторной аутентификации

Теперь вы готовы реализовать свои методы двухфакторной аутентификации! В конце концов, Google Authenticator предлагает следующие методы:

  • Приложение для смартфона OTP — выберите Google Apps, miniOrange или Authy. У вас есть методы на выбор.
  • SMS — получить OTP через SMS. Вы получите бесплатное SMS-сообщение 10, после чего вам нужно будет подписаться на премиум.
  • Push Anotification — Вы можете получить push-уведомление на свой телефон.
  • QR-код — отсканируйте QR-код с помощью приложения miniOrange. Это как ключ.
  • Телефонный звонок — принять телефонный звонок с OTP (только премиум).
  • Электронная почта — активируется автоматически, когда вы подтвердили адрес электронной почты своей учетной записи на предыдущем шаге.

Я покажу вам, как настроить два самых популярных метода — текстовое сообщение и смартфон для получения OTP с помощью приложения Google Authenticator.

Как настроить аутентификацию текстовых сообщений:

Сначала перейдите на вкладку « Установка двухфакторная ». Затем нажмите на OTP с помощью SMS:

Легко создайте свой сайт с Elementor

Elementor позволяет легко создать любой дизайн сайта с профессиональным дизайном. Прекратите платить дорого за то, что вы можете сделать сами. [Free]

Двухфакторная аутентификация для WordPress

Как защитить учетные записи пользователей с помощью двухфакторной аутентификации

Двухфакторная аутентификация или 2FA обеспечивает дополнительный уровень безопасности, требующий второй фактор идентификации, помимо имени пользователя и пароля. Двухфакторная аутентификация давно используется для контроля доступа к личным и финансовым данным, обрабатываемым в банках или страховых компаниях; и сегодня владельцы веб-сайтов все чаще используют 2FA для защиты учетных записей своих пользователей от киберпреступников, использующих слабые или украденные пароли и скомпрометированные учетные данные.

Когда 2FA включен на веб-сайте, он требует, чтобы пользователь вводил дополнительный проверочный PIN-код при входе на веб-сайт. Этот проверочный код генерируется автоматически и отправляется пользователю по электронной почте. В качестве дополнительной меры безопасности вы можете указать отдельный адрес электронной почты для каждого пользователя специально для доставки кодов проверки 2FA.

Для продолжения пользователь должен ввести проверочный PIN-код в форму. Если пользователь не получил код, он может либо попытаться получить другой, либо отменить процесс входа в систему.

Two-Factor Authentication form is used to verify the user

Как включить двухфакторную аутентификацию

Вы можете легко включить 2FA для каждой роли на странице администрирования пользовательских политик . WP Cerber Security позволяет настраивать различные параметры 2FA для каждой роли. В расширенном режиме вы можете указать набор условий для принудительной двухфакторной аутентификации для определенной роли. Расширенный режим доступен в Профессиональной версии плагина .

Примечание: прежде чем вы сможете включить 2FA для учетных записей администратора, вам необходимо выполнить хотя бы один успешный вход в систему с включенным 2FA для любой другой роли на веб-сайте.

Two-Factor Authentication policies for WordPress

Настройки 2FA для каждого пользователя

Вы можете настроить некоторые параметры 2FA для каждого пользователя на странице редактирования пользователя (страница профиля пользователя). В дополнение к настройкам 2FA для каждой роли вы можете отключить или включить двухфакторную аутентификацию для конкретного пользователя. Вы можете выбрать «Всегда включено», «Отключено» и «Определено политиками ролей пользователей».

В качестве дополнительной меры безопасности вы можете указать отдельный адрес электронной почты специально для доставки проверочных кодов.

Two-Factor Authentication for WordPress: per-user settings in the professional version

Мониторинг 2FA сессий


Когда для пользователя применяется двухфакторная аутентификация, плагин записывает это событие в журнал операций как «Двухфакторная проверка подлинности принудительно». Для мониторинга входов пользователей в систему с использованием двухфакторной аутентификации перейдите в журнал активности и выберите это событие в раскрывающемся списке.

Когда пользователь вводит правильный проверочный PIN-код, событие входа в систему помечается как «проверенный код 2FA».

Возможности плагина доступны в бесплатной и профессиональной версиях

Почему двухфакторная аутентификация не всегда гарантирует защиту

Введение дополнительного уровня безопасности обеспечивает более эффективную защиту вашей учетной записи от несанкционированного доступа. Эта статья поможет вам понять, насколько безопасна двухфакторная аутентификация.

Топ-пост этого месяца:  Как получить данные $category_id в wordpress

Где используется этот подход

Сегодня большое количество компаний доверяют двухступенчатой проверке. Например, если вы хотите использовать службу написания UKessay,вам также будет предложено пройти эту процедуру при входе в свой аккаунт. Есть также технологии, финансовые и страховые организации зависят от двух факторов, чтобы сохранить информацию своих клиентов в безопасности.

Двойная аутентификация требует, чтобы пользователь имеет два или три типа идентификационных данных. Вот следующие типы:

  • Что-то, что он знает;
  • Что-то, что у него есть в наличии;
  • Что-то присущее ему (биометрия);

Очевидно, что первый пункт включает в себя различные пароли, пин-коды, секретные фразы и так далее, это то, что пользователь помнит и входит в систему.

Второй элемент представляет собой маркер, то есть компактное устройство, принадлежащее пользователю. Простейшие жетоны не требуют физического подключения к компьютеру – у них есть дисплей, который показывает номер, который пользователь записывает в систему, чтобы сделать запись. Более сложные подключаются к компьютерам через USB и Bluetooth-интерфейсы.

Сегодня смартфоны могут быть использованы в качестве жетонов, потому что они стали неотъемлемой частью нашей жизни. В этом случае так называемый одноразовый пароль генерируется либо специальным приложением (например, Google Authenticator), либо поступает через SMS – это самый простой и удобный метод, который некоторые эксперты оценивают как менее надежный.

Примеры двухфакторной и многофакторной аутентификации

Метод проверки подлинности с использованием SMS основан на использовании одноразового пароля. Преимущество этого подхода, по сравнению с постоянным паролем, заключается в том, что этот пароль не может быть использован повторно. Даже если предположить, что злоумышленник может перехватить данные в процессе обмена информацией, он не может эффективно использовать украденный пароль, чтобы получить доступ к системе. Тем не менее, это не является фактором полностью безопасным.

Можно также привести пример, реализованный с использованием биометрических устройств и методов аутентификации. Это использование сканера отпечатков пальцев, который доступен в ряде моделей ноутбуков.

При входе в систему пользователь должен пройти процедуру сканирования пальца, а затем подтвердить право доступа паролем. Успешно завершенная аутентификация даст ему право использовать локальные данные конкретного ПК.

Аналогичным образом можно использовать и другие биометрические аутентификаторы:

  • отпечатки пальцев;
  • геометрия руки;
  • очертания и размеры лица;
  • голосовые характеристики;
  • рисунок радужной оболочки глаза и сетчатки глаз;
  • рисунок вен пальцев;

Конечно, используется соответствующее оборудование и программное обеспечение, а стоимость их приобретения и поддержки может отличаться в разы.

Вопрос безопасности Вы должны знать о (Дело биометрических данных)

Однако стоит понимать, что существуют и двухфакторные проблемы. Биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь различия под влиянием внешней среды, физиологического состояния человеческого тела и т.д. Для успешного подтверждения этого аутентификатора достаточно неполной корреспонденции печати со стандартом.

Методы биометрической аутентификации содержат определение степени вероятности того, что допустимый аутентификатор будет соответствовать стандартной. Что касается биометрической аутентификации и удаленного доступа к информационным системам, то на данный момент современные технологии не имеют возможности передавать надежные данные по незащищенным каналам – отпечаток пальца или результат сканирования сетчатки.

Как насчет процесса SMS-проверки?

Недостатки этого метода гораздо более значительны, чем достоинства, и они связаны не с алгоритмом проверки, а с номером телефона. Потерянный смартфон вполне может быть причиной для взлома интернет-банкинга или почтового ящика – в конце концов, у злоумышленника есть все инструменты для этого.

Кроме того, получив контроль над номером, можно даже не искать пароль, а просто использовать функцию его восстановления через SMS. Серьезные злоумышленники могут даже «клонировать» номер, а честный пользователь даже не заподозрит его. Последствия этого очевидны.

SMS-пароли признаны небезопасными

Летом 2020 года Национальный институт стандартов и технологийNIST представил предварительную версию будущего Руководства по цифровой аутентификации. Это документ, который устанавливает новые стандарты и правила для методов цифровой аутентификации. Механизм SMS OTP изначально не предназначался для проверки подлинности и не может считаться полноценной аутентификацией.

Основной заботой экспертов является то, что номер телефона может быть привязан к сервису VoIP. Кроме того, злоумышленники могут попытаться убедить поставщика услуг в том, что номер телефона изменился, и такие уловки нужно сделать невозможными.

Стоит отметить не только риск потерять доступ к счетам, но и обычные неудобства. Например, при путешествии за границу можно забыть подключить роуминг (или такой опции вообще не будет в какой-то стране), что приведет к невозможности воспользоваться необходимыми платежными сервисами.

Еще одно неудобство — при регистрации по номеру телефона, есть вероятность, что он попадет в базу данных спама, после чего пользователь будет приставать к навязчивым рекламным звонкам или сообщениям.

Что такое выход

Для того, чтобы аутентификация была по-настоящему надежной, важно не количество функций, а качество реализации механизма по обе стороны взаимодействия, как в пользовательской части, так и в части проверяющей стороны. Если база данных отпечатков пальцев хранится на бумаге в шкафу, то биометрическая аутентификация будет неудобна и ненадежна – необходимый лист можно просто удалить.

Аналогичным образом, запись пользовательских данных из базы данных, хранящейся в памяти ПК, может быть удалена (добавлена/повреждена), а увеличение числа факторов в процессе проверки подлинности не может повысить уровень безопасности.

Очень важно представить себе весь процесс аутентификации в конкретной системе, а не только количество рассматриваемых факторов.

Полезные плагины и советы по безопасности для WordPress

Онлайн-маркетинг и ведение блогов не получили бы столь широкого распространения без таких систем управления содержимым (CMS), как WordPress.

Считается, что WordPress — это самая простая и при этом многофункциональная CMS. С помощью нее все от любителей до крупных компаний могут создавать, публиковать, управлять и следить за веб-контентом.

На сегодняшний день на WordPress работает примерно 76,5 миллионов блогов, или 27% всех страниц в интернете. Каждый день создается еще 50000 веб-сайтов (источник: WordPress).

Из-за такого объема операций WordPress становится мишенью для злоумышленников. Взломщики проникают в систему, чтобы распространять вирусы, раскрывать данные или мешать работоспособности WordPress-сайта в целом.

Кто должен задуматься о безопасности WordPress?

  • администраторы сайтов;
  • блогеры;
  • владельцы интернет-магазинов (пользователи WooCommerce);
  • любой, кто использует WordPress.

Обязательные меры для обеспечения безопасности вашего WordPress-сайта.

Обеспечение безопасности на WordPress начинается с администратора. Он отвечает за организацию системы безопасности для защиты данных пользователей и сайта от возможных угроз.

К мерам повышения безопасности вашего WordPress-сайта относятся:

Двухфакторная аутентификация (ДФА)

При применении двухфакторной аутентификации появляется дополнительный уровень безопасности: помимо логина и пароля для получения доступа необходимо ответить на дополнительный контрольный вопрос или ввести данные.

Как правило при ДФА на мобильный телефон пользователя отправляется одноразовый пароль или секретный код. Иногда ДФА реализуется через контрольный вопрос, который пользователь выбирает при создании учетной записи.

Двухфакторная аутентификация обеспечивает защиту учетной записи WordPress так, что даже если логин и пароль окажутся в руках злоумышленников, доступа к аккаунту пользователя они не получат. Можете воспользоваться предложением Clef для двухфакторной аутентификации.

Логины и пароли

Ненадежные пароли и логины по прежнему остаются слабым звеном, обеспечивающим взломщикам легкий доступ в систему. По данным Nakedsecurity 55% пользователей используют одинаковый пароль на всех веб-сайтах, таким образом подвергая себя угрозе.

Важно, чтобы требования безопасности соблюдали как пользователи, так и администраторы. Например, некоторые администраторы WordPress имеют дурную привычку использовать слово «admin» одновременно в качестве логина и пароля, что делает их сайты очень уязвимыми.

Вместо этого следует задать минимальные требования надежности логина и пароля, чтобы снизить возможные угрозы со стороны взломщиков.

Зашифровать все

Кибератаки зачастую имеют форму перехвата закрытой или личной информации в момент ее передачи между пользовательской системой и сервером.

Поскольку WordPress — это CMS, которая часто используется для создания интернет-магазинов, информация о кредитных картах, персональные данные покупателей и т.д. могут быть перехвачены и похищены.

Шифрование данных интернет-магазина с помощью SSL-сертификата, например, от GeoTrust, снизит вероятность перехвата данных. Передаваемые по сети данные шифруются, и взломщик уже не сможет заполучить данные целиком. Даже если он получит доступ к части информации, он увидит лишь совершенно бессмысленный набор символов.

Обновления CMS

Обновления ПО, патчи, обновления ОС — все это предоставляется в том числе и для обеспечения безопасности. Они закрывают существовавшие в предыдущих версиях изъяны. WordPress также периодически выпускает обновления системы безопасности, чтобы CMS-платформа отражала возможные кибератаки.

Плагины для укрепления безопасности WordPress

WordPress — это CMS, к которой можно подключить множество плагинов и расширений, призванных повысить эффективность работы с ней. Существует множество платных и бесплатных плагинов, которые помогут усилить безопасность.

К плагинам для повышения безопасности вашего WordPress-сайта относятся:

Wordfence

Когда речь заходит о плагинах безопасности на WordPress в первую очередь в голову приходит Wordfence. Плагин набрал целых 4,9 звезд из 5, так что если вы теряетесь при выборе, плагин с таким впечатляющим результатом заслуживает внимания. Он завоевал признание пользователей благодаря множеству функций:

  • расширенная проверка безопасности;
  • блокировка пользователей по IP;
  • безопасный вход в систему;
  • совместимость с IPv6;
  • полная поддержка сайтов WooCommerce;
  • поиск вредоносного кода;
  • оценка уязвимости;
  • единая панель управления администратора для нескольких блогов.

iThemes Security

Более 30 инструментов iThemes Security превратят ваш WordPress-сайт в настоящую цифровую крепость. Он идеально подходит для защиты сайтов на WordPress от обыденных атак и уязвимостей, которые большинство администраторов пропускают или к которым они не готовятся.

К самым интересным инструментам относятся:

  • защита от брутфорса;
  • двухфакторная аутентификация;
  • поддержка клиентов при помощи системы тикетов (версия Pro);
  • логирование действий пользователей;
  • блокировка после нескольких неудачных попыток входа в систему;
  • требования минимальной надежности пароля.

SUCURI Security

SUCURI — еще один сервис с хорошей репутацией в обеспечении защиты сайтов. Плагин для безопасности на WordPress от SUCURI отлично справляется с проверкой целостности файлов, усилением безопасности, аудитом действий, поиском вредоносного кода и многим другим.

  • защита от DDoS-атак;
  • оценка уязвимости;
  • оптимизация скорости;
  • защита от брутфорса;
  • оповещения безопасности;
  • восстановление после взлома;
  • поиск вредоносного кода.

BulletProof Security

BulletProof Security — это плагин безопасности WordPress, в который входит файервол, защита регистрации, защита баз данных и множество других инструментов для безопасности в сети. Это полноценный плагин безопасности для защиты сайта на WordPress от кибератак.

  • мастер установки в один клик;
  • автоматический выход после бездействия;
  • логирование HTTP-ошибок;
  • три темы на выбор;
  • логирование резервирования баз данных;
  • срок истечения авторизационных cookie (ACE).

WordPress — это простая в настройке и использовании CMS-система. Благодаря удобству в использовании ей отдает предпочтение существенная доля пользователей. Вместе с тем, в связи с широкой пользовательской базой она становится легкой жертвой для взломщиков. Ко всему прочему большинство пользователей и компаний — непрофессионалы и не разбираются в мерах безопасности, которые могли бы оградить их от угроз.

Однако, с помощью приемов и плагинов, которые мы перечислили, вы сможете обезопасить свой сайт и личные данные. Берегите себя. Берегите пользователей. Берегите покупателей.

Добавить комментарий