Как использовать двухфакторную аутентификацию для входа в WordPress?

Страница входа — одна из серьезных угроз безопасности для всех владельцев сайтов, использующих платформу WordPress. Кто угодно может получить доступ к странице входа, добавив / wp-admin / или же /wp-login.php суффикс к названию веб-сайта. Это облегчает хакерам и ботам отправку автоматических запросов. Это называется атакой грубой силы, которая является одной из самых больших проблем для тех, кто использует слабые или просочившиеся пароли для входа в систему. Лучший способ защитить ваш сайт — использовать двухфакторную аутентификацию для страницы входа в WordPress на вашем сайте.

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация — это механизм защиты, который помогает добавить дополнительный уровень пароля к вашей текущей настройке. В WordPress это будет работать, как показано ниже, после того, как вы включите двухфакторную систему аутентификации.

• Пользователь переходит на страницу входа в WordPress.
• Укажите правильное имя пользователя / адрес электронной почты и пароль.
• Система попросит вас ввести второй код аутентификации. В зависимости от настроек вы получите код по электронной почте или в одном из приложений Authenticator.
• Введите код и войдите в админку.

Ни один пользователь, включая вас, не сможет войти на сайт без ввода второго кода аутентификации.

Требования для двухфакторной аутентификации в WordPress

Теперь вы знаете, как работает двухфакторная система аутентификации в WordPress. Прежде чем вы планируете реализовать это на собственном веб-сайте, вот что вам нужно.

• Установите плагин аутентификации двух фактов.
• Имейте мобильный телефон или действующий адрес электронной почты.
• Установите приложение-аутентификатор для мобильных телефонов или настройте рабочую электронную почту в вашей установке WordPress.

Установка приложения Authenticator на мобильные телефоны

Поскольку использование двухфакторной аутентификации в мобильном приложении — простой вариант, мы объясним это в этой статье. Вы можете получить бесплатное приложение-аутентификатор в Google Play Store для Android и в Apple App Store для iPhone.

• Установите одно из этих бесплатных приложений — Google Authenticator, Microsoft Authenticator, Duo Security, Authy, Lastpass, FreeOTP или Okta Verify.
• Во время настройки на вашем сайте вам необходимо отсканировать QR-код с помощью мобильного приложения и подключить свой сайт к приложению аутентификатора.
• Каждый раз при входе в систему откройте приложение и найдите автоматически сгенерированный шестизначный код для использования в качестве кода аутентификации.

Установите плагин WP 2FA

Для WordPress доступно несколько плагинов двухфакторной аутентификации. Войдите в свою админ-панель и перейдите в раздел «Плагины> Добавить». Выполните поиск по запросу «аутентификация», чтобы найти WP 2A — двухфакторная аутентификация для WordPress плагин. Установите плагин и активируйте его на своем сайте.

Настройка двухфакторной аутентификации в WordPress

После установки плагина он покажет вам мастер начала работы. Вы можете следовать указаниям мастера, нажав «Приступим!» или закройте мастер и используйте настройку конфигурации. Тем не менее, мы рекомендуем закрыть мастер и выполнить настройку вручную, так как в любом случае вам необходимо изменить настройки после выполнения действий мастера.

Настроить мобильную аутентификацию

Вы можете вернуться к мастеру настройки либо со страницы плагинов, либо из раздела вашего профиля пользователя. Перейдите в «Пользователи> Профиль» и прокрутите страницу вниз. Нажмите кнопку «Настроить двухфакторную аутентификацию (2FA)».

Вы увидите QR-код, как показано ниже, вместе с ключом для ручного связывания вашего сайта с приложением-аутентификатором.

Откройте приложение для аутентификации и отсканируйте QR-код своего сайта. вы увидите, что название сайта отображается вместе с шестизначным кодом. Приложение будет автоматически обновлять код каждые 30 секунд (в Microsoft Authenticator это может измениться в зависимости от приложения, которое вы решите использовать).

После сопряжения вашего сайта с приложением нажмите кнопку «Я готов» в мастере настройки сайта. На следующем экране введите код из приложения и нажмите кнопку «Готово».

Это все!!! Теперь вы успешно настроили двухфакторную аутентификацию для входа на свой сайт WordPress.

Создать резервные коды

Что происходит, если мобильный телефон не находится ближе к вам или вы не можете войти в систему после настройки 2FA? Чтобы избежать непредвиденных ситуаций, вы можете сгенерировать резервные коды и использовать вместо кода из приложения аутентификатора. Когда вы находитесь в мастере настройки, нажмите кнопку «Продолжить и настроить резервные коды». На следующем экране снова нажмите кнопку «Создать резервные коды».

Плагин сгенерирует 10 резервных кодов, которые вы можете записать, загрузить в виде текстового файла или распечатать для использования в автономном режиме.

вы можете использовать один из этих 10 кодов для входа в систему, когда вы не можете использовать приложение-аутентификатор. Если вы закрыли мастер перед генерацией резервных кодов, перейдите в раздел своего профиля. Отсюда вы можете сгенерировать резервные коды, нажав кнопку «Создать резервные коды».

Настройка электронной почты вместо мобильной аутентификации

Если вы хотите получать код на электронную почту вместо мобильного приложения, вы можете настроить его, перейдя в меню «Настройки> Двухфакторная аутентификация». Выберите метод «Одноразовый код по электронной почте (HOTP)» на вкладке «Настройки 2FA». Вы также можете использовать электронную почту вместе с кодом мобильной аутентификации.

После этого перейдите на вкладку «Настройки и шаблоны электронной почты» и настройте электронную почту. Вы можете использовать адрес электронной почты администратора текущего пользователя из профиля пользователя WordPress или ввести собственный адрес электронной почты.

• Настройте шаблон электронной почты для каждого действия, такого как 2FA, код входа, заблокированная и разблокированная учетная запись.
• Проверьте доставку электронной почты, чтобы убедиться, что настройка электронной почты работает на вашем сайте.

После этого вернитесь в профиль пользователя и нажмите кнопку «Настроить двухфакторную аутентификацию (2FA)». На открывшемся экране вы можете выбрать способ электронной почты и нажать «Далее», чтобы продолжить.

Введите собственный адрес электронной почты или используйте адрес электронной почты текущего пользователя и нажмите кнопку «Я готов».

Вы получите код аутентификации по электронной почте в соответствии с шаблоном настройки. Введите код и нажмите кнопку «Готово», чтобы завершить метод аутентификации по электронной почте.

Другие настройки для двухфакторной аутентификации

Плагин также предлагает некоторые другие полезные настройки:

• Применяйте двухфакторную аутентификацию для всех пользователей или только для определенных пользователей и ролей.
• Вы можете запретить некоторым пользователям вводить код 2FA при входе на свой сайт.
• Также можно предложить льготный период, чтобы заставить пользователя настроить 2FA.
• Настройте страницу перенаправления для отправки пользователей после входа в систему с кодом 2FA.
• Разрешить пользователям отключать 2FA на странице своего профиля после входа на сайт.
• Настройте страницу внешнего интерфейса для 2FA вместе с опцией перенаправления, когда ваши пользователи используют настраиваемую страницу входа. Это полезный вариант, когда у вас есть членство или интернет-магазин и вы не разрешаете пользователям доступ к панели управления WordPress. Например, плагин WooCommerce будет иметь настраиваемую страницу входа и отправлять пользователей на страницу их учетных записей вместо отображения панели инструментов WordPress по умолчанию. В этом случае вы можете создать внешнюю страницу 2FA и настроить перенаправление для пользователей, которые будут приземляться после использования кода аутентификации.

Обязательно сохраните изменения после завершения настройки конфигурации.