Безопасный WordPress с помощью двухэтапной аутентификации
Привет друзья и сегодня мы снова продолжим тему безопасности. Как много ваших аккаунтов разбросано по всему интернету? Все они надежно защищены паролями? Может у некоторых из них один и тот же пароль? Если злоумышленник завладеет одним вашим аккаунтом, то он сможет проникнуть и в другие, тем более, если ваш пароль – это дата вашего рождения или кличка вашей собачки?
Каждый день боты атакуют тысячи WordPress сайтов. И если хакерам удастся взломать ваш сайт, то это может привести к катастрофическим последствиям, в числе, которых и потеря трафика.
[toc]Что такое двухэтапная аутентификация?
Так как пароль можно взломать, особенно, в случае грубой силовой атаки, то здесь желательно добавить еще один уровень защиты поверх слабого пароля. Двухэтапная аутентификация – это один из способов это сделать. Что же такое двух факторная аутентификация? Когда вас просят ввести капчу или дополнительный PIN-код, то это самые простые разновидности такой аутентификации. Если включена такая аутентификацию, то пользователь должен будет подтвердить вход, какими-либо данными, помимо пароля, используя для этого дополнительный девайс.
Вход будет выполняться, как обычно, только его нужно будет подтвердить кодом, присланным на ваш мобильный. Такой код называется одноразовым паролем или OTP.
Способы получения кода, который используется для верификации
Итак, давайте рассмотрим способы получения кода, который вы внедряете во время верификации:
- Email: когда вы пытаетесь залогиться, то код высылается на ваш email.
- SMS: посылается на мобильный телефон.
- Коды, сгенерированные App: App’ы типа Google Authenticator и Authy быстро автоматически сгенерируют новый код, но вам придется потратить некоторое время на настройку app.
- USB токен: вам просто нужно будет вживить токен в ваш USB (и возможно ввести токен пароль). Это очень безопасный метод, но у него есть и минусы: он не работает с мобильными устройствами в виду отсутствия у них USB-порта. Но данный метод хорош еще и тем, что, как и предыдущий, не зависит от соединения с интернетом или мобильной сети.
Все приведенные здесь сервисы предлагают вам все эти опции на выбор. Также вам будут предложены коды экстренного восстановления доступа, которые позволят увеличить сохранность вашего сайта. Вы можете использовать защитное комбо, состоящее из плагина для WordPress и App для вашего смартфона.
Clef
Никаких паролей и временных кодов, но авторизация совершенно безопасная — такое возможно с Clef, бесплатным плагином для WordPress. Также необходимо скачать Clef app на мобильный телефон. После того, как вы выбрали опцию авторизации с помощью смартфона, вам просто нужно синхронизировать ваш мобильный с Clef-волной на экране авторизации, используя камеру вашего смартфона. Также вы можете насладиться однокликовой авторизацией на следующих сайтах. Выход осуществляется по таймеру или в один клик
Clef использует RSA, криптографический алгоритм с открытым ключом. Кроме того, Clef позволяет использовать все три точки парольной аутентификации в WordPress – в админ-панеле, на экране авторизации и на уровне API, так что вам точно удастся избежать фишинга паролей и угона аккаунта через email.
Clef нужно немного поднастроить: включить связь между мобильным app и WordPress сайтом.
Rublon
Rublon – это простой в установке плагин, не требующий настройки. Для первой авторизации после инсталляции, вам как обычно потребуется ввести свои логин и пароль. Но прежде чем вам будет разрешено войти на сайт, вам необходимо будет кликнуть ссылку, которую плагин пришлет вам на электронную почту. Для следующей авторизации с того же девайса вам понадобиться только пароль. Не нужно нового OTP для каждой авторизации с одного и того же девайса.
Для большей безопасности вы можете установить мобильный app. В этом случае вам нужно будет отсканировать код, сгенерированный плагином, чтоб подтвердить, что вы, это вы. Связь между вашим сервером и Rublon закодирована.
Плагин совместим с большинством браузеров. Кроме того в скором времени Rublon предоставит возможность авторизации без паролей. Также вскоре появится и функция удаленного выхода с сайта. Rublon – бесплатен, если вы используете его для своего персонального сайта, а для использования для WordPress- бизнес сайтов, вам придется выбрать один из предложенных тарифов.
5sec Google Authenticator
5sec Google Authenticator – это премиальный плагин, который доступен на Codecanyon за $18. После установки плагина, никто не сможет авторизоваться в вашем аккаунте, даже зная пароль. Когда пользователь пытается авторизоваться, генерируется одноразовый пароль, который присылается на его мобильный телефон. Доступ к сайту будет получен только в случае введения правильного OTP на странице авторизации.
Очередная авторизация потребует нового OTP, который будет активен ограниченное количество времени.
Благодаря встроенной IP-защите, плагин способен защитить вас от грубых силовых атак. И, даже если вы по ошибке кликнули на «запомнить пароль», это не имеет значения, так как никто не может залогиться без соответствующего OTP. В случае необходимости плагин может выполнить для вас выход с сайта. Вы можете возобновить сессию, введя новый OTP. Если вы потеряли телефон, то можно воспользоваться специфическим URL вашего сайта для входа на сайт без пароля и логина.
Двухступенчатая аутентификация с Duo
Плагин Duo поможет вам без труда включить двухступенчатую аутентификацию на вашем сайте. Все пользователи и администраторы теперь вынуждены будут проходить верификацию с помощью одного из девайсов – токена или смартфона
После установки плагина, вам нужно будет зарегистрироваться на сайте плагина, чтоб у вас появился доступ к защитным ключам. Вы можете создавать роли, для которых будет необходима двухфакторная аутентификация. Для верификации пользователи могут использовать OTP, которые присылаются на мобильный телефон, создаются токеном или генерируются помощью app Duo.
Authy
Authy – это простой плагин, который позволяет установить двухфакторную аутентификацию на вашем сайте. Для получения API-ключей требуется регистрация .
После установки плагина вы можете выбрать роли пользователей, для которых такая аутентификация обязательна. Так что при попытке авторизации, они будут получать коды подтверждения на свои мобильные телефоны.
WP Google Authenticator для WordPress
Данное расширение использует Google Authenticator App, которое позволяет вам генерировать коды, используя Android, iPhone или Blackberry.
После установки App на свой мобильный, вам нужно будет установить еще и плагин на свой сайт. После этого шага будет сгенерированный код безопасности, и вы сможете добавить ваш сайт в App, просканировав QR-код.
Новый ключ безопасности можно сгенерировать в любой момент времени, а любой ключ пользователя можно легко отменить. Все использованные OTP хранятся в базе данных, что позволяет избежать перехвата кода. На тот случай, если вы не можете использовать App, вам будет дан код восстановления. Плагин полностью совместим с Authy.
Two Factor Auth
Если вы хотите обезопасить ваш сайт, ничего не настраивая, то вам стоит попробовать Two Factor Auth. Он работает со сторонними app, типа Google Authenticator. По умолчанию плагин посылает код на электронную почту, но это можно перенастроить
Two Factor Authentication от miniOrange
Two Factor Authentication от miniOrange работает точно также, как и те опции, которые уже были описаны выше, но имеет несколько дополнительных опций, делающих это решение более привлекательным.
Работает с Google Authenticator, miniOrange App и Authy 2 factor Authentication App. MiniOrange Authenticator App кодирует все данные, а также имеет встроенную защиту PINов. Если вы потеряли свой телефон, то вам будут предложены такие альтернативные методы аутентификации, как OTP, приходящий на email или секретный вопрос.
MiniOrange app поддерживает 15 методов аутентификации, включая токены и QR-коды. Чтоб получить доступ к сайту из мобильного браузера, вы можете переключиться на секретный вопрос, просто кликнув на эту опцию. Работает на всех телефонах. Поддерживает прямой вход в тему WooCommerce, а премиум-версия дает еще больше возможностей.
Решения «все в одном» для безопасности вашего сайта
Если просто включения двухфакторной аутентификации вам недостаточно, то вы можете рассмотреть одно из комплексных решений, которое выведет безопасность вашего сайт на качественно новый уровень, например, можно использовать популярные плагины iThemes Security Pro и Wordfence.
ManageWP включает двухфакторную аутентификацию в качестве встроенной функции. WP Simple Firewall – это массивный плагин безопасности, который предлагает двухфакторную аутентификацию по email среди большого количества прочих функций.
Ну и конечно, админ просто может часто менять сильные пароли, что по большому счету позволяет отказаться от использования плагинов, описанных выше. Но вот только как показывает практика, занимаются этим админы и владельцы сайтов весьма редко. Также не лишним будет внедрить SSL на ваш WordPress-сайт.