WP ЭкспрессБезопасностьПлагины

Безопасный WordPress с помощью двухэтапной аутентификации

Привет друзья и сегодня мы снова продолжим тему безопасности. Как много ваших аккаунтов разбросано по всему интернету? Все они надежно защищены паролями? Может у некоторых из них один и тот же пароль?  Если злоумышленник завладеет одним вашим аккаунтом, то он сможет проникнуть и в другие, тем более, если ваш пароль – это дата вашего рождения или кличка вашей собачки?

Каждый день боты атакуют тысячи WordPress сайтов. И если хакерам удастся взломать ваш сайт, то это может привести к катастрофическим последствиям, в числе, которых и потеря трафика.

[toc]

Что такое двухэтапная аутентификация?

Так как пароль можно взломать, особенно, в случае  грубой силовой атаки, то здесь желательно добавить еще один уровень защиты поверх слабого пароля. Двухэтапная аутентификация – это один из способов это сделать. Что же такое двух факторная аутентификация? Когда вас просят ввести капчу или дополнительный PIN-код, то это самые простые разновидности такой аутентификации. Если включена такая аутентификацию, то пользователь должен будет подтвердить вход, какими-либо данными, помимо пароля, используя для этого дополнительный девайс.

Вход будет выполняться, как обычно, только его нужно будет подтвердить кодом, присланным на ваш мобильный.  Такой код называется  одноразовым паролем или OTP.

Способы получения кода, который используется для верификации

Итак, давайте рассмотрим способы получения кода, который вы внедряете во время верификации:

  • Email: когда вы пытаетесь залогиться, то код высылается на ваш email.
  • SMS: посылается на мобильный телефон.
  • Коды, сгенерированные App: App’ы типа  Google Authenticator и Authy быстро автоматически сгенерируют новый код, но вам придется потратить некоторое время на настройку app.
  • USB токен: вам просто нужно будет вживить токен в ваш USB (и возможно ввести токен пароль). Это очень безопасный метод, но у него есть и минусы: он не работает с мобильными устройствами в виду отсутствия у них USB-порта. Но данный метод хорош еще и тем, что, как и предыдущий, не зависит от соединения с интернетом или мобильной сети.

Все приведенные здесь сервисы предлагают вам все эти опции на выбор. Также вам будут предложены коды экстренного восстановления доступа, которые позволят увеличить сохранность вашего сайта. Вы можете использовать защитное комбо, состоящее из плагина для WordPress и App для вашего смартфона.

Clef

Никаких паролей и временных кодов, но авторизация совершенно безопасная  — такое возможно с Clef, бесплатным плагином для WordPress. Также необходимо скачать Clef app на мобильный телефон. После того, как вы выбрали опцию авторизации с помощью смартфона, вам просто нужно синхронизировать ваш мобильный с Clef-волной на экране авторизации, используя камеру вашего смартфона. Также вы можете насладиться однокликовой авторизацией на следующих сайтах. Выход осуществляется по таймеру или в один клик

Clef

Clef использует RSA, криптографический алгоритм с открытым ключом. Кроме того, Clef позволяет использовать все три точки парольной аутентификации в WordPress – в админ-панеле, на экране авторизации и на уровне API, так что вам точно удастся избежать фишинга паролей и угона аккаунта через email.

Clef нужно немного поднастроить: включить связь между  мобильным app и WordPress сайтом.

Перейти к плагину

Rublon

Rublon – это простой в установке плагин, не требующий настройки. Для первой авторизации после инсталляции, вам как обычно потребуется ввести свои логин и пароль. Но прежде чем вам будет разрешено войти на сайт, вам необходимо будет кликнуть ссылку, которую плагин пришлет вам на электронную почту. Для следующей авторизации с того же девайса вам понадобиться только пароль. Не нужно нового OTP для каждой авторизации с одного и того же девайса.

Для большей безопасности вы можете установить мобильный app. В этом случае вам нужно будет отсканировать код, сгенерированный плагином, чтоб подтвердить, что вы, это вы. Связь между вашим сервером и Rublon закодирована.

Rublon

Плагин совместим с большинством браузеров. Кроме того в скором времени Rublon предоставит возможность авторизации без паролей. Также вскоре появится и функция удаленного выхода с сайта. Rublon – бесплатен, если вы используете его для своего персонального сайта, а для использования для WordPress- бизнес сайтов, вам придется выбрать один из предложенных тарифов.

Перейти к плагину

5sec Google Authenticator

5sec Google Authenticator – это премиальный плагин, который доступен на Codecanyon за $18. После установки плагина, никто не сможет авторизоваться в вашем аккаунте, даже зная пароль. Когда пользователь пытается авторизоваться, генерируется одноразовый пароль, который присылается на его мобильный телефон. Доступ к сайту будет получен только в случае введения правильного OTP на странице авторизации.

5sec

Очередная авторизация потребует нового OTP, который будет  активен ограниченное количество времени.

Благодаря встроенной IP-защите, плагин способен  защитить вас от грубых силовых атак. И, даже если вы по ошибке кликнули на «запомнить пароль», это не имеет значения, так как никто не может залогиться без соответствующего OTP. В случае необходимости плагин может выполнить для вас выход с сайта. Вы можете возобновить сессию, введя новый OTP. Если вы потеряли телефон, то можно воспользоваться специфическим URL вашего сайта для входа на сайт без пароля и логина.

Перейти к плагину

Двухступенчатая аутентификация с Duo

Плагин Duo поможет вам без труда включить двухступенчатую аутентификацию на вашем сайте. Все пользователи и администраторы теперь вынуждены будут проходить верификацию с помощью одного из девайсов – токена или смартфона

Duo Two-Factor

После установки плагина, вам нужно будет зарегистрироваться на сайте плагина,  чтоб у вас появился доступ к защитным ключам. Вы можете создавать роли, для которых будет необходима двухфакторная аутентификация. Для верификации пользователи могут использовать OTP, которые присылаются на мобильный телефон,  создаются токеном или генерируются помощью app Duo.

Перейти к плагину

Authy

Authy – это простой плагин, который позволяет установить двухфакторную аутентификацию на вашем сайте. Для получения API-ключей требуется регистрация .

Authy

После установки плагина вы можете выбрать роли пользователей, для которых такая аутентификация обязательна. Так что при попытке авторизации, они будут получать коды подтверждения на свои мобильные телефоны.

Перейти к плагину

WP Google Authenticator для WordPress

Данное расширение использует Google Authenticator App, которое позволяет  вам генерировать коды, используя Android, iPhone или Blackberry.

WP-Google-Authenticator-Settings

После установки App на свой мобильный, вам нужно будет установить еще и плагин на свой сайт. После этого шага будет сгенерированный код безопасности, и вы сможете добавить ваш сайт в App, просканировав QR-код.

Новый ключ безопасности можно сгенерировать в любой момент времени, а любой ключ пользователя можно легко отменить. Все использованные OTP хранятся в базе данных, что позволяет избежать перехвата кода. На тот случай, если вы не можете использовать App, вам будет дан код восстановления. Плагин полностью совместим с Authy.

Перейти к плагину

Two Factor Auth

Если вы хотите обезопасить ваш сайт, ничего не настраивая, то вам стоит попробовать Two Factor Auth. Он работает со сторонними app, типа  Google Authenticator. По умолчанию плагин посылает код на электронную почту, но это можно перенастроить

Two-Factor-Auth-1

Перейти к плагину

Two Factor Authentication от miniOrange

Two Factor Authentication от miniOrange работает точно также, как и те опции, которые уже были описаны выше, но имеет несколько дополнительных опций, делающих это решение более привлекательным.

Работает с Google Authenticator, miniOrange App и Authy 2 factor Authentication App.  MiniOrange Authenticator App кодирует все данные,  а также имеет встроенную защиту PINов. Если вы потеряли свой телефон, то вам будут предложены такие альтернативные методы аутентификации, как OTP, приходящий на  email или секретный вопрос.

miniOrange-2-Factor-Auth

MiniOrange app поддерживает 15 методов аутентификации, включая токены и QR-коды.  Чтоб получить доступ к сайту из мобильного браузера, вы можете переключиться на секретный вопрос, просто кликнув на эту опцию. Работает на всех телефонах. Поддерживает прямой вход в тему WooCommerce, а премиум-версия дает еще больше возможностей.

Перейти к плагину

Решения «все в одном» для безопасности вашего сайта

Если просто включения двухфакторной аутентификации вам недостаточно, то вы можете рассмотреть одно из комплексных решений, которое выведет безопасность вашего сайт на качественно новый уровень, например, можно использовать популярные плагины iThemes Security Pro и Wordfence.

ManageWP включает двухфакторную аутентификацию в качестве встроенной функции. WP Simple Firewall – это массивный плагин безопасности, который предлагает двухфакторную аутентификацию по email среди большого количества прочих функций.

Ну и конечно, админ просто может часто менять сильные пароли, что по большому счету позволяет отказаться от использования плагинов, описанных выше. Но вот только как показывает практика, занимаются этим админы и владельцы сайтов весьма редко. Также не лишним будет внедрить SSL на ваш WordPress-сайт.

Похожие

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Back to top button