Защита Wordpress: двухэтапная аутентификация

[Fishka]

Статья не моя, но очень понравилась. Уверен, что многим пригодится )

Многие сайты используют двухфакторную аутентификацию как способ защиты. Для CMS Wordpress тоже есть несколько плагинов с помощю которых можно реализовать двухфакторную аунтентификацию.

Для просмотра ссылки Войди или Зарегистрируйся - простой в установке плагин, не требующий настройки. Для первой авторизации после инсталляции, вам как обычно потребуется ввести свои логин и пароль. Но прежде чем вам будет разрешено войти на сайт, вам необходимо будет кликнуть ссылку, которую плагин пришлет вам на электронную почту. Для следующей авторизации с того же девайса вам понадобиться только пароль. Не нужно нового OTP для каждой авторизации с одного и того же девайса. Для большей безопасности вы можете установить мобильный app. В этом случае вам нужно будет отсканировать код, сгенерированный плагином, чтоб подтвердить, что вы, это вы. Связь между вашим сервером и Rublon закодирована.

Для просмотра ссылки Войди или Зарегистрируйся поможет вам без труда включить двухступенчатую аутентификацию на вашем сайте. Все пользователи и администраторы теперь вынуждены будут проходить верификацию с помощью одного из девайсов – токена или смартфона. После установки плагина, вам нужно будет зарегистрироваться на сайте плагина, чтоб у вас появился доступ к защитным ключам. Вы можете создавать роли, для которых будет необходима двухфакторная аутентификация. Для верификации пользователи могут использовать OTP, которые присылаются на мобильный телефон, создаются токеном или генерируются помощью app Duo.

Для просмотра ссылки Войди или Зарегистрируйся – плагин использует уникальный подход, который на первый взгляд кажется навязчивым, но на самом деле максимально интуитивен и прост в использовании. После установки плагина на сайт и соответствующего приложения на мобильное устройство вам достаточно нажать кнопку «Log in with your phone» на сайте и по запросу начать снимать экран камерой смартфона. Процесс аутентификации выглядит для пользователя как волнообразно колеблющийся бар-код. По мере подтверждения идентичности пользователя эти «волны» начинают колебаться синхронно. Таким образом, вход на сайт осуществляется безопасно даже без необходимости ввода пароля.
При установке мобильного приложения Clef необходимо совершить ещё один шаг: синхронизировать его при помощи однократного ввода пин-кода, генерируемого на стороне сайта. После этого всё действительно просто.

Для просмотра ссылки Войди или Зарегистрируйся - вы можете назначить двухфакторную аутентификацию любой роли либо отдельному пользователю. Можно также разрешить вход на сайт при помощи ввода пароля прямо в мобильном приложении, но безопаснее будет оставить дефолтный механизм входа, предусмотренный Google.
Для просмотра ссылки Войди или Зарегистрируйся поставляет решения в области безопасности для различных платформ, и она также поддерживает бесплатный плагин для WordPress.

Установив его на сайт, необходимо взять API-ключ с сайта Authy и ввести его в соответствующее поле в параметрах плагина. Это – единственный обязательный параметр его настройки. Теперь ваша аутентичность может проверяться с помощью SMS-сообщений.

К необязательным настройкам относится возможность ограничить обязательное использование двухфакторной аутентификации группой администраторов сайта или любыми другими категориями пользователей.

 

[Sergey71]

Можно также сделать двухэтапную авторизацию без использования плагина.