Приветствую, уважаемые читатели! Я думаю, все понимают важность использования надежных паролей для своих веб-сайтов и приложений. В эпоху серьезных утечек данных — это стало просто необходимостью, никто не может быть уверен в своей безопасности.
Совсем недавно злоумышленники взломали одну из крупнейших социальных платформ Quota. Результат? Более 100 миллионов пользователей раскрыли свою личную информацию. Имена, адреса электронной почты, пароли (в зашифрованном виде) и другая конфиденциальная информация была доступна любому желающему.
Данная атака может вас не касаться, но если вы когда-либо регистрировались в Quora, вы в зоне риска.
Также проблемы с безопасностью в последнее время выявлены Adobe, LinkedIn и совсем недавно хакеры нашли уязвимость в одном из самых популярных плагинов для WordPress — GDPR.
Именно здесь 2FA (двухфакторная аутентификация) выходит на сцену. В отличие от традиционных страниц, защищенных паролем, 2FA представляет второй уровень проверки, который может защитить веб-сайты WordPress.
Что такое двухфакторная аутентификация (2FA)
Вы когда-нибудь забывали свой пароль на таком сайте, как Google или Amazon? Когда вы пытались сбросить его, вас попросили дважды подтвердить свою личность, используя запоминающуюся фразу или отправив пин-код на ваш мобильный телефон. Это базовая реализация двухфакторной проверки.
Базовая в том смысле, что вам нужно только дважды подтвердить свою личность после того, как вы потеряли доступ к своей учетной записи.
Более надежный и безопасный подход состоит в том, чтобы гарантировать, что каждая попытка входа в систему защищена двухфакторной проверкой.
К наиболее популярным методам двухфакторной аутентификации относятся адреса электронной почты, использование мобильного телефона для доступа к коду безопасности, аппаратные токены и запоминающиеся фразы в дополнение к паролю.
К счастью, существует множество доступных плагинов WordPress, которые предоставляют решения для двухфакторной аутентификации. Одни плагины интегрируются с сервисами, такими как Google Authentication или Authy, а другие реализуют совершенно другие методы, проверка электронной почты и push-уведомления.
Мы вскоре перейдем к плагинам, но прежде чем мы это сделаем, давайте разберемся, почему 2FA играет важную роль в безопасности WordPress.
Почему 2FA важен для безопасности WordPress
На момент написания этой статьи WordPress использовали более 32% всех веб-сайтов в Интернете, что в сумме составляет более 60% среди всех известных систем управления контентом. Это впечатляющая статистика, но у нее есть один существенный недостаток: она делает WordPress главной мишенью для хакеров и экспертов по безопасности со злым умыслом.
Наиболее распространенные виды использования взломанных сайтов WordPress включают SEO-спам (который может понизить ваш рейтинг), отправку вредоносных электронных писем, кражу пользовательских данных и выполнение злонамеренных переадресаций.
И есть только одна вещь, защищающая ваш сайт: ваш пароль.
С 2FA вы всегда будете в курсе необычной активности, такой как слишком много попыток входа в систему или, в худшем случае, получите уведомление о том, что кто-то вошел в вашу учетную запись, пока вы не работаете над своим сайтом ,
Готовы изучить варианты более безопасного взаимодействия с WordPress?
Вот краткий список лучших плагинов WordPress для добавления 2FA на ваш сайт, каждый из которых содержит свои плюсы и минусы.
miniOrange 2FA
Решения miniOrange служат для защиты уязвимых данных. Плагин WordPress создан для простой интеграции с сервисом Google Authenticator. Тем не менее, вы можете использовать дополнительные методы аутентификации, такие как сканируемые QR-коды, push-уведомления, программные токены и вопросы безопасности.
После активации плагина вы можете перейти на панель мониторинга miniOrange и приступить к настройке предпочитаемого метода проверки подлинности. Интуитивно понятный дизайн интерфейса позволяет легко выбрать решение, которое подходит именно вам.
Важно отметить, что miniOrange требует от вас установки их мобильного приложения, если вы хотите использовать более надежные методы проверки, такие как push-уведомления и QR-коды.
Бесплатная версия ограничивает 2FA для одного пользователя на сайт. Если вы хотите включить 2FA для более чем одного пользователя, вам нужно будет выбрать платный вариант. Преимущество использования премиум-версии заключается в том, что вы можете включить дополнительные методы аутентификации. В частности, SMS и подтверждение по электронной почте.
Если вы ведете небольшой блог и являетесь единственным активным администратором, бесплатной версии должно быть более чем достаточно для обеспечения адекватной защиты вашего сайта.
UNLOQ
UNLOQ разработан для быстрой интеграцией с вашим сайтом WordPress, добавив при этом множество уникальных функций для настройки входа в систему.
Настройка займет меньше минуты, и вы сможете выбрать один из нескольких вариантов входа в систему. Внешний вид полностью настраивается, а UNLOQ позволяет персонализировать интерфейс страницы WP Login.
Кроме того, используя функцию персонализации, вы можете изменить URL-адрес входа по умолчанию и использовать шорткоды для защиты определенных частей вашего контента.
Настроив способ аутентификации, вы можете начать использовать мобильное приложение UNLOQ для проверки вашей личности.
Это можно сделать в виде уникального пин-кода или просто всплывающего окна (на вашем телефоне), в котором вас просят подтвердить, что это именно вы пытаетесь войти в систему.
Если ваш телефон был украден или вы потеряли к нему доступ, вы можете посетить панель управления UNLOQ, чтобы отключить ваши активные устройства.
Duo Two-Factor Authentication
Duo — это надежный плагин «2FA как услуга», который помогает защитить безопасность вашей учетной записи WordPress. Простой процесс регистрации занимает всего несколько минут.
После того, как вы закончили настройку плагина, на ваш сайт WordPress добавляется еще один уровень безопасности.
Как видно выше, после того, как пользователи войдут в систему, используя свои учетные данные WordPress, им будет предложено подтвердить свою личность, используя любой из выбранных вами методов аутентификации Duo.
Полный список методов аутентификации, предоставляемых Duo, включает в себя:
- Вход в систему одним нажатием с помощью приложения Duo, позволяющий быстро и легко подтвердить свою личность.
- Пользовательский пароль, сгенерированный из приложения. Работает и в автономном режиме.
- Пользовательский пароль, отправленный на ваш номер телефона с помощью SMS. Опять же, отлично подходит, когда у вас нет доступа в интернет.
- Простой обратный звонок на стационарные и мобильные номера.
Если вы хотите быть спокойным за свой WordPress сайт (не забывайте про резервные копии), тогда Duo — один из самых удобных вариантов.
Rublon
Общеизвестно, что хакеры всегда ищут новые методы взлома сайтов. Если вы работаете с конфиденциальной информацией, не будет лишним обеспечить дополнительную защиту на глобальном уровне.
В этом вам поможет Rublon, передовое и сложное решение для двухфакторной аутентификации. Сочетает многочисленные методы проверки, такие как получение ссылки на ваш электронный адрес для подтверждения. Rublon сохранит информацию о вашем устройстве и позволит вам войти в систему, используя только пароль.
Кроме того, вы можете использовать приложение Rublon для обеспечения безопасности вашего сайта, где бы вы ни находились. Войдите на свой сайт, используя имя пользователя / пароль по умолчанию, и подтвердите свою личность, отсканировав QR-код с помощью телефона.
Самое приятное, что вы можете установить этот плагин и забыть о нем. Никаких сложных настроек или функций, просто простая защита 2FA для сайтов WordPress.
2FAS
2FAS — это плагин WordPress, основанный на двухфакторной проверке с использованием одноразовых паролей, меняющихся через короткий интервал времени (TOTP).
Плагин 2FAS совместим с популярными сервисами 2FA, такими как Authy и Google, но будет работать и с другими.
Уникальная особенность этого плагина в том, что вы можете генерировать одноразовые пин-коды. Эти коды пригодятся, когда вы потеряли доступ к своему телефону. Кроме того, можно добавить подтверждение с помощью кредитной карты, а также проверку с помощью SMS.
И наконец, алгоритм 2FAS может определять устройство, которое обращается к панели администратора, и определять необходимость проверки. Другими словами, вы можете сохранить свой токен браузера, чтобы вам не приходилось проходить проверку при каждом входе в систему.
SecSign
SecSign обеспечивает универсальную мобильную аутентификацию 2FA для сайтов WordPress. Плагин использует современные методы шифрования для обеспечения защиты методом перебора.
Кроме того, закрытые ключи, сгенерированные SecSign, никогда не подключаются к внешнему серверу. Вместо этого ключи создаются непосредственно мобильным приложением, и вы единственный, кто их видит.
Основное различие между этим и другими плагинами в этом обзоре заключается в том, что SecSign использует свою платформу персонального идентификатора: SecSign ID. Это означает, что вы вообще не будете использовать свои учетные данные WordPress. Кроме того, вы можете использовать SecSign Portal для создания уникальных имен ID для каждого из ваших пользователей.
В результате вы можете воспользоваться такими методами проверки, как отпечатки пальцев (для пользователей Apple) и менее сложными методами, такими как выбор пользовательского изображения.
Выводы
Как известно «Скупой платит дважды». Различные атаки могут нанести ущерб вашему бренду, уменьшить доверие пользователей к вашему продукту или услугам, а также головную боль и потерю времени при взломе вашего сайта. Хотя 100% безопасность не может быть гарантирована, двухфакторная аутентификация является одним из лучших способов предотвращения несанкционированного доступа к сайту.
Плагины, которые мы рассмотрели в этом посте, невероятно быстры в установке и настройке. Даже, если вам не нравится идея использовать мобильное приложение, использование телефона для проверки доступа к вашему сайту или хранение уникального кода в безопасном месте лучше, чем полагаться только лишь на один пароль.
Чтобы узнать больше о рекомендациях по безопасности, не пропустите Как усилить безопасность WordPress? Несколько простых советов — Обзор 8 лучших WordPress-плагинов для резервного копирования.
С уважением, Яровиков Олег