Все більше сайтів вдаються до двофакторної аутентифікації як до способу зміцнити безпеку. Наприклад, Google просить мій номер телефону, щоб підтвердити мою особистість, перш ніж я зможу увійти в свою пошту. І це добре:

Будь-яка спроба зміцнити безпеку вашого сайту, варта того, щоб її зробити.

Тим не менш, багато веб-майстри не поспішають застосовувати двофакторну аутентифікацію, і у них на це є одна причина. Двофакторна аутентифікація ускладнює процес входу на сайт, а додаткові складності зазвичай відштовхують користувачів.

Звичайно, ці складності важко назвати суттєвими. Але і про комфорт користувача теж не можна забувати. Тому паралельно із зміцненням безпеки не завадить провести аудит сайту з точки зору зручності користування і, можливо, вжити додаткових заходів.

Наприклад, налаштувати запам’ятовування користувацьких сесій на більш довгий термін, щоб користувачам не доводилося входити на сайт занадто часто.

Зважте ваш вибір

WordPress має кілька простих і зрозумілих рішень за двофакторної аутентифікації. Давайте розглянемо їх.

Duo Two-Factor Authentication

Плагін Duo Two-Factor Authentication від Duo Security робить свою справу просто і легко, без необхідності заглиблюватися в код або налаштування. Встановіть активувати плагін на своєму сайті, потім скачайте додаток для смартфона.

Це додаток дозволить вам встановити, які користувальницькі ролі повинні будуть користуватися двофакторної аутентифікацією.

Взаємодія користувача з Duo Two-Factor Authentication також відбувається досить просто і прямолінійно. Після введення логіна і пароля користувача вітає додатковий екран, пропонує кілька опцій для підтвердження своєї ідентичності.

Якщо вибрати мобільний додаток, то залишається тільки дістати свій гаджет і клацнути по кнопці «Confirm» (підтвердити). Інший варіант – увійти за допомогою одноразового пароля, який буде надіслано за допомогою SMS.

Також є можливість налаштувати вхід за допомогою голосового виклику або апаратного авторизаційного токена. Опції досить різноманітні, так що ви будете ними приємно здивовані, але не приголомшені: налаштування плагіна при цьому проста і зрозуміла.

Clef

Налаштування двофакторної аутентифікації в WordPress

Clef – мій фаворит серед засобів двофакторної аутентифікації. Цей плагін використовує унікальний підхід, який на перший погляд здається нав’язливим, але насправді максимально інтуїтивний і простий у використанні.

Після встановлення плагіну на сайт і відповідної програми на мобільний пристрій, достатньо натиснути кнопку «Log in with your phone» на сайті та за запитом почати знімати екран камерою смартфона.

Процес аутентифікації виглядає для користувача як хвилеподібно коливний бар-код. По мірі підтвердження ідентичності користувача ці «хвилі» починають коливатися синхронно. Таким чином, вхід на сайт здійснюється безпечно навіть без необхідності введення пароля.

При встановленні мобільного додатка Clef необхідно зробити ще один крок: синхронізувати його за допомогою одноразового введення пін-коду, що генерується на стороні сайту. Після цього все дійсно просто.

Google Authenticator

Ще один варіант реалізувати двофакторну аутентифікацію на сайті – установка плагіна Google Authenticator. Багато користувачів вже використовують мобільний додаток Google для входу в Gmail або Amazon, так що використання цього плагіна зробить ваш сайт не тільки безпечним, але і комфортним.

Ви можете призначити двофакторну аутентифікацію будь ролі або окремому користувачеві. Можна також дозволити вхід на сайт за допомогою введення пароля в мобільному додатку, але безпечніше буде залишити дефолтний механізм входу, передбачений Google.

Two Factor Auth

Налаштування двофакторної аутентифікації в WordPress

Якщо ви шукаєте прості рішення, Two Factor Auth напевно вам сподобається. Цей плагін створює паролі, які діють обмежений час. Паролі можуть висилатися користувачеві по електронній пошті.

Two Factor Auth можна використовувати спільно з будь-якою іншою системою авторизації, в тому числі і з описаною нами Google Authenticator.

Плагін реалізує механізми TOTP і HOTP, тому генеруємий їм пароль можна використовувати для автоматизованого використання в Google Authenticator та інших подібних програмах. Загалом, Two Factor Auth – відмінний спосіб зміцнити ваш сайт без особливих складнощів в установці та налаштування.

Authy Two-Factor Authentication

Налаштування двофакторної аутентифікації в WordPress

Authy поставляє рішення в області безпеки для різних платформ, і вона також підтримує безкоштовний плагін для WordPress.

Встановивши його на сайт, необхідно взяти API ключ з сайту Authy і ввести його у відповідне поле в параметри плагіну. Це – єдиний обов’язковий параметр налаштування. Тепер ваша автентичність може перевірятися за допомогою SMS-повідомлень.

До необов’язкових параметрів відноситься можливість обмежити обов’язкове використання двофакторної аутентифікації групою адміністраторів сайту або будь-якими іншими категоріями користувачів.

Two-Factor Authentication – Clockwork SMS

Налаштування двофакторної аутентифікації в WordPress

Останній спеціалізований плагін, який ми розглянемо в нашій статті, називається Two-Factor Authentication – Clockwork SMS.

Як випливає з назви, цей плагін посилає одноразовий код для аутентифікації на сайті через SMS. Цей плагін також може бути налаштований для використання тільки визначеними групами користувачів. Для роботи плагіну потрібно мати обліковий запис на сайті Clockwork SMS з позитивним балансом на рахунку.

Так, використання цього плагіна передбачає плату за відправку SMS-повідомлень, але можливість використовувати двофакторну аутентифікацію без необхідності встановлювати на смартфон додаткові додатки напевно того варто.

Двофакторна аутентифікація як частина комплексного вирішення

Плагіни, що реалізують комплексні заходи щодо зміцнення безпеки сайту, часто мають у своєму складі функцію двофакторної аутентифікації. Можливо, ви віддасте перевагу встановити один з таких плагінів на своєму сайті, якщо вас зацікавлять інші його функції. Дійсно, навіщо встановлювати кілька плагінів, якщо можна обійтися одним?

Перерахуємо плагіни, які включають в себе механізм двофакторної аутентифікації.

iThemes Security Pro

Налаштування двофакторної аутентифікації в WordPress

Цей плагін має безліч функцій, пов’язаних з безпекою. Застосовувана їм реалізація двофакторної аутентифікації також може використовуватися спільно з Google Authenticator. Якщо на смартфоні вже встановлено це додаток, залишається тільки налаштувати його на роботу з плагіном iThemes.

Тепер при авторизації сайт запросить у користувача додатковий код верифікації, генерований Google Authenticator. Цей код використовується одноразово і залишається валідним не довше 30 секунд.

ManageWP

Налаштування двофакторної аутентифікації в WordPress

Ще один варіант – ManageWP. Взагалі-то це рішення не є плагіном, орієнтованим на безпеку, а являє собою інтерфейс для комплексного адміністрування декількох WordPress-сайтів. Ви можете встановлювати оновлення на всі сайти раз, централізовано настроювати розклад резервного копіювання і т. д.

З очевидної причини цей продукт має посиленими налаштуваннями безпеки. Зокрема, ви можете використовувати добре продуману схему двофакторної аутентифікації як для входу в загальну панель управління, так і для адміністрування кожного сайту окремо. Код верифікації може відсилатися електронним листом або SMS-повідомленням.

WordFence

Налаштування двофакторної аутентифікації в WordPress

WordFence – плагін, підсилює безпеку сайту за рахунок декількох опцій. Зокрема, він вміє сканувати сайт з розкладом для виявлення шкідливого коду. Автори також заявляють, що цей плагін здатний в окремих випадках прискорити роботу сайту в 50 разів.

Двофакторна аутентифікація вказана у документації до директорії як «вхід через телефон», що є цілком допустимим спрощенням: використання SMS – це саме те, що в першу чергу помічають користувачі.

Підіб’ємо підсумок

Двофакторна аутентифікація забезпечує додатковий рівень безпеки сайту, який з часом стає все більш затребуваний. Тому реалізація двофакторної аутентифікації стає предметом першої необхідності для адміністраторів WordPress.

Спроби злому сайтів давно стали рутиною, і в будь-якому випадку краще запобігти злому або хоча б спробувати ускладнити зломщикові роботу, ніж сидіти склавши руки і сподіватися, що цього ніколи не станеться.

Сподіваюся, тепер ви одержали поняття про двофакторної аутентифікації і про те, як реалізувати її на своєму сайті. Якщо ви хочете уточнити якісь деталі чи знаєте гарні рішення, які я не перерахувала, ласкаво просимо в коментарі!

Переклад статті «How To Set Up WordPress Two Factor Authentication» був підготовлений дружною командою проекту Сайтостроение від А до Я.