+7 (495) 109 7000 info@thekernel.ru

Двухфакторная аутентификация в WordPress

WordPress является одной из самых популярных CMS в интернете. По данным исследований организации W3Techs, проведённых в сети, 32,5% всех сайтов построены на основе WordPress. Согласитесь, одна треть от всех сайтов в интернете – это внушительное количество. Популярность WordPress послужила развитию огромного сообщества разработчиков и пользователей, работающих с данной платформой. Отдельным и крайне важным вопросом всегда ставилась безопасность входа в учётные записи. Однако, большинство пользователей и администраторов продолжают полагаться на одни лишь пароли. Конечно же, многозначные сложные пароли, состоящие из разных символов, цифр и букв, повышают устойчивость ко взлому, но являются абсолютно беспомощными перед кейлоггерами и фишингом. Выход есть – двухфакторная и мультифакторная аутентификация.

Данная статья будет полезна, в первую очередь, администраторам сайтов на основе WordPress , а также тем, кто хочет начать своё знакомство с администрированием данной CMS, поскольку метод, описанный далее в статье, является самым простым и быстрым в настройке из всех доступных на данный момент. Для включения и настройки двухфакторной аутентификации пользователь должен обладать правами администратора. Также, вы сможете включить 2ФА для всех пользователей, зарегистрированных на вашем сайте, или предоставить им возможность включить 2ФА самостоятельно.

Из данной статьи вы узнаете, как настроить 2ФА в WordPress при помощи одноразовых паролей Google Authenticator или аппаратных ключей безопасности. Методы 2ФА при помощи Email или резервных кодов рассматриваться не будут, ввиду их низкой надёжности.

Двухфакторная аутентификация в WordPress становится доступной при помощи плагина с открытым исходным кодом Two-Factor (автор плагина George Stephanis). Данный плагин является абсолютно бесплатным и не содержит рекламы.

Итак, что нам для этого потребуется?

  1. Сайт на базе WordPress, на котором будет производиться настройка двухфакторной аутентификации.
  2. Учётная запись с правами администратора сайта.
  3. Смартфон или планшет под управлением Android или iOS с установленным приложением Google Authenticator.
  4. Аппаратный USB-ключ с поддержкой FIDO U2F, например, YubiKey или Security Key. (опционально)

 

Приступим к настройке.

 

Шаг 1: Установка плагина для двухфакторной аутентификации

  1. Войдите в учётную запись администратора сайта, на котором будет производиться настройка.
  2. Перейдите в Консоль / Dashboard.
  3. Выберите Плагины / Plugins.
  4. Нажмите Добавить новый / Add new.
  5. В строке поиска плагинов введите “two-factor”.
  6. Из списка плагинов выберите Two-Factor, автора George Stephanis.
  7. Нажмите Установить / Install now, затем нажмите Активировать / Activate.

 

Шаг 2: Настройка двухфакторной аутентификации в учётной записи

  1. Нажмите на ваше имя пользователя в верхнем правом углу экрана.
  2. В разделе Управление учётной записью / Account Management, отсканируйте QR-код при помощи Google Authenticator. (Если нет возможности отсканировать QR-код, введите последовательность символов, указанную ниже QR-кода, вручную в Google Authenticator.)

  1. Введите сгенерированный приложением одноразовый пароль в поле Authentication Code и нажмите Submit (каждый одноразовый пароль действителен в течении 30-ти секунд.)
  2. Слева от Time Based One-Time Password поставьте отметки на Enabled и Primary. Затем, нажмите Обновить профиль / Update Profile внизу страницы.
  3. Выйдите из учётной записи и войдите снова. После ввода имени пользователя и пароля вам будет предложено ввести одноразовый пароль из Google Authenticator. Откройте приложение на мобильном и введите сгенерированный шестизначный код в поле Authentication Code.

Теперь ваша учётная запись администратора защищена при помощи 2ФА в виде одноразовых паролей. Также, теперь пользователи с любыми правами доступа могут самостоятельно настраивать 2ФА для своих учётных записей на вашем сайте.

 

WordPress и аппаратные ключи безопасности

Если вы уже используете аппаратные ключи безопасности с поддержкой U2F с другими онлайн сервисами, тогда будет хорошей идеей применить их для защиты вашего WordPress сайта. Преимущество аппаратных ключей над одноразовыми паролями заключается в их удобстве и надёжности. Аутентификация производится с использованием надёжных криптографических алгоритмов и механизмов проверки подлинности адреса сайта, что исключает риск перехвата вводимых данных. Удобство же заключается в том, что не нужно каждый раз вводить одноразовые пароли, таким образом процесс входа в учетную запись становится не только простым и быстрым, как и прежде, но и более безопасным. Для двухфакторной аутентификации при помощи ключей безопасности рекомендуется использовать браузер Chrome и аппаратные ключи YubiKey или Security Key от Yubico.

 

Регистрация аппаратного ключа в учётной записи

  1. Нажмите на ваше имя пользователя в верхнем правом углу экрана.
  2. В разделе Управление учётной записью / Account Management, под заголовком Security Keys, нажмите на Register New Key.
  3. Вставьте ваш ключ в USB-порт компьютера. Когда индикатор на ключе начнёт мигать, нажмите на кнопку на ключе. (Рекомендуется настроить запасной ключ, для возможности входа в учётную запись при утере основного ключа. Повторите данную процедуру для каждого из ключей, которые вы хотите зарегистрировать.)
  4. Слева от FIDO Universal 2nd Factor (U2F), поставьте отметки на Enabled и Primary. Затем, нажмите Обновить профиль / Update Profile внизу страницы.

  1. Выйдите из учётной записи и войдите снова. После ввода имени пользователя и пароля вам будет предложено вставить аппаратный ключ в USB-порт ПК и нажать кнопку. Выполните действия с ключом.

Готово! Теперь при каждом входе в учётную запись вашего сайта на базе WordPress, вы сможете проводить аутентификацию при помощи аппаратного ключа. Также, вы можете включить использование одноразовых паролей, в качестве запасного метода входа (не рекомендуется, потому что ключи безопасности являются более надёжным методом аутентификации чем одноразовые пароли. В качестве запасного метода входа рекомендуется зарегистрировать дополнительный аппаратный ключ.)