7 najlepszych wtyczek do uwierzytelniania dwuskładnikowego WordPress: bezpieczne logowanie
Opublikowany: 2022-11-08Łatwo przeoczyć znaczenie używania silnych i bezpiecznych haseł w witrynach i aplikacjach. W dobie poważnych naruszeń danych, kiedy sprawdzenie, czy zostałeś złapany, stało się koniecznością, nikt nie może twierdzić, że jest wolny od potencjalnie daleko idących zagrożeń bezpieczeństwa.
Ostatnio złośliwi hakerzy zaatakowali jedną z największych platform społecznościowych, Quota. Wynik? Ponad 100 milionów użytkowników ujawniło swoje dane osobowe. Nazwy, adresy e-mail, hasła (zaszyfrowane) i inne poufne informacje były dostępne dla strony spoza Quora.
Ten rodzaj ataku może wydawać się, że nie ma nic wspólnego z Tobą osobiście, ale jeśli kiedykolwiek rejestrowałeś się w Quora, jesteś narażony na ryzyko włamania również na Twoje inne konta.
Inne poważne naruszenia w ostatnim czasie obejmują Adobe, LinkedIn, a ostatnio hakerzy znaleźli sposób na wykorzystanie jednej z najpopularniejszych wtyczek RODO do WordPressa.
W tym miejscu w WordPressie wkracza 2FA (Two-Factor Authentication). W przeciwieństwie do tradycyjnych stron chronionych hasłem, 2FA wprowadza drugą warstwę weryfikacji tożsamości, która może chronić witryny WordPress.
W tym poście przedstawiamy siedem najlepszych wtyczek do uwierzytelniania dwuskładnikowego WordPress, które chronią Twoją witrynę.
- Dwuczynnikowy
- WP 2FA
- Uwierzytelnianie dwuetapowe
- miniPomarańczowy 2FA
- Uwierzytelnianie dwuetapowe Duo
- Rublon
- SecSign
Co to jest uwierzytelnianie dwuskładnikowe WordPress (2FA)?
Czy kiedykolwiek zapomniałeś hasła w witrynie takiej jak Google lub Amazon? Gdy próbowałeś go zresetować, poproszono Cię o dwukrotną weryfikację tożsamości za pomocą łatwej do zapamiętania frazy lub wysłanie kodu PIN na Twój telefon komórkowy. To podstawowa implementacja weryfikacji dwuczynnikowej.
Podstawowy w tym sensie, że po utracie dostępu do konta wystarczy zweryfikować swoją tożsamość dwukrotnie.
Bardziej niezawodnym i bezpiecznym podejściem jest zapewnienie, że każda próba logowania jest chroniona przez weryfikację dwuskładnikową.
Do najpopularniejszych metod uwierzytelniania dwuskładnikowego należą zewnętrzne adresy e-mail, korzystanie z aplikacji na telefon komórkowy, takich jak Google Authenticator lub Authy, w celu uzyskania dostępu do kodu zabezpieczającego (TOTP lub HOTP), tokenów sprzętowych (np. YubiKey) korzystających z protokołów takich jak FIDO, SMS-y lub rozmowy telefoniczne oraz niezapomniane zwroty oprócz hasła.
Na szczęście dostępnych jest wiele wtyczek WordPress, które zapewniają rozwiązania do uwierzytelniania dwuskładnikowego. Niektóre wtyczki usług użytkownika, takie jak Google Authentication lub Authy, podczas gdy inne implementują zupełnie inne metody, takie jak weryfikacja poczty e-mail i niestandardowe powiadomienia push.
Siedem najlepszych wtyczek do uwierzytelniania dwuskładnikowego WordPress
1. Dwuczynnikowy
Two-Factor to w 100% darmowa wtyczka do uwierzytelniania dwuskładnikowego, która pochodzi od wielu znanych głównych współtwórców WordPress.
Poza tym, że jest bezpłatny, jego wyjątkową cechą jest to, że obsługuje wiele różnych metod uwierzytelniania, w tym:
- Kody e-mail
- TOTP – działa z dowolną aplikacją uwierzytelniającą, taką jak Google Authenticator
- FIDO Universal 2nd Factor (U2F) – pozwala ludziom korzystać z fizycznych kluczy bezpieczeństwa, takich jak YubiKey
- Kody zapasowe
Główne wady wtyczki są następujące:
- Chociaż doskonale nadaje się do zabezpieczania własnego konta, nie oferuje tylu opcji wymuszania uwierzytelniania dwuskładnikowego dla różnych typów użytkowników w Twojej witrynie.
- Nie oferuje żadnych integracji dla uwierzytelniania tekstowego.
Ogólnie rzecz biorąc, jeśli chcesz po prostu zabezpieczyć własne konto WordPress (plus może konta kilku współtwórców), ta w 100% darmowa opcja jest doskonałym miejscem na rozpoczęcie.
2. WP 2FA
WP 2FA to popularna wtyczka do uwierzytelniania dwuskładnikowego WordPress firmy WP White Security, tego samego zespołu, który stoi za wieloma znanymi narzędziami bezpieczeństwa. Przede wszystkim wtyczka WP Activity Log.
WP 2FA pozwala skonfigurować uwierzytelnianie dwuskładnikowe za pomocą różnych metod, w wersjach bezpłatnych i płatnych.
Darmowa wersja obsługuje każdą popularną aplikację uwierzytelniającą – np. Google Authenticator lub Authy. Wersja płatna oferuje bardziej zaawansowaną integrację Authy, która obsługuje dwuskładnikowe za pośrednictwem SMS-ów, powiadomień push, WhatsApp i połączeń przychodzących.
Obsługuje również jednorazowe kody zapasowe na wypadek, gdyby użytkownicy utracili dostęp do swojej metody.
Możesz także skonfigurować konfigurowalne zasady dwuskładnikowe, które są jednym dużym obszarem, w którym przewyższa poprzednią wtyczkę. Na przykład możesz zmusić niektóre role użytkownika do używania dwuskładnikowego, jednocześnie czyniąc go opcjonalnym dla innych.
Możesz także uzyskać dostęp do innych przydatnych funkcji, takich jak zaufane urządzenia, wprowadzanie użytkowników z konfiguracją dwuskładnikową i nie tylko.
Na WordPress.org dostępna jest funkcjonalna darmowa wersja, a płatna wersja zaczyna się już od 29 USD.
3. Uwierzytelnianie dwuetapowe
Uwierzytelnianie dwuskładnikowe to wtyczka freemium od tych samych twórców popularnej wtyczki do tworzenia kopii zapasowych UpdraftPlus.
Obsługuje metody TOTP i HOTP, co umożliwia korzystanie z dowolnej aplikacji uwierzytelniającej, takiej jak Google Authenticator lub Authy.
Wersja premium dodaje również awaryjne kody zapasowe na wypadek utraty przez użytkownika dostępu do urządzenia.
Jednym z obszarów, w których ta wtyczka przewyższa powyższą wtyczkę Two-Factor, jest konfigurowanie zasad i zarządzanie różnymi typami użytkowników. Oto kilka przykładów:
- Włącz/wyłącz dwa czynniki dla różnych ról użytkownika. Na przykład wymagaj tego dla administratorów, ale nie dla subskrybentów.
- Włącz/wyłącz dwa czynniki dla określonych ról użytkownika.
- Zarządzaj dwuskładnikowymi danymi innych użytkowników z poziomu konta administratora.
- Zezwalaj na zaufane urządzenia, aby użytkownicy nie musieli weryfikować tego samego urządzenia przez określony czas (np. 30 dni).
Ma również kilka innych fajnych funkcji, takich jak opcja dla użytkowników do zarządzania dwoma czynnikami z poziomu frontendu.
Jest jednak nieco ograniczony w dwóch metodach — nie ma opcji korzystania z kluczy sprzętowych, poczty e-mail lub połączeń SMS/telefonicznych.
Istnieje funkcjonalna darmowa wersja na WordPress.org, a płatna wersja zaczyna się już od ~24 USD.
4. miniPomarańczowy 2FA
Rozwiązania miniOrange bezproblemowego uwierzytelniania w celu ochrony narażenia poufnych danych. Wtyczka WordPress firmy została stworzona, aby zapewnić łatwą integrację z usługą Google Authenticator. Niemniej jednak możesz użyć dodatkowych metod uwierzytelniania, takich jak skanowalne kody QR, powiadomienia push, tokeny programowe i pytania zabezpieczające.
Po aktywacji wtyczki możesz przejść do pulpitu nawigacyjnego miniOrange i rozpocząć konfigurowanie preferowanej metody weryfikacji uwierzytelniania. Intuicyjny projekt interfejsu ułatwia szybki wybór rozwiązania, które jest dla Ciebie odpowiednie.
Ważne jest, aby pamiętać, że miniOrange wymaga zainstalowania aplikacji mobilnej, jeśli chcesz korzystać z bardziej niezawodnych technik weryfikacji, takich jak powiadomienia push i kody QR.
Darmowa wersja ogranicza 2FA do jednego użytkownika na witrynę. Jeśli chcesz włączyć 2FA dla więcej niż jednego użytkownika, musisz rozważyć opcję płatną. Zaletą korzystania z wersji premium jest możliwość włączenia dodatkowych metod uwierzytelniania. W szczególności weryfikacja SMS i e-mail.
Jeśli prowadzisz mniejszy blog i jesteś jedynym aktywnym administratorem, darmowa wersja powinna wystarczyć, aby zapewnić odpowiednią ochronę bezpieczeństwa Twojej witryny.
5. Uwierzytelnianie dwuetapowe Duo
Duo to solidna wtyczka „2FA as a Service”, która pomaga chronić bezpieczeństwo Twojego konta WordPress. Prosty proces wdrażania zajmuje tylko kilka minut.
Po zakończeniu konfigurowania wtyczki do witryny WordPress dodawana jest kolejna warstwa zabezpieczeń.
Jak widać powyżej, po zalogowaniu się użytkowników przy użyciu domyślnych danych logowania do WordPressa zostaną poproszeni o dwukrotne zweryfikowanie swojej tożsamości przy użyciu dowolnej z wybranych przez Ciebie metod uwierzytelniania Duo.
Pełna lista metod uwierzytelniania udostępnianych przez Duo obejmuje:
- Dostęp do logowania jednym dotknięciem za pomocą aplikacji Duo, dzięki czemu możesz szybko i łatwo potwierdzić swoją tożsamość.
- Niestandardowy kod dostępu wygenerowany z aplikacji. Działa również w trybie offline.
- Niestandardowy kod dostępu wysłany na Twój numer telefonu za pomocą SMS-a. Ponownie, świetne, gdy nie masz dostępu do Internetu.
- Proste oddzwonienie na numery stacjonarne i komórkowe.
Jeśli chcesz mieć spokój, jeśli chodzi o bezpieczeństwo witryny WordPress (oprócz posiadania kopii zapasowej), Duo jest jednym z najbardziej przyjaznych dla użytkownika opcji.
6. Rublon
Powszechnie wiadomo, że hakerzy zawsze próbują nowych metod i technik włamywania się do witryn. A jeśli zarządzasz poufnymi informacjami, nie ma wymówki, aby uniknąć dodatkowych kroków w celu zapewnienia ochrony na poziomie branżowym.
Takie jest założenie Rublona, zaawansowanego i wyrafinowanego rozwiązania uwierzytelniania dwuskładnikowego. Możesz skonfigurować wiele metod weryfikacji, takich jak otrzymanie linku wysłanego na Twój e-mail w celu potwierdzenia. Rublon zapisze informacje o Twoim urządzeniu i umożliwi Ci zalogowanie się na nich wyłącznie hasłem.
Dodatkowo możesz korzystać z aplikacji Rublon, aby mieć przy sobie zabezpieczenia witryny, gdziekolwiek jesteś. Zaloguj się przy użyciu domyślnej nazwy użytkownika/hasła i zweryfikuj swoją tożsamość, skanując kod QR telefonem.
Najlepsze jest to, że możesz zainstalować tę wtyczkę i zapomnieć o niej. Żadnych męczących krzywych uczenia się ani skomplikowanych funkcji, tylko proste zabezpieczenie 2FA dla witryn WordPress.
7. SecSign
SecSign zapewnia uniwersalne mobilne uwierzytelnianie 2FA dla witryn WordPress. Wtyczka wykorzystuje najnowocześniejsze metody szyfrowania, aby zapewnić ochronę przed atakami brute-force.
Co więcej, klucze prywatne generowane przez SecSign nigdy nie są połączone z zewnętrznym serwerem. Zamiast tego klucze są tworzone bezpośrednio przez aplikację mobilną i jesteś jedyną osobą, która je widzi.
Podstawowa różnica między tą a innymi wtyczkami w tym podsumowaniu polega na tym, że SecSign używa swojej osobistej platformy ID: SecSign ID. Oznacza to, że w ogóle nie będziesz używać swoich danych logowania do WordPressa. Możesz raczej użyć SecSign Portal do wygenerowania unikalnych nazw ID dla każdego z Twoich użytkowników.
W rezultacie możesz skorzystać z metod weryfikacji, takich jak odcisk palca (dla użytkowników Apple) i mniej skomplikowanych technik, takich jak wybór niestandardowego obrazu.
Której wtyczki uwierzytelniania dwuskładnikowego należy użyć?
Wybór najlepszej wtyczki do uwierzytelniania dwuskładnikowego WordPress naprawdę zależy od dwóch głównych rzeczy:
- Metody uwierzytelniania dwuskładnikowego, których chcesz użyć. Np. fizyczne klucze FIDO a aplikacje TOTP na smartfony.
- Ile elastyczności potrzebujesz, aby wymusić uwierzytelnianie dwuskładnikowe na różnych typach użytkowników.
Oczywiście w grę może wchodzić również Twój budżet.
Jeśli chcesz po prostu chronić własne konto WordPress, wtyczka Two-Factor jest świetnym miejscem do rozpoczęcia, ponieważ obsługuje wiele różnych metod i jest łatwa w użyciu.
Z drugiej strony możesz rozważyć WP 2FA lub uwierzytelnianie dwuskładnikowe, jeśli pasujesz do jednej lub więcej z następujących sytuacji:
- Chcesz wymusić uwierzytelnianie dwuskładnikowe dla innych użytkowników w swojej witrynie, w tym być może mieć różne reguły dla różnych typów użytkowników. Na przykład może być wymagany dwuczynnikowy dla ról użytkownika edytującego, ale nie dla ról użytkownika subskrybującego.
- Chcesz używać SMS-ów lub połączeń telefonicznych jako metody uwierzytelniania.
WP 2FA może obsłużyć obie te rzeczy, co czyni go świetną opcją wszechstronną. Uwierzytelnianie dwuskładnikowe dobrze radzi sobie z konfigurowaniem zasad dla różnych typów użytkowników, ale nie obsługuje SMS-ów ani połączeń telefonicznych jako metody dwuskładnikowej.
Zawijanie
Nie możesz wycenić bezpieczeństwa danych. Narażenie na ataki może uszkodzić tożsamość Twojej marki, zmniejszyć zaufanie użytkowników do Twoich produktów lub usług oraz spowodować ból głowy i utratę czasu w przypadku zhakowania Twojej witryny. Chociaż nie można zagwarantować 100% bezpieczeństwa, uwierzytelnianie dwuskładnikowe jest jedną z najlepszych dostępnych technik zapobiegania nieautoryzowanemu dostępowi do witryny.
Wtyczki, które omówiliśmy w tym poście, są niezwykle szybkie w instalacji i bezboleśnie proste w konfiguracji. Nawet jeśli nie podoba Ci się pomysł korzystania z aplikacji mobilnej, używanie telefonu do weryfikacji dostępu do witryny lub przechowywanie unikalnego kodu w bezpiecznym miejscu jest lepsze niż poleganie tylko na jednym haśle.
Aby uzyskać więcej informacji na temat najlepszych praktyk w zakresie bezpieczeństwa, nie przegap 14 sposobów zabezpieczenia witryny WordPress – krok po kroku i 10 wtyczek zwiększających bezpieczeństwo WordPress.