7 лучших плагинов двухфакторной аутентификации WordPress: безопасный вход

Опубликовано: 2022-11-08

Легко упустить из виду важность использования надежных и безопасных паролей для ваших веб-сайтов и приложений. В эпоху крупных утечек данных, когда проверка того, были ли вы взломаны, стала необходимостью, никто не может заявить, что он свободен от потенциально далеко идущих рисков безопасности.

Совсем недавно одна из крупнейших социальных платформ Quota была скомпрометирована злоумышленниками. Результат? Личная информация более 100 миллионов пользователей была раскрыта. Имена, адреса электронной почты, пароли (зашифрованные) и другая конфиденциальная информация были доступны стороне за пределами Quora.

Может показаться, что такая атака не имеет ничего общего с вами лично, но если вы когда-либо подписывались на Quora, вы подвергаетесь риску компрометации других ваших учетных записей.

Другие крупные нарушения в последнее время включают Adobe, LinkedIn, и совсем недавно хакеры нашли способ использовать один из самых популярных плагинов WordPress GDPR.

Именно здесь в WordPress вступает в игру 2FA (двухфакторная аутентификация). В отличие от традиционных страниц, защищенных паролем, 2FA представляет второй уровень проверки личности, который может защитить веб-сайты WordPress.

В этом посте мы покажем семь лучших плагинов двухфакторной аутентификации WordPress для защиты вашего сайта.

  1. Двухфакторный
  2. WP 2ФА
  3. Двухфакторная аутентификация
  4. миниоранжевый 2FA
  5. Двухфакторная аутентификация Duo
  6. Рублон
  7. SecSign

Что такое двухфакторная аутентификация WordPress (2FA)?

Вы когда-нибудь забывали свой пароль на таких сайтах, как Google или Amazon? Когда вы пытались сбросить его, вас попросили дважды подтвердить свою личность, используя запоминающуюся фразу или отправив пин-код на свой мобильный телефон. Это базовая реализация двухфакторной проверки.

Что такое двухфакторная аутентификация

Базовый в том смысле, что вам нужно дважды подтвердить свою личность только после того, как вы потеряли доступ к своей учетной записи.

Более надежный и безопасный подход заключается в том, чтобы гарантировать, что каждая попытка входа защищена двухфакторной проверкой.

Наиболее популярные методы, используемые для двухфакторной аутентификации, включают внешние адреса электронной почты, использование мобильного приложения, такого как Google Authenticator или Authy, для доступа к коду безопасности (TOTP или HOTP), аппаратные токены (например, YubiKey), использующие такие протоколы, как FIDO, SMS или телефонные звонки, а также запоминающиеся фразы в дополнение к паролю.

Экран входа в WordPress

К счастью, существует достаточное количество доступных плагинов WordPress, которые обеспечивают решения для двухфакторной аутентификации. Некоторые подключаемые пользовательские службы, такие как Google Authentication или Authy, в то время как другие реализуют совершенно другие методы, такие как проверка электронной почты и настраиваемые push-уведомления.

Семь лучших плагинов двухфакторной аутентификации WordPress

1. Двухфакторный

Двухфакторный плагин

Two-Factor — это 100% бесплатный плагин для двухфакторной аутентификации, созданный рядом известных разработчиков ядра WordPress.

Помимо того, что он бесплатный, его выдающаяся особенность заключается в том, что он поддерживает ряд различных методов аутентификации, включая:

  • Коды электронной почты
  • TOTP — работает с любым приложением аутентификации, таким как Google Authenticator.
  • FIDO Universal 2nd Factor (U2F) — позволяет людям использовать физические ключи безопасности, такие как YubiKey.
  • Резервные коды

Основные недостатки плагина следующие:

  1. Хотя он отлично подходит для защиты вашей собственной учетной записи, он не предлагает столько возможностей для принудительной двухфакторной аутентификации для разных типов пользователей на вашем сайте.
  2. Он не предлагает никаких интеграций для текстовой аутентификации.

В целом, если вы просто хотите защитить свою собственную учетную запись WordPress (плюс, возможно, учетные записи нескольких участников), этот 100% бесплатный вариант — отличное место для начала.

2. WP 2FA

Плагин WP 2ФА

WP 2FA — популярный плагин двухфакторной аутентификации WordPress от WP White Security, той же команды, что и ряд известных инструментов безопасности. В частности, плагин WP Activity Log.

WP 2FA позволяет настроить двухфакторную аутентификацию различными способами в бесплатной и платной версиях.

Бесплатная версия поддерживает любое популярное приложение для проверки подлинности, например Google Authenticator или Authy. Платная версия предлагает более продвинутую интеграцию Authy, которая поддерживает двухфакторную связь через SMS, push-уведомления, WhatsApp и входящий вызов.

Он также поддерживает одноразовые резервные коды на случай, если пользователи потеряют доступ к своему методу.

Вы также можете настроить настраиваемые двухфакторные политики, что является одной большой областью, в которой он превосходит предыдущий плагин. Например, вы можете заставить определенные роли пользователей использовать двухфакторную аутентификацию, а для других сделать ее необязательной.

Вы также можете получить доступ к другим полезным функциям, таким как доверенные устройства, регистрация пользователей с двухфакторной настройкой и многое другое.

На WordPress.org есть функциональная бесплатная версия, а платная версия стоит всего 29 долларов.

3. Двухфакторная аутентификация

Плагин двухфакторной аутентификации

Двухфакторная аутентификация — это бесплатный плагин от тех же разработчиков, что и популярный плагин резервного копирования UpdraftPlus.

Он поддерживает методы TOTP и HOTP, что позволяет использовать любое приложение для проверки подлинности, например Google Authenticator или Authy.

Премиум-версия также добавляет аварийные резервные коды на случай, если пользователь потеряет доступ к устройству.

Одна из областей, в которых этот плагин превосходит надстройку Two-Factor, описанную выше, — это когда дело доходит до настройки политик и управления различными типами пользователей. Вот некоторые примеры:

  • Включить/отключить два фактора для разных ролей пользователей. Например, требовать его для администраторов, но не для подписчиков.
  • Включить/отключить два фактора для определенных ролей пользователей.
  • Управляйте двухфакторным доступом других пользователей из своей учетной записи администратора.
  • Разрешите доверенные устройства, чтобы пользователям не нужно было проверять одно и то же устройство в течение определенного периода времени (например, 30 дней).

Он также имеет некоторые другие приятные функции, такие как возможность для пользователей управлять двумя факторами из внешнего интерфейса.

Тем не менее, он немного ограничен в своих двухфакторных методах — нет возможности использовать аппаратные ключи, электронную почту или SMS / телефонные звонки.

На WordPress.org есть функциональная бесплатная версия, а платная версия стоит всего ~ 24 доллара.

4. миниоранжевый 2FA

миниоранжевый 2FA

Решения для бесшовной аутентификации miniOrange для защиты конфиденциальных данных. Плагин WordPress компании создан для обеспечения простой интеграции со службой Google Authenticator. Тем не менее, вы можете использовать дополнительные методы аутентификации, такие как сканируемые QR-коды, push-уведомления, программные токены и контрольные вопросы.

методы аутентификации miniOrange

После активации плагина вы можете перейти к панели управления miniOrange и начать настройку предпочтительного метода проверки подлинности. Интуитивно понятный дизайн интерфейса позволяет легко и быстро выбрать решение, которое вам подходит.

Важно отметить, что miniOrange требует от вас установки их мобильного приложения, если вы хотите использовать более надежные методы проверки, такие как push-уведомления и QR-коды.

Бесплатная версия ограничивает 2FA до одного пользователя на сайт. Если вы хотите включить 2FA для более чем одного пользователя, вам придется рассмотреть платный вариант. Преимущество использования премиум-версии в том, что вы можете включить дополнительные методы аутентификации. В частности, подтверждение по SMS и электронной почте.

Если вы ведете небольшой блог и являетесь единственным активным администратором, бесплатной версии должно быть более чем достаточно, чтобы обеспечить адекватную защиту безопасности вашего сайта.

5. Двухфакторная аутентификация Duo

Двухфакторная аутентификация Duo

Duo — это надежный плагин «2FA как услуга», который помогает защитить вашу учетную запись WordPress. Простой процесс регистрации занимает всего несколько минут.

После того, как вы закончите настройку плагина, на ваш сайт WordPress будет добавлен еще один уровень безопасности.

Безопасный вход в систему Duo

Как вы можете видеть выше, после того, как пользователи войдут в систему, используя свои учетные данные WordPress по умолчанию, им будет предложено дважды подтвердить свою личность, используя любой из выбранных вами методов аутентификации Duo.

Полный список методов аутентификации, предоставляемых Duo, включает:

  • Вход в систему одним касанием с помощью приложения Duo позволяет быстро и легко подтвердить свою личность.
  • Пользовательский код доступа, сгенерированный из приложения. Работает и в автономном режиме.
  • Пользовательский пароль, отправленный на ваш номер телефона с помощью SMS. Опять же, отлично подходит, когда у вас нет доступа к Интернету.
  • Простой обратный звонок как на стационарные, так и на мобильные телефоны.

Если вы хотите быть спокойным, когда речь заходит о безопасности вашего сайта WordPress (в дополнение к резервной копии), то Duo — один из самых удобных вариантов.

6. Рублон

Плагин двухфакторной аутентификации Rublon

Общеизвестно, что хакеры всегда пробуют новые методы и приемы взлома сайтов. И если вы управляете конфиденциальной информацией, нет никаких оправданий тому, чтобы не делать все возможное, чтобы обеспечить защиту на отраслевом уровне.

Это предпосылка Rublon, передового и сложного решения для двухфакторной аутентификации. Вы можете настроить многочисленные методы проверки, такие как получение ссылки на вашу электронную почту для подтверждения. Rublon сохранит информацию о вашем устройстве и позволит вам войти в систему, используя только пароль на нем.

Кроме того, вы можете использовать приложение Rublon, чтобы обеспечить безопасность вашего сайта, куда бы вы ни пошли. Войдите в систему, используя имя пользователя/пароль по умолчанию, и подтвердите свою личность, отсканировав QR-код с помощью телефона.

2FAS Двухфакторная аутентификация

Самое приятное то, что вы можете установить этот плагин и забыть о нем. Никаких напряженных кривых обучения или сложных функций, только простая безопасность 2FA для сайтов WordPress.

7. Знак безопасности

Безопасность SecSign

SecSign предоставляет универсальную мобильную аутентификацию 2FA для сайтов WordPress. Плагин использует современные методы шифрования для обеспечения защиты от грубой силы.

Кроме того, закрытые ключи, сгенерированные SecSign, никогда не подключаются к внешнему серверу. Вместо этого ключи создаются непосредственно мобильным приложением, и вы единственный, кто их видит.

Основное различие между этим и другими плагинами в этом обзоре заключается в том, что SecSign использует свою персональную платформу ID: SecSign ID. Это означает, что вы вообще не будете использовать свои учетные данные WordPress. Вместо этого вы можете использовать портал SecSign для создания уникальных идентификаторов для каждого из ваших пользователей.

В результате вы можете воспользоваться методами проверки, такими как отпечаток пальца (для пользователей Apple), и менее сложными методами, такими как выбор пользовательского изображения.

Какой плагин двухфакторной аутентификации следует использовать?

Выбор лучшего плагина для двухфакторной аутентификации WordPress действительно зависит от двух основных моментов:

  1. Методы двухфакторной аутентификации, которые вы хотите использовать. Например, физические ключи FIDO и приложения для смартфонов TOTP.
  2. Какая гибкость вам нужна для принудительной двухфакторной аутентификации для разных типов пользователей.

Конечно, ваш бюджет также может сыграть роль.

Если вы просто хотите защитить свою учетную запись WordPress, плагин Two-Factor — отличное место для начала, поскольку он поддерживает ряд различных методов и прост в использовании.

С другой стороны, вы можете рассмотреть WP 2FA или двухфакторную аутентификацию, если вы подходите к одной или нескольким из следующих ситуаций:

  1. Вы хотите применить двухфакторную аутентификацию для других пользователей на вашем сайте, включая, возможно, разные правила для разных типов пользователей. Например, вам может потребоваться двухфакторная обработка для ролей пользователей-редакторов, но не для ролей пользователей-подписчиков.
  2. Вы хотите использовать SMS или телефонные звонки в качестве метода аутентификации.

WP 2FA может справиться с обеими этими вещами, что делает его отличным универсальным вариантом. Двухфакторная аутентификация хорошо справляется с настройкой политик для разных типов пользователей, но не поддерживает SMS или телефонные звонки в качестве двухфакторного метода.

Подведение итогов

Вы не можете оценить безопасность данных. Подверженность атакам может нанести ущерб вашему бренду, снизить доверие пользователей к вашему продукту или услугам, а также вызвать головную боль и потерю времени в случае взлома вашего сайта. Хотя 100%-ная безопасность не может быть гарантирована, двухфакторная аутентификация является одним из лучших методов предотвращения несанкционированного доступа к сайту.

Плагины, которые мы рассмотрели в этом посте, невероятно быстро устанавливаются и безболезненно просты в настройке. Даже если вам не нравится идея использовать мобильное приложение, использование телефона для проверки доступа к вашему сайту или хранение уникального кода в безопасном месте лучше, чем полагаться только на один пароль.

Чтобы узнать больше о передовых методах обеспечения безопасности, не пропустите 14 способов обезопасить свой сайт WordPress — шаг за шагом и 10 плагинов для повышения безопасности WordPress.