• โฮมเพจ
  • บทความ
  • บล็อก
  • 7 ปลั๊กอินการตรวจสอบสิทธิ์ WordPress สองปัจจัยที่ดีที่สุด: การเข้าสู่ระบบที่ปลอดภัย

7 ปลั๊กอินการตรวจสอบสิทธิ์ WordPress สองปัจจัยที่ดีที่สุด: การเข้าสู่ระบบที่ปลอดภัย

เผยแพร่แล้ว: 2022-11-08

ง่ายที่จะมองข้ามความสำคัญของการใช้รหัสผ่านที่รัดกุมและปลอดภัยสำหรับเว็บไซต์และแอปพลิเคชันของคุณ ในยุคที่ข้อมูลรั่วไหลครั้งใหญ่ ซึ่งการตรวจสอบว่าคุณเคยถูกขโมยมากลายเป็นสิ่งจำเป็นหรือไม่ ไม่มีใครสามารถรับรองได้ว่าพวกเขาได้รับการยกเว้นจากความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นในวงกว้าง

ล่าสุด หนึ่งในแพลตฟอร์มโซเชียลที่ใหญ่ที่สุด โควต้า ถูกแฮ็กเกอร์ที่เป็นอันตราย ผลลัพธ์? ผู้ใช้มากกว่า 100 ล้านคนถูกเปิดเผยข้อมูลส่วนบุคคล บุคคลภายนอก Quora ได้เข้าถึงชื่อ อีเมล รหัสผ่าน (เข้ารหัส) และข้อมูลละเอียดอ่อนอื่นๆ

การโจมตีประเภทนี้อาจดูเหมือนไม่เกี่ยวข้องกับคุณเป็นการส่วนตัว แต่ถ้าคุณเคยลงทะเบียนกับ Quora คุณจะเสี่ยงต่อการที่บัญชีอื่น ๆ ของคุณถูกบุกรุกเช่นกัน

การละเมิดที่สำคัญอื่นๆ ในครั้งล่าสุด ได้แก่ Adobe, LinkedIn และล่าสุด แฮกเกอร์พบวิธีใช้ประโยชน์จากปลั๊กอิน WordPress GDPR ที่ได้รับความนิยมมากที่สุดตัวหนึ่ง

นี่คือที่มาของ 2FA (การตรวจสอบสิทธิ์สองปัจจัย) สำหรับ WordPress ต่างจากหน้าที่มีการป้องกันด้วยรหัสผ่านแบบดั้งเดิม 2FA นำเสนอการยืนยันตัวตนชั้นที่สองที่สามารถปกป้องเว็บไซต์ WordPress ได้

ในโพสต์นี้ เราแสดงปลั๊กอินการตรวจสอบสิทธิ์สองปัจจัยของ WordPress ที่ดีที่สุดเจ็ดประการเพื่อปกป้องไซต์ของคุณ

  1. สองปัจจัย
  2. WP 2FA
  3. การรับรองความถูกต้องด้วยสองปัจจัย
  4. miniOrange 2FA
  5. การตรวจสอบสิทธิ์ Duo Two-Factor
  6. Rublon
  7. SecSign

การรับรองความถูกต้องของ WordPress สองปัจจัย (2FA) คืออะไร?

คุณเคยลืมรหัสผ่านบนไซต์เช่น Google หรือ Amazon มาก่อนหรือไม่? เมื่อคุณพยายามรีเซ็ต ระบบจะขอให้คุณยืนยันตัวตนของคุณอีกครั้งโดยใช้วลีที่น่าจดจำ หรือโดยให้ส่งรหัส PIN ไปยังโทรศัพท์มือถือของคุณ นี่คือการดำเนินการพื้นฐานของการตรวจสอบสองปัจจัย

การตรวจสอบสิทธิ์แบบสองปัจจัยคืออะไร

โดยพื้นฐานแล้ว คุณจำเป็นต้องยืนยันตัวตนของคุณเป็นสองเท่าเท่านั้นหลังจากที่คุณสูญเสียการเข้าถึงบัญชีของคุณ

แนวทางที่แข็งแกร่งและปลอดภัยยิ่งขึ้นคือการทำให้แน่ใจว่า ทุก ความพยายามในการเข้าสู่ระบบได้รับการปกป้องโดยการยืนยันแบบสองปัจจัย

วิธีการที่ได้รับความนิยมมากที่สุดสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย ได้แก่ ที่อยู่อีเมลภายนอก โดยใช้แอปโทรศัพท์มือถือเช่น Google Authenticator หรือ Authy เพื่อเข้าถึงรหัสความปลอดภัย (TOTP หรือ HOTP) โทเค็นที่ใช้ฮาร์ดแวร์ (เช่น YubiKey) ที่ใช้โปรโตคอลเช่น FIDO SMS หรือโทรศัพท์และวลีที่น่าจดจำนอกเหนือจากรหัสผ่าน

หน้าจอเข้าสู่ระบบ WordPress

โชคดีที่มีปลั๊กอิน WordPress จำนวนมากที่ให้บริการโซลูชั่นการตรวจสอบสิทธิ์แบบสองปัจจัย บริการผู้ใช้ปลั๊กอินบางตัว เช่น Google Authentication หรือ Authy ในขณะที่บางตัวใช้วิธีการที่แตกต่างกันโดยสิ้นเชิง เช่น การยืนยันอีเมลและการแจ้งเตือนแบบพุชที่กำหนดเอง

ปลั๊กอินการตรวจสอบสิทธิ์สองปัจจัย WordPress ที่ดีที่สุดเจ็ดประการ

1. สองปัจจัย

ปลั๊กอินสองปัจจัย

Two-Factor เป็นปลั๊กอินการตรวจสอบสิทธิ์แบบสองปัจจัยฟรี 100% ที่มาจากผู้สนับสนุนหลักของ WordPress ที่มีชื่อเสียงจำนวนหนึ่ง

นอกเหนือจากการให้บริการฟรีแล้ว ฟีเจอร์ที่โดดเด่นของมันคือรองรับวิธีการตรวจสอบสิทธิ์ต่างๆ มากมาย รวมถึง:

  • รหัสอีเมล
  • TOTP – ใช้งานได้กับแอปรับรองความถูกต้องใดๆ เช่น Google Authenticator
  • FIDO Universal 2nd Factor (U2F) – ให้ผู้คนใช้คีย์ความปลอดภัยทางกายภาพ เช่น YubiKey
  • รหัสสำรอง

ข้อเสียหลักของปลั๊กอินมีดังนี้:

  1. แม้ว่าจะเป็นการดีสำหรับการรักษาความปลอดภัยให้กับบัญชีของคุณ แต่ก็ไม่ได้มีตัวเลือกมากมายสำหรับการบังคับใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ประเภทต่างๆ บนไซต์ของคุณ
  2. ไม่มีการผสานรวมสำหรับการตรวจสอบสิทธิ์แบบข้อความ

โดยรวมแล้ว หากคุณต้องการรักษาความปลอดภัยให้กับบัญชี WordPress ของคุณเอง (รวมถึงบัญชีของผู้มีส่วนร่วมเพียงไม่กี่คน) ตัวเลือกฟรี 100% นี้เป็นจุดเริ่มต้นที่ดี

2. WP 2FA

ปลั๊กอิน WP 2FA

WP 2FA เป็นปลั๊กอินการตรวจสอบสิทธิ์สองปัจจัยของ WordPress ยอดนิยมจาก WP White Security ซึ่งเป็นทีมเดียวกันที่อยู่เบื้องหลังเครื่องมือรักษาความปลอดภัยที่รู้จักกันดีจำนวนหนึ่ง ที่สะดุดตาที่สุดคือปลั๊กอินบันทึกกิจกรรม WP

WP 2FA ให้คุณตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัยผ่านวิธีการที่หลากหลาย ทั้งเวอร์ชันฟรีและจ่ายเงิน

เวอร์ชันฟรีรองรับแอปรับรองความถูกต้องยอดนิยม เช่น Google Authenticator หรือ Authy รุ่นที่ต้องชำระเงินมีการผสานรวม Authy ขั้นสูงที่รองรับสองปัจจัยผ่าน SMS, การแจ้งเตือนแบบพุช, WhatsApp และสายเรียกเข้า

นอกจากนี้ยังรองรับรหัสสำรองแบบใช้ครั้งเดียวในกรณีที่ผู้ใช้ไม่สามารถเข้าถึงวิธีการของตนได้

คุณยังสามารถตั้งค่านโยบายสองปัจจัยที่ปรับแต่งได้ ซึ่งเป็นพื้นที่ขนาดใหญ่ที่เหนือชั้นกว่าปลั๊กอินก่อนหน้า ตัวอย่างเช่น คุณสามารถบังคับให้บทบาทของผู้ใช้บางบทบาทใช้สองปัจจัยในขณะที่ทำให้เป็นทางเลือกสำหรับผู้อื่น

คุณยังสามารถเข้าถึงคุณสมบัติที่มีประโยชน์อื่นๆ เช่น อุปกรณ์ที่เชื่อถือได้ การเริ่มต้นใช้งานของผู้ใช้ด้วยการตั้งค่าสองปัจจัย และอื่นๆ

มีเวอร์ชันใช้งานฟรีที่ WordPress.org และเวอร์ชันที่ต้องชำระเงินเริ่มต้นเพียง $29

3. การรับรองความถูกต้องด้วยสองปัจจัย

ปลั๊กอินการตรวจสอบสิทธิ์สองปัจจัย

การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นปลั๊กอิน freemium จากผู้พัฒนาเดียวกันกับปลั๊กอินสำรอง UpdraftPlus ยอดนิยม

รองรับวิธีการ TOTP และ HOTP ซึ่งช่วยให้คุณใช้แอปรับรองความถูกต้องใดๆ เช่น Google Authenticator หรือ Authy

รุ่นพรีเมี่ยมยังเพิ่มรหัสสำรองฉุกเฉินในกรณีที่ผู้ใช้ไม่สามารถเข้าถึงอุปกรณ์ได้

ประเด็นหนึ่งที่ปลั๊กอินนี้มีความโดดเด่นเหนือปลั๊กอินสองปัจจัยด้านบนคือเมื่อต้องตั้งค่านโยบายและจัดการผู้ใช้ประเภทต่างๆ นี่คือตัวอย่างบางส่วน:

  • เปิด/ปิด 2 ปัจจัยสำหรับบทบาทผู้ใช้ที่แตกต่างกัน ตัวอย่างเช่น ต้องการสำหรับผู้ดูแลระบบ แต่ไม่ใช่สำหรับสมาชิก
  • เปิด/ปิดใช้งานสองปัจจัยสำหรับบทบาทของผู้ใช้เฉพาะ
  • จัดการสองปัจจัยของผู้ใช้รายอื่นจากบัญชีผู้ดูแลระบบของคุณ
  • อนุญาตอุปกรณ์ที่เชื่อถือได้เพื่อให้ผู้ใช้ไม่ต้องตรวจสอบอุปกรณ์เดียวกันในช่วงระยะเวลาหนึ่ง (เช่น 30 วัน)

นอกจากนี้ยังมีคุณสมบัติที่ดีอื่นๆ เช่น ตัวเลือกให้ผู้ใช้จัดการสองปัจจัยจากส่วนหน้า

อย่างไรก็ตาม มีข้อจำกัดเล็กน้อยในวิธีการสองปัจจัย – ไม่มีตัวเลือกให้ใช้คีย์ฮาร์ดแวร์ อีเมล หรือ SMS/โทรศัพท์

มีเวอร์ชันใช้งานฟรีที่ WordPress.org และเวอร์ชันที่ต้องชำระเงินเริ่มต้นเพียง ~ 24 เหรียญ

4. มินิออเรนจ์ 2FA

miniOrange 2FA

โซลูชันการรับรองความถูกต้องแบบไร้รอยต่อของ miniOrange เพื่อป้องกันการเปิดเผยข้อมูลที่ละเอียดอ่อน ปลั๊กอิน WordPress ของบริษัทสร้างขึ้นเพื่อให้ผสานรวมกับบริการ Google Authenticator ได้อย่างง่ายดาย อย่างไรก็ตาม คุณสามารถใช้วิธีการตรวจสอบสิทธิ์เพิ่มเติม เช่น โค้ด QR ที่สแกนได้ การแจ้งเตือนแบบพุช ซอฟต์โทเค็น และคำถามเพื่อความปลอดภัย

วิธีการตรวจสอบสิทธิ์ miniOrange

เมื่อเปิดใช้งานปลั๊กอิน คุณสามารถตรงไปที่ miniOrange Dashboard และเริ่มกำหนดค่าวิธีการยืนยันตัวตนที่คุณต้องการ การออกแบบอินเทอร์เฟซที่ใช้งานง่ายทำให้ง่ายต่อการเลือกโซลูชันที่เหมาะสมกับคุณอย่างรวดเร็ว

สิ่งสำคัญที่ควรทราบคือ miniOrange ต้องการให้คุณติดตั้งแอปพลิเคชันมือถือหากคุณต้องการใช้เทคนิคการตรวจสอบที่มีประสิทธิภาพมากขึ้น เช่น การแจ้งเตือนแบบพุชและรหัส QR

เวอร์ชันฟรีจำกัด 2FA สำหรับผู้ใช้เพียงรายเดียวต่อไซต์ หากคุณต้องการเปิดใช้งาน 2FA สำหรับผู้ใช้มากกว่าหนึ่งราย คุณจะต้องพิจารณาตัวเลือกแบบชำระเงิน ข้อดีของการใช้เวอร์ชันพรีเมียมคือคุณสามารถเปิดใช้งานวิธีการตรวจสอบสิทธิ์เพิ่มเติมได้ โดยเฉพาะการยืนยันทาง SMS และอีเมล

หากคุณใช้บล็อกที่มีขนาดเล็กกว่า และคุณเป็นผู้ดูแลระบบเพียงคนเดียวที่ใช้งานได้ เวอร์ชันฟรีก็ควรมีมากเกินพอที่จะให้การป้องกันความปลอดภัยของไซต์ของคุณอย่างเพียงพอ

5. การตรวจสอบสิทธิ์แบบสองปัจจัย Duo

การตรวจสอบสิทธิ์ Duo สองปัจจัย

Duo เป็นปลั๊กอิน "2FA as a Service" ที่ทนทานเพื่อช่วยปกป้องความปลอดภัยของบัญชี WordPress ของคุณ กระบวนการเริ่มต้นที่ตรงไปตรงมาใช้เวลาเพียงไม่กี่นาทีในการกำหนดค่า

หลังจากที่คุณกำหนดค่าปลั๊กอินเสร็จแล้ว ความปลอดภัยอีกชั้นหนึ่งจะถูกเพิ่มลงในไซต์ WordPress ของคุณ

เข้าสู่ระบบ Duo Secure

ดังที่คุณเห็นด้านบน หลังจากที่ผู้ใช้เข้าสู่ระบบโดยใช้ข้อมูลรับรอง WordPress เริ่มต้น พวกเขาจะถูกขอให้ยืนยันตัวตนซ้ำอีกครั้งโดยใช้วิธีการตรวจสอบสิทธิ์ Duo ที่คุณเลือก

รายการวิธีการตรวจสอบสิทธิ์ทั้งหมดที่มีให้โดย Duo รวมถึง:

  • แตะครั้งเดียวเพื่อเข้าสู่ระบบโดยใช้แอป Duo ทำให้พิสูจน์ตัวตนได้อย่างรวดเร็วและง่ายดาย
  • รหัสผ่านที่กำหนดเองที่สร้างจากแอปพลิเคชัน ทำงานในโหมดออฟไลน์เช่นกัน
  • รหัสผ่านที่กำหนดเองที่ส่งไปยังหมายเลขโทรศัพท์ของคุณโดยใช้ SMS อีกครั้งที่ดีเมื่อคุณไม่มีอินเทอร์เน็ต
  • โทรกลับง่ายๆ ทั้งเบอร์โทรศัพท์บ้านและมือถือ

หากคุณต้องการสบายใจในเรื่องความปลอดภัยของเว็บไซต์ WordPress ของคุณ (นอกเหนือจากการสำรองข้อมูล) Duo คือหนึ่งในตัวเลือกที่ใช้งานง่ายที่สุด

6. Rublon

ปลั๊กอินตรวจสอบสิทธิ์ Rublon สองปัจจัย

เป็นที่ทราบกันดีอยู่แล้วว่าแฮกเกอร์มักจะลองใช้วิธีการและเทคนิคใหม่ๆ ในการเจาะเข้าไปในเว็บไซต์ และหากคุณจัดการข้อมูลที่ละเอียดอ่อน ก็ไม่มีข้อแก้ตัวใด ๆ ที่จะหลีกเลี่ยงความพยายามพิเศษเพื่อให้แน่ใจว่ามีการป้องกันระดับอุตสาหกรรม

นี่คือหลักฐานของ Rublon ซึ่งเป็นโซลูชันการตรวจสอบสิทธิ์แบบสองปัจจัยขั้นสูงและซับซ้อน คุณสามารถกำหนดค่าวิธีการตรวจสอบได้มากมาย เช่น รับลิงก์ที่ส่งไปยังอีเมลของคุณเพื่อยืนยัน Rublon จะบันทึกข้อมูลอุปกรณ์ของคุณและอนุญาตให้คุณเข้าสู่ระบบโดยใช้รหัสผ่านเท่านั้น

นอกจากนี้ คุณยังสามารถใช้แอป Rublon เพื่อนำการรักษาความปลอดภัยของไซต์ติดตัวไปได้ทุกที่ ลงชื่อเข้าใช้โดยใช้ชื่อผู้ใช้/รหัสผ่านเริ่มต้นของคุณ และยืนยันตัวตนของคุณโดยการสแกนรหัส QR โดยใช้โทรศัพท์ของคุณ

2FAS การรับรองความถูกต้องด้วยสองปัจจัย

ส่วนที่ดีที่สุดคือคุณสามารถติดตั้งปลั๊กอินนี้และลืมมันไปได้เลย ไม่มีเส้นโค้งการเรียนรู้ที่มีพลังหรือคุณสมบัติที่ซับซ้อน เพียงแค่การรักษาความปลอดภัย 2FA อย่างง่ายสำหรับไซต์ WordPress

7. SecSign

การรักษาความปลอดภัย SecSign

SecSign มอบประสบการณ์การรับรองความถูกต้อง 2FA บนมือถือสำหรับไซต์ WordPress ปลั๊กอินใช้วิธีการเข้ารหัสที่ทันสมัยเพื่อให้แน่ใจว่ามีการป้องกันกำลังดุร้าย

นอกจากนี้ คีย์ส่วนตัวที่สร้างโดย SecSign จะไม่เชื่อมต่อกับเซิร์ฟเวอร์ภายนอก แอปมือถือสร้างคีย์โดยตรงแทน และคุณเป็นคนเดียวที่จะเห็นคีย์เหล่านั้น

ความแตกต่างหลักระหว่างสิ่งนี้กับปลั๊กอินอื่น ๆ ในบทสรุปนี้คือ SecSign ใช้แพลตฟอร์ม ID ส่วนตัว: SecSign ID ซึ่งหมายความว่าคุณจะไม่ใช้ข้อมูลรับรอง WordPress ของคุณเลย แต่คุณสามารถใช้ SecSign Portal เพื่อสร้างชื่อ ID ที่ไม่ซ้ำกันสำหรับผู้ใช้แต่ละรายของคุณ

ด้วยเหตุนี้ คุณสามารถใช้ประโยชน์จากวิธีการตรวจสอบ เช่น ลายนิ้วมือ (สำหรับผู้ใช้ Apple) และเทคนิคที่ซับซ้อนน้อยกว่า เช่น การเลือกรูปภาพที่กำหนดเอง

คุณควรใช้ปลั๊กอินการตรวจสอบสิทธิ์แบบสองปัจจัยใด

การเลือกปลั๊กอินการตรวจสอบสิทธิ์สองปัจจัยของ WordPress ที่ดีที่สุดนั้นขึ้นอยู่กับสองสิ่งหลัก:

  1. วิธีการตรวจสอบสิทธิ์แบบสองปัจจัยที่คุณต้องการใช้ เช่น คีย์ FIDO จริงกับแอปสมาร์ทโฟน TOTP
  2. คุณต้องมีความยืดหยุ่นมากน้อยเพียงใดในการบังคับใช้การตรวจสอบสิทธิ์แบบสองปัจจัยกับผู้ใช้ประเภทต่างๆ

แน่นอน งบประมาณของคุณก็อาจเข้ามาเกี่ยวข้องด้วย

หากคุณต้องการปกป้องบัญชี WordPress ของคุณเอง ปลั๊กอิน Two-Factor เป็นจุดเริ่มต้นที่ดี เนื่องจากสนับสนุนวิธีการต่างๆ ที่หลากหลายและใช้งานง่าย

ในทางกลับกัน คุณอาจต้องการพิจารณา WP 2FA หรือ Two Factor Authentication หากคุณเหมาะสมกับสถานการณ์ต่อไปนี้อย่างน้อยหนึ่งสถานการณ์:

  1. คุณต้องการบังคับใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้รายอื่นในไซต์ของคุณ รวมถึงอาจมีกฎเกณฑ์ที่แตกต่างกันสำหรับผู้ใช้ประเภทต่างๆ ตัวอย่างเช่น คุณอาจต้องใช้สองปัจจัยสำหรับบทบาทผู้ใช้ Editor แต่ไม่ใช่สำหรับบทบาทผู้ใช้แบบ Subscriber
  2. คุณต้องการใช้ SMS หรือการโทรเป็นวิธีการตรวจสอบสิทธิ์

WP 2FA สามารถจัดการทั้งสองสิ่งนี้ได้ ซึ่งทำให้เป็นตัวเลือกที่ยอดเยี่ยม การตรวจสอบสิทธิ์แบบสองปัจจัยทำงานได้ดีในการตั้งค่านโยบายสำหรับผู้ใช้ประเภทต่างๆ แต่ไม่รองรับ SMS หรือการโทรเป็นวิธีสองปัจจัย

ห่อ

คุณไม่สามารถกำหนดราคาสำหรับความปลอดภัยของข้อมูลได้ การถูกโจมตีสามารถทำลายเอกลักษณ์แบรนด์ของคุณ ลดความน่าเชื่อถือที่ผู้ใช้มีต่อผลิตภัณฑ์หรือบริการของคุณ และทำให้ปวดหัวและเสียเวลาเมื่อไซต์ของคุณถูกแฮ็ก แม้ว่าจะไม่สามารถรับประกันความปลอดภัยได้ 100% แต่การรับรองความถูกต้องด้วยสองปัจจัยเป็นหนึ่งในเทคนิคที่ดีที่สุดในการป้องกันการเข้าถึงไซต์โดยไม่ได้รับอนุญาต

ปลั๊กอินที่เราได้สำรวจในโพสต์นี้ติดตั้งได้รวดเร็วอย่างเหลือเชื่อและกำหนดค่าได้ง่ายอย่างไม่ลำบาก แม้ว่าคุณจะไม่ชอบแนวคิดในการใช้แอปพลิเคชันมือถือ การใช้โทรศัพท์เพื่อยืนยันการเข้าถึงไซต์ของคุณ หรือมีรหัสเฉพาะที่จัดเก็บไว้ในที่ปลอดภัย ก็ยังดีกว่าการใช้รหัสผ่านเพียงรหัสผ่านเดียว

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด อย่าพลาด 14 วิธีในการรักษาความปลอดภัยไซต์ WordPress ของคุณ – ทีละขั้นตอนและ 10 ปลั๊กอินเพื่อเพิ่มความปลอดภัยให้กับ WordPress