Настройка двухфакторной аутентификации в WordPress
Всё больше сайтов прибегают к двухфакторной аутентификации как к способу укрепить безопасность. Например, Google запрашивает мой номер телефона, чтобы подтвердить мою личность, прежде чем я смогу войти в свою почту. И это хорошо:
Тем не менее, многие веб-мастеры не спешат применять двухфакторную аутентификацию, и у них на это есть одна причина. Двухфакторная аутентификация усложняет процесс входа на сайт, а дополнительные сложности обычно отталкивают пользователей.
Конечно, эти сложности трудно назвать существенными. Но и о комфорте пользователя тоже нельзя забывать. Поэтому параллельно с укреплением безопасности не помешает провести аудит сайта с точки зрения удобства пользования и, возможно, предпринять дополнительные меры.
Например, настроить запоминание пользовательских сессий на более долгий срок, чтобы пользователям не приходилось входить на сайт слишком часто.
Взвесьте ваш выбор
WordPress имеет несколько простых и понятных решений по двухфакторной аутентификации. Давайте рассмотрим их.
Duo Two-Factor Authentication
Плагин Duo Two-Factor Authentication от Duo Security делает своё дело просто и легко, без необходимости углубляться в код или настройки. Установите и активируйте плагин на своем сайте, затем скачайте приложение для смартфона.
Это приложение позволит вам установить, какие пользовательские роли должны будут пользоваться двухфакторной аутентификацией.
Взаимодействие пользователя с Duo Two-Factor Authentication также происходит достаточно просто и прямолинейно. После ввода логина и пароля пользователя приветствует дополнительный экран, предлагающий несколько опций для подтверждения своей идентичности.
Если выбрать мобильное приложение, то остаётся только достать свой гаджет и кликнуть по кнопке «Confirm» (подтвердить). Другой вариант – войти при помощи одноразового пароля, который будет прислан при помощи SMS.
Также есть возможность настроить вход при помощи голосового вызова или аппаратного авторизационного токена. Опции достаточно разнообразны, так что вы будете ими приятно удивлены, но не ошеломлены: настройка плагина при этом проста и понятна.
Clef
Clef – мой фаворит среди средств двухфакторной аутентификации. Этот плагин использует уникальный подход, который на первый взгляд кажется навязчивым, но на самом деле максимально интуитивен и прост в использовании.
После установки плагина на сайт и соответствующего приложения на мобильное устройство вам достаточно нажать кнопку «Log in with your phone» на сайте и по запросу начать снимать экран камерой смартфона.
Процесс аутентификации выглядит для пользователя как волнообразно колеблющийся бар-код. По мере подтверждения идентичности пользователя эти «волны» начинают колебаться синхронно. Таким образом, вход на сайт осуществляется безопасно даже без необходимости ввода пароля.
При установке мобильного приложения Clef необходимо совершить ещё один шаг: синхронизировать его при помощи однократного ввода пин-кода, генерируемого на стороне сайта. После этого всё действительно просто.
Google Authenticator
Ещё один вариант реализовать двухфакторную аутентификацию на сайте – установка плагина Google Authenticator. Многие пользователи уже используют мобильное приложение Google для входа в Gmail или Amazon, так что использование этого плагина сделает ваш сайт не только безопасным, но и комфортным.
Вы можете назначить двухфакторную аутентификацию любой роли либо отдельному пользователю. Можно также разрешить вход на сайт при помощи ввода пароля прямо в мобильном приложении, но безопаснее будет оставить дефолтный механизм входа, предусмотренный Google.
Two Factor Auth
Если вы ищете простые решения, Two Factor Auth наверняка вам понравится. Этот плагин создаёт пароли, действующие ограниченное время. Пароли могут высылаться пользователю по электронной почте.
Two Factor Auth можно использовать совместно с любой другой системой авторизации, в том числе и с описанной нами Google Authenticator.
Плагин реализует механизмы TOTP и HOTP, поэтому генерируемый им пароль можно использовать для автоматизированного использования в Google Authenticator и других подобных приложениях. В общем, Two Factor Auth – отличный способ укрепить ваш сайт без особых сложностей в установке и настройке.
Authy Two-Factor Authentication
Authy поставляет решения в области безопасности для различных платформ, и она также поддерживает бесплатный плагин для WordPress.
Установив его на сайт, необходимо взять API-ключ с сайта Authy и ввести его в соответствующее поле в параметрах плагина. Это – единственный обязательный параметр его настройки. Теперь ваша аутентичность может проверяться с помощью SMS-сообщений.
К необязательным настройкам относится возможность ограничить обязательное использование двухфакторной аутентификации группой администраторов сайта или любыми другими категориями пользователей.
Two-Factor Authentication – Clockwork SMS
Последний специализированный плагин, который мы рассмотрим в нашей статье, называется Two-Factor Authentication – Clockwork SMS.
Как следует из названия, этот плагин посылает одноразовый код для аутентификации на сайте через SMS. Этот плагин также может быть настроен для использования только определёнными группами пользователей. Для работы плагина необходимо иметь учётную запись на сайте Clockwork SMS с положительным балансом на счету.
Да, использование этого плагина подразумевает плату за отправку SMS-сообщений, но возможность использовать двухфакторную аутентификацию без необходимости устанавливать на смартфон дополнительные приложения наверняка того стоит.
Двухфакторная аутентификация как часть комплексного решения
Плагины, реализующие комплексные меры по укреплению безопасности сайта, часто имеют в своём составе функцию двухфакторной аутентификации. Возможно, вы предпочтёте установить один из таких плагинов на своём сайте, если вас заинтересуют остальные его функции. Действительно, зачем устанавливать несколько плагинов, если можно обойтись одним?
Перечислим плагины, которые включают в себя механизм двухфакторной аутентификации.
iThemes Security Pro
Этот плагин имеет множество функций, связанных с безопасностью. Применяемая им реализация двухфакторной аутентификации также может использоваться совместно с Google Authenticator. Если на смартфоне уже установлено это приложение, остаётся только настроить его на работу с плагином iThemes.
Теперь при авторизации сайт запросит у пользователя дополнительный код верификации, генерируемый Google Authenticator. Этот код используется однократно и остаётся валидным не дольше 30 секунд.
ManageWP
Ещё один вариант – ManageWP. Вообще-то это решение не является плагином, ориентированным на безопасность, а представляет собой интерфейс для комплексного администрирования нескольких WordPress-сайтов. Вы можете устанавливать обновления на все сайты разом, централизованно настраивать расписание резервного копирования и т. д.
По очевидной причине этот продукт обладает усиленными настройками безопасности. В частности, вы можете использовать хорошо продуманную схему двухфакторной аутентификации как для входа в общую панель управления, так и для администрирования каждого сайта в отдельности. Код верификации может отсылаться электронным письмом или SMS-сообщением.
WordFence
WordFence – плагин, усиливающий безопасность сайта за счёт нескольких опций. В частности, он умеет сканировать сайт по расписанию для обнаружения вредоносного кода. Авторы также заявляют, что этот плагин способен в отдельных случаях ускорить работу сайта в 50 раз.
Двухфакторная аутентификация указана в документации к плагину как «вход через телефон», что является вполне допустимым упрощением: использование SMS – это именно то, что в первую очередь замечают пользователи.
Подведём итог
Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности сайта, который со временем становится всё более востребован. Поэтому реализация двухфакторной аутентификации становится предметом первой необходимости для администраторов WordPress.
Попытки взлома сайтов давно стали рутиной, и в любом случае лучше предотвратить взлом или хотя бы попытаться затруднить взломщику работу, чем сидеть сложа руки и надеяться, что этого никогда не произойдёт.
Надеюсь, теперь вы получили понятие о двухфакторной аутентификации и о том, как реализовать её на своём сайте. Если вы хотите уточнить какие-то детали или знаете хорошие решения, которые я не перечислила, добро пожаловать в комментарии!